Osnove bezbednosti informacija

ISO 27001 – Sistem

menadžmenta bezbednošću
informacija
Sadržaj

Povodi za sistem upravljanja bezbednošću
informacija (ISMS)

Spoljašnje i unutrašnje pretnje bezbednosti
informacija

Koristi od upravljanja bezbednošću
informacija

Osnovni koncept i principi zaštite informacija

Politike bezbednosti
Potrebe za bezbednošću informacija

Informacije u današnjem poslovanju spadaju u
najviše vrednosti resursa u organizacijama

Sve više klijenata se interesuje za bezbednost
informacija

Potreba za zaštićenim podacima

Veći rizici sa većim korišćenjem tehnologija

Zahtevi nekoliko vrsta sertifikacija
(ISO 27001, ISO 22301, PCI DSS ...)

Zakonski zahtevi (Privatnost podataka, Zaštita
poslovne tajne, SOX i dr.)
Poverljive informacije za privredne
subjekte

tehničke i komercijalne informacije koje

se odnose na organizaciju ili njene poslovne
partnere,

odnose se na njihovo poslovanje, objekte,
proizvode, tehnička rešenja i procese

Organizacije su dužne da zaštite poverljive informacije

 Šta je poverljiva informacija
(poslovna tajna)

finansijski, ekonomski, poslovni, naučni,

tehnički, tehnološki, proizvodni podaci, studije,
testovi, rezultati istraživanja, uključujući i
formule, crtež, plan, projekat, prototip, model,
kompilaciju, metod, tehniku, postupak,
programski kod, obaveštenje, lične podatke, ili
uputstvo internog karaktera i slično, bez
obzira na koji način su sačuvani i komunicirani
Ekonomske štete od povreda nad
podacima
 Ko biva najviše napadnut?

Finansijske institucije i banke

Internet servis provajderi

Farmaceutske kompanije

Vlada i agencije za odbranu

Ugovarači vladinih agencija

Multinacionalne korporacije

Bilo ko, da se nalazi na mreži

Ove organizacije treba da zaštite svoju ranjivost

 Povodi za uspostavljanje sistema
bezbednost informacija

Poverenje korisnika usluga

Povećanje ugleda kod korisnika i konkurencije

Zaštita od konkurencije

Veći stepen odgovornosti unutar preduzeća

Zakonske obaveze
 Ključna svojstva informacija (CIA)

Da li su moje poverljive Da li su moji podaci verodostojini

Informacije zaštićene? i bez neovlašćenih izmena?

•Poverljivost •Integritet

• Dostupnost
Da li su moje informacije
dostupne ovlašćenim korisnicima?
 Vrednost informacione imovine

Šteta koja bi nastala gubitkom:

◦ poverljivosti
◦ raspoloživosti
◦ integriteta
informacione imovine
 Kako nastaju bezbednosni incidenti?

Ranjivost
Pretnja Informaciona Posledica
imovina

•Namerne pretnje • Ljudske greške • finansijski gubitak

• iznutra • nedostatak know-how • gubitak ugleda
• izvana • nedostatak interesa • gubitak vremena
• fizičke • zamor • gubitak know -how
• logičke •… •…
• Nenamerne • Tehničke ranjivosti
pretnje • nezaštićena mreže
• greške • neažurirane aplikacije
•kvarovi • nezaštićen WiFi , Bluetooth
•… • pogrešna konfiguracija

Provala - kraña

Namerna šteta ili sabotaža

Fluktuacija (nestabilnost) napona

Požar

Poplava

Neovlašćen pristup prostorijama

Nedostatak tehničke podrške
Oblici spoljnih pretnji

Neovlašćen pristup podešavanjima

Kraña identiteta korisnika

Maliciozni softver

Prekid (komunikacione) usluge

Neovlašćen pristup podacima na
medijumima sa podacima

Proboj (intrusion) kroz mrežu

Prisluškivanje

Upad u komunikacije

Otkaz opreme

Oštećenje nosaća podataka

Slabe performanse

Loša konfiguracija (hardvera)

Preopterećenje saobraćaja

Prepunjen bafer

Operativna greška osoblja

Neispravnost softvera

Greška prilikom održavanja

Smanjena efikasnost rada

Nedostatak osoblja

Napuštanje firme

Nepovoljna temperatura ambijenta
Oblici unutrašnjih pretnji

Neovlašćen pristup podešavanjima

Kraña identiteta korisnika

Neovlašćen pristup aplikacijama

Korišćenje ureñaja na neovlašćen način

Povreda prava

Nekontrolisano kopiranje

Gubitak podataka

Curenje informacija

Gubitak mobilnih ureñaja ili medija sa
podacima

Neovlašćeno korišćenje ureñaja za
pristup javnoj mreži (dial-up ili 3G
kartica)
Pretnje spolja i iznutra

Pretnje su češće unutar organizacije

 Pogled unazad

U periodu 2001.-2014. oko 80% napada je bilo
eksternog porekla

U 60% slučajeva napadači su bili u mogućnosti da
kompromituju organizaciju za svega nekoliko
minuta

U 75% napada, nadači se kreću od žrtve A ka
žrtvi B za manje od 24 sata

Neke metode koje se koriste su iste metode
napada koje su se koristile i 2000. godine i
ponekad prolaze

Prema istraživanju Verizon iz 2013. godine, kod
95% napada postojali su sponzori napadača
 Pretnje za bezbednost informacije se
konstantno menjanju

Mobilni ureñaji

Cloud tehnologije

Infrastruktura

Klimatske promene
 Information Security
- Špijunaža -

% Političkai
špijunaža
Prebacivanje špijunaže
na poslovna područja Poslovna
špijunaža

Ranije Danas
Učestalost napada po industrijskim
sektorima
Primer napada sa modifikacijom virusa
 Današnji profil hakera
za izvoñenje napada

Poseduju više resursa da izvrše napad

Imaju veća i dublja tehnička znanja

Umeju dobro da se organizuju

U preko 55% slučajeva razlozi napada su finansijski interesi

Putevi sajber kriminala su složeni

 Conseko d.o.o.
Korist od sistema menadžmenta bezbednošću
informacija
Sistem menadžmenta bezbednošću informacija omogućava
organizaciji da:
◦ zadovolji zahteve bezbednosti informacija kupaca i drugih
zainteresovanih strana;
◦ poboljšava svoje planove i aktivnosti;
◦ ispuni ciljeve bezbednosti informacija;
◦ bude u skladu sa propisima, zakonima, ugovornim obavezama i
očekivanjima zainteresovanih strana; i
◦ upravlja informacionom imovinom na organizovan način tako da
olakša neprekidno poboljšavanje i prilagođavanje trenutnim
organizacionim ciljevima.

22
 Merama bezbednosti informacija
zaštićuju se:

Vrednosti i resursi organizacije

Klijenti

Zaposleni

Dobavljači proizvoda i usluga

Preduzimaju se mere za zaštitu informacija zainteresovanih strana

Primenom ISMS sistema ostvaruju se

Stalna dostupnost usluge

Zaštita podataka od neovlašćenog pristupa

Sigurnost u razmeni podataka sa trećim licima

Zaštita podataka od gubitaka
Metode odbrane informacione imovine
Mere se postizanje zaštite informacija
mogu biti:

Tehničke mere

Administrativne mere

Organizacione mere
Organizacione Administrativne
Postupci, Svesnost i primena
upravljanje mera za bezbednost

Tehničke
Kontrole komunikacija,
zaštite pristupa i zaštite
podataka
 Sistem menadžmenta bezbednošću informacija

Uloga rukovodstva

• Rukovodstvo je odgovorno za nadzor i donošenje odluka

neophodnih za dostizanje poslovnih ciljeva kroz zaštitu
informacione imovine organizacije.
• Menadžment bezbednošću informacija iz perspektive rukovodstva
se izražava kroz formulaciju i upotrebu politika bezbednosti
informacija, procedura i smernica, koje zatim kroz organizaciju
primenjuju svi pojedinci koji su sa njom povezani.
• Očekuje se da usvajanje Sistema menadžmenta bezbednošću
informacija bude strateška odluka za organizaciju i neophodno je da
ta odluka bude potpuno integrisana, sprovedena i ažurirana prema
poslovnim potrebama organizacije

27
 Preporuke menadžmentu organizacija

1. Razumevanje kritičnosti informacija i informacione

bezbednosti u organizaciji
2. Razmatranje ulaganja u informacionu bezbednost za
usklañivanje sa strategijom organizacije i profilom rizika
3. Odobravanje razvoja i implementacije sveobuhvatnog
programa bezbednosti informacija

28
Tipična organizaciona šema za IS u velikom preduzeću
ISM – Information Security Management

Regional IS Operations in Information

Charge Security Officer

ISMS Implementation Incidence Response

Team Team

Network Security
Business Continuity & Administrator
DRP Team
Communications Security
Administrator

Server Desktop Security

Administration Team for
Administrator
Physical Security

Application Security
Administrator
Odreñivanje potencijalno raspoloživih
resursa

izbor timova za:
◦ hitne situacije
◦ upravljanje rizikom u organizaciji,
◦ ublažavanje posledica kroz BCP

odabir kontrola zaštite,

implementacija kontrola zaštite
 Bezbednost informacija

Pravila zaštite informacija

primenjuju se
na sve zaposlene!

Pravilnici,
Procedure, Polise na Politike
Ugovori ureñajima i
sistemima

Organizacione Tehničke mere Administrativne

Mere mere
 Načini za borbu sa pretnjama bezbednosti
• Strateški
• Taktički
• Operativni
• Tehnički

32
Razmotriti i uzimati u obzir
fleksibilnost i ograničenja u radu

Maksimalna
Poslovna fleksibilnost Maksimalna
Bezbednost informacija
 Vodeći principi kod primene standarda

Uspostavi pravila:
Upostavi i po potrebi dokumentuj pravila za rad u firmi.
Definiši očekivane rezultate procesa:
Definiše očekivane rezultate i za to dokumentovane informacije.
Prikaži rezultate šta si uradio:
Stvori zapise (dokaze) da su aktivnosti sprovedene i da su ispunjeni zahtevi.
Verifikuj:
Sprovodi periodične interne provere, da proveriš pogodnost, usaglašenost i
efektivnost primene.

Principi koji važe za sve standarde sistema menadžmenta

 Glavni elementi ISMS sistema

Politika i Interne
ciljevi provere i
bezbednosti
informacija
ISMS preispitivanje
Za verifikaciju
Politike i ciljevi prakse primene i
ISMS otkrivanje mesta
za poboljšanja

Primena Upravljanje
Procena rizika zahtevanih kontinuitetom
bezbednosti kontrola kritičnih
informacija Prema zahtevima usluga
za svu aneksa A Za slučaj
informacionu standarda nepredviñenih
imovinu dogañaja
Vodeći principi kod primene standarda

Uspostavi pravila:
Upostavi i po potrebi dokumentuj pravila za rad u firmi.
Definiši očekivane rezultate procesa:
Definiše očekivane rezultate i za to dokumentovane informacije.
Prikaži rezultate šta si uradio:
Stvori zapise (dokaze) da su aktivnosti sprovedene i da su ispunjeni zahtevi.
Verifikuj:
Sprovodi periodične interne provere, da proveriš pogodnost, usaglašenost i
efektivnost primene.

Principi koji važe za sve standarde sistema menadžmenta

 Principi uspostavljanja bezbednosti
informacija prema ISO 27001

Razdvanje zaduženja

Pristup dokumentima i podacima na „need to know“ osnovi

Razmena informacija u skladu sa procenom rizika

Obezbeñenje redundantosti da bi se izbegao „single point of
failure“

Monitoring aktivnosti, uključujući privilegovane korisnike

Kontrola spoljnjeg pristupa mrežama i razdvajanje mreža

Testiranja aplikacija (sa anonimizovanim podacima)

Kriptovanje osetljivih podataka u bazama i podataka u
saobraćaju

Učenje iz incidenata
 Najčešće dokumentovana pravila
bezbednosti informacija

Kontrola pristupa prostorijama

Kontrola pristupa informacijama i resursima

Klasifikacija dokumenata i informacija

Upravljanje lozinkama

Politika čistog stola i ekrana

Izrada rezervnih kopija podataka i oporavak sistema

Odlaganje i rashodovanje medijuma i opreme

Prihvatljiva upotreba elektronske pošte i interneta

Zastita prenosivih medijuma za podatke

Rad sa daljine i korišćenje mobilnih ureñaja

Zaštita podataka o ličnosti

Zaštita od virusa i malicioznog koda

Saradnja i razmena podataka sa poslovnim partnerima
 Polisa “Zaštita poverljivih informacija”

Nivoi poverljivosti dokumenata:

Interno

Poverljivo

Strogo poverljivo / poslovna tajna

Za svaku klasifikaciju se navodi koja su dokumenta i propisuje postupanje

 Objašnjenje nivoa poverljivosti

Podaci sa oznakom "interno" predstavljaju
informacije koje su namenjene za interno poslovanje
društva i čijim otkrivanjem mogu nastati minimalne
štetne posledice za poslovanje društva

Podaci sa oznakom "poverljivo" predstavljaju
informacije čijim bi otkrivanjem mogle nastupiti štetne
posledice za poslovanje društva

Podaci sa oznakom "strogo poverljivo"
predstavljaju informacije čijim bi otkrivanjem mogle
nastupiti teže štetne posledice za poslovanje društva.
 Primeri poverljivih dokumenata i
informacija
POVERLJIVO STROGO POVERLJIVO

poslovni planovi
loznike za pristup

finansijski izveštaji
ponude tokom njihove pripreme

poslovni podaci klijenata i partnera
ulazne kalkulacije

konstrukciona dokumentacija u fazi izrade
lista kupaca

izveštaji o zadovoljenju kupaca
ugovori sa kupcima

lista prihvaćenih isporučilaca
promet po kupcima

ugovori sa klijentima
poverljivi podaci klijenata i partnera

ugovori sa poslovnim partnerima
lični podaci zaposlenih, klijenata i poslovnih

delovodnik partnera

cenovnici dobavljača
personalna dosijea sa ugovorima o radu
zaposlenih

ulazni i izlazni računi

platni spiskovi

predmeri i predračuni radova

Bankovni izvodi
Politika “Kooperacija i razmena
informacija sa poslovnim partnerima"

Dozvolite poslovnim partnetima pristup informacijama
samo u meri koja je potrebna prema ugovoru o saradnji

Sve informacije koje su rezultat saradnje sa poslovnim
partnerom treba tretirati kao informacije koje čine
vlasništvo kompanija

Dokumenta koja se prenose poslovnom partneru moraju
imati oznaku statusa poverljivosti i znak zaštite od
kopiranja

Strogo poverljive informacije se u normalnim okolnostima
ne smeju prenositi poslovnim partnerima. Izuzeci su
mogući samo u posebnim ugovorom definisanim
sporazumima.
 Ugovori za neodavanje poverljivih
informacija - NDA

Ugovor sadrži definiciju šta su poverljive

informacije /podaci u konkretnom slučaju

Poverljive informacije, skice, programski
kod su vlasništvo Naručioca

Ukoliko isporučilac ima podizvoñača, u
obavezi je da sa njim ima sklopljen ugovor
o neodavanju poverljivih informacija
Klijenta
Za svaku klasifikaciju se navodi koja su dokumenta i propisuje se postupanje
 Osnovni pojmovi

Pojam Definicija
Rizik Kombinacija verovatnoće nekog
dogañaja i njegovih (negativnih)
posledica
Pretnja Potencijalni uzrok nekog neželjenog
incidenta, koji može dovesti do štete
na sistemu ili u organizaciji

Ranjivost Slabost neke imovine ili grupe

resursa koju naka pretnja može da
iskorist
Vlasnik rizika osoba ili grupa ljudi sa dodeljenom
odgovornošću i ovlašćenjem da
upravljaju rizikom

Upravljanje rizicima bezbednosti

informacija
 Standardni model rizika

Verovatnoća Verovatnoća
rizičnog dogañaja posledica

Dogañaj Posledice Ukupna

rizika šteta

Kontrola Kontrola
verovatnoće posledica
rizičnog
dogañaja
Faktori rizika prema Microsoft DREAD
modelu
Rizik

Posledice Verovatnoća Mogućnost

kontrolisanja

Potencijalna Mogućnost Mogućnost

šteta umanjenja detekcije

Mogućnost
Broj afektiranih
kontrole
komponenti
Mogućnost
ponavljanja
 Conseko d.o.o.
 Ocena rizika gubitka ili zloupotrebe
informacija

Stručni tim identifikuje informacionu imovinu na osnovu kojih je, primenom

procesa ocenjivanja rizika po bezbednost informacija u odnosu na gubitak
poverljivosti, integriteta i raspoloživostiinformacija, izvršava procenu
vrednosti imovine.
Procena rizika se utvrđuje na bazi kriterijuma ranjivosti (1-3), pretnje (1-3) i
verovatnoće ostvarenja pretnje (1-5) prema sledećoj formuli gde da je:

Rizik po bezbednost imovine =

Vrednosti imovine x Pretnja (njena verovatnoća) x Ranjivost
 Šta je bezbednost zasnovana na
rizicima?

Odluke u vezi bezbednosti imovine donete su

na osnovu pažljive identifikacije, evaluacije i
priorizacije rizika

Sprovoñenje detaljne procene rizika je
preduslov

Fokus na poboljšanja i kontrolu oblasti koje
predstavljaju najveće rizike
 Bezbednost zasnovana na rizicima –
ključni faktori

Proaktivna, pre nego reaktivna

Postepena i stalna promena kako organizacija
pristupa rešavanju rizika bezbednosti

CSO /CISO se pitaju koji su to prioritetni
rizici – rešenja koja organizacija treba da
primeni da minimizira posledice pretnji
 Kategorizacija rizika
Ukupan
Nivo rizika Opis nivoa rizika i potrebne aktivnosti
rizik
Konačna ocena rizika za Izloženost riziku je veoma visoka.
informacionu imovinu Veoma visok ≥40 Neophodno je hitno primeniti mere za
umanjenje rizika.
koja je izložena različitim
vrstama ranjivosti, pretnji ≥25
Postoji jaka preporuka da se propišu
Visok kontrolne mere za umanjenje rizika.
i verovatnoća ostvarivanja <40 Postojeći sistem može da nastavi da radi
pretnje diferencira se u uz primenu mera.
pet kategorija ≥14 Mogućnost ispoljavanja ranjivosti usled
Srednji pretnje je prisutna. Potrebno je uspostaviti
<25
plan za umanjenje rizika.

≥4
Nizak Kada je utvrñen nizak nivo rizika, tim za
<14 bezbednost informacija treba da proceni da
li su potrebne dodatne aktivnosti
Verovatnoća ispoljavanja rizika je veoma
Veoma nizak <4 niska, nisu potrebne dodatne aktivnosti na
sprečavanju.
 Efektivno upravljanje rizicima

Očekuje da:

Organizacija je prepoznala svoje rizike za bezbednost
informacija

Preduzimaju se mere da se ti rizici svedu na minimum

Vrši se stalni monitoring/praćenje

51
 Procesi unutar organizacije
se usklañuju sa zahtevima

Zahtevi

MAY-
MAY-05 Miodrag Vukovic 9|15
 Nezaobilazni zahtev:
Usklañenost sa zakonom
Propisi relevantni za bezbednost informacija:

 Zakon o informacionoj bezbednosti (Sl. glasnik RS, br. 6/2016)

 Zakon o zaštiti poslovne tajne (Sl. glasnik RS br. 71/2011)
 Zakon o tajnosti podataka, (Sl. glasnik RS, br. 104/2009)
 Zakon o zaštiti podataka o ličnosti (Službeni glasnik RS", br. 97/2008, 104/2009)
 Zakon o autorskom i srodnim pravima ("Sl. list SCG", br. 61/2004)
 Zakon o obligacionim odnosima ("Sl. list SFRJ", br. 29/78, 39/85, 45/89 - odluka USJ i
57/89, "Sl. list SRJ", br. 31/93 i "Sl. list SCG", br. 1/2003 - Ustavna povelja)
 Krivični Zakonik (Sl. Glasnik RS 85/2005, 88/2005, 107/2005, 72/2009, 111/2009,
121/2012, 104/2013 i 108/2014), članovi 302, 304
 Zakon o zaštiti od požara (Sl. Glasnik RS br. 111/09)
 Pravilnik o kancelarijskom i arhivskom poslovanju (Sl. glasnik RS br. 106/2009, 6/2010 i
15/2010)
 Uredba o posebnim merama zaštite tajnih podataka u informaciono–
telekomunikacionim sistemima (Sl. glasnik RS br. 51/2011)
 Zakon o elektronskom potpisu (Sl. glasniku RS" br. 135/04)
 Zakon o elektronskom dokumentu (Sl. glasnik 51/09 od 14.7. 2009.)
 Krivična dela protiv bezbednosti
računarskih podataka

- 27. glava Krivičnog zakonika i članovi ove glave koji se

odnose na regulisanje bezbednosti računarskih podataka
na računarskoj mreži: Računarska sabotaža

Pravljenje i unošenje računarskih virusa

Neovlašćeni pristup zaštićenom računaru, računarskoj
mreži i elektronskoj obradi podataka

Sprečavanje i organičavanje pristupa javnoj računarskoj
mreži

Neovlašćeno korišćenje računara ili računarske mreže
 Put do sertifikata ISO 27001
Sertifikat
ISO 27001
Sertifikacija

Preispitivanje
Interna Korektivne od strane
provera mere rukovodstva

Izrada polisa Izrada i Izrada

– priručnika testiranje SoA
ISMS BCP

Procena Plan
rizika tretrmana

Popis Identifikacija Identifikacija

imovine ranjivosti pretnji

Uvodna obuka

Iniciranje
projekta
GAP
analiza
Hvala na pažnji!

Pitanja?