2. Procedura Upravljanja Rizikom

7/28/2019 2. Procedura Upravljanja Rizikom

1/9

PROCEDURA UPRAVLJANJA RIZIKOMOSNOVNE AKTIVNOSTI (BASIC PRACTICES) UPRAVLJANJA RIZIKOM

(NIST SP 800-30)

1. PRIPREMA PROCESA UPRAVLJANJA RIZIKOMOsnovna aktivnost 1:

Prepoznavanje digitalnih objekata kao bitnih resursa organizacijeSa aspekta upravljanja, zatita podataka i informacija treba da se posmatra kao integralni deo procesa rada istratekog planiranja organizacije.Posebno je znaajno da donosioci odluka i organi uprave prepoznaju faktore bezbednosnog rizika i shvate znaajkontrole rizika kao najvanijeg faktora u razvoju programa zatite. Ovakav stav najvieg organa uprave presudnodoprinosi da se program zatite shvati krajnje ozbiljno na svim niim nivoima upravljanja, a posebno na nivouizvrilaca poslova u organizaciji, kao i da specijalisti zatite obezbede neophodne resurse za implementacijuefektivnog programa. Iskustva najbolje prakse potvruju da treba koristiti sve dogaaje u organizaciji kao

povode da se povea interes zaposlenih za zatitom. Takvi dogaaji mogu biti: bilo koji kompjuterski incident koji ne izazove veliku tetu,

iskoristiti svaki incident kao alarm za buenje i pristupanje razvoju programa zatite,

u okviru strunog usavravanja, edukacija upravne strukture i svih zaposlenih od strane specijalista zazatitu o znaaju i potrebi zatite IKT sistema za ukupan rad organizacije,

iskoristiti svaki iskazani lini interes za primenu IKT sistema pojedinaca iz organa uprave, za irenje uticajau upravnoj strukturi i stvaranje pozitivne atmosfere za razvoj adekvatnog programa zatite.

Zatitu posmatrati i predstavljati kao propulzivni pokreta efikasnosti i efektivnosti rada organizacije, ako seprimenjuju tehniki pouzdani i od zloupotreba i namernih napada zatieni IKT sistemi. Drugim reima, sistemzatite omoguava potpuno iskorienje svih prednosti koje IKT sistemi pruaju u poveanju efikasnosti iefektivnosti rada, smanjujui potencijalni rizik na prihvatljivi novo za organizaciju, posebno u sluajevimakorienja Internet aplikacija i irenja broja korisnika koji imaju prava pristupa podacima i informacijama u IKTsistemu organizacije.

Osnovna aktivnost 2:Razvoj praktine procedure za procenu rizika, koja povezuje sistem zatite sa poslovnim potrebamaorganizacijeU praksi zatite razvijeni su brojni formalni i neformalni metodi procene rizika, koji se kreu od aproksimativnediskusije o potencijalnim faktorima rizika do korienja specijalizovanih interaktivnih softverskih alata. Najboljerezultate u proceni rizika dale su metode koje obuhvataju definisanje i razvoj relativno jednostavnih procedura,

prihvatljivih za najvei broj razliitih organizacija, a koje ukljuuju meovite radne timove sastavljene odpoznavaoca tehnologija rada i radnih procesa i specijalista koji poznaju tehnike aspekte kontrola zatite i IKTsistema organizacije.Razvijene su i kontrolne liste ili upitnici za kontrolu sistema zatite, gde organi uprave organizacije i internorukovodstvo organizacionih jedinica treba da odgovore na seriju pitanja, koja se odnose na identifikovanje iliuticaj potencijalnih smetnji, osetljivost objekata IKT sistema i uticaj kontrola zatite, ili nedostatka kontrolazatite na radne procese organizacije. Rezultati analize odgovora na pitanja iz kontrolne liste, dostavljaju se

zvaninim organima upravljanja u zvaninom bezbednosnom dokument Izvetaj o analizi rizika, u kome senavode, izmeu ostalog: usklaenost postojeeg sistema zatite sa politikom zatite,

planirane akcije da se sistem zatite usaglasi, i

spremnost za prihvatanje nivoa preostalog rizika.Isti izvetaj se dostavlja internom kontroloru sistem zatite, koji Izvetaj koristi kao bazu za kontrolu i revizijuuspenosti organizacije u implementaciji kontrola zatite, za koje su organi uprave dali saglasnost. Kroz

proceduru izvetavanja glavni organ uprave preuzima odgovornost za prihvatanje nivoa preostalog rizika iliredukciju rizika, koji prati rad organizacije.Procedura za analizu rizika obezbeuje relativno brzo i konzistentno sredstvo za: istraivanje i odreivanje faktora potencijalnog rizika,

izbor rentabilnih (cost-effective) kontrola zatite, i

dokumentovanje odluke organa uprave o prihvatanju nivoa preostalog rizika, uzimajui u obzir potrebuimplementacije izabranih i odobrenih kontrola zatite.

1


2/9

Procedura analize rizika, koja obuhvata zajedniki rad upravne strukture i tehnikih specijalista u procesimaanalize rizika, odreivanja nivoa prihvatljivog rizika i izbora kontrola zatite, daje najbolje praktine rezultate.Proces analize rizika moe da obuhvata ceo poslovni sistem, ili da obuhvata analizu rizika u jednom segmentu iliintegralnom poslovnom sistemu organizacije. Tim za analizu rizika obuhvata rukovodioce radnih procesa kojidobro poznaju tehnologije rada i poseduju potreban obim informacija i tehniko osoblje koje potpuno razume i

poznaje potencijalne ranjivosti sistema i pripadajue kontrole zatite.

U toku rada radni tim diskutuje i identifikuje potencijalne pretnje, ranjivosti sistema i ukupan negativni uticaj naintegritet, poverljivost i raspoloivostpodataka. Oni analiziraju efekte takvih uticaja na poslovne procese i gruboklasifikuju faktore rizika u dve kategorije: glavne ili beznaajne. Radni tim na zajednikim sastancima obinone pokuava da dobije ili razvije specifine kvantitativne brojne vrednosti za verovatnou pojave potencijalnih

pretnji ili procenu oekivanih godinjih gubitaka od uticaja kombinovanih pretnji, sve dok ne obezbedepouzdane podatke za odreivanje tih faktora. Za to se najee koriste apriorna znanja lanova tima, iskustvo iliteralni podaci, podaci i znanja CIRT ili CERT timova za upravljanje kompjuterskim incidentima, znanja

profesionalnih udruenja i sl.Primena preciznih kvantitativnih metoda za analizu rizika generalno nije prihvatljiva za veinu organizacija izsledeih razloga:

1. Takva procena zahteva nepotrebno dugo vreme i veliki napor za identifikaciju i verifikaciju pretnji iranjivosti;

2. Dokumentacija za analizu rizika postaje suvie obimna za praktino korienje, i

3. Generalno, nije potrebno odreivati specifine godinje gubitke, ako se zahteva poboljanje sistemazatite, jer bolje praktine rezultate daje uvoenje nove kontrole zatite.Kvalitativni metodi analize rizika daju bolje praktine rezultate. Potencijalni faktori rizika i ranjivosti IKTsistema klasifikuju se u kategorije: nizak, srednji, visok.Posle identifikacije i klasifikacije faktora rizika, odnosno identifikovanja parova potencijalnih pretnji i ranjivostiIKT sistema koje te pretnje mogu iskoristiti sa visokim stepenom verovatnoe, radni tim identifikuje rentabilnekontrole koje mogu biti implementirane za redukciju preostalog rizika do prihvatljivog nivoa. Za izborupravljakih kontrola zatite radni tim treba da koristi katalog kontrola zatite sa oko 25 osnovnih upravljakihkontrola, projektovanih za upravljanje rizikom i predloi upravnoj strukturi najrentabilnije kontrole zaimplementaciju. Konanu odluku o tome koje kontrole e biti implementirane, donosi glavni organ upraveorganizacije (glavni menader), koji uzima u obzir prirodu i osetljivost digitalnih objekata i njihov znaaj za

procese rada i trokove uvoenja kontrola zatite.

Zakljuci tima o tome koji faktori rizika postoje i koje kontrole treba implementirati, dokumentuju se u Izvetajuzajedno sa pripadajuim akcionim planom za kontrolu implementacije. Ovaj dokument (Izvetaj) potpisujeglavni menader organizacije i specijalista zatite, a kopije Izvetaja dostavljaju se svim grupama koje suuestvovale u radu i internom kontroloru zatite.Primer: Sastanci radnog tima za analizu rizika u organizaciji koja ima LAN od 100 raunara, traju u proseku 4sata, a ukljuuju 7 do 15 aktivnih lanova radnog tima. Oni intervjuiu od 4 do najvie 50 ljudi na jednoj sesiji.Dodatno vreme obino je potrebno za razvoj akcionog plana. Radni tim odri 8 do 12 radnih sastanaka meseno.Ovakve aktivnosti radnog tima podiu svest o potrebi zatite u upravi organizacije i organizaciji ucelini,obezbeuju podrku za neophodne kontrole i pomau integrisanje sistema zatite u procese radaorganizacije.Iako sve organizacije istiu znaaj razumevanja i analize rizika, u praksi retko koja (osim posebnih dravnihorgana vlade, vojske i policije) pokuava da precizno kvantifikuje verovatnou pojave incidenata ili veliinu

potencijalne tete od posebnog tipa incidenta. Ovakvi podaci nisu lako dostupni, zbog toga to se mnogi

incidenti nikada ne prijave, a mnogi gubici nikada ne otkriju, iako se incidenti dogode u organizaciji. Takoe sunedovoljni, teko dostupni ili neaurni podaci o ukupnoj ceni ranjivosti sistema zatite i operativnim trokovimaimplementacije i odravanja specifinih tehnikih kontrola. Zbog toga je teko, ako ne i nemogue preciznouporeivati trokove kontrola sa gubicima izazvanim faktorima rizika, da bi se izabrale najrentabilnije kontrolezatite. Na kraju, organi uprave i specijalisti zatite moraju se osloniti na najkvalitetnije dostupne informacije,njihovu najbolju procenu u odreivanju neophodnih kontrola zatite. Adekvatne informacije za kvalitetnuanalizu rizika raspoloive su u standardima zatite, specijalizovanim publikacijama i specijalistikoj literaturi ozatiti i upravljanju rizikom u IKT sistemima.Poveanje razumevanja rizika i procesa analize rizika imaju sledee koristi: poveavaju sposobnost organa uprave za donoenje odluka o neophodnim kontrolama zatite u nedostatku

rezultata kvantitativne analize rizika, i pomau da se obezbedi adekvatna implementacija politika zatite i rad kontrola zatite kako je planiran.

Osnovna aktivnost 3:Odreivanje odgovornosti organa uprave za program zatite

2


3/9

Veina organizacija smatra da organi uprave snose primarnu odgovornost za odreivanje nivoa zatiteneophodnog za adekvatnu zatitu resurse IKT sistema koji podrava misiju organizacije. U tom smislu organiuprave se smatraju odgovornim za upravljanje rizikom u IKT sistemu, mnogo vie od odgovornosti za drugevrste poslovnih rizika u organizaciji. Pri tome specijalisti zatite imaju savetodavnu i ulogu kada utvrde da riziknije adekvatno procenjen i tretiran.Organi uprave i menaderi programa zatite u dravnim i drugim organizacijama, u najboljoj su poziciji da

odrede koji je od IKT resursa najosetljiviji i kakav uticaj na poslove organizacije mogu imati gubici integriteta,poverljivosti i raspoloivosti. Zbog toga upravne strukture treba ukljuiti u proces izbor kontrola zatite, toobezbeuje praktinu upotrebljivost i implementaciju kontrola zatite.Specijalisti zatite, koji imaju savetodavnu i edukativnu ulogu, ne treba da suvie agresivno nameu tehnikemere i pretenciozno tretiraju efekte kontrola zatite na poslove organizacije.

Neke organizacije, kao to su finansijske institucije, praktikuju institucionalne mehanizme za dokumentovanje iizvetavanje upravne strukture o svim determinatorima rizika za poslove organizacije, kao to su: odstupanja od planiranih zahteva za kontrole (vanredne kontrole), ili

obezbeivanje rezultata analize rizika.

Osnovna aktivnost 4:Neprekidno upravljanje rizikomNeprekidni nadzor usmerava panju na sistem zatite i obezbeuje da su kontrole zatite:

odgovarajue i efektivne,

obuhvataju tekui rizike,

ne optereuju nepotrebno poslove organizacije, i

da obezbeuju ponaanje korisnika IKT sistema u skladu sa politikama organizacije.Ovo je znaajno za sve tipove internih kontrola, a posebno za kontrolu informacija u IKT sistemu, poto sefaktori koji utiu na bezbednost podataka i informacija u IKT sistemima konstantno menjaju u dinamikomokruenju, kojeg karakteriu promene pretnji, tehnologija i konfiguracija, poznatih ranjivosti u postojeim

programima i nivoa pouzdanosti automatizovanih sistema i elektronskih podataka, kao i promenljivost faktoraosetljivosti i znaaja takvih operacija i podataka.

2. USPOSTAVLJANJE SISTEMA ZA CENTRALNO UPRAVLJANJE RIZIKOMPoetne aktivnosti glavnih menadera za realizaciju programa zatite obuhvataju:a. Organa uprave: razumevanje kritinosti i osetljivosti informacija i sistema koji podravaju kljune programe organizacije,

prepoznavanje potencijalnog uticaja bezbednosnih faktora rizika za informacija na program radaorganizacije,

diskusiju sa potinjenom rukovodeom strukturom o potrebnom nivou zatite i preuzimanju odgovornosti zadonoenje odluka,

nadzor procesa implementacije kontrola zatite u skladu sa rezultatima procene rizika.b. Menadera programa zatite: definiu procese procene rizika, koji ukljuuju organe upravne i zahtevaju od njih da donesu konanu

odluku o prihvatanju nivoa preostalog rizika i nivoa neophodne zatite informacija, obezbeuju raspoloivost specijalista zatite za obuku i savetodavnu ulogu o potencijalnim ranjivostima

sistema i odgovarajuim kontrolama zatite.c. Specijalista za zatitu:1. definie i olakava realizaciju procesa procene rizika:(a) razvojem praktinih procedura i alata za analizu rizika,(b) araniranjem sesija za analizu rizika,(c) ukljuivanjem kljunog tehnikog personala i nosioca razvoja programa zatite, i(d) obezbeivanjem mehanizama za dokumentovanje konane odluke, i2. promoviu usvajanje politika i kontrola zatite, fokusirajui panju vie na specifine poslovne razloge za

uvoenje kontrola nego na generike zahteve.

Upravljanje sa poveanim rizicima koji prate visoko distribuirano kompjutersko okruenje, zahteva veucentralnu koordinaciju, ime se obezbeuje da ranjivosti u jednom delu sistema ne ugroze ceo IKT sistemorganizacije. Uspostavljanje centralnih tela za upravljanje sistemom zatite podataka i informacija u IKTsistemima, postao je obavezan princip upravljanja zatitom. Centralno telo za upravljanje zatitom slui kaotaka fokusa za koordinirane aktivnosti u okviru etiri preostala segmenta ciklusa upravljanja rizikom: procena

3


4/9

rizika i odreivanje potreba, nadzor i evaluacija, promovisanje svesti o potrebi zatite i obuka korisnika,implementacija odgovarajuih politika i kontrola zatite, nadzor i kontrola i evaluacija usklaenosti politike iefektivnosti kontrola zatite.

Osnovna aktivnost 5:Odreivanje radnog tima za izvravanje kljunih aktivnosti

Centralna grupa za zatitu slui kao:1. katalizator za obezbeivanje analize rizika u IKT sistemu u okviru planiranih i tekuih poslovaorganizacije,

2. centralni resurs za savetodavnu ulogu i ekspertska znanja za sve delove organizacije,3. savetnik organa uprave za odravanje informisanosti upravne strukture o svim pitanjima i aktivnostima

bezbednosti i zatite,4. pokreta efikasnosti i konzistentnosti u implementaciji programa zatite u IKT sistemu organizacije,

centralnim izvravanjem zadataka koji bi se inae morali izvravati ne-koordinirano u distribuiranimunutranjim jedinicama organizacije, i

5. jedinstven saradnik za sve unutranje jedinice organizacije i druge grupe, kao to su grupa za vanrednedogaaje ili CERT (CIRT) timovi.

Primeri tipinih aktivnosti koje izvravaju centralne grupe za zatitu podataka i informacija i IKT sistemu su: Razvoj i prilagoavanje politika i uputstava za zatitu u celoj organizaciji, ime se redukuje redundantnost

aktivnosti koje se odnose na definisanje i izradu politika zatite u sloenoj organizaciji; Obrazovanje zaposlenih i drugih korisnika o tekuim rizicima u IKT sistemima i pomaganje da konzistentno

shvate administriranje politika zatite (putem e-pote, web lokacije, pomoi preko telefona, pisanihinformacija-biltena, prezentacija i javnih strunih radova;

Iniciranje diskusija o rizicima u IKT sistemima sa organima upravljanja organizacije i sprovoenjedefinisanih procedura analize rizika;

Povremeni sastanci sa glavnim organima uprave radi upoznavanje i diskusije o bezbednosnim implikacijamakorienja novih IKT;

Istraivanje potencijalnih pretnji, ranjivosti i tehnikih kontrola zatite i prenoenje ovih informacija svimkorisnicima u organizaciji;

Korienje svih raspoloivih resursa (Interneta, strunih asopisa, profesionalnih udruenja, foruma zatiteCERT i CIRT timova i.t.d.) za praenje znanja o razvoju svih aspekata kompleksne oblasti zatite u IKT;

Nadzor sistema zatite, testiranjem kontrola zatite, praenjem i registrovanjem tipova i broja bezbednosnihincidenata i evaluacijom usklaenosti sa politikama zatite. esto su ove aktivnosti evaluacije servisneusluge unutranjim jedinicama organizacije;

Uspostavljanje kapaciteta za brzo reagovanje na kompjuterske incidente (CIRT, CERT tipa) i u odreenimsluajevima rade kao lanovi CERT tima;

Procena rizika i identifikovanje potrebnih politika i kontrola zatite za IKT sistem koji daje optu podrkuradu organizacije, kao to su WAN organizacije ili raunski centri, koji podravaju vie unutranjih jedinica.Na primer: centralna kontrola svih mrenih konekcija organizacije, obezbeivanje jedinstvenog sistema

jake autentifikacije korisnika, da bi se pristup resursima IKT sistema kontrolisao do nivoa individualnogkorisnika, jedinstvena kontrola zatite od napada sa Interneta i.t.d;

Kreiranje standardnog sistema jedinstvene klasifikacije podataka i odnosnih definicija da bi se olakala

zatita integrisanih (deljenih) podataka, koje dele dve ili vie unutranjih jedinica organizacije; Revizija i testiranje bezbednosnih karakteristika komercijalno razvijenog softvera i interno razvijenog

softvera pre uvoenja u proizvodni rad. Na primer: analiza svih novih Internet aplikacija i evaluacija nazadovoljavanje minimalnog nivoa standarda zatite, odobravanje svih novih aplikacija za uvoenje u rad saindikacijom da je rizik adekvatno razmatran;

Obezbeivanje alata za tekui nadzor sistema zatite u unutranjim jedinicama. Na primer: organizacija zafinansijske usluge obezbeuje unutranje jedinice sa softverskim alatima (AV programima i skenerimaranjivosti sistema) i kontrolnim listama (najnovijih malicioznih kodova), tako da mogu preuzeti odgovornostza identifikovanje i korekciju ranjivosti sistema, a ne da zavise od redovne kontrole kontrolora zatite injihove identifikacije problema.

Osnovna aktivnost 6:Obezbeivanje brzog i nezavisnog pristupa centralne radne grupe glavnim izvriocima odluka

Znaajno je da Glavni administrator zatite ima mogunost da raspravlja o svim pitanjima zatite sa glavnimizvriocima odluka. Takoe je vano da izvrioci odluka mogu delovati i menjati stanje u svim delovima

4


5/9

organizacije. Ovo je znaajno zato to su takve odluke i aktivnosti esto u suprotnosti sa eljama biznismenadera i projektanta sistema koji nastoje da brzo implementiraju nove kompjuterske aplikacije i izbegnukontrole zatite, koje mogu smanjiti efikasnost, korisniku pogodnost i konfor za rad.Iako poloaj centralne grupe za zatitu varira u razliitim organizacijama, veina se nalazi u organizacionojstrukturi na dva nivoa ispod Glavnog slubenika za bezbednost informacija organizacije (CIO-Chief InformationOfficer) ili Savetnika za zatitu, kojeg direktno izvetava. U dravnim organizacijama esto je centralna grupa za

zatitu na niskom organizacionom nivou, pa je u teoj poziciji da direktno diskutuju o bezbednosnim pitanjimasa glavnim donosiocima odluka. Zato sloene dravne organizacije (kao ministarstva) formiraju Komitete zabezbednost i zatitu na nivou glavnih organa upravljanja, ime se obezbeuje odgovarajua panja svim

pitanjima primene IKT i zatiti u IKT sistemima.

Osnovna aktivnost 7:Obezbeivanje namenskog osoblja i finansiranjaCentralne grupe za zatitu u poslovnim organizacijama najee imaju namenski budet, koji im omoguava

planiranje programa zatite IKT sistema u organizaciji. Minimalno ovaj budet obuhvata zarade i obukuzaposlenih u centralnoj grupi za zatitu i akviziciju hardvera i softvera za zatitu. Zavisno od podrkeorganizacije, obuenosti, osposobljenosti i tehnikih znanja, centralne grupe za zatitu variraju po brojuzaposlenih najmanje od 3 pa na vie i u toj meri vie se oslanjaju na sopstvene resurse za nadzor i evaluacijusistema zatite.

Zajedniko za sve centralne grupe za zatitu su:1. jasno definisane odgovornosti u sistemu zatite, i2. odreivanje kompetentnog osoblja za izvravanje ovih odgovornosti.

Osnovna aktivnost 8:Unapreivanje tehnike obuenosti i profesionalnog odnosa lanova centralne radne grupeSve organizacije treba da nastoje da obezbede kompetentne i osposobljene kadrove koji se redovno usavravajuu znanjima i sposobnostima iz oblasti tehnologija zatite, analize i procene pretnji, ranjivosti sistema i alata zamonitoring sistema zatite. Ovim se poveava poverenje, ugled i kompetentnost organizacije kod partnera.Posebno je znaajno obezbediti kadrove koji su sertifikovani specijalisti za zatitu u IKT.Meutim, vano je edukovati i sistem administratore iz oblasti zatite, poto obavljaju dnevne posloveoperativnog upravljanja IKT sistemom i sistemom zatite i izvravanja dnevnih funkcija zatite, kao to jekreiranje novog sistema korisnikih naloga, novih pasvorda i implementacija novog softvera. Sistem

administratori su prva linija odbrane od upada u sistem i generalno u najboljoj su poziciji da uoe neobineaktivnosti koje mogu indicirati neki upad ili drugi bezbednosni incident. Poslovi zatite ne mogu biti sporednedunosti, koje obavljaju nedovoljno osposobljena lica. U tom smislu sistem administratore treba dodatnoobuavati iz oblasti zatite na odgovarajuim kursevima da se obue na minimalnom nivou neophodnom zadnevni nadzor sistema zatite.U Centru za zatitu RZI treba okupiti najsposobnije kadrove iz oblasti zatite, koji imaju obavezu da preduzmu

potrebne mere za redovnu dodatnu obuku iz oblasti zatite svih zaposlenih sistem administratora u IS DO, LS iJS Republike Srbije.

3. IMPLEMENTACIJA ODGOVARAJUIH POLITIKA I KONTROLA ZATITE

Osnovna aktivnost 9:Povezivanje politike zatite sa faktorima rizika

Vano je definisati aurne politike zatite koje imaju smisao za korisnike, koji treba da ih razumeju. Razvojsveobuhvatnog seta politika zatite na svim nivoima treba da bude prvi korak u uspostavljanju programa zatite uorganizaciji. Vano je neprekidno prilagoavati politike zatite prema novim faktorima rizika i promenamaokruenja i tehnologija.Ponaanje korisnika je relativno nova oblast rizika, koja zasluuje posebnu panju. Veina politika zatite se, uizvesnoj meri implementira i namee sa tehnikim kontrolama, kao to je logika kontrola pristupa koja spreava

pojedine korisnike da procesiraju podatke na neovlaen nain. Meutim, mnogi faktori rizika ne mogu seotkloniti tehnikim kontrolama, zato to nastaju kao posledica ponaanja korisnika. U mrenom okruenju ovajse rizik uveava, jer problem u jednom raunaru moe pogoditi celu mreu, a korisnici imaju laki pristupvelikom broju podataka i mogunost brze komunikacije sa velikim brojem uesnika. Zato se uvode ogranienjaza ponaanje korisnika, dodeljivanjem korisnikih naloga i autorizacijom prava za pristup i izvravanjeaktivnosti u IKT sistemu.

Osnovna aktivnost 10:Definisanje razlika izmeu politika i uputstava (guidelines)

5


6/9

Uobiajena tehnika da se politika zatite organizacije uini mnogo korisnijom i pogodnijom za primenu, jepodela na dva ira segmenta: konciznu politiku na visokom nivou i detaljnije informacije date u uputstvu ilistandardu. Politika generalno obuhvata fundamentalne zahteve koje najvii menaderi smatraju imperativnim, auputstvo obezbeuje detaljne procedure za implementaciju politike zatite. Uputstva se ne smatraju obaveznimza sve unutranje organizacione jedinice, iako se podstie njihovo korienje.Pravljenje razlike izmeu politike organizacije i uputstava ima nekoliko prednosti. Politika omoguava organima

uprave da naglase najvanije elemente politike zatite, obezbeujui odreenu fleksibilnost da organi upravelake izrade politiku zatite i uini je konciznijom i razumljivijom za zaposlene. Detaljna uputstva daju odgovorena vie pitanja i esto se koriste kao sredstvo za obuku zaposlenih u zatiti. Dobra praksa je izraditi politikuzatite na jednoj stranici, a u Uputstvu detaljno razraditi definicije, preporuene smernice i procedure zatite,objanjenja i pitanja za testiranje usklaenosti kontrola zatite sa politikom zatite i kako treba da budeimplementirana. U nekim organizacijama Uputstvo se naziva standardom (internim) i u svakom sluaju izraujese fleksibilno u skladu sa bezbednosnim potrebama svake organizacije. Odstupanja od standarda treba da odobriorgan uprave i rukovodilac centralne grupe za zatitu.

Osnovna aktivnost 11:Podravanje politike kroz rad centralne radne grupe za zatituGeneralno centralna grupa za upravljanje zatitom odgovorna je za izradu i razvoj pisane politike zatite nanivou organizacije u saradnji sa upravnom strukturom, organom interne kontrole i pravnikom organizacije.

Organi uprave svoju podrku politici zatite uglavnom daju kroz reviziju nacrta politike koju izradi centralnagrupa za upravljanje zatitom i koja odgovara na sva pitanja korisnika. Velike organizacije mogu formiratiKomitete za izradu politike zatite, sastavljene od organa uprave, pravnika, kontrolora i specijalista zatite.Mnoge organizacije svoje politike zatite stavljaju na server RM organizacije, auriraju i ine je dostupnom svimkorisnicima. U nekim sluajevim zahteva se potpis svih korisnika i zaposlenih da su razumeli i da e sprovoditi

politiku zatite. Generalno ta se potpisana izjava zahteva od novih korisnika koji prvi put pristupaju IKT sistemuorganizacije. Ovaj potpis slui i da ostvari utisak na korisnike o ozbiljnosti i reenosti organizacije daimplementira definisanu politiku zatite. Ako se kasnije korisnik upusti u zloupotrebu IKT sistema, izjava sluikao dokaz da je korisnik bio informisan o politici zatite.

Pripremne aktivnosti za implementaciju odgovarajue politike zatite i odnosnih kontrola zatite obuhvatajusledea angaovanja:a. Menadera za program zatite: revizija postojeih politika i pomo u razvoju novih politika, sa ciljem da se

osigura da politike obuhvataju tekui poslovni rizik i odnosne potrebe za zatitom informacija i IKT sistema.b. Savetnik za zatitu (CIO): pripisuje odgovornosti centralnoj grupi za zatitu za koordinaciju razvoja pisane

politike zatite koja obuhvata tekui rizik. Odreuje procedure za periodino auriranje politika.c. ef centralne grupe za zatitu: dokumentuje jasno politike zatite tako da su lako razumljive za upravnustrukturu i korisnike. Analizira i revidira postojee politike da identifikuje potrebu za razlikovanjem izmeu

politika i uputstava.

4. RAZVOJ SVESTI O POTREBI ZATITE I OBUKA

Korisnika svest o potrebi zatite je bitna za uspenu implementaciju politika zatite i da osigura daimplementirane kontrole rade propisno. Ne moe se oekivati da se kompjuterski korisnici i drugi koji pristupajuresursima IKT sistema, usklauju sa politikama zatite koje ne razumeju, ili o kojima nemaju nikakva saznanja.Slino, ako nisu svesni rizika koji preti IKT resursima organizacije, ne mogu shvatiti potrebu za politikom i

kontrolama zatite koje treba da redukuju taj rizik na prihvatljivi nivo. Zato je promovisanje svesti o potrebizatite bitan elemenat ciklusa upravljanja rizikom.

Osnovna aktivnost 12:Neprekidna obuka korisnika i drugih uesnika o faktorima rizika i odgovarajuim politikamaCentar za zatitu implementira tekuu strategiju o podizanju svesti o potrebi zatite i obrazovanju svih

pojedinaca koji mogu uticati na bezbednost informacija u organizaciji. Ovi pojedinci su primarno kompjuterskikorisnici, koji mogu biti zaposleni ukljuujui lica za fiziko obezbeenje organizacije, zatim, klijenti, partnerikao i snabdevai. Obuka se uglavnom fokusira na razumevanje politike zatite i potrebe usklaenosti prakse sa

politikom zatite, ali je znaajno poveati razumevanje korisnika o rizicima i posledicama za procese radaorganizacije. Korisnici sa boljim razumevanjem faktora rizika, bre procenjuju potencijalne incidente, bre nanjih reaguju i ree sluajno otkrivaju informacije i pasvorde.

Osnovna aktivnost 13:Upotreba tehnika prikladnih za korisnike

6


7/9

Centar za zatitu koristi niz razliitih tehnika da uini politiku zatite lako dostupnom, obui korisnike o politici iodrava svest korisnika o potrebi zatite. Ove tehnike ukljuuju: intranet web sajt koji prenosi i objanjava politike zatite, standarde, procedure, upozorenja i specijalne note,

video prezentacije sa entuzijazmom upravne strukture za razvoj i implementaciju programa zatite u skladusa politikama zatite sa osnovnim uputstvima kao to su znaaj bekapovanja datoteka i zatite pasvorda,

interaktivne prezentacije sa specijalistima za zatitu razliitim grupama korisnika za promovisanje uslugakoje centar za zatitu prua i davanje odgovora na pitanja o zatiti,

organizovanje dana zatite i slogana zatite u organizaciji, radi promovisanja svesti o potrebi zatite, i

uiniti brigu o zatiti dnevnom obavezom svih zaposlenih u organizaciji, umesto jednokratnih brifinga ozatiti jednom godinje i sl. kako se radi u mnogim dravnim organizacijama.

Poetne aktivnosti u promovisanju svesti o potrebi zatite obuhvataju:a. Odgovorno lice za program zatite: demonstrira podrku uestvovanjem u promociji svesti o potrebi zatite.b. Savetnik za zatitu: obezbeuje adekvatno finansiranje i podrku da adekvatno promovie razvoj svesti o

potrebi zatite u organizaciji.c. ef Centra za zatitu: Implementira tekuu strategiju za podizanje svesti o potrebi zatite da obrazuje sve

pojedince koji mogu uticati na bezbednost informacija u organizaciji.

5. NADZOR I EVALUACIJA POLITIKE I EFEKTIVNOSTI KONTROLA ZATITE

Kao i svaki tip poslovne aktivnosti, sistem zatite mora biti pod stalnim nadzorom i periodino procenjivan, da bise osiguralo da su politike zatite stalno odgovarajue i da kontrole izvravaju namenjene funkcije. Vremenom

politike zatite i procedure mogu postati neadekvatne zbog promena pretnji, operativnih uslova, tehnologijazatite, ili pogoravanje stepena usklaenosti politike i prakse zatite. Periodina procena sistema zatite iliizvetavanje o aktivnostima u zatiti ima za cilj da identifikuje oblasti neusaglaenosti, podseti zaposlene nanjihove odgovornosti i demonstrira angaovanost uprave u realizaciji programa zatite.

Nadzor efektivnosti i usaglaenosti kontrola sistema zatite kljuni je korak u upravljanju zatitom. Zaneprekidan nadzor sistema zatite koriste se softverski programi - Upravljake konzole, koje automatski mereaktivnosti i efektivnost kontrola zatite.

Osnovna aktivnost 14:Nadzor i kontrola faktora koji utiu na rizik i indiciraju efektivnost zatite

Organizacije usmeravaju aktivnosti nadzora primarno na:1. odreivanje efektivnosti programa zatite za ublaavanje rizika, i2. evaluaciju efektivnosti programa zatite u procesu prenosa politike na podizanje svesti o potrebi zatite

i redukovanje incidenata.Ove aktivnosti ukljuuju testiranje kontrola, nadzor usaglaenosti sa politikama zatite, analizu kompjuterskihincidenata i odgovornost za izvravanje procedura i druge indikatore koji ukazuju na efektivnost napora za

promovisanje svesti o potrebi zatite.Direktno testiranje efektivnosti kontrola zatite najefikasniji je nain da se odredi da li tehnike redukcije rizikarade efektivno. Kontrole obino testiraju kontrolori zatite (auditors), a u tom smislu Centar za zatitu registrujeu zatitnu log datoteku sve nalaze kontrolora koji se odnose na zatitu IKT sistema i progres organizacije uimplementaciji korektivnih aktivnosti.Centri za zatitu mogu izvriti testove ranjivosti sistema (skeniranje IKT sistema na ranjivosti), preduzetikorektivne mere, a zatim izvriti novo skeniranje nakon mesec dana, ime se utvruje efektivnost preduzetihmera. Druga mera testiranja je ispitivanje sistema na proboj korienjem najnovijih hakerskih tehnika. Ovo setestiranje esto naziva tehnika penetracije, a obezbeuje da se identifikuju nepoznate ranjivosti sistema, koje sezatim eliminiu ili redukuju rekonfiguracijom sistema.U okviru plana za vanredne dogaaje treba jedanput godinje kroz vebu testirati sistem radi provere i korekcije

plana ranjivosti sistema (npr. simulirati da je podmetnuta bomba u centru IKT sistema).Svaka organizacija nadzire usaglaenost prakse i politika zatite u nekoj meri. Najvei deo informacija

prikupljenih u procesu nadzora dolazi u Centar za zatitu od sistema administratora, administratora zatite idrugih u organizacionim jedinicama. Mera kontrole usaglaenosti je i provera da li su unutranje jedinice sainilesvoje politike zatite u skladu sa politikom zatite na nivou cele organizacije. Mogue je iskoristiti ili iznajmitisoftverske alate za samo-procenu usaglaenosti (Computer Security Compliance Test) za uporeivanje programazatite organizacije sa prethodno uspostavljenim kriterijumima.Registrovanje stvarnih kompjuterskih incidenata je jedan nain da neka organizacija meri frekvenciju razliitih

tipova povreda sistema (napadi virusima, Trojancima, i dr.), kao i tete nanete tim incidentima. Ovaj registarincidenata je neprocenjiv resurs za analizu rizika i donoenje odluka o finansiranju sistema zatite. Dobro jerazviti sopstvenu bazu podataka incidenata i automatizovati analizu frekvencije napada i nastale tete. Baza

7


8/9

incidenata registruje sve incidente koji su prijavljeni po utvrenim tipovima (oko 13, koji generalno predstavljajunegativnu varijantu povrede sistema, na primer odbijanje izvravanja servisa (DoS), povredu autorskih prava,zloupotrebu kartica za plaanje i.t.d.), vreme dogaaja, akcije koje su preduzete za reavanje svakog incidenta,ukljuujui disciplinske mere za napadae iznutra IKT sistema.

Na osnovu ovog registra Centar za zatitu vri mesene analize i izvetava o frekvenciji i trendu incidenata istatusu napora za razreavanje. Ovim Centar za zatitu obezbeuje sredstva za:

1. identifikaciju problema koji se javljaju u sistemu,2. procenu efektivnosti tekue politike zatite i nivoa svesti o potrebi zatite,3. odreivanje potrebe za dodatnu obuku ili obezbeivanje dodatnih kontrola zatite u identifikovanim

zonama, i4. nadzor statusa istranih i disciplinskih aktivnosti, da se obezbedi da ni jedna individualna incidentna

aktivnost nije ostala nekanjena i da je konzistentno razreena.Nadzor efektivnosti Centra za zatitu ostvaruje se merenjem aktivnosti Centra, rezultata rada i strunosti kaoosnovnih indikatora efektivnosti, ka to su: broj poziva od korisnika, koji indicira znanje i uvaavanje specijalista zatite,

broj asova i vreme trajanja nastave, obuka i davanja saveta iz oblasti zatite,

broj izvrenih analiza rizika,

broj sertifikovanih menadera i specijalista zatite, i

broj odranih kurseva, konferencija, okruglih stolova, simpozijuma i sl.

Glavni problemi u ovom merenju su tekoe odreivanja:1. ukupne cene kontrola zatite, zbog tekoe odreivanja trokova implementacije i odravanja,2. ukupne cene incidenata ili nastalih problema, zbog neadekvatnih kontrola, i3. precizne kvantitativne ocene redukcije rizika, zbog nedovoljnog broja podataka.

Osnovna aktivnost 15:Korienje rezultata evaluacije za usmeravanje narednih aktivnosti i uspostavljanje odgovornosti organaupraveIako stalan nadzor sistema zatite sam po sebi moe podstai usklaivanje prakse sa politikom zatite, punaiskoristivost procesa nadzora ne moe se postii sve dok se ne iskoriste rezultati nadzora za poboljanje

programa zatite. Analiza rezultata nadzora sistema zatite obezbeuje specijalistima zatite i organima upravesredstva za:

1. ponovnu procenu identifikovanih faktora rizika,2. identifikaciju novih kritinih zona u sistemu,3. ponovnu procenu adekvatnosti postojeih kontrola zatite i bezbednosno relevantnih aktivnosti,4. identifikovanje potrebe za novim kontrolama zatite,5. preusmeravanje ciljeva nadzora sistema zatite, i6. odravanje odgovornosti organa uprave za bezbednost i zatitu IKT sistema.

Merenje efektivnosti kontrola zatite i svesti organa uprave o potrebi zatite vri se alatima koji evaluirajubezbednosne aspekte rada. Kada se otkriju slabosti u sistemu organi uprave treba da poboljaju usaglaenost sapostojeom politikom zatite ili konsultuje Centar za zatitu za mogunost implementacije nove politike ili novihkontrola zatite.Rangiranje rezultata nalaza kontrolora zatite slui kao nezavisna mera efektivnosti kontrola zatite. Pre poetkakontrole, kontrolori pitaju odgovorne organe uprave kakve su politike, korektivne aktivnosti i kontrole zatiteimplementirane. Po kompletiranju kontrole kontrolor poredi nalaze kontrole sa planovima i izjavama organauprave i meri u kojoj meri su organi uprave svesni o slabostima sistema pre kontrole.Kontrolori izrauju dve rang liste sa teinskim faktorima od 1-5:

1. lista za indikaciju efektivnosti kontrola sistema zatite, i2. lista za indikaciju nivoa svesti organa uprave (ako kontrolor otkrije prethodno ne-uoenu ranjivost,

rejting e biti 1, a ako se kontrole moraju ojaati rejting treba da bude i dalje visok).Rang liste se dostavljaju Centru za zatitu, Savetniku za zatitu i bordu direktora, gde se koriste za merenjeizvravanja rada. Finansijske institucije treba da imaju na obe rang liste prosene teinske faktore 4 ili 5. Ovajsistem rangiranja slui i za dodeljivanje primarne odgovornosti za sistem zatite organu uprave ije operacijezavise od njega (sistema rangiranja). Sistem dalje prepoznaje znaaj identifikovanih ranjivosti i faktora rizikakoje one donose, ak i kada ne mogu biti potpuno uklonjeni.

Osnovna aktivnost 16:

Odravanje spremnosti za uvoenje novih tehnika i alata za nadzor sistema zatite

8


9/9

Organizacije na predlog Centra za zatitu treba da prate razvoj softverskih alata i tehnologija za nadzor ranjivostimree i predloe uvoenje u praksu zatite. U tom smislu organi uprave treba da obezbede resurse da toobezbede.Poetne aktivnostiprocesa nadzora i evaluacije efektivnosti politika i kontrola zatite obuhvataju:a. Menadera programa zatite: odreuje koji su aspekti zatite vani za misiju sistema i identifikuje kljuneindikatore za monitorisanje efektivnosti odnosnih kontrola zatite.

b. Savetnika za zatitu: ukljuuje bezbednosne mere u toku razvija IKT sistema.c. Glavnog administratora zatite: Uspostavlja sistem izvetavanja za raunanje broja i tipa incidenata iodnosnih trokova. Uspostavlja program za testiranje i evaluaciju kljunih zona i indikatore efektivnosti sistemazatite. Razvija mehanizam za izradu izvetaja o rezultatima evaluacije sistema zatite za glavnu menaderskustrukturu i druge koji mogu preduzeti aktivnosti za reavanje problema. Postaje aktivna uesnik u profesionalnimasocijacijama i grupama za razvoj alata za nadzor sistema zatite.

9

Documents

2. Procedura Upravljanja Rizikom