Primjer sigurnosne politike

Sigurnost informacijskih sustava danas vrlo bitan element poslovanja mnogih kompanija, važno je unaprijed osmisliti na koji način se sustav planira zaštititi od potencijalnih prijetnji. Temeljitim proučavanjem sustava od strane kvalificiranih i stručnih osoba procjenjuju se rizici i otkrivaju prijetnje sustavu. Nakon procijene sigurnosti sustava treba definirati sigurnosnu politiku u kojoj je potrebno detaljno opisati što sve treba zaštititi kako bi sustav imao željenu razinu sigurnosti.

Sigurnosna politika može se definirati na dva načina. Prvi način je kopiranje već postojeće sigurnosne politike, tj. implementiranje jedne od normi. Ovaj način prikladan je za kompanije koje nemaju dostatna sredstva za detaljnu sigurnosnu politiku niti imaju za njom potrebu. Po potrebi je moguće iz odabrane norme izbaciti pojedine dijelove politike ili kombiniranjem dviju ili više normi osmisliti potrebnu sigurnosnu politiku.

Drugi način definiranja sigurnosne politike je detaljno proučavanje informacijskog sustava, uočavanje njegovih potencijalnih mjesta napada, te odlučivanje o tome kako će se ona zaštiti uz testiranje cjelokupne sigurnosti sustava. Ovako definirana sigurnosna politika pruža puno veću sigurnost, ali zbog toga ima i puno veću cijenu. Pri definiranju sigurnosne politike na ovakav način, svakom informacijskom sustavu pristupa se individualno, angažiranjem velikog broja stručnjaka i ulaganjem velikih sredstava ne samo u njeno definiranje, već i u implementaciju, održavanje i provođenje. Iako početna velika ulaganja mnoge odvraća, ovako definirana sigurnosna politika osigurava kompanijama nesmetano poslovanje i visok stupanj sigurnosti što je dugoročno gledano svakako isplativa investicija.

Primjer sigurnosne politike definiran u ovom diplomskom radu odnositi će se na zavod za elektroniku, mikroelektroniku, računalne i inteligentne sustave (u nastavku ZEMRIS). Sigurnosna politika biti će definirana prema normi ISO/IEC 17799:2005 uz konzultacije sa sigurnosnim stručnjacima fakulteta o dodatnim kontrolama.

Trenutno najpoznatiji standard za sigurnost, ISO/IEC 17799, jedan je od mnogih dokumenata na kojemu se može temeljiti razvoj sigurnosne politike.

ISO/IEC 17799:2005 sastoji se od sljedećih 11 domena:

• 1) Sigurnosna politika
• 2) Organiziranje informacijske sigurnosti
• 3) Upravljanje imovinom
• 4) Sigurnost i ljudski resursi
• 5) Fizička zaštita i zaštita od okoline
• 6) Upravljanje komunikacijama i operacijama
• 7) Kontrola pristupa
• 8) Obogaćivanje, razvoj i održavanje informacijskog sustava
• 9) Upravljanje incidentima informacijskog sustava
• 10) Upravljanje poslovnim kontinuitetom
• 11) Usklađivanje

Svaka od navedenih domena sadrži popis smjernica, pravila i definicija s naglaskom na to što treba napraviti, odnosno zanemaruje način kako navedene kontrole implementirati. Upravo iz ovog razloga standard 17799 pogodan je za temelj pisanja sigurnosne politike stoga će u nastavku biti detaljnije obrađen.