Organizacija informacijske sigurnosti

Stav rukovoditelja

Rukovoditelji moraju aktivno podupirati provedbu sigurnosne politike svojim čvrstim stavom u pogledu sigurnosti, dajući potporu svim potrebnim zahtjevima za uspostavu sigurnosti te strogo kažnjavajući one koji je se ne pridržavaju.

Odgovornosti rukovoditelja sigurnosti:

  • osigurati jasne ciljeve sigurnosti informacija koji podupiru potrebe organizacije i integrirani su u relevantne procese,
  • formulirati i provjeravati sigurnosnu politiku,
  • provjeravati efikasnost implementirane politike,
  • osigurati podršku za sigurnosne inicijative,
  • osigurati resurse koje iziskuje informacijska sigurnost,
  • odobriti određivanje specifičnih uloga i odgovornosti za informacijsku sigurnost unutar organizacije,
  • osigurati implementaciju sigurnosnih kontrola u skladu s organizacijom,
  • odrediti postoji li potreba za savjetodavnim stručnjakom informacijske sigurnosti.

Koordinacija informacijske sigurnosti

U velikim organizacijama može se formirati tim za koordinaciju – predstavnici svih relevantnih dijelova organizacije, radi koordiniranja u sustavu sigurnosti informacija.

Takav tim:

  • dogovara specifične uloge i odgovornosti za sigurnost informacija cijele organizacije,
  • dogovara metode i procese vezane za sigurnost informacija, na primjer za upravljanje rizikom, klasifikaciju informacija,
  • koordinira i podržava inicijative vezane uz sigurnost informacija,
  • osigurava da je sigurnost dio procesa planiranja i razvoja,
  • procjenjuje valjanost sigurnosnih kontrola i koordinira uvođenje kontrola u novim sustavima i servisima,
  • pregledava izvješća o sigurnosnim incidentima,
  • promovira potporu sustavu sigurnosti informacija kroz cijelu organizaciju.

Dodjela odgovornosti za sigurnost informacija

Cilj – sve odgovornosti informacijske sigurnosti moraju biti jasno određene.

Podjela odgovornosti mora biti učinjena u skladu s politikom sigurnosti. Odgovornosti za zaštitu pojedinih vrijednosti i za izvršavanje pojedinih sigurnosnih procesa trebaju biti jasno definirane i dokumentirane. Politika sigurnosti treba pružiti smjernice za dodjelu sigurnosnih uloga i odgovornosti u organizaciji. Treba jasno definirati lokalne odgovornosti za pojedinačne dijelove fizičke i informacijske imovine, te za sigurnosne procese.

Vlasnici informacijske imovine mogu prenositi svoje sigurnosne odgovornosti na pojedinačne članove. Vlasnik ima konačnu odgovornost za sigurnost imovine, te mora biti u stanju odrediti da li se raspodijeljene odgovornosti pravilno provode.

Važno je jasno definirati područja odgovornosti, a naročito se mora poduzeti sljedeće:

  • identificirati i jasno definirati dijelove imovine i sigurnosnih procesa pridruženih svakom pojedinom sustavu,
  • dogovoriti tko je odgovoran za pojedini dio imovine ili sigurnosni proces, te dokumentirati pojedinosti dogovora,
  • definirati i dokumentirati razine ovlasti.

Proces autorizacije

Cilj – proces autorizacije novih situacija (objekata) mora biti definiran i izvediv.

Sljedeće smjernice potrebno je uzeti u obzir prilikom procesa autorizacije:

  • novi organizacijski dijelovi moraju imati odgovarajuće odobrenje, kojim se autorizira njihova namjena i korištenje,
  • po potrebi treba provesti pregled hardvera i softvera kako bi se osigurala kompatibilnost sa ostalim komponentama sustava,
  • korištenje osobnih sredstava kao što je prijenosno računalo ili ručno računalo treba biti sigurnosno procijenjeno i odobreno.

Ugovor o povjerenju

Potreba za ugovorom o povjerenju odražava stav organizacije prema zaštiti vrijednosti koje posjeduje na način da svaki pristup vrijednostima bilježi i dokumentira. Ugovori o povjerenju imaju svrhu da na temelju zakona zaštite vrijednosti od kopiranja, uništavanja, zamjene i svih ostalih neželjenih radnji do strane zaposlenika, partnera ili treće strane.

Ugovor o povjerenju treba sadržavati:

  • što treba zaštititi,
  • očekivano trajanje ugovora,
  • koje je akcije potrebno poduzeti prilikom raskida ugovora,
  • odgovornosti i akcije odgovornih kako bi se spriječilo neovlašteno širenje informacija,
  • koja prava imaju ovlašteni pri uporabi informacija,
  • prava provjere, kontrole i nadgledanja pri uporabi osjetljivih informacija,
  • procese za obavještavanje i prijavu neovlaštenog širenja informacija ili otkrivanje povjerljivih informacija,
  • popis informacija koje moraju biti uništene, promijenjene ili vraćena pri prekidu ugovora,
  • akcije koje je potrebno poduzeti ukoliko dođe do nepoštivanja ugovora.

Savjeti stručnjaka za informacijsku sigurnost

Stručnjaci za sigurnost imaju zadaću pružanja usluge informiranja i savjetovanja o svim aspektima sigurnosti, koristeći bilo vlastite bilo vanjske savjete. Kvaliteta njihovih procjena prijetnji i savjetovanja o sigurnosnim kontrolama može određivati učinkovitost sigurnosti informacijskog sustava. Stručnjake za sigurnost treba obavijestiti o sigurnosnim incidentima u što kraćem roku.

Suradnja s drugim organizacijama

Potrebno je održavati kontakte s organizacijama koje se bave sigurnošću, zakonodavnim i koordinativnim tijelima, pružateljima informacijskih usluga te razmotriti mogućnost članstva u sigurnosnim grupama i forumima kako bi se osiguralo da se u slučaju incidenta brzo mogu poduzeti prikladne akcije i pribaviti potrebna pomoć.

Suradnja s drugim organizacijama trebala bi:

  • unaprijediti znanje o sigurnosti i biti u toku s važnim sigurnosnim informacijama,
  • osigurati da je znanje o informacijskoj sigurnosti kompletno,
  • omogućiti rano otkrivanje mogućnosti ranjivosti sustava kako bi se implementirale potrebne zakrpe,
  • osigurati savjete specijalista za pojedine segmente sigurnosti,
  • dijeliti i razmjenjivati informacije o novim tehnologijama, proizvodima, prijetnjama i ranjivostima.

Razmjena sigurnosnih informacija treba biti ograničena kako bi se osiguralo da povjerljive organizacijske informacije nisu proslijeđene neovlaštenim osobama.

Provjera sigurnosti sustava

Dokument sigurnosne politike oblikuje politiku i odgovornosti za sigurnost. Njenu implementaciju treba provjeravati, kako bi se osiguralo da praksa u organizaciji pravilno odražava politiku sigurnosti, te da je ona izvediva i fleksibilna.

Takvu provjeru može obaviti unutarnja nadzorna funkcija, neovisni menadžer ili vanjska organizacija koja je specijalizirana za takve preglede i čiji članovi posjeduju potrebne vještine i iskustva.

Sigurnost pristupa treće strane

Cilj – održati potrebnu razinu sigurnosti organizacijskih jedinica gdje se izvodi obrada podataka kao i organizacijskih vrijednosti do kojih pristup imaju treće strane.

Identifikacija rizika kod pristupa treće strane

Prije dodjele prava pristupa trećoj strani potrebno je provesti identifikaciju rizika, odrediti njegovu veličinu i prema dobivenim rezultatima implementirati sigurnosne kontrole.

Pri identifikaciji rizika kod pristupa treće strane treba:

  • odrediti kojim organizacijskim jedinicama treće strane pristupaju,
  • odrediti tip pristupa treće strane:
    • fizički pristup – pristup uredima, prostorijama s računalnom opremom, ormarima za pohranu,
    • logički pristup – pristup bazama podataka organizacije,
    • pristup mreži organizacije – umrežavanje organizacije i treće strane.
  • odrediti vrijednost i osjetljivost informacijama kojima pristupa treća strana,
  • definirati sigurnosne kontrole koje je neophodno implementirati za zaštitu vrijednosti kojima treća strana nema pravo pristupa,
  • poimence definirati tko ima i koju razinu prava pristupa, te odluke pismeno dokumentirati,
  • odrediti na koji način identificirati osobu i na koji način provesti autorizaciju,
  • definirati kako regulirati odnose ukoliko organizacija nije u mogućnosti pružiti pristup informacijama, te koliko takva situacija šteti trećoj strani,
  • uzeti u obzir zakonske i ugovorne okvire.

Pravo pristupa trećoj strani ne smije biti dozvoljena dok se ne implementiraju i provjere sve sigurnosne kontrole nužne za sigurnost sustava, te dok se ne dokumentiraju i potpišu ugovori koji obje strane potiču na pridržavanje sigurnosnih mjera.

Zahtjevi sigurnosti u ugovorima s trećom stranom

Dogovori koji uključuju pristup treće strane organizacijskim jedinicama za obradu informacija trebaju se temeljiti na formalnom ugovoru koji sadrži, ili se referencira na sve zahtjeve sigurnosti kako bi se osigurala uskladivost sa politikom sigurnosti i standardima. Ugovorima treba osigurati da ne dođe do nesporazuma između organizacije i treće strane.

U ugovore bi trebalo uključite sljedeće:

  • sigurnosnu politiku,
  • zaštitu imovine, uključujući:
    • procedure za zaštitu organizacijske imovine, uključujući informacije i softver,
    • procedure za određivanje da li je neki dio imovine izgubljen ili izmijenjen;
    • kontrole za osiguravanje povrata ili uništavanje informacija i imovine na kraju ugovornog odnosa ili u dogovoreno vrijeme,
    • integritet i dostupnost,
    • ograničenja na kopiranje i otkrivanje informacija.
  • opis svakog servisa koji će se učiniti dostupnim,
  • ciljana razina usluga i neželjena razina usluga,
  • odgovarajuće obveze ugovornih strana,
  • odgovornosti usklađene sa pravnim zahtjevima,
  • određivanje prava na intelektualno vlasništvo i prava kopiranja, te zaštita zajedničkog rada,
  • sporazume o kontroli pristupa, uključujući:
    • dopuštene metode pristupa, te kontrolu i korištenje jedinstvenih identifikatora,
    • proces autorizacije za dodjelu prava pristupa,
    • zahtjev za održavanje popisa ovlaštenih osoba.
  • pravo na praćenje korisničkih aktivnosti,
  • pravo na nadzor ugovornih odgovornosti,
  • odgovornost glede instalacije i održavanja hardvera,
  • jasnu strukturu izvješćivanja i oblik izvješćivanja,
  • jasan i određen proces upravljanja promjenama,
  • izobrazba korisnika i administratora o metodama, procedurama i sigurnosti,
  • kontrolne mehanizme za osiguranje zaštite od malicioznog softvera.

Primjena norme u sigurnosnoj politici

Organizacija informacijske sigurnosti dio je standarda namijenjen prvenstveno administratoru sustava. Koordinacija sigurnosti, autorizacija, ugovori o povjerenju sigurnosne su kontrole o kojima moraju brinuti osobe odgovorne za sigurnost sustava.

Pristup informacijskom sustavu ZEMRIS imaju mnogi. Broj korisnika sustava svakodnevno se mijenja i velik je broj korisnika kojima se oduzima pravo pristupa odnosno kojima se pristup sustavu dozvoljava. Zbog toga je vrlo važno kvalitetno organizirati način dodjeljivanja načina pristupa i ukidanja istih prava. Nerijetki je scenarij da korisnici kojima je formalno ukinuto pravo pristupa sustavu zbog sporosti ili propusta u provedbi i dalje mogu koristiti sustav što je „plodno tlo“ za obavljanje zlonamjernih radnji.

Kako bi se spriječili navedeni propusti potrebno je odrediti procedure prilikom dodjeljivanja prava pristupa informacijskom sustavu ZEMRIS.

Prijedlog otvaranja korisničkog računa: pravo pristupa informacijskom sustavu ZEMRIS dodjeljuje se:

  • novom zaposleniku,
  • studentu,
  • trećoj strani.

Zaposlenicima se korisnički račun otvara na taj način da tajnica zavoda sakupi podatke o novom zaposleniku, te podatke proslijedi administratoru sustava. Studentima se automatski prilikom upisa studija otvara korisnički račun za otvaranje korisničkog računa trećoj strani potrebna je suglasnost odgovorne osobe. Odgovorna osoba je glavna i odgovorna osoba u suradnji s trećom stranom, i kao takva ima prava davanja suglasnosti za otvaranje korisničkih računa prilikom otvaranja korisničkog računa trećoj stranici potrebno je odrediti vremenski period aktivnosti računa, tj. kada postaje nevažeći.

Prijedlog zatvaranja korisničkog računa:

  • ukoliko korisnik prestane biti zaposlenik zavoda, tajnica zavoda je dužna obavijestiti administratora da je korisniku potrebno zatvoriti korisnički račun,
  • studentima se korisnički račun automatski zatvara prilikom završetka studija,
  • trećoj stranici korisnički se računa zatvara nakon definiranog vremenskog perioda prilikom otvaranja računa,ili ukoliko je potrebno prije na zahtjev odgovorne osobe zadužene za suradnju s trećom stranom.

Poželjno je osmisliti komunikacijske protokole kojima će administrator sustava kontaktirati s korisnicima koji predaju zahtjeve za otvaranjem, odnosno zatvaranjem korisničkih računa u sam protokol poželjno je implementirati mogućnost jednostavnog zatvaranja korisničkog računa kako bi zatvaranje bilo odmah izvršeno nakon primitka zahtjeva.

Dodjela prava pristupa:

  • administrator sustava glavni je u hijerarhiji kontrole pristupa i dodjeljivanju prava pristupa,
  • administrator sustava ima pravo dodijeliti drugim korisnicima prava dodjeljivanja prava pristupa (na primjer, ukoliko je studentu potrebno dodijeliti pravo pristupa, to može učiniti asistent umjesto administratora),
  • svaki od korisnika iz grupe zaposlenika ili studenata inicijalno ima ista minimalna prava pristupa potrebna (minimalna prava određuje administrator),
  • svakom korisniku moguće je dati dodatna prava pristupa, ukoliko za tim postoji potreba,
  • za pravo pristupa osjetljivim i tajnim podacima potrebno je ispuniti obrazac dodjele prava pristupa,
  • trećoj strani prava pristupa određuje odgovorna osoba, te uz suglasnost administratora ista im se i dodjeljuju prilikom otvaranja korisničkog računa.
    • Ugovor o povjerenju jedna je od sigurnosnih kontroli pri zapošljavanju zaposlenika, pri suradnji Zavoda s vanjskim suradnicima ili u nekoj drugoj situaciji gdje postoji potreba za takvim ugovorom.

Ugovor o povjerenju treba uključiti:

  • dužnosti Zavoda i dužnosti druge strane,
  • odgovornosti Zavoda i odgovornosti druge strane,
  • koje ovlasti nad vrijednostima ima Zavod, a koje druga strana,
  • ukoliko je potrebno, sa svakim pojedincem potpisati ugovor o povjerenju, za svakog otvoriti korisnički račun i odrediti prava pristupa očekivano trajanje ugovora,
  • tko je nadležan za ugovor od strane Zavoda, a tko od druge strane,
  • koja prava ima Zavod, koja prava ima druga strana pri čemu je posebno potrebno naglasiti prava provjere, kontrole i nadgledanja,
  • prava na intelektualno vlasništvo,
  • na koji način reagirati u slučaju incidenta,
  • dužnosti, obaveze i odgovornosti u slučaju prijevremenog raskida ugovora,
  • koje akcije je potrebno poduzeti prilikom raskida ugovora (npr. uništavanje dokumenata).

Proces autorizacije sigurnosna je kontrola koja sprječava neovlaštenu nadogradnju informacijskog sustava, bilo da se ono odnosi na hardver ili softver. Osoba odgovorna za sigurnost sustava dužna je:

  • procijeniti i po potrebi napraviti ispitivanja da li je novi hardver kompatibilan s postojećim hardverom,
  • procijeniti da li bi implementacijom novog hardvera sigurnost sustava bila znatno umanjena,
  • procijeniti kvalitetu programske opreme, po potrebi izvršiti ispitivanja i kontaktirati specijalizirane stručnjake,
  • procijeniti i odobriti korištenje osobnih sredstava u radu (prijenosno računalo, dlanovnik itd.),
  • onemogućiti samovoljnu nadogradnju sustava,
  • implementirati kontrole za detekciju nepravilnosti.