Upravljanje komunikacijama i operacijama

Procedure rada i odgovornosti

Cilj – osigurati pravilan i siguran rad jedinica za obradu informacija.

Potrebno je definirati odgovornosti i procedure za upravljanje i rad svih jedinica za obradu informacija, uključujući razvoj odgovarajućih operativnih instrukcija i procedura koje se koriste prilikom incidenata. Ukoliko postoji mogućnost, potrebno je implementirati i dijeljenje dužnosti kako bi se smanjio rizik od zlouporabe izazvane nemarom ili namjerno.

Dokumentirane procedure rada

Operativne procedure moraju biti dokumentirane, održavane i dostupne svim korisnicima koji ih koriste.

One moraju odrediti upute za detaljno izvođenje svakog posla, uključujući:

  • obradu i rukovanje informacijama,
  • izradu sigurnosne kopije (eng. backup),
  • planiranje potreba, uključujući međuovisnosti s drugim sustavima te najranije vrijeme početka i najkasnije vrijeme završetka posla,
  • upute za rukovanje greškama i ostalim iznimnim uvjetima, koji mogu nastati prilikom izvršavanja posla,
  • kontakt osobe za podršku prilikom neočekivanih operativnih ili tehničkih poteškoća,
  • posebne upute za rukovanjem rezultatima rada, kao što je uporaba posebnog pribora ili upravljanje povjerljivim rezultatima,
  • postupke za ponovno pokretanje i oporavak sustava u slučaju kvara.

Nadzor promjena u operativi

Cilj - promjene vezane uz objekte i sustave za obradu informacija moraju biti kontrolirane.

Nedovoljna kontrola promjena u jedinicama i sustavima za obradu informacija najčešći je uzrok sigurnosnih ili sistemskih ispada. Potrebno je uspostaviti formalne odgovornosti i postupke kako bi se osigurala zadovoljavajuća kontrola svih promjena u opremi, softveru ili procedurama.

Sljedeće kontrole treba uzeti u obzir:

  • identifikacija i bilježenje značajnih promjena,
  • planiranje i testiranje promjena,
  • ocjenjivanje potencijalnih utjecaja, na primjer sigurnosnih pri određenim promjenama,
  • odobrenja za predložene promjene,
  • objavljivanje promjena svim relevantnim osobama,
  • procedure u slučaju opasnosti, na primjer procedure i odgovornosti za prekid neočekivanih događaja i obnovu neuspješnih promjena.

Odvajanje dužnosti

Obveze i područja odgovornosti trebaju biti odvojene kako bi se mogućnost obavljanja neovlaštenih i neželjenih radnji svela na minimum.

Odvajanje dužnosti metoda je kojom se reducira rizik od zlouporabe sustava. Zaštita bi trebala biti organizirana na taj način da osoba kao pojedinac nema ovlasti nad imovinom. Drugim riječima, kako bi se na primjer obavila radnja mijenjanja, čitanja, ili brisanja informacije, suglasnost mora dati više ovlaštenih osoba. Na taj način uklanja se mogućnost da ovlaštena osoba svojevoljno izvrši štetnu radnju po imovinu organizacije.

Kontrola odvajanje dužnosti u praksi je vrlo je komplicirana i primjenjiva je jedino za postupke imovinu vrlo visokog rizika i vrijednosti. Kad god je teško razdvojiti dužnosti (npr. zbog veličine organizacije) potrebno je upotrebljavati druge kontrole. Važno je voditi računa o tome da niti jedna osoba ne može neopaženo počiniti prijevaru.

Razdvajanje objekata za razvoj, testiranje i operativni rad

Razdvajanje objekata za razvoj, testiranje i operativni rad važno je kako bi se postiglo odvajanje uključenih uloga. Pravila prelaska softvera iz razvojnog u operativni rad moraju biti definirana i dokumentirana.

Razvojne i testne aktivnosti mogu uzrokovati ozbiljne probleme, na primjer neželjene promjene sistemske okoline ili pad sustava. Mora se uzeti u obzir nivo potrebnog razdvajanja između operativnih , testnih i razvojnih okolina kako bi se spriječili operativni problemi.

Potrebno je održati poznatu i stabilnu okolinu u kojoj je moguće izvoditi značajno testiranje i spriječiti neprimjeren pristup razvojnog osoblja.

Tamo gdje razvojno i testno osoblje ima pristup do operativnih sustava i njihovih podataka, postoji mogućnost da uvedu neovlašteni i neispitani kôd ili da izmjeni operativne podatke. U nekim sustavima se ta mogućnost može iskoristiti kako bi se počinila prijevara ili za unošenje neispitanog ili malicioznog kôda. Neispitani ili maliciozni kôd može prouzročiti ozbiljne operativne probleme. Razvojno i testno osoblje predstavlja prijetnju i za povjerljivost operativnih informacija.

Aktivnosti testiranja i razvoja mogu prouzročiti neželjene izmjene u softveru i informacijama, ako se izvršavaju u zajedničkom računalnom okruženju. Odvajanje razvoja, testiranja i operative je stoga poželjno radi reduciranja rizika od slučajnih izmjena ili neovlaštenog pristupa operativnom softveru i poslovnim podacima.

Potrebno je uzeti u obzir sljedeće kontrole:

  • razvojni i operativni softver treba izvršavati na različitim računalima,
  • aktivnosti razvoja i testiranja treba što više razdvojiti,
  • za razvojne i operativne sustave potrebno je koristiti različite postupke prijave u sustav. Korisnike treba poticati da koriste različite lozinke za takve sustave, a izbornici trebaju prikazivati kojim sustavom se korisnik koristi.

Planiranje i prihvaćanje sustava

Cilj – smanjiti rizik pada sustava.

Planiranje i pripreme su potrebne kako bi se osigurala dostupnost prikladnih kapaciteta i resursa. Nužno je napraviti projekcije budućih zahtjeva kapaciteta i izvršiti procjene kako bi se smanjio rizik preopterećenja sustava. Operativni zahtjevi novog sustava trebaju se utvrditi, dokumentirati i testirati prije njegovog prihvaćanja i upotrebe.

Planiranje kapaciteta

Potrebno je pratiti zahtjeve za kapacitetima i napraviti projekcije budućih zahtjeva za kapacitetima, kako bi se osigurala odgovarajuća procesna snaga i prostor za pohranu. Projekcije trebaju uzeti u obzir nove poslovne i sistemske zahtjeve, te trenutne i projicirane trendove u obradi informacija u organizaciji.

Središnja računa zahtijevaju posebnu pažnju zbog puno većih troškova i vremena nabave novih kapaciteta. Zbog toga je unaprijed potrebno uzeti u obzir sve relevantne parametre koji utječu i koji bi mogli utjecati na rad sustava kako bi identificirala i izbjegla potencijalna uska grla.

Prihvaćanje sustava

Rukovoditelji su dužni osigurati da su zahtjevi i kriteriji za prihvaćanje novog informacijskog sustava ili nadogradnji jasno definirani, dogovoreni, dokumentirani i testirani.

Potrebno je razmotriti sljedeće kontrolne mehanizme:

  • zahtjevi za kapacitetom i performansama računala,
  • postupci za oporavak od pogrešaka i za ponovno pokretanje sustava,
  • priprema i testiranje rutinskih operativnih postupaka prema definiranim normama,
  • postavljanje i pridržavanje dogovorenog skupa kontrolnih mehanizama,
  • trening za operativnu uporabu novih sustava.

Zaštita od malicioznog softvera

Cilj – zaštititi integritet softvera i informacija.

Mjere zaštite potrebne su kako bi se spriječila i na vrijeme uočila uporaba malicioznog softvera. Softver i objekti za obradu informacija ranjivi su obzirom na zloćudni softver kao što su računalni virusi, mrežni crvi, logičke bombe itd. Korisnike treba upoznati s opasnostima uporabe neodobrenog ili zloćudnog softvera i rukovoditelji bi trebali, ukoliko postoje mogućnosti, potaknuti implementaciju kontrola koji detektiraju i sprječavaju uporabu takvog softvera.

Kontrole protiv malicioznog softvera

Cilj – implementirati kontrolne mehanizme koji preventivno djeluju na prijetnje malicioznog softvera i razviti procedure koje osiguravaju svjesnost korisnika.

Sljedeće kontrolne mehanizme potrebno je uzeti u obzir:

  • formalna politika koja zahtjeva sukladnost sa softverskim licencama i koja zabranjuje upotrebu neautoriziranog softvera,
  • mora biti uspostavljena formalna politika koja se odnosi na rizike vezane uz nabavu softvera i datoteka s vanjskih mreža ili s nekog drugog medija. U toj politici treba biti naznačeno koje je zaštitne mjere potrebno poduzeti,
  • potrebna je instalacija i redovno ažuriranje antivirusnih programa,
  • potrebno je redovito provoditi provjeru softvera i podataka koji podržavaju kritične poslovne procese. Postojanje bilo kakvih neodobrenih datoteka mora se formalno istražiti,
  • provjera na zloćudni softver svih datoteka na elektroničkim medijima nesigurnog ili neautoriziranog porijekla,
  • provjera na zloćudni softver svih datoteka nabavljenih preko nesigurnih mreža,
  • provjera na zloćudni softver svih mail privitaka,
  • plan oporavka i kontinuiranog poslovanja u slučaju napada malicioznog softvera,
  • izrada sigurnosnih kopija svih neophodnih podataka.

Izrada sigurnosnih kopija

Cilj – očuvanje integriteta i dostupnosti podataka redovitom izradom sigurnosnih kopija neophodnih poslovnih informacija.

Pri izradi sigurnosnih kopija treba uzeti u obzir:

  • na udaljenoj lokaciji potrebno je spremati minimalni broj sigurnosnih kopija informacija, zajedno s točnim i potpunim zapisima o sigurnosnim kopijama i dokumentiranim procedurama za ponovno osposobljavanje sustava. Lokacija mora biti na dovoljnoj udaljenosti od glavne lokacije kako bi se izbjegla šteta koja može nastati od posljedica katastrofe na glavnoj lokaciji,
  • sigurnosne kopije informacijama mora se osigurati prikladna razina fizičke zaštite i zaštite okoline u skladu s normama koje se primjenjuju na glavnoj lokaciji,
  • mediji sigurnosnih kopija, gdje je primjenjivo, moraju redovno testirati kako bi se osiguralo da se na njih može računati u slučaju potrebe,
  • procedure za ponovno uspostavljeno sustava moraju se redovito provjeravati i testirati kako bi se osigurala njihova učinkovitost i mogućnost izvršavanja u predviđenom vremenu,
  • vrijeme čuvanja sigurnosnih kopija mora biti točno određeno.

Upravljanje sigurnosti mreže

Cilj – osigurati zaštitu informacija na mreži i zaštitu infrastrukture.

Rukovoditelji sigurnosti mreža dužni su sveobuhvatnim pristupom i pažljivim razmatranjem osigurati sigurnost informacija na svakom dijelu njihovog puta. Također su dužni implementirati dodatne kontrole za zaštitu osjetljivih podataka koji putuje preko javnih ili nezaštićenih mreža.

Za postizanje i održavanje mrežne sigurnosti potrebno je primijeniti niz kontrolnih mehanizama. Posebno je potrebno promotriti sljedeće:

  • operativne odgovornosti za mreže trebaju biti odvojene od računalne operative gdje je to moguće,
  • potrebno je uspostaviti postupke i odgovornosti za upravljanje udaljenom opremom,
  • potrebno je uspostaviti kontrole kako bi se sačuvala povjerljivost i integritet podataka koji prolaze nezaštićenim mrežama.

Rukovanje i sigurnost medija

Cilj – spriječiti štetu na imovini i prekide poslovnih aktivnosti. U svrhu zaštite potrebno je uspostaviti odgovarajuće procedure za zaštitu dokumenata, računalnih medija i sistemske dokumentacije od krađe, neovlaštenog pristupa, povrede integriteta itd.

Upravljanje prijenosnim medijima

Cilj – uspostava postupaka za upravljanje izmjenjivim računalnim medijima (trake, kazete, CD, DVD, štampanih izvješća itd.).

Treba uzeti u obzir sljedeće kontrole:

  • ako više nisu potrebni, treba obrisati prijašnje sadržaje svakog ponovno iskoristivog medija koji će biti uklonjen iz organizacije,
  • potrebno je tražiti ovlaštenje za uklanjanje medija iz organizacije, te se mora voditi zapis o takvim aktivnostima,
  • svi mediji moraju biti pohranjeni na sigurnom i zaštićenom mjestu, u skladu sa specifikacijama proizvođača,
  • svi postupci i razine ovlaštenja moraju biti jasno određeni i dokumentirani.

Uklanjanje medija

Cilj – ukoliko više nisu potrebni mediji se moraju ukloniti na siguran način, u suprotnom može doći do „curenja“ osjetljivih informacija. Kako bi se rizik „curenja“ sveo na minimum potrebno je uspostaviti formalne smjernice za sigurno uklanjanje medija.

Lista dokumenata koji mogu zahtijevati sigurno uklanjanje:

  • papirnati dokumenti,
  • snimljeni glas,
  • indigo papir,
  • traka za printer,
  • magnetski mediji,
  • optički mediji,
  • sistemska dokumentacija itd.

Uklanjanje osjetljivih medija treba biti provjereno i dokumentirano.

Procedure za rukovanje informacijama

Cilj – uspostaviti procedure za rukovanje informacijama kako bi se informacije zaštitile od neovlaštenog otkrivanja i zlouporabe.

Procedure treba razraditi tako da rukovanje informacijama bude sukladno sa njenom klasifikacijom.

Treba uzeti u obzir sljedeće kontrole:

  • rukovanje medijima i označavanje identifikacijskom oznakom,
  • ograničavanje pristupa,
  • održavanje popisa ovlaštenih primaoca podataka,
  • pohrana podataka po specifikacijama proizvođača,
  • zaštita podataka u skladu s njihovom osjetljivošću,
  • minimalna distribucija podataka,
  • jasno označavanje svih kopija podataka.

Razmjena informacija

Cilj – osigurati sigurnost pri razmjeni informacija i softvera unutar organizacije ili izvan nje. Kako bi se zaštitila razmjena podataka potrebno je definirati smjernice razmjene, uspostaviti i vršiti kontrolu, te sankcionirati prekršitelje prema važećim zakonima.

Potrebno je uspostaviti sporazume o razmjeni informacija i softvera između organizacija. Oni trebaju uključiti:

  • odgovornosti rukovoditelja za kontrolu i obavještavanje o razmjenama,
  • procedure za obavještavanje pošiljaoca za slanje i primanje podataka,
  • minimalne tehničke norme za pakiranje i prijenos,
  • norme za identifikaciju,
  • odgovornosti i obveze u slučaju gubitka podataka,
  • korištenje dogovorenog sustava označavanja osjetljivih informacija,
  • odgovornosti i vlasništvo nad softverom i informacijama radi njihove zaštite, uskladivosti s autorskim pravima i sl.

Nadgledanje

Cilj – pravovremeno uočavanje neovlaštenih aktivnosti.

Informacijski sustav nužno je konstantno nadzirati (eng. monitoring) te bilježiti svaku aktivnost. Nadziranje mora biti zadovoljavati sve važeće zakone, korisnike treba obavijestiti o nadgledanju i dati im do znanja da su im prava privatnosti minimalna.

Kako bi bili uočeni eventualni propusti u implementaciji sigurnosnih kontrola potrebno je voditi dnevnik svih aktivnosti i događaja unutar sustava. Provjerom zabilježenih podataka moguće je otkriti nepravilnosti i na vrijeme ih ukloniti.

U bilješkama dnevnika treba biti sadržano:

  • korisnička identifikacija (ID),
  • datum, vrijeme, detalji akcije (prijava, odjava itd.),
  • identifikacija računala,
  • mjesto pristupa,
  • (ne)uspješan pristup sustavu,
  • (ne)uspješan pristup podacima,
  • mijenjanje postavki sustava,
  • korištenje privilegija,
  • korištenja usluga sustava i aplikacija,
  • način pristupa podacima,
  • mrežna adresa i protokol,
  • aktivacija i deaktivacija zaštite sustava,
  • uključenje alarma itd.

Primjena norme u sigurnosnoj politici

Informacijski sustav ZEMRIS relativno je mali sustav, s malim brojem odgovornih korisnika. Zbog toga je nepotrebno uvoditi sigurnosne kontrole kao što je odvajanje dužnosti, razdvajanje objekata za razvoj, testiranje, operativni rad, kapaciteti sustava su kontinuirani –nije potrebno provoditi planiranje kapaciteta i sl.

Informacijski sustav ZEMRIS u svrhu kvalitetnijeg upravljanja komunikacijama i operacijama zahtjeva posebnu pažnju na sljedećim elementima sigurnosti:

  • zaštita od malicioznog softvera – velik broj korisnika; educiranost korisnika upitna; potrebno je djelovati na sve korisnike i educirati ih o mogućim prijetnjama kako svojim neznanjem ne bi olakšali zlonamjernim korisnicima put ka počinjenju zlonamjernih radnji,
  • izrada sigurnosnih kopija – podaci koje je vrlo teško ili nemoguće obnoviti ukoliko ne postoje sigurnosne kopije – nužno redovita izrada sigurnosnih kopija; ne treba za sve podatke jednako često raditi sigurnosnu kopiju – treba uspostaviti više kategorija sigurnosnih kopija (dnevne, tjedne, mjesečne, godišnje) kako se ne bi nepotrebno trošili resursi,
  • edukacija korisnika – korisnici svojim neznanjem ili slučajnim radnjama mogu ugroziti informacijski sustav; neophodno je djelovati preventivno, educirati korisnike o sigurnosnim prijetnjama i potaknuti ih da razmišljaju „svojom glavom“,
  • nadgledanje – pravovremeno uočavanje neovlaštenih aktivnosti; u slučaju uspješnog napada lakše doći do napadača,
  • upravljanje sigurnosti mreže – općenito o sigurnosti sustava; odnosi se na administratora, tj. glavnu odgovornu osobu.