Početna
Sažetak
Uvod
Sigurnosna politika
Norme
Sigurnost informacijskih sustava
Primjer sigurnosne politike
1) Sigurnosna politika
2) Organiziranje informacijske sigurnosti
3) Upravljanje imovinom
4) Sigurnost i ljudski resursi
5) Fizička zaštita i zaštita od okoline
6) Upravljanje komunikacijama i operacijama
7) Kontrola pristupa
8) Obogaćivanje, razvoj i održavanje informacijskog sustava
9) Upravljanje incidentima informacijskog sustava
10) Upravljanje poslovnim kontinuitetom
11) Usklađivanje
Zaključak
Praktični rad

Razvoj i održavanje sustava

Cilj „razvoja i održavanja sustava“ je definirati sve sigurnosne zahtjeve, uključujući procedure u slučaju incidenata. Definirani zahtjevi moraju biti analizirani i dokumentirani.

Sigurnosni zahtjevi uključuju:

sigurnost kod aplikacija,
kriptografske metode,
sigurnost datoteka,
sigurnost u procesu razvoja i pružanja podrške.

U dizajn aplikacija nužno je implementirati kontrolne mehanizme koji uključuju nadzorne logove, validaciju ulaznih podataka, obrade i izlaznih podataka.

Validacijom ulaznih podataka treba spriječiti slučajno ili namjerno unošenje netočnih podataka. Potrebno je uzeti u obzir sljedeće kontrolne mehanizme:

nedozvoljene vrijednosti,
nedopuštene znakove u poljima,
nepotpuni podaci,
prekoračenje količine podataka za unos itd.

Kriptografske metode potrebno je definirati kako bi se omogućila zaštita povjerljivosti, autentičnosti i/ili integriteta informacije. Ove metode potrebno je koristiti kod rizičnih, osjetljivih i povjerljivih podataka. Politikom je potrebno odrediti koje tehnike kriptografije (koje kriptografske metode će se koristiti, način čuvanja i raspodijele ključeva, na koji način će se ostvariti digitalni potpis i sl.) će se upotrebljavati u skladu s važećim zakonodavnim restrikcijama i pravima uporabe.

Kontrola operativnog softvera sigurnosni je mehanizam kojem je cilj smanjiti rizik operativnog sustava. Mehanizme koje je potrebno razmotriti:

nadogradnju operativnih programskih biblioteka smije se izvoditi samo ukoliko to odobri glavna odgovorna osoba,
u operativnim sustavima smije biti samo izvršni kôd,
izvršni kôd se smije uvoditi u operativne sustave samo ukoliko zadovolje sigurnosne zahtjeve kod testiranja.

Zaštita testnih podataka. Testni podaci moraju biti zaštićeni i kontrolirani. Testiranje sustava često se odvija na testnim podacima, koji su kopija stvarnih podataka, stoga je potrebno koristiti sljedeće sigurnosne mehanizme:

procedure za kontrolu pristupa koje su implementirane na operativne aplikacijske sustave, moraju biti primijenjene i na testne aplikacijske sustave,
za kopiranje operativnih informacija na testni sustav mora postojati posebno pravo pristupa,
operativne informacije moraju biti obrisane s testnog sustava odmah nakon testiranja,
rad na testnom sustavu mora biti nadziran kao i operativni, u posebne dnevnike.

Kontrole pristupa bibliotekama izvornog koda moraju biti jasno definiran i dokumentirane. Potrebno je razmotriti sljedeće mehanizme:

biblioteke izvornog kôda ne smiju biti pohranjene na operativnim sustavima,
osoblje ne smije imati neograničen pristup bibliotekama, potrebno je odobriti pristup samo ukoliko je pristup neophodan,
potrebno je jasno označiti operativne biblioteke i one testne, kako ne bi došlo do zamijene.

Primjena norme u sigurnosnoj politici

Ovaj dio standarda puno je važniji za institucije kao što su banke nego za informacijski sustav ZEMRIS. Razlog tome leži u činjenici da ZEMRIS nema tim programera zaduženih za razvoj aplikacija koje se koriste unutar zavoda. Postoje projekti pojedinih profesora, mentora, studenata, ali te programe nikako ne možemo kontrolirati politikom sigurnosti. U institucijama kao što su banke stvar je u potpunosti drukčija. Takve institucije imaju desetine i stotine programera kojima je cilj razvoj aplikacija koje se koriste unutar institucija. Tu postoji mogućnost da jedan od njih svoj položaj unutar organizacije iskoristi za obavljanje zlonamjernih radnji.

Od sigurnosnih kontrola definiranih ovim dijelom standarda važno je ostvariti sljedeće:

definiranje kriptografskih metoda,
validaciju ulaznih podataka,
kontrole pristupa resursima sustava, između ostalog i bibliotekama izvornog kôda.