Sveučilište u Zagrebu Fakultet elektrotehnike i računarstva …sigurnost.zemris.fer.hr/ISMS/rizik/2010_klajic/SeminarskiRad_SRS... · Fakultet elektrotehnike i ra ... Temeljni

Sveučilište u Zagrebu Fakultet elektrotehnike i računarstva

mr. sc. Aleksandar Klaić, dipl. ing.

MINIMALNI SIGURNOSNI KRITERIJI I UPRAVLJANJE RIZIKOM INFORMACIJSKE SIGURNOSTI

SEMINARSKI RAD Iz predmeta Sigurnost računalnih sustava

Doc. dr. sc. Marin Golub

Zagreb, travanj 2010.

Aleksandar Klaić – Minimalni sigurnosni kriteriji i upravljanje rizikom informacijske sigurnosti

Travanj 2010. 2 od 37

Sadržaj:

1. RAZVOJ POLITIKE INFORMACIJSKE SIGURNOSTI 3

1.1. Tradicionalna politika informacijske sigurnosti državnog sektora 3

1.2. Razvoj suvremene politike informacijske sigurnosti 4

1.3. Minimalni sigurnosni kriteriji i upravljanje rizikom 6

2. OSNOVNI POJMOVI I KONCEPTI UPRAVLJANJA RIZIKOM 9

2.1. Taksonomija osnovnih pojmova u upravljanju rizikom 10

2.2. Problem subjektivnosti metoda procjenjivanja rizika 11

2.3. Rizik važan za informacijsku sigurnost 13

2.4. Modeliranje sigurnosnog okruženja prilikom procjenjivanja rizika 14

3. PRIMJERI KORIŠTENJA KOMBINACIJE MINIMALNIH SIGURNOSNIH KRITERIJA I UPRAVLJANJA RIZIKOM U OKVIRU POLITIKE INFORMACIJSKE SIGURNOSTI 20

3.1. Politika informacijske sigurnosti u državnoj upravi 20 3.1.1. Područje sigurnosti podataka 20 3.1.2. Područje fizičke sigurnosti 22 3.1.3. Područje sigurnosnih provjera fizičkih i pravnih osoba 23 3.1.4. Područje sigurnosti informacijskih sustava 25

3.2. Norme državnog sektora, nacionalne i međunarodne norme 26

4. PRIMJERI U PROPISIMA INFORMACIJSKE SIGURNOSTI U RH 29

4.1. Neklasificirani podaci 30

4.2. Klasificirani podaci 30

5. PRISTUP UPRAVLJANJU RIZIKOM U ISO/IEC NORMAMA 31

5.1. Zahtjevi na upravljanje rizikom 31

5.2. Metoda upravljanja rizikom sukladna zahtjevima norme ISO27001 33

6. ZAKLJUČAK 35

LITERATURA 36



Sažetak:

Politika informacijske sigurnosti ima najdužu tradiciju u državnim sektorima razvijenih

zemalja svijeta. Temeljni cilj te politike danas, u osnovi je isti kao i prije pedesetak godina – osigurati minimalne sigurnosne kriterije prilikom postupanja s klasificiranim podacima u tijelima državne uprave. U isto vrijeme suvremeni pristup upravljanju informacijskom sigurnošću oslanja se na koncept upravljanja rizikom.

U okviru opisa razvoja politike informacijske sigurnosti, u radu se analiziraju oba pristupa, minimalni sigurnosni kriteriji i upravljanje rizicima, kao i primjene koje kombiniraju ova dva pristupa. Analiziraju se također značajnija obilježja različitih koncepata i metoda upravljanja rizikom koje se koriste u području informacijske sigurnosti. Karakteristične primjene upravljanja rizikom u državnoj upravi prikazane su kroz tipična područja informacijske sigurnosti u državnom sektoru. Prikazana je osnovna koncepcija suvremenih metoda upravljanja rizikom, s naglaskom na modeliranje sigurnosnog okruženja te na tipične probleme subjektivnosti povezane s metodama procjenjivanja rizika.

Minimalne sigurnosne kriterije i koncept upravljanja rizikom u okviru propisa RH, razmatra se u odnosu na vrste podataka koje su dominantne s obzirom na zahtjeve informacijske sigurnosti. Rad se usmjerava na klasificirane i neklasificirane podatke, s obzirom da za te vrste podataka u RH postoji regulativa u okviru koje se na određeni način primjenjuje kombinacija minimalnih sigurnosnih kriterija i upravljanja rizikom.

ISO/IEC pristup upravljanju rizikom najčešće je primjenjivan pristup u različitim sigurnosnim okruženjima u RH i u razvijenim državama svijeta, pa se stoga u radu ukratko prikazuju i osnovne značajke preporučene metode upravljanja rizikom sukladno paleti normi ISO/IEC 27000.

1. Razvoj politike informacijske sigurnosti

Politika informacijske sigurnosti ima najdužu tradiciju u državnim sektorima razvijenih država svijeta. Temeljni cilj te politike danas, u osnovi je isti kao i prije pedesetak godina – osigurati minimalne sigurnosne kriterije prilikom postupanja s klasificiranim podacima u tijelima državne uprave.

1.1. Tradicionalna politika informacijske sigurnosti državnog sektora

Tipičan način kako se osigurava minimalne sigurnosne kriterije jest uvođenje koncepta klasificiranja, danas gotovo normiranog u svijetu, koje se uobičajeno sastoji od četiri stupnja tajnosti, definirana u smislu štete koju bi prouzročilo neovlašteno otkrivanje tako označenih podataka. Ovaj koncept preuzet je i prilagođen u hrvatskoj regulativi Zakonom o tajnosti podataka (NN 79/07). Takav koncept klasificiranja uobičajeno prati sustav mjera informacijske sigurnosti za svaki stupanj klasificiranja, kakav je u RH razrađen Zakonom o informacijskoj sigurnosti (NN 79/07) i njegovim podzakonskim aktima. Time je uveden novi pristup klasificiranju podataka, u odnosu na pristup koji je prije bio na snazi temeljem Zakona o zaštiti tajnosti podataka (NN 108/96). Ključna razlika ovog novog koncepta je u ukidanju prijašnjih vrsta tajnosti (državna, vojna, službena) te uvođenju jedinstvenog četvero-stupanjskog sustava klasifikacije, neovisno o tome da li je sadržaj klasificiranog podatka vojne ili civilne naravi, već



isključivo analizirajući razinu štete koju bi neovlašteno otkrivanje takvog podatka prouzročilo po zakonom zaštićene vrijednosti.

Zakonom su uvedena određena ograničenja pa se tako klasificirati mogu samo podaci iz djelokruga državnih tijela u područjima obrane, sigurnosno-obavještajnog sustava, vanjskih poslova, javne sigurnosti, kaznenog postupka te znanosti, tehnologije, javnih financija i gospodarstva, i to samo ako su od sigurnosnog interesa za Republiku Hrvatsku. Određivanje stupnja štete od neovlaštenog otkrivanja definira stupanj tajnosti:

- VRLO TAJNO (VT) - neovlašteno otkrivanje nanijelo bi nepopravljivu štetu nacionalnoj sigurnosti i vitalnim interesima Republike Hrvatske;

- TAJNO (T) – neovlašteno otkrivanje teško bi naštetilo nacionalnoj sigurnosti i vitalnim interesima Republike Hrvatske;

- POVJERLJIVO (POV) – neovlašteno otkrivanje naštetilo bi nacionalnoj sigurnosti i vitalnim interesima Republike Hrvatske;

- OGRANIČENO (OGR) – neovlašteno otkrivanje naštetilo bi djelovanju i izvršavanju zadaća državnih tijela u okviru obavljanja poslova u područjima u kojima je zakonom omogućeno klasificiranje podataka.

U okviru nacionalne sigurnosti i vitalnih interesa RH, definirane su osobito sljedeće vrijednosti:

- temelji Ustavom utvrđenog ustrojstva Republike Hrvatske, - neovisnost, cjelovitost i sigurnost Republike Hrvatske, - međunarodni odnosi Republike Hrvatske, - obrambena sposobnost i sigurnosno-obavještajni sustav, - sigurnost građana, - osnove gospodarskog i financijskog sustava Republike Hrvatske, - znanstvena otkrića, pronalasci i tehnologije od važnosti za nacionalnu sigurnost

Republike Hrvatske. Stoga, klasificiranje vrše zakonom ovlaštena državna tijela, kada u okviru poslova iz

svoje nadležnosti, utvrde moguću štetu od otkrivanja podataka po vrijednosti definirane zakonom. U okviru procesa klasificiranja državna tijela su podijeljena u dvije skupine koje mogu klasificirati svim stupnjevima tajnosti i ona koja mogu klasificirati samo stupnjevima tajnosti POV i OGR. Pri tome, ostala tijela državne uprave, kao i tijela lokalne vlasti i pravne osobe s javnim ovlastima, mogu biti samo primatelji, tj. korisnici klasificiranih podataka. Za znanstvene ustanove, zavode i druge pravne osobe, koje rade na projektima, pronalascima, tehnologijama i drugim poslovima od sigurnosnog interesa za Republiku Hrvatsku, klasificiranje provode zakonom ovlaštena državna tijela, nadležna po određenoj problematici.

1.2. Razvoj suvremene politike informacijske sigurnosti

Opisani koncept klasificiranja podataka temelji se na metodi široko prihvaćenoj u demokratskim državama svijeta u razdoblju 60-tih i 70-tih godina prošlog stoljeća. Normizacijom koja je nastala širokim prihvaćanjem ove četvero-stupanjske metode klasificiranja temeljene na stupnju štete od neovlaštenog otkrivanja klasificiranog podatka, otvorio se prostor za sadržajno usklađivanje odredbi politike informacijske sigurnosti u različitim državama. Proces sadržajnog usklađivanja politike informacijske sigurnosti vremenom je iskristalizirao pet, danas redovito primjenjivanih područja informacijske sigurnosti u državnoj upravi: sigurnosna provjerenost osoba, fizička sigurnost, sigurnost



podataka, sigurnost informacijskih sustava (INFOSEC1) i sigurnost poslovne suradnje, kako je propisano i u RH Zakonom o informacijskoj sigurnosti (NN 79/07).

Ovaj proces sustavne razrade, sadržajnog oblikovanja i normiranja politike informacijske sigurnosti, započet još 70-tih godina prošlog stoljeća, utjecao je na niz drugih procesa koji su u konačnici rezultirali nekim, danas široko primjenjivanim međunarodnim normama, kao što su ISO/IEC 27000 paleta normi informacijske sigurnosti ili norma ISO/IEC 15408 za evaluaciju proizvoda i sustava informacijske tehnologije s aspekta sigurnosti informacijske tehnologije [1] (Sl.1.).

Sl.1. Razvoj politike i normi informacijske sigurnosti

Problematika razvoja sigurnosne politike, ali i metoda sigurnosne evaluacije, tako su od

samog početka normizacije područja informacijske sigurnosti u državnoj upravi, bile u središtu interesa najrazvijenijih država svijeta. Normizacija nacionalne politike informacijske sigurnosti u razvijenim državama svijeta uvelike je utjecala na zajedničku političko-obrambenu organizaciju tih država – NATO. Suvremena sigurnosna politika NATO-a, koja se oblikovala tijekom 90-tih godina prošlog stoljeća, utjecala je u najvećoj mjeri i na današnju sigurnosnu politiku Europske unije, čiji je ozbiljniji razvoj započet na prijelazu stoljeća, a svoje konačno oblikovanje bi trebala zadobiti idućih godina, slijedom redefiniranja prioriteta EU-a u novom Lisabonskom ugovoru.

Najveći utjecaj na međunarodnu normizaciju informacijske sigurnosti, imao je razvoj politike informacijske sigurnosti u Velikoj Britaniji, koji je, iako proizašao iz državne uprave, uvelike nadilazio njene okvire. Taj razvoj je sredinom devedesetih godina prošlog stoljeća rezultirao dokumentom najbolje prakse informacijske sigurnosti, koji je nadležno ministarstvo (Department of Trade and Industry – DTI) uz pomoć nacionalnog tijela za normizaciju (British Standards Institute), 1995.g. utvrdilo kao britansku nacionalnu normu BS 7799-1. Već pet

1 Nastao u okviru brzog razvoja tehnologije na prijelazu stoljeća, spajanjem tradicionalnih tehničkih sigurnosnih područja COMSEC (Communication Security), TECSEC (Technical Security) i COMPUSEC (Computer Security)



godina kasnije, ISO/IEC je ovu normu prihvatio kao međunarodnu normu ISO/IEC 17799:2000, čime je otvoren put i za, nešto kasnije nastao, drugi dio britanske norme, BS 7799-2, koji sadržava specifikaciju upravljanja sustavom informacijske sigurnosti i osnova je za certificiranje sustava upravljanja informacijske sigurnosti (Information Security Management System – ISMS).

Na sličan način su norme za sigurnosnu evaluaciju IT proizvoda i sustava, poznatije pod nazivom Common Criteria for Information Technology Security Evaluation (CC), čiju je izradu, na temelju europske ITSEC norme te nekih nacionalnih normi uključenih zemalja, inicirala grupa razvijenih zemalja svijeta (Kanada, Francuska, Njemačka, Nizozemska, Velika Britanija i SAD). ISO/IEC je preuzeo ovu normu i objavio ju 1999.g. kao međunarodnu normu ISO/IEC 15408 koja se sastoji iz tri dijela [7].

Pored navedenih direktnih utjecaja pri razvoju spomenutih međunarodnih normi informacijske sigurnosti, suvremena politika informacijske sigurnosti sučeljava se s procesima razvoja informacijskog društva. Pri tome oba ključna utjecaja za razvoj informacijskog društva, brzi razvoj komunikacijske i informacijske tehnologije, kao i globalizacija društva i sveprisutnost Interneta, sa svim svojim utjecajima na posebne vrste podataka koje su od značaja za informacijsku sigurnost, otvaraju čitav niz novih inicijativa prikazanih na desnoj strani Sl.1. Opisana međunarodna normizacija područja informacijske sigurnosti, jedna je od tih značajnih inicijativa. Nadalje, tu su inicijative koje su nužne pri razvoju temelja informacijskog društva, a kojima se nastoje postići sigurnosni uvjeti tipični za tradicionalno društvo. Činjenica da informacijsko društvo obuhvaća sva tri čimbenika suvremenog društva, državnu upravu, poslovni sektor i građanstvo u cjelini, uvodi još jednu nužnu komponentu sigurnosne politike, javno-privatno partnerstvo. Upravo u programima EU-a ove inicijative su najvidljivije [3][4].

1.3. Minimalni sigurnosni kriteriji i upravljanje rizikom

Tradicionalna sigurnosna politika, koja je nastajala u državnim upravama razvijenih zemalja u razdoblju do 90-tih godina prošlog stoljeća, redovito je bila utemeljena na dva ključna elementa:

1. klasifikacija podataka na više razina (uobičajeno četvero-stupanjski sustav klasifikacije temeljen na stupnju štete od neovlaštenog otkrivanja za zakonom zaštićene vrijednosti);

2. utvrđeni skup minimalnih mjera informacijske sigurnosti za svaki pojedini stupanj tajnosti klasificiranog podatka.

To znači da utvrđena razina klasifikacije podatka određuje minimalni skup zaštitnih mjera koji se mora primjenjivati na podatak označen pripadnim stupnjem tajnosti. Na taj način svaki vlasnik klasificiranog podatka kao i svaki korisnik klasificiranog podatka, mora primjenjivati iste i ujednačene mjere informacijske sigurnosti, propisane na razini cijele državne uprave.

Jedan od najranijih pokušaja uvođenja upravljanja rizicima informacijske sigurnosti datira iz 70-tih godina prošlog stoljeća, kad je Nacionalni zavod za norme SAD-a (danas National Institute of Standards and Technology – NIST) objavio FIPSPUB-31, „Fizička sigurnost i upravljanje rizicima u automatskoj obradi podataka“ (1974.g.). Ipak, tek tijekom 90-tih godina prošlog stoljeća, u područje informacijske sigurnosti u uporabu se sve više uvode različite metode upravljanja rizikom informacijske sigurnosti. Najveći utjecaj na norme u području upravljanja rizikom imao je financijski sektor. To je prvenstveno proizašlo iz činjenice da je financijski sektor, oduvijek tehnološki napredan, prednjačio i u uvođenju internetskih usluga i internetskom poslovanju. Na taj način su i mjere informacijske sigurnosti



u financijskom sektoru morale sustavno obuhvatiti, ne samo tradicionalno prisutne aspekte ljudi i organizacije, već i visoko zastupljenu tehnologiju o kojoj ovisi cjelokupni poslovni proces svake financijske institucije. Pri tome su metode upravljanja rizicima tradicionalna osnova upravljanja bankarskim institucijama pa su se prirodno proširile sa financijskih na operativne rizike. Pri tome, za razliku od državne uprave koja uobičajeno klasificira podatke sa četiri stupnja tajnosti, financijski sektor kao i općenito poslovni sektor u cjelini, klasifikaciju provodi na znatno jednostavniji način. Tako se najčešće razlikuju samo vrste podataka, kao što su osobni podaci, poslovna tajna (usporediva s klasificiranim podatkom), ili primjerice osjetljivi podaci (usporedivi s podacima označenim „Neklasificirano“ u državnoj upravi). No, s druge strane, ovisnost financijskih institucija o kontinuitetu poslovnih procesa barem je jednako značajna kao i povjerljivost podataka u državnoj upravi. Takvi, različiti zahtjevi, inherentni samim poslovnim procesima, koji su bitno različiti u financijskom i poslovnom sektoru od onih u državnoj upravi, doveli su i do različitih smjerova razvoja normi informacijske sigurnosti u državnoj upravi i poslovnom sektoru.

Upravljanje rizicima informacijske sigurnosti tako se nametnulo kao značajan zahtjev kojim se odgovara na svojstvo raspoloživosti, kako informacijskih sustava tako i podataka, odnosno na kontinuitet poslovanja, ali i na činjenicu da je poslovni sektor više usredotočen na poslovne procese, a manje na pojedine vrste tajnih podataka. To znači da, za razliku od državnog sektora u kojem je objekt zaštite klasificirani podatak, poslovni sektor štiti informacijska imovinu u širem smislu. S druge strane, tradicionalna sigurnosna politika državne uprave formirala je svoje temelje u doba Hladnog rata, kada je sustav prijetnji bio relativno jasno definiran i simetričan (simetrične prijetnje). Posljedica toga je da se promjene tradicionalne sigurnosne politike i postupno kombiniranje metoda minimalnih sigurnosnih kriterija i procjene rizika, počinju postupno uvoditi na prijelazu stoljeća, kako bi se odgovorilo novim, asimetričnim prijetnjama. Pri tome se danas asimetričnim općenito smatra borba slabijeg i jačeg, netradicionalnog i tradicionalnog i sl. [5]. U teoriji ratovanja, asimetričnost je poznata odavno (npr. Američki rat za nezavisnost), no nakon završetka Hladnog rata ova forma ratovanja postaje pretežita u svijetu. Pri tome, u isto vrijeme, terorističke prijetnje koje se šire globaliziranim svijetom, predstavljaju asimetrične prijetnje u znatno širem smislu od vojnog – prijetnje nacionalne sigurnosti, ekonomske i društvene dobrobiti. Ubrzani tehnološki razvoj, praćen sveprisutnim Internetom, pridružuje konceptu asimetričnih prijetnji i nove tehnološke, odnosno kibernetičke forme prijetnji, također asimetričnih obilježja.

Uvođenje procesa upravljanja rizicima u državnoj upravi najprimjetnije se događa u području sigurnosti informacijskih sustava, gdje na prijelazu stoljeća više nije bilo moguće voditi sigurnosnu politiku izoliranih informacijskih sustava2, na način kakav je bio koncipiran u 60-tim godinama prošlog stoljeća. Promjene u razvoju tehnologije, liberalizacija telekomunikacijskog sektora, kao i sveprisutnost Interneta, promijenile su obilježja tradicionalnog pojma izoliranosti klasificiranih informacijskih sustava (umjesto fizičke, logička izolacija), što je, s jedne strane, otvorilo niz ranjivosti današnjih klasificiranih informacijskih sustava (npr. problem programskih zakrpa), te ih u određenoj mjeri izložilo suvremenim prijetnjama (npr. virusi). Iako se i ove suvremene prijetnje mogu svrstati u karakteristične skupine otkaza, nezgoda i napada, specifičnost je da moramo jasno razlikovati dvije važne kategorije prijetnji informacijskih sustava u odnosu na tradicionalno poimanje: nestrukturirane prijetnje (hakeri, pojedinci) i strukturirane prijetnje (strane države, terorističke i kriminalne organizacije). Ove prijetnje je potrebno promatrati u kontekstu okolnosti nastalih nakon završetka Hladnog rata, kontekstu kibernetičkog prostora bez političkih i geografskih granica, s anonimnim počiniteljima novih kaznenih djela, brzim razvojem, s jedne strane tehnologije sa svim svojim unutarnjim ranjivostima, te s druge strane alata i tehnika za iskorištavanje ovih 2 Air-gap, informacijski sustavi bez postojanja fizičke veze s vanjskim svijetom, danas se ovaj pojam koristi i za klasificirane informacijske sustave bez logičke veze s vanjskim informacijskim servisima



ranjivosti, lakom dostupnošću i rasprostranjenosti alata za napade, te naročito mogućnošću automatiziranih metoda kibernetičkih napada. Sve ovo, u konačnici rezultira činjenicom da na ekspertno-analitičkoj razini nije moguće predvidjeti vjerojatnost kibernetičkih napada, niti općenito asimetričnih prijetnji, kao što je to bio slučaj sa tradicionalnim, simetričnim sigurnosnim prijetnjama.

U takvoj situaciji tradicionalna politika informacijske sigurnosti u državnoj upravi, utemeljena na konceptu minimalnih sigurnosnih kriterija (engl. Baseline Approach), koji su usko povezani sa stupnjevima tajnosti klasificiranih podataka, pribjegava selektivnoj primjeni metoda upravljanja rizikom. To znači da se upravljanje rizikom primjenjuje u određenim područjima informacijske sigurnosti (npr. sigurnost informacijskih sustava, fizička sigurnost, sigurnost podataka i sl.) ili na određenim razinama (npr. okosnica računalne mreže i najvažniji informacijski sustavi). Na taj način se selektivno primjenjuje metoda upravljanja rizikom, u kombinaciji s trajno prisutnim minimalnim sigurnosnim kriterijima po svim područjima informacijske sigurnosti. S obzirom da je ažuriranje politike informacijske sigurnosti uobičajeno jedan do dva puta godišnje, pojedini sigurnosni elementi koji se kroz upravljanje rizicima pokažu kao kvalitetna rješenja, uključuju se po potrebi u minimalne sigurnosne kriterije pojedinih područja informacijske sigurnosti.

U osnovi, koncept minimalnih sigurnosnih kriterija poznat je i u privatnom sektoru kroz princip primjene najbolje prakse. Primjerice i danas najšire korištena paleta normi informacijske sigurnosti ISO/IEC 27000, nastala je 1995.g. kao BS 7799-1 (kasnije ISO 17799), odnosno kao skup najboljih praksi, koji u početku i nije bilo moguće certificirati, jer je BS 7799-2, kao norma za provedbu certifikacije nastao tek 1998.g. Potrebno je uočiti da koncept minimalnih sigurnosnih kriterija ne ide za tim da rizike postavi u korelaciju sa vrijednošću imovine, već umjesto toga traži identificiranje i postavljanje predefiniranih sigurnosnih kontrola ili zaštita u procese. Kako se te sigurnosne kontrole određuju? U osnovi postoje dva modela, onaj koji je nastao eksplicitnim propisivanjem i uobičajen je za državnu upravu (politika informacijske sigurnosti državne uprave), te drugi koji se koristi izvan državne uprave i temelji na principima najbolje prakse. Iz različitih normi najbolje prakse, kao što je opisani primjer s normom ISO 17799, odabiru se kontrole koje se implementiraju, a procjena se vrši usporedbom sa sličnim tvrtkama u poslovnoj grani kojom se određena tvrtka bavi.

Potrebno je napomenuti da su minimalni sigurnosni kriteriji, kao i upravljanje rizicima, usko povezani s dva važna regulativna pojma: „Due Care“ i „Due Diligence“. Pri tome „Due Care“ znači zakonsku odgovornost pravne osobe za primjerenu pažnju u provedbi sigurnosnih propisa (engl. Due Care / Duty of Care), koja se tipično dokazuje provedbom relevantnih standarda informacijske sigurnosti (najbolje prakse), čime se izbjegava eventualna odgovornost pravne osobe za određeni sigurnosni problem koji je primjerice rezultirao štetom po korisnike. Može se reći da su minimalni sigurnosni kriteriji u stvari jedna vrsta interpretacije zahtjeva o primjerenoj pažnji u provedbi sigurnosnih propisa. „Due Diligence“ predstavlja zakonsku odgovornost pravne osobe za kontinuirano istraživanje i razumijevanje rizika s kojima se tvrtka suočava (engl. Due Diligence / Duty of Diligence), čime se primjerice propisuje direktna odgovornost osoba u upravi tvrtke za poslovanje tvrtke (regulativa korporativnog upravljanja), a obveza se realizira primjenom odgovarajuće metode upravljanja rizicima. Svrha je zaštita svih zainteresiranih strana u poslovanju tvrtke (vlasnici, zaposlenici, kooperanti, korisnici, …). Slično kao i za „Due Care“ koncept, može se i ovdje reći da je provođenje upravljanja rizikom u stvari jedna vrsta interpretacije zahtjeva korporativne odgovornosti u provedbi sigurnosnih propisa.



2. Osnovni pojmovi i koncepti upravljanja rizikom

U ovom poglavlju bit će razmotrena značajnija obilježja različitih koncepata i metoda upravljanja rizikom koje se koriste u području informacijske sigurnosti.

Temeljni princip u metodama upravljanja rizikom je taj da odgovornost treba pridružiti onom organizacijskom entitetu koji je najbolje pozicioniran za upravljanje rizikom. U protivnom dolazi do neuravnoteženih inicijativa koje mogu onemogućiti prihvaćanje logičnih protumjera za umanjivanje rizika [6]. Primjeri u praksi dobro pokazuju taj problem. Tako recimo problem sigurnosti bankomata nije rješiv ukoliko se banke ne utvrde odgovornim za kartične prijevare. Ukoliko je teret dokazivanja prijevara na krajnjem korisniku, banka nije motivirana za sigurnosna ulaganja. Praksa pokazuje da je mehanizam pravilnog određivanja odgovornosti za rizike (pravna odgovornost) puno uspješniji od detaljnog regulativnog obvezivanja (normiranje), jer čini organizaciju (pravnu osobu) poslovno odgovornom, dok u ovom drugom slučaju obično samo jedan segment organizacije (organizacijska jedinica) biva tek „tehnički“ odgovoran za provedbu određene norme, ali ne i za stvarne posljedice rizika po poslovanje, odnosno korisnike. Drugi primjer su trendovi regulative elektroničkih komunikacije u EU zemljama, kao i u RH, gdje se vidi pomak u postavljanju odgovornosti na operatore pojedinih javnih elektroničkih mreža, odnosno davatelje Internet pristupa, primjerice u obvezama filtriranja neželjene elektroničke pošte (engl. spam). Loša podjela odgovornosti bila bi primjerice u prevenciji distribuiranih napada onemogućavanjem usluga (DDOS), kada bi se odgovornim proglasili krajnji korisnici. Prosječan krajnji korisnik nema znanja niti mogućnosti boriti se sa ovakvim napadom. Problem reguliranja ovih pitanja ostaje prisutan jer nije lako odrediti optimalnu ravnotežu između tehničkih i regulativnih mehanizama. Primjerice koji omjer preventivnih mjera i filtriranja sadržaja propisati, ili koliko filtriranja je u obvezi raditi mreža izvor na svom odlazu, a koliko mreža cilj na svom dolazu, ili pak ciljni sustav elektroničke pošte.

Nadalje, postoji problem asimetričnih informacija poznat iz ekonomije, koji se manifestira u području informacijske sigurnosti, primjerice u sigurnosti programskih produkata. Paradoks leži u činjenici da nema dobrog načina kojim bi korisnici razlikovali sigurne od nesigurnih proizvoda te slijedom toga proizvođači nisu motivirani investirati u sigurnost proizvoda. Certifikacijske procedure kao što je Common Criteria (CC) [7], bile su rani pokušaj odgovora na ovaj problem. No zbog dugotrajnog procesa certifikacije povezanog s visokim troškovima te nemogućnošću praćenja dinamike tržišta novih proizvoda, rijetke tvrtke se, samo za manji broj proizvoda, odlučuju upustiti u proces certificiranja po Common Criteria normi, odnosno normi ISO/IEC 15408, koja je u međuvremenu nastala preuzimanjem CC norme. Spomenuta problematika asimetričnih informacija [8] i paradoks kao što je prikazani slučaj motivacije za proizvodnju sigurnih proizvoda, spada u područje sigurnosne ekonomike [9], grane koja povezuje problematiku sigurnosti i ekonomije i koja je tijekom posljednjih nekoliko desetljeća razvoja tehnologije i Interneta izgubila na važnosti, ali se brzo i uspješno revitalizira posljednjih godina.

Pored već spomenutog problema odgovornosti banaka ili krajnjih korisnika za kartične prijevare, potrebno je napomenuti da na temeljni princip metoda upravljanja rizikom u smislu pridruživanja odgovornosti organizacijskom entitetu koji je najbolje pozicioniran za upravljanje rizikom, bitno utječu i prijetnje. Tako u slučaju suvremenih kartica za financijske transakcije koje koriste kombinaciju čip i pin zaštite imamo primjer potencijalne ranjivosti (mogućnost provedbe transakcije karticom bez korištenja pina) koja je dokazana prema [10] i koja dodatno problematizira područje priznavanja šteta između trenutka nestanka kartice i poništenja kartice od banke koja ju je izdala, a na zahtjev korisnika. Ovo je vremenski prozor koji je u mnogim slučajevima u odgovornosti krajnjeg korisnika nestale kartice.



Složenost organizacije, tehnologije, kao i pravnih odgovornosti, čini suvremeno informacijsko društvo osjetljivim na čitav niz povezanih prijetnji i ranjivosti koje se dinamički mijenjaju zajedno sa stalnom promjenom sigurnosnog okruženja [11]. Odgovore na ova pitanja prijetnji i ranjivosti, uglavnom nije moguće dati niti kroz tehnološka, niti kroz organizacijska, a niti kroz pravna rješenja, već isključivo kombinacijom tih rješenja. Stoga su u području informacijske sigurnosti sve više primjenjivana različita rješenja temeljena na upravljanju rizicima, čiji je osnovni cilj procijeniti konkretne rizike te ih na odgovarajući način obraditi.

2.1. Taksonomija osnovnih pojmova u upravljanju rizikom

Upravljanje rizikom (engl. Risk Management) je pojam koji obuhvaća cjelokupni kontinuirani proces koordiniranih aktivnosti za usmjeravanje i kontrolu organizacije u odnosu na rizik.

Procjenjivanje rizika (engl. Risk Assesment) je sveukupni proces analize rizika i njihovog vrednovanja. Služi za određivanje vrijednosti imovine, frekvencije prijetnji, procjenu utjecaja na imovinu i drugih faktora vjerojatnosti događanja.

Analiza rizika (engl. Risk Analysis) pruža osnovu za vrednovanje rizika, obradu i prihvaćanje rizika. Povezuje prijetnje, ranjivosti i imovinu, utvrđuje potencijal i prirodu neželjenog događaja, identificira i procjenjuje protumjere za smanjivanje rizika.

Vrednovanje rizika (engl. Risk Evaluation) je proces usporedbe procijenjenog rizika i danih kriterija rizika kako bi se odredilo značenje rizika u konkretnom okruženju.

Kriteriji rizika (engl. Risk Criteria) su referentni uvjeti prema kojima se procjenjuje značenje rizika, a mogu uključivati pridružene troškove, zakonske zahtjeve, socioekonomska gledišta i okolinu, druge podatke koji se tiču zainteresiranih strana, prioritete i ostale ulazne podatke potrebne za procjenjivanje.

Informacijska imovina (engl. Information Asset) može biti bilo koje sredstvo koje se koristi za obradu, pohranu i komuniciranje s podacima. Postoji više elemenata vrijednosti imovine, direktnih i indirektnih, koje treba razmotriti: vrijednost zamjenskog sredstva ili popravka, trošak zamjene podataka na informacijskom sredstvu, trošak zamjene programske podrške, skup troškova povezanih s gubitkom povjerljivosti, raspoloživosti i cjelovitosti podataka. Na taj način računa se vrijednost imovine (engl. Asset Value).

Prijetnja (engl. Threat) je potencijalni uzrok slučaja koji može naškoditi sustavu ili organizaciji.

Ranjivost (engl. Vulnerability) je slabost informacijskog uređaja ili grupe uređaja koje može iskoristiti jedna ili više prijetnji.

Rizik (engl. Risk) je kombinacija vjerojatnosti događaja i njegovih posljedica. Najbolje se opisuje skupinom pitanja:

1. Što se može dogoditi? (Što je prijetnja?) 2. Koliko teško može biti? (Koliki je utjecaj ili posljedica?) 3. Koliko često se može dogoditi? (Kolika je frekvencija?) 4. Koliko su pouzdani odgovori na prva tri pitanja? (Koliki je stupanj izvjesnosti?)

Zaštitna protumjera ili sigurnosna kontrola (engl. Countermeasure, Security Control) predstavlja mjeru smanjenja rizika otkrivanjem, prevencijom, odvraćanjem ili korekcijom.

Jednokratni očekivani gubitak (engl. Single Loss Expectancy – SLE) određuje novčani gubitak za svaku pojavu prijetećeg događaja. Računa se kao umnožak vrijednosti imovine (engl. Asset Value - AV) i faktora izloženosti (engl. Exposure Factor - EF):

SLE = AV * EF (1)



Faktor izloženosti (engl. Exposure Factor – EF) predstavlja veličinu gubitka ili utjecaja na vrijednost imovine. Izražen je u formi očekivanog postotka gubitka vrijednosti imovine pri djelovanju prijetnje.

Godišnja učestalost pojave prijetnji (engl. Annualized Rate of Occurence - ARO) predstavlja frekvenciju kojom se očekuje pojava prijetnji na godišnjoj razini.

Godišnji očekivani gubitak (engl. Annualized Loss Expectancy - ALE) određuje godišnji novčani gubitak za procjenu pojave prijetećeg događaja. Računa se kao:

ALE = SLE * ARO (2)

Obrada rizika (engl. Risk Treatment) je proces obrade, odabira i primjene mjera za promjenu rizika. Koriste se odluke o izbjegavanju rizika (engl. Risk Avoidance), o smanjenju rizika (engl. Risk Reduction), prihvaćanju rizika (engl. Risk Acceptance) ili prijenosu rizika (engl. Risk Transfer).

Izbjegavanje rizika (engl. Risk Avoidance) je odluka da se ne ulazi u rizičnu situaciju ili akcija kojom se izbjegava rizična situacija.

Smanjenje rizika (engl. Risk Reduction) predstavlja poduzete akcije u cilju smanjenja vjerojatnosti rizika i/ili smanjenja negativnih posljedica rizika (utjecaj na imovinu).

Prihvaćanje rizika (engl. Risk Acceptance) je odluka o prihvaćanju procijenjenog i analiziranog rizika.

Prijenos rizika (engl. Risk Transfer) je dijeljenje tereta gubitka nastalih u svezi s rizikom s drugom stranom.

2.2. Problem subjektivnosti metoda procjenjivanja rizika

U osnovi je proces upravljanja rizikom sličan procesu upravljanja projektom. Tako se na sličan način kao i u upravljanju projektima, određuje niz elemenata koje moraju razumjeti i podržati sve zainteresirane strane kako bi se projekt mogao odvijati. To su elementi kao što su pozadina, svrha, okvir, ograničenja, ciljevi, odgovornosti, ili pristup projektu. Upravo stoga i postoje problemi kod korištenja kvalitativnih metoda upravljanja rizikom, koje nisu pogodne za financijske izračune kakvi se očekuju od osoba odgovornih za donošenje odluke o financiranju projekata u tvrtki. S druge strane, postoji čitav niz objektivnih poteškoća u prikupljanju podataka za upravljanje rizikom, koji rezultiraju subjektivnim elementima u procesu upravljanja rizikom, što u osnovi nije karakteristično za metode upravljanja projektima.

Najpoznatiji parametar u procesu upravljanja rizikom je ALE, godišnji očekivani gubitak, koji se računa na temelju faktora SLE i ARO. Iako davno uveden, ALE izračun ima niz nedostataka kao što je problem da ne uzima u izračun učinkovitost kontrola i faktor izvjesnosti događaja. Nadalje, ALE ne može razlikovati između prijetnji niske frekvencije/visokog utjecaja i prijetnji visoke frekvencije/niskog utjecaja. ALE izračun navodi na razmišljanje o valutnim iznosima prosječne vrijednosti, unatoč tome što stvarni gubici ne gravitiraju prema prosjeku već prema udaljenim krajevima (događaj se ostvario ili ne, a ne „prosječno se ostvaruje s određenim utjecajem“). Nadalje postoji problem nedostatka podataka o frekvenciji prijetnji ili njihovom utjecaju te se tu preporučuje korištenje gotovih tablica, odnosno automatiziranih alata.

Opisana nepreciznost ALE izračuna je realni problem, osobito za niske frekvencije prijetnji. Primjerice za ARO = 1/4 = 0.25 (gubitak se događa u prosjeku svake 4 godine), a SLE=100 000.00 Kn (šteta po jednom događanju), slijedi da je ALE=25 000.00 Kn (prosječna godišnja šteta). Korištenjem Poissonove razdiobe [2], može se dobiti razdioba vjerojatnosti za



određeni broj gubitaka u godini, odnosno za vrijednosti k unutar skupa cijelih brojeva {0, 1, 2, …} prema (3).

(3)

Sl. 2. Krivulja Poissonove razdiobe, apscisa je broj događaja, ordinata je vjerojatnost, bojama su

prikazani različiti intenziteti događanja Intenzitet događanja λ je u našem slučaju broj događaja u jedinici vremena, tj. ARO, jer

se broj događanja normalizira na jednu godinu. Problem nastaje za male vrijednosti intenziteta događanja, odnosno za niske frekvencije prijetnji. U tom slučaju razdioba vjerojatnosti za mogući broj događaja u traženom vremenskom razdoblju (u našem slučaju godina) grupira se s visokom vjerojatnošću prema nula gubitaka i vrlo niskom vjerojatnošću (značajno ispod 0.5) za jedan ili više gubitaka u godini. To znači da je ALE parametar dobiven jednostavnim izračunom preko ARO i SLE parametara može biti pretjerano velik i da plan protumjera koje koštaju godišnje 25 000.00 Kn, može biti značajno previsok u odnosu na očekivanja iz razdiobe vjerojatnosti u Tablici 1., te u odnosu na rizik koji organizacija ocijeni kao prihvatljiv.

Broj gubitaka u godini Razdioba vjerojatnosti Godišnji gubitak

0 0.7788 0 Kn 1 0.1947 100 000 Kn 2 0.0243 200 000 Kn ≥3 0.0022 ≥ 300 000 Kn

Tablica 1. Poissonova razdioba vjerojatnosti za odabrani slučaj ALE parametra

Nepreciznost izračuna za nisku frekvenciju prijetnji zanemarena je zbog jednostavnosti

i slikovitosti izabranih veličina ALE, ARO i SLE, no potrebno je napomenuti da uz prikazani problem razdiobe vjerojatnosti, koji ukazuje na očekivanu pogrešku, postoji i dodatni problem teškoće određivanja frekvencije prijetnji. Taj problem se pokušava nadomjestiti normiranim tablicama, odnosno lokalnim iskustvom, ali u većini slučajeva unosi dodatne netočnosti u izračun koji postaje osnova za financijsku opravdanost sigurnosnih kontrola, odnosno općenito zaštitnih protumjera. Potrebno je napomenuti da se prikazana netočnost (potencijalno prevelika



alokacija financijskih sredstava za sigurnosne kontrole) dodatno kumulira i preko ukupnog broja kontrola i prijetnji koje se u određenom sigurnosnom okruženju obrađuju, odnosno ostvaruju.

2.3. Rizik važan za informacijsku sigurnost

Upravljanje rizikom u području informacijske sigurnosti u novije vrijeme povezuje se s pojmom operativnog rizika. Iako ne postoji jednoznačna definicija operativnog rizika, najčešće se primjenjuje definicija nastala u okviru Basel II norme, koja opisuje operativni rizik kao rizik gubitka nastao zbog neodgovarajućih unutarnjih poslovnih procesa ili procesa u kojima postoje slabosti ili pogreške, odnosno zbog ljudskog faktora i tehničkih sustava ili zbog vanjskog događaja.

Basel norma je vršni dokument sektorske regulative bankarstva, koji u stvari predstavlja međunarodnu bankovnu normu koju je kreirao Bazelski odbor za bankovni nadzor (Basel Committee on Banking Supervision – BCBS). BCBS se sastoji od predstavnika središnjih banaka i bankovnih regulatora iz nekoliko EU država, Japana i SAD-a, koji potiču međunarodnu kooperaciju banaka i izdaju smjernice za nadzor banaka. Iako aktualna inačica Basel II norme nije zakon, njegovi zahtjevi preuzimaju se u zakonodavstvima velikog broja država u svijetu (npr. EU direktive 2006/48/EC, 2006/49/EC, koje su obvezujuće za sve države članice EU) i propisuju se kroz različite nacionalne propise koji mogu biti zakoni, uredbe ili pravilnici, odnosno odluke središnjih banaka, kao nadležnih tijela. U RH je preuzimanje Basel II norme utvrđeno donošenjem novog Zakona o kreditnim institucijama (NN 117/08) te čitavim nizom predviđenih podzakonskih akata (npr. Odluka HNB-a o upravljanju rizicima i drugi akti: http://www.hnb.hr/propisi/hpropisi.htm).

Definicija operativnog rizika kao rizika od gubitka izdvaja ga od tipičnih financijskih rizika koji su spekulativne prirode, odnosno rizika koji se poduzimaju u smislu ostvarivanja dobiti (npr. kreditni rizik ili valutni rizik). Nadalje, povezanost operativnog rizika s unutarnjim poslovnim procesima, osobama, sustavima i vanjskim događajima može se staviti u određeni odnos s temeljnim konceptima pristupa politici informacijske sigurnosti, odnosno upravljanju informacijskom sigurnošću.

Tradicionalni pristup upravljanju informacijskom sigurnošću temelji se na propisivanju minimalnih sigurnosnih mjera, koji su utvrđeni prema stupnjevima tajnosti podataka. To znači da se mjere zaštite primjenjuju na klasificirani podatak u bilo kojem obliku, odnosno na objekte (tehnologija i procesi) i subjekte (osobe) koji koriste ili pristupaju tim klasificiranim podacima. Ovakav pristup se primarno primjenjuje u okviru organizacija koje koriste klasificirane podatke (državni sektor i pravne osobe koje s njim surađuju) te podrazumijeva da je klasificirani podatak isključivi objekt zaštite, a sama metoda se primjenjuje na ljude, organizaciju (procese) i na tehnologiju, kada i ako su u doticaju s klasificiranim podacima [15]. Dakle, može se reći da definicija operativnog rizika u dobroj mjeri odgovara i riziku klasificiranih podataka u državnom sektoru, odnosno tradicionalnom pristupu u kojem se prijetnje promatra kroz skupine nezgoda, otkaza i napada.

Metode upravljanja rizicima u okviru suvremenog pristupa upravljanju informacijskom sigurnošću, temelje se na identificiranoj imovini unutar opsega ISMS-a, zatim na identificiranim prijetnjama za tu imovinu, identificiranim ranjivostima koje bi ove prijetnje mogle iskoristiti te na procjeni utjecaja koje gubitak povjerljivosti, cjelovitosti ili raspoloživosti može imati na imovinu. Sigurnosne kontrole (zaštitne mjere) štite identificiranu imovinu, tj. vrijednosti koje je organizacija identificirala u okviru opsega ISMS-a. I ovdje se može reći da definicija operativnog rizika odgovara metodi razvoja ISMS-a.



U osnovi ovako definirani operativni rizici predstavljaju sveobuhvatno viđenje prijetnja bilo da nastaju u okviru unutarnjih slabosti organizacije, zbog prirodnih nepogoda ili drugih vanjskih prijetnji te uslijed namjernog ili nenamjernog napada. Upravljanje operativnim rizikom znači balansiranje između rizika koji je povezan s nekom aktivnošću te rizika koji je povezan s neprovođenjem te aktivnosti. Nadalje, pojedinačni rizici imaju međusobnu interakciju na složen način te ublažavanje jednog rizika gotovo sigurno uvećava neki drugi. Stoga je nužna široka slika cjelokupnog poslovanja u kojem se upravlja operativnim rizikom [14].

Kao primjeri operativnog rizika mogu se navesti karakteristični rizici: 1. Rizik informacijske sigurnosti, povezan s neovlaštenim otkrivanjem,

modificiranjem ili gubitkom raspoloživosti podataka koji imaju svojstvo povjerljivosti;

2. Rizik održavanja i operativnog okruženja poslovnog objekta, povezan s upravljanjem kontinuitetom poslovanja i održavanjem IT-a;

3. Rizik sukladnosti s legislativom i regulativom, povezan s propisanim obavezama iz područja informacijske sigurnosti;

4. Rizik klimatoloških uvjeta i vremenskih nepogoda, povezan s upravljanjem kontinuitetom poslovanja.

Potrebno je napomenuti da, ovisno o primijenjenoj metodi ili internoj prosudbi pojedine organizacije, skup operativnih rizika može biti vrlo šarolik, ali se u osnovi uvijek radi o istoj skupini neprofitnih rizika, odnosno rizika koji su prijetnja za gubitke organizacije. Tako postoje detaljnije ili manje detaljne podjele operativnih rizika po vrsti, pri čemu se mogu posebno naglašavati i tretirati područja kao što je: rizik okvira upravljanja (neadekvatna infrastruktura upravljanja rizicima), reputacijski rizik institucije (javno mnijenje, mišljenje korisnika, reputacija na tržištu, …), rizik od kriminalnih i nedozvoljenih radnji (sve vrste kibernetičkog kriminala, …), rizik lanca snabdijevanja (prekidi, loša usluga ili upravljanje), kulturološki rizik (neadekvatan tretman kulturoloških sadržaja koji utječu na zaposlenike kao jezik, religija, način oblačenja, …), geopolitički rizik (problemi u nekim državama zbog političke nestabilnosti, loše infrastrukture ili kulturoloških razlika), rizik ljudskog potencijala (pronalaženje, razvoj i zadržavanje zaposlenika, zaštita od seksualne i rasne netrpeljivosti). U osnovi se većina ovih prilično detaljno razrađenih rizika može podvesti pod jedan od prije istaknuta četiri rizika pa način pristupa operativnom riziku uglavnom ovisi o vrsti organizacije koja provodi upravljanje rizikom (veličina, područje djelovanja, tržište, …).

2.4. Modeliranje sigurnosnog okruženja prilikom procjenjivanja rizika

Gledano s aspekta minimalnih sigurnosnih kriterija, najvažnija razlika pri korištenju metoda upravljanja rizikom jest u načinu izbora sigurnosnih kontrola. Izbor se vrši temeljem procjenjivanja i analize rizika, dakle vjerojatnosti ostvarenja i razine utjecaja na imovinu, pri čemu je potrebno procjenjivati i prijetnje i ranjivosti i utjecaje. Kako bi se odabrale odgovarajuće sigurnosne kontrole, većina metoda za upravljanje rizikom utvrđuje odgovarajuće modele prijetnji [14] [16]. Ovaj proces je od velike važnosti jer se na njemu temelji ostvarenje sigurnosnih kontrola. Gledajući s aspekta privatnog sektora ovaj mehanizam najčešće služi i kao opravdanje investicije u sigurnosne kontrole, a gledajući s aspekta državnog sektora ovaj mehanizam je važan jer mora osigurati konzistentnost odabranih sigurnosnih kontrola, u slučaju kada ne postoje minimalni sigurnosni kriteriji već se sveukupne sigurnosne mjere temelje na procijenjenom riziku. Procjena rizika obuhvaća procjenjivanje prijetnji i ranjivosti, jer se napad događa upravo preko vektora prijetnja-ranjivost.



Pored normi koje u sebi sadrže upravljanje rizikom, kao što je često primjenjivana paleta ISO/IEC 27000 ili AS/NZS 4360 (Australija i Novi Zeland), postoje i drugi pristupi koji su specijalizirani za područje modeliranja prijetnji i ranjivosti, kao što su OCTAVE, CVSS, Microsoftov Threat Risk Modeling sa STRIDE i DREAD metodama, ili SABSA model [14][16]. Na Sl.2. prikazan je općeniti periodički proces procjenjivanja sigurnosnog rizika sa svojim glavnim sastavnicama. U osnovi sve norme koje se temelje na upravljanju rizikom prate faze sa Sl.3. Proces procjenjivanja rizika u funkciji je procesa upravljanja rizicima kao temelja uspostave sustava upravljanja informacijskom sigurnošću (ISMS) prema Sl.4.

Sl.3. Općeniti proces procjenjivanja sigurnosnog rizika

Sl.4. Petlja povratne veze u upravljanju sustavom informacijske sigurnosti, s naznačenim glavnim fazama upravljanja sigurnosnim rizikom

Ranjivosti su na logičkom modelu (Sl.5.) opisane tako da se ostvaruju preko izloženosti imovine određenoj prijetnji, čime nastaje utjecaj ili posljedica određenih razmjera. Procjenjivanje ranjivosti provodi se kroz više izvora, počevši od općih popisa ranjivosti dostupnih kroz norme ili automatizirane alate, preko ranjivosti sustavske i aplikativne programske podrške koju osiguravaju proizvođači ili nezavisne institucije, pa do vlastitog istraživanja i integracije spomenutih metoda. Prisutne su i inicijative na nacionalnoj razini kao što je Nacionalna baza podataka o ranjivostima (National Vulnerabilities Database – NVD) u



SAD-u [17], koja u sebi objedinjava različite izvore ranjivosti u informacijskoj tehnologiji (IT). Baza podataka objedinjava sve javno raspoložive izvore o ranjivostima u SAD-u (državne, razvojnih ustanova, industrijske). Utemeljena je na konceptu zajedničkih ranjivosti i izloženosti (Common Vulnerabilities and Exposures – CVE) te otvorena za vanjske sudionike u dokumentiranju ranjivosti, pod uvjetima poštivanja zadanih tehničkih zahtjeva (sukladnost specifikacija).

Sl.5. Logički model sigurnosnih kontrola

NVD prepoznaje i niz drugih otvorenih inicijativa za procjenjivanje ranjivosti, kao što je primjerice Common Vulnerabilities Scoring System – CVSS [18]. CVSS je složena metoda koja koristi tri grupe hibridnih kvalitativno-kvantitativnih metrika za opis svake pojedine ranjivosti (Sl.6.). Osnovna grupa metrika opisuje stalna svojstva određene ranjivosti, grupa privremenih metrika opisuje promjenjiva svojstva, a metrika okruženja utvrđuje svojstva koja su tipična za određeno korisničko okruženje.

Sl.6. Grupe metrika CVSS metode za opis ranjivosti

Ako zanemarimo razvoj u području ranjivosti sustava i proizvoda koji nužno moraju poduzimati proizvođači programske podrške zbog velikog broja propusta i grešaka u svojim proizvodima, može se uočiti da je većina ozbiljnijih strateških razvoja ranjivosti, nastala u okviru akademskog ili državnog sektora, odnosno u suradnji ova dva sektora. Stvaranje boljih



modela ranjivosti, u velikoj je mjeri rezultat pokušaja državnog sektora razvijenih zemalja da doskoče problemu neodređenosti koji postoji u sigurnosnom okruženju [19], kako bi korištenje metoda upravljanja rizikom bilo objektivnije i samim tim prihvatljivije za korištenje u okruženju tradicionalne politike informacijske sigurnosti državnog sektora [15].

Za modeliranje prijetnji često se koriste tradicionalne metode kao što je analiza stabla kvara (Fault Tree Analisys – FTA), analiza stabla događaja (engl. Event Tree Analisys – ETA), analiza vjerojatnosti rizika (engl. Probabilistic Risk Assesment – PRA), analiza otkaza rada i posljedičnih kritičnih efekata (engl. Failure Mode and Effect Criticality Analisys – FMECA). Također se koriste popisi prijetnji po kategorijama, odnosno procjenjivanje sukladno jednostavnijim metodama kao što je STRIDE (engl. Spoofing identity, Tampering with data, Repudiation, Information disclosure, Denial of service, Elevation of privileges).

Model prijetnji sa Sl.5. treba se dodatno razraditi prema Sl.7. kako bi obuhvatio značajna svojstva elementa prijetnje u ukupnom logičkom modelu sigurnosnog okruženja [14]. Definicija operativnog rizika sama po sebi sugerira četiri vrste prijetnji koje treba razmatrati: prijetnje za osobe, procese, sustave i za vanjske događaje (Tablica 2.). Postoji čitav niz kategorija prijetnji, koje su povezane s jednom ili više temeljnih vrsta prijetnji (regulativna sukladnost, odgovornost za proizvode i usluge, kriminalne i nedozvoljene radnje, terorizam i sl.).

Sl.7. Logički model sigurnosne prijetnje

Vrste prijetnji Opis domene Određena prijetnja

Osobe Maliciozna kršenja ili zanemarivanja interne

sigurnosne politike;

Ljudske greške.

Sadašnji zaposlenici;

Prijašnji zaposlenici;

Osobe u procesu zapošljavanja.

Procesi Slabosti ili nepostojanje procedura;

Propust u postupanju po definiranim

procedurama.

Zaposlenici;

Klijenti;

Dobavljači;

Davatelji usluga;

Partneri;

Javnost.



Sustavi Nepredviđeni kvar tehničkih sustava;

Nedovoljna robusnost tehničkih sustava.

Tehnički kvar sustava u okviru

propisane uporabe;

Tehnički kvar sustava zbog

neadekvatnog dizajna ili loše

implementacije.

Vanjski događaji Prirodne katastrofe;

Katastrofe zbog ljudske pogreške;

Maliciozne akcije vanjskih aktera;

Nemar vanjskih aktera;

Legitimne akcije vanjskih aktera.

Prirodni događaji;

Nesreće;

Maliciozni vanjski akteri;

Nemarni vanjski akteri;

Konflikt poslovnih interesa s vanjskim

akterima.

Tablica 2. Vrste sigurnosnih prijetnji

Logički model sigurnosnih prijetnji sa Sl.7. utvrđuje obilježja sigurnosne prijetnje s

obzirom na njene vlastite karakteristike (vrsta, sposobnosti), te s obzirom na specifično okruženje (određenje, motivacija, prilika, zajedno s odgovarajućim inicijatorima te mogućim ometačima i podstrekačima), čineći tako scenarij u kojem se određena prijetnja može realizirati u odnosu na neku ranjivost sa Sl.5., tvoreći tako vektor napada. Primjerice u okviru vanjskih događaja imamo prirodne događaje kao vrstu prijetnji, a primjerice riječnu poplavu kao specifičnu prijetnju, pri čemu lokaciju poslovnog prostora u prizemlju, blizu rijeke, predstavlja ranjivost koju ova prijetnja može iskoristiti.

Prijetnje informacijskih sustava promatraju se metodama prilagođenim za praćenje toka podataka i specifičnosti informacijske tehnologije. Jedna od takvih je STRIDE model koju Microsoft koristi u okviru svoje metode modeliranja prijetnji informacijske tehnologije [20]. U tablici 3. prikazana je povezanost prijetnji koje utvrđuje model prijetnji u okviru informacijske tehnologije (IT) sa sigurnosnim kriterijima.

Prijetnja Sigurnosni kriterij Engl. Hr. Engl. Hr.

Spoofing Prijevare (identiteta) Authentication Autentifikacija Tampering Izmjena podataka Integrity Cjelovitost Repudiation Poricanje aktivnosti Non-repudiation Neporecivost Information disclosure Neovlašteno otkrivanje Confidentiality Povjerljivost Denial of service Onemogućavanje usluge Availability Raspoloživost Elevation of privilege Podizanje privilegija

korisnika na sustavu Authorization Autorizacija

Tablica 3. STRIDE model prijetnji u IT-u, veza prijetnji i sigurnosnih kriterija

Analiza (dekompozicija) informacijskog sustava provodi se na takav način da se sustav

prikaže pomoću četiri odabrana elementa dijagrama toka podataka, koji su povezani sa prijetnjama utvrđenim STRIDE modelom. U tablici 4. prikazana su ova četiri elementa koji se koriste u prikazu dijagrama toka podataka informacijskog sustava, kao i njihova veza sa pojedinim STRIDE prijetnjama.



Element S T R I D E

Vanjski entitet X X

Proces X X X X X X

Pohrana podataka X X X X

Tok podataka X X X

Tablica 4. Povezanost elemenata dijagrama toka podataka sa STRIDE prijetnjama Slično metodi stabla kvara ili stabla događaja, može se koristiti i stablo prijetnji prema

Sl. 8.

Sl.8. Dio razrade stabla prijetnja za napad prijevarom identiteta (spoofing identity)

Na Sl.9. prikazana je dekompozicija jednostavnog primjera informacijskog sustava,

preko tablicom 4. utvrđena četiri elementa dijagrama toka podataka. U gornjem dijelu slike prikazana je simbolička shema informacijskog sustava, a u donjem dijelu dijagram toka podataka temeljen na prethodno utvrđena četiri elementa.

Sl.9. Dekompozicija informacijskog sustava i prikaz preko dijagrama toka podataka s 4 elementa preko kojih se povezuju prijetnje STRIDE modelom



3. Primjeri korištenja kombinacije minimalnih sigurnosnih kriterija i upravljanja rizikom u okviru politike informacijske sigurnosti

3.1. Politika informacijske sigurnosti u državnoj upravi

Karakteristične primjene upravljanja rizikom u državnoj upravi bit će ukratko prikazane kroz područja informacijske sigurnosti u okviru kojih se primjenjuju. U poglavlju 1. prikazana je ukratko koncepcija sigurnosne politike u državnom sektoru i zahtjeva minimalnih sigurnosnih kriterija te razlike u odnosu na koncept upravljanja rizikom koji je temelj suvremenih normi informacijske sigurnosti, primjerice norme ISO/IEC 27001. U poglavlju 2. prikazana je osnovna koncepcija suvremenih metoda upravljanja rizikom s naglaskom na modeliranje sigurnosnog okruženja pri procjenjivanju rizika te na tipične probleme subjektivnosti povezane s metodama procjenjivanja rizika. Upravo ta nedovoljna određenost sigurnosnog okruženja i nužnost subjektivnog procjenjivanja rizika, razlog je što se upravljanje rizikom još uvijek nije uvriježilo kao metoda iz koje se generiraju sigurnosni zahtjevi u državnom sektoru, a na način kako se to provodi u okviru normi kao što je ISO/IEC 27001. Tako su eksplicitno propisani minimalni sigurnosni kriteriji i dalje temeljni sigurnosni zahtjevi za obveznike propisa o informacijskoj sigurnosti u državnoj upravi, dok se metode upravljanja rizikom, na različite načine koriste kao dodatne metode za optimizaciju sigurnosnih mjera u svakom pojedinom području informacijske sigurnosti, odnosno u određenom sigurnosnom okruženju.

U sklopu ovog generalnog određenja prema pristupu upravljanju rizikom u sigurnosnoj politici državne uprave u većini razvijenih zemalja svijeta, postoji i čitav niz metoda temeljenih na upravljanju rizikom, a koje predstavljaju neizostavni dio tradicionalne sigurnosne politike. Ove metode mogu se prepoznati prateći koncepte provedbe informacijske sigurnosti u okviru pet područja informacijske sigurnosti tipičnih za politiku informacijske sigurnosti u državnoj upravi. Upravo to će biti i jedan od predmeta analize trećeg poglavlja.

3.1.1. Područje sigurnosti podataka Temeljni princip u metodama upravljanja rizikom jeste princip pridruživanja

odgovornosti entitetu koji je najbolje pozicioniran za upravljanje rizikom. Ovo vrlo važno pravilo u tradicionalnoj sigurnosnoj politici državnog sektora uobičajeno se provodi na organizacijskoj razini. Cilj implementacije ovog pravila je opća zaštita klasificiranih podataka, ali i uvođenje decentralizacije u odlučivanju o pristupu klasificiranim podacima.

U osnovi ovaj model organizacije sastoji se od prepoznavanja vlasnika rizika (izvorni nositelj), delegiranog upravitelja (zainteresirani nositelj) te sigurnosnog savjetnika (stručno osposobljeni savjetnik) [21]. Vlasnik rizika utvrđuje model organizacije u okviru kojega mora definirati rizik, procijeniti razinu rizika koju može tolerirati (engl. Risk Apetite), odrediti delegiranog upravitelja te se na odgovarajući način uključiti u provođenje postupka odabira sigurnosnog savjetnika. Delegirani upravitelj provodi upravljanje rizikom u zadanim granicama tolerancije rizika, pri čemu dobiva kompetentne savjete sigurnosnog savjetnika. Opisani trokut međuodnosa vlasnika rizika, delegiranog upravitelja i sigurnosnog savjetnika može se proširivati po horizontali tako da vlasnik rizika određuje više delegiranih upravitelja, odnosno



po vertikali, tako da se odredi organizacijska hijerarhija kojom upravlja delegirani upravitelj, a paralelno s njom i hijerarhija savjetnika (Sl.10.).

Sl. 10. Princip pridruživanja odgovornosti za upravljanje rizikom nekom organizacijskom entitetu

Kao primjer može se uzeti i koncept regulative informacijske sigurnosti u državnom

sektoru RH, koji prati opisana organizacijska načela upravljanja rizikom. Tako primjerice Zakon o tajnosti podataka (NN 79/07) i Zakon o informacijskoj sigurnosti (NN 79/07) utvrđuju odgovornost središnjeg državnog tijela za informacijsku sigurnost (engl. National Security Authority – NSA), Ureda Vijeća za nacionalnu sigurnost (UVNS), za koordinaciju i usklađivanje donošenja i primjene mjera informacijske sigurnosti u RH i u razmjeni klasificiranih i neklasificiranih podataka između RH i stranih država i organizacija. Odgovornost za postupanje s klasificiranim podacima u državnim tijelima prenosi se na čelnike tih tijela. U tu svrhu čelnik UVNS-a kontrolira taj proces „delegiranja odgovornosti“ donoseći pravila za postavljanje savjetnika u državnim tijelima (Pravilnik o kriterijima za ustrojavanje radnih mjesta savjetnika za informacijsku sigurnost, UVNS, NN 100/08). Uloga savjetnika za informacijsku sigurnost u državnim tijelima je dvojaka, jer su oni podređeni čelniku i savjetuju ga u pitanjima informacijske sigurnosti, međutim istovremeno su strukovno podređeni UVNS-u, u okviru čega provode unutarnji nadzor o kojem izvještavaju i čelnika državnog tijela i čelnika UVNS-a.

Opisani princip pridruživanja odgovornosti za rizik entitetu najbolje pozicioniranom za upravljanje rizika, može se prepoznati i u drugim segmentima politika informacijske sigurnosti. Primjerice, jedan od čestih slučajeva je da se proces upravljanja rizikom provodi u središnjoj instituciji, a distribuirani organizacijski segmenti to provode po potrebi i pod određenim uvjetima, dok redovito moraju provesti definirani skup sigurnosnih mjera. U ovom slučaju, prema terminologiji sa Sl. 10., radi se o procjeni vlasnika rizika za uspostavu sigurnosnih mjera u distribuiranoj jedinici. Ta procjena može ići u smjeru procjenjivanja rizika u središnjoj instituciji i apliciranja rezultata na podružnice u obliku definiranog skupa mjera, ili pak može ići u smjeru delegiranja ovlasti za procjenjivanje rizika u lokalnom okruženju i odlučivanju o primjeni sigurnosnih mjera za smanjivanje tako procijenjenih rizika.



3.1.2. Područje fizičke sigurnosti

Pored opisanog koncepta pridruživanja odgovornosti organizacijskim entitetima za upravljanje rizikom, u okviru područja fizičke sigurnosti, uobičajeno je koristiti tzv. matricu minimalnih sigurnosnih kriterija. Ovo je u stvari razrada još jednog temeljnog principa informacijske sigurnosti, višestrukih zaštitnih mjera koje se implementiraju sukcesivno po dubini opsega koji se štiti (engl. Defence-in-depth). Primjer ovog koncepta vidi se u čl. 20. Uredbe o mjerama informacijske sigurnosti (NN 46/08).

Koncept višestruke zaštite predviđa niz slojeva zaštite kao što su: 1. sigurnosni spremnici za zaštitu klasificiranih podataka; 2. zaštita prostorija u kojoj se nalazi štićena imovina; 3. kontrola pristupa u objekt; 4. sustav otkrivanja napada (IDS); 5. zaštita objekta (zgrada unutar vanjskog opsega); 6. vanjski fizički opseg.

Ovisno o metodi razrade najčešće se uzimaju u obzir prikazanih šest slojeva fizičke zaštite. Uobičajeno je da, ovisno o mogućoj izvedbi svakog od slojeva, postoji po nekoliko načina izvedbe svakog sloja. Primjerice načini izvedbe slojeva su: vrsta i visina ograde, vrsta IDS-a, način građenja objekta (montažni, čvrsti) vrsta vrata, zaštita prozora, prisutnost čuvara, nadzor i reakcija interventnih timova, vrste brava i sustava za kontrolu pristupa, tip i kategorizacija sigurnosnog spremnika i sl. Metoda se sastoji od kategorizacije načina izvedbe svakog pojedinog sloja, koja je opisna, te od dodjeljivanja bodova (težinskih faktora) za svaki sloj zaštite. Ukupni bodovni zbroj po ostvarenim slojevima u nekom konkretnom slučaju, uspoređuje se s matricom minimalnih sigurnosnih kriterija. Matrica minimalnih sigurnosnih kriterija obično je realizirana prema postojećim stupnjevima tajnosti podataka i uključuje dvije razine informacija:

1. obvezujuće slojeve fizičke zaštite koji moraju postojati za pojedini stupanj tajnosti podataka (primjerice za VT mogu biti propisani kao obvezujući slojevi 1 do 5, a kao dodatni sloj 6, za OGR mogu biti propisani kao obvezujući slojevi 1 do 3, a kao dodatni, za postizanje potrebnog zbroja, slojevi od 4 do 6);

2. kvalitativne razine rizika, tri ili više (npr. niski, srednji i visoki rizik), pri čemu je za svaku razinu definirana veza prema utvrđenim bodovima pojedinih slojeva fizičke sigurnosti (npr. za niski rizik zbroj bodova po slojevima za određeni stupanj tajnosti mora biti najmanje 15).

Opisana metoda (Sl. 11.) u različitim varijacijama najčešće se primjenjuje u državnoj upravi NATO/EU država članica, ali se može sresti i šire u primjeni mjera informacijske sigurnosti, najčešće u području fizičke sigurnosti. Kvalitativna procjena rizika prema Sl. 11. diktira potreban zbroj bodova po slojevima ili zbirno (zadani parametri za razine rizika), a onda se kombiniranjem različitih kategorija može postići traženi zbir, koristeći najekonomičnije rješenje kojim će se iskoristiti sve prednosti postojećeg okruženja (postojeća ograda, čvrsti objekt, postojeći sigurnosni sef i sl.) i provesti minimalna dodatna investicija. Prikazana metoda na vrlo učinkovit način kombinira koncept minimalnih sigurnosnih kriterija i upravljanja rizicima u sigurnosnom okruženju.



Sl. 11. Matrica minimalnih sigurnosnih kriterija

Upravo načelo minimizacije sigurnosnih kontrola prilikom smanjivanja ili eliminacije

procijenjenih rizika, često se navodi kao jedini izvorni put u metodama upravljanja rizicima. Dosta tzv. konzervativnih stručnjaka za upravljanje rizicima, suvremene metode upravljanja rizicima karakteristične za informacijske sustave, smatra neprihvatljivim, jer umjesto optimiranja postojećih sigurnosnih kontrola u određenom sigurnosnom okruženju, nudi „beskonačno nadograđivanje i krpanje“ izvorno nekompletnih rješenja. No, dublja analiza ovog problema vodila bi u stanje na svjetskom tržištu programske podrške, a mehanizmi tržišta neumoljivo diktiraju izbacivanje novih programskih inačica s konkurentnim vizualnim i funkcionalnim karakteristikama, te neumoljivo pretvaraju produkcijska okruženja informacijskih sustava u ispitne poligone za dorađivanje programskih poluproizvoda prerano izbačenih u komercijalnu uporabu.

3.1.3. Područje sigurnosnih provjera fizičkih i pravnih osoba

Koncept koji se tradicionalno primjenjuje kod sigurnosnih provjera podrazumijeva provjeru povjerljivosti, pouzdanosti i lojalnosti osoba. Temelji se na popunjavanju sigurnosnog upitnika i sigurnosnoj provjeri odgovora koje kandidat napiše. Sigurnosna provjera se uobičajeno provodi preko nadležne sigurnosne službe, a procjena rizika radi se obično u nacionalnom NSA tijelu preko formalnih obrazaca za procjenjivanje rizika.

Metoda koja se ovdje primjenjuje, uobičajena je za područje informacijske sigurnosti (Sl. 12.). Sigurnosni upitnik se pažljivo kreira kako bi sadržajno pokrio sve segmente kojima se



utvrđuje početno određena tri kriterija za osobe: povjerljivost, pouzdanost i lojalnost. Ovakav koncept propisan je i u RH Zakonom o sigurnosnim provjerama (NN 85/08) i Zakonom o tajnosti podataka (NN 79/07), a sigurnosni upitnici propisani su Uredbom o sadržaju, izgledu, načinu ispunjavanja i postupanju s upitnikom za sigurnosnu provjeru (NN 114/08)3. Zakonski su propisana dva elementa koja se utvrđuju sigurnosnom provjerom, a to su zapreke i sigurnosni rizici. Zapreke su u smislu zakona: neistinito navođenje podataka u upitniku za sigurnosnu provjeru te činjenice koje su posebnim zakonom propisane kao zapreke za prijam u državnu službu. U sigurnosne rizike se ubrajaju izrečene stegovne sankcije i druge činjenice koje predstavljaju osnovu za sumnju u povjerljivost ili pouzdanost osobe za postupanje s klasificiranim podacima. Uvidom u sadržaj upitnika lako je uočiti koje su to činjenice koje mogu predstavljati sigurnosni rizik u ovom slučaju (npr. imovinsko stanje, dvojno državljanstvo, sudjelovanje u stranim vojnim postrojbama, rodbina, ovisnosti, kontakti s pripadnicima stranih obavještajnih službi i dr.). Sigurnosnom provjerom se utvrđuje pouzdanost odgovora koje je osoba ispunila u upitniku. Metoda je vrlo slična korištenju faktora izvjesnosti (engl. Certainty Factor - CF), koji omogućava kvantificiranje odgovora na određena pitanja [15]. U konačnici, nakon utvrđivanja zapreka i sigurnosnih rizika opisanim postupkom, donosi se odluka o certificiranju osobe ili o odbijanju zahtjeva s određenom mogućnošću prava žalbe. Na odluku primarno utječu eventualne zapreke koje su postupkom sigurnosne provjere utvrđene, kao i kumulacija procijenjenih sigurnosnih rizika.

Postupak sigurnosne provjere za pravne osobe provodi se u slučaju potrebe sklapanja klasificiranog ugovora s državnim tijelom o nabavi roba i usluga. Postupak je vrlo sličan postupku opisanom za fizičke osobe, ali u sebi sadrži nekoliko segmenata provjere: provjeru pravne osobe, provjere fizičkih osoba u pravnoj osobi koje će pristupati klasificiranim podacima tijekom provođenja klasificiranog ugovora, te sigurnosnu akreditaciju prostora (sigurnosna zona) i informacijskog sustava ukoliko su potrebne za provedbu klasificiranog ugovora. Sigurnosna provjera pravne osobe provodi se po istim načelima kao i sigurnosna provjera fizičkih osoba pri čemu se koristi poseban upitnik za pravnu osobu, propisan prije spomenutim pravnim aktima.

Sl. 12. Povezanost sigurnosnog upitnika, sigurnosne provjere, zapreka i sigurnosnih rizika te sigurnosnog certifikata

3 Zakonski i podzakonski akti te sigurnosni upitnici raspoloživi su na www.uvns.hr



3.1.4. Područje sigurnosti informacijskih sustava Koncept metoda procjenjivanja i upravljanja rizicima sigurnosti informacijskih sustava

u državnom sektoru, u osnovi je vrlo sličan konceptu upravljanja rizikom iz palete normi ISO/IEC 27000, odnosno BS 7799-3 te odgovara općenitom procesu upravljanja rizikom prikazanom na Sl.13. [22] [23].

Sl. 13. Faze procesa upravljanja rizikom

Za razliku od do sada prikazanih specifičnosti u drugim područjima informacijske

sigurnosti, područje sigurnosti informacijskih sustava ima veliku sličnost sa suvremenim pristupom upravljanju rizikom kakav se primjenjuje u nizu suvremenih međunarodnih i nacionalnih normi [21] [22] [23] [24] [25] [26]. Kao što je već rečeno u poglavlju 3.1.2. u okviru fizičke sigurnosti, razlog za to je veliki broj sigurnosnih prijetnji i ranjivosti povezanih sa suvremenom informacijskom i komunikacijskom tehnologijom. Upravljanje rizikom ima za cilj svesti vjerojatnost rizika primjene informacijske tehnologije u okvire prihvatljive za vlasnike. To znači kako će vjerojatnost da neka prijetnja iskoristi ranjivost informacijskog sustava biti na odgovarajući način umanjena tako da bude u suglasju s ciljevima i načelima pristupa organizacije riziku.

Primjena sigurnosnih kontrola u području sigurnosti informacijskih sustava stoga na određeni način prati dva ključna smjera upravljanja. Prvi smjer pokriva životni ciklus informacijskih sustava i u okviru ovog procesa moraju se prepoznati i na odgovarajući način sigurnosno usmjeravati sve specifičnosti informacijske tehnologije koje dolaze do izražaja u različitim fazama životnog ciklusa informacijskog sustava. Koristi se najčešće pet do šest faza kao primjerice u [31]: planiranje, razvoj i nabava, izvedba i sigurnosna verifikacija, uporaba i održavanje, povlačenje iz uporabe i odlaganje. Drugi smjer predstavlja u stvari specifičnosti IT sigurnosnih kontrola i općenito se može prikazati kao na Sl. 14. [27].



Sl. 14. Slojevi u okviru kojih se realiziraju IT sigurnosne kontrole

3.2. Norme državnog sektora, nacionalne i međunarodne norme

S obzirom na veliki broj raspoloživih sigurnosnih kontrola koje pokrivaju područje sigurnosti informacijskih sustava [24] [30], uobičajena primjena u državnom sektoru ide za tim da utvrdi minimalne sigurnosne kriterije (engl. security baseline), koji će neovisno o lokalnom procjenjivanju rizika, osigurati primjenu odgovarajućeg skupa sigurnosnih kontrola [28] [29]. U tu svrhu koristi se metoda upravljanja rizikom u okviru koje se, slično kao u poglavlju 3.1.2., utvrđuje razina sveukupnog utjecaja prijetnji na informacijski sustav (najčešće kvalitativno na tri razine). Metoda koja se najčešće koristi, primjerice prema [29], provodi prvo analizu vrsta podataka u informacijskom sustavu i kategorizira mogući utjecaj na sigurnosne kriterije povjerljivosti, cjelovitosti i raspoloživosti, za svaku korištenu vrstu podataka, a zatim na temelju toga utvrđuje sigurnosnu kategorizaciju informacijskog sustava, te iz sigurnosne kategorizacije određuje sveukupnu razinu utjecaja kao najveći pojedinačni utjecaj na jedan od tri sigurnosna kriterija. Sveukupna razina utjecaja prijetnji na informacijski sustav kvalitativno je podijeljena na tri razine: niski utjecaj, srednji utjecaj i visoki utjecaj. Za svaku od tri razine utjecaja definiran je popis obvezujućih sigurnosnih kontrola iz kataloga u [30], odnosno minimalni sigurnosni kriteriji (engl. security baseline). Kategorizacijom utvrđeni inicijalni popis sigurnosnih kontrola, dalje se oblikuje naputkom za primjenu kontrola opsega i kompenzacije, koje su nužne sukladno specifičnostima konkretnog informacijskog sustava. Tako oblikovanu listu sigurnosnih kontrola dalje je moguće prilagođavati operativnim specifičnostima provođenjem procjenjivanja rizika u konkretnom okruženju. Metoda prema [30] tipičan je način kako se tradicionalna politika informacijske sigurnosti u državnoj upravi, kombinira s mogućnostima koje proizlaze iz suvremenog pristupa kroz upravljanje rizikom (Sl. 15.).



Sl. 15. Metoda NIST-a kojom se kombinira sigurnosne kontrole iz skupa minimalnih sigurnosnih kontrola i sigurnosne kontrole proizašle iz procesa upravljanja rizikom

Ukratko prikazana metoda NIST-a4 iz 2007.g., u osnovi se odnosi na područje sigurnosti informacijskih sustava, iako je usklađena s općim pristupom informacijskoj sigurnosti u okviru međunarodnih ISO normi iz područja informacijske sigurnosti.

Koncepcijski vrlo sličan pristup kombiniranju minimalnih sigurnosnih kriterija i upravljanja rizikom, započeo je 2006.g. njemački BSI5. Počevši od 1. 1. 2006. godine BSI je uveo, uz postojeću nacionalnu certifikaciju pod nazivom IT-Grundschutz, i proširenje kojim je u koordinaciji s ISO/IEC, započeo kombinirano certificiranje državnih tijela i pravnih osoba s izdanim certifikatom IT-Grundschutz, u svrhu izdavanja međunarodnog ISO 27001 certifikata [32].

IT-Grundschutz predstavlja njemački nacionalni minimalni sigurnosni kriteriji za IT sigurnost. BSI je zakonski ovlašten za provjeru i certifikaciju državnih tijela i drugih pravnih osoba koje primjenjuju ovu normu njemačke državne uprave i to provodi već duži niz godina, tako da se ova norma IT sigurnosti uvriježila kao jedna od najcjenjenijih normi u području državnih uprava u svijetu. Promjena za korisnike IT-Grundschutz norme koja je uvedena 2006.g. odnosi se na mogućnost dodatne certifikacije postojećih i novih korisnika njemačke IT-Grundschutz norme, sukladno međunarodnoj ISO 27001 normi. Radi se u stvari o certifikaciji po ISO 27001, ali na temelju IT-Grundschutz norme.

Kako bi omogućio primjenu kombinirane metode, BSI je morao uskladiti svoju IT-Grundschutz metodu s normom ISO 27001, tako da je dotadašnji IT-Grundschutz Manual zamijenjen s tri nove BSI norme [33] [34] [35], a kasnije je nastao i četvrta norma [36]. U dodatku je izdan i IT-Grundschutz katalog koji se bavi detaljima prijetnji i zaštitnih protumjera, nastao u okviru prijašnjeg razvoja IT-Grundschutz norme njemačke državne uprave, a koji se može uspješno primjenjivati uz nove BSI norme. Prvi dio norme (BSI-100-1) utvrđuje općenite zahtjeve na sustav upravljanja informacijskom sigurnošću (ISMS), uvodeći pri tome sukladnost sa ISO 27001 normom, uključujući i neke preporuke iz ISO 13335 i najbolje prakse iz ISO 27002 (prijašnji ISO 17799). Drugi dio norme (BSI-100-2) uvodi IT-Grundschutz metodu i primjenjuje se zajedno sa spomenutim posebnim IT-Grundschutz katalogom, koji daje savjete za tehničku i organizacijsku implementaciju, a izrađen je na temelju prijašnje norme državne uprave. Prednost ovakvog pristupa je to što se nudi testiran i učinkovit način za provedbu zahtjeva spomenutih ISO normi. Katalog sadrži tipične rizike i zaštitne mjere za informacijske

4 National Institute of Standards and Technology, U.S.A., www.nist.gov 5 Bundesamt fur Sicherheit in der Informationstechnik, Germany, www.bsi.bund.de



sustave koji se mogu direktno primijeniti na vlastitom informacijskom sustavu. Poseban je naglasak stavljen na neophodno tehničko znanje u primjeni mjera pa se katalog može koristiti i kao referentni tehnički okvir za implementaciju.

Metoda BSI-a počiva na pretpostavci da većina informacijskih sustava radi na sličan način i da im je okolina u kojem se operativno primjenjuju usporediva. Na taj način BSI razvija čitav niz sigurnosnih modula i grupira ih u pet grupa: opći aspekti informacijskih sustava, infrastruktura, sustavi, mreže i aplikacije. Sigurnosni moduli su tipični segmenti informacijskih sustava, s paletom tipičnih prijetnji koje su razrađene u katalogu, te s preporučenim sigurnosnim kontrolama, koje su također detaljno razrađene do razine tehničkog referentnog priručnika, tj. znatno detaljnije od uobičajene razine najbolje prakse kao što je primjerice ISO 27002. Sukladno IT-Grundschutz konceptu, metoda se sastoji od usporedbe razlika u operativnoj okolini konkretnog informacijskog sustava u odnosu na odgovarajuće generičke module kataloga, od određivanja normalnih, visokih i vrlo visokih zahtjeva zaštite (Sl.16), te od mogućeg provođenja dodatne sigurnosne analize (procjenjivanja rizika), kojom se, ovisno o zahtjevima i razlikama u odnosu na predviđene modele prijetnji, odabiru još neke procijenjene prijetnje, odnosno relevantne sigurnosne kontrole iz IT-Grundschutz kataloga. U pravilu se dodatna sigurnosna analiza provodi:

• kada su sigurnosni zahtjevi u odnosu na sigurnosne kriterije povjerljivosti, cjelovitosti i raspoloživosti, visoki ili vrlo visoki, u odnosu na normalne koji su zadana opcija za IT-Grundschutz-a;

• kada informacijski sustav sadrži vitalne aplikacije ili komponente koje nisu pokrivene modulima IT-Grundschutz-a za normalni izbor;

• kada se aplikacije ili komponente koriste u okruženjima ili za namjene koje nisu predviđene u IT-Grundschutz-u.

Sl. 16. Kvalitativni prikaz IT-Grundschutz razina sigurnosti: normalna, visoka i vrlo visoka

Metoda na ovaj način zadovoljava zahtjeve ISO 27001, ali je temeljena na kataloški razrađenom modulima, prijetnjama i sigurnosnim kontrolama te olakšava i ubrzava primjenu,



nudeći operativno provjerena sigurnosna rješenja koja su i tehnološki referentna za različite platforme informacijskih sustava. Metoda nudi osobitu prednost državnim tijelima ili tvrtkama koja su otprije certificirala primjenu IT-Grundschutz norme te žele dodatno certifikat za ISO 27001. U praksi se oko 80% sigurnosnih kontrola uspješno rješava kataloški preko IT-Grundschutz metode, dok se za preostalih 20% provodi dodatna sigurnosna analiza (Sl.17.). Razlika u ovako ažuriranoj metodi BSI-a je u tome da je certificiranje do 2006.g. bilo moguće samo po IT-Grundshutz normi (normalna razina prema Sl.16.), dok dodatna sigurnosna analiza nije bila obvezujuća niti razrađena za certificiranje, a od 2006.g. predmet certificiranja može biti i dodatna sigurnosna analiza koja je propisana u [35] te je moguće dobivanje i nacionalnog IT-Grundschutz certifikata i međunarodnog ISO 27001 certifikata.

Sl. 17. Proces primjene IT-Grundschutz metode i analiza rizika temeljena na IT-Grundschutz procesu

4. Primjeri u propisima informacijske sigurnosti u RH

Minimalne sigurnosne kriterije i koncept upravljanja rizikom u okviru propisa RH, razmotrit ćemo u odnosu na vrste podataka koji su dominantni s obzirom na zahtjeve informacijske sigurnosti. Prema [11] vrste podataka koje su dominantne s obzirom na zahtjeve informacijske sigurnosti čine: klasificirani podaci, neklasificirani podaci, osobni podaci i podaci koji predstavljaju intelektualno vlasništvo u širem smislu. U ovom radu ćemo se usmjeriti na klasificirane i neklasificirane podatke, s obzirom da za te vrste podataka u RH postoji regulativa u okviru koje se na određeni način primjenjuje kombinacija minimalnih sigurnosnih kriterija i upravljanja rizikom.



4.1. Neklasificirani podaci

Sukladno Zakonu o informacijskoj sigurnosti (NN 79/07), čl.6., st.1., na neklasificirane podatke primjenjuje se koncept zaštite u skladu s konceptom propisanim za osobne podatke - skup propisanih mjera i dodatno korištenje najbolje prakse sukladno normi ISO 177996. Ovaj koncept detaljnije je razrađen u Uredbi o mjerama informacijske sigurnosti (NN 46/08), u kojoj se u čl.7., st.2. i 3., preciznije definiraju neklasificirani podaci, te se u čl.8., st.1. uvode mjere u skladu s normama HRN ISO/IEC 27001 i 17799.

Citirani članci znače da se za zaštitu neklasificiranih podataka u osnovi prati logika uvedena za osobne podatke, koja se dodatno proširuje uvodeći uz ISO 17799 i dio norme ISO 27001 koji postavlja zahtjeve za sustav upravljanja informacijskom sigurnošću (ISMS), odnosno zahtjeve za certifikaciju. Korištenje sličnih rješenja za zaštitu osobnih podataka i neklasificiranih podataka logično je iz razloga što je državni sektor najveći korisnik osobnih podataka te primjena istih ili sukladnih rješenja zaštite podataka dugoročno osigurava ekonomičnost i učinkovitost rješenja.

Mogućnost certifikacije i korištenja ISO 27001 norme ima višestruki značaj. S jedne strane ono omogućava vrednovanje implementiranih ISMS rješenja internom ili eksternom revizijom (zakonski se ne postavlja uvjet certifikacije već samo provjere implementacije) te omogućava kombiniranje zahtjeva primjene za korištenje neklasificiranih i klasificiranih podataka stupnja tajnosti Ograničeno. Tako čl.6., st.2. prethodno spomenutog Zakona, uvodi mogućnost korištenja rješenja razvijenih za neklasificirane podatke, i sukladnih zahtjevima zaštite osobnih podataka, također u svrhu zaštite klasificiranih podataka stupnja tajnosti Ograničeno. No, kao preduvjet se utvrđuje prethodna provjera primjene propisanih mjera za neklasificirane podatke (ISO 27001, upravljanje rizikom i odabir sigurnosnih kontrola), znači interna ili eksterna revizija, te dodatna provjera primjene mjera propisanih za stupanj tajnosti Ograničeno (minimalni sigurnosni kriteriji). To drugim riječima znači da se infrastruktura usklađena s normom ISO 27001, može koristiti i za klasificirane podatke stupnja tajnosti Ograničeno, uz uvjet prethodne provjere da li su sve propisane mjere za stupanj tajnosti Ograničeno, obuhvaćene primjenom norme ISO 27001, ili naknadno dodane.

4.2. Klasificirani podaci

Zakon o tajnosti podataka (NN 79/07), Zakon o informacijskoj sigurnosti (NN 79/07) i Zakon o sigurnosnim provjerama (NN 85/08) propisuju mjere za tzv. više stupnjeve tajnosti klasificiranih podataka, Vrlo tajno, Tajno i Povjerljivo. Na ove stupnjeve tajnosti primjenjuje se metoda minimalnih sigurnosnih kriterija koji se razrađuju zakonskim i podzakonskim aktima. Pored toga u Zakonu o informacijskoj sigurnosti, u čl. 4., st.2., daje se uputa o kriterijima za procjenjivanje mjera informacijske sigurnosti, koje mogu biti veće od minimalno propisanih, ukoliko su uvjeti na određenoj lokaciji procijenjeni kao problematični sukladno propisanim kriterijima iz ovog članka.

U svrhu upravljanja rizikom Uredba o mjerama informacijske sigurnosti (NN 46/08), u člancima 87. do 92. propisuje osnovne zahtjeve za upravljanje rizikom informacijske

6 Norme predstavljaju obvezujuće dokumente, ali isključivo u slučajevima kada na njih upućuju odredbe nekog zakonskog propisa, kao što je to u članku 38. Uredbe o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka (NN 139/04): „Mjere, postupci i osobe ovlaštene za osiguranje, pohranjivanje i zaštitu sustava određuju se, ostvaruju i provjeravaju prema planu kojeg donosi voditelj zbirke osobnih podataka a u skladu s međunarodnim preporukama za to područje (ISO 17799).“



sigurnosti. Zahtjevi se fokusiraju na osnovne koncepte i evidentiranje procesa upravljanja rizikom, pri čemu je ostavljena slobodna mogućnost izbora metode, na sličan način kako je to učinjeno i u normi ISO 27001. Sigurnosne kontrole koje bi proizašle kao rezultat procijenjenih rizika i potrebe njihovog smanjivanja, predstavljaju dodatak na propisani minimalni skup mjera informacijske sigurnosti za klasificirane podatke određenog stupnja tajnosti. Postupak je ovdje koncepcijski sličan postupku opisanom u poglavlju 3.2., odnosno na Sl.14.

Pored opisanog postupka upravljanja rizikom, Zakon o informacijskoj sigurnosti i podzakonski akti propisuju niz vrlo sličnih koncepata i metoda, kakve su opisane u poglavljima 3.1.1., 3.1.2., 3.1.3. i 3.1.4.

5. Pristup upravljanju rizikom u ISO/IEC normama

S obzirom da je ISO pristup upravljanju rizikom najčešće primjenjivan u sigurnosnim okruženjima u državnom sektoru, kako u RH, tako i u državama EU-a, ukratko ćemo prikazati osnovne značajke preporučene metode upravljanja rizikom sukladno normi ISO 27001. Kako se ISO 27001, kao norma za certificiranje ISMS-a, oslanja na niz drugih preporuka i najboljih praksi, tako ćemo se i u ovom prikazu koristiti normama ISO 27002 (bivši 17799), zatim nacionalnom normom Velike Britanije BS 7799-3, odnosno smjernicama ISO TR 13335-3. ISO organizacija je novom normom ISO 27005:2008, dala smjernice za primjenu upravljanja rizikom informacijske sigurnosti u okviru zahtjeva ISO 27001 norme, dok su normom ISO 31000 dane opće smjernice upravljanja rizikom za različite primjene na razini poslovanja (šire od informacijske sigurnosti), a sama norma nije predviđena za postupak certifikacije.

5.1. Zahtjevi na upravljanje rizikom Upravljanje rizikom uobičajeno se dijeli na dvije faze: procjenjivanje rizika i obrada

rizika. Kao što je u poglavlju 2.3. prikazano, u području informacijske sigurnosti radi se o rizicima od gubitka - operativnim rizicima, dakle rizicima koji nisu spekulativne prirode. Procjenjivanje rizika sukladno zahtjevima ISO 27001 treba sadržavati utvrđeni minimalni skup koraka, tako da neke postojeće metode procjenjivanja rizika ne zadovoljavaju zahtjeve ove norme, ili zbog toga što ne sadrže sve potrebne korake, ne pokrivaju područje organizacijskog rizika, ili su primarno tehnološki fokusirane. Norme i preporuke koje su pogodne za razvoj ISO 27001 metode procjenjivanja rizika su primarno ISO 17799, ISO TR 13335-3 (smjernica) i BS 7799-3, odnosno novi ISO 27005, kao i NIST SP 800-30. Sve navedene norme i preporuke predstavljaju u stvari skup najbolje prakse, a ne detaljnu specifikaciju metode upravljanja rizikom.

ISO 17799 (nova oznaka 27002) utvrđuje tri izvora za uspostavu zahtjeva organizacije (tvrtka, državno tijelo) za informacijsku sigurnost:

1. rizici s kojima se organizacija suočava; 2. rizici koji proizlaze iz zahtjeva sukladnosti i ugovornih zahtjeva temeljem nadležne

regulative i ugovora u području djelovanja organizacije; 3. načela, ciljevi i poslovni zahtjevi same organizacije (organizacijska kultura). U tom smislu ide i zahtjev 4.2.1-c iz ISO 27001 norme, za korištenjem odgovarajuće

metode procjenjivanja rizika, pogodne za ISMS i za identificirane poslovne, pravne i regulatorne zahtjeve. Potrebni koraci u procjenjivanju rizika, koji proizlaze iz zahtjeva norme ISO 27001 su:



1. identificiranje informacijske imovine unutar opsega ISMS-a (4.2.1-d1), 2. identificiranje prijetnji toj imovini (4.2.1-d2), 3. identificiranje ranjivosti ove imovine koje prijetnje mogu iskoristiti (4.2.1-d3), 4. analiziranje utjecaja koji gubitak povjerljivosti, cjelovitosti i raspoloživosti može

imati na imovinu u poslovnom, pravnom i ugovornom kontekstu (4.2.1-d4), 5. procjenjivanje vjerojatnosti da će se utjecaji dogoditi u svjetlu prevladavajućih

prijetnji i ranjivosti (4.2.1-e2), 6. procjenjivanje razine rizika utvrđenih temeljem prethodnih koraka (4.2.1-e3). Metoda procjenjivanja rizika koja se odabere mora na određeni način pridijeliti

vrijednosti jednadžbi rizika: Rizik = (vjerojatnost prijetnje koja iskorištava ranjivost) x (ukupni trošak utjecaja na

imovinu koja je iskorištena prijetnjom) Općenito, metode mogu biti kvantitativne i kvalitativne. Temeljna prednost kvalitativne

analize utjecaja je da daje prioritete identificiranim rizicima i identificira područja ranjivosti kako bi se provelo brzo poboljšanje stanja sigurnosti. Loša strana kvalitativne analize je da ne osigurava brojčano mjerljive magnitude utjecaja pa time otežava analizu troška-koristi. Temeljna prednost kvantitativne analize utjecaja je da osigurava upravo takvu brojčanu mjerljivost magnitude utjecaja (ali ne svih!), koja se može koristiti u analizi troška-koristi preporučenih sigurnosnih kontrola. Pored toga što nije moguće kvantificirati sve utjecaje (npr. gubitak reputacije tvrtke/proizvoda), loša strana kvantitativne metode je, što ovisno o odabranim numeričkim opsezima koji se koriste za opisivanje utjecaja, značenje kvantitativne analize utjecaja može biti nejasno ili u konačnici interpretirano na kvalitativni način.

ISO 27001/17799 pristup se oslanja na kvalitativnu metodu procjenjivanja rizika, jer na metodu postavlja zahtjeve „procjenjivanja“ magnitude utjecaja i donošenja odluke o „razmjernim“ sigurnosnim kontrolama. Rangiranje identificiranih rizika kvalitativnom metodom se provodi u odnosu jednog rizika prema drugom, koristeći kvalitativnu ili hijerarhijsku skalu (npr. nisko, srednje, visoko, tri ili više razina). Jednako se tako procjenjuju prijetnje, ranjivosti, utjecaj i vjerojatnost događanja. Kvalitativna hijerarhijska skala mora se definirati unaprijed kako bi se osigurala usporedivost i ponovljivost rezultata, čime se nastoje kompenzirati utjecaj subjektivnosti u metodi. Primjerice, izlaz jednadžbe rizika za trorazinsku skalu utjecaja i vjerojatnosti je skala rizika s pet nivoa prema Tablici 5.

Vjerojatnost

(Likelihood)

Visoka Srednji rizik Visoki rizik Vrlo visoki rizik

Srednja Niski rizik Srednji rizik Visoki rizik

Niska Vrlo niski rizik Niski rizik Srednji rizik

Niski Srednji Visoki

Utjecaj (Impact)

Tablica 5. Skale utjecaja i vjerojatnosti te skala rizika u kvalitativnoj metodi upravljanja rizikom

Kako bi se osigurala svojstva ponovljivosti i usporedivosti, utvrđuju se rasponi

vrijednosti za svaku razinu vjerojatnosti (npr. Srednja: između jednom mjesečno i jednom godišnje), kao i za utjecaj (npr. Srednji: između 1.000 i 10.000 EUR) te se preračunaju rasponi



za pet izvedenih razina rizika u Tablici 5. Pri tome se vjerojatnost normalizira na broj događanja u jednoj godini (slično ALE faktoru). Ovako se uvodi indikator vrijednosti rizika (engl. Risk Value Indicator), kao sredina svakog od pet dobivenih raspona rizika, te predstavlja aproksimativnu vrijednost za računanje opravdanosti investicije u sigurnosne kontrole koje smanjuju određeni rizik. U tom smislu se indikator vrijednosti rizika koristi na sličan način kao ALE faktor u kvantitativnim metodama, u procesu odlučivanja o obradi identificiranih rizika.

ISO 27001 koristi okruženje rizika koje je temeljeno na informacijskoj imovini te je stoga moguće prilagoditi različite metode procjenjivanja rizika temeljene na informacijskoj imovini, primjeni u okviru ISO norme (npr. OCTAVE – Operationally Critical Threat, Asset, and Vulnerability Evaluation) [41]. Ostale poznatije metode koje se mogu koristiti su DRAM – Delphi Risk Assessment Method, koju primjerice koristi Gartner u okviru svoje metode procjenjivanja rizika, ili FRAP – Facilitated Risk Assessment Process [40].

Razinu prihvatljivosti rizika mora postaviti vršna organizacijska razina poslovne organizacije i tako određena razina tolerancije rizika mora se konzistentno primjenjivati na sve vrste aktivnosti. S obzirom da ISO 27001 utvrđuje obvezujući zahtjev primjene PDCA procesa (Plan-Do-Check-Act), odnosno procesa planiranja, provedbe, provjere i dorade, procjenjivanje rizika nužno je provoditi u fazi planiranja, dok se rizik obrađuje u fazi provedbe, a cjeloviti proces upravljanja rizikom teče kroz sve faze. Periodičke revizije su temeljni zahtjev bilo koje strategije procjenjivanja ili upravljanja rizikom

5.2. Metoda upravljanja rizikom sukladna zahtjevima norme ISO27001

Organizacijski kontekst upravljanja rizikom osigurava donesena politika informacijske sigurnosti i dogovoreni opseg ISMS-a, koji može biti temeljen na dijelu ili cjelokupnoj poslovnoj organizaciji, odnosno prema kriteriju fizičke ili geografske lokacije segmenata neke organizacije. Najmanji organizacijski dio koji se zahvaća primjenom norme mora na određeni način imati odgovarajuću funkcionalnu zaokruženost u smislu upravljanja i infrastrukture. Ključne komponente definiranja opsega ISMS-a su identificiranje:

• fizičkih i logičkih granica, odnosno opsega koji će biti zaštićen; • svih informacijskih sustava neophodnih za prijam, pohranu, korištenje i slanje

informacija ili podataka, unutar granica iz prethodne točke, kao i pojedinih elemenata unutar tako identificiranih sustava;

• odnosa između ovih informacijskih sustava, elemenata i organizacijskih ciljeva i zadataka (poslovnog procesa);

• informacijskih sustava i elemenata koji su kritični za postizanje organizacijskih ciljeva i zadataka te njihovo rangiranje po prioritetima.

Pretpostavka je da postoji inventura organizacijske imovine sukladno kontroli A.7.1., odnosno da je na ovom stupnju već provedena klasifikacija informacija sukladno kontroli A.7.2. Pored ISO 27002 (prije ISO 17799), koji detaljnije razrađuje zahtjeve za kontrole iz ISO 27001, može se koristiti i primjerice NIST 800-30, klauzula 3.1.1. [42], kako bi se utvrdio sadržaj informacijskih sustava i elemenata unutar definiranog opsega ISMS-a. Odlučivanje o kreiranju jedinstvenog ISMS-a ili višestrukih ISMS-ova u zasebnim organizacijskim opsezima, uvelike ovisi o obilježjima organizacije i njenih segmenata te da li je poslovanje i sama organizacija nacionalna ili međunarodna.

Norma ISO 27001, za razliku od ostalih normi koje koristimo u svrhu smjernica i provođenja zahtjeva ove norme, sadrži specifikaciju zahtjeva koji se moraju provesti u svrhu usklađenosti s normom i u konačnici u svrhu certifikacije sukladno normi ISO 27001. Zahtjevi za procjenjivanje rizika započinju utvrđivanjem kriterija temeljem kojih će rizici biti



vrednovani (zahtjev 4.2.1-b4). Unutar konteksta politike informacijske sigurnosti odabire se odgovarajuća metoda procjenjivanja rizika koja uzima u obzir poslovne zahtjeve vezane uz informacijsku sigurnost, pravne i regulativne zahtjeve, kriterije prihvaćanja i definirane razine rizika. Kako je već rečeno norma ne specificira vrstu metode procjenjivanja rizika već daje upute o tome da se magnitude veličina procjenjuju, a sigurnosne kontrole odabiru po principu razmjernosti, a u skladu s takvim zahtjevom može se primjenjivati kvalitativna metoda, uz uvjet da njeni rezultati budu usporedivi i ponovljivi.

Koraci u procjenjivanju rizika koji u praktičnoj provedbi slijede sukladno zahtjevima ISO 27001, odnosno sukladno smjernici BS 7799-3 su:

1. identificiranje informacijske imovine unutar opsega ISMS-a i vlasnika te imovine (4.2.1-d1);

2. identificiranje poslovnih, zakonskih i ugovornih obaveza koje su relevantne za identificiranu imovinu (proizlazi iz 4.2.1-b2 ili BS 7799-3 klauzula 5.3);

3. određivanje vrijednosti imovine slijedom zahtjeva za povjerljivost, cjelovitost i raspoloživost imovine u poslovnom, zakonskom i ugovornom kontekstu (proizlazi iz 4.2.1-b2 ili BS 7799-3 klauzula 5.3);

4. identificiranje prijetnji identificiranoj imovini (4.2.1-d2); 5. identificiranje ranjivosti ove imovine koje bi prijetnje mogle iskoristiti (4.2.1-d3), 6. analiziranje utjecaja koje gubitak povjerljivosti, cjelovitosti i raspoloživosti može

imati na imovinu u poslovnom, zakonskom i ugovornom kontekstu (4.2.1-d4), 7. procjenjivanje vjerojatnosti da će se utjecaji dogoditi u svjetlu prevladavajućih

prijetnji i ranjivosti (4.2.1-e2), 8. procjenjivanje razine rizika utvrđenih temeljem prethodnih koraka (4.2.1-e3). Procjena razine rizika ili „jednadžba rizika“, temelji se na procjenjivanju utjecaja

sigurnosnih prijetnji i realnom procjenjivanju vjerojatnosti da se to dogodi u okvirima identificiranih prijetnji i ranjivosti.

U okviru procesa obrade rizika norma ISO 27001 zahtjeva identificiranje i vrednovanje propisanih opcija za obradu rizika (4.2.1-f):

1. svjesno prihvatiti rizik, osiguravajući da zadovoljava politiku informacijske sigurnosti i kriterije prihvatljivosti rizika, tj. da je u okvirima tolerancije rizika (engl. risk apetite);

2. primijeniti odgovarajuće sigurnosne kontrole za smanjivanje rizika na prihvatljivu razinu;

3. izbjeći rizik nalaženjem načina zaobilaženja aktivnosti pri kojima rizik nastaje; 4. prenijeti poslovni rizik na druge stranke u poslovanju (osiguravajuće kuće,

dobavljači, kooperanti i sl.). Primjena opcije 2. provodi se u skladu s logičkim modelom prikazanim na Sl.4.,

primjenjujući četiri vrste sigurnosnih kontrola, preventivne kontrole te kontrole odvraćanja, otkrivanja i korekcije, pri čemu kontrole odvraćanja smanjuju vjerojatnost napada, a kontrole korekcije i prevencije smanjuju i eliminiraju utjecaj na imovinu.

Tako odabrane sigurnosne kontrole, u okviru faze planiranja (PDCA proces), definiraju se u Izjavi o promjenjivosti (engl. Statement of Aplicability), gdje se dodatno obrazlažu razlozi za neprimjenjivanje nekih od kontrola iz Dodatka A u normi ISO 27001. Suglasnošću uprave organizacije s Izjavom o primjenjivosti i očitovanjem o preostalom riziku, provodi se implementacija sigurnosnih kontrola i uspostava ISMS-a.



6. Zaključak

Upravljanje rizikom neizostavni je dio politike informacijske sigurnosti, kako u tradicionalnom smislu, tako i u suvremenom smislu politike informacijske sigurnosti. Za razliku od pristupa upravljanju rizikom koji je propisan normama iz palete ISO/IEC 27000, analiza primjene upravljanja rizikom u području tradicionalne politike informacijske sigurnosti ukazuje na duboku integriranost nekih načela upravljanja rizikom u metode minimalnih sigurnosnih kriterija, koji se primjenjuju u tipičnim područjima informacijske sigurnosti u državnoj upravi (sigurnost podataka, fizička sigurnost, sigurnost osoblja, sigurnost informacijskih sustava, sigurnost poslovne suradnje).

Primjeri dvaju vodećih normizacijskih tijela u razvijenim državama svijeta, američki NIST i njemački BSI, pokazuju uspješnu primjenu hibridnih metoda upravljanja informacijskom sigurnošću, utemeljenih na tradicionalnom pristupu s minimalnim sigurnosnim kriterijima, koji se kombinira s odgovarajućim metodama upravljanja rizikom. U oba slučaja postoji eksplicitna namjera spomenutih institucija za održavanjem sukladnosti s ISO/IEC pristupom u paleti normi 27000, čime se i pristup upravljanju rizikom, zacrtan u ovoj paleti normi, nameće kao najšire prihvatljiv u području informacijske sigurnosti.

Modeliranje sigurnosnog okruženja, predstavlja jedan od vodećih problema kojim se bavi državni sektor u području informacijske sigurnosti. Ovdje se misli na modeliranje prijetnji, ranjivosti i općenito sigurnosnog okruženja (organizacijska obilježja, osoblje i sl.). Kombiniranje minimalnih sigurnosnih kriterija, načinom prikazanim u poglavlju 3.2., kao i modeliranje sigurnosnog okruženja prikazano u poglavlju 2.4., ukazuju na stav državnog sektora razvijenih zemalja, po kojem su raspoložive metode upravljanja rizikom još uvijek nedovoljno objektivne da bi mogle biti odlučujući element uobličavanja suvremenih sigurnosnih programa, odnosno sustava za upravljanje informacijskom sigurnošću.

Upravo ta, nedovoljna određenost sigurnosnog okruženja i nužnost subjektivnog procjenjivanja rizika, razlog je što se upravljanje rizikom još uvijek nije uvriježilo kao metoda iz koje se generiraju sveukupni sigurnosni zahtjevi u državnom sektoru, a na način kako se to provodi u okviru normi kao što je ISO/IEC 27001. Tako su eksplicitno propisani minimalni sigurnosni kriteriji i dalje temeljni sigurnosni zahtjevi za obveznike propisa o informacijskoj sigurnosti u državnoj upravi, dok se sama metoda upravljanja rizikom, na različite načine koristi kao dodatna metoda za optimiranje sigurnosnih mjera u svakom pojedinom području informacijske sigurnosti, odnosno u određenom sigurnosnom okruženju.



Literatura [1] Klaić, A., Information Security in Business and Government Sector, Conference

Proceedings of the 28th International Convention MIPRO 2005, Opatija, 2005, p. 193-198

[2] Elezović, N., Vjerojatnost i statistika, Diskretna vjerojatnost, FER, Zagreb, 2008. [3] Commission communication COM(2005)229 final of 1 June 2005 to the Council

(52005DC0229), the European Parliament, the European Economic and Social Committee and the Committee of the Regions on “i 2010 – a European Information Society for growth and employment”, http://eur-lex.europa.eu/en/index.htm

[4] Klaić, A., EU's Information Security Expectations, pozvano predavanje, InfoSecWeek 2007, Zagreb, Hrvatska, 14.-18.5.2007.

[5] Rubin, M., Asymmetrical Threat Concept and its Reflections on International Security, Strategic Research and Study Center, May 2007, http://www.meforum.org/1696/asymmetrical-threat-concept-and -its-reflections

[6] Moore, T., Anderson, R., Trends in Security Economics, ENISA Quarterly, 12/2005 [7] Common Criteria Portal, http://www.commoncriteriaportal.org/ [8] Akerlof, G.A., “The Market for Lemons: Quality Uncertainty and Market Mechanism”,

Quaterly Journal of Economics v 84, August 1970, pp 488-500 [9] Anderson, R., University of Cambridge, Computer Laboratory, Economics and Security

Resource Page, http://www.cl.cam.ac.uk/~rja14/econsec.html#Conferences [10] Anderson, R., Murdoch, S., Drimer, S., Bond, M., 11. February 2010, “Chip and Pin is

Broken”, http://www.lightbluetouchpaper.org/2010/02/11/chip-and-pin-is-broken/ [11] Klaić, A., Perešin, A., Koncept regulativnog okvira informacijske sigurnosti,

Međunarodne studije, 2010. (u postupku izdavanja) [12] Tipton, H.F., Krause, M., Information Security Management Handbook, 5th Edition,

Auerbach Publications, 2004 [13] Jaquith, A., Security Metrics, Addison-Wesley, 2007 [14] Sherwood, J., Clark, A., Lynas, D., Enterprise Security Architecture, CMP Books, 2005 [15] Klaić, A., Pregled stanja i trendova u suvremenoj politici informacijske sigurnosti i

metodama upravljanja informacijskom sigurnošću, rad za kvalifikacijski doktorski ispit, FER, travanj 2010.

[16] OWASP, Threat Risk Modeling, http://www.owasp.org/index.php/Threat_Risk_Modeling

[17] National Vulnerabilities Database – NVD, http://nvd.nist.gov/home.cfm [18] Mell, P. (NIST), Scarfone, K. (NIST), Romanosky., S. (Carnegie Mellon University), A

Complete Guide to the Common Vulnerability Scoring System V 2.0, June 2007, http://www.first.org/cvss/

[19] Jansen, W., Directions in Security Metrics Research, NIST, April 2009 [20] Hernan, S., Lambert, S., Ostwald, T., Shostack, A., Uncover Security Design Flows

Using the STRIDE approach, November 2006, MSDN, http://msdn.microsoft.com/en-us/magazine/cc163519.aspx#S2

[21] HM Treasury, The Orange Book – Management of Risk – Principles and Concepts, UK, October 2004, www.hm-treasury.gov.uk

[22] Standards Australia and Standards New Zealand, AS/NZS 4360:2004, Risk Management [23] National Institute of Standards and Technology, Managing Risk from Information

Systems, An Organizational Perspective, April 2008, NIST SP 800-39 (2nd Public Draft) [24] HRN ISO/IEC 27001:2005, HRN ISO/IEC 17799:2005, www.hzn.hr, www.iso.org



[25] BS 7799-3:2006, Information Security Management System, Guidelines for information security risk management

[26] National Institute of Standards and Technology, Risk Management Guide for Information Technology Systems, July 2002, NIST SP 800-30

[27] GTAG, Information Technology Controls, The Institute of Internal Auditors (IAA), USA, 2005, www.theiaa.org

[28] National Institute of Standards and Technology, Special Publications, Information Security, Recommended Security Controls for Federal Information Systems, December 2007, NIST SP 800-37 Revision 2

[29] National Institute of Standards and Technology, Standards for Security Categorization of Federal Information and Information Systems, FIPS PUB 199, February 2004

[30] National Institute of Standards and Technology, Special Publications, Information Security, Recommended Security Controls for Federal Information Systems, December 2007, NIST SP 800-53, Revision 2

[31] National Institute of Standards and Technology, Special Publications, Information Security, Security Consideration in the System Development Life Cycle, October 2008, NIST SP 800-64 Revision 2

[32] Serowy, M., BSI Issues Certificates Under ISO 27001, Based on IT-Grundschutz, ENISA Quaterly, p. 16-17, March 2006

[33] BSI Standard 100-1, Information Security Management System (ISMS), BSI, Germany, V1.5, 2008, www.bsi.bund.de

[34] BSI Standard 100-2, IT-Grundschutz Methodology, BSI, Germany, V1.5, 2008, www.bsi.bund.de

[35] BSI Standard 100-3, Risk Analysis based on IT-Grundschutz, BSI, Germany, V2.5, 2008

[36] BSI Standard 100-4, Business Continuity Management, BSI, Germany, V1.0, 2009, www.bsi.bund.de

[37] BSI, IT Security Guidelines, IT Baseline Protection in brief, BSI, Germany, 2007, www.bsi.bund.de

[38] Calder, A., Watkins, S.G., Information Security Risk Management for ISO27001 / ISO17799, IT Governance Publishing, 2007

[39] Arnason, S.T., Willet, K.D., How to Achieve 27001 Certification, Auerbach Publications, 2008

[40] Peltier, T. R., Information Security Policies and Procedures, Auerbach Publications, 2004

[41] Alberts, J. C., Dorofee, J. A., Allen, H. J., OCTAVE Catalog of Practices, Version 2.0, 2001, www.cert.org/archive/pdf/01tr020.pdf

[42] National Institute of Standards and Technology, Special Publications, Risk Management Guide for Information Technology Systems, July 2002, NIST SP 800-30

[43] Calder, A., Watkins, S., A Manager’s Guide to Data Security and BS7799 / ISO 17799, Kogan Page, 3rd Edition, 2005

Documents

Sveučilište u Zagrebu Fakultet elektrotehnike i računarstva …sigurnost.zemris.fer.hr/ISMS/rizik/2010_klajic/SeminarskiRad_SRS... · Fakultet elektrotehnike i ra ... Temeljni