UPRAVLJANJE_KOMUNIKACIJAMA

7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA

1/48


2/48

6. Upravljanje komunikacijama

Cilj:

Osigurati korektno i sigurno izvravanje obrade informacija

Potrebno je uspostaviti odgovornosti i postupke za upravljanje iizvedbu obrade informacija. To ukljuuje i razvoj odgovarajuih

operativnih instrukcija i postupaka za reakciju pri pojavi incidenata.

Potrebno je implementirati i razdvajanje dunosti (stavak 8.1.4) tamo

gdje je prikladno, kako bi se smanjio rizik sluajne ili namjernezloporabe sustava.


3/48

6. Upravljanje komunikacijamaoperativni postupci koje treba dokumentirati

Operativne procedure identificirane u politici sigurnosti trebadokumentirati i odravati. Treba ih tretirati kao formalnedokumente, a izmjene trebaju biti odobrene od stranemanagementa.

Postupci moraju specificirati upute za detaljno izvoenje svakog posla,ukljuujui:

a) obradu i rukovanje informacijama

b) zahtjeve kod rasporeivanja (ukljuujui i meuovisnosti sa

ostalim sustavima), najranije vrijeme poetka i najkasnije vrijemezavretka posla

c) upute za rukovanje grekama i ostalim iznimnim uvjetima, kojimogu nastati prilikom izvravanja posla, ukljuujui ogranienjaza uporabu pomonih sistemskih alata (stavak 9.5.5)

d) kontakt osobe za podrku prilikom neoekivanih operativnih i

tehnikih


4/48


e) posebne upute za rukovanje rezultatima rada i povjerljivim

rezultatima rada, ukljuujui postupke za sigurnosno rashodovanje

karta

f) u sluaju kvara u sustavu, postupke za ponovno pokretanje i

oporavak sustava

Potrebno je takoer pripremiti dokumentirane postupke za

aktivnosti redovnog odravanja (housekeeping), povezane sa

jedinicama za komunikaciju i raunala, poput postupaka

ukljuivanja i gaenja raunala, izrade rezervnih kopija podataka,

odravanja opreme, sigurnosti i upravljanja raunalnim

prostorijama i potom.


5/48


Kontrola operativnih promjena

Promjene u sustavu za obradu informacija treba kontrolirati.

Neadekvatna kontrola promjena u jedinicama i sustavima za obradu

informacija je najei uzrok sigurnosnih ili sistemskih ispada.

Potrebno je uspostaviti formalne managerske odgovornosti ipostupke, kako bi se osigurala zadovoljavajua kontrola svih

promjena u opremi, softveru ili postupcima. Operativni programi

moraju biti od naroito strogom kontrolom. Prilikom izmjene

programa je potrebno sainiti nadzorni zapis sa svim relevantnim

informacijama. Promjene u operativnoj okolini mogu utjecati naaplikacije. Gdje god je mogue, treba integrirati postupke za

kontrolu operativnih i aplikacijskih promjena (stavak 10.5.1).


6/48


Potrebno je razmotriti slijedee kontrolne mehanizme:

a) identifikacija i biljeenje znaajnih promjena

b) procjena potencijalnih posljedica takvih promjenac) formalan postupak odobravanja predloenih promjena

d) obavjeivanje svih relevantnih osoba o detaljima izmjenae) postupci za identifikaciju odgovornosti kod prekida i oporavka

od neuspjenih promjena


7/48


8/48

6. Upravljanje komunikacijama operativni postupcikoje treba dokumentirati

c) potrebno je prikupljati i osiguravati nadzorne tragove i slinedokaze (stavak 12.1.7) za:

1) interne analize problema

2) koritenje dokaza u sluaju potencijalnih krenja ugovora,

reguliranih zahtjevima ili u sluaju civilnih ili krivinih

postupaka

3) pregovore o kompenzaciji od strane dobavljaa softvera iservisa

d) akcije za oporavak od povreda sigurnosti i sistemskih ispadatreba paljivo i formalno kontrolirati. Postupci moraju osiguratislijedee:

1) samo identificirano i ovlateno osoblje smije pristupiti

sustavima i podacima (stavak 4.2.2)

2) sve hitne akcije treba detaljno dokumentirati

3) management je obavjeten o hitnim akcijama i uredno ih je

pregledao

4) integritet poslovnih sustava i kontrola potvren je uzminimalno kanjenje


9/48


Razdvajanje dunosti

Potrebno je paljivo utvrditi da niti jedna osoba ne moe neopaeno

izvesti prijevaru u nekom od podruja odgovornosti. Inicijacija nekog

dogaaja treba biti odvojena od njegovog odobrenja. Potrebno je

razmotriti slijedee kontrolne mehanizme:

a)

a) vano je razdvojiti aktivnosti koje trae tajne sporazume (poput

izdavanja naloga za kupovinu i provjere da je roba primljena), kako

bi se izbjegle prijevare

b) ako postoji opasnost od tajnih sporazuma, tada treba kontrole

podijeliti tako da bude ukljueno vie osoba, te time umanjiti

vjerojatnost urote


10/48


Razdvajanje razvojnih i operativnih pogona

Tamo gdje razvojno i testno osoblje ima pristup do operativnih sustava injihovih podataka, postoji mogunost da ono uvede neovlateni ineispitani kd ili da izmjeni operativne podatke. U nekim sustavima

se ta mogunost moe iskoristiti za prijevare ili za unoenjeneispitanog ili malicioznog kda. Neispitani ili maliciozni kd moe

prouzroiti ozbiljne operativne probleme. Razvijatelji i testeripredstavljaju prijetnju i za povjerljivost operativnih informacija.

Aktivnosti testiranja i razvoja mogu prouzroiti neeljene izmjene usoftveru i informacijama, ako se izvravaju u zajednikomraunalmom okruenju. Odvajanje razvoja, testiranja i operative jestoga poeljno radi reduciranja rizika od namjernih izmjena ilineovlatenog pristupa operativnom softveru i poslovnim podacima.


11/48


Razdvajanje razvojnih i operativnih pogona


a) razvojni i operativni softver treba izvravati na razliitimraunalima, ili u razliitim domenama ili direktorijima

b) aktivnosti razvoja i testiranja treba razdvojiti kada je to mogue

c) prevoditelji, editori i ostali pomoni sistemski alati ne smiju bitidostupni iz operativnih sustava kada nisu potrebni

d) za operativne i testne sustave treba koristiti razliite postupkeprijave u sustav. Korisnike treba poticati da koriste razliite lozinke

za takve sustave, a izbornici trebaju prikazivati odgovarajueidentifikacijske poruke

e) razvojno osoblje smije imati pristup do operativnih lozinkisamo onda kada postoje kontrolni mehanizmi za izdavanje lozinki za

potporu operativnim sustavima. Kontrolni mehanizmi morajuosigurati da se takve lozinke promjene nakon uporabe.


12/48


Upravlj anje vanjskim pogonima

a) identifikacija osjetljivih ili kritinih aplikacija, koje je bolje

zadrati kod sebe

b) pribavljanje dozvole od strane vlasnika poslovne aplikacije

c) posljedice na planove poslovnog kontinuiteta

d) proces mjerenja uskladivosti i standardi koje treba specificirati

e) dodjela specifinih odgovornosti i postupaka, kako bi se

efektivno pratile sve relevantne sigurnosne ativnostif) odgovornosti i postupci za izvjeivanje i rukovanje

sigurnosnim incidentima (stavak 8.1.3)


13/48

6. Upravljanje komunikacijamaPlaniranje i prihvaanje sustava

Cilj:

Minimizirati rizike nefunkcionalnosti sustava.

Potrebno je planirati unaprijed i pripremati se, kako bi seosigurala dostupnost adekvatne koliine kapaciteta iresursa.

Potrebno je nainiti projekcije buduih zahtijeva zakapacitetima, kako bi se izbjeglo preopterenje sustava.Potrebno je uspostaviti, dokumentirati i testiratioperativne zahtjeve novih sustava prije njihovogodobravanja i uporabe.


14/48

6. Upravljanje komunikacijama Planiranje iprihvaanje sustava

Planiranje kapaciteta

Potrebno je pratiti zahtjeve za kapacitetima, te nainiti projekcije

buduih zahtjeva za kapacitetima, kako bi se osigurala odgovarajua

procesna snaga i prostor za pohranu. Projekcije trebaju uzeti u obzir

nove poslovne i sistemske zahtjeve, te trenutne i projicirane trendove

u obradi informacija u organizaciji.

Manageri trebaju koristiti tu informaciju za identifikaciju iizbjegavanje potencijalnih uskih grla, koja mogu predstavljati

prijetnju sifurnosti sustava ili korisnikim uslugama, te moraju

planirati akcije za rjeavanje takvih situacija.


15/48


Prihvaanje novih sustava il i novih verzija sustava


a) zahtjevi za kapacitetom i performansama raunala

b) postupci za oporavak od pogreaka i za ponovno pokretanje, tekontingencijski planovi

c) priprema i testiranje rutinskih operativnih ostupaka premadefiniranim standardima

d) postavljanje dogovorenog skupa kontrolnih mehanizama

e) efektivni runi postupci

f) sporazumi o kontinuitetu poslovanja, kako je zahtijevano u 11.1

g) dokazi da instalacija novog sustava nee na razne naineutjecati na postojee sustave, naroito u vrijeme vrnihobradbenih optereenja


16/48


Prihvaanje novih sustava il i novih verzija sustava

h) dokazi da su razmotreni uinci novog sustava na sveopu

sigurnost organizacije

i) trening za operativnu uporabu novih sustava

U sluaju velikih novih razvojnih poduhvata, potrebno je u

svim stadijima procesa razvoja konzultirati operativnu funkciju i

korisnike, kako bi se osigurala operativna efikasnost predloenogdizajna sustava. Potrebno je provesti odgovarajue testove kako

bi se potvrdilo da je u potpunosti udovoljeno svim kriterijima za

prihvaanje.


17/48

6. Upravljanje komunikacijama Zatita odmalicioznih programa

Cilj:

Zatititi integritet softvera i informacije.

Potreban je oprez kako bi se otkrio i sprijeio ulazak malicioznogsoftvera.

Softver i raunala ranjivi su prema malicioznom softveru, poput

raunalnih virusa, mrenih crva, trojanskih konja (stavak 10.5.4) i

logikih bombi. Korisnike treba uiniti svjesnima opasnosti od

neautoriziranog i malicioznog softvera, a manageri trebaju, gdje je toprikladno, uvesti dodatne kontrole za otkrivanje i prevenciju ulaska

takvog softvera u sustavnaroito u sluaju virusa na osobnim

raunalima.


18/48


Kontrola usmjerena na mal iciozni softver

Potrebno je uvesti procedure otkrivanja i prevencije radi zatite od

zlonamjernog softvera, te je potrebno kod korisnika razviti svijest o

potrebi takve zatite. Zatita od malicioznog softvera se treba temeljitina sigurnosnoj svijesti, te na prikladnim kontrolama za pristup sustavu i

upravljanje promjenama. Potrebno je razmotriti slijedee kontrolne

mehanizme:

a) formalna politika koja zahtijeva potivanje softverskih licenci i

zabranjuje uporabu neovlatenog softvera (stavak 12.1.2.2)

b) formalna politika za zatitu od rizika (ukljuujui i zatitne mjere

koje treba poduzeti) povezanih sa pribavljanjem datoteka i softvera od

ili preko vanjskih mrea, ili bilo kojeg drugog medija (stavak 10.5,

posebno 10.5.4 i 10.5.5)


19/48


c) instalacija i redovita nadogradnja antivirusnih softvera za

detekciju i popravak, radi pregleda raunala i medija bilo kao mjera

predostronosti, bilo kao dio svakodnevne rutine

d) provoenje redovitih pregleda softvera i podatkovnih sadraja u

sustavima za podrku kritinim poslovnim procesima. Prisustvo bilo

koje neodobrene datoteke ili bilo kojeg neodobrenog dodatka treba

formalno istraiti.

e) provjera svih datoteka prije koritenja radi virusa na elektronikim

medijima sa nepoznatim ili neovlatenim izvorom, ili datoteka

primljenih preko nesigurnih mrea

f) pregled svih pridodanih datoteka elektronikoj poti i svih

datoteka skinutih sa mrea prije koritenja, radi provjere malicioznog

softvera. Te provjere se mogu obavljati na razliitim mjestima, npr. na

serverima za elektroniku potu, stolnim raunalima ili na ulasku u

organizacijsku meu


20/48


g) postupci upravljanja i odgovornosti za zatitu od virusa u

sustavima, treniranje koritenja, izvjeivanje i oporavak od napada

virusa (stavci 6.3 i 8.1.3)

h) prikladni planovi poslovnog kontinuiteta za oporavak od napada

virusa, ukljuujui sav potrebni backup podataka i softvera, te

sporazume o oporavku (lanak 11)

i) postupci za provjeru svih informacija vezanih uz maliciozni

softver, te za osiguravanje da su obavijesti o upozorenjima tone i

informativne. Manageri trebaju osigurati da se za razlikovanje obmana

i stavrnih virusa koriste kvalificirani izvori, poput uglednih asopisa,pouzdanih Internet stranica ili dobavljaa antivirusnog softvera.

Osoblje treba biti svjesno problema postojanja obmana i lanih

opasnosti, te mora znati kako reagirati u takvim situacijama


21/48

6. Upravljanje komunikacijama Rutinskoodravanje

Cilj:

Odrati integritet i dostupnost servisa za komunikacije i

obradu informacija.

Potrebno je uspostaviti rutinske postupke za provoenje

dogovorenih strategija za backup podataka (stavak 11.1)

i uvjebavanja pravovremenog povrata takvih podataka,

biljeenja dogaaja i greaka, te praenja okruenja sa

opremom.


22/48


Backup informacija


a) minimalna koliina backup informacija, zajedno sa tonim ipotpunim zapisima o backup kopijama i postupcima povrata, trebabiti pohranjena na udaljenoj lokaciji, dovoljno dalekoj da ne budezahvaena katastrofom koja moe pogoditi glavnu lokaciju.Potrebno je zadrati barem tri generacije backup informacija zavane poslovne aplikacije.

b) backup informacijama treba osigurati prikladnu razinu fizikezatite i zatite od okruenja (lanak 7), usklaenu sa standardima

primijenjenim na glavnoj lokaciji. Kontrole koje se primjenjuju namedije na glavnoj lokaciji, treba primijeniti i na backup lokaciji.

c) backup medije treba redovito testirati, kako bi se osiguralo da se unjih moe pouzdati u sluaju nude

d) postupke povrata treba redovito provjeravati i testirati, kako bi seosiguralo da su efektivni i da mogu biti izvreni unutar rokova

predvienih u operativnim postupcima za oporavak


23/48


Operaterski dnevnici

Operativno osoblje treba odravati dnevnik svojih aktivnosti. Tidnevnici moraju sadravati slijedee:

a) vrijeme poetka i zavretka rada sustava

b) sistemske pogreke i poduzete korektivne akcije

c) potvrde o ispravnom rukovanju datotekama sa podacima i sraunalnim izlazom

d) ime osobe koja je napravila unos u dnevnik

Operaterski dnevnici trebaju bit podvrgnuti redovitoj, neovisnojprovjeri u skladu sa operativnim postupcima.


24/48


Biljeenje greaka

Potrebno je zabiljeiti greke o problemima na raunalima ili za

komunikacijskim sustavima, prijavljene od strane korisnika. Moraju

postojati jasna pravila za rukovanje prijavljenim grekama,

ukljuujui:

a) pregled dnevnika greaka, kako bi se osiguralo da su greke

zadovoljavajue rijeene

b) pregled korektivnih mjera, kako bi se osiguralo da kontrolni

mehanizmi nisu kompromitirani, te da su poduzete akcije u

potpunosti ovlatene


25/48

6. Upravljanje komunikacijama Upravljanjemreom

Cilj:

Osigurati zatitu informacija u mreama i pratee

infrastrukture.

Potrebno je pokloniti dunu panju problemu

upravljanja mreom to obuhvaa cijelu organizaciju.

Mogu biti potrebni i dodatni kontrolni mehanizmi radi

zatite pri prijenosu osjetljivih podataka kroz javne

mree.

6 U lj j k ik ij


26/48

6. Upravljanje komunikacijama Upravljanjemreom

Mrene kontrole

Za postizanje i odravanje mrene sigurnosti je potrebno primijenitiniz kontrolnih mehanizama. Mreni manageri trebaju implementiratikontrolne mehanizme, kako bi se osigurala sigurnost podataka umreama, te zatita prikljuenih servisa od neovlatenog pristupa.Posebice treba razmotriti slijedee kontrolne mehanizme:

a) operativne odgovornosti za mree trebaju biti odvojene od

raunalne operative gdje god je to mogue (stavak 8.1.4)b) porebno je uspostaviti postupke i odgovornosti za upravljanje

udaljenom opremom, ukljuujui i opremu u korisnikimpodrujima

c) ako je potrebno, treba uspostaviti posebne kontrole za zatitu

povjerljivosti i integriteta podataka koji prolaze preko javnih mrea,te za zatitu prikljuenih sustava (stavci 9.4 i 10.3). Posebnekontrole mogu biti potrebne za odravanje dostupnosti mrenihservisa i prikljuenih raunala.

d) aktivnosti managementa trebaju biti paljivo koordinirane, kakobi se optimizirale usluge poslovnom sustavu i kako bi se osiguralo

da su kontrole konzistentno primijenjene kroz cijelu infrastrukturuza obradu informaci a


27/48

6. Upravljanje komunikacijama Sigurnost medija iupravljanje medijima za pohranu

Cilj:

Sprijeiti oteenje vrijednosti i prekid poslovnih

aktivnosti.

Medije treba kontrolirati i fiziki tititi.

Potrebno je uspostaviti odgovarajue procedure za zatitudokumenata, raunalnih medija (vrpci, diskova, kazeta),

ulaznih/izlaznih podataka i sistemske dokumentacije od

oteivanja, krae i neovlatenog pristupa.


28/48


Upravljanje izmjenjivim raunalnim medijima

Potrebno je kontrolirati kako se upravlja izmjenjivim raunalnimmedijima, poput traka, kazeta, diskova i pisanih izvjea. Trebarazmotriti slijedee kontrolne mehanizme:

a) prijanje sadraje svakog ponovno iskoristivog medija koji naputaorganizaciju treba obrisati, ako vie nisu potrebni

b) potrebno je traiti ovlatenje za uklanjanje medija iz organizacije,te se mora voditi dnevnik takvih aktivnosti, kako bi se osigurao

nadzorni trag (stavak 8.7.2)c) svi mediji trebaju biti pohranjeni na sigurnom i zatienom mjestu,

u skladu sa specifikacijama proizvoaa

Svi postupci i sve razine ovlatenja trebaju biti jasno dokumentirani.


29/48


Uklanjanje medija

Medija treba ukloniti na siguran nain kada vie nisu potrebni.

Osjetljive informacije mogu doi u posjed vanjskih osoba, ako seneoprezno postupa prilikom uklanjanja medija. Potrebno je

uspostaviti formalne procedure za sigurno uklanjanje medija, kako

bi se minimizirali takvi rizici. Potrebno je razmotriti slijedee

kontrolne mehanizme:

a) medije sa osjetljivim informacijama treba pohranjivati i uklanjatina siguran nain, npr. spaljivanjem ili rezanjem, ili ih isprazniti od

podataka i uiniti ih spremnim za koritenje u nekoj drugoj aplikaciji

u organizaciji


30/48


b) u slijedeem popisu su navedeni kandidati za sigurnosnouklanjanje:

1) papirnati dokumenti

2) glasovne i druge snimke

3) indigo papiri

4) izlazni izvjetaji

5) jednokratne trake za pisae

6) magnetske vrpce

7) izmjenjivi diskovi i kazete8) mediji za optiku pohranu (svi oblici, ukljuujui i sve

distribucijske medije proizvoaa softvera)

9) listinzi programa

10) testni podaci

11) sistemska dokumentacija


31/48


c) radije sakupiti sve potrebne medije i sigurno ih ukloniti, nego ih

uklanjati pojedinano osjetljive

d) mnoge organizacije nude usluge sakupljanja i uklanjanja papira,

opreme i medija. Potrebno je paljivo odabrati prikladnog partnera,koji primjenjuje adekvatne kontrole i koji ima dovoljno iskustva

e) uklanjanje osjetljivih predmeta treba biljeiti gdje god je mogue,

kako bi se osigurao nadzorni trag

Pri skupljanju medija za uklanjanje potrebno je voditi rauna oefektu agregacije, koji moe dovesti do toga velika koliina

neklasificiranih informacija bude osjetljivija nego to bi to bila mala

koliina klasificiranih informacija.


32/48


Postupci za koritenje informacijama

Postupke treba izraditi tako da opisano rukovanje informacijamabude u skladu sa njenom klasifikacijom (stavak 5.2) u dokumentima,raunalnim sustavima, mreama, mobilnom raunalstvu, mobilnimkomunikacijama, poti, govornoj poti, govornim komunikacijamaopenito, multimediji, potanskim uslugama, koritenju faksa iostalih osjetljivih predmeta, poput bjanko ekova, rauna, Potrebno je razmotriti slijedee kontrolne mehanizme (stavci 5.2 i

8.7.2):a) rukovanje medijima i oznaavanje svih medija (stavak 8.7.2a)

b) ogranienja pristupa radi identifikacije neovlatenog osoblja

c) odravanje formalnog popisa ovlatenih primaoca podataka

d) osiguranje da su ulazni podaci potpuni, da je obrada pravilno

zavrena i da je nainjena validacija izlaznih rezultata


33/48


e) zatita podataka predanih na obradu u skladu sa razinom njihoveosjetljivosti

f) pohrana medija u okolini koja je u skladu sa specifikacijama

proizvoaa

g) minimalna distribucija podataka

h) jasno oznaavanje kopija podataka za koju su osobu

i) pregled distribucijskih lista i lista ovlatenih primaoca uredovitim intervalima


34/48


Sigurnost sistemske dokumentacije

Sistemska dokumentacija moe sadravati niz osjetljivih informacija, npr.opisa aplikacijskih procesa, procedura, struktura podataka, postupaka

autorizacije (stavak 9.1). Za zatitu od neovlatenog pristupa treba

razmotriti slijedee kontrolne mehanizme:

a) sistemsku dokumentaciju treba pohranjivati na siguran nain

b) lista pristupnika sistemskoj dokumentaciji mora biti minimalna i ovlatenaod strane vlasnika aplikacije

c) sistemska dokumentacija koja se uva u javnim mreama, ili do koje se

dolazi preko javnih mrea, treba biti odgovarajuezatiena


35/48

6. Upravljanje komunikacijama Razmjenainformacija i softvera

Cilj:

Sprijeiti gubitak, promjenu ili zloporabu informacija koje se

razmjenjuju meu organizacijama.

Razmjene informacija i softvera izmeu organizacija trebakontrolirati i uskladiti sa relevantnim zakonskim obvezama (lanak12).

Razmjene treba obavljati na temelju sporazuma. Treba uspostavitiprocedure i standarde za zatitu informacija i medija u tranzitu.Potrebno je razmotriti zahtjeve za kontrolom, te poslovne isigurnosne implikacije vezane uz elektronsku razmjenu podataka,elektronsko trgovanje i elektronsku potu.


36/48


Sporazumi o razmjeni informacija i softvera

Potrebno je uspostaviti sporazume o razmjeni informacija i softvera(elektronikoj ili runoj) izmeu organizacija. Neki od tihsporazuma mogu biti i formalni, ukljuujui dogovore o softverskom

sukljuarstvu, ako se pokae potrebnim. Sigurnosni sadraj takvihsporazuma mora odraavati osjetljivost ukljuenih poslovnihinformacija. Sporazumi o sigurnosnim uvjetima trebaju ukljuitislijedee:

a) odgovornosti managementa za kontrolu i obavjetavanje o

razmjenama, za slanje i primanjeb) procedure za obavjetavanje poiljaoca, za prijenos, slanje iprimanje

c) minimalne tehnike standarde za pakiranje i prijenos

d) standarde za identifikaciju kurira

e) odgovornosti i obveze u sluaju gubitka podataka


37/48


Sporazumi o razmjeni informacija i softvera

f) koritenje dogovorene sheme oznaavanja osjetljivih i kritinih

informacija, osiguravajui da je znaenje oznaka odmah razumljivo i

da je informacija adekvatno zatienag) odgovornosti i vlasnitvo nad informacijama i softverom radi

njihove zatite, uskladivost sa autorskim pravima i slinim pitanjima

(stavci 12.1.2 i 12.1.4)

h) tehnike standarde za pisanje i itanje informacija i softvera

i) bilo koje specijalne kontrole, potrebne za zatitu osjetljivihpredmeta, poput kriptografskih kljueva i sl. (stavak 10.3.5)


38/48


Sigurnost medi ja u razmjeni

Informacija moe biti ranjiva na neovlateni pristup, zloporabu ili oteenjeprilikom fizikog transporta, na primjer kada se mediji alju potom ilipreko kurira. Potrebno je primijeniti slijedee kontrolne mehanizme kako bise zatitili raunalni mediji koji putuju izmeu lokacija:

a) treba koristiti pouzdane naine transporta i kurire. Sa managementom

treba dogovoriti listu ovlatenih kurira i treba primijeniti postupke zaidentifikaciju kurira

b) pakiranje mora biti dovoljno da zatiti sadraj od fizikog oteenja kojemoe nastati tijekom prijevoza, a u skladu sa proizvoaevimspecifikacijama

c) potrebno je usvojiti posebne kontrole za zatitu osjetljivih informacija od

neovlatenog otkrivanja ili izmjene, poput:1) zakljuanih spremnika

2) dostave na ruke

3) pakiranje na koje se lako vidi da li je netko pokuavao otvarati poiljku

4) u posebnim situacijama, podjelu sadraja na vie isporuka i slanjerazliitim rutama

5) koritenja digitalnih potpisa i enkripcije (stavak 10.3)


39/48


Sigurnost u elektronikoj trgovini

Prilikom elektronike trgovine se koriste elektronika razmjena podataka(EDIElectronic Data Interchange), elektronika pota i on-linetransakcije, sve preko javnih mrea poput Inerneta. El. trgovina je ranjiva nabrojne mrene prijetnje koje mogu rezultirati aktivnostima prijevare,osporavanja ugovora i otkrivanja ili izmjene informacija. Potrebno jeprimijeniti kontrole radi zatite el. trgovine od takvih prijetnji. Sigurnosnarazmatranja o elektronikoj sigurnosti moraju ukljuiti slijedee kontrolnemehanizme:

a) autentifikacijukoju razinu povjerenja trebaju zahtijevati korisnik itrgovac prilikom iskazivanja identiteta?

b) autorizacijutko je ovlaten da odreuje cijene, da izdaje kljunetrgovake dokumente? Kako to trgovaki partner zna?

c) procese ugovaranja i slanja ponudakoji su zahtjevi za povjerljivou,integritetom, te o slanju i primitku kljunih dokumenata i za nemogunostpobijanja ugovora?


40/48


Sigurnost u elektronikoj trgovini

d) informacije o odreivanju cijena koliko se povjerenja moe imati u

istaknutu cijenu i u povjerljivost osjetljivih informacija o davanju popusta?

e) ostale transakcijekako se osigurava povjerljivost i integritet narudbi,

detalji o adresama za plaanje i dostavu, te potvrda primitka?

f) bonitetkakve su provjere boniteta primjerene za provjeru informacija o

plaanju, danih od strane kupca?

g) vetting - najprikladniji nain plaanja koji osigurava zatitu od prijevara

h) naruivanje koje su zatite potrebne za odravanje povjerljivosti i

integriteta informacija o narudbi, ta za izbjegavanje gubitka ili dupliciranjatransakcija?

i) obvezetko snosi rizik od prijevara u transakcijama?


41/48


Sigurnost elektronike pote -sigurnosni rizici

El. pota se koristi za oslovnu komunikaciju, zamjenjujui tradicionalneoblike komunikacije, poput teleksa i pisama. El. pota se od tredicionalnihobliak komunikacije azlikuje po brzini, strukturi poruka, stupnjuneformalnosti i ranjivosti na neovlateni pristup. Potrebno je razmotriti

potrebu za kontrolama koje e reducirati rizike koji nastaju koritenjem e-maila. U sigurnosne rizike spadaju:

a) ranjivost poruka na neovlateni pristup, izmjenu i uskraivanje usluge

b) ranjivost na greke (nepravilno adresiranje) i openita pouzdanost idostupnost usluge

c) posljedice promjene komunikacijskog medija na poslovne procese, tj.

uinak poveane brzine dostave ili uinak slanja formalnih poruka izmeuosoba, umjesto izmeu organizacija

d) pravni zahtjevi, poput potencijalna potreba za dokazivanjem izvora,slanja, isporuke i primanja

e) implikacije objave javno dostupnih lista osoblja

f) kontrola pristupa udaljenih korisnika do korisnikih rauna za e-mail


42/48


Politika o elektronikoj poti

Organizacije trebaju sastaviti jasne politike o koritenju el. pote,ukljuujui:

a) napade na el. potu (viruse, presretanja, )b) zatitu pridodanih sadraja (attachments)elektronikoj poruci

c) smjernice o tome kada se ne smije koristiti elektronika pota

d) odgovornost radnika da ne kompromitira kompaniju, npr. slanjeme-maila kojim se eli ocrniti kompanija, uznemiravanjem kroz e-mail, neovlatenom kupovinom,

e) koritenje kriptografskih tehnika za zatitu povjerljivosti iintegriteta el. poruka (stavak 10.3)

f) zadravanje poruka koje, ako budu pohranjene, mogu bitiotkrivene u sluaju parnice

g) dodatne kontrole za provjeru poruka koje se ne mogu

autentificirati


43/48


Sigurnost elektronikih uredskih sustava

Potrebno je pripremiti i implementirati politike i smjernice za kontroluposlovanja i rizika vezanih uz elektronike uredske sustave. Oniomoguavaju bru diseminaciju i zajedniko koritenje poslovnihinformacija, koritenjem kombinacije dokumenata, raunala, mobilnograunalstva, mobilnih komunikacija, pote, govorne pote, govornihkomunikacija openito, potanskih usluga i faks ureaja.

U razmatranja o sigurnosti i poslovnim posljedicama povezivanja takvihmogunosti treba ukljuiti:

a) ranjivosti informacija u uredskim sustavima, npr. snimanje telefonskih ilikonferencijskih poziva, povjerljivost poziva, pohrana faks poruka, otvaranjepote, distribucija pote

b) politiku i prikladne kontrolne mehanizme za upravljanje zajednikimkoritenjem informacija, npr. koritenje korporacijskih elektronskihoglasnih ploa (stavak 9.1)


44/48


Sigurnost elektronikih uredskih sustava

c) iskljuivanje pojedinih kategorija osjetljivih poslovnih informacija akosustav ne prua potrebnu razinu zatite (stavak 5.2)

d) ograniavanje pristupa zapisnikim informacijama koje se odnose na

pojedine radnike, npr. one koji rade na osjetljivim projektimae) prikladnost sustava za podrku poslovnim aplikacijama, poput

komunikacijskih naloga ili autorizacija

f) kategorije osoblja, te ugovornih ili poslovnih partnera, koje smiju koristitisustav i lokacije sa kojih mu se moe pristupiti (stavak 4.2)

g) ograniavanje rada s raunalima na pojedine kategorije korisnika

h) identifikaciju statusa korisnika, npr. radnika u organizaciji ili ugovornogpartnera, radi koristi za ostale korisnike

i) zadravanje i backup informacija pohranjenih u sustavu (stavci 12.1.3 i8.4.1)

j) zahtjeve i sporazume o oporavku u sluaju pada sustava (stavak 11.1)


45/48


Javno dostupni sustavi

Potrebno je paljivo zatititi integritet informacija objavljenihelektronikim putem, kako bi se sprijeilo neovlatene izmjene, kojemogu tetiti ugledu organizacije koja ih je objavila. Informacije na

javno dostupnim sustavima, npr. informacije na web posluiteljimadostupne preko Interneta, trebaju biti uskladive sa zakonima,

pravilima i regulativama koje vrijede na podruju gdje je sustavlociran ili gdje se odvija trgovina. Mora postojati formalni postupakautorizacije prije nego to se informacije uine javno dostupnima.

Softver, podaci i ostale informacije koje trae visoku razinuintegriteta, a dostupne su putem javnih sustava, trebaju biti zatiene

prikladnim mehanizmima, npr. digitalnim potpisima (stavak 10.3.3).


46/48


Javno dostupni sustavi

Elektroniki sustavi za objavu, naroito oni koji omoguavaju

prikupljanje povratnih informacija i izravan unos informacija,

trebaju biti paljivo kontrolirani, tako da se:

a) informacije pribavljaju u skladu sa zakonima o zatiti podataka(stavak 12.1.4)

b) informacije unesene u sustav (i obraene u sustavu) obrade u

potpunosti, tono i na vrijeme

c) osjetljive informacije zatite tijekom procesa prikupljanja i pohrane

d) ne dozvole neeljeni pristupi mrei na koju je sustav za objavu

spojen


47/48


Ostali obli ci razmjene informaci ja

Potrebno je razviti postupke i kontrolne mehanizme za zatitu informacijakoje se razmjenjuju glasovnom komunikacijom, faksom ivideokomunikacijom. Informacija moe biti kompromitirana zbog

nedostatka svijesti, politike ili postupaka za koritenje takvih mogunosti,npr. postoji mogunost da netko drugi uje to govorimo na javnom mjestupreko mobilnog telefona, da netko drugi preslua poruke na sekretarici, dapristupi sustavima govorne pote ili da se faks poruka poalje pogrenomprimatelju.

Ako komunikacije zataje, ako budu preoptereene ili ako budu prekinute(stavak 7.2 i lanak 11), mogui su prekid poslovnih operacija ikompromitacija informacija. Informacija moe biti kompromitirana i usluaju da se tim mogunostima koriste neovlatene osobe (lanak 9).

lj j k ik ij


48/48


Potrebno je uspostaviti jasnu politiku o eljenom postupanju osoblja prilikom

koritenja glasovne, faks ili video komunikacije. Ona mora ukljuiti slijedee:a) podsjetnike osoblju da mora biti oprezno prilikom telefoniranja, npr. da ne

iznosi osjetljive informacije, kako ih netko neovlaten ne bi sluajno uo:

1) netko od osoba koje se nau u blizini, naroito prilikom koritenja moblnihtelefona

2) kroz prislukivanje fizikih telefonskih linija i aparata, te analognih

mobilnih ureaja

3) netko do osoba kod sugovornika

b) podsjetnike osoblju da ne smiju voditi povjerljive razgovore na javnimmjestima ili u otvorenim uredima i prostorijama sa tankim zidovima

c) zabranu ostavljanja poruka na telefonskim sekretaricama, jer ih moe presluatii neovlatena osoba, bilo zato jer ih koristi vie osoba, bilo zato jer su ostavljenena pogrenom broju

d) podsjetnike osoblju o problemima vezanim uz koritenje fakseva:

1) neovlateni pristup spremnicima za poruke prilikom preuzimanja poruka

2) namjerno ili sluajno programiranje ureaja da alju poruke na odreene

brojeve

Documents

UPRAVLJANJE_KOMUNIKACIJAMA