Upload
suzana-puncec
View
218
Download
0
Embed Size (px)
Citation preview
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
1/48
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
2/48
6. Upravljanje komunikacijama
Cilj:
Osigurati korektno i sigurno izvravanje obrade informacija
Potrebno je uspostaviti odgovornosti i postupke za upravljanje iizvedbu obrade informacija. To ukljuuje i razvoj odgovarajuih
operativnih instrukcija i postupaka za reakciju pri pojavi incidenata.
Potrebno je implementirati i razdvajanje dunosti (stavak 8.1.4) tamo
gdje je prikladno, kako bi se smanjio rizik sluajne ili namjernezloporabe sustava.
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
3/48
6. Upravljanje komunikacijamaoperativni postupci koje treba dokumentirati
Operativne procedure identificirane u politici sigurnosti trebadokumentirati i odravati. Treba ih tretirati kao formalnedokumente, a izmjene trebaju biti odobrene od stranemanagementa.
Postupci moraju specificirati upute za detaljno izvoenje svakog posla,ukljuujui:
a) obradu i rukovanje informacijama
b) zahtjeve kod rasporeivanja (ukljuujui i meuovisnosti sa
ostalim sustavima), najranije vrijeme poetka i najkasnije vrijemezavretka posla
c) upute za rukovanje grekama i ostalim iznimnim uvjetima, kojimogu nastati prilikom izvravanja posla, ukljuujui ogranienjaza uporabu pomonih sistemskih alata (stavak 9.5.5)
d) kontakt osobe za podrku prilikom neoekivanih operativnih i
tehnikih
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
4/48
6. Upravljanje komunikacijamaoperativni postupci koje treba dokumentirati
e) posebne upute za rukovanje rezultatima rada i povjerljivim
rezultatima rada, ukljuujui postupke za sigurnosno rashodovanje
karta
f) u sluaju kvara u sustavu, postupke za ponovno pokretanje i
oporavak sustava
Potrebno je takoer pripremiti dokumentirane postupke za
aktivnosti redovnog odravanja (housekeeping), povezane sa
jedinicama za komunikaciju i raunala, poput postupaka
ukljuivanja i gaenja raunala, izrade rezervnih kopija podataka,
odravanja opreme, sigurnosti i upravljanja raunalnim
prostorijama i potom.
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
5/48
6. Upravljanje komunikacijamaoperativni postupci koje treba dokumentirati
Kontrola operativnih promjena
Promjene u sustavu za obradu informacija treba kontrolirati.
Neadekvatna kontrola promjena u jedinicama i sustavima za obradu
informacija je najei uzrok sigurnosnih ili sistemskih ispada.
Potrebno je uspostaviti formalne managerske odgovornosti ipostupke, kako bi se osigurala zadovoljavajua kontrola svih
promjena u opremi, softveru ili postupcima. Operativni programi
moraju biti od naroito strogom kontrolom. Prilikom izmjene
programa je potrebno sainiti nadzorni zapis sa svim relevantnim
informacijama. Promjene u operativnoj okolini mogu utjecati naaplikacije. Gdje god je mogue, treba integrirati postupke za
kontrolu operativnih i aplikacijskih promjena (stavak 10.5.1).
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
6/48
6. Upravljanje komunikacijamaoperativni postupci koje treba dokumentirati
Potrebno je razmotriti slijedee kontrolne mehanizme:
a) identifikacija i biljeenje znaajnih promjena
b) procjena potencijalnih posljedica takvih promjenac) formalan postupak odobravanja predloenih promjena
d) obavjeivanje svih relevantnih osoba o detaljima izmjenae) postupci za identifikaciju odgovornosti kod prekida i oporavka
od neuspjenih promjena
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
7/48
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
8/48
6. Upravljanje komunikacijama operativni postupcikoje treba dokumentirati
c) potrebno je prikupljati i osiguravati nadzorne tragove i slinedokaze (stavak 12.1.7) za:
1) interne analize problema
2) koritenje dokaza u sluaju potencijalnih krenja ugovora,
reguliranih zahtjevima ili u sluaju civilnih ili krivinih
postupaka
3) pregovore o kompenzaciji od strane dobavljaa softvera iservisa
d) akcije za oporavak od povreda sigurnosti i sistemskih ispadatreba paljivo i formalno kontrolirati. Postupci moraju osiguratislijedee:
1) samo identificirano i ovlateno osoblje smije pristupiti
sustavima i podacima (stavak 4.2.2)
2) sve hitne akcije treba detaljno dokumentirati
3) management je obavjeten o hitnim akcijama i uredno ih je
pregledao
4) integritet poslovnih sustava i kontrola potvren je uzminimalno kanjenje
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
9/48
6. Upravljanje komunikacijama operativni postupcikoje treba dokumentirati
Razdvajanje dunosti
Potrebno je paljivo utvrditi da niti jedna osoba ne moe neopaeno
izvesti prijevaru u nekom od podruja odgovornosti. Inicijacija nekog
dogaaja treba biti odvojena od njegovog odobrenja. Potrebno je
razmotriti slijedee kontrolne mehanizme:
a)
a) vano je razdvojiti aktivnosti koje trae tajne sporazume (poput
izdavanja naloga za kupovinu i provjere da je roba primljena), kako
bi se izbjegle prijevare
b) ako postoji opasnost od tajnih sporazuma, tada treba kontrole
podijeliti tako da bude ukljueno vie osoba, te time umanjiti
vjerojatnost urote
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
10/48
6. Upravljanje komunikacijama operativni postupcikoje treba dokumentirati
Razdvajanje razvojnih i operativnih pogona
Tamo gdje razvojno i testno osoblje ima pristup do operativnih sustava injihovih podataka, postoji mogunost da ono uvede neovlateni ineispitani kd ili da izmjeni operativne podatke. U nekim sustavima
se ta mogunost moe iskoristiti za prijevare ili za unoenjeneispitanog ili malicioznog kda. Neispitani ili maliciozni kd moe
prouzroiti ozbiljne operativne probleme. Razvijatelji i testeripredstavljaju prijetnju i za povjerljivost operativnih informacija.
Aktivnosti testiranja i razvoja mogu prouzroiti neeljene izmjene usoftveru i informacijama, ako se izvravaju u zajednikomraunalmom okruenju. Odvajanje razvoja, testiranja i operative jestoga poeljno radi reduciranja rizika od namjernih izmjena ilineovlatenog pristupa operativnom softveru i poslovnim podacima.
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
11/48
6. Upravljanje komunikacijama operativni postupcikoje treba dokumentirati
Razdvajanje razvojnih i operativnih pogona
Potrebno je razmotriti slijedee kontrolne mehanizme:
a) razvojni i operativni softver treba izvravati na razliitimraunalima, ili u razliitim domenama ili direktorijima
b) aktivnosti razvoja i testiranja treba razdvojiti kada je to mogue
c) prevoditelji, editori i ostali pomoni sistemski alati ne smiju bitidostupni iz operativnih sustava kada nisu potrebni
d) za operativne i testne sustave treba koristiti razliite postupkeprijave u sustav. Korisnike treba poticati da koriste razliite lozinke
za takve sustave, a izbornici trebaju prikazivati odgovarajueidentifikacijske poruke
e) razvojno osoblje smije imati pristup do operativnih lozinkisamo onda kada postoje kontrolni mehanizmi za izdavanje lozinki za
potporu operativnim sustavima. Kontrolni mehanizmi morajuosigurati da se takve lozinke promjene nakon uporabe.
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
12/48
6. Upravljanje komunikacijama operativni postupcikoje treba dokumentirati
Upravlj anje vanjskim pogonima
a) identifikacija osjetljivih ili kritinih aplikacija, koje je bolje
zadrati kod sebe
b) pribavljanje dozvole od strane vlasnika poslovne aplikacije
c) posljedice na planove poslovnog kontinuiteta
d) proces mjerenja uskladivosti i standardi koje treba specificirati
e) dodjela specifinih odgovornosti i postupaka, kako bi se
efektivno pratile sve relevantne sigurnosne ativnostif) odgovornosti i postupci za izvjeivanje i rukovanje
sigurnosnim incidentima (stavak 8.1.3)
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
13/48
6. Upravljanje komunikacijamaPlaniranje i prihvaanje sustava
Cilj:
Minimizirati rizike nefunkcionalnosti sustava.
Potrebno je planirati unaprijed i pripremati se, kako bi seosigurala dostupnost adekvatne koliine kapaciteta iresursa.
Potrebno je nainiti projekcije buduih zahtijeva zakapacitetima, kako bi se izbjeglo preopterenje sustava.Potrebno je uspostaviti, dokumentirati i testiratioperativne zahtjeve novih sustava prije njihovogodobravanja i uporabe.
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
14/48
6. Upravljanje komunikacijama Planiranje iprihvaanje sustava
Planiranje kapaciteta
Potrebno je pratiti zahtjeve za kapacitetima, te nainiti projekcije
buduih zahtjeva za kapacitetima, kako bi se osigurala odgovarajua
procesna snaga i prostor za pohranu. Projekcije trebaju uzeti u obzir
nove poslovne i sistemske zahtjeve, te trenutne i projicirane trendove
u obradi informacija u organizaciji.
Manageri trebaju koristiti tu informaciju za identifikaciju iizbjegavanje potencijalnih uskih grla, koja mogu predstavljati
prijetnju sifurnosti sustava ili korisnikim uslugama, te moraju
planirati akcije za rjeavanje takvih situacija.
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
15/48
6. Upravljanje komunikacijama Planiranje iprihvaanje sustava
Prihvaanje novih sustava il i novih verzija sustava
Potrebno je razmotriti slijedee kontrolne mehanizme:
a) zahtjevi za kapacitetom i performansama raunala
b) postupci za oporavak od pogreaka i za ponovno pokretanje, tekontingencijski planovi
c) priprema i testiranje rutinskih operativnih ostupaka premadefiniranim standardima
d) postavljanje dogovorenog skupa kontrolnih mehanizama
e) efektivni runi postupci
f) sporazumi o kontinuitetu poslovanja, kako je zahtijevano u 11.1
g) dokazi da instalacija novog sustava nee na razne naineutjecati na postojee sustave, naroito u vrijeme vrnihobradbenih optereenja
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
16/48
6. Upravljanje komunikacijama Planiranje iprihvaanje sustava
Prihvaanje novih sustava il i novih verzija sustava
h) dokazi da su razmotreni uinci novog sustava na sveopu
sigurnost organizacije
i) trening za operativnu uporabu novih sustava
U sluaju velikih novih razvojnih poduhvata, potrebno je u
svim stadijima procesa razvoja konzultirati operativnu funkciju i
korisnike, kako bi se osigurala operativna efikasnost predloenogdizajna sustava. Potrebno je provesti odgovarajue testove kako
bi se potvrdilo da je u potpunosti udovoljeno svim kriterijima za
prihvaanje.
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
17/48
6. Upravljanje komunikacijama Zatita odmalicioznih programa
Cilj:
Zatititi integritet softvera i informacije.
Potreban je oprez kako bi se otkrio i sprijeio ulazak malicioznogsoftvera.
Softver i raunala ranjivi su prema malicioznom softveru, poput
raunalnih virusa, mrenih crva, trojanskih konja (stavak 10.5.4) i
logikih bombi. Korisnike treba uiniti svjesnima opasnosti od
neautoriziranog i malicioznog softvera, a manageri trebaju, gdje je toprikladno, uvesti dodatne kontrole za otkrivanje i prevenciju ulaska
takvog softvera u sustavnaroito u sluaju virusa na osobnim
raunalima.
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
18/48
6. Upravljanje komunikacijama Zatita odmalicioznih programa
Kontrola usmjerena na mal iciozni softver
Potrebno je uvesti procedure otkrivanja i prevencije radi zatite od
zlonamjernog softvera, te je potrebno kod korisnika razviti svijest o
potrebi takve zatite. Zatita od malicioznog softvera se treba temeljitina sigurnosnoj svijesti, te na prikladnim kontrolama za pristup sustavu i
upravljanje promjenama. Potrebno je razmotriti slijedee kontrolne
mehanizme:
a) formalna politika koja zahtijeva potivanje softverskih licenci i
zabranjuje uporabu neovlatenog softvera (stavak 12.1.2.2)
b) formalna politika za zatitu od rizika (ukljuujui i zatitne mjere
koje treba poduzeti) povezanih sa pribavljanjem datoteka i softvera od
ili preko vanjskih mrea, ili bilo kojeg drugog medija (stavak 10.5,
posebno 10.5.4 i 10.5.5)
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
19/48
6. Upravljanje komunikacijama Zatita odmalicioznih programa
c) instalacija i redovita nadogradnja antivirusnih softvera za
detekciju i popravak, radi pregleda raunala i medija bilo kao mjera
predostronosti, bilo kao dio svakodnevne rutine
d) provoenje redovitih pregleda softvera i podatkovnih sadraja u
sustavima za podrku kritinim poslovnim procesima. Prisustvo bilo
koje neodobrene datoteke ili bilo kojeg neodobrenog dodatka treba
formalno istraiti.
e) provjera svih datoteka prije koritenja radi virusa na elektronikim
medijima sa nepoznatim ili neovlatenim izvorom, ili datoteka
primljenih preko nesigurnih mrea
f) pregled svih pridodanih datoteka elektronikoj poti i svih
datoteka skinutih sa mrea prije koritenja, radi provjere malicioznog
softvera. Te provjere se mogu obavljati na razliitim mjestima, npr. na
serverima za elektroniku potu, stolnim raunalima ili na ulasku u
organizacijsku meu
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
20/48
6. Upravljanje komunikacijama Zatita odmalicioznih programa
g) postupci upravljanja i odgovornosti za zatitu od virusa u
sustavima, treniranje koritenja, izvjeivanje i oporavak od napada
virusa (stavci 6.3 i 8.1.3)
h) prikladni planovi poslovnog kontinuiteta za oporavak od napada
virusa, ukljuujui sav potrebni backup podataka i softvera, te
sporazume o oporavku (lanak 11)
i) postupci za provjeru svih informacija vezanih uz maliciozni
softver, te za osiguravanje da su obavijesti o upozorenjima tone i
informativne. Manageri trebaju osigurati da se za razlikovanje obmana
i stavrnih virusa koriste kvalificirani izvori, poput uglednih asopisa,pouzdanih Internet stranica ili dobavljaa antivirusnog softvera.
Osoblje treba biti svjesno problema postojanja obmana i lanih
opasnosti, te mora znati kako reagirati u takvim situacijama
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
21/48
6. Upravljanje komunikacijama Rutinskoodravanje
Cilj:
Odrati integritet i dostupnost servisa za komunikacije i
obradu informacija.
Potrebno je uspostaviti rutinske postupke za provoenje
dogovorenih strategija za backup podataka (stavak 11.1)
i uvjebavanja pravovremenog povrata takvih podataka,
biljeenja dogaaja i greaka, te praenja okruenja sa
opremom.
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
22/48
6. Upravljanje komunikacijama Rutinskoodravanje
Backup informacija
Potrebno je razmotriti slijedee kontrolne mehanizme:
a) minimalna koliina backup informacija, zajedno sa tonim ipotpunim zapisima o backup kopijama i postupcima povrata, trebabiti pohranjena na udaljenoj lokaciji, dovoljno dalekoj da ne budezahvaena katastrofom koja moe pogoditi glavnu lokaciju.Potrebno je zadrati barem tri generacije backup informacija zavane poslovne aplikacije.
b) backup informacijama treba osigurati prikladnu razinu fizikezatite i zatite od okruenja (lanak 7), usklaenu sa standardima
primijenjenim na glavnoj lokaciji. Kontrole koje se primjenjuju namedije na glavnoj lokaciji, treba primijeniti i na backup lokaciji.
c) backup medije treba redovito testirati, kako bi se osiguralo da se unjih moe pouzdati u sluaju nude
d) postupke povrata treba redovito provjeravati i testirati, kako bi seosiguralo da su efektivni i da mogu biti izvreni unutar rokova
predvienih u operativnim postupcima za oporavak
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
23/48
6. Upravljanje komunikacijama Rutinskoodravanje
Operaterski dnevnici
Operativno osoblje treba odravati dnevnik svojih aktivnosti. Tidnevnici moraju sadravati slijedee:
a) vrijeme poetka i zavretka rada sustava
b) sistemske pogreke i poduzete korektivne akcije
c) potvrde o ispravnom rukovanju datotekama sa podacima i sraunalnim izlazom
d) ime osobe koja je napravila unos u dnevnik
Operaterski dnevnici trebaju bit podvrgnuti redovitoj, neovisnojprovjeri u skladu sa operativnim postupcima.
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
24/48
6. Upravljanje komunikacijama Rutinskoodravanje
Biljeenje greaka
Potrebno je zabiljeiti greke o problemima na raunalima ili za
komunikacijskim sustavima, prijavljene od strane korisnika. Moraju
postojati jasna pravila za rukovanje prijavljenim grekama,
ukljuujui:
a) pregled dnevnika greaka, kako bi se osiguralo da su greke
zadovoljavajue rijeene
b) pregled korektivnih mjera, kako bi se osiguralo da kontrolni
mehanizmi nisu kompromitirani, te da su poduzete akcije u
potpunosti ovlatene
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
25/48
6. Upravljanje komunikacijama Upravljanjemreom
Cilj:
Osigurati zatitu informacija u mreama i pratee
infrastrukture.
Potrebno je pokloniti dunu panju problemu
upravljanja mreom to obuhvaa cijelu organizaciju.
Mogu biti potrebni i dodatni kontrolni mehanizmi radi
zatite pri prijenosu osjetljivih podataka kroz javne
mree.
6 U lj j k ik ij
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
26/48
6. Upravljanje komunikacijama Upravljanjemreom
Mrene kontrole
Za postizanje i odravanje mrene sigurnosti je potrebno primijenitiniz kontrolnih mehanizama. Mreni manageri trebaju implementiratikontrolne mehanizme, kako bi se osigurala sigurnost podataka umreama, te zatita prikljuenih servisa od neovlatenog pristupa.Posebice treba razmotriti slijedee kontrolne mehanizme:
a) operativne odgovornosti za mree trebaju biti odvojene od
raunalne operative gdje god je to mogue (stavak 8.1.4)b) porebno je uspostaviti postupke i odgovornosti za upravljanje
udaljenom opremom, ukljuujui i opremu u korisnikimpodrujima
c) ako je potrebno, treba uspostaviti posebne kontrole za zatitu
povjerljivosti i integriteta podataka koji prolaze preko javnih mrea,te za zatitu prikljuenih sustava (stavci 9.4 i 10.3). Posebnekontrole mogu biti potrebne za odravanje dostupnosti mrenihservisa i prikljuenih raunala.
d) aktivnosti managementa trebaju biti paljivo koordinirane, kakobi se optimizirale usluge poslovnom sustavu i kako bi se osiguralo
da su kontrole konzistentno primijenjene kroz cijelu infrastrukturuza obradu informaci a
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
27/48
6. Upravljanje komunikacijama Sigurnost medija iupravljanje medijima za pohranu
Cilj:
Sprijeiti oteenje vrijednosti i prekid poslovnih
aktivnosti.
Medije treba kontrolirati i fiziki tititi.
Potrebno je uspostaviti odgovarajue procedure za zatitudokumenata, raunalnih medija (vrpci, diskova, kazeta),
ulaznih/izlaznih podataka i sistemske dokumentacije od
oteivanja, krae i neovlatenog pristupa.
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
28/48
6. Upravljanje komunikacijama Sigurnost medija iupravljanje medijima za pohranu
Upravljanje izmjenjivim raunalnim medijima
Potrebno je kontrolirati kako se upravlja izmjenjivim raunalnimmedijima, poput traka, kazeta, diskova i pisanih izvjea. Trebarazmotriti slijedee kontrolne mehanizme:
a) prijanje sadraje svakog ponovno iskoristivog medija koji naputaorganizaciju treba obrisati, ako vie nisu potrebni
b) potrebno je traiti ovlatenje za uklanjanje medija iz organizacije,te se mora voditi dnevnik takvih aktivnosti, kako bi se osigurao
nadzorni trag (stavak 8.7.2)c) svi mediji trebaju biti pohranjeni na sigurnom i zatienom mjestu,
u skladu sa specifikacijama proizvoaa
Svi postupci i sve razine ovlatenja trebaju biti jasno dokumentirani.
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
29/48
6. Upravljanje komunikacijama Sigurnost medija iupravljanje medijima za pohranu
Uklanjanje medija
Medija treba ukloniti na siguran nain kada vie nisu potrebni.
Osjetljive informacije mogu doi u posjed vanjskih osoba, ako seneoprezno postupa prilikom uklanjanja medija. Potrebno je
uspostaviti formalne procedure za sigurno uklanjanje medija, kako
bi se minimizirali takvi rizici. Potrebno je razmotriti slijedee
kontrolne mehanizme:
a) medije sa osjetljivim informacijama treba pohranjivati i uklanjatina siguran nain, npr. spaljivanjem ili rezanjem, ili ih isprazniti od
podataka i uiniti ih spremnim za koritenje u nekoj drugoj aplikaciji
u organizaciji
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
30/48
6. Upravljanje komunikacijama Sigurnost medija iupravljanje medijima za pohranu
b) u slijedeem popisu su navedeni kandidati za sigurnosnouklanjanje:
1) papirnati dokumenti
2) glasovne i druge snimke
3) indigo papiri
4) izlazni izvjetaji
5) jednokratne trake za pisae
6) magnetske vrpce
7) izmjenjivi diskovi i kazete8) mediji za optiku pohranu (svi oblici, ukljuujui i sve
distribucijske medije proizvoaa softvera)
9) listinzi programa
10) testni podaci
11) sistemska dokumentacija
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
31/48
6. Upravljanje komunikacijama Sigurnost medija iupravljanje medijima za pohranu
c) radije sakupiti sve potrebne medije i sigurno ih ukloniti, nego ih
uklanjati pojedinano osjetljive
d) mnoge organizacije nude usluge sakupljanja i uklanjanja papira,
opreme i medija. Potrebno je paljivo odabrati prikladnog partnera,koji primjenjuje adekvatne kontrole i koji ima dovoljno iskustva
e) uklanjanje osjetljivih predmeta treba biljeiti gdje god je mogue,
kako bi se osigurao nadzorni trag
Pri skupljanju medija za uklanjanje potrebno je voditi rauna oefektu agregacije, koji moe dovesti do toga velika koliina
neklasificiranih informacija bude osjetljivija nego to bi to bila mala
koliina klasificiranih informacija.
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
32/48
6. Upravljanje komunikacijama Sigurnost medija iupravljanje medijima za pohranu
Postupci za koritenje informacijama
Postupke treba izraditi tako da opisano rukovanje informacijamabude u skladu sa njenom klasifikacijom (stavak 5.2) u dokumentima,raunalnim sustavima, mreama, mobilnom raunalstvu, mobilnimkomunikacijama, poti, govornoj poti, govornim komunikacijamaopenito, multimediji, potanskim uslugama, koritenju faksa iostalih osjetljivih predmeta, poput bjanko ekova, rauna, Potrebno je razmotriti slijedee kontrolne mehanizme (stavci 5.2 i
8.7.2):a) rukovanje medijima i oznaavanje svih medija (stavak 8.7.2a)
b) ogranienja pristupa radi identifikacije neovlatenog osoblja
c) odravanje formalnog popisa ovlatenih primaoca podataka
d) osiguranje da su ulazni podaci potpuni, da je obrada pravilno
zavrena i da je nainjena validacija izlaznih rezultata
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
33/48
6. Upravljanje komunikacijama Sigurnost medija iupravljanje medijima za pohranu
e) zatita podataka predanih na obradu u skladu sa razinom njihoveosjetljivosti
f) pohrana medija u okolini koja je u skladu sa specifikacijama
proizvoaa
g) minimalna distribucija podataka
h) jasno oznaavanje kopija podataka za koju su osobu
i) pregled distribucijskih lista i lista ovlatenih primaoca uredovitim intervalima
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
34/48
6. Upravljanje komunikacijama Sigurnost medija iupravljanje medijima za pohranu
Sigurnost sistemske dokumentacije
Sistemska dokumentacija moe sadravati niz osjetljivih informacija, npr.opisa aplikacijskih procesa, procedura, struktura podataka, postupaka
autorizacije (stavak 9.1). Za zatitu od neovlatenog pristupa treba
razmotriti slijedee kontrolne mehanizme:
a) sistemsku dokumentaciju treba pohranjivati na siguran nain
b) lista pristupnika sistemskoj dokumentaciji mora biti minimalna i ovlatenaod strane vlasnika aplikacije
c) sistemska dokumentacija koja se uva u javnim mreama, ili do koje se
dolazi preko javnih mrea, treba biti odgovarajuezatiena
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
35/48
6. Upravljanje komunikacijama Razmjenainformacija i softvera
Cilj:
Sprijeiti gubitak, promjenu ili zloporabu informacija koje se
razmjenjuju meu organizacijama.
Razmjene informacija i softvera izmeu organizacija trebakontrolirati i uskladiti sa relevantnim zakonskim obvezama (lanak12).
Razmjene treba obavljati na temelju sporazuma. Treba uspostavitiprocedure i standarde za zatitu informacija i medija u tranzitu.Potrebno je razmotriti zahtjeve za kontrolom, te poslovne isigurnosne implikacije vezane uz elektronsku razmjenu podataka,elektronsko trgovanje i elektronsku potu.
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
36/48
6. Upravljanje komunikacijama Razmjenainformacija i softvera
Sporazumi o razmjeni informacija i softvera
Potrebno je uspostaviti sporazume o razmjeni informacija i softvera(elektronikoj ili runoj) izmeu organizacija. Neki od tihsporazuma mogu biti i formalni, ukljuujui dogovore o softverskom
sukljuarstvu, ako se pokae potrebnim. Sigurnosni sadraj takvihsporazuma mora odraavati osjetljivost ukljuenih poslovnihinformacija. Sporazumi o sigurnosnim uvjetima trebaju ukljuitislijedee:
a) odgovornosti managementa za kontrolu i obavjetavanje o
razmjenama, za slanje i primanjeb) procedure za obavjetavanje poiljaoca, za prijenos, slanje iprimanje
c) minimalne tehnike standarde za pakiranje i prijenos
d) standarde za identifikaciju kurira
e) odgovornosti i obveze u sluaju gubitka podataka
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
37/48
6. Upravljanje komunikacijama Razmjenainformacija i softvera
Sporazumi o razmjeni informacija i softvera
f) koritenje dogovorene sheme oznaavanja osjetljivih i kritinih
informacija, osiguravajui da je znaenje oznaka odmah razumljivo i
da je informacija adekvatno zatienag) odgovornosti i vlasnitvo nad informacijama i softverom radi
njihove zatite, uskladivost sa autorskim pravima i slinim pitanjima
(stavci 12.1.2 i 12.1.4)
h) tehnike standarde za pisanje i itanje informacija i softvera
i) bilo koje specijalne kontrole, potrebne za zatitu osjetljivihpredmeta, poput kriptografskih kljueva i sl. (stavak 10.3.5)
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
38/48
6. Upravljanje komunikacijama Razmjenainformacija i softvera
Sigurnost medi ja u razmjeni
Informacija moe biti ranjiva na neovlateni pristup, zloporabu ili oteenjeprilikom fizikog transporta, na primjer kada se mediji alju potom ilipreko kurira. Potrebno je primijeniti slijedee kontrolne mehanizme kako bise zatitili raunalni mediji koji putuju izmeu lokacija:
a) treba koristiti pouzdane naine transporta i kurire. Sa managementom
treba dogovoriti listu ovlatenih kurira i treba primijeniti postupke zaidentifikaciju kurira
b) pakiranje mora biti dovoljno da zatiti sadraj od fizikog oteenja kojemoe nastati tijekom prijevoza, a u skladu sa proizvoaevimspecifikacijama
c) potrebno je usvojiti posebne kontrole za zatitu osjetljivih informacija od
neovlatenog otkrivanja ili izmjene, poput:1) zakljuanih spremnika
2) dostave na ruke
3) pakiranje na koje se lako vidi da li je netko pokuavao otvarati poiljku
4) u posebnim situacijama, podjelu sadraja na vie isporuka i slanjerazliitim rutama
5) koritenja digitalnih potpisa i enkripcije (stavak 10.3)
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
39/48
6. Upravljanje komunikacijama Razmjenainformacija i softvera
Sigurnost u elektronikoj trgovini
Prilikom elektronike trgovine se koriste elektronika razmjena podataka(EDIElectronic Data Interchange), elektronika pota i on-linetransakcije, sve preko javnih mrea poput Inerneta. El. trgovina je ranjiva nabrojne mrene prijetnje koje mogu rezultirati aktivnostima prijevare,osporavanja ugovora i otkrivanja ili izmjene informacija. Potrebno jeprimijeniti kontrole radi zatite el. trgovine od takvih prijetnji. Sigurnosnarazmatranja o elektronikoj sigurnosti moraju ukljuiti slijedee kontrolnemehanizme:
a) autentifikacijukoju razinu povjerenja trebaju zahtijevati korisnik itrgovac prilikom iskazivanja identiteta?
b) autorizacijutko je ovlaten da odreuje cijene, da izdaje kljunetrgovake dokumente? Kako to trgovaki partner zna?
c) procese ugovaranja i slanja ponudakoji su zahtjevi za povjerljivou,integritetom, te o slanju i primitku kljunih dokumenata i za nemogunostpobijanja ugovora?
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
40/48
6. Upravljanje komunikacijama Razmjenainformacija i softvera
Sigurnost u elektronikoj trgovini
d) informacije o odreivanju cijena koliko se povjerenja moe imati u
istaknutu cijenu i u povjerljivost osjetljivih informacija o davanju popusta?
e) ostale transakcijekako se osigurava povjerljivost i integritet narudbi,
detalji o adresama za plaanje i dostavu, te potvrda primitka?
f) bonitetkakve su provjere boniteta primjerene za provjeru informacija o
plaanju, danih od strane kupca?
g) vetting - najprikladniji nain plaanja koji osigurava zatitu od prijevara
h) naruivanje koje su zatite potrebne za odravanje povjerljivosti i
integriteta informacija o narudbi, ta za izbjegavanje gubitka ili dupliciranjatransakcija?
i) obvezetko snosi rizik od prijevara u transakcijama?
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
41/48
6. Upravljanje komunikacijama Razmjenainformacija i softvera
Sigurnost elektronike pote -sigurnosni rizici
El. pota se koristi za oslovnu komunikaciju, zamjenjujui tradicionalneoblike komunikacije, poput teleksa i pisama. El. pota se od tredicionalnihobliak komunikacije azlikuje po brzini, strukturi poruka, stupnjuneformalnosti i ranjivosti na neovlateni pristup. Potrebno je razmotriti
potrebu za kontrolama koje e reducirati rizike koji nastaju koritenjem e-maila. U sigurnosne rizike spadaju:
a) ranjivost poruka na neovlateni pristup, izmjenu i uskraivanje usluge
b) ranjivost na greke (nepravilno adresiranje) i openita pouzdanost idostupnost usluge
c) posljedice promjene komunikacijskog medija na poslovne procese, tj.
uinak poveane brzine dostave ili uinak slanja formalnih poruka izmeuosoba, umjesto izmeu organizacija
d) pravni zahtjevi, poput potencijalna potreba za dokazivanjem izvora,slanja, isporuke i primanja
e) implikacije objave javno dostupnih lista osoblja
f) kontrola pristupa udaljenih korisnika do korisnikih rauna za e-mail
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
42/48
6. Upravljanje komunikacijama Razmjenainformacija i softvera
Politika o elektronikoj poti
Organizacije trebaju sastaviti jasne politike o koritenju el. pote,ukljuujui:
a) napade na el. potu (viruse, presretanja, )b) zatitu pridodanih sadraja (attachments)elektronikoj poruci
c) smjernice o tome kada se ne smije koristiti elektronika pota
d) odgovornost radnika da ne kompromitira kompaniju, npr. slanjeme-maila kojim se eli ocrniti kompanija, uznemiravanjem kroz e-mail, neovlatenom kupovinom,
e) koritenje kriptografskih tehnika za zatitu povjerljivosti iintegriteta el. poruka (stavak 10.3)
f) zadravanje poruka koje, ako budu pohranjene, mogu bitiotkrivene u sluaju parnice
g) dodatne kontrole za provjeru poruka koje se ne mogu
autentificirati
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
43/48
6. Upravljanje komunikacijama Razmjenainformacija i softvera
Sigurnost elektronikih uredskih sustava
Potrebno je pripremiti i implementirati politike i smjernice za kontroluposlovanja i rizika vezanih uz elektronike uredske sustave. Oniomoguavaju bru diseminaciju i zajedniko koritenje poslovnihinformacija, koritenjem kombinacije dokumenata, raunala, mobilnograunalstva, mobilnih komunikacija, pote, govorne pote, govornihkomunikacija openito, potanskih usluga i faks ureaja.
U razmatranja o sigurnosti i poslovnim posljedicama povezivanja takvihmogunosti treba ukljuiti:
a) ranjivosti informacija u uredskim sustavima, npr. snimanje telefonskih ilikonferencijskih poziva, povjerljivost poziva, pohrana faks poruka, otvaranjepote, distribucija pote
b) politiku i prikladne kontrolne mehanizme za upravljanje zajednikimkoritenjem informacija, npr. koritenje korporacijskih elektronskihoglasnih ploa (stavak 9.1)
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
44/48
6. Upravljanje komunikacijama Razmjenainformacija i softvera
Sigurnost elektronikih uredskih sustava
c) iskljuivanje pojedinih kategorija osjetljivih poslovnih informacija akosustav ne prua potrebnu razinu zatite (stavak 5.2)
d) ograniavanje pristupa zapisnikim informacijama koje se odnose na
pojedine radnike, npr. one koji rade na osjetljivim projektimae) prikladnost sustava za podrku poslovnim aplikacijama, poput
komunikacijskih naloga ili autorizacija
f) kategorije osoblja, te ugovornih ili poslovnih partnera, koje smiju koristitisustav i lokacije sa kojih mu se moe pristupiti (stavak 4.2)
g) ograniavanje rada s raunalima na pojedine kategorije korisnika
h) identifikaciju statusa korisnika, npr. radnika u organizaciji ili ugovornogpartnera, radi koristi za ostale korisnike
i) zadravanje i backup informacija pohranjenih u sustavu (stavci 12.1.3 i8.4.1)
j) zahtjeve i sporazume o oporavku u sluaju pada sustava (stavak 11.1)
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
45/48
6. Upravljanje komunikacijama Razmjenainformacija i softvera
Javno dostupni sustavi
Potrebno je paljivo zatititi integritet informacija objavljenihelektronikim putem, kako bi se sprijeilo neovlatene izmjene, kojemogu tetiti ugledu organizacije koja ih je objavila. Informacije na
javno dostupnim sustavima, npr. informacije na web posluiteljimadostupne preko Interneta, trebaju biti uskladive sa zakonima,
pravilima i regulativama koje vrijede na podruju gdje je sustavlociran ili gdje se odvija trgovina. Mora postojati formalni postupakautorizacije prije nego to se informacije uine javno dostupnima.
Softver, podaci i ostale informacije koje trae visoku razinuintegriteta, a dostupne su putem javnih sustava, trebaju biti zatiene
prikladnim mehanizmima, npr. digitalnim potpisima (stavak 10.3.3).
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
46/48
6. Upravljanje komunikacijama Razmjenainformacija i softvera
Javno dostupni sustavi
Elektroniki sustavi za objavu, naroito oni koji omoguavaju
prikupljanje povratnih informacija i izravan unos informacija,
trebaju biti paljivo kontrolirani, tako da se:
a) informacije pribavljaju u skladu sa zakonima o zatiti podataka(stavak 12.1.4)
b) informacije unesene u sustav (i obraene u sustavu) obrade u
potpunosti, tono i na vrijeme
c) osjetljive informacije zatite tijekom procesa prikupljanja i pohrane
d) ne dozvole neeljeni pristupi mrei na koju je sustav za objavu
spojen
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
47/48
6. Upravljanje komunikacijama Razmjenainformacija i softvera
Ostali obli ci razmjene informaci ja
Potrebno je razviti postupke i kontrolne mehanizme za zatitu informacijakoje se razmjenjuju glasovnom komunikacijom, faksom ivideokomunikacijom. Informacija moe biti kompromitirana zbog
nedostatka svijesti, politike ili postupaka za koritenje takvih mogunosti,npr. postoji mogunost da netko drugi uje to govorimo na javnom mjestupreko mobilnog telefona, da netko drugi preslua poruke na sekretarici, dapristupi sustavima govorne pote ili da se faks poruka poalje pogrenomprimatelju.
Ako komunikacije zataje, ako budu preoptereene ili ako budu prekinute(stavak 7.2 i lanak 11), mogui su prekid poslovnih operacija ikompromitacija informacija. Informacija moe biti kompromitirana i usluaju da se tim mogunostima koriste neovlatene osobe (lanak 9).
lj j k ik ij
7/28/2019 UPRAVLJANJE_KOMUNIKACIJAMA
48/48
6. Upravljanje komunikacijama Razmjenainformacija i softvera
Potrebno je uspostaviti jasnu politiku o eljenom postupanju osoblja prilikom
koritenja glasovne, faks ili video komunikacije. Ona mora ukljuiti slijedee:a) podsjetnike osoblju da mora biti oprezno prilikom telefoniranja, npr. da ne
iznosi osjetljive informacije, kako ih netko neovlaten ne bi sluajno uo:
1) netko od osoba koje se nau u blizini, naroito prilikom koritenja moblnihtelefona
2) kroz prislukivanje fizikih telefonskih linija i aparata, te analognih
mobilnih ureaja
3) netko do osoba kod sugovornika
b) podsjetnike osoblju da ne smiju voditi povjerljive razgovore na javnimmjestima ili u otvorenim uredima i prostorijama sa tankim zidovima
c) zabranu ostavljanja poruka na telefonskim sekretaricama, jer ih moe presluatii neovlatena osoba, bilo zato jer ih koristi vie osoba, bilo zato jer su ostavljenena pogrenom broju
d) podsjetnike osoblju o problemima vezanim uz koritenje fakseva:
1) neovlateni pristup spremnicima za poruke prilikom preuzimanja poruka
2) namjerno ili sluajno programiranje ureaja da alju poruke na odreene
brojeve