Docstoc

Bezbednost i zastita informacija

Document Sample
Bezbednost i zastita informacija Powered By Docstoc
					        UVOD

         Savremeno poslovanje je danas nezamislivo bez primene informacionih tehnologija.
 Informacije postaju vaţan resurs od koga zavisi opstanak i razvoja organizacije. Organizacije
 postaju sve otvorenije povezujući svoje informacione resurse sa kupcima, dobavljačima i ostalim
 komintentima. Ovo dovodi do pojave brojnih sigurnosnih prijetnji kao što su računarske prevare,
 špijunaţe, sabotaţe, vandalizmi, poţari, poplave i sl. Štete nanesene organizacijama u obliku
 zloćudnog koda, računarskog hakerisanja i uskraćivanja usluge je sve prisutnija pojava.
     Bez obzira u kom obliku se čuvaju (pothranjuju) informacije moraju da budu adekvatno
 zaštićene. Da bi se osigurala adekvatna zaštita informacija svi korisnici moraju da budu
 familijarni sa konceptom i merama zaštite koje se zahtevaju.
     Zaštita informacija, očuvanje njihove poverljivosti, integriteta, odnosno celovitosti i
 raspoloţoivosti postaje od primarne vaţnosti. Sigurnost informacija je mnogo više od korišćenja
 odgovarajućih tehničkih rešenja koje nude savremene informacione tehnologije. "Ako mislite da
 tehnologijom moţete reštit vaš sigurnosni problem onda vi ne razumete ni problem ni tehnologiju".
    Oslanjajući se na koncept da je sigurnost informacija mnogo više od primene savremenih
tehničkih rešenja koje nude informacione tehnologije, razvijeni svet (pre svih Velika
Britanija kroz nacionalno telo za standardizaciju BSI) opredelio se za razvoj odgovarajućih standarda
koji pokrivaju ovu oblast. Tako su sredinom devedesetih godina prošlog veka nastali prvi standardi
BS 7799-1 i BS 7799-2. Razvoj ovih standarda je od dvehiljadite godine preuzela MeĎunarodna
organizacija za standardizaciju (ISO) zajeno sa MeĎunarodnom elektrotehničkom komisijom (IEC)
kroz zajednički tehnički komitet (JTC1).


                              ŠTA JE INFORMACIJA?

    Informacija: je podatak sa odreĎenim značenjem, odnosno znanje koje se moţe preneti
na bilo koji način (pismom, audio, vizuelno, elektronski ili na neki drugi način).
Informacije mogu da budu:

       štampane ili napisane na papiru
       odloţene (memorisane) elektronski
       prenesene poštom ili elektronskim putem
       prikazane na korporacijskom veb sajtu
       verbalne – izgovorene u konverzaciji
       znanje – veštine zaposlenih

    Informacije i njima pripadajući podaci, zatim procesi i sistemi (hardverski, softverski,
mreţni itd.) koji se koriste za njihovo generisanje, obradu, prenos, memorisanje kao i
pristup predstavljaju vaţan deo poslovne imovine organizacije koju je potrebno prikladno
zaštititi ako se ţeli normalno poslovanje koje će obezbediti opstanak i razvoj. Ovaj zahtev postaje
sve vaţniji zbog distribuirane poslovne okoline organizacije u kojoj su informacije izloţene
ranjivostima usled velikog broja pretnji (opasnosti). Nezavisno od prirode informacioni resursi
(informacione vrednosti) mogu da imaju jednu ili više sledećih karakteristika:
     Prepoznati su na nivou organizacije kao entitet
          koji ima vrednost
     Ne mogu lako da budu zamenjeni bez utroška
          resursa kao što su: novac, veštine zaposlenih, vreme itd.
     Čine identitet organizacije bez koga poslovanje organizacije moţe da bude ugroţeno
    Kategorija informacionih
    resursa (vrednosti)                 Primeri:
                                        baze podataka i podaci, dokumenta vezana za sistem,
    Informacije                         korisnički
                                        priručnici, materijali za obuku, operativne i
                                        sistemske procedure, planovi kontinuiteta,
                                        sistem zapisa
    Softver                             aplikativni i sistemski, alati za razvoj softvera

                                        kompjuterski ureĎaji (procesori, monitori, laptopovi,
    Fizički resursi - hardver           modemi),
    (kompjuterska oprema)               komunkakacioni ureĎaji (ruteri, svičevi, telefoni),
                                        magnetni medijumi (trake, diskovi), ostali tehnički
                                        ureĎajui (sistemi napajanja, hlaĎenja itd.)
    Usluge                              Usluge obrade podataka, komunikacione usluge
                                        znanje i veštine osoblja (tehničkog, operatvnog, marketing,
    Osoblje                             finansijskog, itd ...)




                         PRETNJE INFORMACIONIM SISTEMIMA



Sigurnost je po definiciji, zadovoljavajuća garancija tajnosti, integriteta i dostupnosti ključnih
resursa.

Sigurnost je binarna – ili jeste ili nije, ili imamo zadovoljavajući nivo, ili nemamo.

Postoje dve vrste napada na informacione sisteme: struktuirani i nestruktuirani
napadi. Nestruktuirani napadi su najčešći i karakteriše ih nizak nivo poznavanja tehnologije, niska
motivacija i zainteresovanost i nepostojanje konkretnog cilja.

 Ove pretnje se klasifikuju kao napadi „iz prilike“, gdje napad nije izvršen zato što napadač ţeli nešto
što organizacija ima, nego zato što je organizacija slučajno podloţna ranjivosti koju napadač zna
iskoristiti.

 Vrlo je lako zaštititi se od ove vrste napada. Arsenal sigurnosnih proizvoda i tehnologija je vrlo
efikasna zaštita od nezainteresovanog, nemotivisanog napadača sa niskim stepenom znanja.

 Druga vrsta pretnji su struktuirani napadi. Karakteristike ove vrste napada su visoki nivo
poznavanja tehnologije, visoka motivacija, i vrlo specifičan cilj. Visoko sposobni, motivisani
napadač koji ima konkretan cilj uvek traţi putanju najmanjeg otpora da bi došao do tog cilja. Putanja
najmanjeg otpora nikada ne vodi kroz slojeve firewall-a, i IDS sistema. Nemoguće je uspostaviti
zaštitu od struktuiranih pretnji bez sveobuhvatnog, struktuiranog pristupa sigurnosti. Pravilno
planiran, dizajniran, i na kraju implementiran ISMS je jedini način kontrole struktuiranih pretnji.

 Dok su nestruktuirane pretnje mnogo puta brojnije, struktuirane pretnje su mnogo puta opasnije i
nose sa sobom puno veću cenu oporavka. Studija sigurnosnih incidenata,objavljena 28. Augusta 2006
od strane američkog ministarstva pravde, zaključila je da prosečna cena virusnog incidenta (tipičan
primer nestruktuiranog napada) u proseku košta $2,400, dok prosečna cena upada u internu mreţu
kroz slabosti u sigurnosnoj politici (tipičan primer struktuiranog napada) košta u proseku $1,500,000.

 Ako se sigurnost oslanja isključivo na tehničke mere i nekolicinu zaposlenih u IT odjeljenju, ključni
resursi su ranjivi i trivijalno je narušiti sigurnost kroz struktuirani napad.

        Bezbednost informacija je širok pojam - počevši od autorskih prava, gde gotovo alarmantno
zvuči podatak da Srbija godišnje na pirateriji gubi 100.000.000$, a posledice su oteţano priključivanje
Evropskoj uniji i Svetskoj trgovinskoj organizaciji,preko industrijske špijunaţe gde se moţe izgubiti
nemerljiva vrednost intelektualnog znanja. Posebno je aktuelna afera WikiLeaks za koju bivši
Američki                        predsednik                         Klinton                        kaţe:
"Biću vrlo iznenaĎen ukoliko neki ljudi ne izgube ţivot, a sam Bog zna koliko će njih završiti
karijeru".

        Gubitak, loše upravljanje informacijama ili neprepoznavanje njihovog značaja dovelo je do
toga da mnoge uspešne organizacije više ne postoje ili su trajno izgubile značajne klijente. Primer za
to je američka banka JPMorgan Chase & Co. Koja je izgubila podatke o 16.000.000 klijenata.

          Svaka organizacija koja radi sa informacijama, a gotovo da ne postoje one koje ne koriste
informacije i informacione sisteme u svom radu, mora da dokaţe svojim klijentima da ne postoji
curenje informacija i da su sa stanovišta bezbednosti informacija obezbedili - kako informatičku -
tako i fizičku i generičku zaštitu podataka. Vaše klijente, sa stanovišta bezbednosti informacija,
interesuje i da ste definisali postupke u slučaju incidentnih situacija (poţar, kraĎa/gubitak ureĎaja i
dr.), ali i da su ti postupci potvrđeniod nezavisne "treće strane".



Najčešći uzroci oštećenja informacija




                                    Zajednički uzrok oštećenja




                                       3%
                                                                  Ljudska greška
                                 10%
                         15%                                      Nesavesnost ljudi
                                                    52%           Tehnička sabotaža
                         10%
                                10%                               Vatra
                                                                  Voda
                                                                  Terorizam
          Ko je uzrokovao oštećenje                         Tipovi kompjuterskog kriminala

                                                                                    Krađa novca

                                                       10%     2%                   Oštećenje softvera
           6%                   Zaposleni
    13%                                         12%
                                                                      44%           Krađa
                                                                                    informacija
                                Lica van              16%
                 81%            organizacije                                        Izmena podataka
                                                              16%
                                Raniji                                              Krađa usluga
                                zaposleni
                                                                                    Prekršaji




Najnovije istraţivanje koje su zajednički obavili Institut Ponemon i kompanija Vontu (SAD),
pokazuje da je u prošloj godini 81% američkih kompanija izgubilo jedan ili vise prenosivih računara
na kome su se čuvali vaţni i poverljivi podaci.

Jedan od glavnih razloga za nestanak računara je nedostatak evidencije o tome gde se u okviru
kompanijske računarske mreţe čuvaju vaţni podaci, a na mnogim od registrovano nestalih, bilo je
mnoštvo podataka poverljive prirode.

"Nedostatak evidencije i nedovoljna kontrola sistema čuvanja podataka, predstavljaju opasnost za
bezbednost kompanija ili drţavnih organizacija", navodi se u izveštaju Instituta Ponemon.

U izveštaju se navodi i da čuvanje vaţnih podataka na ručnim i prenosivim računarima predstavlja
najveću opasnost po bezbednost vaţnih kompanijskih informacija. Kao opasna mesta za čuvanje
podataka navode se i USB memorijski diskovi, stoni računari i mreţni serveri za čuvanje datoteka.

Zapanjujuće deluje podatak da 60% kompanija, registrovanih za ovo ispitivanje, nikada nije obavilo
"popis" vaţnih informacija koje se odnose na njihove klijente, niti sačinilo uputstva za čuvanje tih
informacija. Osim toga, vise od polovine učesnika u istraţivanju smatra da odgovorni u njihovim
kompanijama ne bi bili u stanju da utvrde koji podaci su se čuvali na USB fleš disku, u slučaju
njegove kraĎe ili gubitka.

Deo objašnjenja čestih gubitaka ili kradja prenosivih računara sa poverljivim podacima moţda leţi u
činjenici da skoro 70 posto ispitanika nikada nije sačinilo detaljan popis svojih zaposlenih sa svim
potrebnim podacima koji se na njih odnose. Naravno, kad nema evidencije o zaposlenima, nema
evidencije ni o nezaposlenima. Drugim rečima, bilo koje neovlašćeno lice moze da doĎe do
poverljivih podataka a da to čak niko i ne primeti.
Sada je na stručnjacima da pripreme i ponude firmama adekvatne sisteme zaštite koji bi bili
prihvatljivi za većinu u pogledu stepena zaštite podataka, jednostavnosti u radu i ceni.
Dotle, moţe se dešavati svakog dana ono sto se desilo pre izvesnog vremena na jednom američkom
univerzitetu,da je nestala datoteka sa podacima za nekoliko hiljada studenata u kojoj su bili sačuvani
svi relevantni podaci lične prirode za sve studente koji su bili registrovani u periodu od skoro deset
godina.
                                  KOMPJUTERSKI KRIMINAL

        Pojava i sve veća upotreba informacionih tehnologija uslovila je i pojavu novih vidova
kriminala. Kompjuteri i kompjuterska tehnologija se mogu zloupotrebljavati na razne načine, a sam
kriminalitet koji se realizuje pomoću kompjutera moze imati oblik bilo kog od tradicionalnih vidova
kriminaliteta, kao sto su kraĎe, utaje, pronevere, dok se podaci koji se neovlašćeno pribavljaju
zloupotrebom informacionih sistema mogu na razne načine koristiti za sticanje protivpravne koristi.
Čini se kao da je sa pojavom i upotrebom savremene tehnologije vršenje kriminalnih radnji postalo
znatno lakše a i brţe. Na konferenciji u Londonu početkom ove godine predstavnci NATO alijanse su
i sami ukazali na opasnosti od kompjuterskog kriminala koji, zbog kompjuterske tehnologije, ima
transnacionalni karakter i briše granice izmeĎu drţava. ”Nikada nismo videli ovako lošu situaciju.
Dobijamo sve više zaraţenih programa i mnogi ljudi su zaprepašćeni, jer ne vide to na svojim
kompjuterima. MeĎutim, virusi se i dalje prave, a hakeri koji su to ranije radili iz zabave, su sada
profesionalci koji se time bave za novac” Koliku tendenciju rasta ima ovaj oblik kriminala pokazuju i
neki statistički podaci. Naime, Sophos-ovi eksperti su otkrivali 6.000 zaraţenih web stranica svaki
dan tokom 2007. godine (jedna na svakih 14 min) od kojih 83% legitimno pripadaju legalnim
kompanijama. Broj email pretnji ima tendenciju opadanja ali raste broj email-ova koji sadrţe linkove
koji vode do malicioznih web sajtova… Veliki problem u suzbijanju ovog vida kriminala predstavlja
činjenica da su mete hakera sve sto se konetkuje na internet –pored komjutera to su mobilni telefoni,
iPhone i iPod Touch a cak su postojale i optuţbe da su pojedine drţave naručioci cyber kriminala.
Ukratko,      kompjuterski      kriminal   predstavlja   veliku     bolest   savremenog      društva.

Istorijat kompjuterskog kriminala datira od ranih sedamdesetih godina, da bi tek tokom osamdesetih i
devedesetih godina drţave shvatile koliku opasnost predstavlja ovaj (u to vreme) novi oblik kriminala.
Greškom u programu koja je nazvana "Internet crv" 1988.g. oboreno je 6.000 računara. Iste godine
uhapšen je Robert Moris (SAD) i osuĎen je na 400 sati dobrovoljnog rada i 10.000 dolara. U periodu
od juna do avgusta 1994. u osamnaest upada Vladimir Levin iz Petrograda izvukao je preko 10
miliona dolara iz sistema Citibank. Naredne godine je uhapšen u Londonu, 1997. je izručen
američkim vlastima, a u avgustu 1997.g. je osuĎen na 36 meseci zatvora i kaznu od 250.000 dolara.
Kevin Mitnik u SAD je uhapšen i osuĎen 1995.g. za falsifikovanje 20.000 brojeva kreditnih kartica.
Čak su i pet gosoĎa starijih od 50 godina, sluţbenici Zavoda za penzije u Francuskoj prebacile na
svoje račune 6 miliona franaka kao penzije za osobe koje su već odavno umrle.


Kompjuterski kriminalitet predstavlja oblik kriminalnog ponasanja, kod koga se koriscenje
kompjterske tehnologije i informacionih sistema ispoljava kao nacin izvrsenja krivicnog dela, ili se
kompjuter upotrebljava kao sredstvo ili cilj izvrsenja, cime se ostvaruje neka u krivicno-pravnom
smislu relevantna posledica. Kompjuterski kriminalitet je takodje protivpravna povreda imovine kod
koje se racunarski podaci s predumisljajem menjaju (manipulacija racunara), razaraju (racunarska
sabotaza), ili se koriste zajedno sa hardverom (kradja vremena).

Kompjuteri i kompjuterska tehnologija se mogu zloupotrebljavati na razne nacine, a sam kriminalitet
koji se realizuje pomocu kompjutera moze imati obliko bilo kog od tradicionalnih vidova
kriminaliteta, ako sto su kradje, utaje, pronevere, dok se podaci koji se neovlasceno pribavljaju
zloupotrebom informacionih sistema mogu na razne nacine koristiti za sticanje protivpravne koristi.
Pojavni oblici kompjuterskog kriminaliteta su: protivpravno koriscenje usluga i neovlasceno
pribavljanje informacija, kompjuterske kradje, kompjuterske prevare, kompjuterske sabotaze i
kompjuterski terorizam i kriminal vezan za kompjuterske mreze.

Protivpravno korišćenje usluga i neovlašćeno pribavljanje informacija

Protivpravno koriscenje usluga se sastoji u neovlascenoj upotrebi kompjutera ili njegovoj ovlascenoj
upotrebi ali za ostvarivanje potreba nekog neovlascenog korisnika.
Primer neovlascene upotrebe kompjutera je kada se kompjuter koristi u bilo koje druge svrhe, osim
onih koje predstavljaju deo njegove namene u informatickom sistemu. Primeri ovlascene upotreba
kompjutera, ali za potrebe neovlascenoh korisnika, ili radi ostvarenja drugih nedopustenih ciljeva su
npr., u slucaju kad zaposleni u jednoj firmi pribavi podatke za buduceg poslodavca ili kad raspolozivo
kompjutersko vreme koristi za obavljanje nekih svojih poslova. Jedan od najcescih oblika neovlascene
upotrebe kompjutera sa kojim se susecu poslodavci sirom sveta jeste zloupotreba Interneta od strane
zaposlenih.

        Neovlasceno pribavljanje informacija predstavlja svojevrsnu kradju podataka sadrzanih u
kompjuterskim sistemima, najcesce u cilju ostvarivanja protivpravne imovinske koristi. Tehnicke i
tehnoloske mogucnosti za neovlasceno pribavljanje informacija su sa pojavom Interneta postale
mnogostruko vece tako da mete mogu biti i vas licni PC ali i bilo koji povezani ili izolovani
kompjuterski sistem.



Kompjuterske krađe

         Kradja zauzima visoko mesto u oblasti kompjuterskog kriminaliteta a u razmatranom
kontekstu od posebnog je znacaja kradja ideniteta. Ova vrsta kradja predstavlja posebno društveno-
opasnu radnju, jer pored ostalog, znacajno podriva poverenje u integritet komercijalnih transakcija i
ugroţava individualnu privatnost. Procena stručnjaka su da će ova vrsta kradja rasti sa povećanjem
elektronske trgovine. Snabdeveni individualnim personalnim informacijama, kradljivci identiteta
mogu da otvore račune u bankama, obavljaju kupovinu, a u u zemljama u kojima su automatizovane
servisne usluge za graĎane, mogu da dobiju sertifikate o rodjenju, pasoš, kredit i sl., a sve to u ime
osobe o čijim podacima se radi. Laţnim identitetom kriminalac moţe da dobije pozajmicu u banci,
kupi auto, stan, ode na putovanje i sl., i na taj način zrtvu moţe da optereti finansijski a u nekim
slučajevima da joj napravi i kriminalni dosije. Ţrtva u većini slučajeva i ne zna da se njen identitet
"koristi" sve dok ne doĎu računi za naplatu. Dakle i finansijska i "humana" cena kraĎe za individualnu
ţrtvu mogu biti veoma visoke, mada jedina krivica za mnogo ţrtve moţe biti to što su njihovi
presonalni podaci bili na nekom fajlu koji je ukraden ili su naivno davali informacije pogrešnim
ljudima.

Iako većina stručnjaka tvrdi da su potrošači izloţeni mnogo većem riziku korišćenjem kreditnih
kartica u robnim kućama, restoranima ili benzinskim pumpama nego preko zaštićenih Web sajtova,
jer kriptografska tehnologija i autentikacione procedure na Web sajtovima štite on-line transakcije
većine kupaca, pitanje privatnosti i strah od malverzacija sa kreditnim karticama u odreĎenoj meri
ipak odvraća on-line nabavke.

Kompjuterske prevare

        Kompjuterske prevare se vrše u nameri pribavljanja za sebe ili drugog protivpravne
imovinske koristi, s tim što se kod njih u zabludu ne dovodi ili odrzava neko lice, kao u slučaju
običnih prevara, kao imovinskih krivičnih dela, vec se ta zabluda odnosi na kompjuter u koji se unose
netačni podaci, ili se propušta unošenje tačnih podataka, ili se na bilo koji drugi način, računar koristi,
za ostvarenje prevare u krivično-pravnom smislu. Kompjuterske prevare predstavljaju najrašireniji
oblik kompjuterskog kriminaliteta.

        Broj oblika prevara, kao i način njihove realizacije je praktično neograničen i u praksi se
susreću kako one vrlo primitivne i grube, tako i one prevare kod kojih učinioci ispoljavaju veliki
stepen veštine i rafiniranost. Ali u šemama prevare uvek se otkriva neki raniji oblik. Jer skoro sve
šeme prevare registrovane na Internetu su ustvari preraĎene i prilagoĎene verzije šema kojima su,
nekad i vekovima, obmanjivane neoprezne, lakoverne i pohlepne ţrtve.
          Ono sto karakteriše kompjuterske prevare ja da one daleko dopiru zbog velišine Interneta kao
trţišta, da se brzo šire jer sa Internetom kao medijem sve se dešava mnogo brţe, i niski troškovi
izvoĎenja ovakvih vrsta prevara .

Kompjuterski prevaranti zloupotrebljavaju upravo one karakteristike Cyber-prostora koje doprinose
rastu elektronske trgovine: anonimnost, distanca izmedju prodavca i kupca i trenutna priroda
transkacija. Uz to, oni koriste prednost činjenice da prevara preko Interneta ne zahteva pristup do
nekog sistema za isplatu, kao što to zahteva svaka druga vrsta prevara i što je digitalno trţište jos uvek
nedovoljno ureĎeno i kao takvo konfuzno za potrošače, što za njih predstavlja skoro idealne uslove za
prevaru.



Prevara s robom "neverovatnih" svojstava

         Ovih dana je u Sidneju završen trodnevni seminar agencija specijalizovanih za zaštitu kupaca
na Interentu. Osnovni zaključak ovog skupa je da je prevara sa robom "neverovatnih svojstava" jedan
od najvećih izvora nelegalne zarade na Internetu. U izveštaju sa ovog skupa se takoĎe kaţe da svake
44 sekunde neko postane ţrtva posto se odluči da kupi robu sa čijim se "čudotvornim mogućnostima"
upozna preko Interneta. Početkom ove godine pomenute agencije su sprovele istraţivaje Interneta pri
čemu su otkrile 1400 sumnjivih sajtova samo u oblasti zdravlja, što je rezultiralo podizanjem tuţbi
protiv 18 kompanija i detaljnim istragama koje su u toku a obuhvataju jos 200 firmi u 19 zemalja
širom sveta. Sama cifra štete od ove neleglane trgovine nije pominjana ali ako se zna da takvi
proizvodi kao recimo serija "Ljubičasta harmonija" - od kojih jedan produkt navodno uspostavlja novi
nivo energije u ljudskom organizmu – koštaju izmedju 30 i 1095 dolara, lako se da izračunati koliko
je to milijardi dolara svakog dana. Na vrhu liste "svemogucih" proizvoda koji se prodaju na Internetu
nalaze se pilule koje omogucavaju svojim korisnicima da piju piva koliko ţele, a da se ne ugoje (cena
71 dolar za 60 tableta) i pojas, koji kad nisi u fotelji izaziva isti efekat kao 600 sklekova uraĎenih u 10
min (cena 146 dolara), ljuske od jajeta ptice emu koje navodno povećavaju libido, tečnost koja
masnoću iz tkiva tokom spavanja pretvara u mišiće, hormoni koji vraćaju veru u sopstvene snage,
magneti protiv nesanice, voda koja leči artritis, lekovi za lečenje SIDE , a koji dolaze iz Afrike kao
rešenje zagonetke zasto neke Afircke zene imaju imunitet na ovu bolest.

Kad je reč o tome ko su lakoverni kupci sa sidnejskog seminara stiţe odgovor da su to uglavnom
starije osobe, bolesni i siromašni, a takvih ima jako, jako mnogo na svim kontinentima.



Kompjuterske sabotaže i kompjuterski terorizam

        Kompjuterske sabotaţe se sastoje u uništenju ili oštećenju kompjutera i drugih ureĎaja za
obradu podataka u okviru kompjuterskih sistema, ili brisanju menjanju, odnosno sprečavanju
korišćenja informacija sadrţanih u memoriji informatičkih ureĎaja. Najčešći vidovi kompjuterske
sabotaţe su oni koji deluju destruktivno na operativno-informativne mehanizme i korisničke
programe, pre svega, one koji imaju funkciju čuvanja podataka.

Kako teroristi postaju savremeniji oni sve više ostavljaju puške i granate a u korist ciljeva visoke
tehnologije. Kad je reš o kompjuterskom terorizmu danas postoji realna opasnost da informatički
resursi a posebno globalne informatičke mreţe postanu i veoma efikasno sredstvo u rukama terorista,
omogućavajući im da načine delovanja o kojima ranije nisu mogli ni da sanjaju.

Da je informatička infrastruktura zahvalna meta terorističkih organizacija, pokazala je 1997. IRA kad
je šokirala englesku javnost upućivanjem pretnje da će pored bombi, atentata i drugih oblika
terorističkih akata početi da koristi elektronske napade na poslovne i vladine kompjuterske sisteme.
Do sada su izgleda teroristima nedostajali odgovarajući talenti i veštine za racunare. MeĎutim
iskustva sa Al-Quaidom pokazuju da se pripadnici ove terorističke organizacije sluţe sofisticiranim
tehnikama zaštite svojih kanala komunikacije na Internetu, stalno postavljaju nove web lokacije na
kojima propagiraju svoje fundamentalističke ideje, a kod nekih od uhapšenih terorista pronaĎeni su
kompjuteri sa šifrovanim fajlovima.

Ono sto povećava opasnost kad je reč o tome da ce teroristi u narednom periodu sve više koristiti
visoku tehnologiju za ostvarenje svojih destruktivnih cilejva jesu izvori "talenata" koji mogu da
obezbede stručnjake ili specijaliste koji su sposobni da vrše računarsku sabotaţu i špijunaţu visokog
nivoa, da od terorista preuzimaju zadatake po ugovoru, ili da obučavaju teroriste za tajne akcije putem
visoke tehnologije i za strategijski terorizam koji treba da izvršava veoma disciplinovan i organizovan
kadar. Procena raspoloţivih globalnih izvora talenta - tehnoloski plaćenici, nezaposleni tehnološki
stručnajci iz zemlja treceg sveta, zapadni tehnološki stručnajci, visokostručni kadrovi iz bivših tajnih
sluţbi i speciajlnih snaga istocnog bloka (Stasi, Specnaz, Osnaz, Sekuritatea...).

Generalni zaključak kad se radi o kompjuterskom terorizmu bi bi da će u vremenu koje dolazi teroristi
sve više koristiti visoku tehnologiju kako za špijunaţu i sabotaţu tako i za propagiraje svojih ideja.
Njihovi ciljevi mogle bi biti banke podataka, računarski resursi, vladini komunikacioni sistemi,
elektrocentrale kojima upravljaju računari, rafinerije nafte, aerodromska postrojenja.

Pre nešto više od mesec dana, Pentagon je zvanično saopštio da je počeo rad na oţivotvorenju
projekta pod imenom "Total Information Awarenss System" (TIA) ili sveznanje odnosno sve znati o
svemu i svakome. Za zvanični Pentagon, TIA je isključivo visokotehnološki lov na teroriste. A loviće
se, prikupljanjem i uporednim "voţenjem" milijardi i milijardi informacija iz svih mogućih banaka
podataka, i informacija dobijenih praćenjem elektronskog saobraćaja. Cilj je "otkriti raskrinkavajuće
ponašanje da bi se teroristi zaustavili pre nego što bude kasno".

Provaljivanje u kompjuterski sistem

         Mada izraz "provaljivanje" asocira na primenu izvesne mehničke sile, radi ulaska u zatvorene
prostore, poput vršenja klasičnih provalnih kraĎa, on kada je reč o kompjuterskom kriminalitetu
označava jedno vrlo suptilno, elektronskim putem, izvedeno, narušavanje tajnosti, pojedinog
kompjuterskog sistema, odnosno neovlašćeni elektronski upad u centralni kompjuterski sistem i
njegovu bazu podataka. Ovakva dela preteţno vrse hakeri, koji se preko svojih personalnih racunara
uključuju u druge informativne sisteme, pri čemu prvenstveno koriste Internet. Ovi učinioci spretno
zaobilaze zaštitne mehanizme a dela ne vrše iz zlonamernih pobuda, vec nastoje da javno
demonstriraju informatičku veštinu kojom raspolaţu ili da ukaţu na postojece slabosti u mehanizmu
zaštite kompjuterskih sistema. Zato su na meti ovakvih učinilaca često bas one kompjuterske mreţe,
za koje se s pravom očekuje da su maksimalno zaštićene od elektronskih provala kao što su: vojne
kompjuterske komunikacije, informatički sistemi obaveštajnih sluţbi, drţavnih institucija.

Mada se nezlonamerno provaljivanje u kompjuterski sistem, uobičajeno tretira kao najbezazleniji vid
kompjuterske delikvencije, ono ni u kom slučaju nije bezopasno. Naime, ovakvi upadi proizvode
potencijalnu opasnost prouzrokovanja nepopravljivih šteta na vitalnim kompjuterskim mreţama.
Pored toga, u krivičnopravnom smislu ovakvim se delima, ukoliko njima nisu proizvedene odreĎene
konkretne štetne posledice, obično vrši povreĎivanje sluţbene ili vojne tajne, kroz uvid u zaštićene
kompjuterekse banke informacija.

      Zabeleţeni su slučajevi da hakeri koriste "Fejsbuk" za napade na računare, objavila je
meĎunarodna antivirusna kompanija "Sofos PLC".

Zlonamernici za napade koriste "Fejsbukov" odeljak "Zid", svojevrsnu "oglasnu tablu" na kojoj
korisnici jdni drugima ostavljaju poruke koje u prilogu mogu sadrţati fotografije, video
odlomke,muzičke datoteke i hiperveze do drugih veb lokacija.
Grejam Kluli, stariji tehnički savetnik kompanije "Sofos PLC", istakao je da se ti zlonamerni napadi
odvijaju u sličnoj formi kao i napadi za koje se koriste poruke elektronske pošte.

Korisnici "Fejsbuka" zatiču na "Zidu" poruku koju je navodno ostavio neki od njihovih prijatelja.
Poruka sadrţi hipervezu do neke veb lokacije ili video odlomka. Ukoliko korisnik odabere hipervezu,
ona ga vodi do hakerske veb lokacije gde se korisniku nudi da preuzme novu verziju "Fleš plejera"
američke kompanije "Adob" kako bi mogao da pogleda pomenuti video odlomak.
Iza laţne "Adobove" datoteke krije se ustvari trojanac koji na napadnutom računaru instalira
zlonamerni softver, što omogućava napadaču da ostvari kontrolu nad napadnutim računarom.
Kluli savetuje korisnike "Fejsbuka" da budu veoma oprezni ukoliko poruka koju dobiju sadrţi
hipervezu, bez obzira na to što ona na izgled potiče od njihovih prijatelja koji zaista imaju profil na
"Fejsbuku". U velikom broju slučajeva radi se o tome da su i te osobe bile ţrtve napada i da su se
napadači dočepali njihovih ličnih podataka koje koriste za napade na druge korisnike.

         Čuvena ruska antivirusna kompanija "Kasperski" je, takoĎe, nedavno upozorila na nove
Internet crve koji pomoću automatski generisanih poruka pokušavaju da napadnu računare korisnika
"Fejsbuka" i portala "MajSpejs".




Kriminal vezan za komjuterske mreže

Kriminal vezan za kompjuterske mreţe je oblik kriminalnog ponašanja kod koga je cybespace
okruţenje u kome su kompjuterske mreţe pojavljuju u trostrukoj ulozi: kao sredstvo ili alat, cilj ili
okruţenje izvršenja krivičnog dela.

       Kompjuterske mreže kao cilj napada – napadaju se servisi, funkcije i sadrţaji koji se na
        mreţi nalaze. Kradu se usluge i podaci, oštećuju se ili uništavaju delovi ili cela mreţa i
        kompjuterski sistemi, ili se ometaju funkcije njihovog rada. U svakom slučaju cilj pocinilaca
        je mreţa u koju se ubacuju malware, vrse DOS napadi.
       Kompjuterske mreže kao sredstvo ili alat - Danas moderni kriminalci koriste sve više
        kompjuterske mreţe kao oruĎa za realizaciju svojih namera. Korišćenje ovog novog oruĎa
        naročito je popularno kod dečje pornografije, zloupotrebe intelektualne svojine ili online
        prodaje nedozvoljene robe (droga, ljudskih organa, nevesta..)
       Kompjuterske mreže kao okruženje u kome se napadi realizuju. Najčešće to okruţenje
        sluţi za prikrivanje kriminalnih radnji, kao što to veoma vešto uspevaju da urade pedofili, a ni
        drugi kriminalci nisu ništa manje uspešni. Naravno postoje i druge uloge, kao što je npr.,
        korišćenje mreţe kao simbola zastrašivanja, uplitanja, koje su nekad više izraţene kod
        kompjuterskog nego kod cyber kriminala. Bitno je da je cyber kriminalu neosporno priznato
        "svojstvo" kriminala kao "obliku ponašanja koji je protiv zakonit ili će biti kriminalizovan za
        kratko vreme".

Cyber kriminal zavisno od tipa počinjenih dela moţe biti:

Politički:

                                cyber spijunaţa i cyber sabotaţa,
                                haking,
                                cyber terorizam
                                cyber ratovanje

Ekonomski:
      cyber prevare
      haking
      kraĎa internet vremena, kraĎa internet usluga
      piratstvo softvera, mikročipova i BP,
      cyber industrijska špijunaţa ,
      spam.
      proizvodnja i distribucija nedozvoljenih štetnih sadrţaja kao sto su dečja pornografija,
       pedofilija, verske sekte, širenje rasističkih , nacističkih i sličnih ideja i stavova
      manipulacija zabranjenim proizvodima , supstancama i robama – drogama, ljudskim
       organima, oruţjem.
      povrede cyber privatnosti – nadgledanje e-poste, prisluškivanje, snimanje "pričaonica",
       praćenje e-konferencija, prikačinjanje i analiza špijunskih softvera i "cookies" ( Zastita od
       spyware softvera -

Posledice kompjuterskog kriminaliteta

Štete nastale vršenjem kompjuterskih delikata, zavisno od pojavnog oblika kompjuterskog
kriminaliteta, mogu se podeliti na:

      finansijske – koje mogu da nastanu kada učinilac vrši delo u cilju sticanja protivpravne
       imovinske koristi, pa tu koristi za sebe ili druge, zaista i stekne, ili je ne stekne, ali svojim
       delom objektivno pričini odreĎenu štetu, ili kada učinilac ne postupa radi sticanja koristi za
       sebe ili drugog, ali objektivno ucini finansijsku štetu.
      nematerijalne – koje se ogledaju u neovlašćenom otkrivanju tuĎih tajni , ili drugom
       "indiskretnom štetnom postupanju"
      kombinovane – kada se otkrivanjem odreĎene tajne , ili povredom autorskog prava, putem
       zloupotrebe kompjutera ili informatičke mreţe naruši nečiji ugled, odnosno povredi moralno
       pravo a istovremeno prouzrokuje i konkretna finansijska šteta.



Krivičnim zakonikom Republike Srbije predviĎene su kazne za počinioce krivičnih dela
kompjuterskog kriminala.
         Sve kompanije imaju neprestani problem sa odbranom od oštećenja ili gubitka vaţnih
podataka i dokumentacije. Velike kompanije poput IBM-a ulazu novac i resurse u razvijanje ovakvih
sistema, koji postaju sve brzi, pouzdaniji i imaju sve veci kapacitet. Medjutim, posle teroristickog
napada u Njujorku, veliki broj firmi je nepovratno izgubio sve svoje podatke, i to iz jednostavnog
razloga – u rusenju objekata nastradale su i sve bekap kopije. Kakav znacaj imaju svi bekap serveri i
silni terabajti podataka ako u slucaju ovakvog ili slicnog dogadjaja nastradaju i ti uredjaji. Zbog toga
su ideje o cuvanju podataka u atomskom sklonistu, ili cak na povrsini Meseca, postale interesantne
mnogim kompanijama koje sebi ne mogu da dozvole ovakvu vrstu gubitka.

        Iron Mountain

         Kompanija Iron Mountain je osnovana 1951. godine, kada je otkupljen veliki napušteni
rudnik u toj oblasti. Objekat sadrzi veliki broj nivoa (rudarskih horizonata) sa prostranim razgranatim
hodnicima, sto se pokazalo kao idealno mesto za stvaranje neke vrste podzemne baze. Rudnik je
adaptiran, i u vreme Hladnog rata je sluzio za slicne stvari za koje sluzi i danas – brojne firme i
ustanove su u prostorijama ove podzemne baze odlagale svoje papirne arhive, proizvode ili predmete
od vrednosti. Sa sve vecim prisustvom računara u savremenom poslovanju i u okolnostima kada
pojedine firme u potpunosti ukidaju papirno poslovanje, ova kompanija je svoj podzemni objekat
dobrim delom reorijentisala, te on sada uglavnom sluţi za arhiviranje elektronskih dokumenata. U
kilometre podzemnih hodnika uneti su racunari, monitori, bekap serveri itd, a citav podzemni data-
centar lici na pravi mali grad sa cak 2000 zaposlenih.
Samo jedna kompanija koja je korisnik ove usluge nedeljno prosledi na arhiviranje preko dva miliona
email i instant poruka, koje neprekidno teku kroz dve zakupljene linije. Na specijalni zahtev klijenta,
po prispecu na servere podzemnog centra, prave se dodatne dve kopije podataka na WORM
diskovima. Ovo su posebni mediji na koje se elektronski podaci mogu upisati samo jednom, a citati
mnogo puta.
         U podzemnom racunskom centru grupa servera na prvoj liniji prihvata prispele podatke i na
njima primenjuje pravila o arhiviranju koja je postavio klijent. Ovo se odnosi na dodeljivanje tagova
koji odreĎuju nacin procesiranja i kasnijeg opozivanja podataka, a primenjuje se „digitalni otisak
prsta" kao i ostali neophodni postupci. Nakon toga se podaci upisuju na hard diskove, a kasnije,prema
programiranom rasporedu, na sisteme sa trakama. Brisanje podataka koji vise nisu potrebni odigrava
se posle unapred odreĎenog roka koji postavljaju klijenti ili se oni brisu ručno. Sistem stvara indeks
arhiviranih elektronskih dokumenata, omogućavajući pretraţivanje uz pomoc bilo kojeg savremenog
Web pretraţivača. Cena usluge koju pruţa kompanija kreće se od 12 USD mesečno po jednom
gigabajtu, a kako bude rasla potraţnja i budu proširivani kapaciteti, srazmerno ce padati i visina
troškova.

Evropljani mogu da se pohvale jednim sličnim objektom koji se nalazi u okolini grada Kapfenberga u
Austriji. Zove se “earthDATAsafe.” Objekat je po svojoj nameni i načinu funkcionisanja veoma
sličan prethodnom, mada je trenutno fizički znatno manji, sa manjim brojem zaposlenih i tek je
nedavno poceo s radom.

Pokusavajući da pronaĎe što bezbednije mesto za smestanje digitalnih arhiva, kompanija
TransOrbital iz Kalifornije ponudila je nesvakidašnje rešenje – smeštanje servera sa podacima na
Mesecu! To deluje kao veoma bezbedno mesto jer je malo verovatno da će ruka zlonamernika dospeti
tako daleko. Mnogi su skeptični u vezi s isplativošću ove ideje i postavljaju pitanje da li ima smisla
čuvati vaţne elektronske podatke čak na Mesecu. Kompanija TransOrbital ima spisak klijenata koji su
spremni da plate čuvanje vaznih finansijskih, tehnoloških i vojnih podataka na ovaj nacin. Da bi
sistem funkcionisao kako se očekuje, potrebno je da se razviju bolji protokoli za prenos podataka
usmerenim laserskim snopovima. Postojeći standardi koje je postavila laboratorija Jet Propulsion ne
zadovoljavaju očekivani intenzitet saobraćaja.
           KAKO DOKAZATI DA BEZBEDNO UPRAVLJAMO INFORMACIJAMA?

        Sigurnost informacija je podjednako vaţna malim i velikim, kao i javnim i privatnim
organizacijama. Primena tehničkih rešenja, odgovarajuće opreme i proizvoda više nije dovoljna da bi
osigurala odgovarajuće upravljanje sigurnošću informacija. Sigurnost informacija nije isključivi
problem informacionih tehnologija (IT), već je to "poslovni" problem. Opšte je mišljenje da
primenom odgovarajućih tehnologija se rešava samo jedan deo problema sigurnosti informacija.

         Danas se sigurnost informacija postiţe primenom odgovarajućih kontrola koje se odnose na
politiku sigurnosti, poslovne procese, procedure, strukturu organizacije i funkcije hardvera i softvera.
Navedene kontrole je potrebno osmisliti, implementirati, nadzirati, preispitivati i unapreĎivati kako bi
se osiguralo ispunjenje poslovnih i sigurnosnih zahteva organizacije.

       Razvojem, implementacijom i sertifikacijom menadţment sistema za sigurnost informacija
ISMS (Information Security Management System) pruţa se odreĎeni nivo poverenja kod komintenata
menadţmenta, deoničara i zaposlenih da će njihove informacije adekvatno biti zaštićene. Standard
ISO 27001 moţe da se implementira u sve grane industrije, trgovine i pruţanja usluga.

        Implementacijom meĎunarodnih standarda serije ISO/IEC 27000 pruţa se pomoć
organizacijama svih vrsta i veličina da razviju i primene sistem za upravljanje bezbednošću
sopstvenih informacija i da se pripreme za nezavisno i nepristrasno ocenjivanje (sertifikaciju) tog
sistema primenjenog na zaštitu informacija, kao što su, na primer finansijske informacije, informacije
o intelektualnoj svojini, podaci o osoblju ili informacije koje su im poverene od korisnika ili treće
strane.

        Primena standarda posebno je namenjena organizacijama koje u svom poslovanju imaju
interne i/ili eksterne informacione sisteme, podatke koji su poverljivi, čije funkcionisanje poslovnih
procesa zavisi od informacionog sistema i ostalim organizacijama koje se ţele prilagoditi potrebama
današnje                                    informacione                                    sigurnosti.
Veliki deo takvih organizacija jesu: banke, IT kompanije, finansijske i osiguravajuće kompanije,
bolnice, škole, univerziteti, proizvoĎači automobilskih delova, pozivni centri, poreski organi,
savetodavne kompanije i mnoge druge organizacije.

        Dobijanjem validnog sertifikata - organizacija se svojim klijentima predstavlja kao partner
koji zna vrednost informacija i intelektualnih vrednosti koje od klijenata moţe da dobije na
korišćenje. Nisu retki slučajevi da se potpisivanje ugovora uslovljava posedovanjem sertifikata serije
ISO 9000, ISO 27000 ili dr.

        Definisanje novih postupaka rada sa informacijama, dokumentovanje tih istih postupaka,
odnosno obezbeĎenje svih zahteva koje standard traţi, je projekat koji iziskuje odreĎeno vreme,
angaţovanje konsultantske kuće i angaţovanje svih resursa organizacije. S toga je pogrešno mišljenje
da se implementacija i sertifikacija moţe sprovesti za dan.

ŠTA JE ISO 27001?

        Zaštita informacija, očuvanje njihove poverljivosti, integriteta, odnosno celovitosti i
raspoloţivosti, postaje od primarne vaţnosti. Sigurnost informacija je mnogo više od korišćenja
odgovarajućih       tehničkih    rešenja  koje    nude     savremene     informacione     tehnologije.
Standard ISO 27001 predstavlja Sistem zaštite i bezbednosti informacija. Cilj ovog sistema je da
osigura sve neophodne kontrole u vezi sa strogo poverljivim, verodostojnim i ograničenim za pristup
informacijama, u cilju zaštite informacija i podataka “zainteresovanih strana”. Zainteresovane strane
kojima je ovaj Sistem menadţmenta upućen mogu biti klijenti, organizacije i kompanije, zaposleni,
saradnici, ali i društvo u širem smislu.
       Serija standarda ISO/IEC 27000 daje jedan harmonizovani pristup upravljanju rizicima kojim
su izloţene informacione vrednosti u organizaciji kroz razvoj, implementaciju i odrţavanje
menadţment sistema za sigurnost informacija.

        Kompanija Smart d.o.o. iz Novog Sada jedna je od vodećih u Srbiji specijalizovana za
rešavanje IT problema i pruţanje IT usluga.Jedna od usluga koje vrši ova kompanija jeste konsalting
pri uvodjednju standard ISO 27001 – ISMS. ISMS je sistematski pristup upravljanja poverljivim
informacijama organizacije, u smislu obezbeĎenja njihove bezbednosti.

        Jedan od principa ove kompanije vezano za sigurnost informacija jeste “reagovanje pre
propusta.” Oni su 2009. godine uveli odredjena pravila koja treba da preduprede propuste kroz
odreĎene korake. Prvi korak je uvoĎenje bezbedonosnih politika.



POLITIKA BEZBEDNOSTI INFORMACIJA


        Namena bezbednosti upravljanja informacijama je da obezbedi i zaštiti informacije i imovinu
od svih pretnji, bilo internih ili eksternih, slučajnih ili namernih kroz uspostavljanje, implementaciju,
izvršavanje, nadziranje, pre-ispitivanje, odrţavanje i poboljšanje sistema menadţmenta bezbednosti
informacija (ISMS). Implementacija ove politike i pravila je vaţna za odrţavanje integriteta
informacionog sistema za pruţanje usluga. Politika obezbeĎuje i garantuje:

         informacije de biti zaštidene od neovlašdenog pristupa istim
         odrţavade se poverljivost informacija
         informacije nede biti otkrivene neovlašdenim osobama bilo slučajnim ili namernim
          aktivnostima
         integritet informacija de se sačuvati kroz zaštitu od neovlašdene izmene
         mogudnost pristupa i izmene informacija ovlašdenim licima kada je to potrebno
         bide obezbeĎena usaglašenost sa svim kontrolnim i zakonskim zahtevima
         podrška politici kroz kontinualne poslovne planove koji de se odreĎivati, odrţavati i testirati u
          stalnom praktičnom radu
         obučavanje zaposlenih u svim organizacionim delovima
         sve povrede sigurnog rukovanja informacija de se razmatrati i istraţiti
         sve povrede sigurnosti de se dokumentovati i istraţiti

    Menadţment je definisao viziju bezbednosti informacija sa ciljem neometanog poslovanja, zaštite
poverljivih informacija i daljeg uspešnog razvoja organizacije, kao i postizanja zadovoljstva korisnika
pruţenom uslugom i kvalitetom usluge.


Područje primene

Svi zaposleni su odgovorni za implementaciju politike bezbednosti i zaštite informacija i moraju da
pruţe podršku rukovodstvu koje je propisalo politiku i pravila.

Ciljevi

         Zaštita informacija
          Zaštita informacione imovine koja pripada Smart doo
         Pruţanje pouzdanih informacija zaposlenima i očuvanje njihove poverljivosti u svim
          slučajevima pristupa postojedim informacijama.
Svrha

Da indentifikuje rizike po imovinu, vrednost imovine i da se utvrdi moguda ranjivost i potencijalni
uzroci nekog neţeljenog incidenta koji mogu dovesti do štete na sistemu ili u organizaciji. Da se
upravlja rizicima na prihvatljivom nivou kroz dizajniranje, implementaciju i odrţavanje ISMS. Da je
u saglasnosti sa drugim standardima i dokumentima organizacije uključujući :

       Standard ISO 9001:2008
       Dokumentima o osnivanju, radu i organizaciji Smart doo
       Da je u saglasnosti sa ugovorenim obavezama organizacije
       Da je u saglasnosti sa svim uputstvima organizacije.
       Da obezbeĎuje delovanje u saglasnosti sa standardom ISO 27001:2005
       Da obezbeĎuje da se postigne i odrţava sertifikat ISO 27001:2005




Specifičnosti

         Specifična pravila su postavljena da podrţe ova dokumenta uključujući:
Fizičku sigurnost; Pristupne kontrole sistemu i podacima; Obrazovanje u vezi sa bezbednosti; Internet
i elektronsku poštu; Zaštitu podataka kroz „backup‟; Način korišdenja prenosnih ureĎaja; Skladištenje
i raspoloţivost poverljivim informacijama; Prevencija i detekcija delovanja virusa, trojanaca, i drugog
malicioznog koda;

Odgovornost

        Direktor kreira i pregleda pravila. Predstavnik rukovodstva za ISMS, ili druga osoba sa
pridodatim ovlašdenjima, implementira pravila kroz odgovarajude standarde i procedure.
Ova politika se redovno konsultuje u svim slučajevima poslovanja.




Ostali koraci koji se izvršavaju u cilju sprečavanja propusta su:

       Pisanje i poštovanje Bezbednosnih procedura - Procedurama odreĎujemo na koje načine
        čuvamo podatke, kako se sa njima upravlja, delimo odgovornost, odreĎujemo prava,
        sprečavamo potencijalne greške ili ih smanjujemo na minimum.
       Edukacija korisnika - Obukom korisnika podiţemo svest o ovom problemu, načinima kako
        bezbedno raditi i tako smanjujemo šansu za dalje greške.
       Procena rizika - Procenom rizika smo proaktivni. Ocenjuju se svi resursi u firmi (ljudi,
        ureĎaji,...). Ocene govore o visini rizika za bezbednost informacija. Nakon kvalitetne ocene
        rizika odreĎuju se prioriteti rešavanja istih.
       Tretman rizika - Resurs koji je ocenjen sa visokom ocenom predstavlja ozbiljan problem.
        Tretman rizika predstavlja predlog i način kako rizik umanjiti i koji rizik prioritetno rešavati.
       Postojanje incident menadžmenta - VoĎenjem incidenata postoji zapis o tome kada se
        incident dogodio, zbog čega, kako je rešen,... Incidenti se prate i ukoliko se često javljaju,
        predstavljaju jasan pokazatelj da nešto ne funkcioniše na pravi način. Prednost se ostvaruje na
        dugoročnom nivou, jer se kroz praćenje incidenata dobijaju podaci za analizu na osnovu čega
        se donose dalje odluke.
       Monitoring i Alerting - Monitoringom i alertingom postiţemo smanjeno vreme potrebno za
        detekciju problema, upućujemo ljude ili servise na reakciju, sprečavamo propuste praćenjem
        trenutne situacije.
       Softverske alatke
       Posvećenost menadžmenta - Svest i podrška menadţmenta o IT-ju i bezbednosti informacija
        mora uvek biti prisutna kako bi sistem funkcionisao.



                   RAZLOZI I PREDNOSTI IMPLEMENTACIJE ISO 27001



Razlozi za implementaciju ISO 27001

Savremena poslovna praksa naglašava problem sigurnosti informacija kojim mora da se pozabavi
najviši nivo menadţmenta organizacije. Opstanak organizacija je u direktnoj vezi sa njenom
sposobnošću da zaštiti svoje informacione vrednosti. Tako koncept zaštite, odnosno sigurnosti
informacija                  izbija                  u                 prvi                   plan.
UvoĎenjem standarda ISO 27001 dokazujete vašim klijentima vašu odgovornost za bezbednost i
zaštitu informacija. Kada govorimo o zaštiti informacija onda govorimo da se one štite od svih i na
svim nivoima vaše organizacije.

Posledice izazvane lošim rukovanjem, kvarovima i izmenama izazvanim namerno ili greškom, ili čak
ubacivanjem virusa u nedovoljno zaštićene sisteme mogu da budu katastrofalne za neku organizaciju i
da je dovedu do uništenja. Poznato je da, ukoliko informacije jedne organizacije nisu sigurne nije
sigurna ni njena budućnost. TakoĎe ne treba da nas iznenadi to što mnogo puta na pitanje šta je
najskuplje na svetu čujemo odgovor „ informacija“, jer ako je prošli vek bio vek tehnologije onda se
zasigurno moţe reći da je ovaj vek vek informacija.

        Prednosti implementacije ISO 27001

       Formulisanje bezbednosnih uslova i ciljeva
       Minimizovanje internih i eksternih rizika u kontinualnom poslovanju
       Trţišno diferenciranje i podiza-nje statusa Vaše organizacije
       Povećanje ukupne efikasnosti organizacije i operativnih performansi
       Priznata ISO 27001 sertifikacija na svetskom nivou
       Smanjenje opertivnog rizika preko otklanjanja pretnji i ublaţavanja slabosti
       Povećanje pozdanosti kod klijenata i saradnika
       Neprekidna zaštita sa fleksibilnim, efikasnim i odbrambenim pristupom sigurnosti i
        privatnosti

Sertifikacija ISO 27001

Čitav standard bazira se na jedanaest sigurnosnih kategorija koje pokrivaju sve aspekte sigurnosti
informacija. Te kategorije su:


1. Sigurnosna politika
2. Organizacija za sigurnost informacija
3. Upravljanje resursima
4. Sigurnost ljudskih resursa
5. Fizička sigurnost
6. Upravljanje komunikacijama I operacijama
7. Kontrola pristupa
8. Nabavka, razvoj i odrţavanje informacionih sistema
9. Upravljanje sigurnosnim incidentima
10. Upravljanje kontinuitetom poslovnih procesa
11. UsklaĎivanje sa zakonskim i drugim propisima.

Sertifikacija za standard ISO/IEC 27001, kao i bilo koje druge sertifikacije ISO menadţment sistema,
obično uključuje, za početak, preliminarni, informativni pregled Sistema menadţmenta sigurnošću
informacija(na primer:provera kompletnosti ključne dokumentacije kao što su Sigurnosna politika
organizacije, Izjava o primenjivosti, Plan postupanja sa rizikom itd). Ova faza sluţi proverivačima da
se upoznaju sa organizacijom i obrnuto. Sledeća faza je detaljnija i podrazumeva zvaničnu proveru
usklaĎenosti Sistema menadţmenta sigurnošću informacijama prema zahtevima standarda ISO 27001.
Proverivači će traţiti dokaz kojim bi potvrdili da je Sistem menadţmenta implementiran i da se
sprovodi na odgovarajući način. Odrţavanje sertifikacije zahteva periodične ponovne procene da bi se
potvrdilo da Sistem menadţmenta sigurnošću informacija zaista funkcioniše kako treba. Ove provere
trebalo bi da se sprovode barem jednom godišnje, a u početku, dok Sistem još sazreva, i češće.

Kao i proizvod ili proces, i informacija moţe biti nebezbedna i moţe prouzrokovati razne štete, zato
obezbeĎenju sigurnosti informacija treba pristupiti sistemski i na nivou drţave proceniti za koje
oblasti je neophodno da ovo pitanje bude ureĎeno odgovarajućim propisima. Uspostavljanje
nacionalne strategije sigurnosti informacija u tom smislu postaje neminovnost i predstavlja prioritet,
kako za graĎane, tako i za organizacije. Sertifikat ISO 27001 omogućava uspešno i napredno
funkcionisanje organizacija.

Faze uvođenja ISO 27001 standarda

    1. Inicijalna faza - Cilj prve faze je da obezbedi inicijalno planiranje i pripremu za uvoĎenje
       standarda. Podrazumeva planiranje i postavljanje fokusa/ciljnih oblasti koje treba razmatrati
       tokom projekta.
    2. Snimak stanja i izrada plana realizacije - U ovoj fazi nastupa prikupljanje svih relevantnih
       podataka koji se odnose na posmatrane oblasti. Ova faza je ujedno jedna od najvaţnijih, jer se
       radi o pregledu i popisu stanja i imovine (informacija) zainteresovane organizacije za
       sertifikaciju.
    3. Procena rizika i određivanje prioriteta - IzvoĎenjem sveobuhvatne procene rizika,
       identifikuju se kritični IT resursi, na osnovu kojih će se odabrati odgovarajuće kontrole za
       smanjenje rizika. Smart-ova metodologija procene rizika obuhvata dodeljivanje vrednosti
       identifikovanih resursa (opreme, ljudstva, informacija...) na osnovu stepena vaţnosti, stepena
       opasnosti, ranjivosti i penetracije/dostupnosti. Nakon identifikacije resursa i stepena vaţnosti,
       razvija se strategija ublaţavanja rizika i planiranje inputa koji će biti sastavni deo u razvoju IT
       politike i uvoĎenja ISO 27001 standarda.
    4. Izrada dokumentacije - u ovoj fazi se razvijaju detaljne i funkcionalne bezbednosne
       procedure, uputstva i IT bezbednosna politika, sve u skladu sa ISO 27001 standardom,
       zakonom i potrebama klijenta.
    5. Primena dokumenata - Primena unapreĎenog programa bezbednosti i postupanje prema
       uvedenim i napisanim procedurama, uputstvima i politici.
    6. Interna provera - Tokom interne provere, tim zaduţen za uvoĎenje standarda ISO 27001 u
       organizaciji (tzv. interni proverivači), proveravaju poštovanje procedura i postupanje po
       uputstvima u fazi primene dokumentacije. Tom prilikom utvrĎuju neusaglašenosti. Svrha ove
       faze je da se sprovede interna provera kojom će organizacija da preispita primenjen ISO
       27001 standard.
    7. Definisanje korektivnih mera - Na osnovu utvrĎenih neusaglašenosti internih proverivača,
       Smart-ovi eksperti savetuju organizaciju u pravcu sprovoĎenja korektivnih mera.
     Pitanja:


1.   Šta je informacija,u kojim se sve oblicima nalazi?

2. Šta je sigurnost informacija,i koji tipovi napada na informacione sisteme postoje?

3. Koji su tipovi kompjuterskog kriminala,u čemu se sastoje, i kako se mogu podeliti štete nastale
   delovanjem “kompjuterskih kriminalaca” ?

4. Koji standard definiše sigurnost informacija,i koji su razlozi njegovog uvoĎenja?

				
DOCUMENT INFO
Shared By:
Categories:
Tags:
Stats:
views:460
posted:10/28/2011
language:Serbian
pages:17