Standardi za upravljanje sigurnošcu podataka Текст научной статьи по специальности «СМИ (медиа) и массовые коммуникации»

Mr Dejan Vuletic,

kapetan I klase,

Institut za strategijska istraživanja Beograd

Rezime:

STANDARDI ZA UPRAVLJANJE SIGURNOŠCU PODATAKA

UDC: 006.4 : 004.6

U radu su analizirani osnovni pojmovi vezani za upravljanje sigurnošcu podataka. Ukazano je napotrebu i znacaj standardizacije u oblasti informaciono-komunikacionih teh-nologija, narocito prema standardima Medunarodne organizacije za standardizaciju (International Standardization Organization — ISO). U završnom delu rada prikazane su proaktiv-ne i reaktivne aktivnosti u upravljanju sigurnošcu podataka.

Kljucne reci: podaci, standardi, upravljanje sigurnošcu podataka.

STANDARDS FOR MANAGEMENT DATA SECURITY

Summary:

In this article basic notions of management data security are analyzed. We indicated demand and importance of standardization in information-communication technology domain, especially according to International Standardization Organization. In the final part of the article we illustrated both proactive and reactive activities in management data security.

Key words: data, standards, management data security.

Uvod

Standardi za upravljanje sigurnošcu podataka se, prema nameni, mogu pode-liti na: standarde za sigurnost proizvoda, standarde za sigurnost procesa i standarde sigurnosti sistema [4].

Standardi koji osiguravaju sigurnost proizvoda definišu pravila pod kojima se može izdati sertifikat koji daje punu ga-ranciju da je neki proizvod ili usluga si-gurna. Nakon dve decenije razvoja i za-jednickih napora, pre svega Japana, SAD, Kanade, Evropske unije i medunarodne zajednice, usvojen je standard ISO/IEC 15408 (Security Evaluation Criteria).

U podrucju standarda za sigurnost procesa najznacajniji je ISO/IEC (TR)

13335-x Uputstva za upravljanje sigur-nošcu informacione tehnologije (Guidelines for the Management of IT Security -GMITS). Taj standard se sastoji od niza tehnickih izveštaja koji služe kao uput-stvo za implementaciju sistema upravlja-nja sigurnošcu podataka resursa i sprovo-denje postupka samoocenjivanja.

Standardi ISO/IEC

Medunarodna organizacija za stan-dardizaciju (International Standardization Organization - ISO) i medunarodna elektrotehnicka komisija (International Electrotechnical Commission - IEC) konstituisale su združeni tehnicki komi-tet (Joint Technical Committee - JTC),

460

VOJNOTEHNIČKI GLASNIK 4/2006.

ciji je zadatak donošenje standarda iz obla sti infor maciono-komunikacionih tehnologija. Britanski institut za standar-de pripremio je, a ISO i IEC su usvojili medunarodni standard ISO/IEC 17799 cija je najnovija verzija objavljena 2005. godine. Ocekuje se da ce navedeni standard 2007. godine zameniti standard ISO 27002 [3], a predstavljace skup pravila namenjenih obezbedenju visokog nivoa upravljanja sigurnošcu podataka (infor-macija).

Pored standarda ISO/IEC 17799, odnosno ISO 27002, objavljeni su ili su u razvoju sledeci, sa aspekta upravljanja si-gurnošcu, znacajni standardi:

- ISO 27001 - Information Security Management System (ISMS) requirements.

Ovaj standard objavljen je u oktobru

2005. godine, a zasnovan je na britan-skom standardu BS 7799-2. Definiše zahteve koje mora da ispuni sistem za upravljanje sigurnošcu podataka, da bi akreditovana organizacija mogla da ga sertifikuje [2];

- ISO 27004 - Information Security Management Metrics and Me asurement.

Ovaj standard je još uvek u razvoju i ocekuje se da ce biti objavljen 2007. godin?. Treba da pomogne organizacijama u mere-nju i izveštavanju o efikasnosti njihovih si stema za upravljanje sigurnošcu podataka obuhvacenih postupcima upravljanja sigur-nošcu (definisanih u ISO 27001) i kontrola-ma (obuhvacenih u ISO 27002);

- ISO 27005 - Information Security Risk Management.

Ocekuje se da ce biti objavljen 2008. ili 2009. godine. Zasnivace se na britanskom standardu BS 7799-3, koji je objavljen u martu 2006. godine. Ovaj

standard ce obuhvatati procenu rizika, sprovodenje odgovarajucih kontrola, nadgledanje i ponovnu procenu rizika u toku rada ili periodicno, održavanje i stalno unapredenje sistema kontrole i drugo.

Model sistema upravljanja sigurnoš-cu podataka, koji podržava standard ISO/IEC 17799 primenljiv je za organi-zacije svih tipova i velicina, a može se prilagoditi razlicitim geografskim, kul-turnim i socijalnim uslovima. Ovaj standard zadovoljava potrebe razlicitih organizacija širom sveta, osiguravajuci im za-jednicki okvir za bavljenje pitanjima u vezi sa sigurnošcu podataka [4].

Standard ISO/IEC 17799 bavi se proble matikom definisanja politike sigur-nosti i primene opšte dobre prakse upravljanja sigurnošcu podataka. Termin „po-litika racunarske sigurnosti“ definiše se kao direktiva rukovodstva da se formira plan zaštite podataka, utvrde ciljevi i od-rede odgovornosti [8]. Taj standard pruža dragocenu pomoc kao pregled visokog nivoa koji menadžmentu kompanije omogucava da sagleda i razume proble-matiku upravljanja sigurnošcu podataka u sopstvenoj organizaciji [4].

Upravljanje sigurnošcu podataka u racunarskim sistemima može se, uslov-no, podeliti na dva dela - proaktivno i reaktivno delovanje.

Proaktivnim delovanjem se, prven-stveno, onemogucava, otežava ili spreca-va neovlašcenim licima da dodu do sadr-žine podataka ili dokumenata.

Reaktivnim delovanjem obezbeduje se da sistem povrati osnovne servise (odre-dene nivoe integriteta, poverljivosti, per-formansi i drugih kvalitativnih svojstava).

VOJNOTEHNIČKI GLASNIK 4/2006.

461

Proaktivno delovanje

Najbolji metod eliminisanja ili ubla-žavanja rizika jeste proaktivno delovanje koje se obezbeduje višestrukim sferama.

Model ešelonirane višeslojne zaštite podataka realizuje se modelom zaštitnih prstenova (sfera) koji cine:

- sfera fizicke zaštite (onemogucava fizicki pristup napadaca);

- tehnicka sfera (sistemi za detekci-ju i sprecavanje napada i dr.);

- kadrovska sfera (pravilan izbor kadrova i obezbedenje optimalnih uslova rada);

- organizaciona sfera (mere i aktiv-nosti, nadležnosti i obaveze korisnika i izvršilaca, kao i pristup resursima),

- normativna sfera (zakoni, uput-stva, planovi i druge regulative koje oba-vezuju i propisuju izvršenje neke radnje i nacin izvršenja te radnje).

Standard ISO 17799 reguliše, sa aspekta proaktivnog delovanja, znacajne mere [1].

U delu „Kontrolisanje pristupa mre-ži“ navodi se da treba kontrolisati pristup internim i eks ternim mrežnim uslugama (servisima).

Delovi „Politika korišcenja mrežnih usluga (servisa)“ i „Ogranicenje pristupa informacijama“ upozoravaju da korisni-cima treba obezbediti direktan pristup sa-mo onim uslugama za koje imaju odo-brenje za korišcenje. To kontrolisanje je posebno važno kod mrežnog povezivanja sa osetljivim ili kriticnim poslovnim aplikacijama ili sa korisnicima na mesti-ma velikog rizika, npr. javnim ili spolj-nim podrucjima koja su izvan kontrole i upravljanja sigurnošcu u organizaciji.

Deo „Politika u pogle du elektronske pošte“ reguliše da crganizacije treba da projektuju jasnu politiku u pogle du elektronske pošte (zaštitu od sadržaja prido-datih elektronskoj pošti, uputstva kada ne treba koristiti elektronsku poštu i sl.).

Deo „Nadgledanje pristupa i koriš-cenja sistema“ ukazuje na to da sisteme treba nadgle dati, kako bi se otkrila odstu-panja od politike kontrole pristupa i zapi-sali uocljivi dogadaji, da bi se obezbedili dokazi za slucajeve incidenata u pogle du sigurnosti.

Deo „Kriptografske kontrole“ realizuje se s ciljem da se zaštiti poverljivost, verodostojnost ili celovitost informacija. Kriptografske sisteme i postupke treba primenjivati radi zaštite podataka za koje se smatra da su u opasnosti i kojima druge kontrole ne pružaju dovoljnu zaštitu.

Deo „Samozaštita zapisa u organi-zaciji“ ukazuje na to da važne zapise u nekoj organizaciji treba zaštititi od gu-bljenja, uništenja i falsifikovanja. Vre-menski period i sadržaj podataka koji se cuvaju mogu biti predvideni regulativom. Zapise treba razvrstati u kategorije tipova zapisa, npr. zapise u bazama podataka, zapisnike o transakcijama, zapise o pro-verama i operativnim procedurama, svaki sa detaljima o periodu cuvanja i tipu me-dijuma na kojima se oni cuvaju. Sistem za skladištenje podataka treba odabrati tako da se potrebni podaci mogu pretra-živati na nacin koji je zakonski i sudski prihvatljiv, npr. da se svi potrebni zapisi mogu izvuci u prihvatljivom roku i forma tu. Sistemi za skladištenje i rad sa po-dacima treba da osiguraju jasnu identifi-kaciju zapisa i njihov statutarni ili regu-lativni period cuvanja. Sistem mora do-

462

VOJNOTEHNIČKI GLASNIK 4/2006.

zvoljavati odgovarajuce uništavanje zapi-sa po isteku tog perioda ako organizaciji više nisu potrebni.

Da bi se ispunile ove obaveze, unu-tar organizacije treba preduzeti sledece korake:

- izdati uputstvo o cuvanju, skladiš-tenju, postupanju i odbacivanju zapisa i informacija;

- izraditi nacrt - termin plana za cuva-nje, kojim se identifikuju najvažniji tipovi zapisa i period u kojem ih treba sacuvati;

- održavati inventarski popis izvora kljucnih informacija;

- uvesti odgovarajuce kontrole radi zaštite najvažnijih zapisa i informacija od gubljenja, uništenja i falsifikovanja.

U novije vreme posebno znacajan segment zaštite podataka predstavljaju odredena hardverska i softverska rešenja za detekciju i sprecavanje napada. Proiz-vodaci racunarske opreme sve više isticu mere sigurnosti. Tako je Bil Gejts istakao da ce prioritet u razvoju Microsoft proiz-voda ubuduce imati zaštita [7].

Reaktivno delovanje

Kada pored proaktivnog delovanja dode do incidenta, organizacije moraju biti spremne da se suprotstave brzo i efi-kasno, da bi se minimizirao negativan uticaj i prikupili neophodni podaci koji bi doveli do pocinioca kriminalne radnje.

Ne ulazeci u uzroke incidenta, nakon njega sledecih šest koraka znatno ce po-moci da se upravlja brzo i efikasno [6]:

- zaštita života i bezbednosti ljudi;

- lokalizovanje oštecenja;

- procena oštecenja;

- utvrdivanje uzroka oštecenja;

- oporavak oštecenja, i

- razmatranje reakcije (odgovora) i ažuriranje politike.

Mnoge kompanije, organizacije i vladine agencije imaju implementirane kapacitete za odgovore na incident (incident management), fokusirajuci se, pre svega, na sledece aspekte [5]:

- efikasan odgovor (obuhvata: pri-premu, identifikovanje, zadržavanje, eli-minisanje, oporavak i pracenje);

- centralizaciju (za izveštavanje, su-prostavljanje incidentu i sl.),

- poboljšanje svesti korisnika.

Kada se napad desi, ili sistem bude

kompromitovan, veoma je važno prikupi-ti podatke (dokaze) o tome šta se desilo. U odredenim granicama racunari i ostali mrežni uredaji (npr. sistemi za detekciju upada) sposobni su da zabeleže aktivno-sti koje su se dogodile u njihovim granicama ili prošli kroz njih. Ta evidencija je neophodan element procesuiranja odgo-vornih lica.

Zavisno od procenjenih rizika, nužno je da svaka organizacija sacini „plan upra-vljanja kontinuitetom poslovanja“. Upra-vljanje kontinuitetom poslovanja treba da obuhvati kontrole za identifikovanje i smanjivanje rizika, za ogranicavanje po-sledica incidenata i da osigura da se važne operacije pravovremeno ponovo zapocnu. Postupak upravljanja kontinuitetom poslovanja treba uvesti kako bi se smanjile posledice štetnih dogadaja na prihvatljiv nivo kombinovanjem kontrola za preven-ciju i za oporavak. Usled razlicitih prome-na rizika, loših procena ili drugih faktora, planove za kontinuitet poslovanja treba održavati kroz redovno preispitivanje i ažuriranje, kako bi se osigurala njihova

VOJNOTEHNIČKI GLASNIK 4/2006.

463

efikasnost. Kada je sacinjen takav plan, od strategijskog znacaja, neophodno ga je primenjivati u praksi [1].

Zaklju cak

Baze podataka veoma su ranjive i iz-ložene ozbiljnim potencijalnim opasnosti-ma. Apsolutna sigurnost podataka nije mo-guca. U skladu sa potencijalnim opasnosti-ma moguce je jedino upravljati sigurnošcu podataka, a rizike svoditi na minimum.

Upravljanje sigurnošcu podataka otežavaju stalne promene rizika s obzi-rom na to da se nijedan incident ne može predstaviti kao tipican. To je konstantan proces koji zahteva saradnju svakog dela i clana organizacije.

Sve je veci broj organizacija u koji-ma, pored vodeceg službenika bezbedno-sti (Chief Security Officer - CSO), post?ji, kao zasebna funkcija, vodeci slu-žbenik informacione bezbednosti (Chief Information Security Officer - CISO). Vodeci službenik informacione bezbednosti pripada top-menadžmentu organizacije i bavi se razradom i realizacijom politike bezbednosti. Pored vodeceg slu-

žbenika informacione bezbednosti, sve je cešca i funkcija menadžera službe IB (Business Information Security Officer -BISO), koji se bavi prakticnom realizacijom politike bezbednosti na nivou neke organizacione celine (npr. plansko-eko-nomskog, marketinga ili odeljenja IT).

Upravljanje sigurnošcu podataka prerasta u zasebnu delatnost sa široko razgranatom lepezom profesija i sa sve vecim brojem ljudi koji ce profesionalno raditi na tim pitanjima.

Literatura:

[1] ISO/IEC 17799 Information technology - Code of practice for information security maiagement, 2005.

[2] ISO 27001 - Information Security Management System (ISMS) requirements,

http://www.iso27001/security.com/html/iso27001.html

[3] ISO 27002, httpi//www.iso27001/security.com/html/ iso27002.html

[4] Kukrika, M.: Upmvljanje sigurnošcu informacija, INFOhome Press, Beograd, 2002.

[5] Schweitzer, D.: Incident Response: Computer Forensics Toolkit, Wiley Publishing, Indianapolis, 2э0з.

[6] Security Risk Management Guide, Microsoft Corporation, 2004 (ažurirana marta 2006),

http://www.microsoft.com/technet/security/topics/complian

ceandpolicies/secrisk/

[7] Shinder, D.: Scene of the Cybercrime: Computer Forensics Handbook, Syngress Publishing, Inc., Rockland (USA), 2002.

[8] Swanson, M.; Guttman, B.: Generally Accepted Principles and Practices for Securing Information Technology Systems, National Institute of Standards and Technology, Gaithersburg, 1996.

464

VOJNOTEHNIČKI GLASNIK 4/2006.