UVOD
Savremeno poslovanje je danas nezamislivo bez primene informacionih tehnologija. Informacije postaju vaţan resurs od koga zavisi opstanak i razvoja organizacije. Organizacije postaju sve otvorenije povezu jući svo je informacione resurse sa kupcima, dobavljačima i ostalim komintentima. Ovo dovodi do pojave brojnih sigurnosnih prijetnji kao što su r ač ačunarske prevare, špijunaţe, sa botaţe, vandalizmi, poţari, poplave i sl. Štete nanesene organizacijama u obliku zloćudnog koda, računarskog hakerisanja i usk raći raćivanja usluge je sve prisutnija pojava. Bez obzira u kom obliku se čuvaju (pothranjuju) informacije moraju da budu adekvatno zaštićene. Da bi se osigurala adekvatna zaštita informacija svi korisnici moraju da budu familijarni sa konceptom i merama zaštite koje se zahtevaju. Zaštita informacija, očuvanje njihove poverljivosti, integriteta, odnosno celovitosti i raspoloţoivosti postaje od primarne vaţnosti. Sigurnost informacija je mnogo više od korišćenja odgovarajućih tehničk ih rešenja koje nude savremene informacione tehnologije. "Ako mislite da tehnologijom moţete reštit vaš sigurnosni problem onda vi ne razumete ni problem ni tehnologiju". Oslanjajući se na koncept da je sigurnost informacija mnogo više od primene savremenih tehničk ih ih rešenja koje nude informacione tehnologije, razvijeni svet (pre svih Velika Britanija kroz nacionalno telo za standardizaciju BSI) opredelio se za razvoj odgovarajućih standarda koji pokrivaju ovu oblast. Tako su sredinom devedesetih godina pr ošlog veka nastali prvi standardi BS 7799-1 i BS 7799-2. Razvoj ovih standarda je od dvehiljadite godine preuzela MeĎunarodna organizacija za standardizaciju (ISO) zajeno sa MeĎunarodnom elektrotehničkom komisijom (IEC) kroz zajednički tehnički komitet (JTC1). INFORMACIJA? ŠTA JE INFORMACIJA?
podatak sa odreĎenim značenjem, odnosno znanje koje se moţe preneti na bilo koji način (pismom, audio, vizuelno, elektronski ili na neki drugi način). Informacije mogu da budu: Informacija: je
štampane ili napisane na papiru odloţene (memorisane) elektronski prenesene poštom ili elektronskim putem prikazane na korporacijskom korporacijskom veb sajtu verbalne – izgovorene izgovorene u konverzaciji znanje – vešti – veštine zaposlenih
Informacije i njima pripadajući
podaci, zatim procesi i sistemi (hardverski, softverski,
mreţni itd.) koji se koriste za njihovo generisanje, obradu, prenos, memorisanje memorisanje kao i pristup predstavljaju vaţan deo poslovne imovine organizacije koju je potrebno prikladno zaštititi ako se ţeli normalno poslovanje koje će obezbediti opstanak i razvoj. Ovaj zahtev postaje sve vaţniji zbog distribuirane poslovne okoline organizacije u kojoj su informacije izloţene ranjivostima usled velikog broja pretnji (opasnosti). Nezavisno od prirode informacioni resursi (informacione vrednosti) mogu da imaju jednu ili više sledećih karakteristika: Prepoznati su na nivou organizacije kao entitet koji ima vrednost Ne mogu lako da da budu zamenjeni bez utrošk a resursa kao što su: novac, veštine zaposlenih, vreme itd. Čine identitet organizacije bez koga poslovanje organizacije moţe da bude ugroţeno
Kategorija informacionih resursa resursa vrednosti vrednosti Informacije
Primeri: Primeri: baze podataka i podaci, dokumenta vezana za sistem, korisnički priručnici, materijali za obuku, operativne i sistemske procedure, planovi kontinuiteta, sistem zapisa aplikativni i sistemski, alati za razvoj softvera
Softver
Usluge
kompjuterski ureĎaji (procesori, monitori, laptopovi, modemi), komunkakacioni ureĎaji (ruteri, svičevi, telefoni), magnetni medijumi (trake, diskovi), ostali tehnički ureĎajui (sistemi napajanja, hlaĎenja itd.) Usluge obrade podataka, kom komunikacione unikacione usluge
Osoblje
znanje i veštine osoblja (tehničkog, operatvnog, marketing, finansijskog, itd ...)
Fizički resursi - hardver
(kompjuterska oprema)
PRETNJE INFORMACIONIM SISTEMIMA
Sigurnost je po definiciji, resursa.
zadovoljavajuća garancija tajnosti, integriteta i dostupnosti dostupnosti ključnih
Sigurnost je binarna – ili – ili jeste ili nije, ili imamo zadovoljavajući nivo, ili nemamo. nestruk tuir ani Postoje dve vrste napada na informacione sisteme: struk tuir ani i nes napadi. Nestruktuirani napadi su najčešći i karakteriše ih nizak nivo poznavanja tehnologije, niska motivacija i zainteresovanost i nepostojanje konkretnog cilja.
gdje napad nije izvršen zato što napadač ţeli nešto nešto Ove pretnje se klasifiku ju kao napadi iz prilike“, gdje što organizacija ima, nego zato što je organizacija slučajno podloţna ranjivosti koju napadač zna iskoristiti. sigurnosnih proizvoda i tehnologija je vrlo Vrlo je lako zaštititi se od ove vrste napada. Arsenal sigurnosnih efikasna zaštita od nezainteresovanog, nemotivisanog napadača sa niskim stepenom znanja. Druga vrsta pretnji su struktuirani napadi . Karakteristike ove vrste napada su visoki visoki nivo poznavanja tehnologije, visoka moti motivacija, i vrlo specifičan cilj. Visoko sposobni, motivisani napadač koji ima konkretan cilj uvek traţi putanju najmanjeg otpora da bi došao do tog cilja. Putanja najmanjeg otpora nikada ne vodi vodi kroz slojeve firewall-a, i IDS sistema. Nemoguće je uspostaviti sveobuhvatnog, struktuiranog pristupa pristupa sigurnosti. sigurnosti. Pravilno zaštitu od struktuiranih pretnji bez sveobuhvatnog, planiran, dizajniran, i na kraju implementiran implementiran ISMS je jedininačin kontrole struktuiranih pr etnji. etnji. Dok su nestruktuirane pretnje mnogo puta brojnije, struktuirane pretnje su mnogo puta opasnije i Augusta 2006 nose sa sobom puno veću cenu oporavka. Studija sigurnosnih incidenata,objavljena 28. Augusta od strane američkog ministarstva pravde, zaključila je da prosečna cena virusnog incidenta (tipičan
primer nestr uktuiranog uktuiranog napada) u proseku košta $2,400, dok prosečna cena upada u internu mreţu kroz slabosti u sigurnosnoj politici (tipičan primer str uktuiranog uktuiranog napada) košta u proseku $1,500,000. Ako se sigurnost oslanja isključivo na tehničke mere i nekolicinu za poslenih poslenih u IT odjeljenju, ključni
resursi su ranjivi i trivijalno je narušiti sigurnost kroz struktuirani napad. Bezbednost informacija je širok pojam - počevši od autorskih prava, gde gotovo alarmantno
zvuči podatak da Srbija godišnje na pirateriji gubi 100.000.000$, a posledice su oteţano priključivanje , preko industrijske špijunaţe gde se moţe izgubiti Evropskoj uniji i Svetskoj trgovinskoj organizaciji preko nemerljiva vrednost intelektualnog znanja. Posebno je aktuelna afera WikiLeaks za koju bivši Američki predsednik Klinton kaţe: "Biću vrlo iznenaĎen ukoliko neki ljudi ne izgube ţivot, a sam Bog zna koliko će njih završiti karijeru".
Gubitak, loše upravljanje informacijama ili neprepoznavanje njihovog značaja dovelo je do toga da mnoge uspešne organizacije više ne postoje ili su trajno izgubile značajne klijente. Primer za to je američka banka JPMorgan Chase & Co. Koja je izgubila podatke podatke o 16.000.000 16.000.000 klijenata. Svaka organizacija koja radi sa informacijama, a gotovo da ne postoje one koje ne koriste
informacije i informacione sisteme u svom radu, mora da dokaţe svojim klijentima da ne postoji curenje infor macij macij a i da su sa stanovišta bezbednosti informacija obezbedili - kako informatičku tako i fizičku i generičku zaštitu podataka. Vaše klijente, sa stanovišta bezbednosti informacija, incidentni h situacija (poţar, kraĎa/gubitak ureĎaja i interesuje i da ste definisali postupke u slučaju incidentni dr.), ali i da su ti postupci potvrđeni od od nezavisne "treće strane".
Najčešći uzroci oštećenja informacija
Zajednički uzrok oštećenja
3%
Ljudska greška
10%
Nesavesnost ljudi
15% 52% 10% 10%
Tehnička sabotaža Vatra Voda Terorizam
Ko je uzrokovao oštećenje
Tipovi kompjuterskog kriminala Krađa novca
13%
6%
Zaposleni
10% 2%
Oštećenje softvera
12% 44%
81%
Lica van organizacije Raniji zaposleni
16% 16%
Krađa informacija Izmena podataka
Krađa usluga Prekršaji
Najnovije istraţivanje koje su zajednički obavili Institut Ponemon i kompanija Vontu (SAD), pokazuje da je u prošloj godini godini 81% američkih kompanija izgubilo jedan ili vise prenosivih računara na kome su se čuvali vaţni i poverljivi podaci. Jedan od glavnih razloga za nestanak računara je nedostatak evidencije o tome gde se u okviru kompanijske računarske mreţe čuvaju vaţni podaci, a na mnogim od registrovano nestalih, bilo je mnoštvo podataka poverljive prirode. "Nedostatak evidencije i nedovoljna kontrola sistema čuvanja podataka, predstavljaju opasnost za bezbednost kompanija ili drţavnih organizacija", navodi se u izveštaju Instituta Ponemon.
U izveštaju se navodi i da čuvanje vaţnih podataka na ručnim i prenosivim računarima predstavlja najveću opasnost po bezbednost vaţnih kompanijskih informacija. Kao opasna mesta za čuvanje podataka navode se i USB memorijski diskovi, stoni računari i mreţni serveri za čuvanje datoteka. Zapanjujuće deluje podatak da 60% kompanija, registrovanih za ovo ispitivanje, nikada nije obavilo "popis" vaţnih informacija koje se odnose na njihove klijente, niti sačinilo uputstva za čuvanje tih informacija. Osim toga, vise od polovine učesnika u istraţivanju smatra da odgovorni u njihovim kompanijama ne bi bili u stan ju da utvrde koji podaci su se čuvali čuvali na USB fleš disku, u slučaju njegove kraĎe ili gubitka. Deo objašnjenja čestih gu bitaka ili kradja prenosivih računara sa poverljivim podacima moţda leţi u činjenici da skoro 70 posto ispitanika nikada nije sačinilo detaljan popis svojih zaposlenih sa svim potrebnim podacima koji koji se na njih odnose. Naravno, kad kad nema evidencije o zaposlenima, zaposlenima, nema evidencije ni o nezaposlenima. Drugim rečima, bilo koje neovlašćeno lice moze da doĎe do poverljivih podataka a da to čak niko i ne primeti. Sada je na stručnjacima da pripreme i ponude firmama adekvatne sisteme zaštite koji bi bili prihvatljivi za većinu u pogledu stepena zaštite podataka, jednostavnosti u radu i ceni. Dotle, moţe se dešavati svakog dana ono sto se desilo pre izvesnog vremena na jednom američkom univerzitetu,da je nestala datoteka sa podacima za nekoliko hiljada studenata u kojoj su bili sačuvani svi relevantni podaci lične prirode za sve studente koji su bili registrovani u periodu od skoro deset godina.
KOMPJUTERSKI KRIMINAL
Pojava i sve veća upotreba informacionih tehnologija uslovila je i pojavu novih vidova kriminala. Kompjuteri i kompjuterska tehnologija se mogu zloupotrebljavati na razne načine, a sam kriminalitet koji se realizuje pomoću kompjutera moze imati oblik bilo kog od tradicionalnih vidova kriminaliteta, kao sto su kraĎe, utaje, pronevere, dok se podaci koji se neovlašćeno pribavljaju zloupotrebom informacionih sistema mogu na razne načine koristiti za sticanje protivpravne koristi. Čini se kao da je sa pojavom i upotrebom savremene tehnologije vršenje kriminalnih radnji postalo znatno lakše a i brţe. Na konferenciji u Londonu početkom ove godine predstavnci NATO alijanse su i sami ukazali na opasnosti od kompjuterskog kriminala koji, zbog kompjuterske tehnologije, ima
transnacionalni karakter i briše granice izmeĎu drţava. ”Nikada nismo videli ovako lošu situaciju. Dobijamo sve više zaraţenih programa i mnogi ljudi su zaprepašćeni, jer ne vide to na svojim kompjuterima. MeĎutim, virusi se i dalje prave, a hakeri koji su to ranije radili iz zabave, su sada profesionalci koji se time bave za novac” Koliku tendenciju rasta ima ovaj oblik kriminala pokazuju i neki statistički podaci. Naime, Sophos-ovi eksperti su otkrivali 6.000 zaraţenih web stranica svaki dan tokom 2007. godine (jedna na svakih 14 min) od kojih 83% legitimno pripadaju legalnim kompanijama. Broj email pretnji ima tendenciju opadanja ali raste broj email-ova k oji sadrţe linkove
koji vode do malicioznih web sajtova… Veliki problem u suzbijanju ovog vida kriminala predstavlja pored komjutera to su mobilni telefoni, činjenica da su mete hakera sve sto se konetkuje na internet – iPhone i iPod Touch a cak su postojale i optuţbe da su pojedine drţave naručioci cyber kriminala. Ukratko, kompjuterski kriminal predstavlja veliku bolest savremenog društva. Istorijat kompjuterskog kriminala datira od ranih sedamdesetih godina, da bi tek tokom osamdesetih i devedesetih godina drţave shvatile koliku opasnost predstavlja ovaj (u to vreme) novi oblik kriminala.
Greškom u programu koja je nazvana "Internet crv" 1988.g. oboreno je 6.000 računara. Iste godine uhapšen je Robert Moris (SAD) i osuĎen je na 400 sati dobrovoljnog rada i 10.000 dolara. U periodu od juna do avgusta 1994. u osamnaest upada Vladimir Levin iz Petrograda izvukao je preko 10
miliona dolara iz sistema Citibank. Naredne godine je uhapšen u Londonu, 1997. je izručen američkim vlastima, a u avgustu 1997.g. je osuĎen na 36 meseci zatvora i kaznu od 250.000 dolara. Kevin Mitnik u SAD je uhapšen i osuĎen 1995.g. za falsifikovanje 20.000 brojeva kreditnih kartica. Čak su i pet gosoĎa starijih od 50 godina, sluţbenici Zavoda za penzije u Francuskoj prebacile na svoje račune 6 miliona franaka kao penzije za osobe koje su već odavno umrle. Kompjuterski kriminalitet predstavlja oblik kriminalnog ponasanja, kod koga se koriscenje
kompjterske tehnologije i informacionih sistema ispoljava kao nacin izvrsenja krivicnog dela, i li se kompjuter upotrebljava kao sredstvo ili cilj izvrsenja, cime se ostvaruje neka u krivicno-pravnom smislu relevantna posledica. Kompjuterski kriminalitet je takodje protivpravna povreda imovine kod koje se racunarski podaci s predumisljajem menjaju (manipulacija racunara), razaraju (racunarska sabotaza), ili se koriste zajedno sa hardverom (kradja vremena). Kompjuteri i kompjuterska tehnologija se mogu zloupotrebljavati na razne nacine, a sam kriminalitet koji se realizuje pomocu kompjutera moze imati obliko bilo kog od tradicionalnih vidova kriminaliteta, ako sto su kradje, utaje, pronevere, dok se podaci koji se neovlasceno pribavljaju zloupotrebom informacionih sistema mogu na razne nacine koristiti za sticanje protivpravne koristi. Pojavni oblici kompjuterskog kriminaliteta su: protivpravno koriscenje usluga i neovlasceno pribavljanje informacija, kompjuterske kompjuterske kradje, kompjuterske prevare, prevare, kompjuterske sabotaze i kompjuterski terorizam i kriminal vezan za kompjuterske mreze. Protivpravno korišćenje usluga i neovlašć eno pribavljanje informacija
Protivpravno koriscenje usluga se sastoji u neovlascenoj upotrebi kompjutera ili njegovoj ovlascenoj upotrebi ali za ostvarivanje potreba nekog neovlascenog korisnika.
Primer neovlascene upotrebe kompjutera je kada se kompjuter koristi u bilo koje druge svrhe, osim onih koje predstavljaju deo njegove namene u informatickom i nformatickom sistemu. Primeri Primeri ovlascene upotreba kompjutera, ali za potrebe neovlascenoh korisnika, ili radi ostvarenja drugih nedopustenih ciljeva su npr., u slucaju kad zaposleni u jednoj firmi pribavi podatke za buduceg poslodavca ili kad raspolozivo kompjutersko vreme koristi za obavljanje nekih svojih poslova. Jedan od najcescih obli ka neovlascene upotrebe kompjutera sa kojim se susecu poslodavci sirom sveta jeste zloupotreba Interneta od strane zaposlenih. Neovlasceno pribavljanje informacija informacija predstavlja svojevrsnu kradju kradju podataka sadrzanih u kompjuterskim sistemima, sistemima, najcesce u cilju ostvarivanja protivpravne imovinske koristi. Tehnicke i tehnoloske mogucnosti za neovlasceno pribavljanje informacija su sa pojavom Interneta postale mnogostruko vece tako da mete mogu biti i vas licni PC ali i bilo koji povezani ili izolovani kompjuterski sistem.
Kompjuterske krađe Kradja zauzima visoko mesto u oblasti kompjuterskog kriminaliteta a u razmatranom kontekstu od posebnog je znacaja kradja ideniteta. Ova vrsta kradja predstavlja posebno društvenoopasnu radnju, jer pored ostalog, znacajno podriva poverenje u integritet komercijalnih transakcija i ugroţava individualnu privatnost. Procena stručnjaka su da će ova vrsta kradja rasti sa povećanjem elektronske trgovine. Snabdeveni individualnim personalnim informacijama, kradljivci identiteta mogu da otvore račune u bankama, obavljaju kupovinu, a u u zemljama u kojima su automatizovane servisne usluge za graĎane, mogu da dobiju sertifikate o rodjenju, pasoš, kredit i sl., a sve to u ime osobe o čijim podacima se radi. Laţnim identitetom kriminalac moţe da dobije pozajmicu u banci, kupi auto, stan, ode na putovanje i sl., i na taj način zrtvu moţe da optereti finansijski a u nekim slučajevima da joj napravi i kriminalni dosije. Ţrtva u većini slučajeva i ne zna da se njen identitet "koristi" sve dok ne doĎu računi za naplatu. Dakle i finansijsk a i "humana" cena kraĎe za individualnu ţrtvu mogu biti veoma visoke, mada jedina krivica za mnogo ţrtve moţe biti to što su njihovi presonalni podaci bili na nekom fajlu koji je ukraden ili su naivno davali informacije pogrešnim ljudima.
Iako većina stručnjaka tvrdi da su potrošači izloţeni mnogo većem riziku korišćenjem kreditnih kartica u robnim kućama, restoranima ili benzinskim pumpama nego preko zaštićenih Web sajtova, jer kriptografska tehnologija i autentikaci autentikacione procedure na Web sajtovima štite on-line transakcije većine kupaca, pitanje privatnosti i strah od malverzacija sa kreditnim karticama u odreĎenoj meri ipak odvraća on-line nabavke. Kompjuterske prevare
Kompjuterske prevare se vrše u nameri pribavljanja za sebe ili drugog protivpravne imovinske koristi, s tim što se kod njih u zabludu ne dovodi ili odrzava neko lice, kao u slučaju običnih prevara, kao imovinskih krivičnih dela, vec se ta zabluda odnosi na kompjuter u koji se unose netačni podaci, ili se propušta unošenje tačnih podataka, ili se na bilo koji drugi način, računar koristi, za ostvarenje pr evare evare u krivično-pravnom smislu. Kompjuterske prevare predstavljaju najrašireniji oblik kompjuterskog kriminaliteta.
Broj oblika prevara, kao i način njihove realizacije je praktično neograničen i u praksi se susreću kako one vrlo primitivne i grube, tako i one prevare kod kojih učinioci ispoljavaju veliki stepen veštine i rafiniranost. Ali u šemama prevare uvek se otkriva neki raniji oblik. Jer skoro sve šeme prevare registrovane na Inter netu netu su ustvari preraĎene i prilagoĎene verzije šema kojima su, nekad i vekovima, obmanjivane neoprezne, lakoverne i pohlepne ţrtve.
Ono sto karakteriše kompjuterske prevare ja da one daleko dopiru zbog velišine Interneta kao trţišta, da se brzo šire jer sa Internetom kao medijem sve se dešava mnogo brţe, i niski troškovi izvoĎenja ovakvih vrsta prevara . Kompjuterski prevaranti zloupotrebljavaju upravo one karakteristike Cyber-prostora koje doprinose rastu elektronske trgovine: anonimnost, distanca izmedju prodavca i kupca i trenutna priroda transkacija. Uz to, oni koriste prednost činjenice da prevara preko Interneta ne zahteva pristup do nekog sistema za isplatu, kao što to zahteva svaka druga vrsta prevara i što je digitalno trţište jos uvek nedovoljno ureĎeno i kao takvo konfuzno za potrošače, što za njih predstavlja skoro idealne uslove za prevaru.
Prevara s robom "neverovatnih" svojstava svojstava
Ovih dana je u Sidneju završen trodnevni seminar agencija specijalizovanih za zaštitu kupaca na Interentu. Osnovni zaključak ovog skupa je da je j e prevara sa robom "neverovatnih svojstava" jedan od najvećih izvora nelegalne zarade na Internetu. U izveštaju sa ovog skupa se takoĎe kaţe da svake 44 sekunde neko postane ţrtva posto se odluči da kupi robu sa čijim se "čudotvornim mogućnostima" upozna preko Interneta. Početkom ove godine pomenute agencije su sprovele istraţivaje Interneta pri bi čemu su otkrile 1400 sumnjivih sa jtova samo u oblasti zdravlja, što je rezultiralo rezultiralo podizanjem tuţ bi protiv 18 kompanija i detaljnim istragama koje su u toku a obuhvataju obuhvataju jos 200 firmi u 19 zemalja zemalja širom sveta. Sama cifra štete od ove neleglane trgovine nije pominjana ali ako se zna da takvi proizvodi kao recimo serija "Ljubičasta harmonija" - od kojih jedan produkt navodno uspostavlja novi – koštaju izmedju 30 i 1095 dolara, lako se da izračunati koliko nivo energije u ljudskom organizmu – koš je to milijardi dolara svakog dana. dana. Na vrhu liste "svemogucih" "svemogucih" proizvoda koji se prodaju na Internetu Internetu nalaze se pilule koje omogucavaju omogucavaju svojim korisnicima da piju piva koliko ţele, a da se ne ugoje (cena 71 dolar za 60 tableta) i pojas, koji kad nisi u fotelji izaziva isti efekat kao 600 sklekova uraĎenih u 10 min (cena 146 dolara), ljuske od jajeta ptice emu koje navodno povećavaju libido, tečnost k oja masnoću iz tkiva tokom spavanja pretvara u mišiće, hormoni koji vraćaju veru u sopstvene snage, magneti protiv nesanice, voda koja leči artritis, lekovi za lečenje SIDE , a koji dolaze iz Afrike kao rešenje zagonetke zasto neke Afircke zene imaju imunitet na ovu bolest.
Kad je reč o tome ko su lakoverni k upci upci sa sidnejskog seminara stiţe odgovor da su to uglavnom stari je i ma jako, jako mnogo na svim kontinentima. je osobe, bolesni i siromaš siromašni, a takvih ima
Kompjuterske sabotaž e i kompjuterski terorizam Komp juterske sabotaţe se sastoje u uniš uništenju ili oštećenju kompjutera i drugih ureĎaja za obradu podataka u okviru kompjuterskih sistema, ili brisanju menjanju, odnosno sprečavanju korišćenja informacija sadrţanih u memoriji informatičkih ureĎaja. Najčešći vidovi kompjuterske sabotaţe su oni koji deluju destruktivno na operativno-informativne mehanizme i korisničke programe, pre svega, one koji imaju funkciju čuvanja podataka. Kako teroristi postaju savremeniji oni sve više ostavljaju puške i granate a u korist ciljeva visoke tehnologije. Kad je reš o kompjuterskom terorizmu danas posto ji realna opasnost da informatič informatički resur si si a posebno globalne informatičke mreţe postanu i veoma efikasno sredstvo u rukama terorista, omogućavajući im da načine delovanja o kojima ranije nisu mogli ni da sanjaju. Da je informatička infrastruktura zahvalna meta terorističkih organizacija, pokazala je 1997. IRA kad je šokirala englesku javnost upućivanjem pretnje da će pored bombi, atentata i drugih oblika terorističkih akata poč akata početi da koristi elektronske napade na poslovne i vladine kompjuterske sisteme.
Do sada su izgleda teroristima nedostajali odgovarajući talenti i veštine za racunare. MeĎutim iskustva sa Al-Quaidom pokazuju da se pripadnici ove terorističke organizacije sluţe sofisticiranim st alno postavljaju nove web lokacije na tehnikama zaštite svojih kanala komunikacije na Internetu, stalno kojima pr opagiraju opagiraju svoje fundamentalističke ideje, a kod nekih od uhapšenih terorista pronaĎeni su kompjuteri sa šifrovanim fajlovima.
Ono sto povećava opasnost kad je reč o tome da ce teroristi u narednom periodu sve više koristiti visoku tehnologiju za ostvarenje svojih destruktivnih cilejva j esu izvori "talenata" koji mogu da obezbede stručnjake ili specijaliste koji su sposobni da vrše računarsku sabotaţu i špijunaţu visokog nivoa, da od terorista preuzimaju zadatake po ugovoru, ili da obučavaju teroriste za tajne akcije putem visoke tehnologije i za strategijski terorizam koji treba da izvršava veoma disciplinovan i organizovan kadar. Procena raspoloţivih globalnih izvora talenta - tehnoloski plaćenici, nezaposleni tehnološki stručnajci iz zemlja treceg sveta, zapadni tehnološki stručnajci, visokostručni kadrovi iz bivših tajnih sluţbi i speciajlnih snaga istocnog bloka (Stasi, Specnaz, Osnaz, Sekuritatea...).
Generalni zaključak kad se radi o kompjuterskom terorizmu bi bi da će u vremenu koje dolazi teroristi sve više koristiti visoku tehnologiju kako za špijunaţu i sabotaţu tako i za propagiraje svojih ideja. Njihovi ciljevi mogle bi biti banke podataka, računarski resursi, vladini komunikacioni sistemi, elektrocentrale kojima upravljaju računari, rafinerije nafte, aerodromska postrojenja. Pre nešto više od mesec dana, Pentagon je zvanično saopštio da je počeo rad na na oţivotvorenju projekta pod imenom "Total Information Awarenss Awarenss System" (TIA) (TIA) ili sveznanje odnosno sve sve znati o svemu i svakome. Za zvanični Pentagon, TIA je isključivo visokotehnološki lov na teroriste. A loviće se, prikupljanjem i uporednim "voţenjem" milijardi i milijardi informacija iz svih mogućih banaka podataka, i informacija dobijenih praćenjem elektronskog saobraćaja. Cilj je "otkriti raskrinkavajuće ponašanje da bi se teroristi zaustavili pre nego što bude kasno". Provaljivanje u kompjuterski sistem
Mada izraz "provaljivanje" asocira na primenu izvesne mehničke sile, radi ulaska u zatvorene prostore, poput vr šenja kriminalitetu šenja klasičnih provalnih kraĎa, on kada je reč o kompjuterskom kriminalitetu označava jedno vrlo suptilno, elektronskim putem, izvedeno, narušavanje tajnosti, pojedinog kompjuterskog sistema, odnosno neovlašćeni elektronski upad u centralni kompjuterski sistem i njegovu bazu podataka. Ovakva dela preteţno vrse hakeri, koji se preko svojih personalnih racunara uključuju u druge informativne sisteme, pri čemu prvenstveno koriste Internet. Ovi učinioci spretno zaobilaze zaštitne mehanizme a dela ne vrše iz zlonamernih pobuda, vec nastoje da javno demonstriraju informatičku veštinu kojom raspolaţu ili da ukaţu na postojece slabosti u mehanizmu zaštite kompjuterskih sistema. Zato su na meti ovakvih učinilaca često bas one kompjuterske mreţe, za koje se s pravom očekuje da su maksimalno zaštićene od elektronskih provala kao što su: vojne kompjuterske komunikacije, informatički sistemi obaveštajnih sluţbi, drţavnih institucija. Mada se nezlonamerno provaljivanje u kompjuterski sistem, uobičajeno tretira kao najbezazleniji vid kompjuterske delikvencije, ono ni u kom slučaju nije bezopasno. Naime, ovakvi upadi proizvode potencijalnu opasnost prouzrokovanja nepopravljivih nepopravljivih šteta na vitalnim kompjuterskim mreţama. Pored toga, u krivičnopravnom smislu ovakvim se delima, ukoliko njima nisu proizvedene odreĎene konkretne štetne posledice, obično vrši povreĎivanje sluţ bene ili vojne tajne, kroz uvid u zaštićene kompjuterekse banke informacija.
Zabeleţeni su slučajevi da hakeri koriste "Fejsbuk" za napade na računare, objavila je meĎunarodna antivirusna kompanija "Sofos PLC". Zlonamernici za napade koriste "Fejsbukov" odeljak "Zid", svojevrsnu "oglasnu tablu" na kojoj
korisnici jdni drugima ostavljaju poruke koje u prilogu mogu sadrţati fotografije, video odlomke,muzičke datoteke i hiperveze do drugih veb lokacija.
Grejam Kluli, stariji tehnički savetnik kompanije "Sofos " Sofos PLC", istakao je da se ti zlonamerni napadi odvijaju u sličnoj formi kao i napadi za koje se koriste poruke elektronske pošte. Korisnici "Fejsbuka" zatiču na "Zidu" poruku koju je navodno ostavio neki od njihovih prijatelja. Poruka sadrţi hipervezu do neke veb lokacije ili video odlomka. Ukoliko korisnik odabere hipervezu, ona ga vodi do hakerske veb lokacije gde se korisniku nudi da preuzme novu verziju "Fleš plejera" američke kompanije "Adob" kako bi mogao da pogleda pomenuti video odlomak. Iza laţne "Adobove" datoteke krije se s e ustvari trojanac koji na napadnutom računaru instalira zlonamerni softver, što omogućava napadaču da ostvari kontrolu nad napadnutim računarom. Kluli savetuje korisnike "Fejsbuka" da budu veoma oprezni ukoliko poruka koju dobiju sadrţi hipervezu, bez obzira na to što ona na izgled potiče od njihovih prijatelja koji zaista imaju profil na "Fejsbuku". U velikom broju slučajeva radi se o tome da su i te osobe bile ţrtve napada i da su se napadači dočepali njihovih ličnih podataka koje koriste za napade na dr uge korisnike. Čuvena ruska antivirusna kompanija "Kasperski" je, takoĎe, nedavno upozorila na nove Internet crve koji pomoću automatski generisanih poruka pokušavaju da napadnu računare korisnika "Fejsbuka" i portala "MajSpejs".
Kriminal vezan za komjuterske mreže
Kriminal vezan za kompjuterske mreţe je oblik kriminalnog ponašanja kod koga je cybespace okruţenje u kome su kompjuterske mreţe pojavljuju u trostrukoj ulozi: kao sredstvo ili alat, cilj ili okruţenje izvršenja krivičnog dela.
Kompjuterske mr eže kao cilj napada – napad napadaju se servisi, funkcije i sadrţaji koji se na
mreţi nalaze. Kradu se usluge i podaci, oštećuju se ili uništavaju delovi ili cela mreţa i kompjuterski sistemi, ili se ometaju funkcije njihovog rada. U svakom slučaju cilj pocinilaca je mreţa u koju se ubacuju malware, vrse DOS napadi. Kompjuterske mreže kao sredstvo ili alat - Danas moderni kriminalci koriste sve više kompjuterske mreţe kao oruĎa za realizaciju svojih namera. Korišćenje ovog novog oruĎa svojine ili online naročito je popularno kod deč je pornografije, zloupotrebe intelektualne svojine prodaje nedozvoljene robe (droga, (droga, ljudskih organa, nevesta..) nevesta..)
Kompjuterske mreže kao okruž enje u kome se napadi realizuju . Najčešće to okruţenje sluţi za prikrivanje kriminalnih radnji, kao što to veoma vešto uspevaju da urade pedofili, a ni drugi kriminalci nisu ništa manje uspešni. Naravno postoje i druge uloge, kao što je npr., korišćenje mreţe kao simbola zastrašivan ja, uplitanja, koje su nekad više izraţene kod kompjuterskog nego kod cyber kriminala. Bitno je da je cyber kriminalu neosporno priznato "svojstvo" kriminala kao "obliku ponašanja koji je protiv zakonit ili će biti kriminalizovan za kratko vreme".
Cyber kriminal
zavisno od tipa počinjenih dela moţe biti:
Politički:
Ekonomski:
cyber s pijunaţa i cyber sabotaţa, haking, cyber terorizam cyber ratovanje
cyber prevare haking
kraĎa internet vremena, kraĎa internet usluga piratstvo softvera, mikročipova i BP, cyber industrijska špijunaţa , spam. proizvodnja i distribucija nedozvoljenih štetnih sadrţaja kao sto su deč ja pornografija, pedofilija, verske sekte, širenje širenje rasističkih , nacističkih i sličnih ideja i stavova manipulacija zabranjenim proizvodima , supstancama i robama – drogama, drogama, ljudskim lj udskim organima, oruţ jem. povrede cyber privatnosti – nadgledanje nadgledanje e- poste, poste, prisluškivanje, snimanje snimanje "pričaonica", pijunskih softvera i "cookies" "cookies" ( Zastita od praćenje e-konferencija, prikačinjanje i analiza š pijunskih spyware softvera -
Posledice kompjuterskog kriminaliteta
Štete nastale vršenjem kompjuterskih delikata, zavisno od pojavnog oblika kompjuterskog kriminaliteta, mogu se podeliti na:
– koje mogu da nastanu kada učinilac vrši delo u cilju sticanja protivpravne finansijske – koje imovinske koristi, pa tu koristi za sebe ili druge, zaista i stekne, ili je ne stekne, ali svojim delom objektivno pričini odreĎenu štetu, ili kada učinilac ne postupa radi sticanja koristi za sebe ili drugog, ali objektivno ucini finansijsku štetu. nematerijalne – koje – koje se ogledaju u neovlašćenom otkrivanju tuĎih tajni , ili drugom "indiskretnom štetnom postupanju" kombinovane – kada – kada se otkrivanjem odreĎene tajne , ili povredom autorskog prava, putem zloupotrebe kompjutera ili informatičke mreţe naruši nečiji ugled, odnosno povredi moralno pravo a istovremeno prouzrokuje prouzrokuje i konkretna finansijska šteta.
Krivičnim zakonikom Republike Srbije predviĎene su kazne za počinioce krivičnih dela kompjuterskog kriminala.
Sve kompanije imaju neprestani problem sa odbranom od oštećenja ili gubitka vaţnih podataka i dokumentacije. Velike kompanije poput IBM-a ulazu novac i resurse u razvijanje ovakvih sistema, koji postaju sve brzi, pouzdaniji i imaju sve veci kapacitet. Medjutim, posle teroristickog napada u Njujorku, veliki broj firmi je nepovratno izgubio sve svoje podatke, i to iz jednostavnog razloga – u u rusenju objekata nastradale su i sve bekap kopije. Kakav znacaj imaju svi bekap serveri i silni terabajti podataka ako u slucaju ovakvog ili slicnog dogadjaja nastradaju i ti uredjaji. Zbog toga su ideje o cuvanju podataka u atomskom sklonistu, ili cak na povrsini Meseca, postale interesantne mnogim kompanijama kompanijama koje sebi ne mogu da dozvole ovakvu vrstu gubitka. Iron Mountain
Kompanija Iron Mountain je osnovana 1951. godine, kada je otkupljen veliki napušteni rudnik u toj oblasti. Objekat sadrzi veliki broj nivoa (rudarskih horizonata) sa prostranim razgranatim hodnicima, sto se pokazalo kao idealno mesto za stvaranje neke vrste podzemne baze.Rudnik baze.Rudnik je adaptiran, i u vreme Hladnog rata je sluzio za slicne stvari za koje sluzi i danas – brojne brojne firme i ustanove su u prostorijama ove podzemne baze odlagale svoje papirne arhive, proizvode ili predmete od vrednosti. Sa sve vecim prisustvom računara u savremenom poslovanju i u okolnostima kada pojedine firme u potpunosti potpunosti ukidaju papirno poslovanje, ova ova kompanija je svoj podzemni podzemni objekat dobrim delom reorijentisala, te on sada uglavnom sluţi za arhiviranje elektronskih dokumenata. U kilometre podzemnih hodnika uneti uneti su racunari, monitori, bekap serveri serveri itd, a citav podzemni datacentar lici na pravi mali grad sa cak 2000 zaposlenih. Samo jedna kompanija koja je korisnik ove usluge nedeljno prosledi na arhiviranje preko dva miliona email i instant poruka, koje neprekidno teku kroz dve zakupljene linije. Na specijalni zahtev klijenta, po prispecu na servere podzemnog podzemnog centra, prave se dodatne dodatne dve kopije podataka na WORM WORM diskovima. Ovo su posebni mediji na koje se elektronski podaci mogu upisati samo jednom, a citati mnogo puta. U podzemnom racunskom centru grupa servera na prvoj liniji prihvata prispele podatke i na njima primenjuje pravila o arhiviranju koja je j e postavio klijent. Ovo se odnosi na dodeljivanje tagova k oji oji odreĎuju nacin procesiranja i kasnijeg opozivanja podataka, a primenjuje se digitalni otisak prsta" kao i ostali neophodni postupci. postupci. Nakon toga se podaci upisuju upisuju na hard diskove, a kasnije,prema kasnije,prema programiranom rasporedu, rasporedu, na sisteme sa sa trakama. Brisanje podataka koji vise nisu nisu potrebni odigrava se posle unapred odreĎenog roka koji postavljaju klijenti ili se oni brisu ručno. Sistem stvara indeks arhiviranih elektronskih dokumenata, omogućavajući pretraţivanje uz pomoc bilo kojeg savremenog Web pretraţivača. Cena usluge koju pruţa kompanija kreće se od 12 USD mesečno po jednom gigabajtu, a kako bude rasla potraţnja i budu proširivani kapaciteti, srazmerno ce padati i visina troškova. Evropljani mogu da se pohvale jednim sličnim objektom koji se nalazi u okolini grada Kapfenberga u Austriji. Zove se “earthDATAsafe.” Objekat je po svojoj nameni i načinu funkcionisanja veoma sličan prethodnom, mada je trenutno fizički znatno manji, sa manjim brojem zaposlenih i tek je nedavno poceo s radom. a rhiva, kompanija Pokusavajući da pronaĎe što bezbednije mesto za smestanje digitalnih arhiva, TransOrbital iz Kalifornije ponudila je nesvakidašnje rešenje – smeš – smeštanje servera sa podacima na Mesecu! To deluje kao veoma bezbedno mesto jer je malo verovatno da će ruka zlonamernika dospeti tako daleko. Mnogi su skeptični u vezi s isplativošću ove ideje i postavljaju pitanje da li ima smisla čuvati vaţne elektronske podatke čak na Mesecu. Kompanija TransOrbital ima spisak klijenata koji su spremni da plate čuvan je vaznih finansijskih, tehnoloških i vojnih podataka na ovaj nacin. Da bi sistem funkcionisao kako se očekuje, potrebno je da se razviju bolji protokoli za prenos podataka usmerenim laserskim snopovima. Postojeći standardi koje je postavila laboratorija Jet Propulsion ne zadovoljavaju očekivani intenzitet saobraćaja.
KAKO DOKAZATI DA BEZBEDNO UPRAVL UPRAVL JAMO IN FORMACIJAM A?
Sigurnost informacija je podjednako vaţna malim i velikim, kao i javnim i privatnim organizacijama. Primena tehničkih rešenja, odgovarajuće opreme i proizvoda više nije dovoljna da bi osigurala odgovarajuće upravljanje sigurnošću informacija. Sigurnost informacija nije isključivi problem informacionih tehnologija (IT), već je to "poslovni" problem. Opšte je mišljenje da primenom odgovarajućih tehnologija tehnologija se rešava samo jedan deo problema problema sigurnosti informacija. Danas se sigurnost informacija postiţe primenom odgovarajućih kontrola koje se odnose na politiku sigurnosti, poslovne procese, procedure, strukturu organizacije i funkcije hardvera i softvera. Navedene kontrole je potrebno osmisliti, implementirati, i mplementirati, nadzirati, preispitivati i unapreĎivati kako bi se osiguralo ispunjenje poslovnih i sigurnosnih zahteva organizacije.
Razvojem, implementacijom i sertifikacijom menadţment sistema za sigurnost informacija ISMS (Information Security Management System) pruţa se odreĎeni nivo poverenja kod komintenata menadţmenta, deoničara i zaposlenih da će njihove informacije adekvatno biti zaštićene. Standard ISO 27001 moţe da se implementira u sve grane industrije, trgovine i pruţanja usluga. Implementacijom meĎunarodnih standarda serije ISO/IEC 27000 pruţa se pomoć organizacijama svih vrsta i veličina da razviju i primene sistem za upravljanje bezbednošću sopstvenih informacija i da se pripreme za nezavisno i nepristrasno ocenjivanje (sertifikaciju) tog sistema primenjenog na zaštitu informacija, kao što su, na primer finansijske informacije, informacije
o intelektualnoj svojini, podaci o osoblju ili informacije koje su im poverene od korisnika ili treće strane. Primena standarda posebno je namenjena organizacijama koje u svom poslovanju imaju interne i/ili eksterne informacione sisteme, podatke koji su poverljivi, čije funkcionisanje poslovnih procesa zavisi od informacionog sistema i ostalim organizacijama koje se ţele prilagoditi potrebama informacione sigurnosti. današnje Veliki deo takvih organizacija jesu: banke, IT kompanije, finansijske i osiguravajuće kompanije,
bolnice, škole, univerziteti, proizvoĎači automobilskih delova, pozivni centri, poreski organi, savetodavne kompanije i mnoge druge organizacije. Dobijanjem validnog sertifikata - organizacija se svojim klijentima predstavlja kao partner
koji zna vrednost informacija i intelektualnih vrednosti koje od klijenata moţe da dobije na korišćenje. Nisu retki slučajevi da se potpisivanje ugovora uslovljava posedovanjem sertifikata serije ISO 9000, ISO 27000 ili dr. Definisanje novih postupaka rada sa informacijama, dokumentovanje tih istih postupaka,
odnosno obezbeĎenje svih zahteva koje standard traţi, je projekat koji iziskuje odreĎeno vreme, angaţovanje konsultantske kuće i angaţovanje svih resursa organizacije. S toga je pogrešno mišljenje da se implementacija i sertifikacija moţe sprovesti za dan.
ŠTA JE ISO 27001? Zaštita informacija, očuvanje njihove poverljivosti, integriteta, odnosno celovitosti i raspoloţivosti, postaje od primarne vaţnosti. Sigurnost informacija je mnogo više od korišćenja odgovarajućih tehničkih rešenja koje nude savremene informacione tehnologije. Standard ISO 27001 predstavlja Sistem zaštite i bezbednosti informacija. Cilj ovog sistema je da osigura sve neophodne kontrole u vezi sa strogo poverljivim, verodostojnim i ograničenim za pristup informacijama, u cilju zaštite informacija i podataka “zainteresovanih strana”. Zainteresovane strane kojima je ovaj Sistem menadţmenta upućen mogu biti klijenti, or ganizacije i kompanije, zaposleni, saradnici, ali i društvo u širem smislu.
Serija standarda ISO/IEC 27000 daje jedan harmonizovani pristup upravljanju rizicima kojim su izloţene informacione vrednosti u organizaciji kroz razvoj, implementaciju i odrţavanje
menadţment sistema za sigurnost informacija. Kompanija Smart d.o.o. iz Novog Sada jedna je od vodećih u Srbiji specijalizovana za rešavanje IT problema i pruţanje IT usluga.Jedna od usluga koje vrši ova kompanija jeste konsalting pri uvodjednju standard ISO 27001 – ISMS. ISMS je sistematski pristup upravljanja poverljivim informacijama organizacije, u smislu obezbeĎenja njihove bezbednosti. Jedan od principa ove kompanije vezano za sigurnost informacija jeste “reagovanje pre propusta.” Oni su 2009. godine uveli odredjena pravila koja treba da preduprede propuste kroz odreĎene korake. Prvi korak je uvoĎenje bezbedonosnih politika.
POLITIKA BEZBEDNOSTI INFORMACIJA
Namena bezbednosti upravljanja informacijama je j e da obezbedi i zaštiti informacije i nformacije i imovinu od svih pretnji, bilo internih ili eksternih, slučajnih ili namernih kroz uspostavljanje, implementaciju, izvršavanje, nadziranje, pre-ispitivanje, odrţavanje i poboljšanje sistema menadţmenta bezbednosti informacija (ISMS). Implementacija ove politike i pravila je vaţna za odrţavanje integriteta informacionog sistema za pruţanje usluga. Politika obezbeĎuje i garantuje: informacije de biti zaštidene od neovlašdenog pristupa istim odrţavade se poverljivost informacija informacije nede biti otkrivene neovlašdenim osobama bilo slučajnim ili namernim
aktivnostima
integritet informacija de se sačuvati kroz zaštitu od neovlašdene izmene mogudnost pristupa i izmene informacija ovlašdenim licima kada je to potrebno bide obezbeĎena usaglašenost sa svim kontrolnim i zakonskim zahtevima podrška politici kroz kontinualne poslovne planove planove koji de se odreĎivati, odrţavati i testirati u stalnom praktičnom radu obučavanje zaposlenih u svim organizacionim delovima sve povrede sigurnog rukovanja informacija de se razmatrati i istraţiti sve povrede sigurnosti de se dokumentovati i istraţiti
Menadţment je definisao viziju bezbednosti informacija sa ciljem neometanog poslovanja, zaštite poverljivih informacija i daljeg uspešnog razvoja organizacije, kao i postizanja zadovoljstva korisnika pruţenom uslugom i kvalitetom kvalitetom usluge.
Područje primene Svi zaposleni su odgovorni za implementaciju politike bezbednosti i zaštite informacija i moraju da pruţe podršku rukovodstvu rukovodstvu koje je propisalo politiku i pravila. Ciljevi
Zaštita informacija Zaštita informacione imovine koja pripada Smart doo Pruţanje pouzdanih informacija zaposlenima i očuvanje njihove poverljivosti u svim slučajevima pristupa postojedim informacijama.
Svrha
Da indentifikuje rizike po imovinu, vrednost imovine i da se utvrdi moguda ranjivost i potencijalni
uzroci nekog neţeljenog incidenta koji mogu dovesti do štete na sistemu ili u organizaciji. Da se upravlja rizicima na prihvatljivom nivou kroz dizajniranje, implementaciju i odrţavanje ISMS. Da je u saglasnosti sa drugim standardima i dok umentima umentima organizacije uključujući :
Standard ISO 9001:2008 Dokumentima o osnivanju, radu i organizaciji Smart doo Da je u saglasnosti sa ugovorenim obavezama organizacije Da je u saglasnosti sa svim uputstvima organizacije.
Da obezbeĎuje delovanje u saglasnosti sa standardom ISO 27001:2005 Da obezbeĎuje da se postigne i odrţava sertifikat ISO 27001:2005
Specifičnosti Specifična pravila su postavljena da podrţe ova dokumenta uključujući: Fizičku sigurnost; Pristupne kontrole sistemu i podacima; Obrazovanje u vezi sa bezbednosti; Internet i elektronsku poštu; Zaštitu podataka kroz „backup‟; Način korišdenja prenosnih ureĎaja; Skladištenje i raspoloţivost poverljivim informacijama; Prevencija i detekcija delovanja virusa, trojanaca, i drugog malicioznog koda; Odgovornost
Direktor kreira i pregleda pravila. Predstavnik rukovodstva za ISMS, ili druga osoba sa
pridodatim ovlašdenjima, implementira pravila pravila kroz odgovarajude standarde standarde i procedure. Ova politika se redovno konsultuje u svim slučajevima sl učajevima poslovanja.
Ostali koraci koji se izvršavaju u cilju sprečavanja propusta su:
Pisanje i poštovanje Bezbednosnih procedura - Procedurama odreĎujemo na koje načine čuvamo podatke, kako se sa njima upravlja, delimo odgovornost, odreĎujemo prava, sprečavamo potencijalne greške ili ih smanjujemo na minimum. Edukacija korisnika - Obukom korisnika podiţemo svest o ovom problemu, načinima kako bezbedno raditi i tako smanjujemo smanjujemo šansu za dalje greške. Procena rizika - Procenom rizika smo proaktivni. Ocenjuju se svi resursi u firmi (ljudi,
ureĎaji,...). Ocene govore o visini rizika za bezbednost informacija. Nakon kvalitetne ocene rizika odreĎuju se prioriteti rešavanja istih.
Tretman rizika - Resurs koji je ocenjen sa visokom ocenom predstavlja ozbiljan problem.
Tretman rizika predstavlja predlog i način kako rizik umanjiti i koji rizik prioritetno rešavati. Postojanje incident menadžmenta - VoĎenjem incidenata postoji zapis o tome kada se incident dogodio, zbog čega, kako je rešen,... Incidenti se prate i ukoliko se često javljaju, predstavljaju jasan pokazatelj da nešto ne funkcioniše na pravi način. Prednost se ostvaruje na dugoročnom nivou, jer se kroz praćenje incidenata dobijaju podaci za analizu na osnovu čega se donose dalje odluke.
Monitoringom i alertingom postiţemo smanjeno vreme potrebno za detekciju problema, upućujemo ljude ili servise na reakciju, sprečavamo propuste praćenjem Monitoring i Alerting -
trenutne situacije.
Softverske alatke
Posvećenost menadžmenta - Svest i podrška menadţmenta o IT-ju i bezbednosti informacija mora uvek biti prisutna kako bi sistem funkcionisao.
RAZLOZI I PREDNOSTI IMPLEMENTACIJE ISO 27001
Razl Razl ozi ozi za impl ementacij u I SO 27001 27001
Savremena poslovna praksa naglašava problem sigurnosti informacija kojim mora da se pozabavi najviši nivo menadţmenta organizacije. Opstanak organizacija je u direktnoj vezi sa njenom sposobnošću da zaštiti svoje informacione vrednosti. Tako koncept zaštite, odnosno sigurnosti informacija
izbija
u
prvi
plan.
UvoĎenjem standarda ISO 27001 dokazujete vašim klijentima vašu odgovornost za bezbednost i zaštitu informacija. Kada govorimo o zaštiti informacija onda govorimo da se one štite od svih i na svim nivoima vaše organizacije. Posledice izazvane lošim rukovanjem, kvarovima i izmenama izazvanim namerno ili greškom, ili čak ubacivanjem virusa u nedovoljno zaštićene sisteme mogu da budu katastrofalne za neku organizaciju i informacije jedne organizacije nisu sigurne nije nije da je dovedu do uništenja. Poznato je da, ukoliko informacije sigurna ni njena budućnost. TakoĎe ne treba da nas iznenadi to što mnogo puta na pitanje šta je najskuplje na svetu čujemo odgovor informacija“, jer ako je prošli vek bio vek tehnologije onda se zasigurno moţe reći da je ovaj vek vek informacija. Pr ednosti ednosti im plementaci plementaci j e I SO 27001
Formulisanje bezbednosnih uslova i ciljeva Minimizovanje internih i eksternih rizika u kontinualnom poslovanju Trţišno diferenciranje i podiza-nje statusa Vaše organizacije
Povećanje ukupne efikasnosti organizacije i operativnih performansi
Priznata ISO 27001 sertifikacija na svetskom nivou Smanjenje opertivnog rizika preko otklanjanja pretnji i ublaţavanja slabosti
Povećanje pozdanosti kod klijenata i saradnika Neprekidna zaštita sa fleksibilnim, efikasnim i odbrambenim pristupom sigurnosti i privatnosti
Sertifikacija ISO 27001
Čitav standard bazira se na jedanaest sigurnosnih kategorija koje pokrivaju sve aspekte si gurnosti informacija. Te kategorije su:
1. Sigurnosna politika 2. Organizacija za sigurnost informacija 3. Upravljanje resursima 4. Sigurnost ljudskih resursa
5. Fizička sigurnost 6. Upravljanje komunikacijama I operacijama 7. Kontrola pristupa 8. Nabavka, razvoj i odrţavanje odrţavanje informacionih sistema 9. Upravljanje sigurnosnim incidentima 10. Upravljanje kontinuitetom poslovnih procesa 11. UsklaĎivanje sa zakonskim i drugim propisima. Sertifikacija za standard ISO/IEC 27001, kao i bilo koje druge sertifikacije ISO menadţment sistema,
obično uključuje, za početak, preliminarni, informativni pregled Sistema menadţmenta sigurnošću informacija(na primer:provera kompletnosti ključne dokumentacije kao što su Sigurnosna politika organizacije, Izjava o primenjivosti, Plan postupanja sa rizikom itd). Ova faza sluţi proverivačima da se upoznaju sa organizacijom i obrnuto. Sledeća faza je detaljnija i podrazumeva zvaničnu proveru usklaĎenosti Sistema menadţmenta sigurnošću informacijama prema zahtevima standarda ISO 27001. Proverivači će traţiti dokaz kojim bi potvrdili da je Sistem menadţmenta implementiran i da se sprovodi na odgovarajući način. Odrţavanje sertifikacije zahteva periodične ponovne procene da bi se potvrdilo da Sistem menadţmenta sigurnošću informacija zaista funkcioniše kako treba. t reba. Ove provere trebalo bi da se sprovode barem jednom godišnje, a u početku, dok Sistem još j oš sazreva, i češće. Kao i proizvod ili proces, i informacija moţe biti nebezbedna i moţe prouzrokovati razne štete, zato obezbeĎenju sigurnosti informacija treba pristupiti sistemski i na nivou drţave proceniti za koje oblasti je neophodno da ovo pitanje bude ureĎeno odgovarajućim propisima. Uspostavljanje nacionalne strategije sigurnosti informacija u tom smislu postaje neminovnost i predstavlja prioritet,
kako za graĎane, tako i za organizacije. Sertifikat ISO 27001 omogućava uspešno i napredno funkcionisanje organizacija.
Faze uvođenja ISO 27001 standarda 1. Inicijalna faza - Cilj prve faze je da obezbedi inicijalno planiranje i pripremu za uvoĎenje standarda. Podrazumeva planiranje i postavljanje fokusa/ciljnih oblasti koje koje treba razmatrati tokom projekta. 2. Snimak stanja i izrada plana realizacije - U ovoj fazi nastupa prikupljanje svih relevantnih
podataka koji se odnose na posmatrane oblasti. Ova faza je ujedno jedna od najvaţnijih, jer se radi o pregledu i popisu stanja i imovine (informacija) zainteresovane organizacije za sertifikaciju. 3. Procena rizika i određivanje prioriteta - IzvoĎenjem sveobuhvatne procene rizika, identifikuju se kritični IT resursi, na osnovu kojih će se odabrati odgovarajuće kontrole za smanjenje rizika. Smart-ova metodologija procene rizika obuhvata dodeljivanje vrednosti identifikovanih resursa (opreme, ljudstva, informacija...) na osnovu stepena vaţnosti, stepena opasnosti, ranjivosti i penetracije/dostupnosti. Nakon identifikacije resursa i stepena vaţnosti, razvija se strategija ublaţavanja rizika i planiranje inputa koji će biti sastavni deo u razvoju IT
politike i uvoĎenja ISO 27001 27001 standarda. 4. Izrada dokumentacije - u ovoj fazi se razvijaju detaljne i funkcionalne bezbednosne procedure, uputstva i IT bezbednosna politika, sve u skladu sa ISO 27001 standardom, zakonom i potrebama klijenta. 5. Primena dokumenata - Primena unapreĎenog programa bezbednosti i postupanje prema uvedenim i napisanim procedurama, uputstvima i politici. 6. Interna provera - Tokom interne provere, tim zaduţen za uvoĎenje standarda ISO 27001 u organizaciji (tzv. interni proverivači), proveravaju poštovanje procedura i postupanje po uputstvima u fazi primene dokumentacije. Tom prilikom utvrĎuju neusaglašenosti. Svrha ove
faze je da se sprovede interna provera kojom će organizacija da preispita primenjen ISO 27001 standard. 7. Definisanje korektivnih mera - Na osnovu utvrĎenih ut vrĎenih neusaglašenosti internih proverivača, Smart-ovi eksperti savetuju organizaciju u pravcu sprovoĎenja korektivnih mera.
Pitanja:
1.
Šta je informacija,u kojim se sve oblicima nalazi?
2. Šta je sigurnost informacija,i koji tipovi napada na informacione sisteme postoje? 3. Koji su tipovi kompjuterskog kriminala,u čemu se sastoje, i kako se mogu podeliti štete nastale
delovanjem “kompjuterskih kriminalaca” ? 4. Koji standard definiše sigurnost informacija,i koji su razlozi njegovog uvoĎenja?
