Poljak Ivan Diplomski Rad 1716

SVEUČILIŠTE U ZAGREBU FAKULTET ELEKTROTEHNIKE I RAČUNARSTVA

DIPLOMSKI RAD br. 1716

Standardna uspostava upravljanja sigurnosti u informacijskim sustavima Ivan Poljak

Zagreb, ožujak 2008.

Zahvaljujem prof. dr. sc. Nikoli Bogunoviću na strpljenju i podršci koju mi je iskazao tijekom izrade ovog rada. Hvala roditeljima na razumijevanju i iskazanoj dobroj volji tijekom svih godina studija. Zahvaljujem prijateljima na korisnim savjetima koji su pridonijeli kvalitetnijem radu. Posebno zahvaljujem Anici na pomoći koju je iskazala u kritičnim trenucima izrade rada.

Mentor: prof. dr. sc. Nikola Bogunović Student: Ivan Poljak Matični broj: 36338429 Datum: 25. ožujak 2008.

Sažetak Sigurnost informacija u nekom sustavu je realnost i potreba. Izgradnja upravljivog sustava sigurnosti je nužnost u poslovnom svijetu, ali sve više i u ostalim organizacijama. Ovaj rad opisuje uspostavu sustava upravljanja sigurnošću informacija (ISMS) na realnom primjeru srednje škole, sukladno preporukama normi ISO/IEC 27001 i ISO/IEC 27002. U radu su istaknuti koraci izgradnje i uspostave sustava upravljanja sigurnošću kao i izvršene pripreme za certificiranje.

i

Sadržaj 1.

Uvod .........................................................................................................1

2.

Općenito o ISMS-u....................................................................................2 2.1. ISO ........................................................................................................2 2.2. ISO/IEC 27001:2005 Sustav upravljanja informatičkom sigurnošću (eng. Information Security Menagment System – ISMS )......................4 2.2.1. Povijest ISO 27001:2005 ...................................................................4 2.2.2. ISMS..................................................................................................6

3.

Primjer uspostave ISMS-a ......................................................................10 3.1. Uvod....................................................................................................10 3.1.1. NKG – Nadbiskupska klasična gimnazija ........................................10 3.2. Uspostava ISMS-a (PDCA model – PLAN) .........................................12 3.2.1. Uvodno o uspostavi ISMS-a ............................................................12 3.3. Analiza informacijskog sustava NKG-a ...............................................13 3.3.1. Sigurnosna politika ..........................................................................14 3.3.2. Organizacija sigurnost .....................................................................15 3.3.3. Upravljanje imovinom ......................................................................17 3.3.4. Sigurnost ljudskog potencijala .........................................................19 3.3.5. Fizička sigurnost ..............................................................................20 3.3.6. Upravljanje komunikacijama i operacijama ......................................21 3.3.7. Kontrola pristupa..............................................................................29 3.3.8. Nabava, razvoj i održavanje informacijskog sustava .......................32 3.3.9. Upravljanje sigurnosnim incidentom ................................................34 3.3.10. 3.3.11.

Upravljanje poslovnim kontinuitetom ........................................35 Sukladnost................................................................................36

ii

3.4. Upravljanje Rizikom.............................................................................37 3.4.1. Procjena rizika .................................................................................37 3.4.2. Metodologija procjene rizika ............................................................38 3.4.3. Klasifikacija podataka – vlasnički aspekt .........................................41 3.5. Probojnost sustava NKG-a ..................................................................42 3.6. Rezultati Analize..................................................................................43 3.7. Smanjivanje i evaluacija rizika.............................................................51 3.8. Izjava o primjenjivosti (engl. Statement of Applicability - SOA) ...........53 4.

Implementacija i rad ISMS-a (PDCA model – DO)..................................66 4.1. Troškovi implementacije ISMS-a .........................................................68 4.2. Mjerenje efikasnosti ISMS-a i upravljanje sustavom ...........................69 4.3. Upravljanje imovinom (resursima) i dokumentacijom ISMS-a .............69

5.

Nadgledanje i kontrola ISMS-a (Check)..................................................70

6.

Održavanje i unapređivanje ISMS-a (eng. Act , Improve) .......................71

7.

Osnovno o dokumentiranju .....................................................................72

8.

Zaključak.................................................................................................77

9.

Literatura.................................................................................................78

Dodatak A:

Dokumenti ISMS-a u Nadbiskupskoj klasičnoj gimnaziji...........80

Dodatak B:

Inventura imovine NKG-a .......................................................105

iii

Popis oznaka i kratica ISMS ISO NKG CARNet OS AD UPS DSL Wi-Fi LAN

Sigurnosno upravljivi informacijski sustav Svjetska organizacija za standardizaciju Nadbiskupska klasična gimnazija Hrvatska akademska i istraživačka mreža Operativni sustav Active Directory Uređaj neprekinutog izvora napajanja (eng. Uninterruptable Power Supply) Digitalna pretplatnička petlja (eng. Digital Subscriber Loop) Bežična mreža (eng. Wireless-Fidelity - IEEE 802.11) Lokalna mreža ili „unutarnja mreža“ (eng. Local area network)

iv

Uvod

1. Uvod Poznavanjem informacija čovjek postaje uspješniji u svom radu i kreativnom stvaranju, sprječava nezgode, loša rješenja i odluke, neutralizira greške, smanjuje utjecaj nepredviđenih situacija. Pravodobna informacija u današnjem svijetu predstavlja pravo zlato, pogotovo u financijskom svijetu. Informacija postaje sredstvo trgovanja. Naravno, kako informacija ima neku vrijednost, ona postaje metom krađa, zloupotrebe, diskreditacije. Kao što nas povijest uči, informacije se moraju čuvati te pohranjivati za buduće naraštaje. Što je informacija? Na početku, koliko god ovaj pojam bio sam po sebi razumljiv, mora imati svoju definiciju. Informacija je podatak s određenim značenjem, odnosno saznanje koje se može prenijeti u bilo kojem obliku (pisanom, audio, vizualnom, elektronskom ili nekom drugom). Da bi se informacije što lakše i jednostavnije obrađivale potrebno ih je na adekvatni način klasificirati, potanko im odrediti svrhu, vrijednost, dostupnost i ostale atribute. U takvom okruženju, razvojem računala, sustavi za upravljanjem informacijama postaju stvarnost i obveza organizacija kojima je informacija srž djelovanja. Takve organizacije su među prvima uvele i pojam informacijske sigurnosti. Taj pojam se ne odnosi isključivo na tehničke mjere zaštite (korisnička imena, zaporke, enkripciju, prava pristupa i sl.), već podrazumijeva i administrativne mjere (sigurnosna politika, pravilnici, procedure) i fizičke mjere (video nadzor, zaštita prostorija, fizička kontrola pristupa). Kako bi informacijski sustav bio zaštićen na pravi način, potrebno je uspješno uskladiti, implementirati i nadzirati sve potrebne mjere zaštite. U današnje vrijeme uspostava sigurnog informacijskog sustava je prepoznata kao potreba pa se razvijaju brojni standardi koji uključuju najbolju praksu i preporuke o upravljanju sigurnosti informacijama. Sama uspostava sigurnog informacijskog sustava tema je ovog rada gdje će se na konkretnom primjeru srednje škole objasniti sama implementacija i rad sustava.

1

Općenito o ISMS-u

2. Općenito o ISMS-u 2.1. ISO ISO – Svjetska organizacija za standardizaciju (eng. International Organization for Standardization ) ISO je mreža nacionalnih organizacija (institucija) za standardizaciju, a uključuje više od 157 zemalja sa sjedištem u Ženevi (Švicarska) gdje se koordinira rad čitavog sustava. Na temeljima Međunarodne elektrotehničke komisije (eng. International Electrotechnical Commission, IEC), osnovane 1906 g., i Međunarodne federacije nacionalnih udruženja za standardizaciju (eng. International Federation of the National Standardizing Associations, ISA),osnovane 1926 g., nakon drugog svjetskog rata 1946 g., u Londonu predstavnici 25 zemalja stvaraju novu organizaciju ISO koja započinje s radom 23. veljače 1947. U povijesti ljudskog razvoja uvijek postoje prijelomne godine. Tako je 1987. bila prijelomna u ISO organizaciji. Tehnički komitet ISO 176 kroz višegodišnji rad predstavio je i realizirao sustav normi pod nazivom ISO 9000ff. Osnova tog sustava bila je zaštita kupca i korisnika kroz propisan, implementiran, dokumentiran i redovito analiziran sustav za upravljanje kvalitetom u kojem je bila integrirana i klasična služba kontrole kvalitete proizvoda i usluge bilo koje i bilo kakve organizacije. Kupac i kvalitetan proizvod postaju okosnica daljnjeg razvoja, a ne kao prije količina. Sve je podređeno što kvalitetnijem proizvodu i zadovoljstvu kupca. U ostvarivanju te ideje bilo je potrebno i ostvariti još neke ciljeve koje je ISO TC 176 na kraju implementirao u standard ISO 9000ff : 





Uspostava takvog sustava upravljanja kvalitetom koji će biti unificiran, strogo dokumentiran i jednako primjenljiv za materijalnu i nematerijalnu proizvodnju Postizanje istih početnih uvjeta za sve zainteresirane i maksimalno smanjiti protekcionizam Izjednačavanje tretmana proizvoda i usluga 2

Općenito o ISMS-u 

Osiguranje jedinstveno sustava nadzora, ocjena i procjena sustava kvalitete kroz strogo propisani oblik analize.

Nakon prvih problema i „dječjih bolesti“ napravljena je i prva revizija ISO standarda (1994 g.) danas opće poznata ISO 9001 norma. Pri izradi te norme željeli su se postići sljedeći ciljevi: 

Kompletirati seriju normi (rezultiralo pojavom tzv. križa normi, vidi sliku 1)



Izraditi dodatne norme, upute i smjernice



Izbjegavati nedorečenosti i poboljšati nejasna mjesta



Proširivati područja specijalističkim uputama za druge norme



Unificirati nazivlja i definicije

Slika 1 Križ normi

3

Općenito o ISMS-u

2.2. ISO/IEC 27001:2005 Sustav upravljanja informatičkom sigurnošću (eng. Information Security Menagment System – ISMS ) 2.2.1. Povijest ISO 27001:2005 U zadnjih desetak godina, kada u svijetu doživljavamo veliku ekspanziju Interneta i primjenu istog na većinu poslovnih procesa, nužno je razmišljati i o sigurnosnim aspektima informatičkog sustava. Velike i nagle promjene na tržištu kapitala zahtijevaju vrlo fleksibilne sustave. Kako to obično biva neke nacionalne organizacije za standardizaciju znaju izaći sa svojim prijedlozima. Konkretno, Velika Britanija je zbog svojih potreba već 1995. donijela prvu verziju standarda BS 7799, koji se mijenjao 1999./2000., 2002. i 2005. ISO kao krovna organizacija većinu standarda preuzela je iz britanskog modela. Danas se još uvijek, unatoč postojanju ISO standarda, u razgovorima može čuti o BS 7799 kao začetku sigurnosnih pravila i procedura. (vidi sliku 2) ISO 27001:2005 usvojen je kao međunarodna norma 15.10.2005.

Slika 2. Povijest ISO 27001 i ISO 27002 standarda 4

Općenito o ISMS-u ISO/IEC 27001:2005 pripremila je zajednička komisija Joint Technical Committee ISO/IEC JTC 1, Information Technology, Subcommittee SC 27, IT Security tehniques. Uz ISO 27001 standard spominje se i ISO 27002:2007 (prijašnji naziv ISO 17799:2005) kao skup preporuka i smjernica izrađen prema najboljoj praksi. ISO 27001 kao krovni dokument sadrži popis zahtjeva obaveznih za certifikaciju i direktno se referencira na ISO 27002 kao skup smjernica i kontrola za realizaciju sigurnosti. ISO 27001 pripremljen je na način da se odlično integri ra sa poslovnim procesima organizacije i već postojećim standardima ISO 9001 i ISO 14001 te kroz prizmu poslovne opravdanosti upravlja procesima informacijske sigurnosti u organizaciji. Ovaj standard je vrlo dobro prihvaćen jer osigurava fleksibilnost, definira upravljački okvir, a ne zadire u konkretnu tehničku implementaciju, što ga čini primjenjivim u različitim organizacijama. ISO 27001 standard je prvi u porodici ISO 27000. Popis standarda vezanih uz problematiku zaštite i sigurnosti informacijskog sustava koji su već doneseni ili su planirani u narednom razdoblju jesu: 





ISO 27000 – Rječnik termina koji se koriste unutar ISO 27000 serije standarda ISO 27001:2005 – Sustav upravljanja informatičkom sigurnošću (ISMS) ISO 27002:2007– Kodeks postupaka za upravljanje informacijskom sigurnošću



ISO 27003 – Vodič za implementaciju ISMS-a



ISO 27004 – Mjerenje i metrika efikasnosti sustava informacijske sigurnosti



ISO 27005 – Upravljanje rizicima informacijske sigurnosti (baziran na BS 7799-3)



ISO 27006:2007 – Zahtjevi za postupkom analize i certificiranja standarda



ISO 27007 – Upute za analizu ISMS-a







ISO 27011 – Upute za uspostavu ISMS u telekomunikacijskom sektoru ISO 27031 – Specifikacije za ICT odjel pripremljenosti poslovne neprekinutosti rada ISO 27032 – Upute za cyber- sigurnost 5

Općenito o ISMS-u 

ISO 27033 – Upute za mrežnu sigurnost



ISO 27034 – Upute za sigurnost aplikacija



ISO 27799 – Sigurnosni sustav u zdravstvu

2.2.2. ISMS Norma ISO/IEC 27001:2005 opisuje proces uvođenja sustava upravljanja sigurnošću informacija (engl. Information Security Management System (ISMS)). Takav proces pruža sistematski pristup upravljanju osjetljivim informacijama s ciljem očuvanja njihove sigurnosti. Informacijska sigurnost je zaštita bilo kakvih informacija u svrhu očuvanja: 





povjerljivosti (eng. Confidentiality) – osiguranje da je informacija dostupna samo onima koji imaju ovlašteni pristup istoj, integriteta (eng. Integrity) – zaštita postojanja, točnosti i kompletnosti informacije kao i procesnih metoda, raspoloživosti (eng. Availability) – osiguranje da autorizirani korisnici imaju mogućnost pristupa informaciji i pripadajućim sredstvima kada se usluga zahtijeva.

Radi što lakše zaštite informacije, evidentiranja ranjivosti, gore navedenih svojstava, u organizacijama se pristupa stvaranju sustava kojim bi se moglo na što jednostavniji način rješavati sigurnosni problemi. Takav sustav bi sadržavao uravnoteženi skup sigurnosnih mjera: sigurnosnih provjera osoblja, fizičke sigurnosti, sigurnosti podataka, sigurnosti informacijskih sustava te koordiniranog uvođenja formalnih procedura poput procjene rizika, certifikacije osoblja i uređaja, kao i akreditacije tehničkih sustava za primjenu u određenom segmentu poslovnog i svakog drugog procesa. Uravnoteženost i koordinacija takvih bitnih mjera i postupaka postižu se organizacijom i upravljanjem informacijskom sigurnošću. ISO 27001 jest takav standard koji sadrži strukturirani set smjernica i specifikacija za pomoć organizacijama u razvoju sustava upravljanja informacijskom sigurnošću. Implementacijom ISO 27001 standarda organizacija osigurava zaštitu svojih informacija korištenjem kontrola koje su prihvaćene u najvećim i najuspješnijim poslovnim sustavima. 6

Općenito o ISMS-u ISO 27001 standard uključuje zahtjev za identificiranje postojećih i budućih zakona i propisa koji direktno utječu na posao koji obavljamo i na način na koji ga obavljamo. Time se osigurava usklađenost operacija unutar organizacije s važećom regulativom i kontinuirani rad na sigurnosti. Sam standard tu kontinuiranost prikazuje preko PDCA modela (eng. Plan-DoCheck-Act). Ovaj model ističe važnost pažljivog planiranja programa uspostave sustava, što rezultira efikasnim mjerama za njegovo trajno poboljšanje i pravilnu uporabu. PDCA model je prikazan na slici 3 i 4.

Slika 3. Procesni pristup PDCA modela Uspostavljanje ISMS-a (eng. Plan) Uspostavljanje ISMS politike, ciljeva, procesa i procedura važnih za upravljanje rizikom i povećanje informacijske sigurnosti kako bi dali rezultate u skladu s ukupnom politikom i ciljevima organizacije Implementacija i pokretanje ISMS-a (eng. Do) Implementiranje i pokretanje ISMS politike, kontrola i procedura Nadgledanje i kontrola ISMS-a (eng. Check) Procjena i gdje je primjenjivo, mjerenje performansi procesa u odnosu na ISMS politiku, ciljeve i praktično iskustvo te izvještavanje uprave o rezultatima. Održavanje i unapređivanje ISMS-a (Act , Improve) Izvođenje korektivnih i preventivnih akcija zasnivanih na rezultatima ISMS-a procjene, analize (eng. audit), procjeni uprave i ostalim bitnim informacijama, kako bi se ISMS kontinuirano usavršavao.

7

Općenito o ISMS-u

Slika 4 - PDCA model Standard ne podrazumijeva implementirane ostale standarde iz ISO porodice, ali u svakom slučaju pojednostavnjuje i ubrzava uspostavu ako neka implementacija već postoji. To se posebno odnosi na sustav upravljanja dokumentima koji je sastavni dio svih ISO standarda. Početak implementacije podrazumijeva odluku tijela uprave organizacije o samom početku implementacije takvog sustava. Daljnja procedura je dana na slici 5 koja prikazuje ISMS opseg (eng. Framework ISMS-a) implementacije. Sigurnosni opseg, može pokriti bilo pojedine odjele organizacije, bilo cjelokupnu organizaciju.

8

Općenito o ISMS-u Kako se standardi ISO 27001 i ISO 27002 međusobno nadopunjuju, tako je za određivanje propusta i ugroza najbolje koristiti sadržajne cjeline ISO standarda 27002 međutim naravno dozvoljene su ostale metode. Standard ISO 27002 se sastoji od 11 područja, 39 kontrolnih ciljeva i ukupno 133 kontrola tj. mjera zaštite koje pomažu u identifikaciji, upravljanju i smanjenju cijelog niza prijetnji kojima su informacije svakodnevno izložene. Popis područja koja su obuhvaćena standardom ISO 27002: 



Sigurnosna politika Organizacija informacijske sigurnosti



Upravljanje imovinom



Sigurnost ljudskog potencijala



Fizička zaštita i sigurnost okruženja



Upravljanje komunikacijama i operacijama



Kontrola pristupa



Nabava, razvoj i održavanje informacijskog sustava



Upravljanje sigurnosnim incidentom



Upravljanje kontinuitetom poslovanja



Sukladnost

Provjera usklađenosti nekog sustava je dana na kraju standarda ISO 27001 u obliku kontrolnih ciljeva i postavljenih zadataka provjere (poglavlje Annex A). Dodatak je tablica s cjelina iz ISO 27002 standarda i u kratkim crtama je opisano koji su to potrebne akcije nužne za provedbu samog certificiranja dotičnog standarda, a time i sukladnosti istog. Detaljnija objašnjenja i sam postupak certificiranja su određeni standardom ISO 27006:2007.

9

Primjer uspostave ISMS-a

3. Primjer uspostave ISMS-a 3.1. Uvod Na konkretnom primjeru srednje škole, objasnit će se sama implementacija i rad informacijskog sigurnosnog sustava. Riječ je o Nadbiskupskoj klasičnoj gimnaziji (kraće NKG). Škola je jedinstvena u Republici Hrvatskoj jer jedina ima astronomski laboratorij ili kupolu s teleskopom. Dugo vremena škola je informatički bila van svih tokova, ali upravo školske godine 2002./2003. dobivanjem sredstava za obnovu (donacija katoličke udruge iz inozemstva), dobivanje statusa pridružene članice CARNet-a, započela je razdoblje informatičkog prosvjetljenja. Obnovom kupole, modernizacijom teleskopa, započinje informatička era te škole. Uspostavljena je računalna infrastruktura koje bi se mogle postidjeti i manje tvrtke. Cilj ovog diplomskog rada je uspostaviti ISMS u NKG-u. Dogovorena je podrška i suradnja škole. Školi nije bio cilj certificiran sustav, koliko zaštita podataka, dokumentiranost sustava i uspostavljen nadzor računalne mreže. Rješenje školskih interesa je pronađeno u uspostavi ISMS-a.

3.1.1.NKG – Nadbiskupska klasična gimnazija Nadbiskupska klasična gimnazija započela je svoje djelovanje 1920. s adresom na Kaptolu br. 29. Kad je dobrotom i marom nadbiskupa Bauera i biskupa Akšamovića dovršena gradnja impozantnog kompleksa na Šalati, gimnazija je promijenila adresu i od te davne 1928. do danas, nalazi se u Voćarskoj cesti br. 106. U početku, jer je tako i zamišljena, ova je gimnazija odgajala i obrazovala buduće svećenike. Ustrajala je i održala se u teškim danima rata i poraća. U komunizmu je, makar bez prava javnosti, čuvala i prenosila poruku ljubavi i znanja. S hrvatskom samostalnošću vraća joj se pravo javnosti, a ona zauzvrat otvara vrata svim mladićima, kasnije i djevojkama, znanju,antičkom i kršćanskom duhu. Ove su tri vrijednosti temelj europske kulture i po njima je Nadbiskupska klasična gimnazija škola za novo doba. Danas škola broji četiristotinjak učenika i 10


učenica te pedesetak profesora i profesorica. Školska je baština bogata: od osnivača naslijeđen je duh vjere, ufanja i ljubavi; od prethodnika upornost, mudrost i znanje. Raskošan prostor u zelenilu pod zvjezdarnicom, a nadomak centru grada Zagreba uči mnoge gimnazijalce skladu prirode i čovjeka. Nadbiskupska gimnazija ima klasični obrazovni program. To znači da su kroz sve četiri godine obavezni predmeti latinski i grčki jezik s književnošću. Osim učenika početnika, onih koji se nikad nisu susreli s tim jezicima, primaju se i učenici nastavljači koji su u osnovnoj školi već učili klasične jezike. Škola daje širok uvid u početak i razvoj ljudskih misli, temelje mnogih prirodnih i društvenih znanosti. Time klasična naobrazba osigurava i upis na mnoge fakultete. Neke važne godine u povijesti NKG-a: 

1920. osnivanje NKG



1928. preseljenje na Šalatu, Voćarska cesta , uspostava Zvjezdarnice



1991. godine postaje škola s pravom javnosti



2002. godine postaje pridružena članica CARNet-a.



2003. godine obnavlja se Zvjezdarnica, Informatička učionica - početak e-revolucije u školi.



2004. godine dozvoljen upis djevojka u školu.



2004. godine postaje punopravna članica CARNet-a.

11


3.2. Uspostava ISMS-a (PDCA model – PLAN) 3.2.1.Uvodno o uspostavi ISMS-a PDCA model podrazumijeva sljedeće korake unutar ove faze: 1. Podrška uprave Implementacija bilo kojeg efikasnog sustava upravljanja zahtjeva činjenicu da uprava u potpunosti razumije korisnost uvođenja sustava, da podrži njegovo uvođenje, da je svjesna mogućih problema i prepreka koje se mogu pojaviti. U svrhu uspješno ispunjenih ciljeva i zahtjeva informacijske sigurnosti, važno je da izvršno tijelo organizacije preuzme inicijativu u promicanju informacijske sigurnosti. 2. Definiranje opsega sustava upravljanja sigurnošću informacija Drugi korak je definiranje područja koje će pokrivati implementirani sustav upravljanja sigurnošću informacija. Područje opsega sustava upravljanja sigurnošću informacija pokriva sve one domene za koje organizacija smatra da trebaju adekvatnu informacijsku zaštitu. 3. Kreiranje dokumenta sigurnosne politike Dokument sigurnosne politike je potpisan od strane uprave organizacije, te prezentiran svim zaposlenicima. Namjena dokumenta je iskazivanje potpune potpore poslovodstva uvođenju sustava upravljanja sigurnošću informacija. Dokumentom se nedvojbeno izražava politika organizacije da ce osigurati tajnost informacija, štititi njihov integritet, te osigurat njegova dostupnost samo autoriziranim korisnicima. Svi drugi relevantni dokumenti, pravne i zakonske odredbe od specifične važnosti za organizaciju, kao i ostali dokumenti sigurnosne politike namijenjene određenim aspektima informacijskog sustava, trebaju biti navedeni u krovnom dokumentu sigurnosne politike. 4. Kreiranje strukture sigurnosne organizacije Organizacija mora uspostaviti upravljačku strukturu za provedbu mjera i strategija sustava upravljanja sigurnošću informacija. Struktura se brine za 12


provedbu, kreiranje i održavanje ažurnosti sigurnosnih politika, kao i relevantnih standarda, procedura i planova. S astoji se od razli čitih tijela i timova zaduženih za specifične sigurnosne aspekte. 5. Izvođenje procjene rizika U odluci o tome koje je informacijske resurse potrebno zaštititi, nužno je provesti detaljnu analizu organizacije u cilju utvrđivanja lokacije, načina postupanja i odgovornosti za pojedine informacijske resurse. Informacijski resursi svakog dijela organizacije trebaju se klasificirati unutar aspekata tajnosti, integriteta i dostupnosti. 6. Odabir sigurnosnih kontrola Preporučuje se upotreba samo onih kontrola koje su u procesu analize rizika identificirane kao nužne za primjenu. Nakon odabira sigurnosnih kontrola, specifične sigurnosne politike definiraju se za svaku pojedinu kontrolu, kako bi se osigurala željena razina sigurnosti. Preporuke i procedure za implementaciju sigurnosnih politika specificiraju se u posebnoj dokumentaciji o implementaciji sigurnosne politike, te se sama implementacija mjera definiranih politikama provodi u fazi održavanja i nadgledanja PDCA ciklusa (eng. Act). 7. Kreiranje Izjave o primjenjivosti Standard ISO/IEC 27001 zahtijeva postojanje dokumenta zvanog Izjava o primjenjivosti (engl. Statement Of Applicability, SoA), koji sadrži popis sigurnosnih kontrola s objašnjenjima zašto su pojedine kontrole uključene odnosno isključene iz sustava. Norma podrazumijeva da je opseg sustava upravljanja sigurnošću informacija specifičan za svaku pojedinu organizaciju i samim tim je opravdano isključivanje pojedinih kontrola iz sustava.

3.3. Analiza informacijskog sustava NKG-a Analiza informacijskog sustava se vrši po poglavljima iz ISO 27002 standarda. Na početku svakog poglavlja dane su opće informacije o samom poglavlju radi lakšeg praćenja analize. Sama analiza je potrebna radi lakšeg detektiranja propusta i ranjivosti sustava, tj. određivanja rizika. Određene pretpostavke, tj. dokumenti koji se podrazumijevaju, a dio su plana uspostave ISMS-a nisu 13


ispunjeni. Ovdje se prvenstveno misli na pisani trag podrške uprave i kreiranja sigurnosne strukture organizacije. U jednoj ustanovi kao što je škola teško je definirati i kreirati sigurnosnu strukturu kada je broj ljudi uključenih u sigurnosni proces vrlo mali (1-2 osobe). Dokument o podršci uspostave sigurnosnog sustava nije napravljen iako je usmeno podrška istaknuta.

3.3.1.Sigurnosna politika Općenito

U ovo područje spadaju svi relevantni dokumenti iz područja upravljanja informatičkog sustava. Naglasak je prvenstveno na sigurnosnim procedurama i radnim akcijama te njihovoj dokumentiranosti, pristupu istima, pohrani. Opažanja

Nadbiskupska klasična gimnazija je članica CARNet-a i kao takva podliježe određenim preporukama sigurnosne politike te ih je dužna i provoditi unutar ustanove. Sama provedba je u ovoj ustanovi malo zakazala. Sigurnosna politika i dokumenti su preuzeti od strane CARNet-a. Dokumenti koje je CARNet proslijedio svim svojim članicama služili su samo kao osnova da svaka članica tj. ustanova prilagodi svojim potrebama. NKG je veći dio dokumenata prilagodio i pridržavao se istih, međutim određene dokumenti vezani uz sigurnost i opću organiziranost ustanove nedostaju. Ovdje se prvenstveno misli na korištenje usluga treće strane, samog pristupa i nadzora dokumenata, njihovo skladištenje. U praksi se nedostatka takvih procedura i dokumenata reflektiralo u neuskladištenju dokumenata, nenadziranju pristupa istima itd. Ukratko dokumentima koji i postoje ne pridaje se neka važnost. Neki od tih dokumenata su bili u primjeni, a neki samo djelomično (Pravilnik o rješavanju sigurnosnih incidenata i Pravilnik o upravljanju povjerljivim informacijama). Suradnja CARNet-a i NKG je vrlo dobra. Upozorenja o sigurnosnim propustima su promptno primjenjivana. 14


Problemi sustava su: 





Nedostatak osnovnih parametara za postizanje sukladnosti s ISO standardom (izrada, revizije, skladištenje, pristup dokumentima) Za „treće osobe“ nema odgovarajućih smjernica kao ni pokazatelja vrednovanja u izvršavanju svojih usluga. Nedostatak pravilnika o ponašanju korisnika (profesora, učenika, drugog osoblja) kao i njegovo usklađivanje s statutom škole. Naravno u nedostatku takvog pravilnika koristi se odredbe statuta škole o ponašanju učenika i profesora koje u današnje vrijeme nisu dovoljne.



Nedostatak pravilnika o klasifikaciji informacija i dokumenata vezanih uz školu. Na načelnoj razini ovaj dio je preuzet u sklopu CARNet-ovih dokumenata, međutim nedostaju smjernice same škole o informacijama.

Preporuke

Izrada i promjena nedostajuće dokumentacije. Izrada sustava dokumentiranosti radi lakšeg praćenja, arhiviranja i izrade dokumenta.

3.3.2.Organizacija sigurnost Općenito

U ovom području potrebno je imati dokumentaciju vezanu uz samu organizacijsku strukturu ustanove, tj. potrebno je imati upravljačku strukturu za pokretanje i kontrolu primjene informacijske sigurnosti, imati jasne upute o imenovanjima obvezama i odgovornosti pojedinih djelatnika u sigurnosnom lancu odlučivanja. Opažanja

U NKG sama struktura organizacije je definirana u sklopu statuta škole (vidi sliku 6).

15


Slika 6 Organizacijska struktura NKG-a Također u sklopu samog dokumenta sigurnosne politike definirani su odnosi između razina odlučivanja i donošenja pojedinih sigurnosnih odluka. Najveći problem u cijelom lancu je needuciranost ravnatelja o sigurnosnim problemima informacijskog sustava. Očit je izostanak dokumenata iz ovog područja. Dokumenti vezani uz vanjske suradnike i „treće osobe“ trenutno ne predstavljaju problem međutim ovo područje može biti problematično u budućnosti, zbog sve većeg obima korištenja teleskopa u edukacijske svrhe, velike fluktuacije ljudi, daljnje obnove školskog prostora. IT odjel koji je zadužen za sigurnost trenutno se sastoji samo od IT administratora. U raznim incidentnim situacijama administratoru pomažu kolege profesori nastave informatike i astronomije. Preporuke

Sadašnje stanje trebalo bi doraditi u obliku jasnije i eksplicitnijeg određivanja nadležnosti u sustavu odlučivanja. Potrebno je izraditi sporazume o povjerljivosti s djelatnicima koji su zaduženi u provedbi informacijske sigurnosti. Jasnije odrediti granice i prava pristupa informacijama vanjskim suradnicima i „trećim osobama“. Izraditi dokumente vezane uz vanjske suradnike i „treće osobe“, npr. Izjava o čuvanju povjerljivih informacija, Ugovora o načinu rada vanjskih suradnika i „ trećih osoba“ unutar ustanove. Vrednovanje izvršenih usluga vanjskih 16


suradnika ili „trećih osoba“ prepušta se da potankom objašnjenju unutar ugovora ili nekog drugog oblika dokumenata, bilo pravilnika, procedure ili radne akcije vezane uz pojedini projekt. Potrebna je izrada dokumenata vezanih uz nezavisnu provjeru informacijske sigurnosti.

3.3.3.Upravljanje imovinom Općenito

Imovina ili resurs je sve što ima bilo kakvu vrijednost za organizaciju, poslovne operacije ili njihov kontinuitet. Cilj je postizanje i održavanje zaštite imovine ustanove. Potanko odrediti svu imovinu i imenovati vlasnike i korisnike. Izrađuje se inventar imovine unutar opsega ISMS-a, kao i procjena vrijednosti iste. Određuje se odgovornost za održavanje imovine preko predviđenih kontrola. Potanko se određuje sigurnosna klasifikacija imovine (vidi tablicu 1) i dodjeljuju pristupna prava istima. Kategorija

Opis Informacije predstavljaju najvažniji tip resursa koji je potrebno zaštititi bez

Informacija

obzira u kojem se obliku nalazi, npr. baze podataka, podatkovne datoteke, dokumentacija o sustavu , ugovori, priručnici, smjernice, planovi kontinuiteta, obrazovni materijali i sl.

Procesi i usluge uključuju poslovne procese, aplikacijske aktivnosti, Procesi i usluge operativne usluge, komunikacijske usluge i ostale usluge koje omogućuju procesiranje informacija, npr. grijanje, rasvjeta, struja i sl. Programska podrška

Programska oprema uključuje aplikacijske programe, sustavske programe, razvojne alate,pomoćne aplikacije i sl.

Sklopovlje

Uključuje računala, komunikacijsku opremu, medije (papire, CD-ove, diskove), tehničku opremu (izvore napona, klimatizaciju) i sl.

Ljudi

U ovu kategoriju spada osoblje, klijenti, korisnici usluga i svi ostali koji imaju bilo kakvu ulogu u pohrani i procesiranju informacija.

Lokacija

Ova kategorija podrazumijeva sam smještaj svih gore navedenih kategorija, pogotovo ako se ustanova sastoji od više zgrada na različitim lokacijama

Tablica 1 - Kategorizacija imovine 17


Opažanja

Jedan od važnijih zadataka uspostave ISMS-a je inventura imovine. NKG do sada nije imao napravljenu inventuru. Kako je ovo nužan preduvjet bilo kakvog razgovora o sigurnosti, sukladno tome je utrošeno i najviše vremena na ovaj posao. Naime o kvalitetnoj klasifikaciji imovine kao i određivanju veza među pojedinih resursa ovisi određivanje rizika informacijskog sustava kao centralnog dijela sustava. Preporuke

Primjer dokumenta o inventuri NKG-a, kao i klasifikacija te imovine nalazi se u prilogu, Dodatak B. U dokumentu se nisu posebno isticale tehničke karakteristike imovine. Taj dio je napravljen automatski u sklopu procesa automatskog prepoznavanja računala i popunjavanja GLPI baze podataka Potrebno je također definirati održavanje popisa imovine (resursa), tj. vremenski odrediti provjeru. U sklopu inventure potrebno je odrediti vlasništvo imovine. Kako se ovdje radi o školi, vlasnik svih resursa je škola i taj se dio podrazumijeva, međutim pod ovim terminom će se kasnije u tekstu upotrebljavati naziv onog korisnika koji neposredno radi s imovinom i kojemu se indirektno ili direktno nameće briga o toj imovini. U sklopu inventure određuje se i klasifikacija informacija. Ovo područje je određeno u sklopu preuzete CARNet-ove politike, međutim nedostaje primjena te klasifikacije na školske informacije. Na žalost, u ovom dijelu je vrlo teško bilo odrediti i klasificirati školske informacije, jer su sve informacije bile klasificirane po principu Važno / Nevažno. Daljnje ulaženje u samu bit tih informacija bi zahtijevalo daleko dublji ulazak u školsku problematiku, što trenutno nema smisla. Zbog toga se, u kasnijem poglavlju kod određivanja rizika, može uočiti neizdvajanje pojedinih informacija nego se one grupiraju po principu funkcije koju određeni korisnik izvršava i na temelju ukupne vrijednosti sigurnosnih atributa resursa.

18


3.3.4.Sigurnost ljudskog potencijala Općenito

Ovo poglavlje služi za definiranje, razumijevanje odgovornosti te provjeru podobnosti za izvršenje posla i namjena je smanjenju rizika od krađe, prijevare ili zloupotrebe opreme. Ukratko ovo poglavlje je orijentirano prema prijetnjama samih korisnika sustava (eng. insider) odnosno sve većim problemima krađe informacija unutar ustanove radi ostvarivanja osobne dobiti. Opažanja

Sigurnosna politika dobivena od strane CARNet-a se djelomično provodi u praksi. Naime pojedine odrednice o čuvanju informacija o ustanovi nigdje nisu evidentirane u obliku dokumenta koji su zaposlenici trebali svojim potpisom prihvatiti. Isto tako ne postoji niti definirane kazne ili sankcije za ne pridržavanje sigurnosnih načela, osim onih potanko objašnjenih unutar statuta. Naime iako se većina zaposlenika pridržava sigurnosnih načela, nedostatak pravila se očituje u radu s učenicima koji vole istraživati granice nedozvoljenog ponašanja. Odgovornost ovom području je prvenstveno na ravnatelju, needuciranosti profesora, a timeui učenika. Sigurnosnih pravila ili provjera u obliku dokumenta, prilikom zaposlenja profesora u školi nema. Edukacija profesora, učenika i ostalog osoblja vezano uz sigurnost se ne provodi. Preporuke

Potrebna je izrada dokumenta koji bi na jedan jednostavniji način potaknuli profesore , učenike i ostale zaposlenike škole na pridržavanje pravila vezanih uz sigurnost. Potrebna je izrada dokumenta sigurnosne provjere vezane uz zapošljavanje profesora, a pogotovo djelatnika u IT odjelu. Izrada planova edukacije korisnika sustava. Unutar dokumenta Sigurnosna politika NKG-a nalazi se klasifikacija korisnika sustava. 19


Poboljšanje dokumenata vezanih uz prestanak ili promjenu zaposlenja djelatnika iz škole, prvenstveno se ovdje misli o ukidanju prava pristupa.

3.3.5.Fizička sigurnost Općenito

Sprečavanje neovlaštenog fizičkog pristupa, oštećenja, ometanje prostora i informacija organizacije. Potrebno je voditi računa o zaštiti od prirodnih prijetnji, npr. požara, poplave ili potresa. Oprema bi trebala biti smještena u prostoru zaštićenom od krađe, vandalizma, prašine, kemijskih efekata, elektromagnetske radijacije i sl. Pomoćna oprema poput grijanja, ventilacije, klimatizacije, vodovoda i sl. treba odgovarati sustavu za koji je predviđena. Svi kablovi trebaju biti zaštićeni od oštećenja. Opremu je potrebno servisirati i održavati u planiranim intervalima kako bi se smanjio rizik od kvarova. Pružena zaštita trebala bi biti proporcionalna definiranim rizicima. Opažanja Poslužitelji kao centralne jedinice su smještene na 5. katu zgrade škole u prostoru zvjezdarnice. Većina poslužitelja i komunikacijske opreme smješteno je unutar računalnog ormara. Dva poslužitelja su izvan ormara i kao takvi predstavljaju rizik (mogućnost požara, krađe, poplava). Naime iako je prostor na 5. katu, fizički je krađa teško izvediva ali mogućnost postoji. Video nadzor škole ili samo ovog prostora ne postoji. Najveća opasnost dakako najviše prijeti od vatre i poplave. Protupožarni aparat ne postoji unutar prostorije niti se nalazi u neposrednoj blizini. Poplava prijeti od pucanja cijevi centralnog grijanja ili od mogućnosti prokišnjavanja iz same astronomske kupole. Iako je takva mogućnost mala zbog nedavne obnove, ne smije se zanemariti. Posebne evidencije oko pristupa tom prostoru nema jer se taj prostor koristi i u edukacijske svrhe (nastava, tečajevi itd.) i velika je fluktuacija učenika i profesora.

20


Kat ispod nalazi se informatička učionica gdje se nalazi najveći dio ostale računalne opreme. Toj učionici pristup je ograničen samo za vrijeme nastave i samo profesori informatike imaju ključeve dotične učionice. Protupožarni aparat također ne postoji unutar prostorije ili u neposrednoj blizini. Mrežna oprema se također nalazi unutar računalnog ormara smještenog u samoj učionici. Ostala oprema je raspoređena po ostalim katovima. Mrežni kablovi se nalaze u odgovarajućim kanalima. Škola ima protupožarni certifikat. U sklopu ovog područja detektiran je nedostatak sljedećih dokumenta: 

Dokumenti vezani uz ekološko zbrinjavanje računalnog otpada.



Dokumenti za održavanje opreme



Dokumenti iznošenja i korištenja opreme izvan škole.



Vođenje evidencije pristupa u pojedine prostore, prvenstveno se ovdje misli na učionice informatike i astronomije.

Preporuke

Potrebno je postaviti protupožarne aparate u školi, a naročito u prostoru zvjezdarnice i informatike. Zbog starosti centralnog grijanja potrebno je učestalo provjeravanje cijevi, osim u prostoru zvjezdarnice gdje je nedavno postavljena nova instalacija. Potrebna izrada nedostajuću dokumentacije.

3.3.6.Upravljanje komunikacijama i operacijama Općenito

Slijede dva najkompleksnija područja. Ona zadiru u samu srž ISMS-a. Naime u sklopu ovog područja osigurava se ispravan i siguran rad opreme za obradu informacije kao i sam protok informacija i njena zaštita, skladištenje i uništavanje.

21


Ovo područje je po ISO 27002 standardu podijeljeno na 10 potkategorija: 

Operativne procedure i odgovornosti Opisuje se važnost i način dokumentiranja operativnih procedura. Sve dokumentirane procedure trebaju biti dostupne korisnicima koji ih trebaju. Sve promjene u informacijskom sustavu trebaju biti identificirane kako bi se njima moglo sustavno upravljati.



Upravljanje uslugama treće strane Implementirati i održavati sigurnosne mjere kako bi se osigurala sigurnost usluga koje pruža „treća osoba“.



Planiranje i prihvaćanje sustava Minimizirati rizik od pogrešaka u sustavu. Planiranje i pripremanje je potrebno kako bi se osigurala raspoloživost sustava i zadovoljavanje odgovarajućih performansi sustava.



Zaštita od malicioznog i mobilnog koda Mjere opreza su nužne u zaštititi integriteta programske opreme i informacija. Programska oprema i informacije su osjetljivi na umetanje zloćudnog koda poput virusa, crvi, trojanskih konja i sl.



Sigurnosne kopije U zaštititi integriteta i raspoloživosti informacija potrebno je redovito izrađivati sigurnosne kopije. Potrebno je utemeljiti procedure u kojima ce se definirati strategija izrade sigurnosnih kopija, frekvencija izrade kopija, načini testiranja kopija i sl.



Upravljanje mrežnom sigurnošću Osigurati i zaštiti informacije u mrežama, kao i pripadne mrežne infrastrukture.



Rukovanje medijima Kontrola svih vrsta medija i fizička zaštita. Nakon što mediji više nisu potrebni organizaciji preporuča se njihovo uništenje. Poželjno je utemeljiti procedure za odlaganje medija. Sva sustavska dokumentacija također treba biti zaštićena od neovlaštenog pristupa. 22

Primjer uspostave ISMS-a 

Razmjena informacija Omogućiti sigurnu razmjenu informacija i programa unutar organizacije ili s nekim vanjskim entitetom. Potrebno je utemeljiti formalne procedure razmjene informacija svim vrstama komunikacijskih kanala.



E-trgovina Informacije uključene u elektroničku trgovinu koje prolaze javnim mrežama trebaju biti zaštićene od neovlaštenih aktivnosti, osporavanja ugovora i neovlaštenog razotkrivanja ili modificiranja.



Nadziranje Sustave je potrebno nadzirati i bilježiti događaje vezane za sigurnost. Datoteke sa zapisima o korištenju sustava i greškama sustava se upotrebljavaju kako bi se identificirali problemi informacijskog sustava. Nadzor sustava služi za provjeru efikasnosti kontrola i verifikaciju usklađenosti s modelom sigurnosne politike. Potrebno je voditi dnevnike o aktivnostima korisnika, iznimkama, sigurnosnim događajima i sl.

Opažanja 

Operativne procedure i odgovornosti

Opaža se problem nedokumentiranosti sustava. Ne postoje operativne procedure tj. radne akcije niti za jedno važnije računalo (poslužitelji), kao ni za implementirane usluge u sustavu, obradu i rukovanje informacijama, sigurnosnim kopijama, uputama u slučaju greške sustava, uputama ponovnog pokretanja sustava, dnevnika sustava i sl. 

Upravljanje uslugama treće strane

Problem nedokumentiranosti sustava i ovdje iskače u prvi plan. CARNet pružatelj usluge Interneta zahtijeva od svojih članica da imenuju odgovornu osobu koja će ujedno biti i glavna kontakt osoba. Naime bilo kakvi sigurnosni dopisi i upozorenja dobivena od strane CARNet-a promptno su bila provedena. Komunikacija vezana uz sam odnos sa CARNet-om je odlična. Manjak je jedino nedostatak dokumenata o komunikaciji, izvršenju sigurnosnih zahtjeva. Na godišnjoj razini odgovorna osoba NKG-a izrađuje dokument o radu ustanove, 23


problemima i rješenjima tijekom rada sustava, kao i zadovoljstvo korištenjem usluge koju CARNet pruža. NKG za sada nekom trećem ne pruža nikakve usluge, postoje dakako mogućnosti i indicije oko pružanja astronomskih usluga međutim zbog slabijih financijskih mogućnosti sve je ostalo samo u fazi razmatranja. 

Planiranje i prihvaćanje sustava

Sustav se nije razvijao na temelju plana nego se računalna mreža razvijala po principu potreba. Takav pristup se primjenjuje i danas, a glavni uzrok tome su nedostatak sredstava. Naime često se dešava da ravnatelj dozvoljava postavljanje računala na mjesta gdje ne postoje tehnički preduvjeti. Tada se hitno stvaraju preduvjeti, najčešće samo mrežna utičnica, ali bilo je primjera da nisu zadovoljavajuće i električne instalacije. Takav sustav sada je kompleksniji, što se očituje na izradi potrebne dokumentacije vezane uz održavanje, nadzor, oporavak od pogreške, nadogradnju i sl. Uslijed neplanske izgradnje računalne mreže postoji u školi nekoliko mrežnih preklopnika koji bi pravilnim planiranjem bili nepotrebni, a funkcionalnost sustava bi bila na većoj razini 

Zaštita od malicioznog i mobilnog koda

Kao što se može vidjeti iz popisa imovine, škola ima definiranu programsku podršku u obliku korištenja Symantec Corporate Edition Antivirus v.10. Ta aplikacija (eng. software) ima jasno podijeljenu podršku na poslužitelja i klijenta. U sklopu poslužiteljske komponente definiran je i nadzor klijenta. Taj dio zaštite je vrlo dobro odrađen. Manjak se očituje u nedostatku potrebne dokumentacije. Zaštita na Linux poslužiteljima je postavljena u obliku besplatnog anti-virus rješenja Clam, dok je u sklopu e- pošte uključena i anti spam zaštita. 

Sigurnosne kopije

Nad informacijama koje su nužne za sustav, izrađivane su sigurnosne kopije. Izrada je zamišljena da svaki djelatnik vrši svoje arhiviranje, osim knjižničara i računovodstva koji su dužni po službenoj dužnosti vršiti arhiviranje službenih informacija na medij disketu. Izrada sigurnosnih kopija poslužitelja postoji, ali ažuriranost istih je vrlo upitna. Uvidom u arhivu, na nekim poslužiteljima, sigurnosne kopije sustava nisu rađene i po 6 mjeseci. Arhiviranje e-pošte je interno dogovoreno da će se vršiti svaki mjesec, međutim prilikom pregleda 24


ustanovljeno je da su kopije stare i više od 3 mjeseca. Takav način izrade sigurnosnih kopija je neprihvatljiv i nužno ga je potrebno mijenjati. Za sve važnije informacije postoji dupliciranje podataka. Međutim to dupliciranje je na razini dinamičke zaštite. Zbog same strukture windows okruženja, svaki korisnik ima tzv. putujuće postavke (eng. roaming profile). Na taj način se na računalu gdje se korisnik zadnji put prijavio u sustav čuvaju informacije kao i na poslužitelju. Dodatne pohrane tih informacija i podataka nema. 

Upravljanje mrežnom sigurnošću

Osiguranje računalne mreže je izvedeno na više razina. Internetski pristup ostvaren je preko bežičnog prijenosa (eng. Wireless access point), kraće AP.- Dva takva uređaja su u prospojenom režimu rada (eng.bridge mod) između ustanova Prirodoslovno-matematičkog fakulteta, Matematički odjel i NKG-a. Zaštita tih uređaja je klasificirana kao visoka i ona se provodi. Sljedeća razina su poslužitelji koji imaju direktan pristup od strane „vanjske mreže“, filtrirajući promet prema „unutarnjoj mreži“. Zadnja razina su korisnički računi na „unutarnjoj mreži“ i pristup ostaloj mrežnoj opremi. Zaštita i postavke uređaja bežičnog prometa AP su dobro postavljene, nedostaje dokumentacija o tim postavkama, dok je sam pristup preko internih korisničkih računa slabija strana zaštite. Zaštita „unutarnje mreže“ od utjecaja „vanjske mreže“ postavljena je preko dva poslužitelja, koja su postavljena u usmjereni način (eng. router). Poslužitelji nisu spojeni u redundantni režim rada, već djeluje zasebno. Ovo rješenje je zamišljeno da bude redundantno i napravljeno je kao zaštita od ispadanja Interneta, koja se u prošlosti dešavala zbog problema s starijim tvrdim diskovima. Sama izvedba je vrlo upitna. Ispadanje jednog od tih računala drugo preuzima promet na sebe, ali ono ne zadržava i osigurava nastavak sjednica (eng. session). Na oba računala nalazi se operativni sustav Linux, ili kraće Linux. Dokumentiranost postavki ne postoji. Treće računalo koje također koristi Linux ima funkciju poslužitelja baze podataka MySQL i koristi se isključivo u edukativne svrhe i kao takav nije sigurnosni problem. Svi Linux poslužitelji su direktno spojeni na „vanjsku mrežu“. Nema DMZ zone i to stvara problem kod nadzora, nadogradnji OS-a, podešavanja i sl. 25


„Unutarnja mreža“ nema neki poseban nadzor nad korisnicima osim sustava autorizacije koju vrši Windows poslužitelj i imenički sustav (eng. Active Directory ili kraće AD) Svi poslužitelji su podvrgnuti tzv. testu probojnosti (eng. penetration test). Na temelju tog testa će se kasnije i odrediti rizik. Istiće se propust na jednom preklopniku gdje se može s početnim postavkama (Admin/bez lozinke) ući u postavke preklopnika i narušiti njegova funkcionalnost. Cijela računalna mreža izgrađena je na UTP kablovima 5e kategorije. Zbog problema sa dužinom kabla i količinom koja se spušta s petog kata zgrade po cijeloj školi, preporuča se zamjena tih kablova optičkim. Na taj način bi se sigurno poboljšali sigurnosni uvjeti (smanjenje utjecaja električne instalacije) kao i ostali elementi mreže (protočnost, dostupnost, brzina). U sklopu akcije Ministarstva znanosti, obrazovanja i športa „NET u školi“, škola je dobila i DSL priključak na Internet. Trenutno on nije u funkciji, međutim možda bi trebalo razmišljati kao o pričuvnoj varijanti veze prema Internetu. 

Rukovanje medijima

Mediji koji služe za pohranu i arhiviranje nakon uporabe se ne spremaju na fizički zaštićena mjesta i u odgovarajućim uvjetima (vlažnost, temperatura, ne izloženost suncu ili magnetskom polju). Također mediji koji služe za arhiviranje ne obilježavaju se na adekvatan način. Uklanjanje takvih medija ne vrši se na siguran i ekološki prihvatljiv način. Kontrola arhiviranih medija se ne izvršava. Moguće je pokretati s USB promjenljive memorije nepoćudne aplikacije. Nadzor nad korištenjem USB promjenljivih memorija ne postoji. 

Razmjena informacija

Detektiran je nedostatak dokumentacije. Najčešće se razmjena informacija izvodi preko e-pošte. Ovisno o pojedinom korisniku ti zapisi se čuvaju ili brišu. Do sada najviše povjerljivih informacija je bilo vezano uz nadogradnju teleskopa. Unutar projekta HUSOŠ povjerljive informacije škole se prenose u bazu podataka koja je nadzirana od strane CARNeta. CARNet je preuzeo odgovornost o zaštiti podataka. Sam prijenos se vrši preko https pristupa web stranicama aplikaciji koja je napravljena od strane Ministarstvo znanosti, obrazovanja i športa i CARNeta.

26


E-trgovina

Ovo područje je direktno u suprotnosti sa osnovnom djelatnosti škole. U ovom područja jedino je detektirana primjena on-line transakcija koje računovodstvo obavlja sa svojom matičnom bankom. Taj proces bi trebalo dokumentirati jer u njemu nema sigurnosnih propusta, a sam pristup i autorizacija korisnika (računovođe) se vrši preko token uređaja i pametnih kartica. O samoj fizičkoj sigurnosti kartica i uređaja zadužen je računovođa. Nadziranje 

Nadzor se vrši na više mjesta. Za potrebe „unutarnje mreže“ provjera se vrši na windows poslužitelju preko aplikacije pregleda sustava (eng. Event Viewer). Provjeravaju se prvenstveno obavijesti iz sigurnosnog područja (eng. Security) ali i ostale obavijesti vezane uz rad samog poslužitelja. Ta provjera se vrši jednom dnevnom i to najčešće ujutro. Nadzor nad Linux poslužiteljima različit je od windows okruženja. Obavijesti se spremaju u datoteke „logove“. Ti „logovi“ se provjeravaju jednom mjesečno. Svaki od Linux poslužitelja ima svoj sustav „logova“. Provjera „logova“ je vrlo iscrpljujuća zbog nedostatka alata za pregled. Često se dešava da pokušaji upada u sistem ostanu neregistrirani. Detekcija napada za sada je jedino moguća na web poslužitelju i to preko programske podrške za statistiku stranica. Naime u toj statistici se očituju upiti prema datotekama koje se nalaze na poslužitelju samo nisu dio „web strukture“. Zapisi o zastojima, aktivnostima administratora i operatera nema. Preporuke 







Nužna je izrada potrebne dokumentacije. Educirati profesore i učenike o sigurnosnim problemima i pridržavanju postavljenih pravila ponašanja unutar računalne mreže. Pokušati planirati i projektirati buduće zahvate na sustavu. Optimizirati informacijski sustav.

27








Pohrana informacija na diskete kao medij je zastario, poželjna je promjena medija pohrane. Potrebno je u sklopu procedure o klasifikaciji informacija potanko odrediti koje će se informacije pohranjivati i na koji način će se vršiti izrada njihove sigurnosne kopije. Potrebna izrada DMZ-a (demilitarizirane zone), odrediti način nadzora računalne mreže i provođenja nadzora. Ukloniti sigurnosne propuste na poslužiteljima.



Implementirati dodatni windows poslužitelj radi replikacije AD-a.



Bolje implementirati redundantnih postavki na Linux poslužiteljima.















Potrebno obilježavanje medija za pohranu, izrada lista kontrole arhiviranih medija, određivanje samog smještaja medija (posebni ormari za čuvanje) i sl. Nadzor učenika u korištenju USB promjenljivih memorija, pogotovo je kritično pokretanje neželjenih aplikacija. Izrada sustava praćenja, analize i automatskog odlučivanja na poslužiteljima u sklopu nadzora računalne mreže. Dokumentirati upotrijebljene sigurnosne postavke. Promjena svih početnih komponentama sustava.

postavki

autentifikacije

na

mrežnim

Izrada i bilježenje aktivnosti administratora, zastoja sustava. Sinkronizacija satova kod svih odgovarajućih sustava za obradu informacija unutar ustanove.

28


3.3.7.Kontrola pristupa Općenito

Ovo područje sadrži 7 potkategorija. Uz prethodno poglavlje čini okosnicu sigurnosti informacijskog sustava. 

Poslovni zahtjevi kontrole pristupa Kontrola pristupa informacijama u skladu s poslovnim i sigurnosnim zahtjevima. Pravila kontrole pristupa trebaju uzeti u obzir politike autorizacije i pružanja informacija. Potrebno je utemeljiti, dokumentirati i, u određenim vremenskim intervalima, revidirati politiku kontrole pristupa. Kontrole pristupa su logičke, ali i fizičke, te se zajedno razmatraju.



Upravljanje pristupom korisnika Omogućavanje autoriziranog pristupa informacijskom sustavu i sprječavanje neautoriziranog pristupa. Potrebne su formalne procedure za kontrolu prava pristupa informacijskom sustavu i uslugama. Procedure trebaju obrađivati cijeli ciklus pristupa korisnika, počevši od inicijalne registracije novog korisnika do ukidanja prava pristupa. Posebna pozornost posvećuje se kontroli privilegiranih pravai koje korisniku omogućuju promjenu sustavskih kontrola.pristupnih Dodjeljivanje uporaba privilegija treba biti ograničena i kontrolirana. Dodjeljivanje lozinki treba se kontrolirati kroz formalni proces. Uprava revidira korisnička prava pristupa u redovitim intervalima.



Obveze korisnika Korisnici trebaju biti svjesni svojih odgovornosti kako bi se održala učinkovitost pristupnih kontrola. Potrebno je utemeljiti politiku za čuvanja informacija na radnom mjestu kako bi se spriječio neautoriziran pristup informacijama i informacijskim sredstvima. Potrebno je poticati korisnike da slijede dobru sigurnosnu praksu za odabir i uporabu lozinki)



Kontrola pristupa mreži Sprječavanje neovlaštenog pristup mrežnim uslugama. Potrebna je kontrola pristupa, kako unutarnjim, tako i vanjskim mrežnim uslugama. 29


Pristup korisnika mreži i mrežnim uslugama ne smije narušiti sigurnost mrežnih usluga. Potrebno je formulirati politiku za korištenje mreže i mrežnih usluga. 

Kontrola pristupa operacijskim sustavima Sigurnosne kontrole trebaju ograničiti pristup neautoriziranim korisnicima. Te kontrole trebaju imati sljedeće značajke: autentifikacija korisnika u skladu s politikom kontrole pristupa; snimanje uspješnih i neuspješnih pokušaja autentifikacije;    sustavskih privilegija; podizanje alarma u slučaju kršenja sigurnosne politike;čavanje vremena povezivanja korisnika i sl.



Aplikacijska i informacijska kontrola pristupa Sprječavanje neautoriziranog pristupa informacijama koje se nalaze u aplikacijskim sustavima. Pristup informacijama i funkcijama aplikacijskih sustava treba biti ograničen u skladu s politikom kontrole pristupa. Osjetljivi sustavi trebaju biti smješteni u izoliranom okruženju.



Mobilno računarstvo i udaljeni rad Pružanje sigurnosti kod uporabe mobilnih naprava i kod rada na daljinu. Zaštita treba odgovarati rizicima koje ovakav način rada uzrokuje. Kod uporabe mobilnih naprava potrebno je primijeniti odgovarajuće kontrole za zaštitu od rizika rada u udaljenom okruženju.

Opažanja

Active Directory je tijekom ove analize postao jedini imenički servis za cijelu školu. Prije su postojala 3 takva servisa (CARNet AAI, Active Directoy, Mail). Zbog usklađivanja srednjih škola na razini ministarstva je odlučeno da od početka školske godine 2007/2008 započne sa radom baza podataka HUSOŠ koja objedinjuje sve učenike i profesore srednjih i osnovnih škola. CARNetov sustav AAI će se dalje primjenjivati samo za visoko školstvo. Zbog ove odluke i zbog želje za jedinstvenim korisničkim računom odlučeno je u školi imati samo jedan korisnički servis tj. AD ili Active Directory. Naravno, ova odluka je donesena na razini IT odjela i, na žalost, ne postoji pisani trag odluke. Korisnici mogu također 30


koristiti i CARNetov korisnički račun (HUSOŠ bazu) te na taj način koristiti usluge CARNeta. AD je imenički servis u kojem se nalaze podaci o svim korisnicima sustava (prvenstveno se ovdje misli o korisničkom imenu i lozinki). Politika oko kreiranja korisničkih imena i lozinki postoji, međutim ne postoji redundancija windows poslužitelja i replikacija AD-a. Korisnički račun Administrator nema promijenjeno ime pa time olakšava posao mogućem napadaču sustava. Korisnici su u AD-u podijeljeni na grupe: profesori, učenici, ostalo osoblje, administratori. Učenici su podijeljeni u organizacijske jedinice „razrede“ radi lakšeg praćenja rada korisnika. U sklopu datotečnog poslužitelja (eng. file server) koji je ujedno i windows poslužitelj, dozvoljeno je određivanje, na razini grupe korisnika, prava pristupa pojedinim datotekama i direktorijima. Pravilnik o rukovanju zaporki postoji i primjenjuju ga svi korisnici osim administratora koji svoju lozinku ne mijenja u odgovarajućim vremenskim intervalima. Također administrator dodjeljuje jedinstvenu inicijalnu lozinka svim korisnicima sustava. Ovaj problem je vrlo veliki sa sigurnosnog gledišta. Dodatno ga pospješuje činjenica da se takvim korisnicima, najčešće učenicima, korisnički račun ne obustavlja zbog inaktivnosti. U informatičkoj učionici prije godinu dana je uspostavljena tzv. e-učionica. Taj projekt Ministarstva znanosti, obrazovanja i športa nije zaživio kako je bilo zamišljeno. Zbog tehničko-organizacijskih propusta i grešaka u planiranju projekta, u radu se očituju anomalije. Naime, zamisao je bila da se tanki klijenti zajedno s poslužiteljem iskoriste kao sustav koji će biti upravljan, nadograđivan, nadgledan s jedne lokacije. Upravo zbog te činjenice sam projekt se tijekom implementacije mijenjao u svojim specifikacijama (promjena OS-a, načina autentifikacije, korištenje dijeljenih podatkovnih resursa i sl.). Danas je ta učionica kao jedna nezavisna računalna mreža i njen rad nije uklopljen u samu računalnu infrastrukturu na optimalan način. Zbog mogućnosti pokretanja aplikacija za otkrivanje lozinki i korisničkih računa s USB promjenljive memorije aplikacija postoji mogućnost otkrivanja i zloupotrebe podataka. 31


Udaljeni rad na Linux računalima je dozvoljen jedino administratoru i to korištenjem SSH protokola. Ostali korisnici imaju pristup forumu i e-pošti kao uslugama baziranim preko web sučelja. Administratoru je također dozvoljen i pristup GLPI bazi podataka preko web sučelja. Autentifikacija korisnika web usluga vrši se preko prosljeđivanja upita AD-u za potvrdom dotičnog korisnika. Posebne dokumentacije vezane uz uporabu mobilnih računala nema. U bliskoj budućnosti to bi mogao biti jedan od glavnih izvora problema računalne sigurnosti. Preporuke 

Nužna je izrada potrebne dokumentacije.



Promjena prakse izdavanja zajedničkih inicijalnih lozinki.



Zaključavanje korisničkih računa zbog inaktivnosti.



Promjena naziva korisničkog imena administrator





Nadgledanje udaljenog pristupa informacijskom sustavu (nadzor, evidencija, dodjela i uklanjanje prava). Potanko određivanje pravila uporabe mobilnih računala.

3.3.8.Nabava, razvoj i održavanje informacijskog sustava Općenito 

Analiza i specifikacija sigurnosnih zahtjeva informacijskog sustava Informacijski sustavi uključuju operacijske sustave, infrastrukture, poslovne aplikacije, gotove proizvode i usluge i aplikacije razvijene unutar organizacije. Sigurnosni zahtjevi trebaju biti definirani prije razvoja i implementacije informacijskog sustava. Poslovni zahtjevi i specifikacija novog informacijskog sustava ili nadogradnja već postojećeg sustava , treba uključivati i sigurnosne kontrole.



Ispravna obrada informacija u aplikacijama Sprječavanje greške, gubitka ili neovlaštenih modifikacija informacija u aplikacijama koje se razvijaju ili samo koriste.

32


Kriptografske kontrole Potrebno je razviti i implementirati kriptografske kontrole za zaštitu informacija. Upravljanje kriptografskim ključevima osigurava ispravnu uporabu kriptografskih tehnika.



Sigurnost sustavskih datoteka Pristup sustavskim datotekama i izvornom tekstu programa treba biti kontroliran, a IT projekti i vezane aktivnosti trebaju biti izvedeni na siguran način. Potrebno je ugraditi procedure za kontrolu instalacije programske opreme i operacijskih sustava. Testne podatke je potrebno pažljivo birati, zaštititi i kontrolirati.



Sigurnost i razvoj programske opreme Cilj je održati sigurnost aplikacijskih programa i pripadnih informacija. Potrebno je kontrolirati razvoj programske opreme kao i pripadno razvojno okruženje. Implementacija promjena treba biti kontrolirana upotrebom formalnih procedura za kontrolu promjena.



Upravljanje tehničkom ranjivošću Potrebno je smanjiti rizik od eksploatacije objavljenih tehničkih ranjivosti. Upravljanje tehničkim ranjivostima treba biti obavljano sustavno i efikasno. Potrebno je na vrijeme primati informacije o tehničkim ranjivostima informacijskih sustava, procijeniti izloženost tim ranjivostima, te poduzeti mjere za smanjenje rizika od tih ranjivosti.

Opažanja

Unutar ustanove koristi se više operacijskih sustava. Nadogradnja sigurnosnih propusta unutar operacijskih sustava se ne provodi, osim onih za koje CARNet izda obavijest. Nema popisa dozvoljenih aplikacija. Ne prati se ažuriranje tih aplikacija. Postoji mogućnost instalacije nepoćudnih aplikacija na računalima unutar mreže, koristeći zaobilazne putove u obliku dodatnih memorija (USB promjenljivih memorija). Nadogradnja sistemskih aplikacija pojedine mrežne opreme (eng. firmware) se ne provodi. Dokumentacija nema. Razvoj aplikacija se svodi na izradu aplikacija u edukativne svrhe, jednostavne i bezazlene. Nadzora 33


nad sustavskim datotekama osim onih koji su definirane početnim postavkama nema. Preporuke

Izrada dokumentacije. Integrirati u sustav mogućnost automatske nadogradnje operacijskog sustava. Nadgledati korištenje usb promjenljivih memorija. U proizvoljnim vremenskim intervalima provjeravati i nadograđivati sistemske aplikacije mrežne opreme, najčešće kvartalno.

3.3.9.Upravljanje sigurnosnim incidentom Općenito

Ovo područje određuje i regulira izvješćivanje o sigurnosnim problemima i incidentima vezanih uz informacijski sustav na način koji omogućuje pravovremeno izvođenje korektivnih mjera. Potrebno je utemeljiti formalne procedure za prijavljivanje incidenata. Svi korisnici sustava trebaju poznavati procedure za prijavljivanje različitih tipova incidenata koji mogu imati utjecaja na sigurnost resursa organizacije, kao i prijaviti sve sigurnosne slabosti koje su zapazili ili samo sumnjaju. Potrebno je utemeljiti obveze i procedure za rješavanje sigurnosnih incidenata. Kao rezultat nadzora, evaluacije i upravljanja sigurnosnim incidentima dolazi do kontinuiranog poboljšavanja informacijskog sustava. U nekim slučajevima je potrebno imati prikupljene dokaze o incidentu, kako bi se postiglo usklađivanje sa zakonom. U nekim slučajevima je dokaze o sigurnosnom incidentu potrebno sakupljati, čuvati i prezentirati kako bi se zadovoljili pravni zahtjevi. Opažanja

Incidenti su se u prošlosti dešavali. Lista incidenata se nalazi u sklopu dokumenta o Inventuri NKG-a. Uz listu nisu vezani datumi jer se nisu vodili, a sjećanje administratora o događajima je nepouzdano. Kako nema kvalitetnog nadzora nad mrežom, većina sigurnosnih incidenata je prošla nezamijećeno. Međutim ono što je zabilježeno, a to su najčešće maliciozni programi (eng. spyware i virusi) su uspješno uklonjeni. Jedan od značajnih 34


incidenata koji se dogodio je bilo učestalo punjenje direktorija temp na računalu s Linuxom koje je dovelo do zastoja računalu na kojem su bile instalirane usluge foruma i chata. Naime zbog greške u postavkama sustava, svakim osvježavanjem usluge chat stvarala su se privremene datoteke koje bi dovele do punjenja tvrdog diska i time do zastoja računala, tj. operacijskog sustava. Do trenutka promjena postavki neki od učenika su radi zabave iskoristila tu mogućnost i doveli do zastoja dotično računalo. Nedostatak dokumentacije prisutan je u ovom području. Preporuke 



Praćenje svih incidenata u pisanom obliku, određivanje i klasifikacija incidenata. Preko 80% svih incidenata se odnosi na organizacijske propuste. Sigurnosni propusti iako ih je malo zahtijevaju daleko veću dokumentiranost. Zbog toga su izrada dokumentacije, praćenje i nadzor rada mreže, prikupljanje dokaza u slučaja incidenta glavne odlike ovog područja.

3.3.10.

Upravljanje poslovnim kontinuitetom

Općenito

Ostvarivanje protumjere u slučaju prekida u odvijanju poslovnih aktivnosti, zaštita ključnih poslovnih procesa od utjecaja velikih zastoja informacijskog sustava, osiguranje što bezbolnijeg nastavka rada. Odrediti gubitak, štetu nastankom prekida rada. Potrebno je razviti i implementirati plan poslovnog kontinuiteta kako bi se osigurao kontinuitet poslovnih operacija. Upravljanje poslovnim kontinuitetom treba uključivati kontrole za identifikaciju i smanjivanje rizika, kao dodatak općenitim procesima procjene rizika, te osigurati da su informacije potrebne za poslovne procese lako dostupne. Opažanja

Gubitak rada računalne mreže u školi nije toliko sam po sebi problematičan jer je velika količina dokumenata vezan uz papirnati oblik. Može se reći da i nekoliko dana neupotrebe mreže neće stvoriti nepremostive probleme i štetu. Problem će nastati u budućnosti kada se većina poslova prebaci u elektronski oblik. 35


Kao najvažniji moment treba istaknuti nedostatak i neprikladnost postojećih uređaja neprekinutog napajanja (eng. UPS). U radu su tri takva uređaja slabijeg kapaciteta i trenutno nezadovoljavaju potrebe škole. Nedostatak dokumentacije je vidljiv i u ovom području. Preporuke 











Nabava 3 uređaja za neprekinuto napajanje većeg kapaciteta, otprilike svaki od 1500VA do 2500VA snage. Postojeće uređaje za neprekinuto napajanje potrebno je provjeriti s obzirom na kapacitet te zamijeniti bateriju ukoliko je potrebno. Izraditi listu incidenata gubitka električne struje. Odrediti vrijeme rada poslužitelja i ostalih značajnih uređaja sustava prilikom nestanka struje i rada sustava na baterijama. Odrediti način gašenja poslužitelja prilikom nestanka struje. Izraditi procedure ponovne uspostave sustava nakon dolaska električne struje ili nekog drugog incidenta

3.3.11.

Sukladnost

Općenito

Svi važeći zakonski i ugovorni zahtjevi trebaju biti definirani, dokumentirani i ažurirani, kao i način na koji organizacija zadovoljava te zahtjeve. Potrebno je implementirati procedure za usklađivanje sa zakonskim i ugovornim uvjetima korištenja različitih materijala poštivajući prava intelektualnog vlasništva. Važne zapise je potrebno čuvati od gubitka, uništenja, krivotvorenja u skladu sa zakonskim, ugovornim i poslovnim zahtjevima. Zaštita podataka i privatnosti treba biti osigurana u skladu s relevantnim zakonima, propisima i eventualnim uvjetima ugovora. Potrebno je osigurati da su sve sigurnosne procedure implementirane korektno, kako bi se postigla njihova usklađenost sa sigurnosnim politikama i standardima. Informacijske sustave je potrebno redovito provjeravati kako bi se utvrdila usklađenost sa sigurnosnim implementacijskim standardima.

36


Opažanja

Kako većina dokumenta koje ovo područje pokriva nije izrađeno, ne može se ni govoriti o potrebama za usklađivanjem sa zakonskim ili nekim drugim propisima izdanih od Ministarstva znanosti, obrazovanja i športa ili CARNeta. Oni dokumenti koji su izrađeni su sukladni trenutno važećim zakonima. Preporuke

Izrada potrebne dokumentacije ISMS-a i njena provjera sukladnosti sa već postojećim dokumentima.

3.4. Upravljanje Rizikom Upravljanje rizikom je proces kojim se potvrđuje poslovna opravdanost odabira sigurnosnih rješenja i kontrola koje ce osigurati dovoljnu razinu sigurnosti. Također, proces upravljanja rizikom omogućuje razvoj strategije i postavljanje ciljeva u području informacijske sigurnosti. Upravljanje rizikom uključuje tri procesa: 

procjenu rizika,



umanjivanje rizika i



evaluaciju rizika.

Proces upravljanja rizika omogućuje stvaranje ravnoteže između operativnog i ekonomskog troška zaštitnih mjera te dobiti koja se ostvaruje zaštitom informacijskih sustava i podataka. Dobro strukturirana metodologija upravljanja rizikom jedan je od ključnih faktora pri odabiru prikladnih sigurnosnih kontrola koje osiguravaju kontinuirano odvijanje poslovnih procesa.

3.4.1. Procjena rizika Procjena rizika je identifikacija i određivanje vrijednosti resursa zasnovanih na poslovnim potrebama organizacije. Prikladna zaštita nužno zahtjeva procjenu vrijednost imovine ovisno o njihovoj važnosti za poslovni proces. U razmatranje treba uzeti u obzir zakonske i poslovne zahtjeve, posljedice (eng. impact), gubitka povjerljivosti, raspoloživosti i integriteta. (vidi slika 7) 37


Slika 7. Procjena rizika

3.4.2.Metodologija procjene rizika Metoda matrice predefiniranih vrijednosti je određena kao glavna metoda procjene rizika u informacijskom sustavu. Varijacija ove metode eksplicitno je navedena dodatku standarda ISO/IEC 13335-3. Također varijacija ove metode se koristi i u BS 7799-3:2006. Ova metoda vrijednost fizičkog resursa procjenjuje u odnosu na trošak zamjene ili rekonstrukcije resursa (kvantitativna mjera). Taj trošak se zatim konvertira u kvalitativnu skalu koja se upotrebljava za podatkovne resurse. Vrijednost programske opreme se procjenjuje isto kao vrijednost fizičkih resursa. Dodatno, ako neki aplikacijski program ima unutarnje zahtjeve povjerljivosti, integriteta ili raspoloživosti, njegova vrijednost se procjenjuje kao i vrijednost podatkovnih resursa. Vrijednost podatkovnih resursa se određuje intervjuiranjem vlasnika podataka koji najbolje poznaju vrijednost i osjetljivost podataka. Bitne pretpostavke kod određivanja vrijednosti podataka su: 

sadrži li podatak osobne informacije,



koje su zakonske i ugovorne obveze vezane za podatak,



koji je ekonomski interes od podatka,



znaci li neraspoloživost podatka prekid neke poslovne aktivnosti, 38


koji je financijski gubitak u slučaju kompromitiranja podatka i sl.

Ova metoda za procjenu rizika koristi tri parametra: vrijednost resursa, prijetnje i ranjivosti. Svaki od tih parametara promatra se u odnosu na moguće posljedice, dok se prijetnje promatraju u odnosu na odgovarajuće ranjivosti. Svi parametri se kvantificiraju proizvoljno. Informacije o vrijednosti imovine određuju vlasnici tih resursa. AV – vrijednost resursa, imovine V – ranjivost T- prijetnja, ugroza Za određivanje vrijednosti resursa koristi se numerička vrijednosti u rasponu od 0 (mala) do 4 (vrlo velika), dok se za kvantifikaciju ranjivosti i prijetnji koristi raspon od 0 (niska razina) do 2 (visoka razina). Razina rizika se određuje sumom vrijednosti parametara, tj. AV R =+V +T

(1)

Minimalna i maksimalna vrijednost procijenjenog rizika iznose: RMIN = AVMIN +VMIN +TMIN0 =

(2)

RMAX = AVMAX +VMAX +TMAX8 = (3) Određivanje rizika nekog resursa se na kraju određuje tablicom predefiniranih vrijednosti (vidi tablicu 2) Vrijednost imovine se određuje u odnosu na sva tri atributa tzv. trojka (povjerljivost, integritet, dostupnost – PID (eng. CIA)) (vidi tablice 4, 5 i 6) Rizik se na kraju procesa također klasificira. Naime cilj određivanja rizika je njegovo smanjivanje, prenošenje na „treću osobu“ ili prihvaćanje.

39


Razina prijetnje

Niska

V

N

S

Velika

Razinaranjivosti

N

0

01

212

323

4

1

12

323

434

5

2

23

434

545

6

3

34

545

656

7

4

45

656

767

8

Vrijednost imovine

S

Srednja

V

N

S

V

Tablica 2 – Tablica predefiniranih vrijednosti rizika Svaki rizik koji je visok nužno je smanjiti u što kraćem vremenskom razdoblju. Za srednji rizik vrijeme reakcije se povećava ali još uvijek je bitno reagirati brzo ovisno o procjeni imovine. Na kraju za nizak rizik bitno je da se njega ne zanemari u procesu smanjivanja rizika. Vrijednost

Rizik

Vrijeme djelovanja

0–2

Nizak

<6mjeseci

3–5

Srednji

<2mjeseca

6–8

Visok

<2tjedna

Tablica 3 - Tumačenje rizika

40


3.4.3.Klasifikacija podataka – vlasnički aspekt a) Povjerljivost Vrijednost

Grupa

0 ili mala (M)

Javno

1 ili srednja (S)

Opis Bez ograničenja

profesori i zaposleni imaju pravo pristupa uz Povjerljivo Svi odobrenje ravnatelja ili „vlasnika“ imovine

2 ili velika (V)

Tajno

Ograničeni pristup na ravnatelja i tajništvo

Tablica 4 - Određivanje vrijednosti imovine u odnosu na povjerljivost b) Integritet Vrijednost Stupanj Opis 2 ili veliki (V)

Visok

Strateški podaci ne smiju imati pogrešne vrijednosti, što prije otkriti i popraviti (Osobni podaci – učenici, profesori, ostali;Podaci o plaćama, Podaci ISMS-a i sl.)

1 ili srednji (S)

Srednji

Značajni za poslovni proces ali bez bitnog utjecaja na odluke ili druge IT sustave, otkriti i popraviti

0 ili mali (M)

Nizak

Može se tolerirati pogrešan podatak, bit će popravljeno pri budućoj akciji ili će korisnik sam uvidjeti pogrešku (vlastiti podaci - učenici, profesori, ostali)

Tablica 5 - Određivanje vrijednosti imovine u odnosu na integritet c) Raspoloživost Stupanj Opis

Radni dani Vrijeme rada resursa Vrijeme zastoja pri kvaru Maksimalni zastoj po kvaru Očekivana raspoloživost

Niska 0 ili mala (M) Pon. – Pet.

Srednja 1 ili srednja (S) Pon. – Pet.

07:30 – 16:00

07:30 – 16:00

1 dan/tjedan

2 sata/tjedan

1tjedan 80%

1dan 95%

Visoka 2 ili velika (V) 7 dana 24 sata 12 min/tjedan 1sat 99,9%

Tablica 6 - Određivanje vrijednosti imovine u odnosu na raspoloživost 41


Rezultati analize će se posebno istaknuti u sljedećem poglavlju, gdje će se eksplicitnije odrediti sve prijetnje, ranjivost i vrijednost promatrane imovine. Imovina će biti promatrana malo drugačije nego što je naznačena u popisu. Naime u realnom svijetu operativnih sustava (kraće OS), njihove postavke i računalo nužno je gledati kao jednu cjelinu, ali u dva slučaja (sklopovski i aplikativno). U sklopu rezultata analize rizika nalaze se ranjivosti i prijetnje dobivene testom probojnosti u sustav.

3.5. Test probojnosti sustava NKG-a Provjera sigurnosti informacijskog sustava ispitivanjem ranjivosti i penetracijskog testiranja (test probojnosti, eng. penetration) neizostavan je postupak kojim organizacija identificira prijetnje informacijama i imovini, u svrsi izračunavanja razine rizika i odabira odgovarajućih zaštitnih mjera. Testiranje ranjivosti testom probojnosti u NKG-u je izvršeno besplatnim ili probnim alatima. Test je izvršen udaljenim pristupom, za provjeru Linux poslužitelja, ali i u prostoru NKG (eng. on-site) za provjeru „unutarnje mreže“. Alati koji su korišteni u testu: 

Nessus Security scanner 3



GFI LANguard Network Security Scanner 8.0



SANS Qualys top 20 scanner



Metasploit 3 i Nmap



ophcrack

Rezultati testiranja sustava su ubačeni u analizu sustava, a konkretne prijetnje uvrštene postupak određivanja rizika. Izvješća dobivena iz pojedinih aplikacija iz sigurnosnih razloga neće se nalaziti u prilogu ovog diplomskog rada, ali će se uključiti u GLPI bazu podataka sustava. Testiranje sustava je također moguće i od nezavisnog analitičara. CARNet svim svojim članicama omogućava, ukoliko zatraže, testiranje probojnosti i ranjivosti računalne mreže udaljenim putem. Ovaj način testiranja će se izvršiti tek kada se implementiraju sigurnosna rješenja proistekla iz sadašnjeg testiranja

42


3.6. Rezultati Analize a) Popis imovine Kategorija

Naziv resursa

Informacija

Financijski podaci

Informacija

Popisknjiga

Vlasnik

C

I

Maks. (C,I,A)

A

Računovodstvo V V M

Knjižnica

Tajništvo

M V S

V

4

V

Informacija

Opći dokumenti

Informacija

Vlastiti dokumenti

Ravnatelj

V V V

Informacija

Podaci o učenicima

Pedagog

V V S

V

Informacija

E-pošta

V S S

V

Korisnik

Vrijednost resursa

M S S

V

Podaci računovodstva Popis knjiga u obje

2

V

Opis

knjižnice Opći dokumenti u školi, zapisnici sa sjednica, odluke ravnatelja itd.

2

Dokumenti na računalu ravnatelja škole

4

Osobni podaci učenika

4

E-pošta svakog korisnika škole (profesori, učenici, ostalo osoblje škole)

4

Svaki korisnik ima svoj skup datoteka Informacija

Korisničke postavke i dokumenti (windows profilea)

Korisnik

V V V

Informacija

GLPI – baza podataka

Administrator

V V V

V

4

Novo ustrojena baza podataka o imovini škole

Informacija

Glavni vatrozid (eng. firewall)

Administrator

V V V

V

4

Vatrozid (obavijesti - logovi)

Informacija

Dokumentacija ISMS-a (OpenDocMan)

Administrator

V V V

V

4

Novo ustrojena baza podataka za dokumentaciju ISMS-a

Procesi i usluge

DNS - www.nkgzagreb.hr

Administrator

V V V

Procesi i usluge

WEB - www.nkgzagreb.hr

Administrator

V V V

V

unutar windows okruženja. Taj skup datoteka je putujući tj. korisnik može raditi na bilo kojem računalu unutar škole

2

V V

4 4

DNS usluga škole Web stranice škole

43

Primjer uspostave ISMS-a Procesi i usluge

E-pošta (webmail)

V V V

V

4

Aplikacija za pregled e-pošte

Procesi i usluge

Forum NKG

Administrator

M M M

M

1

Aplikacija za uslugu foruma škole

Procesi i usluge

Active Directory

Administrator

V V V

Procesi i usluge

DHCP

Administrator

M M V

Procesi i usluge

OCS inventory NG

Administrator

S M S

S

1

Aplikacija za detektiranje nove računalne opreme u školi

Procesi i usluge

Dijeljenje datoteka (eng. file sharing)

Administrator

M V S

V

2

Usluga razmjene, pohrane i dijeljenja datoteka u sklopu windows poslužitelja

Programska podrška

Windows server 2003

Administrator

M V V

V

4

OS koji pokreće 2 poslužitelja

Programska podrška

Linux Debian 4.0 Administrator

V

V

4

OS koji pokreće 3 poslužitelja

Programska podrška

MS Office 2003 + ostale uredske aplikacije

Administrator

M S M

S

2

Skup uredskih aplikacija

Programska podrška

Windows XP Professional

Administrator

M V M

V

3

OS koji se nalazi na svim uredskim računalima

Programska podrška

Windows XP Embedded

prof. Informatike

MSS S

Administrator

M V

V

4

V

Imenički servis windows platforme za autentifikaciju korisnika DHCP usluga unutar škole

4

2

OS koji se nalazi na svim tankim klijentima

Programska podrška

Astronomski programi

prof. Astronomije

MSS S

2

Skup astronomskih aplikacija (upravljanje teleskopom, snimanje digitalnom kamerom)

Programska podrška

MySQL

prof. Informatike

MSS S

2

Baza podataka koja služi u edukacijske svrhe

Sklopovlje

Mrežni preklopnici (eng. switch)

Administrator

V V V

V

4

Svi preklopnici računaloj mrežiu

44


Sklopovlje

Tanki klijenti

prof. Informatike

MMM M

Računala u informatičkoj učionici (projekt Eučionice)

1

Sklopovlje

Poslužitelji

Administrator

V

V V

V

4

Računala na kojima se odvija više usluga unutar računalne mreže, pristup imaju samo administratori

Sklopovlje

Stolna računala

Administrator

S S S

S

2

Računalo koje služi za rad bilo kojem korisniku

Sklopovlje

Teleskop + računalo za upravljanje

prof. Astronomije

MSS S

Sklopovlje

Wireless AP

Administrator

Sklopovlje

Optički mediji za pohranu, diskete

Sklopovlje

DSL modem

Administrator

Sklopovlje

UPS

Administrator

Ljudi

Astronomski instrument

3

V

4

Uređaji bežičnog prijenosa podataka - Internet promet

V

4

Mediji na kojima se u školi vrši ariviranje

M V S

V

1

Uređaj za uspostavu Internet veze

M M V

V

1

ITAdministrator R avnatelj

V V S

V

4

(adminsitrator i prof. Informatike)

Ljudi

Računovođa

Ravnatelj

V V S

V

3

Osoba koja izvšava ekonomske poslove

Ljudi

Pedagog

Ravnatelj

V S S

V

3

Osoba koja vodi brigu o učenicima

Ljudi

Učenici

Ravnatelj

M S M

S

1

Osobe koje uče i slušaju nastavu

Ljudi

Profesori

Ravnatelj

S V S

V

2

Osobe koje izvode nastavu

Administrator

V V

V

S V S

Neprekidno napajanje za potrebe poslužitelja IT odjel čine

Lokacija

Prostor astronomije

Administrator

M V V

Lokacija

Prostor informatike

prof. Informatike

MVS V

V

4

3

Prostor IT - odjela + teleskop Informatička učionica izvođenje nastave

Tablica 7 - Popis imovine NKG-a 45


b) Procjena rizika U postupku procjene rizika pojedine usluge unutar informacijskog sustava nužno je povezati s dotičnim računalom na kojem se izvode. Na taj način spajaju se resursi, i dobiva se najbolja spoznaja ranjivosti i prijetnji te imovine. U ovom informacijskom sustavu bit će grupirani sljedeći resursi koji će se promatrati kao cjelina: poslužitelji s OS-om Linux Debian 4.0 (DNS, WEB, Forum, WEB mail



poslužitelj s Windows server 2003 (Active Directory, DHCP, File sharing, uslugama, interna domena nkg.local)



stolno računalo s Windows XP Professional



E-učionica tj. informatička učionica (Windows XP Embedded + tanki klijenti + windows poslužitelj)



Ovaj sustav obiluje nedostatkom dokumentacije, zbog tog razloga se neće u procjeni rizika određivati ova kategorija ranjivosti, osim ako nije nužno za određenu imovinu navesti tu ranjivost. Jedna od osnovnih ideja ISMS-a je odrediti koju dokumentaciju sustav treba imati. Imovina - kategorija Informacija Ranjivost

Procjena Ranjivosti

Prijetnje

Procjena Prijetnje

Rizik

Financijski podaci

Arhiviranje podataka

M

Gubitak podataka

S

5

Popis knjiga


M

Gubitak podataka

S

3

Opći dokumenti - tajništvo


M

Gubitak podataka

S

3

Vlastiti dokumenti - ravnatelj


S

Gubitak podataka

S

6

Podaci o učenicima – pedagog


M

Gubitak podataka

S

5

E-pošta - svih korisnika


V

Gubitak podataka

S

7

Korisničke postavke i dokumenti Arhiviranje – windows profile-a podataka

S

Gubitak podataka

S

4


M

Gubitak podataka

S

5

Imovina

GLPI – baza podataka

46

Primjer uspostave ISMS-a Dokumentacija ISMS-a (OpenDocMan)


M

Gubitak podataka

S

5

Glavni vatrozid (eng. firewall)


V

Gubitak podataka dokaza

S

7

Tablica 8 - Vrijednost rizika kategorija Informacija a) Imovina - Programska podrška Imovina

Windows poslužitelj_1


Linux računalo_1

Ranjivost nadogradnjisigurnosnih Nedostatak Nedostatak sigurnosnih nadogradnji Problemi s korisničkim računima Problemi s korisničkim računima Nedostatak dokumentiranosti radnih postupaka Nedostatak dokumentiranosti radnih postupaka Arhiviranje podataka Nedostatak sigurnosnih nadogradnji Nedostatak sigurnosnih

Procjena Ranjivosti

Prijetnje

V

poznatih ranjivosti Eksploatacija

V

Degradacijausluge

V

Neovlašteni pristup informacijama Krađa identiteta učenika

V

Procjena Prijetnje

Rizik

V V

8 8

V

8

V

8

V

Ljudskagreška

V

Uskraćivanje usluge

V

Gubitakpodataka

V

Eksploatacija poznatih ranjivosti

V

Degradacijausluge

V

Neovlašteni pristup informacijama

V

Gubitakpodataka

S

7

V

Ljudskagreška

V

8

V


V

8

DNS poslužitelj dozvoljava rekurzivne upite

S

DOS (denial of service) attacks, DNS cache poisoning, neautorizirano korištenje, degradacija performansi

S

6

DNS Cache Snooping napad

N

Napadač ima mogućnost spoznaje zadnjih prepoznatih upita o domenama

N

4

nadogradnji Problemi s korisničkim računima Arhiviranje podataka Nedostatak dokumentiranosti radnih postupaka Nedostatak dokumentiranosti radnih postupaka

V

8 V

S

8 7

V V

8 8

V

8

47

Primjer uspostave ISMS-a Računalo se odaziva na ICMP upit vremenske oznake

N

dozvoljeno korištenje EXPN,VRFY naredbi na računalu

N

POP3 poslužitelj može bit ranjiv na remote buffer overflow napad Arhiviranje podataka Nedostatak dokumentiranosti radnih postupaka Nedostatak dokumentiranosti radnih postupaka

Linux računalo_2

Funkcije za debug su uključene na HTTP poslužitelju Exim je ranjiv na korištenje IPv6 adresa i SPA authentication buffer overflow ProFTPD – višestruka ranjivost

N

4

N

4

N

6

V

Izvođenje napadačevog koda

V

Gubitakpodataka

S

7

V

Ljudskagreška

V

8

V


V

8

N

Cross-site-scripting napadi uslijed čega postoji mogućnost kompromitiranja korisničkih akreditacija (kor. ime i lozinka)

S

5

V


V

8

S

Kompromitiranje računala Otkrivanje informacije bez prethodnog znanja o LDAP podacima (LdapMiner alat) Trojanac koji koristi najčešće IRC portove za kontaktiranje napadača Kompromitiranje računala, izvođenje napadačeva koda.

V

7

V

6

N

4

N

5

N

6

Moguće je otkriti LDAP informacije

N

Trojan Backdoor.Kilo (port 15486)

N

Crv ADM (port 37)

Mogućnost spoznaje točnog vremena na računalu Nedozvoljeno otkrivanje informacija na mail poslužitelju

S

POP3 poslužitelj može bit ranjiv na remote buffer overflow napad

V


Arhiviranje

V

Gubitakpodataka

S

7

podataka Nedostatak dokumentiranosti radnih postupaka

V

Ljudskagreška

V

8

48

Primjer uspostave ISMS-a Nedostatak dokumentiranosti radnih postupaka

V

Računalo ima pokrenuti ident ('auth') servis

N

Određeni broj datoteka poziva funkciju phpinfo() Dozvoljen je prijenos DNS zona

N

DNS poslužitelj dozvoljava rekurzivne upite

S

S

DNS Cache Snooping napad

N

Računalo se odaziva na ICMP upit vremenske oznake

N

Nedostatak backup poslužitelja

V

Linux računalo_3

Uskraćivanje usluge Izvođaču daje informacije o računalu Izvođaču daje informacije o računalu Omogućuje se napadaču stvaranje liste mogućih novih napada

V

8

N

4

N 4 N 5

DOS (denial of service) attacks, DNS cache poisoning, neautorizirano korištenje, degradacija performansi Napadač ima mogućnost spoznaje zadnjih prepoznatih upita o domenama Mogućnost spoznaje točnog vremena na računalu Ukoliko računalo prestane s radom

S 6

N 4 N 4 V

nastaju problemi sa autentifikacijom korisnika, pristupom podacima i sl. Nedostatak dokumentiranosti radnih postupaka Nedostatak dokumentiranosti radnih postupaka Arhiviranje podataka MS Office 2003 + ostale uredske aplikacije Windows XP Professional Windows XP Embedded

8

V

Ljudskagreška

V

8

V


V

Gubitakpodataka

Nedostatak sigurnosnih nadogradnji

S


S

4

Nedostatak sigurnosnih nadogradnji

S


V

6

Izvođenje aplikacija s prijenosne memorije

V

V

7

Autentifikacija korisnika

N

Neovlašteni pristup informacijama Neovlašteni pristup podacima

N

2

V S

8 7

49

Primjer uspostave ISMS-a Astronomski programi MySQL

Neredovita nadogradnja

N

Autentifikacija korisnika

N

Problemi u radu upravljanja teleskopom Neovlašteni pristup informacijama


S

Gubitakpodataka

N

2

N

2

S

4

Tablica 9 - Vrijednost rizika kategorija Programska podrška b) Imovina - Sklopovlje Mrežni preklopnici (eng. switch) Mrežni preklopnici (eng. switch) Tanki klijenti Linux poslužitelj_1 Linux poslužitelj_2 Linux poslužitelj_3 Wireless AP Windows poslužitelj_1 Windows poslužitelj_2 Stolna računala Teleskop + računalo za upravljanje Mediji za pohranu diskete, optički, usb memorija DSL modem UPS

Kvar, neredovito održavanje Autentifikacija korisnika Kvar, neredovito održavanje Kvar, neredovito održavanje Kvar, neredovito održavanje Kvar, neredovito održavanje Kvar, neredovito održavanje Kvar, neredovito održavanje Kvar, neredovito održavanje Kvar, neredovito održavanje Sinkronizacija između teleskopa i računala

S S

Degradacija usluge Uskraćivanje usluge

S V

6

M

Degradacija usluge

M

1

V


V

8

V


V

8

V


V

8

V


V

8

V


V

8

S

Degradacija usluge

S

6

M

M

2

M

Degradacija usluge Nedostupnost promatranja

Oštećenje medija

S

Nedostupnost informacije

Kvar, neredovito održavanje Autentifikacija korisnika Izdržljivost baterije

S


S S

Uskraćivanje usluge Uskraćivanje usluge

7

M

2

S

6

M

2

M

2

S

3

Tablica 10 - Vrijednost rizika kategorija sklopovlje

50


c) Imovina – Ostalo (Ljudi, Lokacija) Nema pisanih procedura/politika/standarda IT Administrator

Nezadovoljstvo na poslu Neadekvatna definicija zaposlenja

V M V M

Računovođa

Pedagog

Učenici

Needuciranost djelatnika



prostor Astronomije prostor Informatike

8

V

8

V

8

V

resursa Neovlaštene aktivnosti

V

5

M

Neprikladna uporaba organizacijskih resursa

V

5

M

Neovlaštene aktivnosti

V

5

M

Otkrivanje povjerljivih informacija

V

5

M


V

3

M

Korumpiranost podataka

M

Uskraćivanje usluge Neprikladna uporaba organizacijskih resursa


Nedostatak protupožarnog aparat Nedostatak protupožarnog aparat

Otkrivanje povjerljivih informacija Zloupotreba organizacijskih resursa Neprikladna uporaba organizacijskih

V

M

M Profesori


V V

3 3

V

4

V

4

M


S


V

7

S


V

6

Tablica 11 - Vrijednost rizika kategorija ostalo

3.7. Smanjivanje i evaluacija rizika Iz rezultata procjene rizika, tablice 8, 9, 10, i 11, vidljivo je da su ključni resursi poslužitelji. Prijetnje su većinom tehničke naravi i to su: nedokumentiranost, sustav pohrane podataka, sigurnosne nadogradnje i ostali. Međutim kao najveću manu sustava bih istaknuo nepostojanje DMZ-a. Većina rizika će nestati uspostavom DMZ-a i nadogradnjama sustava. Rizik koji će ostati će se s vremenom smanjivati, ali će uvijek biti prisutan. Prvenstveno se misli na ljudski faktor. 51


U smanjivanju tog rizika veliku ulogu će prvenstveno odigrati edukacija profesora, a kasnije i učenika. Istaknuo bih učenike kao kategoriju korisnika koji će najčešće iskušavati granice sigurnosti. Kvalitetnim sustavom zapošljavanja profesora moguće je smanjiti rizik ove grupe korisnika, možda čak i eliminirati. Dokumentiranost sustava iako izgleda da je veliki problem, u stvarnosti nije tako strašno. Većina radnji vezanih uz sigurnost je prisutna, ali nije proceduralno objašnjena. Problem je u izvršenju ostalih radnji koje do sada nisu bile eksplicitno određene. Radne navike administratora, a može se reći svih ljudi, da ukoliko nešto nije određeno, najčešće u papirnatoj formi kao ugovor, to se ne izvršava. Upravo zbog te činjenice nužno je odrediti i narediti izvršavanje takvih radnih akcija. Upravo zbog toga je nužna podrška uprave, u ovom slučaju ravnatelja škole kao organa prisile. Plan zaštitnih mjera je obrađen u narednim poglavljima.

52


3.8. Izjava o primjenjivosti ( engl. Statement of Applicability - SOA) Dokument o primjeni ISMS-a podrazumijeva: 





Kontrolne točke i ciljeve odabrane u izgradnji ISMS-a kao i razlog odabira Kontrolne točke i ciljevi koje su već bili implementirani Izuzeća ili isključenja bilo kojih kontrolnih točki ili ciljeva kao i opravdanost istih

Dokument Izjave o pripremljenosti je vidljiv iz tablice 12. Referenca

ISO/IEC 27001 kontrola

Primijenjeno?

Izjava o primjenjivosti – opis kontrole

4.2

Uspostava ISMS-a (PLAN)

4.2.1.a

Definirati opseg ISMS-a

DA

U sklopu dokumenta Inventura određene i granice i opseg sustava upravljanja

4.2.1.b

Definirati ISMS politiku

DA

Dokument preuzet od strane CARNet-a Sigurnosna politika NKG-a.

4.2.1.c

Određivanje sustavnog pristupa procjeni rizika

4.2.1.d

Identifikacija rizika

DA

4.2.1.e

Analiza i evaluacija rizika

DA

4.2.1.f

Identificirati i evaluirati opcije za obradu rizika

DA

Opcije za obradu rizika su navedene u dokumentu Zaštitne mjere ISMS-a.

4.2.1.g

Odabrati kontrole i kontrolne ciljeve za obradu rizika

DA

U sklopu dokumenta Zaštitne mjere ISMS-a nalazi se popis odabranih kontrola.

4.2.1.h

Odobrenje ravnatelja za obradu rizika

DA

Ravnatelj je usmeno odobrio plan za obradu rizika.

4.2.1.i

Odobrenje ravnatelja za implementaciju ISMS-a

DA

Ravnatelj je usmeno odobrio implementaciju ISMS-a.

4.2.1.j

Pripremiti Izjavu o primjenjivosti

DA

Ovaj dokument

A.5

Sigurnosna politika

A.5.1

Informacijska sigurnosna politika

A.5.1.1

Dokument sigurnosne politike

DA

Vidjeti dokument - Sigurnosna politika NKG-a.

DA

Dokument izrađen na temelju ovog diplomskog rada - Opis pristupa procjenu rizika. Dokument izrađen na temelju ovog diplomskog rada - Analiza rizika. Analiza i evaluacija je djelomično provedena

53

Primjer uspostave ISMS-a DA

Sigurnosna politika NKG-a će se ažurirati u skladu s relevantnim promjenama.

A.5.1.2

Revizija sigurnosne politike

A.6

Organizacija informacijske sigurnosti

A.6.1

Unutarnja organizacija

A.6.1.1

Angažiranost uprave na polju informacijske sigurnosti

DA

A.6.1.2

Koordinacija informacijske sigurnosti

DA

Ukoliko dođe do nekih promjena relevantnih za ISMS, na redovitim mjesečnim sastancima će se prijaviti te promjene.

A.6.1.3

Dodjela sigurnosnih odgovornosti

DA

Odgovornost za pojedine resurse je dokumentirana u Analizi rizika.

A.6.1.4

Autorizacijski proces za uvođenje novih resursa

A.6.1.5

Sporazumi o povjerljivosti

A.6.1.6

Suradnja s mjerodavnim ustanovama

DA

DA

Ravnatelj će djelovati na području informacijske sigurnosti. Ravnatelj se na to obvezao potpisivanjem Sigurnosne politike NKG-a

Ravnatelj potvrđuje, a administrator definira autorizacijski proces za uvođenje novih resursa koji će uključivati provjere hardvera i softvera prije uporabe u procesu. (Dokument u izradi) Svi djelatnici škole trebaju potpisati Sporazum o povjerljivosti. Trebalo bi također iznaći način da se i učenici obvežu na poštivanje sigurnosti Dokument u izradi).

DA

Ravnatelj, tajništvo, pedagog trebaju redovito kontaktirati predstavnike relevantnih institucija.

A.6.1.7

Suradnja s interesnim skupinama

DA

Administrator treba redovito pratiti relevantne objave o otkrivenim prijetnjama i ranjivostima, kao i sve novosti na području razvoja Web. aplikacija. (Dokument praćenja aktivnosti u izradi)

A.6.1.8

Nezavisni ispitivanje informacijske sigurnosti

DA

Uprava treba inicirati nezavisno ispitivanje ISMS-a u planiranim intervalima. (Dokument u izradi)

A.6.2

Vanjski suradnici

A.6.2.1

Identifikacija rizika povezanog s vanjskim suradnicima

NE

Identifikacija rizika povezanog s vanjskim suradnicima nije uključena jer nije bilo potrebe, međutim u budućnosti bi trebalo riješit ovo pitanje (Izraditi dokument u budućnosti)

54

Primjer uspostave ISMS-a A.6.2.2

Sigurnost u poslovanju s klijentima

NE

Škola nema klijente.

A.6.2.3

Sigurnost i usluge vanjskih suradnika

NE

Sigurnosni uvjeti trebali bi biti sastavni dio ugovorima sklopljenih s vanjskim suradnicima. Ovaj dokument čim se ukaže potreba trebalo bi ga izraditi.

A.7

Upravljanje resursima

A.7.1

Odgovornost za imovinu

A.7.1.1

Inventura imovine

DA

Inventura imovine je obavljena. Vidjeti dokument Inventura NKG-a Vlasništvo nad resursima je izvršeno u sklopu dokumenta Analiza rizika.

A.7.1.2

Vlasništvo nad resursima

DA

A.7.1.3

Prihvatljiva uporaba resursa

DA

Potrebno je definirati, dokumentirati i implementirati pravila za uporabu resursa. (Dokument u izradi)

A.7.2

Klasifikacija informacija

A.7.2.1

Klasifikacijske smjernice

DA

Definirati prikladnu klasifikaciju informacija u ovisnosti o njihovoj vrijednosti, osjetljivosti i kritičnosti za organizaciju. Klasifikacija je dio Analize rizika.

A.7.2.2

Označavanje informacija

DA

Definirati prikladno označavanje informacija u ovisnosti o njihovoj vrijednosti, osjetljivosti i kritičnosti za školu. Određeno je Pravilnikom o upravljanju povjerljivim informacijama

A.8

Sigurnost i ljudski resursi

A.8.1

Prije zaposlenja

A.8.1.1

Uloge i odgovornosti

DA

U sigurnosnoj politici su opisane uloge i odgovornosti sudionika u procesu.

A.8.1.2

Provjere

DA

Izvršene su provjere identiteta i kvalifikacija svih sudionika u procesu. Određivanje uvjeta zaposlenja u skladu sa

A.8.1.3

Uvjeti zaposlenja

A.8.2

Tijekom zaposlenja

NE

sigurnosnom politikom, a ravnatelj brine o poštivanju navedenih uvjeta.

55


A.8.2.1

Odgovornost uprave

A.8.2.2

Edukacija i trening na području informacijske sigurnosti

A.8.2.3

Disciplinski proces

DA

DA

DA

Potrebno je dokumentirati odgovornosti za svaku ulogu u procesu i zatražiti potpisivanje sukladnosti svih sudionika u procesu. (Dokument u izradi) Ravnatelj osigurava edukaciju i sigurnosni trening svih sudionika u procesu. (Dokument u izradi) Disciplinski proces je određen Zakonom o radu i Statutom škole. Potrebno je uskladiti statut škole s novim nepoćudnim radnjama vezanih uz sigurnost sustava.

A.8.3

Nakon zaposlenja

A.8.3.1

Odgovornosti kod prekida zaposlenja

A.8.3.2

P ovratimovine

A.8.3.3

Uklanjanje pristupnih prava

A.9

Fizička sigurnost

DA

DA

Ravnatelj odobrava, a tajništvo brine o sigurnosnim aspektima prekida zaposlenja. U ugovor o zapošljavanju uključiti vraćanje organizacijske imovine u slučaju prekida zaposlenja.

DA

Administrator brine o uklanjanju svih pristupnih prava nakon zaposlenja.

A.9.1

Sigurna područja

A.9.1.1

Sigurnosni opseg

DA

Radne prostorije su odvojene od prostorija gdje se primaju klijenti. (Dokument u izradi)

A.9.1.2

Kontrola fizičkog pristupa

DA

Potrebno je organizirati kontrolu pristupa sigurnosnom opsegu. (Dokument u izradi)

A.9.1.3

Osiguranje ureda, soba i imovine

A.9.1.4

Zaštita od vanjskih prijetnji

DA

Potrebno je osigurati prikladnu zaštitu od vanjskih prijetnji. (Dokument u izradi)

A.9.1.5

Rad u sigurnim prostorima

DA

Pristup osjetljivim resursima (npr. file serveru) je ograničena samo na autorizirane korisnike. (Dokument u izradi)

DA

Potrebno je osigurati osjetljive resurse od neovlaštenog pristupa. (Dokument u izradi)

Radne prostorije su odvojene od prostorija A.9.1.6

Javni i dostavni prostor

A.9.2

Sigurnost opreme

DA

gdje se primaju klijenti i dostava. (Dokument u izradi)

56


Smještaj i zaštita opreme

DA

Vrijedni resursi su zaštićeni kako bi se smanji rizik od neautoriziranih aktivnosti i nenamjernih fizičkih prijetnji.

A.9.2.2

Pomoćna oprema

DA

Sva pomoćna oprema (struja, grijanje, ventilacija) je prikladna. (Djelomična usklađenost)

A.9.2.3

Sigurnost kabela

DA

Gdje je to moguće, naponski i komunikacijski kabeli su odvojeni.

A.9.2.4

Održavanje opreme

DA

A.9.2.5

Sigurnost opreme izvan prostorija organizacije

A.9.2.6

Sigurno odlaganje opreme

Oprema se prikladno provjerava i održava u

DA

planiranim intervalima, te se vodi zapisnik o servisiranju i popravcima . (Dokument u izradi) Potrebno je dogovoriti sigurnost opreme škole koja se nalazi na nekoj drugoj lokaciji ili koja se iznosi izvan prostorija organizacije.

DA

Gdje je to moguće, oprema će se odbaciti prema proceduri koju će donijeti škola. (Dokument u izradi)

DA

Potrebno je odrediti način premještanja i voditi evidenciju premještanja opreme. Postoji oprema u vlasništvu škole koja se nalazi na nekoj drugoj lokaciji. (Dokument u izradi)

A.9.2.7

Premještanje opreme

A.10

Upravljanje komunikacijama i operacijama

A.10.1

Operativne procedure i odgovornosti

A.10.1.1

Dokumentiranje operativnih procedura

DA

Potrebna je izrada procedure za proces uspostavljanja upravljanja dokumentima.

A.10.1.2

Upravljanje promjenama

DA

Potrebno je dokumentirati sve promjene u operativnim sustavima, procesima, aplikacijskim programima i sl.

A.10.1.3

Odvajanje dužnosti

DA

Odvajanje dužnosti nije moguće potpuno provesti zbog veličine škole i ograničenog broja djelatnika određene struke.

A.10.1.4

Odvajanje razvojnog, testnog i operativnog okruženja

DA

Odvajanje okruženja se treba provesti u što većoj mjeri, a u slučajevima gdje to nije moguće, povećati nadzor nad aktivnostima. (Dokument u izradi)

57

Primjer uspostave ISMS-a A.10.2

Upravljanje uslugama treće strane

A.10.2.1

Pružanje usluge

A.10.2.2

Nadzor nad uslugama treće strane

NE

NE

Dokumenti će se izraditi u onom trenutku kada će se odlučiti pružati astronomske usluge ili neke druge usluge „trećoj osobi“. Prate se performanse usluga i suradnjom s trećom stranom se rješavaju svi evidentirani problemi. Sve relevantne promjene u uslugama se

Upravljanje promjenama u A.10.2.3

uslugama treće strane.

NE

identificiraju i vrši se usklađivanje s promjenama.

A.10.3

Planiranje i prihvaćanje sustava

A.10.3.1

Upravljanje kapacitetom

DA

Postoji neformalni proces planiranja kapaciteta i upravljanja istim. To je dovoljno za sadašnje aktivnosti.

A.10.3.2

P rihvaćanje sustava

DA

Potrebno je utemeljiti formalni proces prihvaćanja novih sustava. (Dokument u izradi)

A.10.4

Zaštita od malicioznog i mobilnog koda

A.10.4.1

Zaštita od malicioznog koda

DA

U upotrebi je anti-virusni softver za zaštitu uredskih i poslužiteljskih računala od

DA

malicioznog koda. Zaštita od prenošenja i izvršenja mobilnog koda tek se treba izraditi u obliku nadzora svih računala. (Proces u izradi)

DA

Potrebno je izraditi politiku sigurnosnih kopija. (Dokument u izradi)

A.10.4.2

Zaštita od mobilnog koda

A.10.5

Sigurnosne kopije

A.10.5.1

Sigurnosne kopije informacija

A.10.6

Upravljanje mrežnom sigurnošću

A.10.6.1

Mrežne kontrole

DA

Vatrozid postavljen. Potrebno je izraditi proceduru koja opisuje prihvatljive mrežne servise i protokole. Uspostava DMZ-a.

A.10.6.2

Sigurnost mrežnih usluga

DA

Potrebno je implementirati tehnička, kao i proceduralna rješenja za sigurno korištenje mrežnih usluga. Uspostava DMZ-a. (Dokument u izradi)

58


Rukovanje medijima

A.10.7.1

Upravljanje uklonjivim medijima

A.10.7.2

Odlaganje medija

A.10.7.3

Procedure za rukovanje informacijama

DA

Potrebno je izraditi proceduru za rukovanje osjetljivim informacijama.

A.10.7.4

Sigurnost sustavske dokumentacije

DA

Dokumentacija o postavkama sustava tek se treba izraditi.

A.10.8

Razmjena informacija

A.10.8.1

Politike i procedure razmjene informacije

DA

Potrebno je utemeljiti proceduru za razmjenu osjetljivih informacija u procesu.

A.10.8.2

Sporazumi o razmjeni informacija

DA

Prilikom slanja e-pošte, tj. vanjska komunikacija, potrebno je označiti slanje osjetljivih informacija.

A.10.8.3

Transport fizičkih medija

DA

DA

DA

Potrebno izraditi dokumente o upotrebi, zamjeni, provjeri informacija na izmjenjivim medijima . Izrada dokumenta o odlaganju i čuvanju medija.

Ne postoji transport fizičkih medija. Potrebno je kriptografskim algoritmom zaštititi

A.10.8.4

Elektroničke poruke

DA

A.10.8.5

Poslovni informacijski sustavi

NE

A.10.9

E-trgovinske usluge

A.10.9.1

E-trgovina

NE

A.10.9.2

O n-Line transakcije

DA

Škola koristi usluge e-bankarstva. Izrada dokumentacije tog procesa.

A.10.9.3

Javno dostupne informacije

DA

Potrebno je zaštititi integritet Web forme za prijavu učenika.

A.10.10

Nadziranje

DA

Potrebno je periodičko pregledavanje zapisa o pristupu kritičnim resursima (npr. poslužitelji u sustavu).

A.10.10.1 Kontrola dnevnika

obavijesti dobivene automatskim nadzorom sustava. Ne postoji sustav razmjene informacija koji je rizičan.

Škola se ne bavi e-trgovinom.

59

Primjer uspostave ISMS-a A.10.10.2 Na dzor uporabe sustava

DA

Potrebno je nadzirati pristup kritičnim resursima.

A.10.10.3

Zaštita informacija u dnevnicima

DA

Dnevnici se trebaju arhivirati na zaštićenom mjestu.

A.10.10.4

Administratorski i operativni dnevnici

DA

Potrebno je osigurati automatsko zapisivanje aktivnosti administratora prilikom rada na poslužiteljima

A.10.10.5 Dnevnik grešaka

DA

Potrebno je osigurati automatskog zapisivanja svih grešaka u radu svih poslužitelja.

A.10.10.6 Vr emenska sinkronizacija

DA

Vrijeme se automatski sinkronizira prema UTC standardu. Svi relevantni mrežni uređaji nužno moraju biti usklađeni.

DA

Potrebno ja izraditi proceduru za kontrolu pristupa koja će opisati odgovornosti korisnika, prihvatljivu uporabu resursa i sl.

A.11

Kontrola pristupa

A.11.1

Poslovni zahtjevi kontrole pristupa

A.11.1.1

Politika kontrole pristupa

A.11.2

Upravljanje pristupom korisnika

A.11.2.1

Prijava korisnika

DA

Postoji procedura dodjeljivanja i opoziva korisničkih prava.

A.11.2.2

Upravljanje privilegijama

DA

Privilegije se dodjeljuju po potrebi i u skladu s politikom kontrole pristupa.

A.11.2.3

Upravljanje korisničkim lozinkama

DA

Postoje minimalni zahtjevi koje lozinka mora zadovoljiti.

A.11.2.4

Pregled pristupnih prava korisnika

DA

U slučaju promjene statusa korisnika, revidiraju se i pristupna prava.

A.11.3

Obveze korisnika

A.11.3.1

Uporaba lozinki

DA

Korisnici su svjesni svojih odgovornosti.

A.11.3.2

Oprema bez nadzora

DA

Korisnici su svjesni svojih odgovornosti.

60


Politika održavanja radnog stola i ekrana

DA

Treba izraditi politiku održavanja radnog stola i ekrana.

A.11.4

Kontrola pristupa mreži

A.11.4.1

Politika uporabe mrežnih usluga

DA

Postoji neformalna politika korištenja mrežnih usluga, treba izraditi dokumentaciju iste.

A.11.4.2

Autentifikacija za vanjske konekcije

DA

Potrebna je autentifikacija prije spajanju na Web poslužitelj i poslužitelj e-mail pošte.

A.11.4.3

Identifikacija opreme u mreži

DA

A.11.4.4

Zaštita dijagnostičkih i konfiguracijskih priključaka

DA

A.11.4.5

Odvajanje u mrežama

A.11.4.6

Kontrola mrežnog povezivanja

DA

Kontroliraju se mrežne konekcije u skladu s politikom kontrole pristupa.

A.11.4.7

Kontrola mrežnog usmjeravanja

DA

Vatrozid obavlja funkciju kontrole mrežnog usmjeravanja.

A.11.5

Kontrola pristupa

A.11.5.1

Procedure prijave na sustav

DA

Svi zaposleni se prijavljuju na sustav sigurnim načinom, ali nedostaje dokumentacija procedure.

A.11.5.2

Korisnička identifikacija i autentifikacija

DA

Svi korisnici imaju jedinstveno korisničko ime i lozinku.

A.11.5.3

Sustav za upravljanje lozinkama

DA

Upotrebljava se prikladan sustav upravljanja lozinkama.

A.11.5.4

Uporaba sustavskih uslužnih programa

NE

Nema potrebe za ograničavanjem pristupa sustavskim uslužnim programima.

A.11.5.5

Vrijeme isteka sjednice

A.11.5.6

Ograničavanje vremena spajanja

A.11.6

Aplikacijska i informacijska kontrola pristupa

NE

operacijskim sustavima

DA

NE

U testnom okruženju je uspostava aplikacije i baze podataka OCS Inventory NG za prepoznavanje računalne opreme. Kontrolira se pristup dijagnostičkim i konfiguracijskim priključcima. Nema potrebe za dijeljenjem mreže i odvajanjem posebnih cjelina iste.

Odrediti adekvatno vremensko ograničenje neaktivnosti računala i aplikacije u informacijskom sustavu. Nema potrebe za ograničavanjem vremena spajanja.

61


Ograničavanje pristupa informacijama

DA

Ograničen je pristup podacima preko podjele prava pristupa na windows poslužitelju

A.11.6.2

Izolacija osjetljivih sustava

NE

U sustavu nema osjetljivih procesa koji zahtijevaju izolaciju.

A.11.7

Mobilno računarstvo i udaljeni rad

A.11.7.1

Mobilno računarstvo i komunikacije

Djelomično

Nije uobičajena praksa rada na daljinu. Od korisnika jedino Administrator povremeno zna zbog provjere sustava koristiti udaljeni pristup.

A.11.7.2

Udaljeni rad

NE

A.12

Nabava, razvoj i održavanje informacijskog sustava

A.12.1

Sigurnosni zahtjevi informacijskih sustava

A.12.1.1

Analiza i specifikacija sigurnosnih zahtjeva

A.12.2

Ispravna obrada informacija u aplikacijama

A.12.2.1

Nije uobičajena praksa rada na daljinu.

DA

Potrebno je dokumentirati sigurnosne zahtjeve prilikom nabave ili nadogradnje sustava.

Provjera valjanosti ulaznih podataka

NE

Nema takvih podataka koji iziskuju provjeru.

A.12.2.2

Kontrola obrade podataka

NE


A.12.2.3

Cjelovitost poruka

NE

Nema potrebe za zaštitom cjelovitosti poruka.

A.12.2.4

Provjera valjanosti izlaznih podataka

NE


A.12.3

Kriptografske kontrole

A.12.3.1

Politika uporabe kriptografskih kontrola

DA

Kriptografija se ne koristi u sustavu. Poželjno bi bilo razmisliti o njenom uvođenju.

A.12.3.2

Upravljanje ključevima

NE

A.12.4

Sigurnost sistemskih datoteka

A.12.4.1

Kontrola operativnog softvera

Kriptografija nije dio sustava.

Postoje kontrole za instalaciju novog softvera DA

na sustave, instalaciju sigurnosnih zakrpa, te deinstalaciju softvera.

62


Zaštita ispitnih podataka

A.12.4.3

Kontrola pristupa izvornom tekstu programa

A.12.5

Sigurnost i razvoj programske opreme

A.12.5.1

NE

Ispitne podatke ne treba štititi, jer podaci koji se koriste u testne svrhe najčešće nisu potpuni i dostupni su malom broju korisnika.

NE

Pristup izvornom kodu programa ne treba kontrolirati jer su izrađene aplikacije edukativne naravi.

Procedure za kontroliranje promjena

DA

Potrebno je utemeljiti procedure kroz koje će se kontrolirati sve promjene u programskoj opremi.

A.12.5.2

Tehnički pregled aplikacija nakon promjene u operacijskim sustavima

DA

Pri promjenama u operacijskim sustavima, testiraju se aplikacije koje se na njih oslanjaju.

A.12.5.3

Ograničenja promjena u programskim paketima

NE

Izvode se samo nužne i kontrolirane promjene u programskim paketima.

A.12.5.4

Curenje informacija

DA

Mogućnost curenja informacija je minimalna.

A.12.5.5

Razvoj softvera izvan organizacije

NE

Škola nema partnera za razvoj programske opreme.

A.12.6

Upravljanje tehničkim ranjivostima

A.12.6.1

Kontrola tehničkih ranjivosti

A.13

Upravljanje sigurnosnim incidentima

A.13.1

Prijava sigurnosnih incidenata i ranjivosti

A.13.1.1

DA

Tehničke ranjivosti se nadzire i rješava (Dokument u izradi)

Prijava sigurnosnih incidenata

DA

Svi detektirani sigurnosni incidenti se prijavljuju. Izrada evidencije prijave.

A.13.1.2

Prijava sigurnosnih ranjivosti

DA

Sve detektirane ranjivosti sustava koji su u uporabi se prijavljuju. Izrada evidencije ranjivosti.

A.13.2

Upravljanje sigurnosnim incidentima i poboljšanjima

A.13.2.1

Odgovornosti i procedure

DA

Potrebno je utemeljiti procedure za brzo i efikasno reagiranje na sigurnosne incidente.

63


Učenje iz incidenata

DA

O svim incidentima se raspravlja na mjesečnim sastancima.

A.13.2.3

Skupljanje dokaza

DA

Sakupljanje dokaza je dužnost svakog pojedinog zaposlenika.

A.14

Upravljanje poslovnim kontinuitetom

A.14.1

Sigurnosni aspekti upravljanja poslovnim kontinuitetom Uključivanje informacijske

A.14.1.1

sigurnosti u upravljanje poslovnim kontinuitetom

DA

Plan poslovnog kontinuiteta treba izraditi.

A.14.1.2

Poslovni kontinuitet i procjena rizika

DA

Plan poslovnog kontinuiteta se oslanja na procjenu rizika.

A.14.1.3

Razvoj i implementacija plana poslovnog kontinuiteta

DA

Plan poslovnog kontinuiteta treba izraditi.

A.14.1.4

Okvir za plan poslovnog kontinuiteta

DA

Postoji okvir plana poslovnog kontinuiteta koji osigurava da su sve akcije konzistentne.

A.14.1.5

Testiranje, održavanje i procjena plana poslovnog kontinuiteta

DA

Testiranje, održavanje i procjena plana poslovnog kontinuiteta će se obavljati redovito u određenim vremenskim intervalima

A.15

Usklađivanje

A.15.1

Usklađivanje sa sigurnosnim zahtjevima

A.15.1.1

Identifikacija primjenjivih zakona

DA

Svi primjenjivi zakoni su identificirani i uključeni u ugovore sa zaposlenicima.

A.15.1.2

Intelektualno vlasništvo

DA

Uvjeti intelektualnog vlasništva su uključeni u ugovore sa zaposlenicima.

A.15.1.3

Zaštita organizacijskih dokumenata

DA

Postoje procedure za zaštitu osjetljivih organizacijskih dokumenata.

A.15.1.4

Zaštita privatnosti osobnih podataka

DA

Organizacija se ugovorima s zaposlenicima obvezuje na čuvanje privatnosti zaposlenika.

A.15.1.5

Sprječavanje zlouporabe resursa

DA

Zaposlenici su upoznati s odgovornostima prilikom uporabe resursa.

NE

Kriptografija nije dio procesa.

A.15.1.6

Regulacija kriptografskih kontrola

64


Usklađivanje sa sigurnosnim politikama i standardima, te tehničko usklađivanje

A.15.2.1

Usklađivanje sa sigurnosnim politikama i standardima

DA

Na mjesečnim sastancima se raspravlja o usklađenosti sa sigurnosnim standardima i politikama.

A.15.2.2

Provjera tehničke usklađenosti

DA

Provjera tehničke usklađenosti se izvodi u planiranim intervalima. (Dokument u izradi)

A.15.3

Revizija informacijskih sustava

A.15.3.1

Kontrola revizije informacijskih sustava

DA

Planiraju se nezavisne revizije informacijskih sustava

A.15.3.2

Zaštita informacijskih sustava tijekom revizije

DA

Kontrolira se pristup nezavisnih revizora.

Tablica 12 - Izjava o primjenjivosti (SOA)

65

Implementacija i rad ISMS-a

4. Implementacija i rad ISMS-a (PDCA model – DO) Općenito

Puštanje u rad ISMS podrazumijeva sljedeće korake 









Formuliranje plana zaštitnih mjera koje podupiru plan uprave, sredstva, odgovornost i prioritete upravljanja informatičkom sigurnošću. Implementiranje plana zaštitnih mjera. Određivanje kontrolnih točaka (mehanizama) u svrhu postizanja kontrolnih ciljeva. Određivanje načina mjerenja efikasnosti određenih kontrola, kontrolnih točaka i kako zaštitne mjere utječu na ocjenu efikasnost tih kontrola. Uspostavljanje programa obuke i podizanja svijesti o informacijskoj sigurnosti.



Upravljanje radnim akcijama ISMS-a.



Upravljanje imovinom (resursima) ISMS-a.



Implementiranje procedura i drugih kontrola koje su sposobne u pravo vrijeme detektirati sigurnosne događaje i promptno odgovoriti na njih

Opažanja

Određene stavke izvršenja ISMS-a neće biti ispunjene. Razlog leži u neispunjenju svih stavki dokumentiranosti sustava. Upravo zbog toga početak rada će se prolongirati do trenutka kada će i formalno sustav biti spreman. Plan zaštitnih mjera u NKG-u: Imovina

Zaštitna mjera Uspostava DMZ-a, nadgledavanje prometa Izrada plana arhiviranja (bilježenje izrade i kontrole arhiva, određivanje granica arhiviranja i sl.)

Općenito na području škole

Uspostava video nadzora Upisivanje imovine u GLPI bazu, dodjela inventarskog broja Izrada dokumenta o bilježenju sigurnosnih incidenata Edukacija korisnika 66




Linux poslužitelj_1



Stolna računala

Instalacija svih sigurnosnih zakrpa Izrada dokumenta o sigurnosnim postavkama poslužitelja – (eng.Group policy) Izrada plana arhiviranja (bilježenje izrade i kontrole arhiva, određivanje granica arhiviranja i sl.) Promjena korisničkog imena administrator u neko drugo, obavezno uključiti i administratora u sustav vremenskog ograničenja trajanja lozinke Izrada dokumenta koji uključuje stablo dijeljenih direktorija s pravima korisnika Nadogradnja UPS-a Nadgledanje rada učenika Uspostava sustava nadogradnje sigurnosnih zakrpa za stolna računala Nadgledavanje i određivanje načina rada prijenosne USB memorije Instalacija svih sigurnosnih zakrpa Izrada dokumenta o sigurnosnim postavkama poslužitelja – (eng. Group policy) Izrada plana arhiviranja (bilježenje izrade i kontrole arhiva, određivanje granica arhiviranja i sl.) Podešavanje računala kao rezervnog poslužitelja za uslugu AD-a Uspostava UPS-a Instalacija svih sigurnosnih zakrpa Izrada dokumenta o sigurnosnim postavkama poslužitelja Sigurnosne prijetnje ukloniti ili smanjiti Nadogradnja UPS-a Uspostava pričuvne veze prema Internetu Instalacija svih sigurnosnih zakrpa Izrada dokumenta o sigurnosnim postavkama poslužitelja Sigurnosne prijetnje ukloniti ili smanjiti Nadogradnja UPS-a Instalacija svih sigurnosnih zakrpa Izrada dokumenta o sigurnosnim postavkama poslužitelja Sigurnosne prijetnje ukloniti ili smanjiti Nadogradnja UPS-a Instalacija svih sigurnosnih zakrpa

Tablica 13 - Popis zaštitnih mjera Kontrolne točke u ostvarenju ovog popisa nisu definirane. Razlog toga je što se svako računalo može gledati kao zasebna točka izvršenja plana zaštitnih mjera. Brzina i ostvarenje pojedinih mjera ovisi isključivo o dobivenom novcu.

67


4.1. Troškovi implementacije ISMS-a Većina posla implementacije čini izrada potrebne dokumentacije, a tek manji dio čini nabava opreme. Najčešće se broj utrošenih sati ne računa pod trošak, ali oni moraju biti evidentirani. Iz analize sustava vidljiva je oprema koja je nužna za uspostavu sigurnog i upravljivog sustava. Iz tablice 9. je vidljivo koliki je mogući trošak uspostave ISMS-a. Naravno ovaj izračun nije uzeo u obzir i troškove samog certificiranja koji ovisi o agencijama koje vrše tu uslugu. Nužno: 



Za uspostavu DMZ-a potrebno je novo računalo poslužitelj ili gotova mrežna oprema s funkcionalnošću DMZ-a, nadzora i detekcijom napada. Nabava UPS-a

Opcionalno: 





Uspostava video nadzora Zamjena magistralnih mrežnih UTP kablova s optičkim vlaknima – opcijski Zamjena iz preventivnih razloga windows poslužitelja (starost računala) Oprema DMZuređaj

Cijena 11.000,00kn

UPS – uređaji (4 kom)

8.000,00 kn

Video nadzor (poslužitelj + 4 IP kamere)

14.000,00 kn

Zamjena mrežnih kablova - magistrala

30.000,00 kn

Zamjena windows poslužitelja

8,000,00 kn

Edukacija korisnika sustava o sigurnosti

4.000,00 kn

Broj utrošenih sati na uspostavu ISMS-a (procjena na temelju rada dviju osoba) Ukupno

900 sati x 50 kn/sat 100.000,00kn

Tablica 14 - Izračun troškova uspostave ISMS-a 68


4.2. Mjerenje efikasnosti ISMS-a i upravljanje sustavom Općenito

Ovo područje je jedno od najnezgodnijih u uspostavi i radu ISMS-a. Mjerenje efikasnosti sustava, određivanje metrike, te na temelju toga određivanje kvalitete sustava, nezgodna je obveza. Naime, na temelju izrađenih dokumenta i kontrola treba odrediti jesu li se u praksi zadane kontrole provodile ili su samo mrtvo slovo na papiru. Upravo zbog ove činjenice nužna je svaka potvrda uprave organizacije provoditelju implementacije, kao legitimnog načina prisile, u izvršenju zadanih kontrola sigurnosti u sustavu. Sama metrika se najčešće određuje kao numerički iskazani broj kontrola koje se provode. Rezultati provedbe se prezentiraju tijelu uprave organizacije. Radi što lakše mjerljivosti efikasnosti sustava, u sustavima se implementiraju automatski procesi nadgledavanja izvršenja pojedinih sigurnosnih kontrola.

4.3. Upravljanje imovinom (resursima) i dokumentacijom ISMS-a Upravljanje imovinom, dokumentacijom, podrazumijeva stjecanje, korištenje i raspolaganje tim resursom tj. imovinom. Opažanja

Nadbiskupska klasična gimnazija tek je stasala u mogućnosti upravljanja resursima i dokumentacijom. U tu svrhu su i pokrenuti procesi inventure, punjenje baze podataka i korištenje web aplikacija GLPI i OpenDocMan kao glavni način raspodijele i pristupa informaciji o resursu. U daljnjem radu sustava će se očitovati kvaliteta upravljanja.

69

Nadgledanje i kontrola ISMS-a

5. Nadgledanje i kontrola ISMS-a (Check) Općenito

Organizacija treba: Izvršavati nadgledavanje i izvješća o procedurama i drugim kontrolama: 

Obveza izrade kontinuiranog izvještaja o provjeri efikasnosti ISMS-a



Mjerenje efikasnosti kontrola i verifikaciji sigurnosnih potreba











Izrada izvješća o procjeni rizika, izvješća o ostalim nepokrivenim opasnostima i određivanje razine dozvoljenih opasnosti u planiranim intervalima Provođenje internih revizija u planiranim intervalima Obveza izvještavanja uprave o ISMS-u i kontinuiranog unaprjeđenja poslovnih procesa Nadograđivanje sigurnosnih planova vezanih uz nadgledavanje i izvještavanje Pohranjivanje događaja i akcija koje mogu utjecati na efikasnost i performanse ISMS-a

Opažanja

Rad ISMS-a, obveze izrada izvještaja efikasnosti ISMS-a, mjerenje primijenjenih i uspostavljenih kontrola, provođenje internih i vanjskih revizija, nadogradnja sigurnosnih planova i pohrana podataka koje je sam sustav proizveo, je nešto što će tek doći u narednom razdoblju.

70

Održavanje I unapređivanje ISMS-a

6. Održavanje i unapređivanje ISMS-a (eng. Act , Improve) Općenito

Organizacija treba: a) Ugrađivati poznate nadogradnje u ISMS b) Napraviti prihvatljive korektivne i preventivne aktivnosti c) Objaviti sve akcije i nadogradnje svim interesnim skupinama d) Osigurati da će se nadogradnjom postići planirani ciljevi

Opažanja

Održavanje ISMS-a i njegovo unaprjeđivanje je dio koji započinje s prvim danom primjene, bez obzira je li škola ISO/IEC 27001 certificirana ili nije. Važno je redovito provjeravati i unapređivati upravljački okvir. Zbog činjenice da je sigurnost područje koje se neprestano mijenja, potrebno je redovito obavljati inspekcije i ažuriranje sustava. Npr. zastarjeli anti-virusni softver je od vrlo slabe koristi.

71

Osnovno o dokumentiranju

7. Osnovno o dokumentiranju Dokumentiranje bi trebalo uvrštavati sve dokumente, odluke, radne akcije koje potkrepljuju odlučivanje o sigurnosnoj politici. Svakako je važno imati mogućnost demonstracije relacija između kontrolnih točaka i rezultata djelovanja sigurnosnih zaštitnih mjera. Dokumenti potrebni za ISMS trebaju biti zaštićeni i kontrolirani. Dokumentirana procedura trebale bi sadržavati definirane radne akcije. Svaki dokument se mora potvrditi od strane nadležne osobe, svaka promjena je podložna potvrdi. Provjera pristupa je također kontrolirana u obliku kontrole zapisa. Potrebno je osmisliti način čuvanja zapisa o sigurnosnim događajima u svrhu dokaza i daljnjeg lakšeg planiranja usavršavanja ISMS-a. Svaki dokument na naslovnoj stranici treba sadržavati ove podatke:

Naziv dokumenta:

Diplomski rad

Broj verzije:

Verzija 1

Datum izrade:

25.03.2008

Vlasnik Dokumenta:

Ivan Poljak

Status Klasifikacija Tablica 15 - Zaglavlje svakog dokumenta

Verzija

Datum

Autor / Vlasnik

Opis promjene

0

10.12.2007

Ivan Poljak

Početni dokument.

1

25.03.2008

Ivan Poljak

Promjena podataka u diplomskom radu

Tablica 16 - Povijest promjena na dokumentu 72


ImeiPrezime

O dgovornost

Datum

Status

Tablica 17 - Odobrenje ovlaštene osobe o uporabi dokumenta ISMS dokumentaciju bi trebali sačinjavati niže pobrojani dokumenti. Pojedini dokumenti se mogu izostaviti ukoliko je to određeno unutar Izjave o primjenjivosti sustava. Dokumenti implementacije: 

ISMS – definicija područja



ISO/IEC 27002 Izvješće analize sustava



ISMS Implementacijske preporuke



ISMS Implementacijski Plan



Plan obrade rizika



Izjava o primjenjivosti (eng. Statement of Applicability)



Upravljanje rizikom (metodologija/pristup/strategija)



Uspostavljena ISMS strukture

Dokumenti politike informacijske sigurnosti (referenciraju se na ISO 27002) 



Politika kontrole pristupa Politika praznog stola i prazno ekrana (eng. “Clear Desk” i “Clear Screen)“



Politika arhiviranja i čuvanja podataka



Klasifikacija podataka i kontrola



Uništavanje podataka / media / opreme / resursa



Sigurnosna politika eCommerce



Politika zaštite i korištenja e-pošte



Politika procjene rizika sigurnosti informacijskog sustava



Politika korištenja “usluga treće strane”



Politika korištenja prijenosnih uređaja 73

Osnovno o dokumentiranju 

Politika udaljenog rada i pristupa sustavu



Politika lozinki



Politika testa probojnosti sustava (eng. Penetration Testing Policy)



Politika osobne sigurnosti



Politika fizičke sigurnosti



Politika privatnosti



Politika licenciranja



Politika borbe protiv neželjene pošte



Politika pohrane I vračanja sistemskih podataka



Politika nadzora sistemskog korištenja



Politika pristupa sustavu „treće strane“



Politika zaštite od malicioznih programa

Dokumenti o primjeni osnovnih sigurnosno-tehničkih standarda za 

Aplikacijske i ostale poslužitelje



Baze podataka (e.g. Oracle, DB2, Sybase, Access ...)



Uredska računala, prijenosnike, PDAs



Razvojne sustave



DMZ (uređaji u DMZ zoni: Web poslužitelj, poslužitelj e-pošte i ostali poslužitelji vezani na Internet)



Vatrozid



Glavna računala



Operativne sustave (e.g. Windows XP, Windows 2003, Windows CE, razni UNIX, MVS itd.)



Usmjerivači i preklopnici



Testni sustav



Sustavi „trećih strana“ koji se nalaze unutar ustanove



Žičana i bežična mreža (LAN, WAN, WiFi, itd..) 74


Procedure vezane uz sigurnost dokumenata 

Procedura arhiviranja (eng. Backup)



Procedure procjene i analize sustava



Procedure o rješavaju sigurnosnih incidenata



Procedure fizičkog pristupa



Procedure sigurnosnih nadogradnji



Procedure sigurnosnih postavki administratora



Procedure zaštite sustava



Procedure provjere sistemske sigurnosti



Procedure korisničke podrške

Procedure upravljanja sustavom 

Procedure korektivno/preventivnih kontrola



Procedura dokumentiranja i izrade zapisa kontrola



Procedura unutarnje ISMS provjere



Napuci vezani uz informacijsko sigurnosne smjernice



Materijali o značaju informacijske sigurnosti i opća informiranost

Postavke informacijske sigurnosti vezane uz radno mjesto 

Podaci o vlasniku resursa



Analitičar informacijske sigurnosti



Planer informacijske sigurnosti



Upravitelj informacijske sigurnosti



Djelatnik odjela informacijske sigurnosti





Ispitivač informacijske sigurnosti IT revizor



Sistem Administrator 75


ISMS operativni dokumenti/zapisi 

Plan upravljanja kontinuitetom poslovanja



Izvješće i lista procjene utjecaja na pad sustava



Plan vraćanja sustava uslijed nepogode, nesreće



Popis imovine, resursa informacijskog sustava



Izvješće o sigurnosnim incidentima



Ocjena planiranja sustava i popis mjera izgradnje sustava



Popis ranjivosti i prijetnji (izvješća, upitnici, i sl.)



Dnevnik izrade sigurnosnih kopija i smještaja medija



Plan kontinuiteta poslovanja



Popis osnovnih aplikacija za uredska računala



Registar sigurnosnih incidenata u sustavu



Lista pristupa sustavu privilegiranih, administratora i autoriziranih korisnika



Registar rizika



Registar licenci aplikativnih programa



Nadogradnja sustava i zapisi anti-virus zaštite



Zapisi o pristupu i konekciji „treće strane „ na sustav

76

Zaključak

8. Zaključak Nadbiskupska klasična gimnazija kao odabir uspostave ISMS-a djelovao je u početku kao vrlo jednostavan proces, koji se može odraditi bez velikih problema Proučavanjem literature, dubinskom analizom školskog sustava, onolikom koliko je bilo dozvoljeno, sve više se uviđa da vrlo jednostavan informacijski sustav nije ni približno toliko jednostavan. Upravo suprotno, taj sustav ima odlike bilo kojeg većeg sustava. Prilikom izrade dokumentacije, analize sustava, uočava se jedna vrlo zanimljiva osobina sustava. Sustav unatoč sigurnosnim manama, problemima nedostatka novca, solidno funkcionira. Korištenje sustava se najviše očituje u nastavi informatike, astronomije. Edukacijom svih korisnika sve više se iskorištavaju mogućnosti računalne mreže. Porast korištenja će zasigurno pridonijeti i povećanju informacija. Škola nema puno informacija klasificiranih kao tajne i još uvijek većinu dokumenata drže u papirnatom obliku, međutim povećanje korištenja usluga računalne mreže vidljivo je iz dana u dan. ISMS je trenutno u fazi izrade dokumentacije, uklanjanja nedostataka. Treba istaknuti da škola ima jednu osobu administratora, kojoj je dužnost uz poslove izrade ISMS izvršavati i svoje standardne administratorske obaveze. ISMS u NKG se može opisati kao teretni vlak. Krenuo je sporo, međutim teško ga je zaustaviti. To je uostalom i poanta ISMS-a. Jedan zatvoreni kružni proces koji se stalno nadopunjuje i kada je pokrenut nemoguće ga zaustaviti. Gledajući globalno u svakoj školi bi trebalo razmišljati o uspostavi ISMS-a. Može se istaknuti da bi izgradnja takvih sustava u školama zahtijevala jako puno novčanih sredstava, ali prije svega i puno više osposobljenih djelatnika. Zbog toga se u sklopu Ministarstva znanosti, obrazovanja i športa RH mogu uočiti projekti vezani uz eobrazovanje kojima je cilj pružanja usluge preko institucije CARNet umjesto izgradnje sustava u svakoj školi pojedinačno. Neki projekt kao e-učionica neslavno završe, dok se drugi projekti, web orijentirani uspješno provode (kao npr. portal za e-učenje, e-pernica itd.). Ovom implementacijom htjelo se pokazati da svaka organizacija, čak i neprofitabilna, ima potrebu za izgradnjom sigurnosnog sustava. Najvažnija činjenica u izgradnji sustava je educirati korisnika i natjerati ih primjeni znanja o sigurnosti, tj. izgraditi svijesti o potrebi čuvanja i štićenja podataka. 77

Literatura

9. Literatura [1] ISO/IEC 27001:2005 - Information technology -- Security techniques -Information security management systems – Requirements [2] ISO/IEC 27002:2005 Information technology -- Security techniques -Code of Practice for Information Security Management [3] Injac, Nenad: Sustavi kvalitete 2000., Velika revizija normi ISO 9000, Oskar, Zagreb 1999. [4] Marijanović, Ivana: Upravljanje sigurnošću informacija, Diplomski rad, FER, Zagreb, prosinac 2006. [5] Cannon, David L.; Bergmann, Timothy S.; Pamplin, Brady: CISA Certified Information System Auditor Study Guide, Wiley Publishing Inc., Indianapolis, 2006. [6] Puthuseer, Vinod Kumar: ISMS Implementation Guide, s Interneta, http://www.infosecwriters.com/text_resources/pdf/ISMS_VKumar.pdf, 25.03.2008. [7] NIST: Risk Management Guide for Information Technology Systems, s Interneta, http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf, 25.03.2008. [8] Trinity information security services: ISO 27001 sample security audit, s Interneta, http://www.trinitysecurity.com, 25.03.2008. [9] ISO27k implementers' forum: Generic ISMS Documentation Checklist, s Interneta, http://www.iso27001security.com/ISO27k_Generic_ISMS_Documentatio n_Checklist_2v1.rtf, 25.03.2008. [10] Canal, Vicente Aceituno: Information Security Management Maturity Model, s Interneta, http://www.cvib.nl/cvibnew/2006/02/ISM3_v1.20.pdf, 25.03.2008. [11] Spivey, Mark D.: Practical hacking techniques and countermeasures, Auerbach publications, New York, 2006. 78

Literatura

[12] Causey, Brad; Rogers Bobby: Ethical Hacking and Penetration Testing Training, VTC, 2006 [13] Tulloch, Mitch: Windows Server Hacks, O'Reilly Media, Inc., Sebastopol, 2004. [14] prof. dr. sc. Hadjina, Nikola: Zaštita i sigurnost informacijskih sustava, nastavni materijal sa zbirkom zadataka, Zagreb, 2004. [15] ENISA: Risk Management/Risk Assessment in European regulation, international guidelines and codes of practice, s Interneta, http://enisa.europa.eu/rmra/files/rmra_regulation.pdf , 25.03.2008. [16] ENISA: Risk Management:Implementation principles and Inventories for Risk Management/Risk Assessment methods and tools, s Interneta, http://www.enisa.europa.eu/rmra/files/D1_Inventory_of_Methods_Risk_ Management_Final.pdf , 25.03.2008. [17] UNDP: Strategija razvoja informacionog društva u BiH, s Interneta, www.undp.ba/download.aspx?id=47, 25.03.2008. [18] Razni dokumenti vezani uz upravljanje sigurnošću informacijskih sustava, s Interneta, http://www.cert.hr/, 25.03.2008. [19] Razni dokumenti vezani uz upravljanje sigurnošću informacijskih sustava, s Interneta, http://www.sigurnost.info/ , 25.03.2008. [20] ISO 27001 Toolkit Trial, s Interneta, www.itgovernance.co.uk , 25.03.2008. [21] Beaver, Kevin; Davis, Peter T: Hacking Wireless Networks For Dummies, Wiley Publishing Inc., Indianapolis, 2005. [22] Carpenter, Tom: Windows 2003 Security Implementation, Learnkey, 2004.

79

Dodatak A: Dokumenti ISMS-a u NKG

Dodatak A: Dokumenti ISMS-a u Nadbiskupskoj klasičnoj gimnaziji 1) Sigurnosna politika Sigurnosna politika Nadbiskupske klasične gimnazije temelji se na sigurnosnoj politici CARNet-a. NKG je kao član CARNet-a dužan pridržavati se te sigurnosne politike. Dozvoljeno joj je kao članici prilagođavati tu sigurnosnu politiku svojim potrebama i mogućnostima, ali na način da nikada nije u suprotnosti sa izvornom politikom. U daljnjem tekstu sigurnosne politike pod školom se smatra Nadbiskupska klasična gimnazija (NKG). Na koga se odnosi sigurnosna politika? Pravila rada i ponašanja koja definira sigurnosna politika vrijede za: 

Svu računalnu opremu koja se nalazi u prostorima Ustanove.



Administratore informacijskih sustava



Korisnike, među koje spadaju: zaposlenici, vanjski suradnici, učenici



Vanjske tvrtke koje po ugovoru rade na održavanju opreme ili softvera

Organizacija upravljanja sigurnošću Ključna stvar pri provođenju sigurnosne politike informacijskog sustava jest da se u svakom trenutku točno zna što je čiji posao i tko za što odgovara. Stoga je potrebno raspodijeliti zaduženja i obrazovati korisnike, te oformiti stručna tijela za upravljanje sigurnošću. Ljudi koji se u radu koriste računalima dijele se na korisnike i davatelje informacijskih usluga. Korisnici informatičkih usluga Korisnici su osobe koje se u svom radu ili učenju služe računalima, proizvode dokumente ili unose podatke, ali ne odgovaraju za instalaciju i konfiguraciju softvera, niti za ispravan i neprekidan rad računala i mreže. Svaki korisnik informacijskog sustava mora znati koja je njegova uloga u poboljšanju sigurnosti ukupnog sustava.

80


Dužnosti korisnika su: 

Pridržavanje pravila prihvatljivog korištenja, što znači da ne smiju koristiti računala za djelatnosti koje nisu u skladu sa važećim zakonima, etičkim normama i pravilima lokalne sigurnosne politike.



Izbor kvalitetne zaporke i njezina povremena promjena



Prijavljivanje sigurnosnih incidenata kako bi se što prije riješili problemi



Korisnici koji proizvode podatke i dokumente odgovorni su za njihovo čuvanje. To znači da, na primjer, moraju od davatelja usluga zatražiti da uspostave automatsku pohranu (backup) važnih informacija, ili u protivnom moraju sami izrađivati sigurnosne kopije.

Dokumenti u elektroničkom obliku smatraju se službenim dokumentima na isti način kao i dokumenti na papiru, pa treba osigurati njihovo čuvanje i ograničiti pristup samo ovlaštenim osobama. Glavni korisnik Ukoliko ustanova koristi aplikacije za obradu podataka, na primjer računovodstvene programe, radi poboljšanja sigurnosti jedna osoba imenuje se glavnim korisnikom. U navedenom primjeru voditelj računovodstva bio bi glavni korisnik. Dok zaposlenici koji unose podatke odgovaraju za vjerodostojnost tih podataka, glavni je korisnik odgovaran za provjeru ispravnosti podataka, za provjeru ispravnosti i sigurnosti aplikacije, za dodjelu dozvola za pristup podacima i za mjere sprečavanja izmjene podataka od strane neautoriziranih osoba. Glavni korisnik kontaktira proizvođača aplikacije i dogovara isporuku novih verzija, traži ugradnju sigurnosnih mehanizama itd. Davatelji informatičkih usluga Davateljima usluga smatraju se profesionalci koji brinu o radu računala, mreže i informacijskih sustava. Na ustanovama članicama CARNeta to su sistem inženjer i članovi njegova tima. Oni odgovaraju za ispravnost i neprekidnost rada informacijskog sustava.

81


Specijalisti za sigurnost Škola može za brigu o sigurnosti i pomoć pri rješavanju incidenata koristiti pomoć CARNeta. Usprkos tome, preporučuje se imenovanje i obrazovanje pojedinaca čija je zadaća briga za organizaciju i provođenje sigurnosnih mjera navedenih u Sigurnosnoj politici. Osoba čije je prvenstvena briga sigurnost informacijskih sustava je Voditelj sigurnosti (engl. CSO, Chief Security Officer). Poželjno je da Voditelj sigurnosti bude stručan, ali da istovremeno posjeduje sposobnost za vođenje ljudi i da je komunikativan. Njegova je briga ukupna sigurnost informacijskih sustava. To uključuje fizičku sigurnost, pri čemu će surađivati sa zaposlenicima poput portira, čuvara i slično. Voditelj sigurnosti piše pravilnike, nadzire rad mreže i servisa, organizira obrazovanje korisnika i administratora, komunicira s upravom, sudjeluje u donošenju odluka o nabavi računala i softvera, te sudjeluje u razvoju softvera, kako bi osigurao da se poštuju pravila iz sigurnosne politike. Ako škola zapošljava više stručnjaka za računarstvo, oformiti će Ekipu za hitne intervencije i obučiti je za postupanje u slučaju incidentnih situacija. Ekipu čine specijalisti različitih usmjerenja, na primjer za mrežu, Unix, Microsoft Windowse, baze podataka itd. Ustanova treba u tom slučaju razraditi procedure za postupanje u incidentnim situacijama, te obučiti članove Ekipe za hitne intervencije kako bi mogli izvršiti istragu, te informacijski sustav što prije vratiti u redovno stanje. Ustanova treba izraditi i održavati kontakt listu s imenima, brojevima telefona, email adresama osoba kojima se prijavljuju incidenti, od kvarova opreme, sporosti ili nedostupnosti mrežnih usluga i podataka, do povreda pravila sigurnosne politike ili zakonskih odredbi. Administriranje računala Davatelji usluga dužni su administrirati računala i mrežnu opremu u skladu s pravilima struke, brinući istovremeno o funkcionalnosti i sigurnosti. Svako računalo mora imati imenovanog administratora, koji odgovara za instalaciju i konfiguraciju softvera. Ukoliko napredni korisnici žele sami administrirati svoje osobno računalo, neka potpišu izjavu o tome, nakon čega za njih vrijede sva pravila za administriranje računala. 82


Računala se moraju konfigurirati na taj način da budu zaštićena od napada izvana i iznutra, što se osigurava instaliranjem softverskih zakrpi po preporukama proizvođača, listama pristupa, filtriranjem prometa i drugim sredstvima. Posebnu pažnju administratori su dužni posvetiti opremi koja obavlja ključne funkcije ili sadrži vrijedne i povjerljive informacije koje treba štiti od neovlaštenog pristupa. Administratori računala svakodnevno prate rad sustava, čitaju dnevničke zapise i provjeravaju rad servisa. Zadaća je administratora i nadgledanje rada korisnika, kako bi se otkrile nedopuštene aktivnosti. Administratori su dužni prijaviti incidente specijalistu za sigurnost, te pomoći pri istrazi i uklanjanju problema. Incidenti se dokumentiraju kako bi se pomoglo u nastojanju da se izbjegnu slične situacije u budućnosti. Ukoliko je incident ozbiljan i uključuje kršenje zakona, prijavljuju se CARNetovu CERT-u. Davatelji usluga dužni su u svome radu poštivati privatnost ostalih korisnika i povjerljivost informacija s kojima dolaze u dodir pri obavljanju posla. Da bi ih ustanova obavezala na poštivanje tih pravila, neka potpišu Izjavu o čuvanju povjerljivih informacija. Upravljanje mrežom Škole koje posjeduju razgranatu mrežu i svoje vlastite mrežne i komunikacijske uređaje dužne su razraditi pravila koja određuju tko upravlja mrežom, konfigurira mrežne uređaje, dodjeljuje adrese, kreira virtualne LAN-ove itd. Osim što se odgovornost za rad mreže dodjeljuje određenim ljudima, mogu se propisati i procedure za priključivanje računala u mrežu, odrediti obrasce kojima se izdaje odobrenje za priključenje računala na mrežu i dodjeljuje im se adresa. Djelatnik zadužen za upravljanjem mrežom mora u svakom trenutku imati točan popis svih mrežnih priključaka i umreženih uređaja, uključujući i prenosiva računala. Ukoliko je podržan rad na daljinu, na primjer kada se djelatnicima dopušta da sa kućnog računala ažuriraju podatke, potreban je poseban pravilnik s kojim moraju biti upoznati svi koji rade na daljinu. Mora se osigurati da udaljeno računalo ne ugrozi sigurnost mreže ustanove, s obzirom na mogućnost da ga koriste neautorizirane osobe, članovi obitelji i slično. Povjerljivi podaci na udaljenom računalu moraju biti jednako sigurni kao da se računalo nalazi u zgradi ustanove. 83


Ustanova je obavezna razraditi pravila za spajanje na mrežu gostujućih računala, koja donose sa sobom vanjski suradnici, predavači, poslovni partneri, serviseri. Ne smije se dozvoliti da oni po svom nahođenju priključuju računala na mrežu ustanove, radi opasnosti od širenja virusa ili namjernih agresivnih radnji, poput presretanja mrežnog prometa, prikupljanja informacija itd. Ustanova može odrediti priključna mjesta, na primjer u predavaonicama, gdje je dozvoljeno priključiti gostujuća računala, te konfiguracijom mreže spriječiti da se sa tog segmenta mreže dopre do ostalih računala na ustanovi. Ukoliko škola koristi bežičnu mrežu, mora osigurati da se ne može bilo tko priključiti na privatnu mrežu i snimati promet. To se postiže metodama enkripcije i autentifikacije uređaja i korisnika, koji se moraju propisati u zasebnom dokumentu. Radi zaštite povjerljivih informacije pri prijenosu mrežom, poželjno je da takav promet bude kriptiran. Ustanova će u tom slučaju izdati pravilnik u kojem definira vrstu enkripcije, obvezan softver, procedure za dodjelu i čuvanje kriptografskih ključeva i slično. Instalacija i licenciranje softvera Korištenje ilegalnog softvera predstavlja povredu autorskog prava i intelektualnog vlasništva. Da bi se zaštitila od moralne i materijalne štete koja time može nastati, škola zadužuje jednu ili više odgovornih osoba za instaliranje softvera i njegovo licenciranje. Korisnik koji ima potrebu za nekim programom, mora se obratiti ovlaštenoj osobi i zatražiti, uz obrazloženje, nabavu i instalaciju. Sve korisnike treba obavezati na poštivanje autorskih prava, na primjer potpisivanjem izjave o tome da upoznati s Politikom prihvatljivog korištenja i da je prihvaćaju. Na taj način škola odgovornost za eventualno kršenje zakona prebacuje na nesavjesnog korisnika. Povjerenstvo za sigurnost informacijskih sustava Kako bi se osiguralo upravljanje sigurnošću, poželjno je oformiti Povjerenstvo za sigurnost sastavljeno od predstavnika uprave i specijalista tehničara (na primjer voditelj sigurnosti, CARNet koordinator, prodekan, glavni korisnik baze podataka koja sadrži povjerljive informacije itd.).

84


Povjerenstvo prima izvještaje o sigurnosnoj situaciji i predlaže mjere za njeno poboljšanje, uključujući nabavu opreme, organizaciju obrazovanja korisnika i specijalista. Povjerenstvo daje odobrenje za provođenje istrage u slučaju incidenata. Povjerenstvo podnosi izvještaj o stanju sigurnosti upravi Ustanove, te se zalaže za donošenje konkretnih mjera, nabavu potrebne opreme, ulaganje u obrazovanje specijalista, ali i običnih korisnika. Fizička sigurnost Prostor na školi dijeli se na dio koji je otvoren za javnost, prostor u koji imaju pristup samo zaposleni, te prostore u koje pristup imaju samo grupe zaposlenih, ovisno o vrsti posla koji obavljaju. Ustanova je dužna sastaviti popis osoba koje imaju pristup u zaštićena područja, a porta mora imati popis osoba koje mogu dobiti ključeve određenih prostorija. Sigurne zone Računalna oprema koja obavlja kritične funkcije, neophodne za funkcioniranje informacijskog sustava, ili sadrži povjerljive informacije, fizički se odvaja u prostor u koji je ulaz dozvoljen samo ovlaštenim osobama. Ustanova je dužna održavati popis ovlaštenih osoba koje imaju pristup u sigurne zone. U pravilu su to samo zaposlenici koji administriraju mrežnu i komunikacijsku opremu i poslužitelje ključnih servisa. Oni ulaze u sigurne zone samo kada treba ukloniti zastoje, obaviti servisiranje opreme. Stoga je poželjno je administratorima osigurati radni prostor odvojeno od prostorija u kojima je smještena kritična oprema. Kritična oprema treba biti zaštićena od problema s napajanjem električnom energijom, što znači da električne instalacije moraju biti izvedene kvalitetno, da se koriste uređaji za neprekidno napajanje, a po potrebi i generatori električne energije. Treba predvidjeti i druge moguće probleme, poput poplava, požara i slično, te poduzeti mjere da se oprema i informacije zaštite i da se osigura što brži oporavak. U sigurnim zonama i u njihovoj blizini ne smiju se držati zapaljive i eksplozivne tvari.

85


Vanjske tvrtke Povremeno se mora dopustiti pristup osobama iz vanjskih tvrtki ili ustanova, radi servisiranja, održavanja, podrške, obuke, zajedničkog poslovanja, konzultacija itd. Ustanova može u ugovore s vanjskim tvrtkama ugraditi odredbe kojima obavezuje poslovne partnere na poštivanje sigurnosnih pravila. Ugovorom će se regulirati pristup, čime se podrazumijeva pristup prostorijama, pristup opremi ili logički pristup povjerljivim informacijama. Treću stranu treba obavezati na čuvanje povjerljivih informacija s kojima dođu u dodir pri obavljanju posla. Ustanova može zahtijevati da svaka osoba koja pristupa povjerljivoj opremi, sigurnoj zoni ili osjetljivim informacijama potpiše Izjavu o čuvanju povjerljivih informacija. Ako u sigurnu zonu radi potrebe posla ulaze osobe koje nemaju ovlasti, mora im se osigurati pratnja. Strana osoba može se ostaviti da obavi posao u zaštićenom prostoru samo ako je osiguran video nadzor. Ukoliko se vanjskoj tvrtki prepušta održavanje opreme i aplikacija s povjerljivim podacima, Ustanova može od vanjske tvrtke zatražiti popis osoba koje će dolaziti u prostorije Ustanove radi obavljanja posla. U slučaju zamjene izvršitelja, vanjska tvrtka dužna je na vrijeme obavijestiti Ustanovu. Ustanova zadržava pravo da osobama koje se predstavljaju kao djelatnici vanjskih tvrtki uskrati pristup ukoliko nisu na popisu ovlaštenih djelatnika. Sigurnost opreme Klasifikacija računalne opreme Ustanova dijeli svu opremu u grupe prema zadaćama: 





Zona javnih servisa ( tzv. demilitarizirana zona) – oprema koja obavlja javne servise (DNS poslužitelj, HTTP poslužitelj, poslužitelj elektroničke pošte itd.). Intranet je privatna mreža škole, sačinjavaju je poslužitelji internih servisa, osobna računala zaposlenih, računalne učionice te komunikacijska oprema lokalne mreže. Extranet je proširenje privatne mreže otvoreno mobilnim korisnicima, poslovnim partnerima ili povezuje izdvojene lokacije. U ovu grupu spadaju 86


na primjer interni modemski ulazi ili veza lokalnih baza podataka s centralnim poslužiteljima (LDAP,e-pernica). Poželjno je da škola s vremenom izradi sigurnosnu politiku za svako od navedenih područja, koje će dati konkretne upute administratorima kako zaštiti sustav. Posebno je osjetljivo područje koje nazivamo extranet, jer se tu otvara prolaz u zaštićenu mrežu. Korisnicima koji su na putu, kod kuće, ili poslovnim partnerima. Potrebno je izraditi poseban pravilnik za extranet u kojem se reguliraju prava i obaveze, a s vanjske tvrtke kojima se dopušta pristup računalima i podacima u intranetu treba ugovorom obavezati na poštivanje sigurnosnih pravila i čuvanje povjerljivosti informacija. Podjela opreme prema vlasništvu U prostorijama škole nalazi se i oprema CARNeta ili Ministarstva znanosti i tehnologije, koja je dana na korištenje školi. Škola je obavezna održavati popis sve računalne opreme, s opisom ugrađenih komponenti, inventarskim brojevima itd. Škola brine jednako o svoj opremi kojom raspolaže, bez obzira na to tko je njezin vlasnik. Manirom dobrog gospodara oprema se čuva od oštećivanja, otuđenja. Škola je dužna osoblju CARNeta dozvoliti pristup opremi u vlasništvu CARNeta koja se nalazi na Ustanovi. Odgovornost za računalnu opremu Za fizičku sigurnost opreme odgovoran je rukovoditelj ustanove. On odgovornost za grupe uređaja ili pojedine uređaje prenosi na druge zaposlene, koji potpisuju dokument kojim potvrđuju da su preuzeli opremu. Škola je dužna razraditi procedure kojima se nastoji spriječiti otuđenje i oštećenje računalne opreme. Na porti treba provjeriti da li oprema koja se iznosi ima potrebne prateće dokumente, izdatnice, radne naloge za popravak itd.

87


Osiguranje neprekidnosti poslovanja Kako bi se sačuvali podaci u slučaju nezgoda, poput kvarova na sklopovlju, požara, ili ljudskih grešaka, potrebno je redovito izrađivati rezervne kopije svih vrijednih informacija, uključujući i konfiguraciju softvera. Preporučuje se izrada više kopija, koje se čuvaju na različitim mjestima, po mogućnosti u vatrootpornim ormarima. Procedure za izradu rezervnih kopija treba razraditi u zasebnom dokumentu. Potrebno je zadužiti konkretne djelatnike za izradu i čuvanje kopija informacija, te ih obavezati na čuvanje povjerljivosti informacija. Radi osiguranja neprekinutosti poslovanja, potrebno je razraditi i procedure za oporavak kritičnih sustava te ih čuvati u pismenom obliku, kako bi u slučaju zamjene izvršitelja novozaposleni djelatnici mogli brzo reagirati u slučaju nesreće.Povremeno se provjerava upotrebljivost rezervnih kopija podataka, te izvode vježbe oporavka sustava. Vježbe se ne izvode na produkcijskim računalima, već na rezervnoj opremi, u laboratorijskim uvjetima. Nadzor nad informacijskim sustavima Ustanova zadržava pravo nadzora nad instaliranim softverom i podacima koji su pohranjeni na umreženim računalima, te nad načinom korištenja računala. Nadzor se smije provoditi radi: 

Osiguranja integriteta, povjerljivosti i dostupnosti informacija i resursa.



Provođenja istrage u slučaju sumnje da se dogodio sigurnosni incident.





Provjere da li su informacijski sustavi i njihovo korištenje usklađeni sa zahtjevima sigurnosne politike. Nadzor smiju obavljati samo osobe koje je ustanova za to ovlastila.

Pri provođenju nadzora ovlaštene osobe dužne su poštivati privatnost i osobnost korisnika i njihovih podataka. No u slučaju da je korisnik prekršio pravila sigurnosne politike, ne može se više osigurati povjerljivost informacija otkrivenih u istrazi, te se one mogu koristiti u stegovnom ili sudskom postupku.

88


Doseg Ova se pravila odnose na svu računalnu opremu koja se nalazi u prostorijama škole i priključena je u mrežu CARNet, na sav instalirani softver, te na sve mrežne servise. Pravila su dužni poštivati i provoditi svi zaposleni, učenici i vanjski suradnici koji po ugovoru obavljaju određene poslove. Provođenje Korisnici su dužni pomoći osobama zaduženim za nadzor informacijskih sustava, na taj način što će im pružiti sve potrebne informacije i omogućiti im pristup prostorijama i opremi radi provođenja nadzora. Isto vrijedi i za administratore računala i pojedinih servisa, koji su dužni specijalistima za sigurnost pomagati pri istrazi. Pristup uključuje: 



Pristup na razini korisnika ili sustava svoj računalnoj opremi Pristup svakoj informaciji, u elektroničkom ili tiskanom obliku, koja je proizvedena ili spremljena na opremi škole ili oprema škole služi za njezin prijenos.



Pristup radnom prostoru (uredu, laboratoriju, sigurnoj zoni itd.)



Pravo na interaktivno nadgledanje i bilježenje prometa na mreži škole

Nepridržavanje Zaposlenika koji se ogluši na pravila o nadzoru može se disciplinski kazniti ili mu uskratiti prava korištenja CARNetove mreže i njezinih servisa. Prateći dokumenti S razvojem informatike na školi i porastom ovisnosti o njezinom ispravnom funkcioniranju, javiti će se potreba da se generička sigurnosna politika dopuni pratećim dokumentima, u kojima se definiraju pravila za pojedina područja rada. Dok bi generička politika trebala biti dovoljno općenita kako se ne bi morala često mijenjati, prateći pravilnici pisani su kao upute za rješavanje konkretnih problema i mogu se češće mijenjati. 89


2) Pravilnik o upravljanju povjerljivim informacijama Klasifikacija informacija Klasificiranje povjerljivih informacija uređeno je Zakonom o zaštiti tajnosti podataka objavljenim u Narodnim novinama br. 114/01. Prema vrsti tajnosti informacije dijele se na vojnu, državnu, službenu, poslovnu i profesionalnu tajnu. Prema stupnju tajnosti, informacije mogu biti javne, povjerljive, tajne ili vrlo tajne. Kategorije službene, državne i vojne tajne pripadaju tijelima državne uprave. Poslovna tajna su informacije koje imaju komercijalnu vrijednost i čije bi otkrivanje moglo nanijeti štetne posljedice školi ili njenim poslovnim partnerima (ugovori, financijski izvještaji, planovi, rezultati istraživanja itd.) Profesionalna tajna odnosi na zanimanja poput liječnika, svećenika i odvjetnika, no može se primijeniti i na zaposlene koji u svom radu dolaze u dodir s podacima o drugim ljudima, poput zaposlenih u referadi, osoba koje unose podatke u baze podataka o studentima,učenicima ili sistem administratora poslužitelja koji u nekim situacijama može doći u dodir s podacima koji pripadaju korisnicima računala. Dokumenti koji izvana dolaze u školu s nekom od oznaka povjerljivosti određuju stupanj povjerljivosti svih dokumenata i informacija koje će škola proizvesti kao odgovor. U tom slučaju može se koristiti neka od kategorija tajnosti koje su rezervirane za tijela državne uprave (službena, državna ili vojna tajna). Dokumenti koji se smatraju povjerljivima moraju biti jasno označeni isticanjem vrste i stupnja tajnosti. Javnima se smatraju sve informacije koje nisu označene kao povjerljive. Izuzetak su osobne informacije, za koje se podrazumijeva da su povjerljive i ne treba ih posebno označavati. Pravila za čuvanje povjerljivosti odnose se na informacije bez obzira na to u kom su obliku: na papiru, u elektroničkom obliku, zabilježene ili usmeno prenesene, ili su objekti poput maketa, slika itd.

90


Raspodjela odgovornosti Za klasificiranje povjerljivih informacija zadužen je ravnatelj škole, koji će izraditi listu osoba koje imaju pravo proglasiti podatke tajnima, te listu osoba koje imaju pristup povjerljivim podacima. Pravila za čuvanje povjerljivih informacija odnose se na sve zaposlenike škole i vanjske suradnike koji dolaze u doticaj sa osjetljivim podacima. Obaveza čuvanja povjerljivosti ne prestaje s prestankom radnog odnosa. Čuvanje povjerljivih informacija Povjerljive informacije, tiskane na papiru ili u elektroničkom obliku, snimljene na neki medij za pohranu podataka, čuvaju se u zaključanim metalnim, vatrootpornim ormarima, u prostorijama u koje je ograničen pristup. Pristup povjerljivim informacijama regulira se izradom liste zaposlenika koji imaju ovlasti, te bilježenjem vremena izdavanja i vraćanja dokumenata, kako bi se u svakom trenutku znalo gdje se oni nalaze. Informacije o zaposlenicima Socijalni inženjering je metoda koju primjenjuju hackeri kako bi prikupili informacije potrebne za provalu na računala. Ustanova može informacije o zaposlenima koje se smatraju javnima objaviti na svojim web stranicama. Javnim informacijama smatraju se: 

Ime i Prezime



Posao koji zaposlenik obavlja



Broj telefona na poslu



Službena e-mail adresa

Na upite o zaposlenicima davati će se samo informacije objavljene na internim web stranicama. Daljnje informacije o zaposlenima ne smiju se davati bez suglasnosti osobe kojoj podaci pripadaju (na pr. adresa stana, broj privatnog telefona, podaci o primanjima, porezu, osiguranju itd.) Povjerljive informacije u načelu se ne daju se telefonom jer se sugovornik može lažno predstaviti. Ukoliko se sugovornik predstavlja kao službena osoba koja ima pravo pristupa povjerljivim podacima, zapisuje se ime i prezime te osobe, naziv 91


institucije kojoj pripada i broj telefona s kojeg zove. Nakon provjere istinitosti tih podataka zaposlenik škole će se posavjetovati s ravnateljom i ukoliko dobije odobrenje nazvati službenu osobu i odgovoriti na pitanja. Prenošenje povjerljivih informacija Informacije koje su klasificirane kao povjerljive zahtijevaju posebne procedure pri slanju i prenošenju. Povjerljive informacije ne šalju se običnom poštom, već kurirskom. Na odredištu se predaju u ruke osobi kojoj su upućeni, što se potvrđuje potpisom. Ako se povjerljive informacije šalju elektronički, na primjer kao poruke elektroničke pošte, tada se moraju slati kriptirane. Kopiranje povjerljivih informacija Za kopiranje povjerljivih informacija treba zatražiti dozvolu vlasnika informacije. Povjerljivi dokumenti koji izvana dođu u školu ne smiju se kopirati bez izričite dozvole pošiljatelja. Dokumenti koji pripadaju školi smiju se kopirati samo uz dozvolu osobe koja ih je proglasila povjerljivim, odnosno uprave. Kopija se numerira i o njenom izdavanju vodi se evidencija kao i za srcinal s kojeg je proizvedena. Osoblje koje poslužuje uređaje za kopiranje treba obučiti i obavezati da odbiju kopiranje povjerljivih dokumenata ukoliko nije ispoštovana propisana procedura. Uništavanje povjerljivih informacija Mediji koji sadrže povjerljive informacije ne bacaju se, već se uništavaju metodom koja osigurava da se trajno i pouzdano uništi sadržaj (spaljivanjem, usitnjavanjem, prešanjem). Ukoliko se zastarjela i rashodovana računalna oprema daje na korištenje trećoj strani, obavezno je uništavanje podataka sa diskova posebnim programom koji nepovratno prebriše sadržaj diska. Nepridržavanje Zaposlenici i suradnici koji dolaze u dodir s klasificiranim informacijama potpisuju izjavu o čuvanju povjerljivosti informacija. Protiv zaposlenika koji ne poštuju pravila o čuvanju povjerljivih informacija bit će pokrenut stegovni postupa, 92


a može ih premjestiti na drugo radno mjesto na kojem neće dolaziti u dodir s povjerljivim podacima. S vanjskim suradnicima za koje se ustanovi da otkrivaju povjerljive informacije razvrgnuti će se ugovor. Stoga ustanova treba već u ugovor unijeti stavke po kojima je povreda povjerljivosti podataka dovoljan razlog za prekid ugovora. 3) Opis postupka kreiranja ISMS dokumentacije Unutar NKG-a postoje 3 razine odlučivanja: administrator, Matematičko, informatičko, astronomski aktiv (MIA aktiv), ravnatelj Matematičko, informatičko, astronomski aktiv (MIA aktiv) je odgovorno za: 







poticaj, prihvaćanje poticaja i potporu procesu dokumentiranja sigurnosnih mjera pribavljanje odobrenja i odluka o primjeni sigurnosnih dokumenata osiguravanje suradnje tvrtki izvan škole čija je ekspertiza nužna za kreiranje određenih vrsta dokumenata odobrenja, procjene, odluke, usmjerenja i sl. nužne za kreiranje,

implementaciju i operativu dokumenata iz svoje poslovne nadležnosti. Administrator i ostalo informatičko osoblje je obvezno i odgovorno za: 

kreiranje prijedloga sigurnosnih dokumenata



iniciranje kreiranja nedostajućih dokumenata ili korekcije postojećih



implementaciju i operativu odobrenih dokumenata



praćenje usuglašenosti prakse i dokumentacije.

Ravnatelj kao odgovorna osoba u školi je odgovoran 

za donošenje svih nužnih sigurnosnih dokumenata relevantnih za sustav. 4) Pravilnik o antivirusnoj zaštiti

Virusi i crvi predstavljaju opasnost za informacijske sustave, ugrožavajući funkcioniranje mreže i povjerljivost podataka. Nove generacije virusa su izuzetno složene i opasne, sposobne da prikriju svoju prisutnost, presreću unos podataka 93


na tipkovnici. Informacije poput zaporki ili povjerljivih dokumenata mogu slati svome tvorcu nekamo na Internet, te otvoriti kriptiran kanal do vašeg računala, kako bi hackeri preuzeli kontrolu nad njim. Stoga zaštita od virusa ne smije više biti stvar osobnog izbora, već obaveza ustanove, administratora računala i svakog korisnika. Škola propisuje da je zaštita od virusa obavezna i da se provodi na nekoliko razina: 



Na poslužiteljima elektroničke pošte Na internim poslužiteljima, gdje se stavlja centralna instalacija



Na svakom uredskom računalu korisnika

Administratori su dužni instalirati protuvirusne programe na sva korisnička računala i konfigurirati ih tako da se izmjene u bazi virusa i u konfiguraciji automatski propagiraju sa centralne instalacije na korisnička računala u lokalnoj mreži, bez aktivnog sudjelovanja korisnika. Korisnici ne smiju samovoljno isključiti protuvirusnu zaštitu na svome računalu. Ukoliko iz nekog razloga moraju privremeno zaustaviti protuvirusni program, korisnici moraju obavijestiti sistem inženjera. Nepridržavanje Korisnik koji samovoljno isključi protuvirusnu zaštitu na svom računalu, te na taj način izazove štetu, bit će stegovno kažnjen. 5) Pravilnik o korištenju elektroničke pošte Elektronička pošta dio je svakodnevne komunikacije, poslovne i privatne. Komuniciranje e-poštom na školi se zahtijeva razmatranje svih aspektia elektroničke komunikacije s obzirom na moguće posljedice. Protokol koji se koristi za prijenos elektroničke pošte, SMTP ili Simple Mail Transport Protocol, nije od samog početka dizajniran da bude siguran. Dodatne probleme ponekad izazivaju i korisnici, koji nisu posve svjesni zamki pri korištenju e-pošte. Stoga je potrebno odrediti moguće probleme koji mogu nastati pri korištenju elektroničke pošte.

94


A. Nesigurnost protokola 





Poruke putuju kao običan tekst, otvorene kao na razglednici, te ih je lako presresti i pročitati, ili čak izmijeniti sadržaj. Lako je krivotvoriti adresu pošiljatelja, tako da nikada nismo sigurni tko je zapravo poslao poruku. Protokoli za čitanje elektroničke pošte, POP i IMAP, u svom osnovnom obliku šalju korisničko ime i zaporku kao običan tekst, pa ih je moguće presresti i pročitati. Stoga je potrebno, kad god je to moguće, koristiti kriptografiju, na primjer SSL za prijenos i PGP za skrivanje sadržaja.

B. Nezgode 

Uvijek je moguće pritisnuti pogrešnu tipku ili kliknuti mišem na susjednu ikonu. Time može nastati nepopravljiva šteta – ne može se zaustaviti poruku koja je već otišla. Ako se umjesto Reply pritisne Reply All, poruka će umjesto jednom primatelju otići na više adresa, a povjerljive informacije dospjeti do neželjenih primatelja.



Česta je pogreška i odabir pogrešne adrese iz adresara.



Neki mail klijenti sami dovršavaju e-mail adresu koja se unosi. U žurbi se može prihvatiti pogrešna adresa, slična onoj koja se zapravo želi.

C. Nesporazumi 



Ljudi su skloni pisati e-mail poruke na ležerniji, opušteniji način. To može dovesti do nesporazuma ako druga strana ne shvaća poruku na isti način. Stoga službeni dopisi se pišu u službenom tonu. Iza imena u e-mail adresi nalazi se ime škole. Pišući, treba biti svjestan da netko može shvatiti privatnu prepisku kao službeni dopis, privatno mišljenje kao službeni stav škole. Stoga u raspravi uvijek jasno treba naznačiti kada je izneseni stav privatno uvjerenje.

D. Otkrivanje informacija 

Poruke namijenjene jednoj osobi, začas se mogu proslijediti drugima, na primjer na mailing listu. To se može dogoditi (zlo)namjerno, s ciljem da se naškodi drugoj osobi ili tvrtki nemarom sudionika, koji ne traži dozvolu 95


za prosljeđivanje poruke slučajnom omaškom, na primjer nehotičnim klikom mišem na pogrešnu ikonu (Reply All umjesto Reply). 



Stoga poslovni dopise koji sadrže osjetljive informacije treba označiti kao povjerljive, kako bismo primatelja obavezali na diskreciju. U slučaju sigurnosnog incidenta, istraga može dovesti do otkrivanja sadržaja poruka koje su zamišljene kao privatna komunikacija. Škola se obavezuje čuvati povjerljivost takvih poruka, ali to ne može garantirati ako poruke budu tretirane kao dokazni materijal u istrazi ili u mogućem sudskom procesu.

E. Radna etika 



Velika količina poruka koje treba svakodnevno pročitati može oduzeti znatan dio radnog vremena. Stoga je potrebno ograničiti broj privatnih i zabavnih poruka. Lančane poruke koje ljudi šalju poznanicima mogu sadržavati lažne informacije ili biti dio prijevare, s namjerom da se ljudima izvuče novac ("pomozite nesretniku kojem treba operacija", "otvorite račun kako bi svrgnuti diktator mogao izvući novac iz nestabilne afričke države"...). Za provjeru ovakvih poruka (engl. hoax) može se koristiti servis CARNet CERT-a "Hoax recognizer".



Slanje neželjenih komercijalnih poruka, (eng. Spam) sve više opterećuje promet na Internetu, te oduzima vrijeme, čak i u slučaju da se takve poruka brišu bez čitanja. Škola će filtirati spam na poslužitelju elektroničke pošte, ali je obaveza korisnika da sami ne šalju takve poruke.

F. Povreda autorskih prava 



Svaka poruka elektroničke pošte može se smatrati autorskim djelom, stoga ona pripada osobi koja ju je poslala. Stoga za prosljeđivanje tuđe poruke treba tražiti dozvolu njezina autora. Prilozi koji se šalju uz elektroničke poruke mogu sadržavati autorski zaštićene informacije, na primjer glazbu, filmove, članke itd. Primajući i šaljući takve sadržaje korisnik izlaže sebe mogućoj tužbi ali i školu. 96


Zbog svega nabrojanog korištenje elektroničke pošte smatra se rizičnom djelatnošću, te se korisnici obavezuju na pridržavanje određenih pravila: 





Svim korisnicima (profesori, učenici, administrativno osoblje) se otvara korisnički račun radi obavljanja posla. Privatne poruke dozvoljene su u umjerenoj količini, ukoliko to ne ometa rad. Za privatne potrebe mogu se koristiti za to namijenjene HR-F domene. Pišući poruke, treba biti svjestan da se ne predstavlja samo sebe, već i školu.















Pridržavajte se netikete (ftp://ftp.rfc-editor.org/in-notes/rfc1855.txt), pravila pristojnog ponašanja na Internetu, službena e-mail adresa se ne koristiti za slanje uvredljivih, omalovažavajućih poruka, ili za seksualno uznemiravanje. Nije dozvoljeno slanje lančanih poruka kojima se opterećuju mrežni resursi i ljudima oduzima radno vrijeme. Svaka napisana poruka smatra se dokumentom, te na taj način podliježe propisima o autorskom pravu i intelektualnom vlasništvu. Nemate pravo poruke koju su poslane vama osobno proslijediti dalje bez dozvole autora, odnosno pošiljatelja. Sve poruke pregledati će automatski aplikacija koja otkriva viruse. Ako poruka zadrži virus, neće biti isporučena, a pošiljatelj i primatelj će biti o tome obaviješteni. Poruka će provesti određeno vrijeme u karanteni, odakle ju je moguće na zahtjev primatelja izvući. Nakon određenog vremena, obično mjesec dana, poruka se briše iz karantene kako bi se oslobodio prostor na disku. Škola zadržava pravo filtriranja poruka s namjerom da se zaustavi spam. U slučaju istrage uzrokovane mogućim sigurnosnim incidentom, sigurnosni tim može pregledavati kompletan sadržaj diska, pa time i poruke e-pošte. Poruke koje su dio poslovnog procesa treba arhivirati i čuvati propisani vremensko razdoblje kao i dokumente na papiru.

97


Procedura za dodjelu e-mail adrese

Pri zapošljavanju novog djelatnika administratora poslužitelja elektroničke pošte je dužan u roku od sedam dana otvoriti korisnički račun. Pri prestanku radnog odnosa, ravnatelj je dužan najkasnije u roku od sedam dana zatražiti zatvaranje korisničkog računa. Učenici imaju pravo besplatnog korištenja e-pošte za vrijeme trajanja školovanja. Nakon odlaska iz škole njihov korisnički račun i dalje je aktivan, sve dok to sam bivši učenik ne zatraži ili izgubi pravo korištenja. Na koga se odnose pravila korištenja e-pošte? Pravila za korištenje e-pošte odnose se na sve zaposlene, vanjske suradnike, i učenike koji imaju otvoren korisnički račun na poslužitelju Ustanove. Nepridržavanje Protiv korisnika koji ne poštuju ova pravila škola može pokrenuti stegovni postupak. U slučaju ponovljenih težih prekršaja, korisniku se može zatvoriti korisnički račun i uskratiti pravo korištenja usluge elektroničke pošte. 6) Pravilnik o korištenju školskog foruma Komuniciranje putem školskog foruma na školi zahtijeva da se razmotre svi aspekti elektroničke komunikacije s obzirom na moguće posljedice za korisnike ili školu, jer je forum javni servis. Procedura za dodjelu korisničkog računa za školski forum

Pri zapošljavanju novog djelatnika administratora poslužitelja školskog foruma je dužan u roku od sedam dana otvoriti korisnički račun. Pri prestanku radnog odnosa, ravnatelj je dužan najkasnije u roku od sedam dana zatražiti zatvaranje korisničkog računa. Svaki učenik upisom u školu stječe pravo da mu se otvori korisnički račun. Pravila: 

Prije nego što se pomisli otvoriti novu temu treba pogledati po forumu postoji li već neka slična.

98

Dodatak A: Dokumenti ISMS-a u NKG 





Naslov tema treba napisati što podrobnije tako da se iz sadržaja (eng. subjecta) teme može vidjeti o čemu se ovdje radi. Linkovi i privici (eng.attachment) na virus i stranice nepočudnog sadržaja strogo su zabranjeni. Reklamiranje se dozvoljava samo u potpisu. Svaki post koji ima bilo kakav sjedinjeni (enf. affiliate) link smatra se reklamom i bit će obrisan. Reklamiranje putem osobnih poruka (PM-ova) *nije dozvoljeno*. Moderator i administratori zadržavaju pravo da i neke druge postove ocijene reklamama.



















Treba poštovati sve članove foruma i ne vrijeđati ih. To uključuje širenje lažnih informacija, izravno vrijeđanje drugih korisnika, korištenje nekulturnih izraza i riječi ili nekih drugih oblika neetičkog ponašanja . Ako se želi postaviti pitanje potrebno ga je smjestiti u pravom području foruma i to SAMO JEDANPUT. Nužno je pročitati opise svakog foruma. Svaki korisnik ima pravo na jedan korisnički račun. Korištenje više različitih korisničkih računa nije dozvoljeno. Davanje svojih korisničkih podataka drugoj osobi nije dozvoljeno i rezultirati će brisanjem korisničkog računa. Korištenje uvredljivih avatara (sličica koje predstavljaju članova) i potpisa (eng. signaturea) nije dozvoljeno. Moderator zadržava pravo odrediti što je prikladno, a što ne. Suzdržavanje od odgovora koji se ne tiču teme (tzv. "offtopic" odgovora). Uz ova OPĆA PRAVILA PONAŠANJA vrijede i dodatna pravila korištenja pojedinih podforuma. Kreiranjem korisničkog računa prihvaćaju se sva pravila ovoga foruma. Prilikom registracije obavezno napisati ispravnu školsku adresu e-pošte (za druge oblike registriranja potrebna je posebna dozvola administratora foruma) i ostale podatke koji su obavezni.

99


Na koga se odnose pravila korištenja školskog foruma? Pravila za korištenje školskog foruma odnose se na sve zaposlene, vanjske suradnike, vanjske članove foruma, i učenike koji imaju otvoren korisnički račun na poslužitelju škole. Nepridržavanje Korisnici koji se ne pridržavaju pravila školskog foruma prestaju biti anonimni te škola protiv istih može pokrenuti stegovni postupak. U slučaju ponovljenih težih prekršaja, korisniku se može zatvoriti korisnički račun i uskratiti pravo korištenja usluge školskog foruma. 7) Pravilnik o rješavanju sigurnosnih incidenata Svrha je ovog dokumenta da ustanovi obavezu prijavljivanja sigurnosnih incidenata, te da razradi procedure za provođenje istrage. Procedura prijave incidenta

Svaki zaposlenik, student, učenik ili suradnik škole dužan je prijavljivati sigurnosne incidente, poput usporenog rada servisa, nemogućnosti pristupa, gubitka ili neovlaštene izmjene podataka, pojave virusa itd. Škola treba izraditi i održavati kontakt listu osoba kojima se prijavljuju problemi u radu računala i servisa, te obrazac za prijavu incidenta. Kontakt listu treba podijeliti svim zaposlenima i objaviti je na internim web stranicama škole. Svaki incident se dokumentira. Uz obrazac za prijavu incidenta, dokumentacija sadrži i obrazac s opisom incidenta i poduzetih mjera pri rješavanju problema. Izvještaji o incidentima smatraju se povjerljivim dokumentima, spremaju se na sigurno mjesto i čuvaju 10 godina, kako bi mogli poslužiti za statističke obrade kojima je cilj ustanoviti najčešće propuste radi njihova sprečavanja, ali isto tako i kao dokazni materijal u eventualnim stegovnim ili sudskim procesima. Ozbiljniji incidenti prijavljuju se CARNet-ovom CERT-u, preko obrasca na web stranici www.cert.hr Procedure za rješavanje incidenata

Administratori smiju pratiti korisničke procese. Ako sumnjaju da se računalo koristi na nedozvoljen način, mogu izraditi listu sadržaja korisničkog direktorija, ali 100


ne smiju provjeravati sadržaj korisničkih podatkovnih datoteka (na pr. dokumenata ili e-mail poruka). Daljnju istraga može se provesti samo ako je prijavljena Povjerenstvu za sigurnost koje je uspostavljeno sigurnosnom politikom ustanove, uz poštivanje slijedećih pravila: 











Istragu provodi jedna osoba, ali uz nazočnost svjedoka kako bi se omogućilo svjedočenje o poduzetim radnjama. Prvo pravilo forenzičke istrage jest da se informacijski sustav sačuva u zatečenom stanju, odnosno da se ne učine izmjene koje bi otežale ili onemogućile dijagnosticiranje Najprije se izrađuje kopija zatečenog stanja (na pr. na traku, CD...), po mogućnosti na takav način da se ne izmijene atributi datoteka. Dokumentira se svaka radnja, tako da se ponavljanjem zabilježenih akcija može rekonstruirati tijek istrage. O istrazi se izrađuje izvještaj, kako bi u slučaju potrebe mogli poslužili kao dokaz u eventualnim stegovnim ili sudskim procesima. Izvještaji o incidentu smatraju se povjerljivim dokumentima i čuvaju se na taj način da im pristup imaju samo ovlaštene osobe.

Škola može objavljivati statističke podatke o sigurnosnim incidentima, bez otkrivanja povjerljivih i osobnih informacija. Procedure za Sankcije

Svrha je istrage da se odredi uzrok nastanka problema, te da se iz toga izvuku zaključci o tome kako spriječiti ponavljanje incidenta, ili se barem bolje pripremiti za slične situacije. Ako je uzrok sigurnosnom incidentu bio ljudski faktor, protiv odgovornih se mogu poduzeti sankcije. Škola može osobama odgovornim za sigurnosni incident zabraniti fizički pristup prostorijama ili logički pristup podacima. Ukoliko je incident izazvao zaposlenik vanjske tvrtke, škola može zatražiti od vanjske tvrtke da ga se ukloni sa liste osoba ovlaštenih za obavljanje posla na 101


školi. U slučaju teže povrede pravila sigurnosne politike, škola može raskinuti ugovor s vanjskom tvrtkom. 8) Pravilnik o rukovanju zaporkama Prosječan korisnik nerijetko smatra kako ne mora brinuti o sigurnosti jer njegovo računalo ne sadrži vrijedne informacije. No kompromitiranjem jednog osobnog računala u lokalnoj mreži ili jednog korisničkog računa na poslužitelju napadač je probio obrambenu liniju i otvorio prolaz za napade na važnije sustave i informacije. Lanac puca na najslabijoj karici. Stoga je svaki korisnik dužan izborom zaporke i njezinom povremenom promjenom doprinositi zaštiti ukupnog sustava. Dok snaga računala neprestano raste, ljudske sposobnosti stagniraju. Današnja računala mogu brzo dekriptirati jednostavne zaporke, dok u isto vrijeme većina ljudi ne može pamtiti složene zaporke dugačke i po osam znakova. Doseg Svi zaposlenici škole, suradnici i učenici koji u svome radu koriste računala dužni su pridržavati se ovih pravila korištenja zaporki, dok su ih administratori dužni tehnički ugraditi u sve sustave koji to omogućavaju. Pravila za korištenje zaporki 







Minimalna dužina zaporke Kratku zaporku lakše je probiti. Stoga se određuje da minimalna dužina zaporke bude šest znakova, ali preporuča se korištenje dužih zaporki. Ne koristiti riječi iz rječnika Hackeri posjeduju zbirke rječnika, što im olakšava probijanje ovakvih zaporki (tzv. dictionary attack). Izmiješati mala i velika slova s brojevima Na primjer: h0bo3niCa. Na prvi pogled besmislena i teška za pamćenje, ova je zaporka izvedena iz riječi hobotnica. Polazište je pojam koji lako pamtimo, ali onda po nekom algoritmu vršimo zamjenu znakova. Ne koristiti imena bliskih osoba, ljubimaca, datume Takve se zaporke lako otkriju socijalnim inženjeringom.

102

Dodatak A: Dokumenti ISMS-a u NKG 







Trajanje zaporke Promjena zaporke smanjuje vjerojatnost njezina otkrivanja. Neki korisnici naizmjence koriste dvije standardne zaporke. Iako su dvije zaporke bolje nego jedna, ipak se ovakvim trikovima izigrava osnovna svrha promjene zaporki. Tajnost zaporke Korisnici su odgovorni za svoju zaporku i ni u kom je slučaju ne smiju otkriti, čak ni administratorima sustava. Hakeri nastoje izmamiti zaporke lažno se predstavljajući kao administratori. Pravi administratori imaju mogućnost rješavanja probleme i bez poznavanja korisničkih zaporki. Čuvanje zaporke Zaporke se ne ostavljaju na papirićima koji su zalijepljeni na ekran ili ostavljeni na stolovima, u nezaključanim ladicama itd. Korisnik je odgovoran za tajnost svoje zaporke, te mora naći način da je sakrije. Ukoliko korisnik zaboravi zaporku, administrator će mu omogućiti da unese novu. Administriranje zaporki Na računalima koja spadaju u zonu visokog rizika administratori su dužni konfigurirati sustav na taj način da se korisnički račun zaključa nakon tri neuspjela pokušaja prijave.

Administratori su dužni konfigurirati autentifikaciju tako da zaporke zastare nakon 90 dana, te onemogućiti korištenje zaporki koje su već potrošene, ako sustav to dozvoljava. Prilikom provjere sustava sigurnosni tim može ispitati da li su korisničke zaporke u skladu s navedenim pravilima. Nepridržavanje Korisnici koji se ne pridržavaju navedenih pravila ugrožavaju sigurnost informacijskog sustava. Škola je obavezna odgojno djelovati i obrazovati korisnike u kreiranju sigurnih zaporki. U slučaju ponovljenog ignoriranja ovih pravila škola može stegovno djelovati ili postaviti zaposlenika na radno mjesto na kojem je manja mogućnost ugrožavanja integriteta i sigurnosti sustava i podataka. 103


9) Pravilnik o zaštiti od spama Internetom putuje sve više neželjenih komercijalnih poruka, tzv. spam. Masovne poruke elektroničke pošte najjeftiniji su način reklamiranja. Cijenu plaćaju korisnici i tvrtke, jer čitanje i brisanje neželjenih poruka troši radno vrijeme i umanjuje produktivnost. Dio neželjenih poruka nastoji uvući primatelja u kriminalne aktivnosti, na primjer otvaranje računa za pranje novca, ili su prijevara, nastoje pobuditi samilost kako bi se izvukao novac (enlg. hoax). Za prepoznavanje ovakvih poruka korisnici mogu koristiti uslugu CARNet CERT-a Hoax recognizer. Pravila za administratore Administratori poslužitelja elektroničke pošte dužni su konfigurirati računala na taj način da se što više neželjenih poruka zaustavi. Prva mogućnost jest da se definira ulazni filtar koji će prilikom primanja poruke konzultirati baze podataka koje sadrže popise poslužitelja koji su otvoreni za odašiljanje (eng. open relay), te baza s adresama poznatih spamera. Pošta koja dolazi s tako pronađenih adresa neće se primati. Druga razina zaštite je automatska provjera sadržaja. Poslužitelj može poruke koje su obilježene kao spam spremati na određeno vrijeme u karantenu. Treću razinu zaštite određuju sami korisnici. Poruke dobivaju bodove koji ukazuju na vjerojatnost da se radi o spamu. Kako nije uvijek moguće pouzdano definirati što je spam, ovakva zaštita mora biti uvjetna, odnosno krajnjem korisniku se prepušta uključivanje bodovanja i konfiguriranje preusmjeravanja označenih poruka. Informatičar zadužen za sigurnost će obučavati korisnike i pomagati im pri kreiranju filtara za obilježavanje, odvajanje ili uništavanje neželjenih poruka. Pravila za korisnike Korisnici ne smiju slati masovne poruke, bez obzira na njihov sadržaj. Upozorenja na viruse su često lažna i šire zablude. Korisnici ne smiju radi stjecanja dobiti odašiljati propagandne poruke koristeći računalnu opremu koja pripada ustanovi. Nepridržavanje Protiv korisnika koji se oglušuju o pravila prihvatljivog korištenja i šalju masovne neželjene poruke biti će pokrenut stegovni postupak. 104

Dodatak B: Inventura imovine NKG-a

Dodatak B: Inventura imovine NKG-a Organizacija gdje se planira uvođenje ISMS-a je Nadbiskupska klasična gimnazija sa sjedištem u Voćarskoj cesti 106. Područje uvođenja ISMS-a je cijela škola, dok granicama ISMS-a se smatraju svi procesi na području djelatnosti ove škole i njihova imovina, te dokumenti i informacije izašle iz tih procesa. Sama granica se određuje uz postupak inventure imovine i definiranja usluga i procesa preko intervjua. Pod ISMS imovinom smatra se sva programska i sklopovska podrška, osoblje unutar škole (profesori, učenici, uredsko osoblje), sve dostupne usluge i procesi, kao i nastali dokumenti ili bilo kakva ostala informacija. (vidi slika 8) Informacija

Osoblje

Lokacija

Slika 8 Imovina ISMS-a Ukoliko ne postoji popis, lista imovine, potrebno ju je preko postupka inventure izraditi. Postupak inventure je potrebno minimalno jednom godišnje provoditi i provjeravati točnost prikupljenih podataka. U inventuru je dakako uključena samo „informatička imovina“ i vrši ju osoblje u informatičkom timu. Ostala imovina potpada pod provođenje opće inventure za koju je zadužen domar škole. Lista „informatičke imovine“ se potvrđuje od strane ravnatelja ustanove. Radne akcije vezana uz inventuru: 

Popisuje se sve osoblje



Popisuju se sva programska podrška



Popisuju se svi procesi i dokumenti



Popisuju se sve dostupne usluge 105

Dodatak B: Inventura imovine NKG-a 



Popisuje sve sklopovlje koje se ne može preko programske podrške detektirati Provjerava se sklopovlje koje je detektirano od strane programske podrške

Uz svaku stavku se vežu datumi inventure, datumi početka primjene u radu. Postavljaju se naljepnice sa barkod evidencijskim brojem (sklopovlje), vrši se procjena vrijednosti, kao i detekcija problema (kvarovi, ugroze, itd.) Uspostava programske podrške Zbog što lakšeg detektiranja sklopovlja (naročito računala), ali i kasnijeg nadzora i upravljanja i gledajući na ostale potrebe ISMS-a određena je upotreba Web orijentiranih aplikacija pod GPL licencom. U upotrebi su dvije aplikacije GLPI ( www.glpi-project.org) za unos sve „informatičke imovine“, praćenje rada, prijave sigurnosnih incidenata) i OCS inventory NG (www.ocsinventory-ng.org) za detekciju uređaja u računalnoj mreži kao i dodatak (eng. plugin) za povezivanje tih aplikacija. (vidi sliku 9)

Slika 9 - GLPI Baza podataka Radne akcije za instaliranje i rad tih aplikacija su na engleskom jeziku i nalaze se u sklopu tih web stranica. One se neće za sada prevoditi na hrvatski jezik. Za OCS inventory NG http://prdownloads.sourceforge.net/ocsinventory/OCS_Inventory_NGInstallation _and_Administration_Guide_1.9_EN.pdf.zip?download 106


Za GLPI – http://www.glpi-project.org/spip.php?article61 1) Popis imovine NKG-a Lista osoblja u koju se ubrajaju nastavnici, uredsko-administrativno osoblje (uključujući i održavanje), učenici, zbog svoje veličine i sigurnosti nabrajanje imena za potrebe ovog rada nije nužno potrebno. Za istaknuti je da profesora ima 52, učenika ovisno o godini između 380-440, ostalog osoblja 14. Licenciranje većine programa, (eng. software) je osigurano od strane Ministarstva znanosti obrazovanja i športa. Lista programske podrške: 2x MS Windows Server 2003 16x MS Windows XP Embedded (projekt e-učionice) 20x MS Windows XP Professional 3x Linux Debian distribucija (verzija 4.0) 22x MS Office 2003 Symantec Antivirus Corporate Edition 10 (poslužitelj i klijenti) 4x Nero Burning ROM Ostali programi su najčešće uslužni pod freeware ili shareware licencama , poput Adobe Reader, php editora itd. Upotpunjenu listu dozvoljenih aplikacija Administrator je dužan stalno ažurirati listu aplikacija i pratiti nadogradnje aplikacija radi sprečavanja potencijalnih mogućih ugroza. Sklopovska podrška - veći dio sklopovlja (računala) se detektirao preko OCS Inventory NG, tj. sam program ima agente za Linux, Windows, Unix, Mac OS. Naravno ostali dio sklopovlja kao što su projektori, pisači, fotokopirni uređaji, faks uređaji, usmjerivači, preklopnici itd. nužno unose ručno u GLPI bazu. Prilikom inventure izgrađuje se i shema računalne mreže vidi sliku . Ona će poslužiti kao temelj analize sadašnjeg sustava, izrade popisa ranjivosti, popisa prijetnje, odrediti rizik, tj. kod detektiranja rizika. 107


Slika 10. Shema računalne mreže Napomena: Za potrebe ovog rada shema računalne mreže je dovoljna, ali cjelovitija slika računalne mreže je nužnost zbog prikupljanja dodatnih informacije kao npr. broj priključnih mjesta (mrežnih utičnica) po razredima, fizički smještaj sklopovlja i ostale informacije koje utječu na procjenu rizika. Lista sklopovlja : a) Preklopnici (switch) Layer 2 upravljivi preklopnici Cisco Catalyst 2950T 24 port 10/100 + 2 GB 3Com SuperStack 3 4200 24 port 10/100 + 2 GB) Layer 2 neupravljivi preklopnici 









24 port 10/100/1000 Asus GigaX1024P 2x 8 port 10/100/1000 Conceptronic 1x 8 port 10/100 Conceptronic 108


b) Usmjerivači 1x DSL modem Siemens T-Com c) Wireless Lan oprema 

2x AP Planet WAP 4000 d) Projektor 

2x NEC NP4000 e) Pisači 

1x Hp LaserJet 6p 1x Hp LaserJet P2015n 1x Samsung Samsung CLP-550N 1x Epson LQ-1170+ f) Računala 







26x uredska računala 5x poslužitelj (eng. server) računala 16x tanki klijent g) Ostali uređaji 







1x fotokopirni stroj



1x faks uređaj 3x UPS (neprekidno napajanje) h) Astronomija 

1x teleskop 1x ST-7XMEI (kamera za teleskop) 3x Nagler okulara za teleskop (raznih dimenzija) razni filtri i dodatna oprema za teleskop 2x uređaji za promatranje sunca Lista usluga (servisa): 









a) Informatičke usluge 







DNS za vanjsku domenu www.nkg-zagreb.hr WEB www.nkg-zagreb.hr WEB e-pošta (eng. webmail) AAI – LDAP imenički katalog 109

Dodatak B: Inventura imovine NKG-a 







Forum NKG Vatrozid – središnji na ulaznom usmjerivaču Active Directory – za nutarnju domenu nkg.local i lokalni imenički katalog DHCP – za lokalnu mrežu

b) Ostale usluga unutar škole 





Astronomija (promatranje svemira kroz teleskop) Interaktivna nastava preko računala i projektora (nastava Fizike, Kemije, Povijest, Biologija, Zemljopis) Knjižnice (odvojeni prostori za profesore i učenike)

Procesi unutar NKG-a: 







Računovodstvo – financijske transakcije, obrade plača i ostali slični poslovi Pedagog – pedagoška zapažanja učenika Tajništvo – opći dokumenti Ravnatelj – opći dokumenti

Novi procesi potrebni za uspostavu ISMS-a: 





Upravljanje dokumentima (OpenDocMan) Pronalaženje novih računala unutar računalne mreže i detekcija sklopovlja (OCS inventory NG) Popis imovine i nadzor iste (GLPI)

Lista incidenata: 

















problemi kvara sa tvrdim diskovima (eng. HDD) problem više accounta (AAI, Active Directory, webmail) problem kvara na bežičnom uređaju (eng. Wireless access point problem kvara na matičnim pločama unutar računala problem nestanka struje (slabi UPS uređaji) problem skidanja nepoćudnog materijala s Interneta problemi oko nemogućnosti ispisa dokumenta zaboravljanje lozinki kod korisnika problemi oko logiranja korisnika (velike korisničke profile-e) 110

Poljak Ivan Diplomski Rad 1716

Recommend Documents