Jezik: Hrvatski UDK: (organizator)

Kategorizacija rada: (organizator)

Jasmin Ćosić, Adis Medić

INFORMACIJSKA SIGURNOST, STANDARDI I STANJE U INSTITUCIJAMA BIH

SažetakInformacijski sustavi u organizacijama su postali stalna meta napada kako iz vana, tako i iznutra. Razloga ovome je mnogo, ali svakako najveći razlog je to da je cilj napada krađa, uništenje ali i promjena izvornih podataka organizacije. Informacijska sigurnost se od 2000. godine počela rapidno razvijati, a ISO organizacija (International Organization for Standardization) je uvela nekoliko standarada koji pokrivaju ovu oblast. Organizacije u svijetu postale su sve više svjesne činjenice da su njihovi podaci nesigurni, te su se sve ozbiljnije počeli baviti ovom problematikom.I Bosna i Hercegovina ide istim putem, ali dosta sporijim tempom. Autori su u radu dali pregled ove oblasti, analizirano je stanje u BiH, te je prvi puta predstavljeno istraživanje na temu informacijske sigurnosti a koje sadrži rezultate znanstvenih istraživanja u jednom veoma bitnom dijelu Institucija BiH.

Ključne riječiInformacijska sigurnost, Sigurnost eGovernment-a, Standardi informacijske sigurnosti, ISO2700X

INFORMATION SECURITY STANDARDS AND STATE IN INSTITUTIONS OF B&H

AbstractInformation systems in organizations have become a constant target of attacks both from outside and inside. There are many reasons for that, but certainly the biggest reason is that the point of attack is theft, destruction and change the original data of the organization. Since 2000 Information security began to develop rapidly and the ISO organization has introduced several standards that cover this area. Organizations worldwide have become increasingly aware that their data is insecure, and they all began to seriously address this issue. Bosnia and Herzegovina is going into the same direction, but much slower pace. In this paper, the authors gave an overview of this area, analyzed the situation in B&H, and is presented research on information security which includes the results of scientific research in a very substantial part of B&H institutions.

Key wordsInformation Security, eGovernment security,Standards for information security, ISO2700X

UVOD

Danas je potreba za informacijskom sigurnošću daleko veća nego prije nekoliko godina kada su informacijsko-komunikacijske tehnologije bile na dosta nižoj razini. Sve tvrtke, kao sastavni dio svoga poslovanja grade informacijski sustav, bilo u marketinškom obliku, u obliku sustava za podršku odlučivanju u poduzeću, sustava za planiranje resursa ili jednostavno kao sustav koji olakšava svakodnevne poslove. Smatra se da su informacija i informacijski sustav najveće blago jedne tvrtke. Prema rije;ima izvršnog direktora Coca Cola Co. Neville Isdell: ”Informacija je izvor snage svake kompanije”. [3] Stoga tvrtke u svijetu sve više posvećuju dužnu pažnju zaštiti svojih informacija i informacijskoj sigurnosti. ISO/IEC 17799 standard (2005) je najčešće upotrebljavan i korišten standard kao ključni elemenat u upravljanju informacijskom sigurnošću. [7]Informacijska sigurnost se bavi ne samo zaštitom informacijskih sustava, u smislu tehničke zaštite, već i samih informacija, u ma kakvom one bile obliku. Koncept informacijske sigurnosti je dosta širok i pored tehničkih mjera zaštite , obuhvata i fizičke mjere, logičke, programske ali i administrativne mjere. Ove mjere su propisane serijom standarda ISO2700X. Ono što bi organizacije trebale uraditi je navedeno u ISO27001, a u standardu ISO27002 je propisano na koji način bi to trebalo uraditi. Sprovođenje mjera iz ovih standarda smatra se izgradnjom sustava za upravljanje informacijskom sigurnošću. Za organizacija koja ima uvedenu formalnu sigurnosnu politiku smatra se da su joj sigurnost i zaštita informacijskog sustava na visokoj razini. [2] U članku se autori bave stanjem informacijske sigurnosti u državnim institucijama u BiH, zakonskoj regulativi u ovoj državi, te o spremnosti institucija za uvodjenjem ISO standarda, te eventualnim certificiranjem shodno ISO27006 standardu. Prvi puta su predstavljeni preliminarni rezultati istraživanja na temu informacijske sigurnosti u institucijama države Bosne i Hercegovine u jednom njenom segmentu.

STANDARDI INFORMACIJSKE SIGURNOSTI

Serija ISO standarda ISO27000 rezervirana je od strane ove organizacije i propisuje infomacijsku sigurnost.Historijski gledano, prvi dokumenat koji se bavio ovom problematikom je bio „Code of Practice” od British Standard Institute-a, iz 1993.godine koji je 1995 godine postao Britanski standard 7799. Nakon 5 godina ISO ga je prihvatio kao ISO17799:2000 – međunarodni standard za informacijsku sigurnost. 2005 godine, zbog naglog razvoja informacijskih znanosti i nedostatnosti verzije 2000 standarda, objavljena je inačica ISO17799:2005.ISO27001 iz oktobra 2005.godine , kao zamjena za BS7799-2 predstavlja specifikaciju za sustav za upravljanje informacijskom sigurnošću-on specificira što bi trebalo uraditi kako bi sustav bio siguran.ISO27002, odnosno alias ISO17799 standarda, predstavlja zbirku pravila iz prakse, odnosno specificira na koji način bi trebalo uraditi da informacijska sigurnost bude na visokoj razini.Pored ova dva standarda postoje i ISO27003, ISO27004, ISO27005 i ISO27006. Ovi standardi predstavljaju preporuke za implementaciju ISMS-a, zatim upravljanje mjerenjima i metrikom u informacijskoj sigurnosti, upravljanje rizicima, kao i sam proces akreditacije i ISMS certificiranja organizacije. [Future 27000 standard]

Slika 1. ISO 27000 serija standarda

Izvor: vlastiti izvorNa slici br.1 vidimo trenutno stanje [2009.g.] na polju standarda vezanih za informacijsku sigurnost.

SIGURNOSNA POLITIKA I NAJČEŠĆE PRIJETNJE

Najbitniji segment informacijskog sustava jednog poduzeća, firme ili organizacije je sigurnosna politika. Ukoliko informacijsku sigurnost promatramo kao osobu, sigurnosna politika bi bila njen centralni nervi sustav. [5]Ona predstavlja jezgro informacijske sigurnosti , i pokriva sve aspekte od organizacijske sigurnosti, sigurnosti osoblja-fizičke sigurnosti, klasifikacije prijetnji IS-u, prava pristupa itd. Detaljno poznavanje legislative kroz proces razvoja i implementacije sigurosnih standarda je nedovoljno kako bi se mogao implementirati jedan tako kompleksan plan. Potrebno je uložiti mnogo više napora – biti spreman na efektivnu komunikaciju, imati potporu menadžmenta, identificirati kvalitetnog voditelja projekta, te imati suradnju IT osoblja. [6]Prema ISO17799:2000 standardu prijetnje s obzirom na uzorke nastanka mogu biti:

- prirodne katastrofe- tehnički problemi- nenamjerne ljudske pogreške- namjerne ljudske pogreške

Prema CSI (Computer Security Institute) prijetnje mogu biti:

- unutarnje (sve radnje korisnika koji imaj pristup IS-u)- spoljašnje (udaljeni pritup s ciljem nanošenja štete IS-u)

“CIA triad” (slika 2) - povjerljivost, integritet i dostupnost čine jezgro principa informacijske sigurnosti. Sva tri principa su opisana u ISO17799 standardu. Sigurnosni mehanizam je metod, alat ili procedura namjenjena za nametanje sigurnosne politike. Ranjivost IS-a je i loše dizajniran sustav, bug-ovita implementacija, i problemi u radu pri neočekivanim dešavanjima. [1]

Slika 2. CIA triad

Izvor: vlastiti izvor

ZAKONSKA REGULATIVA U BIH

Bosna i Hercegovina je država u tranziciji-država koja je, ne tako davno, izašla iz teškog ratnog perioda. Zbog loše ekonomsko-socijalne situacije u zemlji, i razvoj informacijskih sustava u organizacijama ali i tijelima državne uprave je na dosta niskoj razini i limitiran i opterećen je ovim problemima. Što se tiče zakonske regulative koja se tiče informacijske sigurnosti u BiH, donešeni su samo poneki okvirni zakoni koji pokrivaju ovu oblast, sam “Zakon o informacijskoj sigurnosti” kao okvirni zakon , ne postiji niti je kada bio u parlamentarnoj procedure.Najznačajniji zakoni su svakako “Zakon o zaštiti tajnih podataka” (SG BiH 54/05), “Zakon o zaštiti osobnih podataka” (SG BiH 32/01, 49/06), “Zako o centalnoj evidenciji i razmjeni podataka” (SG BiH 32/01), “Zakon o komunikacijama” (SG BiH", 31/03 i 75/06)”.U parlamentarnoj procedure se nalazi i “Zakon o Agenciji za razvoj informacijskog društva ” (novembar 2008), ali nije još uvijek donešen. Formirana je i “Agencija za zaštitu osobnih podataka” prema preporukama EU. U manjem BH entitetu – Republici Srpskoj je formirana Agencija za informacijsko društvo Republike Srpske koja se djelomice bavi i stanjem informacijske sigurnosti u institucijama ovoga dijela Bosne i Hercegovine, ali u manjem obimu. Na državnoj razini ne postoji nešto slično.BiH nema CERT („Computer Emergency Response Team”) koji bi se bavio koordinacijom i suradnjom u rješavanju sigurnosnih incidenata između zemalja, te koji bi radio na edukaciji korisnika interneta i državne mreže na prevenciji sigurnosnih incidenata. Državna Agencija za identifikacione dokumente, evidenciju i razmjenu podataka (IDDEEA), jednim dijelom radi i na zaštiti informacijskih sustava institucija BiH, ali samo u segmentu administriranja i upravljanja SDH radio-relejnom mrežom putem koje su povezane sve institucije BiH.Generalne preporuke i propisi na razini BiH ne postoje.

ISTRAŽIVANJE - STANJE IS U BIH

Problem istraživanja kojim su se autori bavili u radu je usmjeren na institucije Bosne i Hercegovine i to jedan segment institucija čiji rad se bazira na prikupljanju i obrađivanju informacija i donošenju zaključaka na osnovu tih informacija. Predmet istraživanja se odnosi na sigurnost informacijskih sustava u ovim institucijama.Objekt istraživanja je jedan veoma bitan segment institucija Bosne i Hercegovine, koji je disperziran u svim dijelovima BiH. Ukupan broj institucija je 15 a koje čine funkcionalnu cjelinu i obavljaju istu djelatnost. Glavna hipoteza koja je postavljena je :”Sigurnost informacijskih sustava u inititucijama BiH je na veoma niskoj razini, zbog zanemarivanja ove obasti od strane države.”

Svrha i ciljevi istraživanja su dati odgovor na sljedeća pitanja te na osnovu toga predložiti rješenje problema:

1. Postojanje radnog mjesta „Menadžer za sigurnost IS-a”2. Adekvatna popunjenost tog radnog mjesta3. Saznjanja o ISO 27001 i ISO270024. Implementiranost sigurnosne politike u institucijama5. Donošenje ili ne dokumenata o informacijskoj sigurnosti6. Implementiranost ili ne „Intrusion detected system” (IDS-a)7. Bilježenje ili ne nekog sigurnosnog incidenta (propusta) ?

Istraživanjem je obuhvaćeno 15 institucija – na državnoj, entitetskoj i županijskoj razini, što predstavlja 100% uzorak u ovoj oblasti koja je uzeta kao uzorak.Istraživanje je vršeno putem on-line ankete, koja je postavljena na autorovom web site-u na web adresi: http://cosic.com.ba/index.php?option=com_jforms&view=form&id=3&Itemid=44 .Na slici br.3 je predstavljen on-line obrazac koji se koristio kao metoda tijekom cijelog istraživanja.

Slika 3. Anketa sa pitanjima namjenjena IT menadžerima

Izvor: vlastiti izvor

Putem e-maila ili u telefonskom razgovoru najkompetentnije osobe (IT menadžeri) su zamoljeni da daju iskrene odgovore na 14 pitanja.Pitanja su se odnosila na postojenje ili ne postojanje radnog mjesta menadžera za IT sigurnost, popunjenosti tog radnog mjesta, saznanja o ISO27001 i ISO27002, implementaciji sigurnosne politike u instituciji, formalnom ili neformalnom postojanju

ove politike, donošenju potrebnih dokumenata, te o tome da li organizacije imaju implementiran IDS (intrusion detection system - sustav za detekciju upada), te da li su do sada imali zabilježenih sigurnosnih incidenata.Cilj je bio da se vidi na kojoj razini se nalazi informacijska sigurnost u BiH, te da se daju preporuke za budući rad i istraživanja na ovu temu, a prvenstveno na uporedbu BiH sa zemljama u okruženju , te sa EU i NATO smjernicama.

Prema rezultatima, od 15 institucija koje su ispitane, samo 26 % institucija imaju sistematizirano ali ne i adekvatno popunjeno radno mjesto „menadžera za informacijsku sigurnost”, 66% institucija je čulo za ISO2700 seriju standarda, svega 20 % institucija imaju implementiranu sigurnosnu politiku , 46% ih planira uvodjenje, a 40% ne planira u bliskoj budućnosti. Svega 13% institucija u trenutku vršenja istraživanja planira certifikaciju po ISO27001 standaru. Od dokumenata vezanih za informacijsku sigurnost, 86% institucija ima implementiranu samo fizičku sigurnost, 20% sigurnost radnog mjesta, 33% sigurnost komunikacija. Svega 33% institucija ima donešen formalni dokumenat „politika fizičke zaštite ”, 20% ima donešen dokumenat „politiku info.sigurnosti radnog mjesta”. Čak 66% institucija nema donešen nikakav formali akt, ali ima u planu skoro donešenje.53% institucija ima implementiran IDS (Intrusion detection system), a 26% je imalo do sada zabilježen neki sigurnosni propust ili incident. Niti jedna institucija nije certificirana prema ISO normama i standardima.

Slika 4. Preliminarni rezultati istraživanja

Izvor: vlastiti izvor

ZAKLJUČAK I PREPORUKE

Ubrzan razvoj IKT-a, a posebno interneta , web tehnologija te web 2.0 servisa, donio je i veliki broj potencijalnih prijetnji informacijskim sustavima kako malim tvrtkama , tako i velikim korporacijama i državnim institucijama.Podaci su postali meta zlonamjernih korisnika, te je stoga i neophodna njihova adekvatna zaštita. Iz godine u godinu broj prijetnji raste, a mijenja se i njihov oblik i način njihovog izvršenja. Ukoliko bi nekom od dostupnih metoda procjene kvalitete informacijskog sustava (COBIT, ITIL, SIX SIGMA, CMMI, ISO i sl.) vrijednovali rezultate dobivene u istraživanju uvjerili bi se da se sigurnost IS-a u ciljanim institucijama nalazi na veoma niskoj razini.Npr. Prema COBIT DS5 (osiguranje sistema sigurnosti) gdje se zrelost rangira od 0-5 , u slučaju istraživanja stanja sigurnosti u institucijama zrelost bi se mogla rangirati sa 1 – Inicijalna ili početna faza, gdje postoji „prepoznavanje“ potrebe za upravljanje informacijskom sigurnošću ali nema standardizirnih procedura, ne postoji sistematski pristup, nego samo ad-hook , sporadično prepoznavanje potreba od strane pojedinaca ili od slučaja do slučaja [COBIT].Iz rezultata istraživanja sprovedenog ovom anketom vidljivo je da je informacijska sigurnost ogranizacija u BiH na niskoj razini, da veoma mali procenat institucija ima implementiranu sigurnosnu politiku, ali da je „krivac” za to velikim dijelom i zakonska regulativa, te zanemarivanje IT-a od strane države.Ne postoji Agencija na državnoj razini koja bi se bavila ovim problemom, ali isto tako ne postoji niti okvirni Zakon. Informacijski sustavi ovih organizacija su distribuirani, nema centraliziranog upravljanja. Razvoj ovih sustava je spušten na razinu županija, postoji oko 20 organizacijskih dijelova – potputno neovisnih koji upravljaju cijelim IS-om, ali i njegovom sigurnošću, što je dovelo do velike disperzije, nepovezanosti i fragmentiranosti. Sljedeći problem je loša i nekvalificirana popunjenost radnih mjesta u ovim institucijama, naročito stručnjaka za sigurnost. Razlog ovomu je i nepostojanje ovih radnih mjesta u „Pravilnicima o unutarnjoj organizaciji i sistamatizaciji radnih mjesta”, što je opet problem za sebe, jer su svi pravilnici raziličiti, neusklađeni i nestručno pisani.Pozitivno u svemu je što su institucije svjesne vrijednosti informacija, te su spremne da ulažu u uvodjenje sigurnosne politike, te zaštitu svojih IS-a, a što je i trenutni trend, zbog zahtjeva EU, te Agende za Jugoistočnu Europu.Ulaganja u informacijsku sigurnost su neminovnost , potreba i institucije u BiH toga postaju svjesne.

LITERATURA

[1] Andy J.A.Wand: Information security models and metrics, Proceeding of the

43rd annual Southeast regional conference, Georgia, 2006

[2] CARNet „Sigurnosna politika“, CCERT-PUBDOC-2009-05-265, Zagreb, 2009

[3] Carrol M.: Information Security:Examinating and Managing the insider

Threat,InfoSecCD Conference, Kennesaw,GA, USA, 2006

[4] Diffie W.: Information security:50 Years behind, 50 Years ahead,

Communications of the ACM, ACM Vol.51, No1, 2008

[5] Pelher T.R.mPelher J.: Information Security fundamentals, CRC Press, 2005

[6] Walton J.P.: Developing and Enterprise Information Security Policy, SIGUCCS

02, Providence Rhode Island, USA, ACM, 2002

[7] Winader T.: Implementing the ISO/IEC 17799 standard in practice /

experiences on audit phases, Australian Information Security Conference / AISC2008,

Wollongong, Australio, 2008

Ostali materijali

Norme:

An Introduction to ISO 27001, ISO 27002....ISO 27008, www.27000.org,

( 20.08.2009.g.)

COBIT metodologija, V.4.1

Future 27000 Standards, http://www.27000.org/future.htm ,

(25.08.2009.g.)

Kodeks prakse, ISO17799:2000

Internet:

Computer Security Institute , http://www.gocsi.com, (01.09.2009.)

What is the CIA triad http://www.zdnetasia.com, (25.08.2009.)

eSEE Agenda Plus for the Development of the Information Society in SEE

2008, http://www.e-hrvatska.hr, (01.09.2009.)

Podaci o autoru/autorima

1. 2.Jasmin Ćosić,dipl.ing.IT Adis Medić,dipl.ing.el.MUP USK Bihać,PhD Student – FOI Varaždin

d.o.o. „INFOSYS“,PhD Student – FOI Varaždin

Bihać Bos.KrupaBosna i Hercegovina Bosna i Hercegovinajascosic@bih.net.ba adismedic@hotmail.com

Prijedlog autora za kategorizaciju rada

Znanstveni rad

Izvorni znanstveni članak (sadrži neobjavljene rezultate izvornih znanstvenih istraživanja)

X Prethodno priopćenje(sadrži rezultate znanstvenih istraživanja koji zahtijevaju brzo objavljivanje)

Pregledni članak(sadrži izvorni, sažet i kritički prikaz istraživačkog područja ili njegova dijela, s istaknutim autorovim doprinosom)

Izlaganje sa znanstvenog skupa(sadrži neobjavljeno izlaganje sa znanstvenog skupa)

Stručni rad

Stručni članak (sadrži korisne priloge za struku iz određenog područja)

Prijedlog autora za način prezentacije rada na Konferenciji

X Prezentacija s računalom i digitalnim projektorom(tijekom Konferencijeu određenoj sekciji, MS Power Point)

Poster(tijekom Konferencije, u poster sekciji,poster A2 na panou)