PRIMJENA STANDARDA INFORMACIJSKE SIGURNOSTI U LUTRIJSKOM POSLOVANJU

Page 1

Silvana Tomić Rotim, Nataša Kučeković, Ivan Jakab SILVANA TOMIĆ ROTIM, NATAŠA KUČEKOVIĆ, IVAN JAKAB ZIH d.o.o., Zagreb, ZIH d.o.o., Zagreb, Hrvatska Lutrija d.o.o., Zagreb stomic@zih.hr, nkucekovic@zih.hr, ivan.jakab@lutrija.hr

PRIMJENA STANDARDA INFORMACIJSKE SIGURNOSTI U LUTRIJSKOM POSLOVANJU Stručni rad / Professional paper Sažetak U lutrijskom poslovanja iznimna važnost se pridaje sigurnosti informacija. Kao kritični faktori prepoznaju se zaštita privatnosti igrača i osiguranje povjerenja u priređivača lutrijskih igara. Kako bi se hrvatski priređivači lutrijskih igara uspješno uključili u svjetsko lutrijsko tržište, nužno je, s aspekta informacijske sigurnosti, osigurati prepoznatljivo i dokumentirano okruženje za odvijanje igara. U tu svrhu razvijen je međunarodni sigurnosni standard za lutrijsko poslovanje – WLA (World Lottery Associationj Security Control Standard). WLA obuhvaća dvije skupine zahtjeva, opće i specifične sigurnosne zahtjeve. Opći zahtjevi temelje se na ISO/IEC 27001:2005 standardu za upravljanje informacijskom sigurnošću, a nadopunjeni specifičnim lutrijskim sigurnosnim zahtjevima, određuju minimalne uvjete potrebne za učinkovito upravljanje sigurnošću u lutrijskom poslovanju. U ovom radu prikazano je kako kombinacijom raspoloživih standarda informacijske sigurnosti ostvariti željenu razinu sigurnosti informacija u lutrijskom poslovanju i povjerenje javnosti u priređivače takvih igara. Ključne riječi: WLA - World Lottery Association, ISO 27001, Informacijska sigurnost, Lutrijsko poslovanje 1. UVOD Informacijska sigurnost postaje neizbježni faktor uspješnog poslovanja u velikom broju današnjih djelatnosti. Jedna od njih u kojoj je iznimno bitna informacijska sigurnost jeste lutrijsko poslovanje. Svaka lutrija prodaje igre i šansu za dobitak svojim igračima, a svojim vlasnicima donosi značajnu dobit. Pri tome i jedni i drugi žele biti sigurni da ništa neće ugroziti njihov dobitak. Igrači moraju imati povjerenje u priređivača igara, na način da će poštivati pravila igara, da neće manipulirati informacijama i da će u svakom trenutku garantirati sigurnost njihovih osobnih podataka i općenito njihovu privatnost. To osobito dolazi do izražaja u današnje vrijeme kada se omogućavaju lutrijske igre i putem Interneta, gdje je iznimnno bitno zaštititi sve informacije o igraču, uključujući i podatke o njgovoj kreditnoj kartici kojom provodi plaćanje. Također, u slučaju dobitka, većina igrača želi zaštititi svoju privatnost. S druge strane vlasnici žele biti sigurni da priređivači lutrijskih igara posluju u skladu sa zakonskom regulativom i objavljenim pravilima igara, kako se ni na koji način ne bi ugrozio imidž i povjerenje u takve institucije. Zbog toga je bitno da svaki priređivač lutrijskih igara osigura sva tri bitna aspekta informacijske sigurnosti u svom poslovanju: povjerljivost, integritet i raspoloživost informacija. Da bi se to uspješno i na sistematičan način provelo, nužno je primijeniti neki od standarda informacijske sigurnosti. Uz dobro poznati, generalni standard informacijske sigurnost ISO/IEC 27001:2005, Svjetska lutrijska organizacija razvila je WLA standard informacijske 12. HRVATSKA KONFERENCIJA O KVALITETI I 3. ZNANSTVENI SKUP HRVATSKOG DRUŠTVA ZA KVALITETU, Brijuni 10. – 12. svibnja 2012. g. - 358 -


Silvana Tomić Rotim, Nataša Kučeković, Ivan Jakab sigurnosti, u cijelosti prilagođen lutrijskom poslovanju. On se sastoji od dva ključna dijela: općeg i lutrijskog. Opći dio se dobrim dijelom naslanja na zahtjeve ISO 27001 standarda i uz to kao preduvjet navodi i implementaciju ISO 27001 standarda u cijelosti. Verzija tog satndarda 4.1, koja je još uvijek u draftu, daje 9 skupina zahtjeva u općem dijelu, uvodeći interne procjene i privatnost igrača kao novost u odnosu na prethodnu verziju. Također, u lutrijskom dijelu, ovaj standard daje 8 skupina zahtjeva, od čega čak tri nove skupine koje se odnose na Internet prodaju i interaktivne usluge, pretplatu i sportsko klađenje. U praksi svi ovi zahtjevi se implementiraju u skladu s razrađenom metodologijom za sve ključne procese i svu kritičnu imovinu priređivača lutrijskih igara. Ta metodologija uključuje prepoznavanje ključnih procesa, određivanje informacijske imovine za svaki od njih, njeno klasificiranje po povjerljivosti, integritetu i raspoloživosti, identificiranje ključnih prijetnji i ranjivosti, procjenu rizika te definiranje plana postupanja s rizicima. U skladu s planom implementiraju se sve bitne sigurnosne kontrole kojima se umanjuju rizici i osigurava poslovanje u skladu sa standardima informacijske sigurnosti. Rizik nikada neće nestati, ali će se ovakvim pristupom umanjiti, kao što će se i osigurati povjerenje igrača i vlasnika u rad priređivača lutrijskih igara. 2. WLA STANDARD INFORMACIJSKE SIGURNOSTI Svaki priređivač lutrijskih igara mora osigurati adekvatno i sigurno okruženje za pružanje svojih usluga, tj. za prodaju lutrijskih igara u cilju zadobivanja i očuvanja povjerenja svojih igrača i ostalih dionika. Pri tome je najbolji pristup slijediti standarde Svjetske lutrijske organizacije koja je svojim WLA standardom pružila dobar okvir svim lutrijskim organizacijama u osiguranju informacijske sigurnosti u svom okruženju. Ovaj standard definira način upravljanja rizicima i sigurnošću u lutrijskom sektoru i predstavlja najznačajnije polazište po pitanju informacijske sigurnosti u ovom sektoru. Usklađen je i sa zahtjevima ISO 27001 standarda informacijske sigurnosti. Dobar je alat i za menadžment koji putem njega može imati neovisan pregled i ocjenu po pitanju informacijske sigurnosti, a sve u cilju povećanja povjerenja u lutrijsku sigurnost. Putem njega svi priređivači lutrijskih igara mogu osigurati povjerljivost, integritet i raspoloživost informacija nužnih za njihovo uspješno poslovanje. WLA sustav upravljanja informacijskom sigurnošću također se temelji na dobro poznatom „Plan-Do-Check-Act“ modelu, uključujući planiranje, implementaciju, nadzor i pregled te kontinuirano održavanje i poboljšavanje sustava. U nastavku se daje pregled općih i lutrijskih zahtjeva WLA standarda informacijske sigurnosti te mapiranje sa zahtjevima ISO 27001 stndarda. 2.1 Opći zahtjevi informacijske sigurnosti Opći zahtjevi informacijske sigurnosti uključuju 9 glavnih skupina kroz koje se implementira 38 sigurnosnih kontrola: • • • • • •

G.1 Organizacija sigurnosti G.2 Sigurnost ljudskih resursa G.3 Fizička i sigurnost okruženja G.4 Upravljanje operativom G.5 Kontrola pristupa G.6 Održavanje informacijskih sustava

12. HRVATSKA KONFERENCIJA O KVALITETI I 3. ZNANSTVENI SKUP HRVATSKOG DRUŠTVA ZA KVALITETU, Brijuni 10. – 12. svibnja 2012. g. - 359 -


Silvana Tomić Rotim, Nataša Kučeković, Ivan Jakab • • •

G.7 Upravljanje kontinuitetom poslovanja G.8 Interne procjene G.9 Privatnost igrača

U području skupine G.1 Organizacija sigurnosti identificirano je više bitnih sigurnosnih kontrola. Jedna od njih je nužnost formiranja Foruma sigurnosti koji bi provodio nadzor i pregled ISMS-a te davao prijedloge za poboljšanja, a imao bi i obavezu sastajanja barem dva puta godišnje. U ovoj skupini kao bitan zahtjev ističe se i potreba definiranja funkcije sigurnosti, tj. osobe koja će biti odgovorna za implementaciju sigurnosnih kontrola u cijeloj organizaciji. Kao takva mora biti pozicionirana u organizacijskoj shemi na mjesto koje će joj osigurati direktnu liniju izvješćivanja najvišeg menadžmenta i pristup svim resursima bitnim za procjenu, implementaciju i unapređenje sigurnosnih kontrola za umanjenje svih potencijalih rizika. Ta osoba mora biti i član Foruma sigurnosti i biti odgovorna za valjanost predloženih unapređenja ISMS-a. Ova skupina zahtjeva dobrim dijelom se preklapa s A.6.1 skupinom zahtjeva ISO 27001 standarda. U skupini G.2 Sigurnost ljudskih resursa ključne kontrole su implementacija Kodeksa ponašanja i podizanje svijesti, edukacija i trening za informacijsku sigurnost. To prvenstveno znači da je potrebno načiniti Kodeks ponašanja koji će uključivati elemente poput antidarovne politike, prijave sukoba interesa te disciplinskog postupka u slučaju kršenja svih sigurnosnih politike i procedura. Također, nužno je osigurati adekvatno planiranje edukacije i podizanje svijesti djelatnika, te iste provoditi u skladu s planom i voditi evidenciju o njima. Ovi zahtjevi su sukladni A.8 zahtjevima ISO 27001 standarda. Skupina G.3 Fizička i sigurnost okruženja obuhvaća zaštitu sigurnosnih prostora, kao što je data centar, sistem sala i telekomunikacijska soba, te fizičku kontrolu pristupa tim prostorima. Ova skupina zahtjeva odgovara A.9.1 zahtjevima standarda ISO 27001. Skupina G.4 Upravljanje operativom obuhvaća zaštitu od sigurnosnih ranjivosti na sustavima važnim za izvođenje lutrijskih igara adekvatnom instalacijom zakrpa za uočene ranjivosti. U ISO 27001 standardu upravljanje operativom i komunikacijama je pokriveno znatno većim brojem sigurnosnih kontrola u skupini A.10, dok je dio koji se odnosi na upravljanje tehničkom ranjivošću definiran kontrolom A.12.6. Skupina G.5 Kontrola pristupa odnosi se prvenstveno na upravljanje udaljenim pristupom sustavima za lutrijske igre. Nužno je načiniti proceduru za kontrolu udaljenog pristupa sustavima lutrijskih igara, koja će uključiti sve elemente od dodjele prava pristupa, kontrole pristupa kroz logove, praćenje sigurnosnih incidenata itd. Ovaj dio odgovara kontroli pristupa A.11 iz ISO 27001 standarda, uz naglasak na udaljeni rad A.11.7. U skupini G.6 Održavanje informacijskih sustava ključne kontrole su kriptografske kontrole i testiranje sustava. Cilj kriptografskih kontrola je zaštititi povjerljivost, autentičnost i integritet svih ključnih informacija koje se odnose na lutrijske igre i igrače. Pri tome je bitno osigurati primjenu kriptografskih kontrola na sve prijenosne uređaje i medije na kojima su pohranjene klasificirane informacije, na njihov prijenos mrežom, na informacije o dobitnim srećkama i validacijskim brojevima, financijskim transakcijama itd. Kriptografske kontrole su obuhvaćene i skupinom A.12.3 u ISO 27001 standardu. Također, potrebno je osigurati povjerljivost i integritet testnih podataka i spriječiti primjenu produkcijskih podataka za testiranje. Skupina G.7 Upravljanje kontinuitetom poslovanja osigurava zaštitu imidža i reputacije priređivača lutrijskih igara te zaštitu od prekida u poslovnim aktivnostima. Potrebno je pripremiti plan kontinuiteta poslovanja koji obavezno odobrava uprava. Ti zahtjevi su u skladu s točkom A.14 ISO 27001 standarda. Skupina G.8 odnosi se na obvezu provođenja internih procjena koje prvenstveno moraju biti neovisne, tj. nitko ne smije procjenjivati svoje područje rada i moraju se provoditi na 12. HRVATSKA KONFERENCIJA O KVALITETI I 3. ZNANSTVENI SKUP HRVATSKOG DRUŠTVA ZA KVALITETU, Brijuni 10. – 12. svibnja 2012. g. - 360 -


Silvana Tomić Rotim, Nataša Kučeković, Ivan Jakab profesionalan način, što znači da svi procjenitelji moraju poznavati lutrijsko poslovanje i tehnike procjene, primjenjivati adekvatne standarde za procjenu te raditi na povećanju učinkovitosti internih procjena. Interni procjenitelji o rezultatima svojih procjena moraju izvješćivati najviši menadžment i dati sve potrebne inpute za rad Foruma sigurnosti. ISO 27001 također prepoznaje interne procjene kao bitan mehanizam nadzora i unapređenja sustava upravljanje informacijskom sigurnošću te ga i kroz svoj obavezni dio, a i kroz Anex 6.1.8 iznosi kao obavezni zahtjev. U skupini G.9 Privatnost igrača obrađuju se zahtjevi zaštite prikupljenih osobnih podataka igrača u skladu sa Zakonom o zaštiti osobnih podataka i samim standardom. Pod tim se podrazumijeva priprema politike privatnosti i rukovanja osobnim podacima, klasifikacija tih podataka te njihovo čuvanje i kriptiranje. Također, nužno je implementirati i kontrole za zaštitu podataka o dobitnicima u lutrijskim igrama. Pristup takvim podacima mora biti ograničen, a pristup nadziran i dokumentiran. ISO 27001 standard u svojoj skupini Sukladnosti tretira i problem zaštite osobnih podataka A.15.1.4. 2.2 Lutrijski zahtjevi informacijske sigurnosti Lutrijski zahtjevi informacijske sigurnosti uključuju 8 skupina putem kojih se implementira 96 sigurnosnih kontrola: • L.1 Instant srećke • L.2 Izvlačenje lutrijskih igara • L.3 Sigurnost prodavača lutrijskih proizvoda • L.4 Zaštita nagrada • L.5 Prodajno osoblje i podrška korisnicima • L.6 Internet prodaja i interaktivne usluge • L.7 Pretplata • L.8 Sportsko klađenje Skupina L.1 obuhvaća zahtjeve za implementacijom sigurnosnih kontrola u dizajniranju instant igara, tisku instant srećki, njihovoj dostavi, skladištenju, distribuciji i prodaji te na kraju životnog ciklusa pri zaključenju instant igara. Potrebno je imati jasno definirane procedure koje pokrivaju kompletan životni ciklus instant igara, s jasno definiranim odgovornostima, kriterijima odabira dobavljača, kontrolom kvalitete u tiskari i konačnim testiranjem prihvatljivosti. Prilikom tiska instant srećki iznimno je bitno osigurati potrebnu kvalitetu, kriptirati validacijske brojeve i dobitne datoteke te verificirati i testirati srećke. I sam transport srećki treba osigurati da se odvija prema ranije usklađenom planu i u zapečaćenim kontejnerima. Svi prodavaču moraju dobiti upute o prodaji instant sreći i proći adekvatne edukacije. Prilikom zaključenja igara potrebno je voditi računa o načinu prikupljanja neprodanih srećki i njihovom uništavanju. U skupini L.2 Izvlačenje lutrijskih igara postoje tri osnovne podskupine koje se odnose na upravljanje izvlačenjem lutrijskih igara, provođenjem samog izvlačenja i osiguranjem uređaja za izvlačenje i setova loptica. Pri tome je iznimno bitno izraditi jasne radne upute, definirati članove i obveze tima za izvlačenje te osigurati neovisan nadzor izvlačenja. Samo izvlačenje se mora odvijati u skladu s jasno definiranom procedurom i jasno definiranim odgovornostima svih osoba uključenih u proces izvlačenja. Osim toga, jako je važno osigurati redovnu kontrolu i održavanje uređaja za izvlačenje i setova loptica, kao i njihovo skladištenje i čuvanje. Skupina L.3 Sigurnost prodavača lutrijskih proizvoda obuhvaća sigurnosne kontrole pri odabiru i ugovaranju s prodavačima, njihovom radu te za zaštitu terminala za igre na sreću. Priređivači lutrijskih igara moraju jasno definirati sigurnosne zahtjeve koje prodavači u svom

12. HRVATSKA KONFERENCIJA O KVALITETI I 3. ZNANSTVENI SKUP HRVATSKOG DRUŠTVA ZA KVALITETU, Brijuni 10. – 12. svibnja 2012. g. - 361 -


Silvana Tomić Rotim, Nataša Kučeković, Ivan Jakab okruženju moraju implementirati. Također, sve transakcije između terminala na prodajnim mjestima i centralnog sustava moraju biti adekvatno zaštićene, te implementirani potrebni sigurnosni mehanizmi za zaštitu integriteta lutrijskih igara na samim terminalima. U skupini L.4 Zaštita nagrada ističu se dvije podskupine. Prva od njih odnosi se na validaciju i isplatu nagrada, a druga na zaštitu nepotraživanih nagrada. Priređivač lutrijskih igara mora definirati proces validacije za različite razine nagrada i tipove igara, te proces za isplatu nagrada. Također, potrebno je pripremiti proceduru za zaštitu nepotraživanih nagrada i podatkovnih datoteka koje sadrže informacije vezane na status isplata za svaku igru, vodeći računa o kontroli pristupa i pregledu logova koji mogu ukazati na sumnjive pokušaje pristupa i potencijalne sigurnosne incidente. Skupina L5 Prodajno osoblje i podrška korisnicima obuhvaća kontrole za sigurnost osoblja koje radi izvan prostora organizacije te osoblja koje radi u osjetljivom području s mogućnošću javnog pristupa. Za obje kategorije potrebno je uspostaviti politike kojima će se osigurati adekvatna razina zaštite. U skupini L6 Internet prodaja i interaktivne usluge ključne kontrole odnose se na zaštitu integriteta, povjerljivosti i raspoloživosti Internet sustava za igre, zaštitu od prijevare i pranja novca te dizajn i odobrenje igara u skladu sa zakonskom regulativom i pravima autorizacije. U skladu s tim nužno je osigurati slojevitu arhitekturu Internet sustava za igre, mrežnu segregaciju i ostale kontrole kojima će se umanjiti rizik od napada i zlouporabe pohranjenih podataka o igračima i provedenim transakcijama. Potrebno je uspostaviti proces identifikacije igrača, dodjele korisničkog računa te po potrebi isključenja igrača. Također, priređivač igara preko Interneta treba razraditi proceduru dizajna i razvoja takvih igara, uz jasno definirana pravila igara i odgovornosti za njihovo odobrenje. Skupina L.7 Pretplata donosi kontrole koje osiguravaju zaštitu integriteta pretplatničkih podataka. Pristup tim podacima je strogo ograničen samo na osobe koje su ovlaštene raditi s njima. Oni se mogu mijenjati na pisani zahtjev korisnika, a o svim promjenama korisnik mora biti obaviješten. U skupini L.8 Sportsko klađenje postoji više podskupina kontrola: osiguranje integriteta ponude za klađenje, integritet događaja i odgovarajućih mogućnosti, osiguranje pouzdanih rezultata, smanjenje rizika od prijevare i pranja novca te ispravnost u ponudi klađenja uživo. Priređivač igara je dužan održavati listu autoriziranih događaja za klađenje, uključujući i klađenja uživo, uspostaviti proceduru definiranja i ažuriranja vjerojatnosti ishoda na pojedinim događajima temeljem povijesnih i drugih parametara te definirati politiku potvrđivanja rezultata temeljem odobrenih izvora prije javne objave. Također, nužno je uspostaviti procedure za nadzor tržišta i uočavanje mogućih neregularnosti, kako bi se spriječile eventualne prijevare ili pranje novca. 2.3 Mapiranje WLA i ISO 27001 standarda U organizacijama koje priređuju lutrijske igre nužno je kombinirati WLA i ISO 27001 standarde. Iz opisa WLA zahtjeva proizlazi da se oni dijelom preklapaju s ISO 27001 zahtjevima te ih je potrebno upotpunjavati i implementirati širi spektar sigurnosnih kontrola. Osim općeg dijela WLA standarda koji sam po sebi proizlazi i većim dijelom se preklapa sa zahtjevima ISO 27001 satndarda, i lutrijski dio zahtjeva djelomično se preklapa s ISO 27001 zahtjevima i poželjno ih je u cilju umanjenja rizika nadopunjavati. Kako bi se u samoj implementaciji ovih sigurnosnih zahtjeva osiguralo lakše prepoznavanje adekvatnih sigurnosnih kontrola, poželjno je mapirati zahtjeve WLA i ISO 27001 standarda. Rezultati mapiranja na najvišoj razini prikazani su u tabeli 1.

12. HRVATSKA KONFERENCIJA O KVALITETI I 3. ZNANSTVENI SKUP HRVATSKOG DRUŠTVA ZA KVALITETU, Brijuni 10. – 12. svibnja 2012. g. - 362 -


Silvana Tomić Rotim, Nataša Kučeković, Ivan Jakab Tabela 1: Mapiranje zahtjeva WLA i ISO 27001 standarda ISO 27001

Obavez. dio (4-8)

A.5 Politika IS

A.6 Organizacija IS

WLA G.1

X

X

X

G.2

X

A.7 Imovina

A.8 HR sigurnost

A.9 Fizička sigurnost

A.10 Kom. i oerativa

A.11 Kontrola pristupa

A.12 Nabava, razvoj i održ.

X

X

G.4

X

G.5

X X

G.6

X

X

X

G.7

X X

X

G.9

X

L.1

X

X

L.2

X

X

L.3

X

X X X

X

L.4 L.5

X X

L.6

X

L.7

X

L.8

A.15 Sukladnost

X

G.3

G.8

A.14 BCM

X

X

12. HRVATSKA KONFERENCIJA O KVALITETI I 3. ZNANSTVENI SKUP HRVATSKOG DRUŠTVA ZA KVALITETU, Brijuni 10. – 12. svibnja 2012. g. - 363 -


Silvana Tomić Rotim, Nataša Kučeković, Ivan Jakab Iz gornje tablice proizlazi da se svaka točka općeg dijela WLA standarda preklapa ili nadopunjava barem jednom pripadajućom točkom ISO 27001 standarda. U nekim slučajevima, kao što su to skupine zahtjeva G.1 i G.6 postoji poveznica i na tri točke ISO standarda. Prilikom mapiranja lutrijskog dijela WLA zahtjeva i ISO standarda uočava se velika važnost adekvatne kontrole pristupa i poveznica na A.11 ISO 27001 te na ne manje bitne zahtjeve organizacije te komunikacije i operative A.6 i A.10. Također, budući da upravljanje imovinom nije zasebni zahtjev unutar WLA standarda, pri implementaciji lutrijskih zahtjeva nužno ih je kombinirati s A.7 ISO 27001 standarda. Iz svega navedenog proizlazi da je pri samoj implementaciji WLA sigurnosnih kontrola iznimno bitno nadopuniti ih kontrolama iz ISO 27001 standarda. 3. METODOLOGIJA UVOĐENJA INFORMACIJSKE SIGURNOSTI U LUTRIJSKO POSLOVANJE Temeljem provedenih analiza WLA i ISO 27001 standarda te na osnovi bogatog iskustava u implementaciji sustava informacijske sigurnosti u različita poslovna okruženja, stvoreni su preduvjeti za razradu metodologije uvođenja informacijske sigurnosti u lutrijsko poslovanje. Razrađeni su osnovne faze metodologije, identificirane metode i tehnike koje se mogu koristiti u pojedinim fazama te definirani osnovni ulazi i izlazi iz svake faze, tabela 2. Tabela 2: Metodologija uvođenja informacijske sigurnosti u lutrijsko poslovanje R.br. 1.

Faza Definiranje opsega primjene sustava informacijske sigurnosti

Metode / tehnike • Analiza lutrijskih procesa i proizvoda • Brainstorming

• • •

2.

3.

Definiranje organizacije sigurnosti i izrada krovne politike

Definiranje načina upravljanja dokumentima i aktivnostima poboljšanja u sustavu sigurnosti

• Tehnika izrade organigrama • Analiza standarda • SWOT • Tehnika izrade politika • Brainstorming • Metode upravljanja dokumentima • Tehnike za rješavanje problema i poboljšanja • Tehnika izrade procedura • Brainstorming

• • • • •

• •

Ulazi / izlazi Zahtjevi tržišta Zahtjevi standarda / Detaljan opseg primjene Postojeći organigram Zahtjevi standarda / Novi organigram Krovna politika sigurnosti Postojeći sustavi upravljanja dokumentima i poboljšanjima Zahtjevi standarda / Procedura upravljanja dokumentima i zapisima Procedura upravljanja popravnim i

12. HRVATSKA KONFERENCIJA O KVALITETI I 3. ZNANSTVENI SKUP HRVATSKOG DRUŠTVA ZA KVALITETU, Brijuni 10. – 12. svibnja 2012. g. - 364 -


Silvana Tomić Rotim, Nataša Kučeković, Ivan Jakab

4.

Popis i klasifikacija informacijske imovine

• Metode popisa informacijske imovine • Alati za popis imovine • Tehnike klasifikacije inf. imovine • Grupni rad

• • • • •

5.

Procjena rizika

• Metode procjene rizika • Alati za procjenu rizika • Grupni rad • Brainstorming

• • • • • •

6.

Definiranje kontrola za umanjenje rizika

• Grupni rad • Brainstorming

• • • •

7.

Implementacija sigurnosnih kontrola

• Metode i tehnike umanjenja rizika • Edukacije i treninzi • Grupni rad

• • • •

preventivnim radnjama Postojeći popisi različitih tipova imovine Oznake povjerljivosti na inf. imovini Politika klasifikacije / Popis informacijske imovine Klasificirana informacijska imovina Popis informacijske imovine Klasificirana informacijska imovine Metodologija procjene rizika / Definirane prijetnje i ranjivosti Izvješće o procjeni rizika Popis neprihvatljivih rizika Popis neprihvatljivih rizika WLA i ISO 27001 standardi / Plan postupanja s rizicima Izjava o primjenjivosti kontrola Plan postupanja s rizicima WLA i ISO 27001 standardi / Politike i procedure Zapisi o primjeni

12. HRVATSKA KONFERENCIJA O KVALITETI I 3. ZNANSTVENI SKUP HRVATSKOG DRUŠTVA ZA KVALITETU, Brijuni 10. – 12. svibnja 2012. g. - 365 -


Silvana Tomić Rotim, Nataša Kučeković, Ivan Jakab •

8.

Provjera učinkovitosti kontrola

• Tehnike mjerenja učinkovitosti kontrola • Alati za mjerenje učinkovitosti

• •

• •

• •

kontrola Metrike za mjerenje učinkovitosti kontrola Plan internih procjena Metrike za mjerenje učinkovitosti kontrola / Izvješća o procjenama Zapisi o vrijednosti metrika učinkovitosti Zapis o ocjeni sustava inf. sigurnosti Prijedlozi poboljšanja

Ova metodologija, sa svojim metodama i tehnikama, garantira uspješnu implementaciju sustava informacijske sigurnosti u organizacijama koje se bave priređivanjem lutrijskih igara. U koracima 6 i 7 treba koristiti rezultate mapiranja WLA i ISO 27001 standarda kako bi se osigurala najoptimalnija kombinacija sigurnosnih kontrola i njihova implementacija. Korak 8 osigurava kontinuirano poboljšavanje sustava informacijske sigurnosti te njegovu kontinuiranu primjenu i provedbu „Plan-Do-Check-Act“ ciklusa. 4. ZAKLJUČAK Danas uspješnost većine organizacija, a osobito priređivača lutrijskih igara u većoj mjeri ovisi o sposobnosti zaštite povjerenih im informacija, privatnosti njihovih korisnika, kao i kontinuiteta usluga koje pružaju. U tu svrhu su na međunarodnoj razini razvijeni različiti standardi informacijske sigurnosti, među kojima je sada najznačajniji ISO 27001 koji se može primijeniti u bilo kojem tipu organizacije. S vremenom se ukazala potreba za razvojem različitih granskih standarda, što je u lutrijskom poslovanju rezultiralo razvojem WLA sigurnosnog standarda. Taj standard je razvila Svjetska lutrijska organizacija i time je on postao imperativ za sve priređivače lutrijskih igara koji se žele uključiti u međunarodno tržište pružatelja takvih usluga. Taj standard se u velikoj mjeri oslonio na ISO 27001 s kojim se kombinira prilikom uvođenja sustava informacijske sigurnosti. U radu je prikazana analiza oba standarda, ali i rezultati njihovog mapiranja koji pružaju dodatnu vrijednost za sve lutrijske organizacije koje ih žele implementirati. Također, razrađena je metodologija uvođenja sustava informacijske sigurnosti temeljem kombinacije ova dva standarda, čijom se primjenom olakšava sama implementacija i osigurava kontinuirano poboljšavanje te sve bolja primjena u praksi.

12. HRVATSKA KONFERENCIJA O KVALITETI I 3. ZNANSTVENI SKUP HRVATSKOG DRUŠTVA ZA KVALITETU, Brijuni 10. – 12. svibnja 2012. g. - 366 -


Silvana Tomić Rotim, Nataša Kučeković, Ivan Jakab LITERATURA [1] Christos K. Dimitriadis, Information Security from a Business Perspective: A Lottery Sector Case Study, ISACA Journal, Volume 1, 2011. [2] http://www.intralot.com/content/1872/added-value-information-security-lottery-sector [3] ISO/IEC 27002, Information technology – Security techniques – Code of practice for information security management, 2005. [4] ISO/IEC 27001, Information technology – Security techniques – Information security management system Requirements, 2005. [5] World Lottery Association, WLA Security Control Standard, Draft 1 of V4.1, 2011.

WLA (WORLD LOTTERY ASSOCIATION) SECURITY CONTROL Summary Information security has an extraordinary importance in the lottery business. Privacy protection and assurance of players' trust are critical factors in the organization of lottery games. It is necessary, in terms of information security, to provide an environment for running games that is recognized and documented, so the organizers of Croatian lottery games can be successfully involved in the global lottery market. The International Safety Standard for the Lottery Business – WLA (World Lottery Association Security Control Standard) has been developed for this purpose. It includes two sets of requirements: general and specific security requirements. The general requirements are based on the ISO/IEC 27001:2005 standard for information security management. Complemented by specific security requirements for lottery, they determine the minimum conditions which are necessary for effective security management in the lottery business. In this study is shown how to achieve a desired level of information security in the lottery business and public trust in the organizers of such games, by combining the available information security standards. Keywords: WLA - World Lottery Association, ISO 27001, Information security, Lottery business.

12. HRVATSKA KONFERENCIJA O KVALITETI I 3. ZNANSTVENI SKUP HRVATSKOG DRUŠTVA ZA KVALITETU, Brijuni 10. – 12. svibnja 2012. g. - 367 -


Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.