IZAZOVI UVOĐENJA SISTEMA BEZBEDNOSTI PODATAKA I INFORMACIJA U DRŽAVNOJ UPRAVI

Page 1

ZORAN RAKIĆ, dipl.politikolog, ANTONELA SAMOHOD, dipl.pravnik, SAŠA DULIĆ, dipl.inženjer organizacionih nauka, Nacionalna služba za zapošljavanje Republike Srbije, Beograd, zrakic@nsz.gov.rs, asamohod@nsz.gov.rs, sdulic@nsz.gov.rs

IZAZOVI UVOĐENJA SISTEMA BEZBEDNOSTI PODATAKA I INFORMACIJA U DRŽAVNOJ UPRAVI Sažetak Uvođenjem sistema upravljanja kvalitetom na principima standarda ISO 9001:2008, urađen je ogroman posao na uređenju strukture i procesa rada. Dokazali smo da se uvođenje sistema kvaliteta definitivno ne može razdvojiti od uvođenja savremenog informacionog sistema kao osnovnog sredstva ili alata za sprovođenje delatnosti neke organizacije. Da bi jedan uređen sistem koji svoje funkcionisanje bazira na savremenim informatičkim rešenjima ispunio premisu kvaliteta, a to je održivost, neophodno je da se posebna pažnja posveti bezbednosti informacija i podataka kao i bezbednosti informatičkih rešenja. Poseban izazov predstavlja činjenica da se ovakakv zadatak postavlja pred jedan segment državne uprave koji želi na svom primeru da pokaže da je to moguće uprkos velikoj kompleksnosti i velikom broju ograničenja koje državna uprava postavlja. Cilj ovog rada je da na primeru Nacionalne službe za zapošljavanje Republike Srbije prikaže proces postepenog uvođenja sistema bezbednosti podataka i informacija u cilju dostizanja nivoa bezbednosti definisanih standardom serije ISO 27000. Ključne reči: kvalitet, bezbednost podataka, ISO 9001 : 2008, ISO 27000, održivost, održivost 1. UVOD Nacionalna služba za zapošljavanje Republike Srbije ( Nacionalna služba za zapošljavanje) ulaže ogromne napore na punoj implementaciji sitema kvaliteta, smatrajući ga strateškim opredeljenjem koje će doprineti uređenju organizacione strukture i procesa rada. Održivost kao premisa kvaliteta može biti dostignuta samo konstantnim i trajnim unapređenjem sistema kvaliteta. Stagnacija na tom putu ne donosi ništa dobro, već je početak procesa dezintegracije koju je teško zaustaviti. Nakon inplementacije standarda ISO 9001 : 2008 ,logičan nastavak ,odnosno logično unapređenje vidimo u primeni standarda zaštite i bezbednosti podataka na kojima je zasnovno funkcionisanje institucije koja mora da zadrži vodeći uticaj u oblasti zapošljavanja u zemlji. Pre ulaska u taj poduhvat potrebno je je sačiniti sveobuhvatnu analizu svih aspekata, kao i identifikovati sve učesnike u tom procesu kako se ne bi napravila uobičajna greška, odnosno razvilo pogrešno mišljenje da je proces uvođenja sistema bezbednosti podataka i infromacija na principima standarda ISO 27000, posao isključivo službi koje se bave informatikom, dok se ostatak organizacije tim poslom ne bavi. Imajući u vidu sve specifičnosti državne uprave kao tradicionalno tromog sistema, sa često ograničenim mehanizmima upravljanja kao i nedovoljno razvijenim principima savremenog menadžmenta, posao uvođenja jednog ovako naprednog pogleda na poslovanje predstavlja težak zadatak sa neizvesnim ishodom. Nacionalna služba za zapošljavanje se opredelila za postepeno uvođenje


pojedinih aspekata sistema bez pritiska potrebe za brzom sertifikacijom, vodeći se isključivo vidljivim pozitivnim efektima na funkcionisanje celog sistema. 2. SIGURNOST PODATAKA I INFORMACIJA Šta se podrazumeva pod sigurnošću informacija? Bezbednost (engl. Security) je stanje sistema u odnosu na okolinu, ali i na samog sebe. To je stanje u kome su isključeni protivpravni akti, ili ukoliko ovakvi akti i postoje, oni su vrlo retki i protiv njih se preduzimaju energične efikasne sankcije. Bezbednost se u odnosu na suštinu i stvarno značenje može definisati kao stanje, organizacija i funkcija. Sigurnost je stanje, osobina onoga koji je siguran, onoga što je sigurno, u kome nekome ili nečemu ne preti opasnost, odsutnost opasnosti, bezbednost. U kontekstu stanja sistema prihvata se da sigurnost ima isto značenje kao i bezbednost. Bezbednost se ostvaruje zaštitnim (zaštitom) merama koje mogu biti preventivne, represivne ili sanacione. Prema tome, zaštita je skup mera i postupaka koje imaju za cilj viši nivo bezbednosti. Informacije predstavljaju određenu imovinu, koja kao i druga važna poslovna imovina, za neku organizaciju ima vrednost i otuda je potrebno da se ona odgovarajuće zaštiti. Sigurnošću se informacije štite od širokog opsega pretnji kako bi se osigurao kontinuitet poslovanja, na minimum sveli gubici u poslovanju i na maksimum podigao dobitak. Informacije mogu postojati u mnogo oblika i formi: odštampane ili ispisane na papiru, uskladištene u elektronskom obliku, mogu se slati poštom ili primenom elektronskih sredstava, prikazati na korporacijskom web sajtu, prikazati na filmu, ili izreći u razgovoru. Bilo koji oblik da informacije imaju, ili sredstvo preko kojeg se one zajednički koriste ili na kojem se čuvaju, moraju se odgovarajuće zaštititi. Sigurnost informacija se karakteriše kao čuvanje sledećih komponenti : • poverljivost - osigurati da informacije budu na raspolaganju samo onima koji su ovlašćeni da im pristupaju • integritet - samozaštita tačnosti i celovitosti informacija i metoda za obradu • raspoloživost - osiguravanje da ovlašćeni korisnici imaju pristup informacijama i pripadajućoj imovini kada im je potrebno Sigurnost informacija se ostvaruje uvođenjem pogodnog skupa kontrola, koje mogu biti politika, praksa, procedure, organizacione strukture i softverske funkcije. Ove kontrole treba uspostaviti kako bi se u organizaciji osiguralo ispunjavanje specifičnih ciljeva zaštite. Sigurnosne mere uključuju mehanizme i procedure koje se implementiraju u cilju: • odvraćanja, • prevencije, • detekcije, i • opravke od uticaja incidentnih događaja a koji deluju na poverljivost, integritet i raspoloživost podataka i odgovarajućih servisa i resursa uključujući izveštavanje o sigurnosnim incidentima. Sigurnost informacija je u stvari proces upravljanja rizikom. Upravljanje sigurnošću bi trebao da bude deo ukupnog upravljanja rizicima, a sigurnost informacija je samo jedan aspekt ukupne sigurnosti organizacije. 3. INFORMACIONI SISTEM - NOSILAC INFORMACIJA Nacionalna služba za zapošljavanje sa svim svojim specifičnostima koje joj nameće pozicija izuzetno bitne institucije državne uprave, opredelila se i na delu pokazala da svoje poslovanje usko veže za informacionu tehnologiju i da u toj oblasti traži dodatne resurse za unapređenje svog poslovanja. Vremenom, sve više podataka odnosno i informacija na kojima zasniva svoj rad iz tradicionalnih oblika čuvanja i prikaza informacija prelazi u digitalni, odnosno


elektronski oblik. Samim tim neki tradicionalni postupci, procedure i poslovi vezani za čuvanje i osiguranje bezbednosti podataka i informacije postaju sporedni, a primat prepuštaju novim tehnologijama. Postepeno, ali temeljno se menja pogled na podatke i informacije. Informacioni sistem postaje centralno mesto i osnovni nosilac informacija, tako da informacije i postupci podrške, sistemi i mreže, predstavljaju važnu poslovnu imovinu. Organizacije i njihovi informacioni sistemi suočavaju se, uz tendenciju porasta, sa pretnjama sigurnosti iz širokog opsega izvora, uključujući prevare uz korišćenje računara, špijuniranje, sabotaže, vandalizme, požare ili poplave. Izvori oštećenja kao što su računarski virusi, kao i napadi probijanja u računare i odbijanja aktiviranja funkcija postali su češći, ambiciozniji i usavršeniji. Zavisnost od informacionih sistema i usluga znači da smo znatno ranjiviji u odnosu na pretnje po sigurnost. Osnovni ciljevi zaštite informacija organizaciji koja se bazira na informacionoj tehnologiji je da se obezbedi: • kontinuitet poslovanja i • minimiziraju rizici od potencijalnih šteta (havarija) Ovo se postiže prevencijom incidentnih događaja i redukovanjem njihovog potencijalnog uticaja. Definisanje, implementacija, održavanje i unapređenje koncepta sigurnosti informacija je od presudne važnosti za ostvarivanje osnovnog cilja postojanja institucije kao što je Nacionalna služba za zapošljavanje. Odnosno, primena tehničkih rešenja, odgovarajuće opreme i proizvoda više nije dovoljna da bi osigurala odgovarajuće upravljanje sigurnošću informacija. Sigurnost informacija nije isključivi problem informaciono komunikacionih tehnologija (IKT) već je to "poslovni" problem. Opšte je mišljenje da se primenom odgovarajućih tehnologija rešava samo jedan deo problema sigurnosti informacija. Danas se sigurnost informacija postiže primenom odgovarajućih kontrola, koje se odnose na politiku sigurnosti, poslovne procese, procedure, strukturu organizacije i funkcije hardvera i softvera (sistemskog i aplikativnog). Kontrole važne za organizaciju sa zakonske tačke gledišta su: • zaštita informacija i tajnosti ličnih podataka; • čuvanje organizacionih izveštaja; • poštovanje prava intelektualnog vlasništva. Kontrole koje u praksi postižu dobre rezultate kod implementacije koncepta sigurnosti informacija su: • raspodela odgovornosti za sigurnost informacija; • svest o neophodnosti zaštite informacija, obrazovanje i obuka zaposlenih; • ispravno procesiranje podataka u aplikacijama; • upravljanje ranjivostima (slabostima) informacionih resursa; • upravljanje kontinuitetom poslovanja; • upravljanje sigurnosnim incidentima i unapređenje sistema. Navedene kontrole je potrebno osmisliti, implementirati, nadzirati, preispitivati i unapređivati kako bi se osiguralo ispunjenje poslovnih i sigurnosnih zahteva organizacije 4. POSTEPENO UVOĐENJE SISTEMA BEZBEDNOSTI Nakon izgradnje svesti o potrebi zaštite podataka i informacija i svesti o tome da to nije samo posao IT službe već posao organizacije podržan i motivisan od najvišeg rukovodstva pristupamo postepenom uvođenju sistema, vodeći računa o stepenu izloženosti riziku od narušavanja pojedinih delova sistema kao i raspoloživim finansijskim sredstvima. Polazna osnova i najznačajniji dokument je politika bezbednosti, koja definiše okvir i opredeljenje iz koje se crpi smisao pojedinih dokumenata koji razrađuju pojedine aspekte bezbednosti


podataka. Analizom rizika dolazimo do najugroženijih tačaka sistema, obezbeđujemo ih izradom, uvođenjem i kontrolom primene specifičnih dokumenata koij se odnose na ugroženi segment. 4.1. Procedura kontrole pristupa Ova procedura definiše pravila koja jasno određuju ko i pod kojim uslovima ima pravo pristupa pojedinom segmentu informacionog sistema. Odnosi se kako na zaposlene u Nacionalnoj službi za zapošljavanje, tako i na ostale korisnike npr. nezaposlena lica i poslodavce koji imaju limitirane mogućnosti pristupa nekim delovima sistema. Primena ove procedure ni na koji način ne sme da utiče na efikasnost obavljanja poslova zaposlenih, niti da ih preterano optereti dodatnim aktivnostima. Pristup sistemu je regulisan preko korisničkog imena i lozinke, ili SmartCard i PIN broja, odnosno biometrijskih dokumenata. Procedura definiše postupke i ovlašćenja dodele i oduzimanja pojedinih prava, kao i odgovornosti za nepoštovanje bilo koje odredbe ove procedure. Procedurom su jasno date smernice prilikom izbora šifre, a preporuke za redovnu promenu jasno stavljaju do znanja da je neovlašćeno korišćenje tuđe šifre teži prekršaj radne discipline. 4.2. Procedura fizičke bezbednosti računarske i komunikacione opreme Na ovaj način definisali smo pravila i postupke čuvanja, održavanja i pravilne upotrebe opreme na kojoj funkcioniše informacioni sistem. Regulisan je celokupni životni ciklus opreme koja u sistem ulazi kao posledica nabavke ili donacije, a iz sistema izlazi procenom o nadležnih službi o neupotrebljivosti. Veoma jasno i precizno je definisano koja opreme može i pod kojim uslovima da postane sastavni deo informacionog sistema. Takođe, definisano je šta je potrebno instalirati, odnosno proveriti na opremi pre nego što se uključi u jedinstvenu komunikacionu mrežu. Definisane su i odgovornosti i obaveze korisnika opreme na njenoj pravilnoj upotrebi i preventivnom održavanju, kao i postupci i procedure u slučaju bilo kakve ne ispravnosti ili nepravilnog rada. Strogo je regulisana upotreba opreme koja nije vlasništvo Nacionalne službe za zapošljavanje u poslovnom okruženju, odnosno uslovi pod kojim se takva opreme može uključiti u jedinstveni sistem. Prilikom izlaska opreme iz eksploatacije jasno se definišu pravila uništenja eventualno zaostalih podataka na medijumima koji izlaze iz upotrebe. Način čuvanja opreme u magacinima i postupak izdavanja i zaduživanja opreme definisan je procedurama koje regulišu odnos prema osnovnim sredstvima dok su u ovoj proceduri navedene samo specifičnosti koje se odnose na IT opremu. 4.3 Procedura upravljanje rezervnim kopijama Izuzetno je važno regulisati upravljanje rezervnim kopijama i postupcima za oporavak nakon incidentnih situacija. Bez obzira na sve preuzete mere, rizik da se izgube podaci uvek postoji. U tom slučaju jedini način da se izgubljeni podaci povrate je rezervna kopija. Procedurom se jasno definišu svi elementi pravljenja rezervnih kopija kao što su skup podataka koji se kopira, dinamika kopiranja, broj kopija, mesta čuvanja rezervnih kopija, testiranje validnosti kopija. Politikom bezbednosti u budućnosti će biti regulisan odnos prema dozvoljenim zastojima sistema što će biti preduslov za izradu projekta “Disaster recovery centre”. 4.4. Procedura antivirus zaštita Analizom rizika antivirus zaštita je postavljena na visoko mesto prioriteta vezanih za bezbednost podataka. Procedurom su date nadležnosti Sektoru za informacioni sistem za definisanje i implementaciju antivirus zaštite, kao i polisa antivirus zaštite. Serveri, radne


stanice moraju biti zaštićene antivirus programom definisanim od strane IT Sektora. Sve računarske komponente pre samog priključenja na mrežu moraju biti skenirani. Antivirus program se mora redovno ažurirati sa najnovijim antivirus dopunama koje Sektor za informacioni sistem mora redovna pribavljati. Zabranjeno je uklanjati, menjati konfiguraciju i stopirati antivirus program bez odobrenja Sektora za informacioni sistem. Nijedan eksterni uređaj koji nije vlasništvo Nacionalne službe se ne može koristiti pre nego što bude skeniran. Ukoliko se na računarskoj komponenti utvrdi da odstupa od pravila antivirus zaštite ista će biti formatirana i vraćena u početno stanje. Svi eksterni mediji koji sadrži izvršni softver (softver sa EXE i COM ekstenzija..) će biti zaštićeni od upisivanja na računarsku komponentu. Svi eksterni korisnici demonstracije moraju obavljati na svojim radnim stanicama bez prava priključenja na komunikacionu mrežu Nacionalne službe za zapošljavanje. Shareware programe ne treba koristiti, jer Shareware program je jedna od najčešćih izvora infekcija. Ako je krajnje neophodno da se koriste Shareware programi, isti moraju biti temeljno skenirani pre upotrebe. Novi komercijalni softver mora biti skeniran pre nego što se implementira u računarsko komunikacionoj mreži . Fajl koji je oštećen virusom mora biti trajno uklonjen, a jedini metod da se fajl povrati je bekapovan fajl koji nije zaražen virusom. 4. ZAKLJUČAK Nacionalna služba za zapošljavanje kao organ državne uprave, tradicionalno trome i konzervativne, već duže vremena se oslanja na informacionu tehnologiju kako bi uredila i unapredila svoje poslovanje. Takav pristup sigurno da dovodi do značajnih unapređenja ali i do nastanka novih oblika rizika koji nisu postojali u tradicionalnom načinu poslovanja. Odgovor na te rizike je sistem kvaliteta koji procedurama smanjuje mogućnost nekontrolisanog ponašanja sistema. Intenzivnim prodorom informacione tehnologije i postepenim gašenjem tradicionalnih oblika poslovanja podaci i informacije se pojavljuju u potpuno drugim pojavnim oblicima. Postali smo svesni činjenice da ih je potrebno zaštititi, ali ne samo tehničko tehnološkim sredstvima već i jasnim pravilima i procedurama. Uvođenje sistema bezbednosti je veoma zahtevan proces i mi smo se odlučili za postepeno uveođenje viđeni ciljem minimizacije rizika, što će neminovno dovesti do pune primene standarda serije ISO 27000. LITERATURA [1] Ian Sommerville “Software Engineering,“ Lancaster University, 6th Edition, Pearson Education (Addison Wesley), 2001. ISBN 0-201-39815-X [2] http://en.wikipedia.org/wiki/ISO/IEC_27000-series [3] International standard ISO/IEC 17799:2005 "Information technology – Security techniques – Code of practice for information security management" [4] http://www.eur-lex.europa.eu [5] Brian Underdahl, “Memory Management, Multi-Tasking, Networking, and Data Protection”, ”, John Wiley & Sons, 1993 [6] Gregory B. Pooch, Udo W, “Computer System and Network Security”, Addison Wesley, 1995 [7] Ronald L. Krutz, Russell Dean Vines, “The CISSP Prep Guide – Mastering the Ten Domains of Computer Security”, John Wiley & Sons, 2001 [8] D. Pleskonjić, B. ĐorĎević, N. Maček, Marko Carić: “Sigurnost računarskih mreža”, Viša elektrotehnička škola, Beograd, 2006.


[9] V. Holdokov, “Odnos nacionalnog zakonodavstva prema informatičkoj tehnologiji”, Glasnik Advokatske komore Vojvodine, Novi Sad, 2003.

CHALLENGES IN INTRODUCING A DATA AND INFORMATION PROTECTION SYSTEM INTO PUBLIC ADMINISTRATION Summary The introduction of Quality Management Systems based on the principles of the ISO 9001:2008 standard has considerably contributed to the setting up of work structures and processes. We have proved that the introduction of a Quality Management System can not be separated from the introduction of a modern information system (which is the main instrument/tool for carrying out the activities of an organization). In order to ensure the sustainability (the premise of quality) of an organized system based on modern IT solutions, it is necessary to pay special attention to the protection of data and information and the protection of IT solutions. A particular challenge lies in the fact that a segment of public administration wants to demonstrate that it is possible to accomplish such a task, in spite of the huge complexity and great number of limitations. The objective of this paper is to present, through the example of the National Employment Service of Serbia, the process of gradual introduction of a Data and Information Protection System designed in order to achieve security levels defined by the ISO 27000 standard. Keywords: quality, data protection, ISO 9001:2008, ISO 27000, sustainability


Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.