1. Uvod
Ovaj dokument predstavlja plan za implementaciju tehničkih bezbednosnih kontrola i
predstavlja izlazni rezultat faze WP3 Projekta Procena rizika na najvišem nivou u
okviru informacionog sistema određene organizacije.
Faza WP3 Projekta se odnosi na izradu plana implementacije nedostajućih tehničkih
kontrola na osnovu Izjave o primenljivosti, kao izlaznog rezultata faze WP2 Projekta.
4
2. Predlog plana implementacije tehničkih
bezbednosnih kontrola u informacionom sistemu
Organizacije
Predlog opcija za tretiranje identifikovanih bezbednosnih rizika u informacionom
sistemu Organizacije je dat u Prilogu 7 ISMS dokumenata koji predstavljaju izlazni
rezultat faze WP2 projekta.
Identifikovani i ocenjeni bezbednosni rizici u informacionom sistemu Organizacije
podeljeni su u tri kategorije, prema veličini negativnog uticaja (ocenjenog u Prilogu 5
ISMS dokumenata) na:
Visok (high) – ocena evaluacije rizika od 300 do 450
Srednji (medium) – ocena evaluacije od 150 do 299
Nizak (low) – ocena evaluacije od 0 do 149
U Prilogu 7 ISMS dokumenata su predložena i rešenja za umanjenje identifikovanih
rizika. Rešenja se generalno dele na predloge:
Implementacije odgovarajuće tehničke bezbednosne kontrole
Izrade odgovarajuće administrativne bezbednosne kontrole
Imajući u vidu predložene kontrole za umanjenje identifikovanih bezbednosnih rizika,
kao i nivoe negativnog uticaja datih rizika, predlažemo realizaciju tehničkih
bezbednosnih kontrola u sledećim fazama:
I faza – u roku od šest meseci nakon završetka faze WP3 Projekta
o
Implementacija tehničkih bezbednosnih kontrola koje umanjuju
identifikovane bezbednosne rizike sa visokim (high) uticajem na
bezbednost informacionog sistema Organizacije
II faza – u roku od šest meseci nakon završetka I faze
o
Implementacija tehničkih bezbednosnih kontrola koje umanjuju
identifikovane bezbednosne rizike sa srednjim (medium) uticajem na
bezbednost informacionog sistema Organizacije
Što se tiče identifikovanih bezbednosnih rizika sa niskim uticajem (Low), predlažemo
da se isti prihvate, tj. da se ne implementiraju tehničke bezbednosne kontrole za
njihovo umanjenje ili eliminaciju.
Izrada administrativnih bezbednosnih kontrola je predmet faze WP4.
U nastavku navodimo detaljni opis predloženih načina implementacije navedenih
kontrola.
5
korisnika u organizaciji za pristup operativnom sistemu i aplikativnim
informacionim sistemima
– Implementirati Identity and Access Management
(IAM) sistem u organizaciji za bezbedno upravljanje identitetima internih
korisnika.
Ne postoji adekvatna tehnička bezbednosna kontrola po kojoj se
redovno vrši pregled prava pristupa korisnika operativnom sistemu, kao
i aplikativnim informacionim sistemima organizacije
– Implementirati
Identity and Access Management (IAM) sistem u organizaciji za bezbedno
upravljanje identitetima internih korisnika.
Ne postoje adekvatne tehničke bezbednosne kontrole autentikacije
korisnika koje se koriste za potrebe kontrole udaljenog pristupa
informacionom sistemu organizacije
– Implementirati interni PKI sistem u
organizaciji na bazi Microsoft 2008 Active Directory Certificate Services
tehnologije za izdavanje digitalnih sertifikata internim korisnicima i poslovnim
saradnicima. Implementirati dvo-faktorsku autentikaciju prilikom udaljenog
pristupa internih korisnika informacionom sistemu organizacije korišćenjem
smart kartica i digitalnih sertiifikata za potrebe VPN (IPSec) ili SSL-VPN
zaštitnih tehnika pristupa.
Ne vrši se promptno izveštavanje o bezbednosnim incidentima
korišćenjem unapred definisanih kanala komunikacije
– Uvesti obavezu i
propisati procedure promptnog izveštavanja o bezbednosnim incidentima.
U organizaciji ne postoji organizovani (uspostavljen i održavan) poslovni
proces ili program u cilju upravljanja kontinuitetom poslovanja
– Uvesti
BCM (Business Continuity Management) proces u organizaciji koji
podrazumeva odgovarajuću analizu rizika i BIA (Business Impact Analizu)
koliko mogući incidenti prekida poslovanja mogu uticati na kritične poslovne
procese organizacije, kao i koliko nedostatak određenog poslovnog procesa
može negativno uticati na poslovanje organizacije.
Ne postoje BCP i DRP planovi i ne vrši se njihovo testiranje
– Na osnovu
BCM procesa izraditi BCP (Business Continuity Plan) za kritične procese u
organizaciji. Takođe, na osnovu BCM procesa izraditi DRP (Disaster Recovery
Plan) za kritične procese u organizaciji, i to pre svega za slučaj nedostatka
ICT sistema organizacije. Nakon izrade planova, kreirati plan periodičnog
testiranja valjanosti BCP i DRP planova.
Nema šifrovanja podataka sa izdvojenim delovima organizacije niti sa
određenim spoljnim organizacijama
– Sa izdvojenim delovima organizacije
uspostaviti site-to-site VPN (IPSec) na bazi digitalnih sertifikata.
Pristup email serveru spolja po nešifrovanim protokolim pop3 i smtp
–
Razmotriti mogućnost obezbeđenja da se mail serveru pristupi od strane
spoljnih korisnika samo putem web maila uz uspostavljeni SSL/TLS tunel sa
šifrovanjem.
Postoji mogućnost neovlašćenog priključivanja u korporativni sistem
organizacije u isturenim odeljenjima i da se na taj način pristupi
centralnom informacionom sistemu
– Implementirati sistem kontrole
pristupa računarskoj mreži organizacije (NAC – Network Access Control).
Nakon implementacije ovog sistema, biće uvedena kontrola na krajnjim
tačkama i biće nemoguće konektovati bilo kakav računar na računarsku mrežu
7
