660 likes | 875 Views
OSNOVE BEZBEDNOSTI I ZAŠTITE IKTS. TEMA 4 RAZVOJ PROGRAMA, POLITIKE I PLANA ZAŠTITE. CILJ. Razumeti : generičku strukturu dokumenta Program zaštite obim i strukturu plana, politike i procedure zaštite opštu metodologiju za implementaciju programa/sistema zaštite
E N D
OSNOVE BEZBEDNOSTI I ZAŠTITE IKTS TEMA 4 RAZVOJ PROGRAMA, POLITIKE I PLANA ZAŠTITE UNIVERZITET SINGIDUNUM - FPI
CILJ • Razumeti: • generičku strukturu dokumenta Program zaštite • obim i strukturu plana, politike i procedure zaštite • opštu metodologiju za implementaciju programa/sistema zaštite • tok procesa implementacije programa/sistema zaštite • ključne komponente procesa implementacije programa/ sistema zaštite: obuku zaposlenih, kontrolu usklađenosti i nametanje obaveze izvršavanja • značaj metrike u oblasti zaštite: uticaj na digitalnu forenziku i metrika modela sazrevanja procesa zaštite (SSE CMM) • Naučiti: • samostalno razviti politiku i proceduru zaštite UNIVERZITET SINGIDUNUM - FPI
Ključni termini • Program zaštite • Plan zaštite • Politika zaštite • Saopštenja politika zaštite • Procedura zaštite • Implementacija programa/sistema zaštite • Nadzor i revizija (auditing) • Digitalna forenzika • Merenje • Metrika • Merne jedinice UNIVERZITET SINGIDUNUM - FPI
PROGRAM ZAŠTITE Program zaštite: • sve što neka organizacija čini da zaštiti svo IKTS • dokumentuje se kroz programsku politiku Programska politika (struktura): • kratak doument (1) stranica koja ističe nameru organizaije da zaštiti svoj IKTS i informacije • struktura programske politike: • namena, • obim, • odgovornost • usaglašenost (PRILOG II 6A) UNIVERZITET SINGIDUNUM - FPI
PLAN ZAŠTITE • Usklađen sa: • zakonskim propisima, poslovnim ciljevima i arhitekturom IS • konzistentan i ima formu biznis plana • Struktura: 1.Uloge i odgovornosti: • menadzerske strukture i upravnih odbora organizacija • internog rukovodstva organizacije • zaposlenog osoblja 2. Upravljanje promenama: • U, O i T kontrole zaštite (PRILOG II 6B i C) UNIVERZITET SINGIDUNUM - FPI
PLAN ZAŠTITE-Uloga upravne strukture- 1. Eksplicitna (Princip): • vodeću ulogu i odgovornost u kreiranju Programa, Plana i Politike zaštite • obezbedi superviziju sprovođenja programa zaštite • obezbedi uvođenje standarda zaštite • angažuje odgovorna, stručna i iskusna lica u zaštiti • definiše smernice za upravljanje politikom nadzora i kontrole (revizije) s/z UNIVERZITET SINGIDUNUM - FPI
PLAN ZAŠTITE -Uloga internog tima organizacije- • implementaciju programa zaštite • razvoj i reviziju plana, politike i procedura zaštite • upravljanja rizikom • analizu usklađenosti prakse i politike i procedura zaštite • analizu rezultata nadzora i kontrole sistema zaštite • analizu rezultata upravljanja incidenatom i VD • analizu rezultata obuke u zaštiti • reviziju programa zaštite i (GAISP principa) UNIVERZITET SINGIDUNUM - FPI
PLAN ZAŠTITE -Tipične greške uprave- • neshvatanje stvarne vrednosti informacija i ugleda • fiksiranje operativnim k/z samo nekoliko problema • imenovanje nekvalifikovanog osoblja za zaštitu • obezbeđenje neadekvatne obuke zaposlenih • neadekvatno finansiranje poslova zaštite • ignorisanje problema u IKT sistemu • oslanjanje samo na firewall zaštitu UNIVERZITET SINGIDUNUM - FPI
PLAN ZAŠTITE-Uloga korisnika- • učestvuju u razvoju plana, politike i procedura zaštite (po potrebi) • implementiraju politiku/procedure zaštite • koriste mehanizme i protokole zaštite • sprovode procedure zaštite • obaveštavaju o greškama i incidentima • prate i poznaju poslovne procese i ranjivosti sistema • učestvuju u razvoju svesti o potrebi zaštite UNIVERZITET SINGIDUNUM - FPI
PLAN ZAŠTITE-Upravljanje promenama- • Mandatna obaveza (princip, standard) • Sistemski način uvođenja svih vrsta promena IKTS • Obuhvata: • faktore promene okruženja, tehnologija zaštite, sw/hw IKTS • regularnu reviziju plana, politike i procedura zaštite • izradu procedure za upravljanje promenama • kontrolu primene kontrola zaštite (U, O, T) za upravljanje promenama UNIVERZITET SINGIDUNUM - FPI
POLITIKA ZAŠTITE -Definicija- • izjava na visokom nivou relativno nepromenljiva u datom periodu!? • smernice uprave org. da se izradi program zaštite, uspostave bezbednosni ciljevi i pripišu odgovornosti • specifična pravila (izjave, saopštenja) zaštite (e-mail, AC, udaljeni pristup, IAA...) • ključna komponenta plana zaštite • okvir očekivanja,obaveza, tehnologija i procesa • utvrđuje ciljeve, očekivanja i verifikovane zahteve • koristi: instrukcije, procedure, uputstva, pravce aktivnosti i principe zaštite UNIVERZITET SINGIDUNUM - FPI
POLITIKA ZAŠTITE-Funkcije- • okvir za donošenje odluka u oblasti zaštite IKTS • adaptivna za specifične situacije - kroz procedure i uputstva • sadrži standarde, najbolju praksu i preporuke za arhitekturu s/z i evaluaciju usaglašenosti • referenca (benchmark) za: • legalnu zaštitu od odgovornosti • demonstraciju pred sudom u slučaju kompjuterskog kriinala da su mere zaštite implementirane • obezbeđuje osnov za disciplinske mere UNIVERZITET SINGIDUNUM - FPI
POLITIKA ZAŠTITE-Struktura i vrste- 1. Struktura: • sadržaj (jasan, koncizan) • zahteve za usklađenost i monitoring • komponente prinude (saopštenja politike) 2. Vrste: • programska (na nivou organizacije) • funkcionalna (za specifične radne funkcije) • IKT sistema ili sistema za upravljanje zaštitom informacija – ISMS (Information Security Management System) politika • komponenti sistema zaštite (npr. Pravila udaljenog pristupa) UNIVERZITET SINGIDUNUM - FPI
Programska politika zaštite • Obuhvata osnovne instrukcije za: • bezbednost rada organizacije i zaštitu informacija • prihvatljivost korišćenja tehnologije zaštite • upravljanje bezbednosnim rizikom u IS (UR), • upravljanje VD i kompjuterskim incidentom i • obezbeđenje kontinuiteta poslovanja Primer: UR • definiše cilj, obim i odgovornosti • sugeriše izbor metoda analize i procene rizika • zahteva nadzor i kontrolu procesa UR (usaglašenost, monitoring) • odobrava nivo prihvatljivosti preostalog rizika (komponenta prinude) UNIVERZITET SINGIDUNUM - FPI
Funkcionalna politika zaštite • odnosi se na specifičneradne funkcije organizacije • navodi razloge zašto je politika potrebna • opisuje funkcije koje pokriva (ZIS, FINIS, IS e-Uprave) • definiše odgovornosti i kontakte • obezbeđuje „balans zaštite i produktivnosti“ • određuje prioritet zaštite u odnosu na funkciju (poverljivost i/ili raspoloživost i/ili integritet) • predloži sankcije i tretman povreda politike Primer: Politika zaštite ZIS • podaci/informacije raspoložive za lekare/med.sestre/laboratoriju • podaci/informacije posebno zaštićene • podaci/informacije specificirane za pristup/rukovanje određenim licima • definiše način šifrovanja podataka/ informacija i destinacije slanja UNIVERZITET SINGIDUNUM - FPI
Politika zaštite IKTS • Uspostavlja standarde za bezbednosno okruženje IS: • obezbeđenje raspoloživosti/pouzdanosti rada uređaja i mrežnih servisa • namenu zaštitnog softvera za okruženje hosta • uspostavljanje standarda kriptozaštite za radne stanice (PC i LapTop) • specifikaciju zahteva za upravljanje VD i kompjuterskim incidentom • bekapovanje i oporavak sistema • nastavak poslovanja i dr. Primer:Politika upravljanja konfiguracijom (promenama) IS • definiše metode testiranja novog hw/w, • definiše metode instalacije i neophodnu dokumentaciju, • sugeriše proces upravljanja svim promenama i • identifikuje pravo vlasništva nad sistemom • definiše ovlašćenja za izmenu konfiguracije UNIVERZITET SINGIDUNUM - FPI
Politika sistema zaštite • Obezbeđuje bezbednosne zahteve za operativno upravljanje s/z: • upravljanje pasvordom • korišćenje tehnologija za autentifikaciju i autorizaciju • nadzor i kontrola sistema zaštite • upravljanje incidentom i VD • oporavak sistema • Primer: Upravljanje kompjuterskim incidentom • definiše ko/kako upravlja incidentom • način istrage napada i anomalija u sistemu • kako/kada se interni/eksterni napad dogodio • ko objavljuje incident, kome dostavljati izveštaj • ko/kako vrši forenzičku istragu/akviziciju/analizu digitalnih dokaza (PRILOZI 4.2 i 4.3) UNIVERZITET SINGIDUNUM - FPI
Procedure zaštite • Redosled i načini primene precizno definisanih aktivnosti procesa zaštite - dokumentuju procese zaštite • spuštaju politiku zaštite na operativni nivo • značajno smanjuju ljudske greške (proboje s/z) • obezbeđuju usklađenost prakse i politike zaštite • Primer:Pristup dijagnostičkim izveštajima • specificira zahtevani proces autentifikacije i autorizacije • definiše zahteve za mere fizičke zaštite • definiše način unošenja dijagnostičke informacije • definiše kriptološki algoritam • identifikouje primaoce informacija • sugeriše načine izbegavanja uobičajenih grešaka i.t.d UNIVERZITET SINGIDUNUM - FPI
Uputstvo za zaštitu 1. Za menadžere, admin. i specijaliste zaštite: • uopšten i sveobuhvatan, dovoljno detaljan, poverljiv dokument • definiše komponente s/z i upravljanje programom zaštite • definiše sadržaj i strukturu za izradu programa/plana/ politika/procedura zaštite (PPPPZ) • definiše načine projektovanja arhitektura i kontrola s/z • sadrži reference na kataloge U, O i T kontrola zaštite 2. Za korisnike IKT sistema • orijentisano na određenu grupu korisnika • obrađuje određenu komponentu zaštite (PRILOG 4.5) UNIVERZITET SINGIDUNUM - FPI
Pregled i ažuriranje PPPPZ(ISO/IEC 27001) • bezbednost i zaštita su dinamičke kategorije • nove hw/sw metode napada i iskorišćenja ranjivosti • regularni pregled i revizija PPPPZ - najmanje 1/g • za veći stepen zaštite revizija i kontrola - češće • sredstvo - interna/eksterna revizija: • efikasnosti, usaglašenosti i ranjivosti (program zaštite) • tehnoloških promena IKTS i sistema zaštite • promena u arhitekturi IKTS • promena u poslovima, upravi i kulturi rada organizacije UNIVERZITET SINGIDUNUM - FPI
Metodologija izrade Politike zaštite • Praktični principi: • Obezbediti »bezbednost« greške (sistem bezbedan i kad dođe do greške) • Evidentiranje bezbednosnih događaja (log bezbednosnih događaja) • Jednostavnost rešenja i upravljanja • Minimizacija privilegija • Nedopustivost prelaska sistema u nebezbedno stanje • Nemogućnost zaobilaženja mehanizama zaštite • Obezbeđenje sveopšte podrške sistemu zaštite • Odvajanje dužnosti i privilegija • Otvoreni dizajn arhitekture sistema zaštite • Jačanje zaštite samo slabih komponenti • Potpuna posrednost pristupa informacijama (proxy?) • Psihološka korisnička prihvatljivost • Slojevita zaštita UNIVERZITET SINGIDUNUM, FPI
Standardi za izradu Politike zaštite • Standardi: ISO/IEC 27001, ISO/IEC 13335 TR-3, NIST SP 800-12, 18, 30. • Elementi strukture • uvod, obim, namena • organizaciona pitanja • bezbednosna klasifikacija i kategorizacija objekata IKTS • sistematizacija radnih mesta • fizička zaštita objekata • upravljanje • pravila pristupa objektima IS • redosled razvoja • mere za obezbeđenje kontinuiteta poslovanja • normativni deo (referenciranje) itd. UNIVERZITET SINGIDUNUM, FPI
Proces izrade politike zaštite 1.Izrada politike zaštite u organizaciji je autorski rad • Specijalista za zaštituformira radnu grupu kojom rukovodi: • informatičara, menadžera org. jedinica i spoljnih saradnika • Konačan nacrt podnosi: • upravi na odobravanje • promoviše plitiku na regularan način u organizaciji 2. Opšti model za izradu politike zaštite • Odnosi se na sve aspekte zaštite IS • Povezuje sve komponente sistema zaštite • Pripisuje odgovornost svim zaposlenim • Obezbeđuje osnov za disciplinske mere • Zasniva se na upravljanju rizikom(slajd 24) UNIVERZITET SINGIDUNUM, FPI
Neprekidnost procesa održavanja politike zaštite UNIVERZITET SINGIDUNUM, FPI
Preporuke za izradu politike zaštite • obezbedi podršku upravne strukture • laka za razumevanje i što je moguće kraća • usklađena sa kulturom rada i okruženjem • racionalna i da omogućava postizanje poslovnih ciljeva • obavezna i da nameće realizaciju • afirmativno ističe šta treba uraditi (treba, mora,..), • izbegava reči tipa nikada, zabranjeno i sl. 8. odnosi se na sve klase informacione imovine 9. uklapa se u druge politike organizacije 10. sadrži saopštenjašta treba zaštititi i u kom obimu 11. sadrži informaciju kada politika stupa na snagu i koje su sanakcije 12. sadrži informaciju na koga se odnosi i na koje std. referencira UNIVERZITET SINGIDUNUM, FPI
Preporuke za izradu politike zaštite-1 13. sadrži razloge za propisivanje i ko je razvio 14. sadrži metod kojim će se monitorisati usklađenost 15. objašnjava kako će biti nametnuta i ko je odgovoran 16. objašnjava koja su odstupanja dopuštena 17. sadrži informaciju kada će se preispitivati i ko vrši reviziju 18. sadrži datum poslednje revizije i da li postoji arhiva 19. sadrži termin elektronski za informacije u el. formi 20. identifikuje kontaktne informacije za izveštavanje o incidentu 21. uravnotežava nivo kontrola zaštite i nivo efektivnosti s/z 22. prilagođena veličini organizacije 23. obezbeđuje poverenje korisnika u komponente zaštite UNIVERZITET SINGIDUNUM, FPI
IZRADA POLITIKE ZAŠTITE • Osnovni skup atributa: • sadržaj, cilj, namena, obim, saopštenja, pristup u praksi,pogodnost za primenu, sankcije, kontaktne idruge informacije • u opštoj formi tvrdi šta je dopušteno, a šta nije u oblasti zaštite • obično nije sasvim specifična niti tehnološki orientisana • sugeriše šta treba, a ne kako treba postići bezbednosne ciljeve • zahteva sukcesivno usavršavanje i dogradnju • Osnovni kriterijumi za izradu - mogućnosti: • dopunjavanja • vidljivosti (transparentnosti) • menadžerske podrške • konzistentnosti • eksplicitnosti saopštenja UNIVERZITET SINGIDUNUM, FPI
IZRADA POLITIKE ZAŠTITE • Izražavanje značaja politike zaštite: • formira osnovu za kontrolni okvir upravljanja zaštitom, • obezbeđuje uputstva, smernice, instrukcije, • definiše uloge i odgovornosti u zaštiti, • dokumentuje stav organizacije u odnosu na određeno pitanje zaštite • Identifikovanje/definisanje saopštenja: • uzorci saopštenja u bazama znanja (Internetu) • zavise od kulture rada i veličine organizacije • jednostavnija odgovaraju manjim, a preciznija sa više restrikcija–većim org. • teško izbeći preklapanja i ponavljanja Rešenje: definisanje standardne strukture - zajedničkih i specifičnih elemenata politike zaštite UNIVERZITET SINGIDUNUM, FPI
IZRADA POLITIKE ZAŠTITE-NIST- • Tipična zajednička struktura politika zaštite: • Naslov • Autor • Verzija • Datum • Amandmani(.. kontrolni podaci o dokumentu) • Namena: bezbednosni cilj i ciljna grupa za koju je dokument namenjen UNIVERZITET SINGIDUNUM, FPI
IZRADA POLITIKE ZAŠTITE • Standardna struktura sadržaja Politike zaštite (NIST): • Uvod • Struktura, obim i namena • Bezbednosni cilj • Saoštenja (specifični elementi za posebnu politiku zaštite na različitim nivoima, odgovornosti) • Usklađenosti i sankcijeza neusklađenost ....... n. Rečnik termina n+1. Odobrava UNIVERZITET SINGIDUNUM, FPI
IZRADA POLITIKE ZAŠTITE • Identifikovanje strukture Programske politike zaštite • 1– 3. (Tipični deo opšte strukture politike zaštite). • Namena programa • Izjava upravne strukture • Definisanje obima programa zaštite IS • Strategijski pravac zaštite • Definisanje odgovornosti (menadžera, opšta, TTPS) • Druga referentna dokumenta • Pitanja usaglašenosti (disciplinske i druge sankcije): • opšte i specifične • Politika autorskog prava • Kontakti UNIVERZITET SINGIDUNUM, FPI
IZRADA POLITIKE ZAŠTITE IS (ISMS politika, ISO/IEC 27001) • Treba da: • istakne odluke (uprave), • bude odobrena (akreditovane), fleksibilna (zavisno od bezb. ciljeva), saopštena kao pravila (ko,šta, pod kojim uslovima) • Struktura Politike zaštite na nivou IS: 1. – 3. (Tipični deo opšte strukture politike zaštite) 4. Saopštenja politike: 4.1. Funkcionalna: • Fizička zaštita IKTS • Upotreba kriptografije • Autentifikacija • Autorizacija i kontrola pristupa UNIVERZITET SINGIDUNUM, FPI
IZRADA POLITIKE ZAŠTITE Struktura Politike zaštite IS-1 • Zaštita poverljivosti • Zaštita integriteta • Zaštita raspoloživosti • Logovanje i kontrolni tragovi • Upravljanje kompjuterskim incidentom • Druga razmatranja: kako politiku treba interpretirati, personalna zaštita, sertifikacija i akreditacija i dr. 4.2. Uloge i odgovornosti: • Glavne menadzerske strukture • Izvršnih menadzera • Krajnjih korisnika • Specijalista zaštite 5. Usklađenosti i sankcije za neusklađenost 6. Rečnik termina 7. Odobrava UNIVERZITET SINGIDUNUM, FPI
IZRADAPRAVILA ZAŠTITE • Pravila (politika) komponente zaštite: • (1. – 3) Tipični opšti deo strukture politike zaštite • Obuhvati specifične oblasti (PRILOG GII P7A): • Pravilo zaštite privatnosti e-mail poruka • Pravilo povezivanja na Internet i dr. • Bude često ažurirana: • redovno ažuriranje bezbednosnih popravki • Sadrži saopštenje o obuhvaćenom pitanju: • primenljivost, uloge i odgovornosti, usaglašenost, sankcije i kontaktne informacije. UNIVERZITET SINGIDUNUM, FPI
IZRADA POLITIKE ZAŠTITE PRIMER: StrukturaPravila zaštite privatnosti 1. – 3. (Tipični deo opšte strukture politike zaštite) 4. Saopštenja: • Uskladištene informacije • Metod skupljanja informacija • Upravljanje kolačićima • Pristup ličnim podacim • Ažuriranje ličnih podataka • Zahtev za isključivanje • Dostupnost za treću stranu 5-6. Ostale informacije UNIVERZITET SINGIDUNUM, FPI
PROCEDURA ZAŠTITE (PRILOG GII 7E) • generalno dokumentuju procese zaštite • spuštaju politiku zaštite na operativni nivo • daju instrukcije kako se dnevno implementira politika zaštite • specifična usklađenost - kompletnost i usklađene sa Politikom zaštite • detaljne procedure - opis procese zaštite koji se ponavljaju (procedura za admin. zaštite za autorizaciju prava pristupa) • generalno za sve procese, tipično za U i Okontrole zaštite(proceduralne komponente zaštite) • T. procedure sastavni deo tehničke dokumentacije UNIVERZITET SINGIDUNUM, FPI
OPŠTI METODI IMPLEMENTACIJE PROGRAMA/SISTEMA ZAŠTITE 1. Ublažavanjem ukupnog rizika na prihvatljivi nivo: • dugoročan, neprekidan i zahtevan proces • podrazumeva sveobuhvatni sistemski pristup i smanjenje svih faktora rizika na prihvatljiv nivo implementacijom rentabilnih U,O,T kontrola zaštite 2. Procesom 4-fazne tranzicije bezbednosnog stanja: • alternativni (cik-cak) metod implementacije • metod 4 - fazne tranzicije IS iz jednog u drugo (više) bezbednosno stanje • polazi od zaštite najkritičnijih objekata IS UNIVERZITET SINGIDUNUM, FPI
IMPLEMENTACIJA PROGRAMA ZAŠTITE • Cilj programa zaštite: • efikasno upravljanje rizikom kojeg redukuje implementiran plan zaštite na prihvatljiv nivo rizika 2. Faze procesa implementacije: • izbor odgovarajućeg tima za koordinaciju i monitoring • identifikovanje faktora rizika • obavezna godišnja kontrola (revizija) i • prilagođavanje programa nalazima kontrole (revizije) 3. Funkcionalne komponente procesa implementac.: • obuka, kontrola usklađenosti,nametanje obaveze izvršavanja politika i procedura zaštite UNIVERZITET SINGIDUNUM - FPI
Faze implementacije programa/sistema zaštite UNIVERZITET SINGIDUNUM, FPI
PROCES IMPLEMENTACIJE PROGRAMA/SISTEMA ZAŠTITE • Izbor tima za koordinaciju i monitorisanje • Identifikovanjebezbednosnih faktora rizika • Obavezna kontrola (revizija) projekta • Integracija i prilagođavanje programa • Obavezne komponente sadržaja procesa: • obuka zaposlenih • kontrola usklađenosti • nametanje obaveze izvršavanja politika i procedura zaštite (disciplinske mere/sankcije) UNIVERZITET SINGIDUNUM, FPI
Obuka zaposlenih • Svi zaposleni - izgraditi svest o potrebi zaštite • Tehničko osoblje - korišćenje i održavanje opreme i tehnologija zaštite • Sistem administratori i članovi CIRT - specijalizovanu obuku za administraciju s/z • Menadžerska struktura - razvija svest o potrebi zaštite, razume ulogu i odgovornost • Operativno osoblje - dodatnu obuku (po planu zaštite) UNIVERZITET SINGIDUNUM, FPI
Integracija S/Z-Kontrola usklađenosti- • Stepen integracije implementiranog programa/SZ meri se stepenom opšte i specifične usklađenosti: 1. Kontrola opšte usklađenosti - upravna struktura: • monitoringom zaposlenih o korišćenju IS i • primeni normativa i standarda zaštite 2. Kontrola specifične usklađenosti – zaposl./izvršioci Verifikuje: • praksu zaštite sa politikom • podršku poslovnim procesima • operativno korišćenje tehnologija zaštite UNIVERZITET SINGIDUNUM, FPI
Interni nadzor i revizija 1. Obezbeđuje: • ključnu ulogu u zaštiti kibernetičkog prostora • ključne informacije za nezavisnu procenu rizika • analizu kompetentnosti interne kontrole (npr. ISMS) • ispitivanje nivoa usklađenosti sa normativima • evaluaciju adekvatnosti i efikasnosti zaštite na Internetu • proaktivno aktiviranje uprave za ublažavanje rizika 2. Vrste: • posebni nadzor sistema zaštite RM, • procena adekvatnosti IDPS, ili • procena kapaciteta upravne strukture i.t.d. UNIVERZITET SINGIDUNUM, FPI
Interni nadzor i kontrola -1 3. Učestanost monitoringa (nadzora): • treba da se zasniva na zdravoj logici 4. Metod monitoringa: • skeneri saobraćaja RM, IDPS, skeneri ranvosti RS i RM.…. 5. Obim monitoringa: • uspostavljena odgovornost, prava i ograničenja • provera postojanja ostalih komponenti zaštite... UNIVERZITET SINGIDUNUM, FPI
Eksterna revizija (auditing) 1. Vrši neke dodatne kontrolne funkcije: • reinženjering procesa za povećanje efikasnosti • smanjenje troškova poslovanja 2. Unosi dodatni bezbednosni rizik 3. Treba da ima edukativnu i savetodavnu ulogu 4. Da se vrši u bezbednom okruženju i atmosferi poverenja 5. Revizori (auditors): • neprekidno prate razvoj tehnologija zaštite, najbolju praksu zaštite, trendove kompjuterskog kriminala, ... UNIVERZITET SINGIDUNUM, FPI
Izveštavanje o reviziji zaštite-Namena- • ISACA (Information System Audit and Control Association) predlaže da izveštaj: • pokaže koji sistem mera je koristio kontrolor (auditor) • pomogne u planiranju, radu i kontroli rada auditor-a • olakša TTPS da izvrši reviziju rada kontrolora • evaluira sistem kvaliteta programa kontrole • obezbedi podršku za naplatu polise osiguranja • pomogne profesionalni razvoj specijalista zaštite i.t.d. UNIVERZITET SINGIDUNUM, FPI
Izveštavanje o reviziji zaštite-1 -Sadržaj izveštaja- • Kontrola aplikacija • Automatizovana kontrola • Kontrola politika zaštite • Svest o potrebi zaštite • Strategijski ciljevi • Korišćenje pravnih saveta u procesu kontrole UNIVERZITET SINGIDUNUM, FPI
Izveštavanje o reviziji zaštite-2 -Format izveštaja o kontroli S/Z- • plan i pripremne aktivnosti (definisani obim i ciljevi kontrole) • program kontrole (sadržaj rada) • faze izvođenja kontrole i dokazi koje treba skupljati • nalazi kontrole, zaključci i preporuke • pregled i nalaz supervizorske kontrole. UNIVERZITET SINGIDUNUM, FPI
Nametanje obaveze izvršavanja i izveštavanja • Sledi obuku, nadzor i kontrolu usaglašenosti prakse i politike zaštite • Izveštaj o nadzoru i kontroli - ulazna informacija za reinženjering programa i politike zaštite • Kritičan faktor - implementacija politika/procedure bez represivnih mehanizama za obavezu izvršavanja • Sankcije za nesprovođenje politike zaštite: • dobro i unapred osmišljene, • od upozorenja do otpuštanja sa posla, ili sudskog gonjenja UNIVERZITET SINGIDUNUM, FPI