SISTEM BEZBEDNOSTI INFORMACIJA - ISKUSTVA I PREPORUKE
INFORMATION SECURITY SYSTEM - EXPERIENCES AND RECOMMENDATIONS
Dr Radoslav Raković, Energoprojekt Entel a.d., [email protected]
Apstrakt: Korišćenje različitih informacija predstavlja
veoma značajan segment u aktivostima organizacija bez
obzira na oblast njihovog rada. Ukoliko bi iz bilo kojih
razloga došlo do ugrožavanja osnovnih svojstava
informacija koje se u organizacijama koriste i/ili čuvaju
- poverljivosti, integriteta ili raspoloživosti - to bi moglo
da ima značajne posledice po odvijanje njihovih
poslovnih aktivnosti i poziciju na tržištu. Zato se pitanju
bezbednosti informacija u poslednje vreme poklanja
značajna pažnja. U tom smislu, poseban značaj ima
serija standarda ISO 27000, koja se odnosi na sisteme
menadžmenta bezbednošću informacija (ISMS). U ovom
radu prikazana su neka iskustva na uspostavljanju i
implementaciji ISMS, kao i neke preporuke za
organizacije koje se nalaze na samom početku ovog
procesa.
Ključne reči: Bezbednost informacija, Sistem
menadžmenta bezbednošću informacija (ISMS),
informaciona imovina, rizici po bezbednost informacija,
kontrole
Abstract: Information use represents very important
segment in organization activities, independenly of its
business area. Any form of endager of basic propreties
of information used and/or kept in organizations confidentiality, integrity and availability - can have
significant consequences for these organizations and
their market positions. This is a reason why particular
attention has been paid nowdays to this topic.
Significant contribution to resolving of the subject
question represent standards series ISO 27000 devoted
to Information Security Management Systems - ISMS. In
this paper, some experiences in establishing and
implementation of ISMS are presented, as well as some
recommendations to organizations at the very beginning
of this process.
Key Words: Information security, Information Security
Management System (ISMS), Information assets,
Information security risks, Controls
1.UVOD
Uspešno funkcionisanje mnogih organizacija tesno je
povezano sa korišćenjem različitih vrsta informacija.
Ukoliko bi iz bilo kojih razloga došlo do ugrožavanja
osnovnih svojstava informacija koje se u njima koriste
i/ili čuvaju - poverljivosti, integriteta ili raspoloživosti to bi moglo da ima značajne posledice po odvijanje
njihovih poslovnih aktivnosti i poziciju na tržištu. Zato
se pitanju bezbednosti informacija u poslednje vreme
poklanja značajna pažnja, a poseban značaj ima serija
standarda ISO 27000 za sisteme menadžmenta
bezbednošću informacija (engl. Information Security
Management Systems - ISMS).
Familija standarda ISO 27000 prikazana na slici 1 1
sistematizuje ovu oblast pre svega sa aspekta procene
poslovnog rizika po organizaciju ako informacije
značajne za njen rad na bilo koji način budu ugrožene.
U okviru ove familije, najznačajniji su svakako
standardi koji se odnose na zahteve, odnosno na dobru
praksu u njihovom sprovođenju (1-3).
Slika 1: Familija standarda 27000 1
Pod informacijom se podrazumeva 4 protumačena
poruka, nešto što smanjuje neizvesnost ili produbljuje
znanje. Pojam je tesno povezan sa još dva pojma koja se
često koriste - podaci i znanje, slika 2.
Slika 2: Podaci, informacija i znanje 4
Podaci predstavljaju sirove činjenice o realnom svetu i
oni su nosioci informacije. U današnje vreme do njih
često dolazimo tako što na Internetu ukucamo neku
ključnu reč i dobijemo mnoštvo odgovora. Koliko god
je problem kada podataka nemamo, toliko je i problem
kada ih ima previše, jer smo unapred svesni da ne
postoji nikakva šansa da sve to detaljno pregledamo. Da
bi se od podataka došlo do informacije potrebno je da
obradimo te podatke, da izvršimo selekciju iz obilja
činjenica, da iz njih izvučemo suštinu. Kada neku
informaciju primenimo više puta ona prerasta u znanje iz toga se može videti da je put do znanja često veoma
dug i da je tvrdnja nekih da nešto „znaju“ često prilično
pretenciozna.
Problem bezbednosti informacija postao je posebno
aktuelan burnim razvojem računarskih tehnologija i
umrežavanjem velikog broja računara u računarske
mreže. Zašto je to tako?






Obrada podataka sve je više distribuirana, a ne
centralizovana
Postoji jak trend ka mobilnosti
Sve više se koriste bežične tehnologije
Cene računara opadaju pa su sve dostupniji
Računarska pismenost sve je veća, što je dobro ako
se ne zloupotrebljava
Rešenja su sve standardizovanija, opštepoznata, a
time raste šansa da budu ugrožena.
Koliko god je sve to doprinelo lakšem obavljanju
delatnosti, donelo je sa sobom potrebu za rešavanjem
pitanja mogućih namernih ili nenamernih uticaja na
svojstva informacije.
Slika 3: Razlika pojmova Security i Safety
U našoj praksi i (na žalost) u literaturi postoji velika
zabuna kada je reč o prevodu engleskih termina
„Safety“ i „Security“. Na slici 3 prikazan je jedan
primer koji je sastavni deo naše svakodnevice i koji bi
trebalo da nam pomogne da lakše razumemo suštinu
razlike između ova dva pojma 5.
Sa jedne strane, koliko god avion kao vrsta prevoznog
sredstva bila korisna kako bi brzo premostili velika
geografska rastojanja, on predstavlja potencijalnu
opasnost za svoje okruženje, kako za ljude, tako i za
objekte, odnosno samu prirodu. Naime, ukoliko se desi
pad aviona, to može dovesti do ljudskih žrtava, značajne
materijalne štete na objektima i ekološke katastrofe. To
praktično znači da mi moramo zaštititi spoljni svet od
negativnog uticaja tog sistema, a to se postiže time što
sistemu povećavamo njegovu sigurnost tj. bezbednost
rada. To je suština pojma „Safety“, i zato u avionu imate
„Safety Instructions“, na koje vas podsećaju pre svakog
leta. U svakodnevnom životu možemo naići i na druge
situacije - kada kupimo bilo koji proizvod tehničkog
karaktera, u uputstvu se navode „Safety Precautions“ tj.
upozorenja o negativnim posledicama koje proizvod
može imati na nas. To se odnosi i na druge proizvode
koji nisu tehnički npr. igračke, za koje vas upozoravaju
da ih držite dalje od dece ispod određenog uzrasta jer ih
sitni delovi mogu ugroziti.
Sa druge strane, avion je kao prevozno sredstvo ugrožen
od svog okruženja, kako od ljudi tako i od drugih
faktora. Ljudska greška u pripremi aviona za let može
imati nesagledive posledice. U današnje vreme svet je
prepun grupa koje nastoje da svoje ciljeve, koje ne
mogu ostvariti regularnim sredstvima, pokušavaju da
ostvare na druge načine, a u nekom periodu bile su
veoma „popularne“ otmice aviona ili podmetanje
različitih eksplozivnih naprava u njih. Kada putujete
avionom prolazite određenu procedura ulaska u avion
koja podrazumeva kontrolu ručnog prtljaga i kontrolu
samih putnika. Sve te mere mogu se jednim imenom
nazvati merama obezbeđenja, kojima sistem (u ovom
slučaju avion, odnosno sistem vazdušnog saobraćaja)
štitimo od spoljnih uticaja i to je suština pojma
„Security“. Mnoge firme imaju na ulazu pripadnike
službe obezbeđenja koja vodi računa o proceduri ulaska
ili izlaska iz objekta, iako se u tom slučaju kombinuju
dva pojma, jer je primarna uloga službe da obezbedi
objekat (kontrola ulaska), ali i da osigura firmu od
neovlašćenog iznošenja nekih predmeta van objekta
(izlazna kontrola). Pojam „obezbeđenje“ ima i druga
značenja, npr. „prikupljanje i stavljanje na raspolaganje“
i sl. što još više dovodi do konfuzije.
Na osnovu svega iznetog, pojam „Security“ u sklopu
naziva ISMS bilo bi najispravnije prevesti kao „Sistem
menadžmenta zaštitom informacija“, jer su informacije i
podaci ono što tim sistemom štitimo. Međutim, ovo se
odnosi na pojam „zaštita“ kao imenicu - u praktičnoj
primeni sistema pojam nije uvek pogodan kao pridev
(npr. kada procenjujemo „security risks“ primerenije je
u našem jeziku reći „bezbednosni rizik“ nego „rizik koji
se odnosi na zaštitu informacija“ ili“zaštitnički (?)
rizik“) pa je zato provladao izraz „bezbednost“.
2. KRATAK PRIKAZ ISMS STANDARDA
Standard ISO/IEC 27001 2 bavi se zahtevima za
ISMS, koji se zasniva na pristupu poslovnog rizika
kojem je organizacija izložena ukoliko informacije
važne za njeno poslovanje ili status na tržištu dođu u
ruke onih koji, iz bilo kojih razloga, nisu „prijateljski”
raspoloženi prema njoj. Osnovni zadatak pri
uspostavljanju ovih sistema je da se realizuje, prati,
preispituje, održava i poboljšava bezbednost informacija
odnosno da se očuvaju sledeća tri svojstva informacije:



Poverljivost (engl. Confidentiality) informacija,
koja predstavlja svojstvo informacije da nije
dostupna neovlašćenim osobama, organizacijama
ili procesima
Integritet (engl. Integrity) informacija, koja
predstavlja svojstvo očuvanja tačnosti i
kompletnosti informacija
Raspoloživost (engl. Availability) informacija,
koja predstavlja svojstvo informacije da je na
raspolaganju kada je potrebna, ali pod uslovom da
korisnik ima pravo (ovlašćenje) da joj pristupi.
Treba naglasiti da u praksi pod bezbednošću informacija
ljudi obično podrazumevaju samo prvo svojstvo, i ono
možda i jeste dominantno. Mežutim, problem nije samo
u tome da li je neko „video ono što nije trebalo da vidi“
već i da li je obrisao neku informaciju ili je izmenio i
time nas naveo na pogrešnu odluku, ili nas je
onemogućio da nekoj informaciji pristupimo baš onda
kada nam je to bilo veoma važno.
Za primenu ISMS, veoma su važna još dva pojma –
Assets i SoA. Pod pojmom Assets („imovina“)
podrazumeva se sve ono što ima neku vrednost za
organizaciju, čime organizacija raspolaže, shvaćeno u
širem smislu (objekti, finansijska sredstva, znanje,
licence itd.). Pod pojmom Statement of Applicability
(SoA) podrazumeva se „izjava o primenjivosti“ tj.
dokumentovana izjavu koja opisuje ciljeve kontrole i
njihovu relevantnost i primenljivost u ISMS-u
organizacije. Ova izjava zasniva se na proceni rizika i
procesima za postupanje sa njima, zahtevima regulative,
ugovornim obavezama i poslovnim zahtevima koji se
odnose na bezbednost informacija.
Zahtevi sistema menadžmenta bezbednošću informacija
obuhvaćeni su u glavama 4 do 8 standarda 2.





Glava 4 opisuje zahteve vezane za ISMS kao
celinu, od uspostavljanja, realizacije, praćenja i
preispitivanja do održavanja i poboljšanja, kao i
zahteve za dokumentovanjem sistema kroz
upravljanje dokumentima i zapisima
Glava 5 odnosi se na posvećenost menadžmenta
organizacije ovom sistemu, kao i u drugim sličnim
standardima menadžmenta, kao i menadžment
resursima
Glava 6 posvećena je internim proverama ISMS
Glava 7 odnosi se na preispitivanje ISMS od strane
najvišeg rukovodstva organizacije
Glava 8 unapređenju ISMS kroz stalna
poboljšavanja, korektivne i preventivne mere.
Dakle, prisutni su svi oni elementi koji su i inače
prisutni u drugim menadžment standardima, samo
prikazani na drugačiji način. Najznačajniji deo
standarda i ujedno najveća razlika u odnosu na druge
menadžment standarde predstavlja Aneks A, koji se
odnosi na ciljeve kontrole zasnovane na klauzulama A5
do A15 iz standarda ISO/IEC 27002, slika 4 5. Ovih
11 oblasti bezbednosti informacija sadrže ukupno 39
ciljeva kontrole, odnosno 133 specifične kontrole koje
je potrebno primeniti kako bi se informacije zaštitile.
Aneks B standarda bavi se poređenjem principa koje je
proklamovala organizacija za ekonomsku saradnju i
razvoj OECD, a Aneks C standarda odnosom odredaba
ovog standarda sa standardima ISO 9001 (QMS) i
14001 (EMS), kao najčešćih komponenti integrisanih
sistema menadžmenta (IMS).
Informaciona imovina organizacije često se svrstava u
šest tipova (6,7):






Podaci (u svim oblicima)
Softver (sistemski, aplikativni, razvojni)
Fizička imovina (računarska i komunikaciona
oprema, prenosivi medijumi)
Servisi (računarski, komunikacioni i opšti osvetljenje, grejanje, klimatizacija)
Osoblje (broj ljudi, njihove kvalifikacije,
sposobnosti i veštine)
Nematerijalna imovina (ugled i reputacija)
Dakle, može se videti da se pod informacionom
imovinom ne podrazumeva samo računarski hardver i
softver, već je pojam mnogo širi.
Na slici 5 ilustrovani su ključni pojmovi koji se odnose
na informacionu imovinu.
Slika 4: Ciljevi kontrole po ISO/IEC 27001, Aneks 1 5
Slika 5: Pretnje, ranjivost informacione imovine i rizici
Kao što se može videti sa slike 5, informaciona imovina
izložena je pretnjama (engl. Threats), koje mogu dovesti
do štete po imovinu, a da li će se to desiti i u kojoj meri
zavisi od njene ranjivosti (engl. Vulnerability).
Kombinacija verovatnoće neželjenih događaja i njihovih
posledica iskazuje se kao rizik koji se može prihvatiti
(ako se proceni da bi šteta mogla da bude manja od
ulaganja za pšreduzimanje mera) ili se sa njim postupa
na neki od načina (izbegavanje, prenošenje,
smanjivanje), kako bi se eliminisao ili bar sveo u
podnošljive granice.
3. DOKUMENTACIJA ISMS
Specifičnost standarda ISO 27001 u odnosu na druge
menadžment standarde ogleda se i u tome što je
zahtevniji u pogledu dokumentacije koju je potrebno
pripremiti već pri uspostavljanju sistema. U nastavku je
naveden pregled dokumentacije sa osvrtom na
specifičnosti vezane za preduzeće Energoprojekt Entel
ad (ENTEL), koje se bavi projektovanjem,
konsaltingom i inženjeringom u oblastima eneregetike,
vodoprivrede, telekomunikacija i zaštite životne sredine. Slika 6: ISMS u sklopu IMS ENTEL-a
Na slici 6 prikazan je integrisani sistem menadžmenta 
Modifikovanje već postojeće procedure za IT
(IMS) u ENTEL-u koji se sastoji od pet sistema
infrastrukturu, koja je definisana još u procesu
menadžmenta - QMS, EMS, OHSAS, EnMS i ISMS.
implementacije QMS-a.
Sistem je uspostavljan i implementiranod 2001 godine 
Uputstvo koje se bavi detaljima vezanim za
tako što je prvo uspostavljen sistem emnadžmenta
postupke zaštite informacija, specifične kontrole,
kvalitetom (QMS) koji je zatim proširivan sistemima
uz povezanost sa detaljnim radnim uputstvima za
menadžmenta zaštitom životne sredine (EMS),
rad IT sektora (službe za poslovni informacioni
bezbedošću i zdravljem na radu (OHSAS) i sistemom
sistem - MIS). Ovim uputstvom izvršena je
energetskog menadžmenta (EnMS), da bi se u toku
klasifikacija informacija - poslovne tajne (interno,
2012 godine proširio uspostavljanjem ISMS. Na taj
poverljivo i strogo poverljivo) odnosno javno
način, zaokružen je IMS koji odgovara karakteru
raspoložive informacije (preko web sajta,
ENTEL-a kao organizacije.
reklamnih materijala i nastupa na javnim
skupovima)
Dokumentaciju ISMS sačinjavaju:

Registar informacione imovine sa popisom
imovine grupisane u šest tipova i sa utvrđenom

Deklaracija o politici IMS, sa uključenim
vrednošću imovine A u rasponu od 1 do 5
elementima ISMS
(najvrednija imovina)

Opšti i posebni ciljevi IMS za posmatranu godinu, 
Procena rizika. U skladu sa procedurom za
sa specifičnim elementima ISMS
upravljanje rizicima po bezbednost informacija, za

Poslovnik IMS, sa elementima koji se odnose na
svaku stavku informacione imovine sagledane su
ISMS. Ovaj zahtev kao takav ne postoji ni u
ranjivosti i pretnje koja ih mogu iskoristiti,
jednom od menadžment standarda sem QMS, ali je
procenjena je verovatnoća nastajanja neželjenog
postojanje poslovnika korisno jer pruža mogućnost
događaja P i uticaj I koji on može imati na
da se na jednom mestu definišu ključni elementi
informacionu imovinu i izračunat je nivo rizika
ISMS
prema formuli NR=A*P*I. Nivo rizika NR25

Procedure koje se odnose na upravljanje rizicima
definisan je kao prihvatljiv, a za slučaj NR25
po bezbednost informacija, bezbednosnim
predviđene su neke mere postupanja sa tim
događajima / incidentima i kontinuitetom
rizikom. Nivo rizika NR75 definisan je kao
poslovanja.
neprihvatljiv.




Postupanje sa rizicima (primenjeno na slučajeve
kada je NR25, kroz mere za smanjenje
verovatnoće P ili uticaja I, ili oba parametra)
Izjava o primenjiviosti. Opisan je način primene za
sve 133 kontrole, sa izuzetkom 3 kontrole koje se
ne primenjuju u slučaju ENTEL-a (kontrola 10.9.1
koja se odnosi na elektronsku trgovinu, 10.8.5 koja
se odnosi na poslovne IS i 11.5.6 koja se odnosi na
ograničenja vezana za vreme konekcije). Ovaj
dokument u prvoj verziji ima cca 40 strana, a o
njegovom značaju svedoči i činjenica da je
naveden u samom sertifikati ISMS i da je pri
pregledu dokumentacije ISMS ovom dokumentu
bilo posvećeno dva od ukupno tri dana provere
Plan kontinuiteta poslovanja (koji u konkretnom
slučaju obuhvata scenarije za požar, poplavu,
teroristički napad, izostanak napajanja električnom
energijom, kvar opreme, maliciozni softver,
ljudske greške). Ovim dokumentom definisana je i
lokacija za oporavak od katastrofičnih događaja
(engl Disaster Recovery) i šta se u njoj čuva
Zakonski okvir za ISMS, uključujući i krivični
zakonik Republike Srbije
Pored toga, dokumentacija ISMS uključuje i nalaze
interne provere i izveštaj o preispitivanju od strane
rukovodstva.
Već iz ovako sažetog prikaza dokumentacije ISMS
jasno je da je u pitanju veliki obim dokumenata, a
delikatnost teme kojom se bave onemogućuje da se ta
vrsta dokumenta „prepiše“ od druge organizacije, jer se
sve stvari moraju definisati za konkretnu organizaciju, u
skladu sa njenim specifičnostima.
4. PRAKTIČNI ASPEKTI PRIMENE ISMS
U nastavku je ukazano samo na neke od najznačajnijih
segmenata na koje treba obratiti posebnu pažnju u toku
uspostavljanja i implementacije ISMS:







Pristup kadrovskim i drugim ličnim podacima
mora biti restriktivan
U slučaju novozaposlenog, promene radnog mesta
ili napuštanja organizacije mora se sprovesti
dodela, korekcija i/ili ukidanje prava pristupa
Kroz pojedinačne ugovore o radu treba utvrditi
obavezu vezanu za bezbednost informacija
U ugovore sa trećom stranom treba uneti klauzule
o obavezi čuvanja i nesaopštavanja informacija do
kojih se može doći (engl Non Disclosure
Agreement)
Prostorije sa serverima i sličnom opremom moraju
imati fizičku zaštitu tako da pristup imaju samo
ona lica koja su direktno angažovana na poslovima
vezanim za tu opremu
U zaštićenim prostorima se ni pod kojim uslovima
ne smeju ostavljati lica sa strane bez nadzora
Kada se oprema ostavlja bez nadzora, u toku
radnog vremena ili van njega, treba predvideti
organizacione i/ili tehničke mere






Obezbediti redovan back up (rezervne kopije)
informacija kako bi se posledice eventualnog
gubitka informacija svele na najmanju moguću
meru.
Posebna pažnja mora se posvetiti prenosivim
medijumima (CD/DVD, Lap top računari) i
situacijama rada na daljinu. Ova vrsta medijuma
mora stalno držati pod kontrolom (npr. u ručnom
prtljagu prilikom putovanja, ne ostavljati je gepeku
automobila i sl.)
Sva oprema koja se rashoduje mora se podvrći
postupku uklanjanja informacija koje se mogu
zloupotrebiti
Moraju se utvrditi pravila formiranja korisničkih
imena i lozinki, njihova periodična promena i
prispitivanje prava pristupa
Mora se sprovoditi polutika „praznog stola i
praznog ekrana“ tj. sa stola uklanjati sve što nije
neophodno za tekući rad, a sa ekrana računara
ukloniti sve ikonice koje direktno vode do
dokumenata koji se drže značajne informacije
Mora se sprovesti edukacija zaposlenih koja u
ovom standardu ima poseban status u smislu
razvoja svesti zaposlenih o značaju tematike
bezbednosti
informacija
(predavanja
za
zaposlene, informisanje preko mreže i sl), a
poželjna je i specijalistička obuka za lica koja će
se profesionalno baviti bezbednošću informacija
U našim uslovima posebno je važno naglasiti značaj
obaveza i odgovornosti svih zaposlenih za bezbednost
informacija, ne samo specijalističke službe koja se bavi
razvojem i održavanjem lokalne mređe i informacionog
sistema. U praksi to znači da se na računare ne
instaliraju programi na svoju ruku, da se lozinke ne daju
nikome, da se oprezno postupa sa svakom sumnjivom
porukom, da se ne download-uju sadržaji sa
neproverenih sajtova, da se prenosivi računari i
medijumi sa značajnim informacijama ne daju na
korišćenje nikome, pa čak ni članovima porodice i sl.
Ove obaveze i odgovornosti treba da budu regulisane
bilo kroz ugovor o radu ili kroz potpisivanje posebnih
izjava, a njihovo nepoštovanje mora imati svoje
disciplinske posledice.
5. ISKUSTVA I PREPORUKE
Prvo i osnovno iskustvo u uspostavljanju i
implementaciji standarda za ISMS je da je standard
atipičan u odnosu na ostale menadžment standarde, jer
osnovni deo sadrži relativno malo zahteva, ali ima
Aneks A koji je veoma obiman i zahtevan. Da bi se
posao obavio uspešno, potrebno je bar godinu dana
intenzivnog rada kako bi se kroz dokumentaciju i
primenu pripremilo sve ono što je neophodno za
sertifikaciju sistema, jer su aspekti primene i
organizacioni i tehnički i kombinovani. Pored toga, sam
proces provere mnogo je detaljniji nego u drugim
menadžment sistemima, vreme i troškovi provere
praktično su dva puta veći nego u slučaju menadžmenta
kvalitetom.
U slučaju ENTEL-a olakšavajuća okolnost u
uspostavljanju i implementaciji ISMS je što već duži niz
godina preduzeće razvija i unapređuje svoju računarsku
mrežu i svoj informacioni sistem, i ima posebnu
organizacionu jedinicu za to (MIS služba), pa je najveći
deo posla bio da se prepoznaju elementi standarda u
praktičnoj primeni i da se oni uobliče tako da budu
prepoznatljivi u svetlu standarda. Pored toga, iskustvo iz
prethodna četiri standarda bilo je dragoceno u
metodološkom smislu.
Ono što je u neku ruku bila otežavajuća okolnost jeste
opredeljenje organizacije da i ovaj menadžment
standard, kao i sve prethodne, uspostavi sopstvenim
snagama tj. bez angažovanja konsultantskih organizacija. Iskustvo je pokazalo da je to kratkoročno teži, ali
dugoročno daleko bolji pristup, koji je moguće sprovesti
zahvaljujući činjenici da 2/3 zaposlenih ima visoku
stručnu spremu. S obzirom da preduzeće deo svojih
usluga realizuje i na inostranim tržištima, uspostavljanje
i sertifikacija ISMS podržana je kroz program
podsticanja izvoza preko agencije SIEPA
kroz
refundacoiju dela troškova same sertifikacije.
Ono o čemu bi organizacije koje se nalaze na samom
početku ovog poduhvata morale posebno da vode
računa su sledeći elementi:




Dobro proučiti standard i njegove zahteve. Kada se
suoče sa velikim obimom aktivnosti ljudi obično
misle da je on preteran i da se nešto može
izostaviti. Na žalost, to obično nije moguće, a kao
reakcija na to saznanje preti objektivna opasnost
da se ode u suvišne detalje. U tim okolnostima
veoma je važno, kao i u drugim situacijama u
životu, naći pravu meru
Proceniti sopstvene mogućnosti i doneti odluku da
li će se angažovati konsultantska organizacija ili će
se proces sprovesti samostalno. Bez obzira na
opredeljenje, rezultat će najviše zavisiti od same
organizacije, jer će konsultant pre ili kasnije otići
Poduhvat je dugotrajan i zahteva angažovanje
učesnika različitih profila, od IT specijalista, preko
korisnika IS i menadžmenta organizacije. U
takvim uslovima preporučljivo je organizovati to
kao poseban projekat sa jasnom raspodelom
zaduženja, definisanim rokovima, planiranim
resursima i očekivanim rezultatima
Po tradiciji, zaposlenima u IT sektoru menadžment
problematika nije previše bliska, sfera njihovog
interesovanja više je orijentisana ka tehničkim
aspektima problema, pa je neophodno uložiti
poseban napor da im se objasni širi aspekt ove
problematike kako bi se ostvarili što bolji efekti.
6. ZAKLJUČAK
U radu su prezentovana neka iskustva u uspostavljanju i
implementaciji sistema bezbednosti informacija prema
standardu ISO 27001 i date su neke preporuke koje
mogu biti od značaja onima koji se nalaze pred ovim
obimnim zadatkom. Ukazano je na neke ključne
elemente koji su, po mišljenju autora, veoma važni i na
koje se mora obratiti posebna pažnja.
Treba imati na umu da je ova tema u našim uslovima
relativno nova, iako su se neki njeni elementi i do sada
primenjivali u većoj ili manjoj meri. Posebno je
značajno stalno edukovati zaposlene o potrebi za
bezbednošću informacija i načinima na koje se to može
postići. Naime, ljudima se pravila često čine suvišnim,
pa nastoje da izbegnu njihovu primenu, a one koji
ukazuju na potencijalne probleme i insistiraju na
poštovanju tih pravila nazivaju „paranoičnim“. Nije
redak slučaj stava da „to nama neće da se desi“.
Međutim, kada se nešto stvarno desi, i kada se postavi
pitanje odgovornosti za to, oni koji su do juče izbegavali
pravila, a nekada ih i otvoreno ismevali, postaju njihovi
najveći zagovornici, nastojeći da izbegnu odgovornost
ili da je prebace na druge.
Ono što je pozitivno jeste što je sve više organizacija u
našim uslovima koje postaju svesne značaja koju ima
bezbednost informacija. Tridesetak organizacija je
sertifikovalo svoj ISMS po standardu ISO 27001 koji
predstavlja dragocen okvir za sistematičan pristup ovoj
oblasti.
REFERENCE
1 ISO/IEC 27000:2009 - Information technology Security Techniques - Information security
management systems - Overview and vocabulary
2 ISO/IEC 27001:2005 - Information technology Security Techniques - Information security
management systems - Requirements
3 ISO/IEC 27002:2005 - Information technology Security Techniques - Information security
management systems - Code of Practice
4 R.Raković, Upravljanje ICT projektima, VŠPM,
Beograd, 2010
5 R.Raković, Kvalitet softvera i softverski projekti,
Energoprojekt-InGraf, Beograd, 2009
6 Calder A, Watkins S, IT Governance - A
Manager’s guide to Data Security and ISO 27001 /
ISO 27002, 4th Edition, Kogan Page, London and
Philadelphia, 2008
7 Harris S, Certified Information Systems Security
Professional (CISSP) Exam Guide, 4th Edition,
McGraw Hill, 2008
Download

Sistem bezbednosti informacija - iskustva i preporuke