aaa bbb


Za pristup kompletnom i ažurnom tekstu ovog dokumeta, molimo vas:

UPUTSTVO

O NAČINU PROVOĐENjA ZAŠTITE TAJNOSTI PODATAKA NA RAČUNARU

(Objavljeno u "Sl. glasniku Brčko Distrikta", br. 29 od 03 oktobra 2006)

1.
SVRHA I CILjEVI PLANA SIGURNOSTI
Planom sigurnosti podataka treba da se obezbijedi zaštita informacija/podataka i opreme koji se koriste u Informacionom sistemu Brčko Distrikta, a koje generišu organi i institucije Brčko Distrikta BiH ili se koriste od drugih fizičkih i pravnih lica. Svi ovi resursi su podložni rizicima uništenja, oštećenja ili nepropisnog korištenja. Ovi rizici dolaze od različitih izvora: prirodne katastrofe i otkazi (zemljotresi, poplave, požari), namjerni/maliciozni napadi/upadi u sistem, ili nenamjerne greške ili omaške personala, ili postojeće greške u sistemu (softversko/hardverski otkazi itd.) (Sl. 1).
Slika 1: Rizici po sistemske resurse
Od posebnog je značaja obezbjeđenje sigurnosti podataka. Ovim Planom se definišu procedure i koraci za sigurno korištenje, pohranjivanje i transfer informacionih podataka. Plan sigurnosti podataka treba da omogući zaštitu podataka od slučajnog ili namjernog otkrivanja neovlaštenim licima, te njihovu zaštitu od neovlaštene modifikacije ili destrukcije. Dodatno, zaštita treba da se odnosi i na same resurse sistema u smislu obezbjeđenja njihove raspoloživosti ovlaštenim licima. Ovakva svojstva sistema podrazumijevaju njegove karakteristike u pogledu povjerljivosti, integriteta i raspoloživosti.
Povjerljivost podrazumijeva da se osjetljive informacije ne otkrivaju neautorizovanim licima,
Integritet podrazumijeva da se podaci modifikuju ili brišu samo na predefinisan i autorizovan način,
Raspoloživost podrazumijeva raspoloživost resursa sistema autorizovanim korisnicima uvijek kada su im ti resursi potrebni.
Prilikom izrade Plana sigurnosti, pored klasičnih zahtjeva i pristupa, uzet je u obzir i uticaj savremene tehnologije na kojoj se bazira razvoj informacionog sistema Brčko Distrikta BiH (klijent-server/NjEB bazirana arhitektura), kompleksnost samih sistema i njihova distribuiranost, kao i konsekvence koje na sigurnost mogu imati pristupi sistemu u postupcima održavanja i dogradnje, s obzirom na činjenicu da je više spoljnih kompanija učestvovalo u realizaciji pojedinih segmenata Informacionog sistema Brčko Distrikta BiH (projektovanje, razvoj, komunikacije) i da se i dalje može očekivati njihovo učešće u razvoju pojedinih dijelova sistema.
Zbog značaja podataka koji se vode u organima i institucijama Brčko Distrikta BiH za bezbjednost i građane, aspektu zaštite podataka je potrebno posvetiti izuzetnu pažnju. Gubitak informacija ili njihovo neovlašteno mijenjanje/korištenje mogao bi da izazove nesagledive posljedice. Za implementaciju i sprovođenje, te praćenje i usavršavanje Plana sigurnosti odgovorni su organi i institucije Brčko Distrikta BiH u koordinaciji sa Odjeljenjem za stručne i administrativne poslove -Pododjeljenje za informatiku. Sve promjene (funkcionalne, tehnološke, organizacione, itd.) i probleme koji se tiču sigurnosti, a koji se pojavljuju u toku eksploatacije sistema, potrebno je evidentirati i analizirati, a Plan sigunosti dograđivati i poboljšavati. Ovim Planom je također predviđeno stalno testiranje i procjenjivanje stanja sigurnosti sistema koje u perspektivi treba da se u potpunosti uskladi sa svjetskim kriterijima - standardima (žCommon Criteria for Information Technology Security Evaluationž).
2.
IDENTIFIKACIJA SISTEMA I PREDMETA ZAŠTITE
Predmet zaštite su resursi organa i institucija Brčko Distrikta BiH, informacije/podaci, oprema, dokumentacija, arhiva.
Za svaki od ovih podsistema i za sistem u cjelini definisan je skup proaktivnih (preventivnih) i skup reaktivnih (konzervativnih) mjera i koraka, kojim se smanjuju rizici od oštećenja i neraspoloživosti resursa i minimiziraju posljedice.
Proaktivne mjere podrazumjevaju moguće rizične situacije i atake na sistemske resurse i definišu mjere kojima se eliminiše/minimizuje mogućnost realizacije napada ili posljedice omaški/nenamjernih grešaka. Reaktivne mjere se odnose na postupke u slučaju da su se neželjene situacije dogodile, i imaju za cilj saniranje stanja i otklanjanje posljedica uz što brže vraćanje sistema u operativno stanje.
3.
GENERALNE MJERE I POLITIKA INFORMACIONE ZAŠTITE
Plan sigurnosti podataka se odnosi na organe i institucije Brčko Distrikta BiH i date su generalne smjernice kojih treba da se pridržava. Na osnovu ovog plana se, uspostavom odgovarajućih sistema, izrađuju detaljne procedure i uputstva za svaku organizacionu jedinicu.
Shodno gore rečenom generalne mjere politike i zaštite se mogu podjeliti na slijedeće cjeline:
1. Preventivne mjere,
2. Konzervativne mjere
3.1. PREVENTIVNE MJERE
Kao što je spomenuto, proaktivne mjere podrazumjevaju moguće rizične situacije i atake na sistemske resurse i definišu mjere kojima se eliminiše/minimizuje mogućnost realizacije napada ili posljedice omaški/nenamjernih grešaka.
Ove mjere se odnose na fizičke i nefizičke mjere zaštite podataka koje su definisane u slijedećim poglavljima.
3.1.1. "Ne-fizičke" mjere zaštite podataka
Ovim mjerama zaštite određuju se smjernice za aktivnosti koje je moguće izvršiti odgovarajućim postavkama informacionog sistema na svim mogućim nivoima (od najnižeg fizičkog nivoa do najvišeg logičkog - aplikativnog nivoa). Mjere su razrađene kroz slijedeća poglavlja.
3.1.1.1. Opća prava pristupa
Na nivou Brčko Distrikta usaglašena su i definisana generalna prava pristupa podacima i servisima (funkcijama) sistema prema vrstama poslova, kao i dozvoljena prava po organizacionoj jedinici. Ovim pravima pristupa su definisani servisi/funkcije koji su na raspolaganju vlasniku prava, licencirane lokacije sa kojih se ti servisi mogu koristiti, te naznačen opseg podataka sa kojim može da radi vlasnik odnosnog prava prilikom korištenja odnosnog servisa. Za implementaciju ovih mjera zaštite sistema odgovorne su kompanije ili organizacione jedinice koje su kreirale sistem. Dodjelu određenih prava konkretnim operaterima/korisnicima vršiće administratori informacionih sistema u organima i institucijama Brčko Distrikta BiH (sistem administratori).
3.1.1.2. Trag aktivnosti/promjena
Aplikativni sistem treba da obezbjedi evidentiranje aktivnosti svih korisnika/operatera u sistemu: operater koji je aktivirao servis, vrstu servisa koji je korišten, podatke sa kojima je rađeno (pregled/modifikacija) sa tragom promjena (stari podatak - ako postoji, novi podatak), datum i vrijeme promjene, lokacija i terminal sa kojeg je izvršena promjena/uvid u podatke. Sistem treba da ima mogućnost da na osnovu ovih podataka izvrši restauraciju stanja do željenog vremenskog trenutka (za koji postoji sačuvan trag promjena). Zavisno od sistemskih mogućnosti, definisati automatske reakcije sistema na određene događaje u postupku registrovanja tragova promjena.
Pored praćenja promjena podataka u aplikativnom sistemu, za svaki podsisem definišu se informacije koje operativni sistem pamti u historijski (log) fajl, kao npr.:
- Informacije o prijavi na sistem (Logon/logoff information),
- Informacije o isključenju/uključenju sistema (System shutdonjn and restart information)
- Pristup datotekama i direktorijumima
- Promjene korisničkih šifri
- Pristup sistemskim objektima
- Promjene sigurnosnih "politika" ugrađenih u sistem (policy changes) itd.
Također je potrebno definisati veličinu log fajla, kao i način njegovog pražnjenja.
3.1.1.3. Pravila za dodjeljivanje i korištenje korisničkih i