Gordana Marinov IT KORPORATIVNA SIGURNOST U …oliver.efri.hr/zavrsni/603.B.pdf · poduzeća....
Transcript of Gordana Marinov IT KORPORATIVNA SIGURNOST U …oliver.efri.hr/zavrsni/603.B.pdf · poduzeća....
SVEUČILIŠTE U RIJECI
EKONOMSKI FAKULTET
Gordana Marinov
IT KORPORATIVNA SIGURNOST U BANKARSKOM SEKTORU
DIPLOMSKI RAD
Rijeka, 2014.
SVEUČILIŠTE U RIJECI
EKONOMSKI FAKULTET
IT KORPORATIVNA SIGURNOST U BANKARSKOM SEKTORU
DIPLOMSKI RAD
Predmet: Internet u poslovanju
Mentor: dr. sc. Zvonko Čapko
Student: Gordana Marinov
Međunarodno poslovanje
0081122353
SADRŽAJ
1. UVOD ................................................................................................................................ 1
1. 1. Problem, predmet i objekt istraživanja .....................................................................................1
1. 2. Svrha i ciljevi istraživanja ........................................................................................................2
1.3. Radna hipoteza .........................................................................................................................2
1. 4. Metode istraživanja .................................................................................................................3
1. 5. Struktura rada ..........................................................................................................................3
2. BANKARSKI SEKTOR U RH ........................................................................................ 4
3. KORPORATIVNA SIGURNOST ................................................................................... 6
3.1. OSNOVNI PROCESI KORPORATIVNE SIGURNOSTI .......................................................7
3.2. PRIVATNA ZAŠTITA ............................................................................................................8
3.3. ZAŠTITA INTELEKTUALNOG VLASNIŠTVA ....................................................................9
3.4. ZAŠTITA PODATAKA...........................................................................................................9
3.5. PRIVATNA ISTRAŽNA DJELATNOST .............................................................................. 10
3.6. BUSINESS INTELLIGENCE ................................................................................................ 10
3.7. SPRJEČAVANJE PRANJA NOVCA I FINANCIRANJE TERORIZMA ............................... 11
3.8. ZAŠTITA NA RADU ............................................................................................................ 11
3.9. ZAŠTITA OD POŽARA ........................................................................................................ 12
4. SIGURNOST INFORMACIJSKOG SUSTAVA .......................................................... 12
4.1. POJAM I NAČELA SIGURNOSTI INFORMACIJSKOG SUSTAVA ................................... 14
4.2. POLITIKA SIGURNOSTI INFORMACIJSKOG SUSTAVA ............................................... 14
4.3. ORGANIZACIJA POSLOVA UPRAVLJANJA SIGURNOŠĆU ........................................... 16
4.3.1. Upravljanje informacijskim sustavom .............................................................................. 18
4.4 SIGURNOST INFORMACIJSKOG SUSTAVA BANKE ....................................................... 19
4.4.1. Novi sustavi i oprema ...................................................................................................... 20
4.4.2. Sigurnost pristupa treće strane ......................................................................................... 20
4.4.3. Imovina informacijskog sustava, klasifikacija informacija i kontrola ................................ 22
4.4.4. Djelatnici banke i sigurnost informacija ........................................................................... 27
4.4.5. Zaštita od malicioznog i prenošljivog koda ...................................................................... 29
4.4.6. Upravljanje mrežom i nadzor nad sustavom ..................................................................... 32
4.5 PROCJENA RIZIKA INFORMACIJSKOG SUSTAVA ......................................................... 34
4.6. PREVENCIJA RAČUNALNO-SIGURNOSNIH INCIDENATA ........................................... 41
4.7.CERT ...................................................................................................................................... 43
4.8. UPRAVLJANJE KONTINUITETOM POSLOVANJA .......................................................... 44
5. ZAKLJUČAK ................................................................................................................. 47
LITERATURA ................................................................................................................... 49
Internet izvori ............................................................................................................................... 49
POPIS TABLICA I SHEMA ............................................................................................ 50
1
1. UVOD
U svijetu brzog rasta elektroničkog poslovanja prisutna je sve veća ovisnost poslovanja o
informatičkim sustavima. Sredinom prošlog stoljeća informatika u poslovanju koristila se kao
nužna tehnološka infrastruktura u poslovanju. Tada je funkcija informatike u poslovanju bila
pružiti prije svega tehničku podršku redovitom poslovanju i automatiziranom odvijanju
pojedinih poslovnih aktivnosti, kao što je omogućavanje obrade podataka, izvještavanje
menadžmenta rutinskim informacijama i sl. Takva primjena informatike u poslovanju
proizašla je iz činjenice da nije postojao plan razvoja uloge informatike u poslovanju i nisu se
prepoznale sve prilike koje njezina primjena može omogućiti.
Tek sredinom 80-ih godina prošlog stoljeća informacijska i komunikacijska tehnologija
postupno počinju služiti kao sredstvo unutarnjeg povezivanja poslovanja. Informatika postaje
zrelija i sve povezanija s poslovanjem, te glavna podrška u odvijanju ključnih poslovnih
procesa. Informacijska i komunikacijska tehnologija nepovratno mijenjaju poslovne procese i
djelatnosti i njihova primjena postaje ključno pitanje funkcioniranja poduzeća.
Početkom 90-ih godina informacijski sustav zauzima bolje mjesto u organizacijskoj hijerarhiji
kompanije i postaje strateški partner u poslovanju. Intenzivna i učinkovita primjena
informacijskog sustava može utjecati na poboljšanje financijskog rezultata, smanjenjem
troškova, povezivanjem poduzeća s okruženjem, boljom konkurentskom pozicijom itd.
Razvojem informacijske tehnologije, njene podrške poslovanju, kao i globalizacijom
komunikacija, pojavljuju se nove potencijalne opasnosti i ranjivosti informacijskih sustava.
Sigurnosni incidenti, tj. neželjeni događaji na informacijskom sustavu, kao posljedica tih
ranjivosti, mogu ozbiljno ugroziti poslovanje poduzeća i informacijski sustav u cjelini. Time
su ugroženi poslovni procesi, te na direktan ili indirektan način poslovanje poduzeća u
cijelosti.
1. 1. Problem, predmet i objekt istraživanja
Upravo zbog toga što je informacijski sustav zauzeo tako važnu poziciju u poslovanju,
Uprava i najviši menadžment u organizaciji su postali svjesni da se s razvojem informacijske
tehnologije, njene podrške poslovanju, kao i globalizacijom komunikacija, pojavljuju nove
2
potencijalne opasnosti i ranjivosti informacijskih sustava. Sigurnosni incidenti, tj. neželjeni
događaji na informacijskom sustavu, kao posljedica tih ranjivosti, mogu ozbiljno ugroziti
poslovanje banke i informacijski sustav u cjelini. Time su ugroženi poslovni procesi, te na
direktan ili indirektan način poslovanje banke u cijelosti.
Stoga je postavljen problem istraživanja diplomskog rada: Informacijska sigurnost je
neizostavni preduvjet neometanog rada i razvoja poslovanja banaka. Obveza banaka je
poduzeti sve potrebne mjere i aktivnosti kako bi se ostvario cilj postizanja i održavanja nivoa
informacijske sigurnosti na prihvatljivoj razini.
U skladu s problemom istraživanja, postavljen je predmet istraživanja: Analizom utjecaja na
poslovanje identificirati kritične poslovne procese, te ključne resurse neophodne za odvijanje
pojedinih aktivnosti tih procesa.
Slijedom navedenog, postavljen je i objekt istraživanja: Informacijska sigurnost u
bankarstvu, mjere zaštite informacijskog sustava, upravljanje sviješću o sigurnosti i planiranje
djelovanja u izvanrednim okolnostima.
1. 2. Svrha i ciljevi istraživanja
Svrha i cilj istraživanja je definirati rizike u upravljanja informacijskim sustavom koji mogu ostaviti tragične posljedice na cjelokupno poslovanje, te sukladno tome uvesti adekvatne mjere kojima će se ti rizici smanjiti na prihvatljivu razinu. U radu su dati odgovori na sljedeća pitanja:
1. Koje su temeljne odrednice sigurnosti informacijskog sustava?
2. Kako je definirana uspostava kontrole sigurnosti informacijskog sustava?
3. Na koji način je moguće ostvariti povećanje sigurnosti i smanjiti operativni rizik u informacijskom sustavu banaka?
1.3. Radna hipoteza
Problem, predmet i objekt istraživanja oblikovali su i radnu hipotezu: Definiranje mjera
zaštite i deklariranje podrške Uprave banke u provođenju tih mjera, osnova su programa
zaštite informacijskog sustava. Mjerama su određene obveze i odgovornosti za postizanje i
3
očuvanje potrebne razine sigurnosti informacija unutar poslovnih procesa koji se oslanjaju na
informacijsku tehnologiju, te informacijski sustav u cijelosti.
Zamisao autorice rada je da bi hipoteza trebala glasiti: Financijsko ulaganje u sigurnost
informacijskog sustava višestruko se vraća kroz minimiziranje ranjivosti informacijskog
sustava kao temeljnog nositelja poslovnih podataka. Međutim, zbog poštivanja poslovne
tajne, autorici rada je bilo nemoguće predočiti financijske podatke koji bi tu tvrdnju
potkrijepili, te je iz tog razloga, a u dogovoru s mentorom, zadržana uopćena hipoteza.
1. 4. Metode istraživanja
Pri izradi diplomskog rada korištene su sljedeće metode istraživanja: analize i sinteze,
induktivna i deduktivna metoda, metoda generalizacije, metoda kompilacije i metoda
klasifikacije.
1. 5. Struktura rada
Rezultati istraživanja u ovog rada prezentirani su u pet međusobno povezanih dijelova.
U prvom dijelu, uvodu, definirani su problem, predmet i objekt istraživanja, radna hipoteza,
svrha i cilj istraživanja, navedene su znanstvene metode koje su korištene pri izradi rada, te je
na kraju obrazložena struktura rada.
„ Bankarski sektor u Republici Hrvatskoj“ naslov je drugog dijela rada. U njemu je ukratko
opisan tijek razvoja bankarstva, te su navedene zakonske regulative kojima se utvrđuje
poslovanje bankarskog sustava.
U trećem dijelu je objašnjena uloga korporativne sigurnosti te su ukratko opisani osnovni
procesi koje ona obuhvaća.
Četvrti dio ima naslov „Sigurnost informacijskog sustava“ i u njemu su pojašnjeni pojam i
načela sigurnosti informacijskog sustava, Politika sigurnosti i organizacija poslova
upravljanja sigurnošću. Objašnjen je postupak procjene rizika te je definiran plan kontinuiteta
poslovanja.
4
2. BANKARSKI SEKTOR U RH
Bankarska kriza koja je bila na vrhuncu 1998. godine za posljedicu je imala propast 14
banaka. Tako je početkom svibnja 1999. godine u Hrvatskoj poslovalo 55 banaka, do kraja
2004. godine čak 19 banaka je išlo u stečaj, da bi broj banaka koje danas posluju u Hrvatskoj
iznosio (HGK,2014):
· 29 banaka,
· Hrvatska banka za obnovu i razvitak
· 1 štedna banka
· 5 stambenih štedionica
· predstavništva 5 inozemnih banaka.
Budući da banke pridonose ostvarenju općeg dobra, vlade u svakoj zemlji nastoje održati
stabilnost poslovanja bankovnog sustava i povjerenja javnosti u bankarski sustav, te stoga
određuju čvrst regulatorni okvir poslovanja banaka.
Svrha i cilj nadzora i regulacije je spriječiti štetne posljedice krize u bankarstvu, zaštititi
deponente i porezne obveznike, te osigurati stabilan financijski sustav.
Hrvatski Sabor donio je niz zakona kojima se utvrđuje poslovanje bankarskog sustava, a
najvažniji među njima su :
- Zakon o kreditnim institucijama (NN54/13)
- Zakon o Hrvatskoj narodnoj banci (NN 75/08, 54/13)
- Zakon o platnom prometu (NN133/09, 136/12)
- Zakon o deviznom poslovanju
(NN96/03, 140/05, 132/06, 150/08, 92/09,153/09, 145/10)
- Zakon o provedbi uredbi Europske unije iz područja platnog prometa (NN 54/13)
- Zakon o financijskim konglomeratima (NN 147/08, 54/13)
- Zakon o osiguranju depozita (NN177/04, 119/08, 153/09)
Glavnu ulogu u nadzoru i regulaciji poslovanja banaka u Republici Hrvatskoj ima Hrvatska
Narodna Banka (HNB). HNB je odgovorna za izdavanje i oduzimanje dozvola za rad
banaka, davanje prijedloga o likvidaciji, ovlaštena je pratiti poslovne aktivnosti banaka u
5
cilju sprječavanja tržišnog natjecanja. HNB propisuje diskontnu (eskontnu) stopu i ona u
vrijeme pisanja ovog rada iznosi 7%, te stopu obvezne pričuve koja iznosi 12%.
Na temelju analize financijskih izvješća ili izravnog nadzora u banci, HNB ocjenjuje
zakonitost i pravilnost poslovanja banke, njezinu sposobnost upravljanja rizicima, te nalaže
mjere za otklanjanje utvrđenih nezakonitosti, nepravilnosti, te poboljšanja stanja u banci.
Banke su dužne izvješćivati HNB o jamstvenom kapitalu, adekvatnosti kapitala, izloženosti,
likvidnosti te ocjeni rizika (HNB,2003).
Uz HNB, o financijskoj stabilnosti u Republici Hrvatskoj izravno brine i Hrvatska agencija za
nadzor financijskih usluga (HANFA), nadzorno tijelo koje provodi nadzor nad poslovanjem
burzi, investicijskih društava, brokera, središnjeg klirinškog depozitarnog društva,Središnjeg
registra osiguranika, Fonda hrvatskih branitelja, Umirovljeničkog fonda i dr.
Stabilnost hrvatskoga financijskog sustava uvelike ovisi i o radu brojnih drugih javnih i
privatnih institucija kao što su, Državna agencija za osiguranje štednih uloga i sanaciju
banaka (DAB), Središnja depozitarna agencija (SDA), Financijska agencija (FINA), Hrvatska
banka za obnovu i razvitak (HBOR) i mnoge druge (HNB, 2002).
Kako bi osigurale poslovanje u skladu s osnovnim načelima, načelom solventnosti i
likvidnosti, banke moraju prvenstveno voditi računa o rizicima kojima su izložene u svom
poslovanju. Banke ovise o informacijama, jer one predstavljaju temeljni resurs poslovnog
sustava i ključno su sredstvo koje omogućuje prepoznavanje, iskorištavanje i poboljšanje
procesa planiranja i donošenja odluka, te stvaranja konkurentske prednosti. Upravo zbog toga
što informacije imaju tako veliku ulogu, jedan od najvećih rizika kojima banka može biti
izložena je rizik neadekvatnog upravljanja informacijskim tehnologijama. Zbog važnosti
rizika neadekvatnog upravljanja informacijskim tehnologijama HNB je propisala Zakon o
informacijskoj sigurnosti (NN79/07) .
Upravljanje informacijskim rizikom ostvaruje se kontrolama ili mjerama zaštite, što uključuje
procese, politike, standarde, prakse, postupke, smjernice i druge elemente, a sve s težnjom da
se rizik koji može utjecati na funkcioniranje sustava upravljanja informacijama smanji na
najnižu moguću razinu.
Kako bi osigurale održivost, banke moraju konstantno raditi na poboljšanju učinkovitosti i
pouzdanosti informacijskih i komunikacijskih sustava, ulagati u nove tehnologije značajne za
6
poslovne aktivnosti, povećavati standarde društvenog razvoja, te svojim aktivnostima
doprinijeti općoj dobrobiti društva.
3. KORPORATIVNA SIGURNOST
Strateško upravljanje je proces kojim organizacija određuje vlastitu svrhu , ciljeve, načine
kojima planira ostvariti navedene ciljeve, implementaciju tih aktivnosti, praćenje, kontrolu i
vrednovanje.
Strategija poduzeća se prati na tri razine:
· korporativnoj,
· poslovnoj i
· funkcionalnoj.
Korporativna strategija utvrđuje misiju poduzeća, upućuje na željeni smjer kretanja
poduzeća, te određuje izbor načina ulaska poduzeća u poslovnu djelatnost. Poslovna strategija
određuje metode i postupke kojima se trebaju postići zadani ciljevi i konkurentska prednost.
Funkcijska strategija je orijentirana na operacijske postupke ostvarenja utvrđenih poslovnih
ciljeva.
Cilj korporativne sigurnosti je ostvariti sigurnost poslovnog uspjeha poduzeća, što
podrazumijeva eliminaciju svih rizika koji mogu utjecati na poslovanje i uspjeh poduzeća
odrediti način funkcioniranja poduzeća u kriznim situacijama, napraviti plan izlaska iz krize,
te uspostaviti ponovno normalno poslovanje.
Da bi se ostvario zadani cilj korporativne sigurnosti, poduzeće mora izraditi sigurnosnu
strategiju unutar poduzeća. Poslovni procesi korporativne sigurnosti su dio poslovnog procesa
poduzeća. Korporativna sigurnost je strateška funkcija poduzeća, što podrazumijeva razvoj i
koordinaciju resursa koji omogućuju efikasnu implementaciju strategije na razini poslovnih
jedinica.
Sigurnosna strategija je jedinstvena za svako pojedino poduzeće, na primjer, zahtjev za
sigurnošću u bankarstvu nije jednak zahtjevima za sigurnošću u poljoprivredi. Ona mora biti
usklađena s poslovnom strategijom poduzeća i održiva na dulje razdoblje.
7
3.1. OSNOVNI PROCESI KORPORATIVNE SIGURNOSTI
Suvremena poduzeća posluju u dinamičnom i kompleksnom okruženju zahvaćenom velikim
turbulencijama koje su posljedica ekonomskih, političkih, zakonodavnih, gospodarsko-
društvenih i ostalih događanja. Time je povećana je neizvjesnost u svakom segmentu
poslovanja i ograničena mogućnost predviđanja budućih događaja čime je ugrožen osnovni
strateški cilj, odnosno povećanje vrijednosti poduzeća.
Poslovni procesi korporativne sigurnosti definirani su kao potporni procesi, usmjereni na
fizičku i tehničku zaštitu resursa organizacije, zaštitu informacijskog sustava, intelektualnog
vlasništva, robnih marki i sl. Pod resursima organizacije podrazumijevaju se zaposlenici,
klijenti, objekti, roba, IT-infrastruktura.
Korporativna sigurnost kao organizacijska jedinica mora imati jasne odgovornosti i ovlaštenja
u ispunjenju svojih temeljnih zadataka. Bitno je istaknuti kako se u standardnom opisu
poslova korporativne sigurnosti u velikim tvrtkama koristi pojam integralne sigurnosti, koji se
dalje raščlanjuje na poslove sigurnosti i zaštite na radu , zaštite od požara, zaštite okoliša.
Shema 1. Ustroj organizacijske jedinice za sigurnost poduzeća
Grupiranjem poslova unutar jedne organizacijske jedinice na ovaj način poduzeće dobiva
racionalniju, djelotvorniju i učinkovitiju organizaciju i kontrolu nad svim procesima
sigurnosti.
Osnovni procesi korporativne sigurnosti podijeljeni su na:
Organizacijska jedinica
integralne sigurnosti
Organizacijska jedinica
za korporativnu
sigurnost
Organizacijska jedinica
zaštite na radu, zaštite od požara i zaštite
8
· Informacijska sigurnost
· Privatna zaštita
· Zaštita intelektualnog vlasništva
· Zaštita podataka
· Privatna istražna djelatnost
· Bussines intelligence
· Sprječavanje pranja novca i financiranje terorizma
· Zaštita na radu
· Zaštita od požara
· Zaštita okoliša
· Zaštita i spašavanje
· Obrambene pripreme
Organizacijska jedinica koja se bavi dokumentiranjem, analizom i praćenjem poslovnih
procesa u suradnji s djelatnicima organizacijske jedinice integralne sigurnosti modeliraju
poslovne procese korporativne sigurnosti putem radionica, intervjua. Neophodno je da se
procesi modeliraju do posljednje razine detalja kako bi postupak upravljanja bio čim
učinkovitiji.
Kako je predmet ovog rada prvenstveno Informacijska sigurnost u nastavku će biti ukratko
objašnjeni ostali procesi korporativne sigurnosti, a Informacijska sigurnost bit će posebno
obrađena u četvrtom poglavlju.
3.2. PRIVATNA ZAŠTITA
Kako država nije u mogućnosti osigurati nazočnost redarstvenika na svakom mjestu i u
svakom trenutku na mjestima gdje se može dogoditi povreda određenih dobara, često se
ukazuje potreba za angažiranjem privatne zaštite kao dopune zaštiti koju pruža država.
Osnovna razlika između zaštite koju pruža država i privatne zaštite je u tome što je državnoj
zaštiti cilj zaštita interesa društva, a privatnoj je zaštiti cilj služenje interesima pojedinačnim
osobama, ili organizaciji, a ne zaštiti u cjelini (Veić, Nađ, 2005).
Pod poslove privatne zaštite podrazumijeva se tjelesna i tehnička zaštita. Način obavljanja
djelatnosti privatne zaštite, uvjeti, za obavljanje privatne zaštite, uvjeti i način rada osoba koje
9
obavljaju poslove privatne zaštite , te nadzor njihovog rada, propisan je Zakonom o privatnoj
zaštiti (N.N.68/03,31/10,139/10)
3.3. ZAŠTITA INTELEKTUALNOG VLASNIŠTVA
Skup prava nad proizvodima ljudskog uma kao nematerijalnim dobrima, odnosno
nematerijalna imovina poduzeća kojoj se pridaje knjigovodstvena vrijednost i u koju se ulaže
da bi se ostvarila čim veća dobit je intelektualno vlasništvo. Kao najvrjednija stavka u imovini
poduzeća,intelektualno vlasništvo je nužno zaštititi od neovlaštenog korištenja, kopiranja i
krivotvorenja. Planskim upravljanjem intelektualnim vlasništvom može se ostvariti povoljniji
položaj na tržištu, učvrstiti marketinški položaj, prepoznatljivost na tržištu, povećati dobit i
ukupnu vrijednost poduzeća. Intelektualno vlasništvo dijeli se na industrijsko vlasništvo i
autorska prava.
Nadležno tijelo za registraciju intelektualnog vlasništva u Republici Hrvatskoj je Državni
zavod za intelektualno vlasništvo, koji provodi propisane postupke za priznanje žiga, patenta,
industrijskog dizajna, oznaka zemljopisnog podrijetla i oznaka izvornosti.
3.4. ZAŠTITA PODATAKA
Zaštita podataka objedinjuje zaštitu osobnih podataka, zaštitu podataka od državnog značaja i
zaštitu poslovne tajne.
Jedno od temeljnih prava svakog čovjeka je zaštita osobnih podataka. Svrha zaštite osobnih
podataka je zaštita privatnog života. Ustavom Republike Hrvatske (N.N. 85/10) zajamčena je
sigurnost i tajnost osobnih podataka svakoj fizičkoj osobi, bez obzira na njezino
državljanstvo, neovisno o rasi, spolu, jeziku, vjeri, političkom uvjerenju, nacionalnom ili
socijalnom podrijetlu, imovini, naobrazbi i društvenom položaju. Zakon koji uređuje zaštitu
osobnih podataka je Zakon o zaštiti osobnih podataka (N.N. 103/03,118/06, 41/08, 106/12).
Zaštita podataka od državnog značaja regulirana je Zakonom o tajnosti podataka (N.N. 79/07)
i primjenjuje se na podatke iz djelokruga državnih tijela, tijela jedinica lokalne i područne
samouprave i pravnih osoba s javnim ovlastima. Zakonom je isključena mogućnost da se
10
podaci koji bi ukazivali na kazneno djelo, prekoračenje ili zlouporabu ovlasti označe kao
tajni. Predviđa četiri stupnja tajnovitosti :
- vrlo tajno- podaci čijim bi neovlaštenim otkrivanjem nastala nepopravljiva šteta,
- tajno- podaci čijim bi neovlaštenim otkrivanjem nastala teška šteta,
- povjerljivo- podaci čijim bi neovlaštenim otkrivanjem nastala šteta za nacionalnu
sigurnost i
- ograničeno- podaci čije bi neovlašteno otkrivanje prouzročilo štetu u djelovanju i
izvršavanju zadaća državnih tijela u području obrane, javne sigurnosti, kaznenog
postupka, te znanosti, tehnologije, javnih financija i gospodarstva.
Pod pojmom poslovne tajne podrazumijeva se skup podataka i informacija koji se koriste u
poslovanju, a koji poslovnom subjektu, kojemu pripadaju donose gospodarsku korist i
osiguravaju određenu prednost pred konkurencijom. Mjere i postupci poslovne tajne propisani
su zakonom o zaštiti tajnosti podataka (N.N. 108/96,79/07)
3.5. PRIVATNA ISTRAŽNA DJELATNOST
Poslovni subjekti se sve češće obraćaju privatnim istražiteljima sa zahtjevima za diskretnim
provjerama poslovnih aktivnosti, potencijalnih poslovnih partnera, ili sa zahtjevima za
istraživanjem nezakonitih aktivnosti, kao što su prijevare i industrijska špijunaža, ali i za
provjere mjera zaštite poslovne tajne. Zakonom o privatnim detektivima (N.N. 24/09)
propisani su uvjeti i način obavljanja detektivske djelatnosti, definiran je opseg aktivnosti
detektivske djelatnosti na prikupljanje obavijesti i podataka potrebnih za utvrđivanje
činjenica, uvid u osobne i druge podatke te korištenje i obradu osobnih podataka za potrebe
naručitelja detektivskih usluga. Djelatnost detektivskih poslova mogu obavljati pravne osobe i
obrtnici uz odobrenje Ministarstva unutarnjih poslova.
3.6. BUSINESS INTELLIGENCE
Poslovne informacije kao središnji element ,,Bussines intelligence“ predstavljaju strateški
menadžerski resurs. Poslovni menadžeri nastoje predvidjeti buduće događaje i prijetnje u
11
poslovanju, te pronaći adekvatne mjere i odgovore na buduće poslovne izazove. Kao
adekvatan instrument za ostvarenje tog cilja pokazje se upravo „bussines
intelligence“(Javorović, Bilandžić, 2007).
„Bussines intelligence“ je proces prikupljanja podataka i informacija ne temelju kojih se
mogu predvidjeti budući procesi, događaji ili kretanja, te koji nakon odgovarajuće obrade
mogu postati temelj i potpora u donošenju poslovnih odluka, u cilju očuvanja pozicije u
poslovnom okruženju i postizanju poslovnog uspjeha (Bilandžić, 2008).
3.7. SPRJEČAVANJE PRANJA NOVCA I FINANCIRANJE TERORIZMA
Banke i druge financijske institucije mogu nesvjesno biti iskorištene za protok ili polaganje
novca stečenog iz kriminalnih aktivnosti. Zbog toga je u bankarskom i nebankarskom
financijskom poslovanju obveza je provođene mjera i radnji koje se poduzimaju radi
sprječavanja i otkrivanja pranja novca i financiranja terorizma.
Mjere i radnje koje se poduzimaju radi sprječavanja i otkrivanja pranja novac i financiranja
terorizma u bankarskim i drugim financijskim institucijama propisuje Zakon o sprječavanju
pranja novca i financiranju terorizma (N.N. 87/08, 25/12).
Pod pojmom pranja novca podrazumijeva se svaki postupak usmjeren na prikrivanje
nezakonito stečenog noca druge imovine za koju postoji sumnja da je pribavljena na
nezakonit način.
Pojam financiranja terorizma podrazumijeva se osiguranje ili prikupljanje sredstava, odnosno
pokušaj osiguranja ili prikupljanja sredstava, zakonitih ili nezakonitih, na bilo koji način,
izravno ili neizravno, s namjerom da se upotrijebe ili sa znanjem da će biti upotrijebljena , u
cijelosti ili dijelom, za počinjenje terorističkog kaznenog djela, od strane terorista ili
terorističke organizacije.
3.8. ZAŠTITA NA RADU
Postoje poslodavci koji zaštitu na radu percipiraju samo kao dodatni trošak. Činjenice
pokazuju da ozljede na radu i profesionalne bolesti nanose štetu ne samo djelatniku i njegovoj
12
obitelji nego i poslodavcu i društvenoj zajednici. Zaštitu na radu treba prihvatiti kao sastavni
dio organizacije i izvođenja procesa rada i dugoročnog ulaganja. Svaki poslodavac je dužan
provoditi mjere zaštite na radu sukladno Zakonu o zaštiti na radu (N.N. 59/96,94/96, 114/03,
100/04, 86/08, 116/08, 75/09, 143/12), radi osiguranja uvjeta rada u kojima neće postojati
opasnosti po život i zdravlje, odnosno kojima će se te opasnosti svesti na najmanju moguću
mjeru.
3.9. ZAŠTITA OD POŽARA
Sustav zaštite od požara podrazumijeva planiranje zaštite od požara, propisivanje mjera
zaštite od požara, financiranje zaštite od požara te osposobljavanje i ovlašćivanje za
obavljanje poslova zaštite od požara , s ciljem zaštite života, zdravlja i sigurnosti ljudi i
životinja te sigurnosti materijalnih dobara, okoliša i prirode od požara uz društveno i
gospodarski prihvatljiv rizik.
Sustav zaštite od požara u našoj državi utvrđen je Zakonom o zaštiti od požara (N.N. 92/10),
te nizom pod zakonskih propisa, kao djelatnost od posebnog interesa za Republiku Hrvatsku.
Moraju ga provoditi sve fizičke i pravne osobe, tijela državne vlasti te jedinice lokalne i
područne samouprave.
4. SIGURNOST INFORMACIJSKOG SUSTAVA
Pri obavljanju svojih poslovnih aktivnosti banke ovise o informacijama, njihovom
prikupljanju, obradi i upotrebi. Pravodobne, točne i potpune informacije omogućavaju
bankama donošenje kvalitetnijih odluka te poboljšanje poslovnog rezultata kao glavnog cilja.
Informacijski sustav jedan je od ključnih čimbenika u poslovanju banaka. Kako bi se održalo
sigurno , pouzdano i kontinuirano poslovanje banaka, potrebno je veliku pozornost usmjeriti
upravljanju informacijskim sustavom, te njegovom zaštitom. Politika sigurnosti
informacijskog sustava u bankarstvu proizlazi iz strategije, poslovne politike i poslovnih
ciljeva.
Sigurnosna politika informacijskog sustava obuhvaća slijedeće elemente informacijskog
sustava:
· Fizičku sigurnost računalnih resursa (sigurnost poslužitelja, osobnih računala,
prijenosnih računala, printera i sl.)
13
· kontrolu pristupa informacijama
· korištenje Interneta i elektroničke pošte
· korištenje programskih paketa
· zaštitu od zloćudnog i prenosivog koda
· izradu sigurnosnih kopija podataka
· uništavanje digitaliziranih podataka
· uporabu kriptografskih tehnika i kontrola
· razvoj, nabavu i održavanje informacijskog sustava.
Pri zaštiti informacijskih sustava primjenjuju se sigurnosne mjere kao što su konfiguracija,
fizičko okruženje, razine korisnika i stupanj tajnosti informacijskog sustava, moguće
posljedice potencijalnog napada, sigurnosni načini rada, količina podataka na informacijskom
sustavu i sl.
Sigurnosne mjere mogu se definirati u skladu s procjenom sigurnosnog rizika , a prema
sljedećim sigurnosnim zahtjevima:
· načelo minimalnosti softvera
· načelo minimalnosti ovlasti korisnika informacijskog sustava
· samozaštitni čvor
· višeslojna zaštita
· provjera provedbe sigurnosnih mjera.
Načelo minimalnosti instalacije softvera podrazumijeva instalaciju, konfiguraciju i korištenje
softvera, servisa, protokola i usluga u minimalnom opsegu, a koji omogućuje normalno
poslovanje.
Načelo najmanjih ovlasti korisnika na informacijskom sustavu nalaže da korisnici sustava
smiju dobiti samo one ovlasti koje su im nužne za provođenje njihovih zadataka i dužnosti.
Samo zaštitni čvor zahtijeva da svaki informacijski sustav druge informacijske sustave
smatra nesigurnim te na osnovu toga provodi odgovarajuće sigurnosne mjere.
Višeslojna zaštita predstavlja funkcionalno nadopunjavanje sigurnosnih mjera u svrhu
povećanja ukupne zaštite informacijskog sustava.
Provjera provedbe sigurnosnih mjera provodi se kontinuirano, posebno za klasificirane
informacijske sustave ( stupnja tajnosti ˝vrlo tajno˝, ˝Tajno˝ i ˝Povjerljivo˝), kako bi se
osigurala zaštita informacija u mrežama i zaštita prateće infrastrukture.
14
4.1. POJAM I NAČELA SIGURNOSTI INFORMACIJSKOG SUSTAVA
Informacijski sustav predstavlja međusobno djelovanje:
· informacijske i komunikacijske tehnologije
· poslovnih podataka (poslovnih informacija)
· metoda, postupaka i alata za procesuiranje poslovnih podataka
· osoba koje prikupljaju i koriste poslovne odluke.
Temeljna načela koji se banke moraju pridržavati da bi informacijski sustav održale sigurnim
i funkcionalnim, su:
· povjerljivost – informacije i resursi unutar sustava nisu dostupni neovlaštenim
korisnicima.
· integritet – informacijama je osigurana točnost i cjelovitost, bez mogućnosti
neovlaštene ili nepredviđene promjene ili gubitka informacija.
· raspoloživost – sve informacije i resursi unutar sustava su dostupni i uporabljivi za
ovlaštene korisnike onda kada su potrebni.
· pouzdanost – informacijski sustav ovlaštenim korisnicima nudi dosljedno i očekivano
ponašanje i rezultate.
Definiranje načela i odrednica upravljanja sigurnošću informacijskog sustava mora biti
usklađeno s poslovnim i sigurnosnim zahtjevima banke, kao i sa zakonskim propisima,
najboljim praksama i međunarodno prihvaćenim standardima.
4.2. POLITIKA SIGURNOSTI INFORMACIJSKOG SUSTAVA
Sukladno odluci Hrvatske narodne banke o primjerenom upravljanju informacijskim
sustavom, banke su dužne donijeti interni akt koji treba biti okvir za upravljanje sigurnošću
informacija. Njime trebaju biti obuhvaćeni svi poslovni procesi, lokacije, informacije i
informacijska imovinu nepohodnu za odvijanje poslovnih procesa, te stalni i privremeni
zaposlenici i vanjski partneri.
15
Zaštita poslovanja kroz zaštitu informacija počinje određivanjem vlasništva informacija.
Vlasnik informacija je najčešće ujedno i vlasnik poslovnog procesa, te je odgovornost za
adekvatnu zaštitu informacija njegova. Vlasnik poslovnih procesa u bankama je Uprava. Time
je definirano da je konačna odgovornost za poslovanje i zaštitu poslovanja na Upravi, a time i
za sigurnost informacija.
Osnovni cilj Politike sigurnosti informacijskog sustava je osigurati temelj za izradu i
provedbu internih sigurnosnih akata i pripadajućih zapisa, kao i postupaka kojim se osigurava
sigurnost informacijskog sustava banaka i smanjuje operativni rizik vezan za nastanak i
korištenje informacija u širem smislu.
Sigurnost informacija je koncept koji provedbom politike osigurava maksimalnu moguću
dostupnost, povjerljivost i cjelovitost informacija svim korisnicima sustava.
Ciljevi upravljanja sigurnošću informacijskog sustava su:
· zaštita povjerljivosti, integriteta i raspoloživosti poslovnih informacija u skladu s
poslovnim i sigurnosnim zahtjevima banke,
· postizanje razine kvalitete upravljanja informacijskim sustavom
· usklađivanje poslovanja s regulatornim zahtjevima te zakonskim i ugovornim
obvezama.
Politika sigurnosti propisuje sigurnosne mjere kojima se omogućava za organizirano i
pravilno korištenje informatičkih resursa i informacija i kojima se određuju odgovornosti za
isto. Ona ujedno izražava podršku Uprave Banke konceptu sigurnosti informacija i
poslovanja.
Provođenje mjera sigurnosti u konačnici ima za cilj smanjenje operativnih i drugih rizika
korištenja informacija u poslovanju te zadržavanja zadovoljvajuće razine sigurnosnog radnog
okruženja.
Ostvarenje navedenih ciljeva osigurava se kroz:
· uspostavu odgovarajućih procesa i organizacijske strukture s jasno definiranim
ulogama i odgovornostima za informacijsku sigurnost.
· uspostavu administrativnog upravljačkog okvira s jasno definiranim vlasništvom nad
dokumentacijom (dokumentacija informacijskog sustava)
16
· osiguravanje odgovarajućih financijskih i ljudskih resursa potrebnih za učinkovito
provođenje Politike
· periodički nadzor i unaprijeđenje upravljanja sigurnošću informacijskog sustava.
Kako bi se omogućilo mjerenje učinkovitosti upravljanja sigurnošću informacijskog sustava ,
banka treba uspostaviti sustav metrika za ključne sigurnosne kontrole informacijskog sustava.
Uspostavljene sigurnosne metrike moraju biti mjerljive i jednoznačno definirati kriterije na
temelju kojih se procjenjuje učinkovitost odabranih sigurnosnih mjera.
4.3. ORGANIZACIJA POSLOVA UPRAVLJANJA SIGURNOŠĆU
Uprava banke odgovorna je za uspostavu i nadzor procesa upravljanja sigurnošću
informacijskog sustava, te za osiguranje primjerenih materijalnih, tehničkih, operativnih i
kadrovskih resursa za stalno i djelotvorno funkcioniranje tog procesa. Svaki korisnik
informacijskog sustava mora razumjeti svoju ulogu i odgovornosti prema zaštiti informacija
te štititi resurse informacijskog sustava.
Direktora Odjela sigurnosti Informacijskog sustava po nalogu uprave dužan je:
· uspostaviti sustav upravljanja sigurnošću Informacijskog sustava;
· periodično dostavljati upravi izvješće o stanju sigurnosti u svim poslovnim
jedinicama, najmanje jednom kvartalno, a najviše jednom mjesečno, ili na izričit
zahtjev uprave banke;
· izraditi metodologiju za upravljanje operativnim rizicima koji su posljedica korištenja
informacijskih i srodnih tehnologija;
· evidentirati rizike u poslovanju i informacijskom sustavu;
· planirati odgovore na evidentirane rizike u Informacijskom sustavu , prezentirati ih
rukovoditeljima organizacijskih jedinica;
· planirati projektne aktivnosti kao odgovor na evidentirane rizike u Informacijskom
sustavu;
· dati mišljenje i ocjenu za rizike evidentirane od strane bilo kojeg sudionika u
poslovanju,
17
· kontinuirano raditi na prezentaciji i promidžbi poslova sigurnosti, na povećanju razine
svijesti o potrebi ulaganja u sigurnost Informacijskog sustava, a time i nivou zaštite
poslovanja. Organizirati radionice i programe edukacije za organizacijske jedinice
banke
Direktor Odjela sigurnosti Informacijskog sustava ima ovlasti uprave kojima može da:
· Tražiti izvještaj o stanju sigurnosti od rukovoditelja svake organizacijske jedinice sa
svrhom uspostave sustava upravljanja sigurnošću Informacijskog sustava;
· Obavljati testiranje stanja sigurnosti u svim organizacijskim jedinicama, po vlastitom
planu, usuglašenom s upravom;
· Planirati i predložiti mjere za smanjenje rizika i dostaviti ih rukovoditeljima
organizacijskih jedinica;
Uprava neposredno zadužuje direktora Sektora informatike da ustroji interne akte temeljem
kojih će provoditi potrebne aktivnosti. Procedure i aktivnosti moraju sadržavati:
· planove postupanja po incidentima, vođenje evidencije incidenata i pripadajućih
zapisnika;
· identifikaciju rizika kojima su izloženi informacijski sustavi;
· izvještaje direktoru Odjela sigurnosti Informacijskog sustava o stanju sigurnosti u
Odjelu;
· organiziranje procesa kojima informacijski sustav temeljen na informatičkoj
tehnologiji podržava cjelovitost, dostupnost i raspoloživost informacija;
· organiziranje procesa koji osiguravaju provedbu sigurnosnih procedura sukladno ovoj
Politici;
· postupke kojima osiguravaju da su svi radnici Banke i dobavljači upoznati s ovom
Politikom;
Sudionici izgradnje sigurnosti informacija banke su svi djelatnici. Uprava je odgovorna za
primjenu politike sigurnosti u praksi.
18
4.3.1. Upravljanje informacijskim sustavom
Upravljanje informacijskim sustavom je proces koji se odnosi na sve osobe, sustave i procese
čija je aktivnost vezana za informacije i informacijski sustav.
U procesu upravljanja informacijskim sustavom, dužnost sudionika je ispunjavanje poslovnih
ciljeva banke i održavanje temeljnih načela informacijskog sustava.
S ciljem kvalitetnijeg upravljanja informacijskim sustavom banka uspostavlja procese
upravljanja rizikom informacijskog sustava, implementira kontrole i mjere za smanjenje rizika
na prihvatljivu razinu, te provodi unutarnju reviziju informacijskog sustava, primjenjujući
koncepte sigurnosti informacijskog sustava, planiranje kontinuiteta poslovanja, razvoj sustava
i eksternalizaciju i održavanje informacijskog sustava.
Kako bi uspostavila koordinacija aktivnosti vezanih uz informacijsku sigurnost i upravljanje
rizicima informacijskog sustava, te odnosila kvalitetne odluke, uprava banke imenuje Odbor
za upravljanje operativnim rizicima.
Iako Odbor za upravljanje operativnim rizicima ima šire područje djelovanja i zaduženja za
upravljanje sigurnošću informacijskog sustava (HNB, 2006.), glavni zadci Odbora su:
- nadzor sigurnosti i funkcionalnosti informacijskog sustava u cjelini
- definiranje prioriteta aktivnosti vezanih uz upravljanje sigurnošću
informacijskog sustava
- odobravanje i verifikacija ključnih aktivnosti vezanih uz procjenu rizika
informacijskog sustava
- koordinacija aktivnosti i sudjelovanje u postupcima klasifikacije informacija
banke.
Odbor za upravljanje operativnim rizicima razmatra i upućuje na usvajanje politiku sigurnosti
informacijskog sustava i druge akte iz područja upravljanja informacijskim sustavom i
sigurnosti informacijskog sustava s ciljem ocjene adekvatnosti i usklađenosti s poslovnim
ciljevima banke te aktivno sudjeluje u rješavanju spornih pitanja i eskalacije problema
vezanih uz sigurnost informacijskog sustava.
19
4.4 SIGURNOST INFORMACIJSKOG SUSTAVA BANKE
Organizacijska jedinica banke koja je odgovorna za definiranje, dizajniranje i implementaciju,
održavanje i unaprjeđenje IT servisa je Sektor informatike. Aplikativna podrška, sistemska
podrška, podrška korisnicima i podrška provođenju obrada predstavlja temelj IT servisa koje
Sektor informatike pruža korisnicima informacijskog sustava. Međutim, jedna od najvažnijih
uloga i odgovornosti Sektora informatike je upravo vezana uz sigurnost informacijskog
sustava.
Sektor informatike odgovoran je za :
· provođenje sigurnosnih mjera proizašlih iz procjene rizika informacijskog sustava,
politike sigurnosti informacijskog sustava i drugih akata po nalogu Ureda za
korporativnu sigurnost,
· ispravno funkcioniranje svih dijelova informacijskog sustava banke,
· nadzor aktivnosti vanjskih partnera,
· dodjelu prava za pristup poslovnih informacija za korisnike informacijskog sustava, a
na osnovi propisanog postupka i u skladu s odobrenjem vlasnika informacija,
· omogućavanje generiranja, bilježenja i redovitog praćenja sistemskih i operativnih
zapisa informacijskog sustava
· održavanje ažurnog registra informacijske imovine
· inicijalno dokumentiranje i redovito ažuriranje dokumentacije informacijskog sustava
sukladno opisom radnog mjesta i poslovnim zaduženjima.
Osim navedenih zaduženja Sektor informatike zadužen je za provedbu i održavanje
sigurnosnih mjera kojima će se osigurati povjerljivost, integritet i raspoloživost informacija ,
uključujući
o sigurnosno ojačavanje informacijske imovine
o instalaciju sigurnosnih zakrpi, nadogradnju i izradu sigurnosnih pričuva
poslovnih podataka sve u skladu sa sigurnosnim i poslovnim zahtjevima
o kontinuirani nadzor rada i provjeru ispravnosti komponenti informacijskog
sustava
20
o kontinuirani nadzor i praćenje sigurnosnih događaja na informacijskom sustavu
u okviru operativnog rada
o zaštita od zloćudnog/malicioznog koda
o praćenje sigurnosnih prijetnji s potencijalnim utjecajem na informacijsku
imovinu banke
Korištenje informacijskog sustava mora biti primjereno, etičko, djelotvorno i efikasno , što
podrazumijeva jasno definirana pravila korištenja informacijskog sustava u svrhu zaštite
informacijske imovine od zlouporabe, neovlaštenih izmjena, gubitka ili uništenja. Ovlasti za
pristup informacijskom sustavu mogu se koristiti samo za namjenu kojoj su određene.
4.4.1. Novi sustavi i oprema
Uvođenje novih sustava ili opreme na postojeći sustav banke tretira se kao promjena na
informacijskom sustavu banke i moraju biti odobrene od strane uprave banke. Odjel sigurnosti
informacijskog sustava mora provjeriti da li su zadovoljeni svi sigurnosni aspekti, te dati
svoju suglasnost.
Svaki novi softver i hardver se mora provjeriti po pitanju kompatibilnosti s postojećim
sustavom. Obavezno je testiranje na izoliranom sustavu, temeljem kojega će Odjel sigurnosti
informacijskog sustava napraviti izračun rizika i dati svoje mišljenje.
4.4.2. Sigurnost pristupa treće strane
Treće strane ili ugovorni poslovni subjekti mogu biti dobavljači i osoblje za održavanje
softvera i hardvera ili drugih tehničkih djelatnosti, čistači, dobavljači hrane, čuvari i ostale
ugovorne djelatnosti, student servisi i studenska praksa i vanjski konzultanti.
Kako bi se omogućilo kvalitetno upravljanje uslugama trećih strana te umanjili rizici
informacijskog sustava od neovlaštenog pristupa i zlouporabe od trećih strana, banka treba
jasno definirati pravila koja će obuhvatiti sve aspekte upravljanja uslugama trećih strana kao i
uloge i odgovornosti. Također, Ured za korporativnu sigurnost mora sklopiti odgovarajući
ugovor sa svim trećim stranama, kako bi se osiguralo kvalitetno i odgovorno pružanje usluga.
21
Ukoliko treća srana pruža usluge razvoja softvera, ugovor mora sadržavati:
· definirane obveze upravljanja razvojem programskog koda
· definirane obveze korištenja sigurnih metoda razvoja softvera u skladu s najboljim
praksama
· definiranje vlasništva nad programskim kodom
· definiranje pravila pohrane sigurnosne kopije softvera u slučaju izvanrednih situacija
· definirana prava na nezavisnu procjenu kvalitete i sigurnosti programskog koda.
Odgovorna osoba u banci definira pravila sigurne komunikacije i razmjene informacija, te je
odgovorna za nadzor parametara ugovora i mjerenje razine pružene usluge. Po isteku
ugovorne obveze moraju se ukinuti date ovlasti pristupa informacijskom sustavu trećim
stranama. S ciljem kvalitetnijeg provođenja definiranih pravila trebale bi se uspostaviti
metrike koje omogućuju mjerenje učinkovitosti upravljanja uslugama trećih strana. Primjer
kako bi trebala izgledati takva metrika je u nastavku:
Tablica 1. Sigurnost pristupa treće strane-Metrike
Naziv metrike Način mjerenja Ciljana vrijednost
Postotak ugovora sklopljenih sa
trećim stranama s uključenim parametrima za nadzor i
mjerenje razine usluge.
Periodička revizija sklopljenih ugovornih obveza
100% u skladu s godišnjim planom
revizije ugovora
Postotak ugovora sklopljenim s
trećim stranama s potpisanim izjavama o čuvanju poslovne tajne
Periodička revizija sklopljenih ugovornih obveza
100%
Broj aktivnih korisničkih računa za udaljeni pristup
informacijskom sustavu, za treće stane s kojima ne postoji važeća ugovorna obveza
Periodička revizija korisničkih računa za udaljeni pristup
0
Izvor: Izrada autorice rada
U nastavku je anketa „Sigurnost pristupa trećih strana“ koju sam napravila u dvije banke koje
radi zaštite informacija ne smijem imenovati .
22
Tablica 2. Anketa „Sigurnost pristupa trećih strana“
PITANJA ODGOVORI
Nadležni rukovoditelj treba ishoditi potpis
dokumenta o povjerljivosti informacija za sve
ugovorne radnike koji borave u prostoru
Banke duže od jednog dana
Opišite stanje u vašoj organizacijskoj jedinici po ovim pitanjima
Banka X
Banka Y
Da li je u vašoj organizacijskoj jedinici formaliziran postupak koji prati duži pristup osoba koji nisu u radnom odnosu s Bankom?
Da, Pravilnikom o
primjerenom
korištenju informacijskog
sustava, pravilnikom
o upravljanju
uslugama trećih strana
Nije
Imate li zapisa o takvim događajima? Ne Ne
Kako biste ocijenili razinu sigurnosti od pristupa
treće strane resursima informacija Banke u vašoj organizacijskoj jedinici? ( na skali od 1 do 4 ; 1-
mala, 2-srednja, 3-srednje visoka, 4-visoka)
4 - visoka
2-srednja
Što planirate poboljšati na tom polju i u kojem roku?
Nastaviti
kontinuirano raditi
na promicanju
važnosti svijesti o informacijskoj
sigurnosti
Propisati Pravilnik o
upravljanju uslugama
trećih strana
Izvor: Izrada autorice rada
4.4.3. Imovina informacijskog sustava, klasifikacija informacija i kontrola
Banka mora održati prihvatljivu razinu zaštite imovine banke. Stoga, upravljanje
informacijama kao i drugim resursima informacijskog sustava, mora biti regulirano i
organizirano tijekom njihovog životnog vijeka, od nastanka, preko autorizirane upotrebe do
propisnog uništenja. Za sve informacije u sustavu banka treba odrediti vlasnika.
Sve informacije trebaju biti klasificirane prema povjerljivosti u klasifikacijske razrede:
- Javno- informacije koje nisu osjetljive za banku. To su uglavnom informacije
koje su predviđene za javno objavljivanje.
23
- Povjerljivo- informacije koje su namijenjene internoj uporabi i to bez
ograničenja za sve zaposlenike banke. Te informacije mogu se okarakterizirati
kao osjetljive ako bi dospjele u javnost.
- Tajno- informacije čije otkrivanje neovlaštenim osobama može imati štetne
posljedice za banku. Pristup ovim informacijama mogu imati samo ovlaštene
grupe zaposlenika, sukladno poslovnim zahtjevima i procesima. U ostalim
slučajevima pristup takvim informacijama odobrava vlasnik informacije za
svaki pojedini slučaj. Klasifikacijski razred „Tajno“ obuhvaća i informacije
definirane Zakonom o kreditnim institucijama(bankovna tajna), Zakonom o
zaštiti osobnih podataka, zakonom o tržištu kapitala, Zakonom o sprječavanju
pranja novca i financiranja terorizma, Zakonom o tajnosti podataka.
- Vrlo tajno- informacije od najveće strateške važnosti za banku, čije bi
pojedinačno ili skupno otkrivanje imalo direktan utjecaj na tržišnu poziciju
banke, uzrokovalo značajne financijske, reputacijske, zakonske i druge
posljedice, kao i sve ostale informacije koje su zakonom i ostalim propisima
definirane kao „vrlo tajne“. Ovlasti za pristupanje poslovnim informacijama u
ovom klasifikacijskom razredu dodjeljuju se isključivo individualno.
U koliko postupak klasifikacije ili označavanja informacije klasifikacijskim razredom nije
izričito proveden, svaka se informacija u trenutku nastanka unutar banke ili preuzimanja iz
okoline, pripada klasifikacijskom razredu „Tajno“ sve dok vlasnik informacije ne promijeni
klasifikacijski razred informacije. Procedura rukovanja informacijama mora pokriti sve
tipove procesuiranja informacija:
- kopiranje,
- pohranu,
- prijenos elektroničkim medijem (telekomunikacije),
- prijenos informacija govorom, telefonom, glasovnom poštom i automatskom
sekretaricom,
- uništavanje.
Svi osobni podaci (informacije) moraju biti zaštićeni od neovlaštenog korištenja. Pod
imovinom ili sredstvima koja su predstavljena kao nosioc informacija smatramo: podatke u
bazama, datoteke, priručnike, upute, organizacijske i operativne procedure, planove i
24
procedure odgovora na incidente, pisane koncepte za upravljanje informacijama, procedure,
akte, svaki zapis na papiru, elektroničkom formatu ili bilo kojem drugom nosiocu, koji sadrži
informacije o Banci ili njenom poslovanju, i može biti iskorišten u pozitivne ili negativne
svrhe.
Tablica 3: Pravila postupanja s klasificiranim informacijama
Javno Povjerljivo Tajno Vrlo tajno
Pohrana u
papirnatom
obliku
Nema
posebnih
zahtjeva
Pohrana
papirnate
dokumentacije u ormare ili
ladice pod
ključem.
Pohrana papirnate
dokumentacije u
vatrootporne ormare ili ladice pod ključem
Pohrana papirnate dokumentacije u
vatrootpornim sefovima
Pohrana u
elektroničkom obliku
Nema
posebnih
zahtjeva.
Primijeniti
redovite
metode
kontrole
pristupa
Pristup ograničen na ovlaštene grupe zaposlenika sukladno
sigurnosnim i
poslovnim
zahtjevima.
Pristup informacijama ima vrlo
ograničen broj osoba, uz strogu kontrolu i nadzor pristupa
informacijama.
Informacije pohranjene na osobnim
i prijenosnim računalima moraju biti zaštićene korištenjem enkripcije.
Korištenje enkripcije se preporuča i za dijeljene diskove i pojedine tablice u bazama podataka
Pristup
informacijama
Nema
posebnih
zahtjeva
Pristup
dozvoljen
svim
zaposlenicima
Banke.
Navedenim
informacijama
mogu
pristupati i
vanjski
partneri Banke u skladu s
ugovornim
obvezama i
poslovnim
potrebama te
uz preuzetu
obvezu o
čuvanju njihovih
povjerljivosti.
Pristup omogućen sukladno poslovnim
zahtjevima koja
svakom pojedinom
zaposleniku odobrava
Vlasnik informacije.
Pristup vanjskih
partnera
informacijama s
klasifikacijskom
oznakom Tajno može odobriti Vlasnik
informacija samo u
iznimnim
slučajevima u svrhu i u mjeri koji su mu ti
podaci potrebni te
nakon potpisane
izjave (ugovora) o
čuvanju poslovne tajne, sukladno
važećim Aktima Banke
Pristup moguć samo uz izričito odobrenje Uprave Banke, odnosno
osoba koje Uprava Banke ovlasti
za dozvolu pristupa. Ovlasti za
pristup navedenim informacijama
mogu se dodijeliti samo pojedinom
korisniku, a ne grupi korisnika.
Vanjski partneri nemaju pristup
informacijama
Postupak s Nema Primijeniti Mediji moraju biti Mediji moraju biti pohranjeni u
25
prijenosnim
podatkovnim
medijima
posebnih
zahtjeva.
redovite
metode za
pohranu
medija.
pohranjeni u
spremištu pod ključem ili u čuvanom prostoru.
spremištu kojem pristup imaju samo ovlaštene osobe i njihove zamjene te se moraju voditi zapisi
o pristupima medijima.
Označavanje dokumenata
Označavanje nije
potrebno.
Dokument
mora imati
oznaku
POVJERLJIV
O.
Dokument mora imati
oznaku TAJNO.
Svaka stranica mora imati oznaku
VRLO TAJNO
Označavanje prijenosnih
medija
Označavanje nije potrebno.
Moraju
sadržavati oznaku
klasifikacijsko
g razreda na
omotu medija.
Moraju sadržavati oznaku klasifikacijskog
razreda na omotu
medija.
Medij mora imati oznaku VRLO
TAJNO.
Umnožavanje i ispis
Nema
posebnih
ograničenja
Nema
posebnih
ograničenja
Umnožavanje i ispis dozvoljeni bez
ograničenja unutar grupe zaposlenika
kojoj je dozvoljen
pristup navedenim
informacijama.
U slučaju umnožavanja, ispisa i distribucije
informacija prema
drugim
organizacijskim
jedinicama i
zaposlenicima Banke,
potrebna je
eksplicitna dozvola
Vlasnika informacije.
Postupak
umnožavanja informacija mora biti
proveden tako da se
spriječi doticaj neovlaštenih osoba s takvim dokumentima
Umnožavanje i ispis mogući samo uz eksplicitnu dozvolu ovlaštene osobe (Uprava Banke ili osoba
ovlaštena od strane Uprave Banke).
Potrebno je evidentirati broj kopija
i osobe kojima su kopije
namijenjene putem distribucijske
liste. Daljnja distribucija
informacija nije dozvoljena bez eksplicitne dozvole ovlaštene osobe.
Postupak umnožavanja informacija mora biti proveden tako da se
spriječi doticaj neovlaštenih osoba
s takvim dokumentima.
U slučaju ispisa na pisač, pisač ne smije biti ostavljen bez nadzora
ovlaštene osobe od trenutka neposredno prije ispisa pa do kraja
ispisa. Ispis bez nadzora ovlaštene osobe je moguć samo na onim pisačima koji su smješteni u prostor gdje postoji kontrola
pristupa.
Slanje faksom Nema
posebnih
ograničenja
Nema
posebnih
ograničenja
Slanje faksa samo uz
prethodnu obavijest
primatelju
Nije dozvoljeno.
U iznimnim slučajevima slanje faksom može odobriti Vlasnik informacije (Uprava Banke ili
osoba koju je ovlastila Uprava
Banke) i tada je potrebno
primatelja unaprijed obavijestiti o
slanju, a primatelj se obvezuje da za vrijeme slanja informacija on ili
osoba koju primatelj ovlasti budu
neposredno uz faks uređaj.
Slanje javnom
elektroničkom
Nema
posebnih
Šalje se uz enkripciju
Šalje se uz enkripciju minimalno metodom
Obavezna primjena enkripcije
26
mrežom ograničenja minimalno
metodom
postavljanja
zaporke na
elektroničke dokumente
koji se
postavljanja zaporke
na elektroničke dokumente koji se
Slanje unutar
Grupe
Nema
posebnih
ograničenja
Slanje
običnom poštom.
Korištenje vanjske ili interne preporučene dostave.
Vlasnik informacije (Uprava Banke
ili osoba ovlaštena od strane Uprave Banke) mora specificirati
distribucijsku listu koja sadržava primatelje informacije i pripadni
broj kopija.
Potrebno je koristiti vanjsku ili
internu preporučenu dostavu u zapečaćenom omotu, s oznakom Na ruke primatelja i Vrlo tajno na
vidljivom mjestu.
Slanje izvan
Grupe
Nema
posebnih
ograničenja
Slanje
običnom poštom
Korištenje vanjske ili interne preporučene dostave.
Vlasnik informacije (Uprava Banke
ili osoba ovlaštena od strane Uprave Banke) mora specificirati
distribucijsku listu koja sadržava primatelje informacije i pripadni broj kopija.
Potrebno je koristiti vanjsku ili
internu preporučenu dostavu u zapečaćenom omotu, s oznakom Na ruke primatelja i Vrlo tajno na
vidljivom mjestu.
Uništenje elektroničkog zapisa
Korištenje uobičajene funkcionalno
sti brisanja
koja je
ugrađena u operacijski
sustav.
Korištenje uobičajene funkcionalnost
i brisanja koja
je ugrađena u
operacijski sustav.
Uništenje/brisanje korištenjem sigurnih metoda brisanja koje
je propisao Ured za
korporativnu
sigurnost.
Brisanje/demagnetiza
cija medija nije
nužna, no Vlasnik informacije može zahtijevati
Uništenje/brisanje korištenjem sigurnih metoda brisanja koje je
propisao Ured za korporativnu
sigurnost.
U slučaju ponovne upotrebe ili prenamjene medija, potrebno je provesti brisanje/demagnetizaciju
medija sigurnom metodom koju je
propisao Ured za korporativnu
sigurnost.
U slučaju prestanka korištenja medija, medije je potrebno fizički uništiti.
Uništenje zapisa u
papirnatom
obliku
Nema
posebnih
zahtjeva.
Preporuča se uništavanje korištenjem prikladnih
uništavača dokumenata.
Uništavanje korištenjem
prikladnih uništavača dokumenata.
Uništavanje korištenjem prikladnih uništavača dokumenata
Izvor: Pravilnik o klasifikaciji informacija
27
U banci se nosioci informacija dijele u dvije grupe:
Elektronički nosioci informacija - aplikativni softver, sistemski softver i sve tipove
razvojnih alata i pomoćnih programa;
Fizički nosioci informacija- sav hardver koji je u vlasništvu Banke, tj. računalnu opremu i
periferiju, mrežnu i komunikacijsku opremu (routeri, switchevi, HUB-ovi, modemi,
telefonske centrale, itd), magnetske medije i ostalu fizičku opremu (neprekidne izvore
napajanja, pasivnu mrežnu opremu itd)sve papirnate medije na kojima su napisane
informacije u vlasništvu Banke (ugovori, akti, zapisi, dokumentacija, formulari i dr.).
svi ostali nosioci informacija: mikrofilm, audio i video mediji i dr.
4.4.4. Djelatnici banke i sigurnost informacija
Kako bi se rizik ljudske pogreške, krađe ili nepravilnog korištenja resursa koji bi mogao biti
pokrenut od strane djelatnika, sveo na najmanju moguću mjeru, primjenjuju se principi:
· minimalnih ovlaštenja,
· razdvajanja poslova,
· rotacije dužnosti,
· dvostrukih softverskih i ručnih kontrola,
· dvostrukog unosa,
· ograničavanjem raspolaganja informacija koje su djelatniku potrebne isključivo
za svakodnevne aktivnosti,
· podizanjem razine svijesti o zaštiti, koja se provodi kroz programe izobrazbe
svih djelatnika.
Cilj je osigurati djelotvorno, efikasno, etičko i zakonski primjereno korištenje svih dijelova
informacijskog sustava. Potiče se korištenje Interneta (koji se smatra značajnim poslovnim
resursom) i elektroničke pošte prvenstveno radi poslovne i obrazovne namjene. Kako bi se
omogućilo učinkovito i sigurno korištenje Interneta, elektroničke pošte te web sadržaja
dostupnih na Internetu, u skladu s poslovnim i sigurnosnim zahtjevima mora biti uspostavljen
28
centraliziran sustav za nadzor i kontrolu pristupa web sadržajima. Isto tako, korisnicima
informacijskog sustava mora biti onemogućena promjena postavki računala koja bi omogućila
zaobilaženje centraliziranog sustava za nadzor i kontrolu pristupa web sadržajima. Potrebno je
podesiti filtriranje pristupa web sadržajima u skladu s poslovnim i sigurnosnim zahtjevima, te
blokirati sav ilegalni, uznemirujući i neprikladni sadržaj.
U nesmetanom poslovanju banke često se ukazuje potreba za udaljenim pristupom
informacijskom sustavu. Udaljeni pristup informacijskom sustavu potrebno je omogućiti
isključivo korištenjem sigurne kriptirane komunikacije. Svi korisnici udaljenog pristupa
moraju biti jedinstveno i neosporno prepoznati na mreži banke, te se koristiti računalnom
opremom koja je u vlasništvu banke i koja je podešena u skladu sa sigurnosnim pravilima
banke. Na računalu za udaljeni pristup mora biti instaliran antivirusni sustav i aktiviran
lokalni vatrozid.
Uređaji i računalna oprema ne smiju biti dostupni neovlaštenim osobama niti lako dostupni.
Djelatnici moraju čuvati sve informacije o banci u pisanoj ili drugoj formi te onemogućiti
zlouporabu informacija koje su dio njihovog svakodnevnog posla.
Zaštita prostora banke mora biti osigurana višenamjenskim sustavom video nadzora,
vatrodojave i protuprovalnog sustava.
Važni informacijski resursi moraju biti smješteni u posebno osiguranim prostorima uzimajući
u obzir sigurnosne rizike:
· dovoda električne energije,
· lakoće rukovanja,
· fizičke dostupnosti opreme,
· protuprovalne zaštite,
· protupožarne zaštite,
· kontrolirani pristup u prostor
· specijalizirani ormari za smještaj opreme,
· rashladni sustav,
· nadzor.
29
Oprema mora biti korektno održavana s ciljem njezine kontinuirane uporabe. Mora biti
održavana u skladu s preporukama proizvođača i od strane kompetentnog osoblja.
Informatička oprema ne smije se iznositi izvan prostora banke. Rashodovanje opreme mora
biti kontrolirano, a nosači informacija prilikom rashodovanja uništeni.
4.4.5. Zaštita od malicioznog i prenošljivog koda
Zloćudni kod je bilo koji oblik programskog koda stvoren da bi djelovao neočekivano i na
potencijalno štetan način, odnosno na način koji može narušiti povjerljivost, integritet i
raspoloživost resursa informacijskog sustava. Primjeri zloćudnog programskog koda su
računalni crvi, virusi, trojanski konji i sl.( http://www.virusi.net/)
Virus je program ili kod koji se sam replicira u drugim datotekama s kojima dolazi u kontakt.
Može se nalaziti i zaraziti bilo koji program, sektor za podizanje računala, dokument koji
podržava makronaredbe, tako da promijeni sadržaj te datoteke te u nju kopira svoj kod.
Računalni virus se obično sastoji od dva dijela.
· Prvi dio je samo kopirajući kod koji omogućava razmnožavanje virusa
· Drugi dio je korisna informacija koja može biti bezopasna ili opasna.
Vrste računalnih virusa:
· boot sektor virusi – napadaju Master boot sektor
· parazitski – zaraze izvršne datoteke dodavanjem svog sadržaja u strukturu programa
· svestrani virusi – napadaju boot sektore i izvršne programe
· virusi pratioci – stvori .com datoteku koristeći ime već postojećeg .exe programa i
ugradi u nju svoj kod
· link virusi – u trenu inficiraju napadnuti računalni sustav, može izazvati pravi kaos na
disku
· makro virusi – imaju mogućnost da sami sebe kopiraju, brišu i mijenjaju dokumente.
30
Računalni crvi su računalni programi koji umnožavaju sami sebe. Pri tome koriste računalne
mreže da bi se kopirali na druga računala, često bez sudjelovanja čovjeka. Za razliku od
virusa, sa svoje djelovanje ne moraju inficirati druge programe. Mogu stići i kao privitak u
elektroničkoj pošti te im pristup računalu omogućuju propusti u operacijskim sustavima i
aplikacijama. Crvi otežavaju rad mreže, a mogu oštetiti podatke i kompromitirati sigurnost
računala.
Vrste računalnih crva:
· Crv – može oštetiti podatke i kompromitirati sigurnost računala.
· Mailer i mass-mailer – sami se šalju elektroničkom poštom.
· Miješane prijetnje – kombiniraju karakteristike virusa, crva i trojanskih konja s
propustima u softveru za svoje pokretanje, prijenos i širenje napada.
Trojanski konji ili kraće trojanac je računalni program koji se pretvara da izgleda kao i svaki
drugi korisnički program. Međutim, jednom kada se pokrene otkriva svoje pravo lice i počinje
izvršavati svoju (obično) štetnu zadaću (npr. formatiranje cijelog diska).
Većina trojanaca ima nazive vrlo slične ili uobičajenim korisničkim programima (npr.
Startme.exe) ili posebno primamljivim aplikacijama. Za razliku od virusa i crva, trojanski
konj ne može sam sebe umnožavati.
Vrste trojanskih konja:
· Dropper - služi za naseljavanje pravog računalnog virusa u napadnuto računalo.
Dropper igra ulogu žrtve, namjerno omogućujući virusu da se naseli u računalo.
· Stražnja vrata (backdoor) – naziv za različite postupke ili programe koji omogućuju
drugom korisniku da se služi vašim računalom dok ste spojeni na Internet, a da vi o
tome nemate pojma.
Spyware je široka kategorija zloćudnog softvera sa namjenom da presreće ili preuzima
djelomično kontrolu rada na računalu bez znanja ili dozvole korisnika. Dok sam naziv
sugerira da je riječ o programima koji nadgledaju rad korisnika, ovaj naziv danas označava
široku paletu programa koji iskorištavaju korisničko računalo za stjecanje koristi za treću
osobu. Spyware se razlikuje od virusa i crva u tome što se obično ne replicira. Kao mnogi
novi virusi, spyware je dizajniran da iskorištava zaražena računala za komercijalnu dobit.
31
Tipične taktike su prikazivanje ne zahtijevanih pop-up reklama; krađa osobnih informacija
uključujući i financijske informacije kao što su brojevi kreditnih kartica i lozinke.
S ciljem smanjenja rizika od štete koja može nastati od malicioznog softvera, potrebna je
stalna upotreba softvera za detekciju virusa i ostalih vrsta malicioznog koda. Potrebno je da
bude instaliran odgovarajući softver za detekciju virusa minimalno na dvije razine:
- interni dio sustava za antivirusnu zaštitu- krajnje točke informacijskog sustava
(klijentska prijenosna, stolna i mobilna računala, poslužitelji, bankomati i sl.)
- vanjski dio sustava ta antivirusnu zaštitu- točke pristupa Internetu za korisnički web i
mail promet(gateway poslužitelji elektroničke pošte, proxy poslužitelji).
Softver za antivirusnu zaštitu informacijskog sustava mora biti uredno licenciran, te instaliran
i podešen prema preporukama proizvođača.
Interna antivirusna zaštita mora biti podešena tako da se automatski pokreće kod pokretanja
operacijskog sustava na koji je zaštita instalirana.
Za operacijske sustave za koje eventualno nije dostupan antivirusni softver, a procjena rizika
informacijskog sustava ukazuje na potrebu za njegovo korištenje, potrebno je ugraditi
kontrole koje će umanjiti sigurnosni rizik od zloćudnog koda.
Sastavni dio zaštite mora biti informiranost korisnika kroz svakodnevne rutine. Softver za
internu antivirusnu zaštitu mora biti podešen tako da analizira Internet promet s ciljem
preventivnog djelovanja i zaštite od zloćudnog koda, a vanjski dio antivirusne zaštite mora
biti podešen tako da kontrolira i nadzire sav odlazni i dolazni web promet i promet
elektroničke pošte svih korisnika informacijskog sustava. Interni i vanjski dijelovi antivirusne
zaštite banke moraju bit redovito održavani i nadograđivani najnovijim inačicama objavljenim
od strane proizvođača.
S ciljem kvalitetnijeg provođenja antivirusne zaštite mogu se uspostaviti metrike kojima se
može mjeriti učinkovitost sustava antivirusne zaštite. Primjer takve metrike je u Tablici 3.
32
Tablica 4. Mjerenje učinkovitosti sustava antivirusne zaštite-Metrike
Naziv metrike Način mjerenja Ciljana vrijednost
Broj zaraženih servera/osobnih računala
Pregled zapisa o incidentima Nema zaraženih servera/osobnih računala
Broj reinficiranih
servera/osobnih računala
Pregled zapisa o incidentima Nema zaraženih servera/osobnih računala
Broj neuspjelih osvježenja sustava za antivirusnu zaštitu na najnoviju inačicu
Pregled operativnih i sistemskih
zapisa
Nema neuspjelih osvježenja sustava za antivirusnu zaštitu na najnoviju inačicu
Broj sustava s neuspjelom
tjednom provjerom lokalnog
datotečnog sustava
Pregled operativnih i sistemskih
zapisa
Nema sustava s neuspjelom
tjednom provjerom lokalnog
datotečnog sustava
Broj detektiranih odlaznih
inficiranih poruka elektroničke pošte
Pregled zapisa antivirusne zaštite konzole vanjskog dijela sustava za
antivirusnu zaštitu
Nema detektiranih odlaznih
inficiranih poruka elektroničke pošte
Izvor: Izrada autorice
4.4.6. Upravljanje mrežom i nadzor nad sustavom
Za svaki pristup sustavu mora postojati poslovna potreba. Zato se za svaki pristup određuje
stupanj ovlasti ovisno o poslovnoj potrebi. Pravila pristupa na sustav moraju odgovarati
radnim mjestima. Pristup informacijskim sustavima mora biti omogućen isključivo
autoriziranim djelatnicima. Osnovu kontrole pristupa čini mogućnost identifikacije i
autentifikacije. Identifikacija mora biti osigurana izravno uporabom funkcija operativnog
sustava, skupom podataka koji sadrži nedvojbenu identifikaciju identiteta (najčešće se koristi
korisničko-identifikacijska oznaka, engl. User ID). Autentifikacijom se potvrđuje korisnički
identitet. Postoje tri načina utvrđivanja autentičnosti identiteta:
• korištenje PIN-a, zaporke ili kriptografskog ključa,
• korištenje tokena, magnetske kartice,
• biometrijske metode- otisak prsta, skeniranje rožnice, prepoznavanje glasa i
slično.
Sva računala u Banci, bez obzira na računalne ili aplikacijske specifičnosti moraju imati
zaštitu pristupa korisničkim imenom i zaporkom.
33
Zaporke se ne smiju čuvati na računalu u nezaštićenoj formi. Privremene zaporke se moraju
davati korisnicima na siguran način, iz ruke u ruku, i ne smiju se koristiti metode slanja
zaporke elektroničkom poštom, FAX-om i drugim medijima na kojima je nepouzdano
utvrđivanje identiteta sugovornika.
Sve zaporke dijele se u jednu od tri kategorije: administratorske, korisničke ili posebne, a
prema vrsti korisničkog računa za koji su kreirane:
• Korisničke zaporke: koriste se za identifikaciju djelatnika kojima je dano pravo
pristupa informacijskom sustavu.
• Administratorske zaporke: koriste se u kombinaciji s korisničkim računima
koji imaju administratorska (povlaštena) prava.
• Posebne zaporke: koriste se za identifikaciju korisničkih računa dijelova IS-a
koju se međusobno integrirani (međusobna integracija baza i / ili aplikacija), te
za privremene korisničke račune kao i račune vanjskih suradnika.
Korisnici trebaju poštovati interni akt banke koji regulira korištenje zaporki. Prilikom odabira
zaporke, korisnici moraju poštovati pravila formiranja zaporke, ako sustav isto ne regulira.
Korisnici se moraju:
· Čuvati zaporke tajnima;
· Izbjegavati zapise zaporki na papire, bilježnice ili vidljiva mjesta;
· Mijenjati zaporke ako postoji sumnja u povredu njene tajnosti;
· Periodički mijenjati zaporku.
Svi korisnici sustava moraju biti informirani a time i svjesni posljedica na sustav u slučaju
nepravilnog korištenja sustava i pristupa na sustav.
Posebne vrste pristupa definiraju se privilegiranim korisnicima za administriranje sustava,
koji mora biti posebno nadziran.
Dodjela prava privilegiranog pristupa treba obuhvaćati dvije razine kontrole, tj. dodjela prava
i odobravanje prava treba biti obavljena na različitim razinama poslovne hijerarhije. Pristupi
moraju slijediti poslovnu logiku, te se u slučajevima povećane sigurnosti moraju primjenjivati
dvojne kontrole u sustavu aplikacija na način da dva pristupa imaju komplementarne
mogućnosti u softveru, tj. jedan sudionik kontrolira drugog i sl.
34
Administrator niti bilo koji djelatnik, ne smije koristiti administratorsku zaporku za standardni
rad na sustavu. Administratorska zaporka se smije koristiti samo u periodima kada se
administrira sustav i kada je prijeko potreban administratorski pristup. Pravila korištenja
administratorskog pristupa banka treba definirati internim aktom.
4.5 PROCJENA RIZIKA INFORMACIJSKOG SUSTAVA
Sigurnosni rizik predstavlja mogućnost realizacije nekakvog neželjenog događaja koji može
imati negativan utjecaj na povjerljivost, cjelovitost i raspoloživost bilo kojeg resursa
informacijskog sustava. Temelj upravljanja sigurnosti informacijskog sustava čini proces
upravljanja rizikom informacijskog sustava. Ranjivost informacijskog sustav je stalna
prijetnja organizaciji. Postupak procjene rizika informacijskog sustava mora biti koordiniran i
usklađen s ostalim organizacijskim jedinicama kako bi se omogućila precizna identifikacija
sigurnosnih rizika, te njihov utjecaj na poslovanje.
Proces upravljanja rizikom obuhvaća sljedeće aktivnosti:
· utvrđivanje i procjenu rizika
· ovladavanje rizikom-primjena metoda i postupaka radi prihvaćanja, smanjenja,
izbjegavanja ili prijenosa utvrđenog rizika,
· održavanje prihvatljive razine rizika te nadzor nad cijelim procesom (praćenje i
izvješćivanje).
Procjena rizika predstavlja osnovni alat upravi i drugim upravljačkim strukturama za
donošenje odluka vezanih uz sigurnost informacijskog sustava.
Kroz kontinuirano i trajno provođenje procjene rizika informacijskog sustava osigurava se
primjerena razina zaštite informacijskog sustava u skladu s poslovnim i sigurnosnim
zahtjevima, te regulatornim, zakonskim i ugovornim obvezama.
Kroz metodologiju procjene rizika, Uprava banke treba definirati prihvatljivu razinu rizika
informacijskog sustava kao temeljnog kriterija za donošenje odluka o implementaciji
sigurnosnih kontrola informacijskog sustava. Metodologijom procjene rizika opisuje se način
35
kojim se provodi procjena rizika informacijskog sustava te se definiraju parametri i
vrijednosti koji se koriste u procjeni rizika informacijskog sustava.
Metodologija opisuje sljedeće aktivnosti:
· identifikaciju i grupiranje informacijskih resursa,
· identifikaciju prijetnji, ranjivosti i impelemntiranih sigurnosnih kontrola,
· postupak izračuna rizika informacijskog sustava,
· tretiranje rizika informacijskog sustava.
Identifikacija i grupiranje informacijskih resursa predstavlja osnovu procjene rizika
informacijskog sustava. Nužno je precizno i temeljito identificirati informacijske resurse koji
su ključni za odvijanje poslovnog procesa banke. U okviru procjene rizika informacijskog
sustava određene informacijske resurse moguće je zanemariti, ukoliko se procijeni da isti
nemaju značajniju ulogu u odvijanju poslovnih procesa. Kategorije informacijskih resursa
prikazane su u nastavku.
Tablica 5. Tipovi informacijskih resursa
Kategorija Opis
Lokacije Fizičke lokacije na kojima je smještena IT oprema i informacijski resursi banke
Infrastruktura Kritični infrastrukturni resursi poput klimatizacije, alarmnih sustava, video nadzora,
UPS i sl.
Mrežna oprema Mrežni uređaji poput preklopnika, vatrozida, usmjerivača i sl.
Hardver Sklopovska oprema poput poslužitelja, prijenosnih računala, stolnih računala i sl.
Softver Programska podrška uključujući operacijske sustave, sistemski softver, baze podataka,
poslovni softver, uredske aplikacije i sl.
Ljudski resursi Zaposlenici banke s odgovarajućom ulogom i odgovornošću u okviru sustava
upravljanja informacijskom sigurnošću
Informacije Svi podaci u elektroničkom i papirnatom obliku
Vanjski partneri Poslovni partneri koji pružaju usluge banci
Ostalo Informacijski resursi koji se ne mogu kategorizirati u niti jednu od prethodnih
kategorijA
Grupe Mogu biti formirane kao:
- vertikalne (sadrže hijerarhijski organizirane informacijske resurse različitih
kategorija),
- horizontalne (sadrže informacijske resurse iste kategorije)
Izvor: Izrada autorice
36
Kako bi se omogućila kvalitetnija i jednostavnija procjena rizika informacijskog sustava,
informacijski resursi grupiraju se u horizontalne, odnosno vertikalne grupe.
Vertikalne grupe omogućuju grupiranje informacijskih resursa različitih kategorija u
jedinstvenu grupu. Na taj način postiže se razina kvalitete i učinkovitosti procjene rizika
informacijskog sustava te se olakšava prezentacija rezultata prema poslovnim jedinicama i
izvršnim funkcijama.
Npr. Ako se rizik procjenjuje za poslužitelj, formiranjem grupe omogućuje se hijerarhijski
prikaz strukture tog poslužitelja. Uvidom u sadržaj grupe dobivaju se detaljnije informacije o
tome koji se operacijski sustav, aplikacije i informacije nalaze na poslužitelju. Formiranjem
vertikalne grupe omogućuje se detaljnije sagledavanje prijetnji, ranjivosti, odnosno rizika nad
grupom informacijskih resursa.
Horizontalne grupe su grupe istovrsnih informacijskih resursa s istovjetnim prijetnjama
odnosno ranjivostima. U slučajevima kada se za pojedine informacijske resurse u grupi
razlikuje vjerojatnost ostvarenja, odnosno štetan utjecaj pri ostvarenju prijetnje, uzima se
maksimalna vjerojatnost, odnosno utjecaj. Prema tome, razina vjerojatnosti i štete za neku
prijetnju nad grupom informacijskih resursa računa se kao maksimalna šteta tj. vjerojatnost
prijetnje za pojedine informacijske resurse u grupi.
Identifikacija rizika informacijskog sustava predstavlja ključnu aktivnost kojom se
identificiraju neželjeni događaji koji mogu rezultirati narušavanjem sigurnosti informacijskog
sustava i pripadajućih poslovnih procesa.
Prijetnja informacijskom sustavu je svaki događaj ili akcija koja može imati neželjeni,
odnosno štetan utjecaj na informacijske resurse banke i pripadajuće poslovne procese. U
kontekstu informacijske sigurnosti prijetnja može utjecati na povjerljivost, integritet i
raspoloživost informacijskih resursa.
Važno je istaknuti tri osnovna tipa prijetnji:
o Ljudski – prijetnje koje dolaze od strane korisnika informacijskog sustava banke (
zaposlenici, vanjski partneri, konzultanti, suradnici i sl.)
o Tehnološki – prijetnje koje nastaju kao posljedica korištenja tehnologije (kvarovi
hardvera, problemi s performansama, pogreške u radu softvera i sl.)
37
o Prijetnje od vanjskih partnera – prijetnje koje dolaze od strane vanjskih partnera
koji pristupaju informacijskom sustavu banke.
Motivacija prijetnje je ključan čimbenik za određivanje vjerojatnosti realizacije prijetnje.
Primjenjiva je isključivo na prijetnje koje dolaze od strane ljudskog faktora. Dva temeljna
parametra motivacije prijetnje su:
· Namjera- obuhvaća one akcije koje su svjesno provedene s ciljem nanošenja štete ili
ostvarivanja materijalne koristi,
· Pogreška (nenamjerna)- prijetnje koje su posljedica pogreške prilikom rada na
informacijskom sustavu.
Izvor prijetnje je lokacija djelovanja prijetnje, što je također primjenjivo samo za prijetnje
koje proizlaze od ljudskog faktora. Razlikuju se:
o Vanjski izvor prijetnji - dolazi od vanjskih korisnika informacijskog sustava koji
mogu biti anonimni i legitimni korisnici.
o Unutarnji izvor prijetnji - dolazi od internih korisnika informacijskog sustava banke
tj. od zaposlenika, vanjskih partnera, konzultanata i sl.
Ranjivost informacijskog sustava definira se kao bilo koja slabost ili nedostatak u
informacijskom sustavu koji može biti iskorišten od strane prijetnje. U okviru postupka
procjene rizika informacijskog sustava ranjivosti se direktno povezuju da identificiranim
prijetnjama kako bi se omogućila kvalitetnija procjena pojedinih rizika u informacijskom
sustavu. Ranjivosti informacijskog sustava može se identificirati kroz intervjue sa stručnim
osobama imenovanim od strane vlasnika poslovnih procesa, kroz izvješća o provedenom
ispitivanju sigurnosti, zatim kroz izvješće nalaza revizije informacijskog sustava i interne
baze o sigurnosnim incidentima u informacijskom sustavu.
Sigurnosna kontrola je mjera kojom se djeluje na resurse informacijskog sustava s ciljem
umanjivanja sigurnosnog rizika. U kontekstu informacijske sigurnosti definirane su tri vrste
sigurnosnih kontrola prema tipu:
o Upravljačke- kontrole koje uključuju donošenje internih akata vezanih uz
informacijski sustav i uspostavljanje odgovarajuće organizacijske strukture, te
osiguravaju primjenu internih akata vezanih uz informacijski sustav radi osiguranja
funkcionalnosti informacijskog sustava.
o Fizičke - kontrole koje štite resurse informacijskog sustava od neovlaštenog fizičkog
pristupa, krađe, fizičkog oštećenje ili uništenja.
38
o Logičke – kontrole implementirane na programskim i sklopovskim komponentama
informacijskog sustava, uključujući nabavu nove opreme.
Procjena rizika je postupak kojim s izračunava rizik informacijskog sustava za svaku od
identificiranih prijetnji u informacijskom sustavu. Izračunava se primjenom dva osnovna
parametra:
- vjerojatnosti i
- štete.
Tablica 6. Skala vjerojatnosti realizacije prijetnje- proizvoljne dimenzije
Vrijednost Oznaka (EN) Numerička
vrijednost
Očekivana realizacija prijetnje
Ekstremno
Niska
XL
Extremly low 1 Jednom u 100 godina ili rjeđe.
Vrlo Niska VL
Very low 2 Jednom u 10 godina ili rjeđe.
Niska L
Low 3 Jednom u 5 godina ili rjeđe.
Srednja M Medium
4 Jednom godišnje ili rjeđe.
Visoka H
High 5 Jednom mjesečno ili rjeđe.
Vrlo Visoka VH
Very High 6 Jednom tjedno ili rjeđe.
Exstremno
Visoka
XH
Extremely
High
7 Jednom dnevno.
Izvor: Izrada autorice
Vrijednost parametara vjerojatnosti i štete utvrđuje se kvalitativno na temelju osnovnih
značajki identificiranih prijetnji te prethodno identificiranih ranjivosti i trenutno
implementiranih sigurnosnih kontrola u informacijskom sustavu.
39
Tablica 7. Skala šteta u slučaju realizacije prijetnje-proizvoljne dimenzije
Vrijednost Oznaka
(EN)
Numerička vrijednost
Financijski utjecaj
Operativni utjecaj
Vrlo Niska
VL
Very low
1
šteta<50.000kn
Manji problemi ili zastoj u radu koji nisu ključni za odvijanje kritičnih poslovnih procesa Banke
Niska
L
Low
2
50.000≤šteta<200.000kn
-Dugotrajni problemi ili zastoji koji nisu ključni za odvijanje kritičnih poslovnih procesa Banke; -Pogreška prilikom objave podataka klasificiranih
kao Javni .
Srednja
M
Medium
4
200.000≤šteta<500.000kn
-Degradacija performansi parcijalnim utjecajem na
odvijanje kritičnih poslovnih procesa; -Prekid ili zastoj manje značajnih procesa Banke; -Neovlašteni pristup ili otkrivanje podataka čije pojedinačno otkrivanje ne uzrokuje veću štetu, ali u kombinaciji dugim poslovnim informacijama može omogućiti značajnije ugrožavanje sigurnosti (npr. otkrivanje informacija o arhitekturi informacijskog
sustava i korištenim tehnologijama)
Neovlaštene izmjene podataka klasificiranih kao
Javni (npr. financijska izvješća i sl.)
Visoka
H
High
8
500.000≤šteta<1.000.000kn
-Kratkotrajan prekid odvijanja kritičnih poslovnih procesa Banke;
-Neovlašteni pristup, izmjena ili otkrivanje podataka klasificiranih kao Povjerljivi.
Vrlo Visoka
VH
Very High
13
1.000.000≤šteta<2.000.000kn
-Dugotrajan prekid odvijanja kritičnih poslovnih procesa Banke
-Neovlašteni pristup, izmjena ili otkrivanje podataka klasificiranih kao Tajni;
-Manja neusklađenost prema regulatornim
propisima (HNB, HANFA)
-Lakša povreda ugovornih obveza s ključnim poslovnim partnerima.
Exstremno
Visoka
XH
Extremely
High
32
šteta≥2.000.000kn
-Potpun i dugotrajan prekid odvijanja kritičnih poslovnih procesa Banke;
Neovlašteni pristup, izmjena ili otkrivanje podataka
klasificiranih kao Vrlo Tajni;
-Teža povreda regulatornih propisa (HNB, HANFA)
-Kršenje ugovornih obveza s ključnim poslovnim partnerima
Izvor : Izrada autorice
Ukupna razina rizika informacijskog sustava računa se kao produkt vjerojatnosti i štete za
svaku pojedinu prijetnju. Na temelju skala vjerojatnosti i šteta u slučaju realizacije prijetnje,
definira se matrica rizika informacijskog sustava.
40
Tablica 8. Matrica rizika informacijskog sustava
ŠTETA
Very low
Low
Medium
High
Very
high
Extremely
high
Extremely high L
(7)
L
(14)
M
(28)
H
(56)
VH
(91)
XH
(224)
Very high L
(6)
L
(12
M
(24)
H
(48)
VH
(78)
XH
(152)
VJEROJATNOST High L
(5)
L
(10)
M
(20)
H
(40)
H
(65)
XH
(224)
Medium L
(4)
L
(8)
M
(16)
M
(32)
H
(52)
VH
(128)
Low VL
(3)
L
(6)
L
(12)
M
(24)
M
(39)
VH
(96)
Very low VL
(2)
L
(4)
L
(8)
M
(16)
M
(26)
H
(64)
Extremely low VL
(1)
VL
(2)
L
(4)
L
(8)
L
(13)
M
(32)
Izvor:Izrada autorice
Korištenjem geometrijske skale za vrijednost šteta, te linearne skale za vrijednost vjerojatnosti
osigurava se raspodjela rizika informacijskog sustava na način da se veća pozornost pridaje
analizi događaja s velikom štetom i niskom vjerojatnošću, nego vrlo vjerojatnim događajima i
niskom štetom. Tretiranje rizika je postupak kojim se određuje način tretiranja rizika
informacijskog sustava identificiranih tijekom procjene rizika informacijskog sustava. U
skladu sa sigurnosnim i poslovnim zahtjevima o prihvatljivoj razini rizika informacijskog
sustava, za svaki od identificiranih rizika odabire se jedna od sljedećih opcija za tretiranje:
· Prihvaćanje rizika- odluka da se u danom trenutku neće poduzeti dodatne akcije za
umanjivanje rizika informacijskog sustava. Rizik se može prihvatiti ukoliko je razina
rizika informacijskog sustava manja ili jednaka prihvatljivoj razini rizika ili ako
ukoliko rezultati analize isplativosti implementacije kontrole pokažu da je svaka druga
opcija tretiranja rizika informacijskog sustava poslovno neopravdana.
· Umanjivanje rizika- odluka o umanjivanju rizika informacijskog sustava putem
implementacije sigurnosnih kontrola koje smanjuju vjerojatnost ostvarenja prijetnje ili
štetu nastalu u slučaju realizacije prijetnje. Smanjivanje vjerojatnosti ili štete rezultira
konačnim umanjenjem rizika.
41
· Transfer rizika, odnosno prenošenje rizika, podrazumijeva prenošenje odgovornosti
za rizik informacijskog sustava na treću stranu (vanjskog partnera, osiguravajuće kuće
i sl.).
Tablica 9. Tretiranje rizika informacijskog sustava- proizvoljne dimenzije
Razina rizika Vrijednost Opis Tretiranje rizika
VRLO NISKA
(Very low)
R<4
Rizici koje nije potrebno umanjivati i
RIZIK PRIHVAĆEN
NISKA (Low) 4≤R<16 koji su prihvatljivi za Banku
SREDNJA
(Medium)
16≤R<40
VISOKA
(High)
40≤R<66
Rizici koje je potrebno umanjiti
implementacijom dodatnih
sigurnosnih kontrola ili transferom na
treću stranu.
POTREBNO TRETIRANJE RIZIKA
(UMANJIVANJE/TRANSFER)
VRLO VISOKA
(Very high)
66≤R<128
EKSTREMNO
VISOKA
(Extremely high)
128<R
Izvor:Izrada autorice
Uprava Banke donosi odluku o prihvatljivoj razini rizika informacijskog sustava. Uobičajeno
je da je prihvatljiva razina rizika VRLO NIZAK i NIZAK, odnosno VERY LOW (VL) i
LOW (L). Sve ostale rizike, SREDNJI (Medium), VISOKI (high), VRLO VISOKI (Very
high) i EKSTREMNO VISOKI (Extremely high) potrebno je tretirati umanjivanjem.
4.6. PREVENCIJA RAČUNALNO-SIGURNOSNIH INCIDENATA
Računalno-sigurnosni incident (CARNet CERT, 2009) predstavlja svaki događaj koji može
ugroziti bilo koji aspekt računalne sigurnosti, tj. koji za posljedicu ima gubitak povjerljivosti,
cjelovitosti, raspoloživosti podataka, zlouporabu ili oštećenje informacijskog sustava ili
informacija, uskraćivanje usluge ili onemogućavanje rada informacijskog sustava te svaka
nezakonita radnja čiji se dokazi mogu pohraniti na računalni medij.
42
Računalno sigurnosni incidenti klasificiraju se prema tipu i težinskom nivou incidenta.
Tablica 10. Kategorizacija računalno-sigurnosnih incidenata prema tipu
Kategorija incidenta Opis
Uskraćenje ili gubitak usluge
Svaka radnja koja iscrpljivanjem resursa (Centralnih procesorskih jedinica,
memorije, propusnosti ili diskovnog prostora) sprječava ili onemogućuje uporabu sustava, mreža ili aplikacija.
Nezakonita aktivnost Incidenti kriminalne prirode (krađa, računalno krivotvorenje, prijevara ...)
Neovlašteni pristup Nastaje kada korisnik pristupa resursima na koje nema pravo. Najčešće se ostvaruje iskorištavanjem ranjivosti operativnog sustava ili aplikacija , neovlaštenim prikupljanjem korisničkih imena i zaporki. Navedeno ne
podrazumijeva zlonamjerni softver, iako se često ostvaruje uporabom istog.
Zlonamjerni softver Virusi ili crvi koji pogađaju računalne sustave. višekomponentni
incident
Incident koji objedinjuje dva ili više incidenata. Primjer slijeda događaja: 1. Zlonamjerni kod proširen e-milom zarazi cijelu radnu stanicu.
2. Napadač (koji može a i ne mora poslati zlonamjerni kod) koristi zaraženu radnu stanicu kako bi zarazio dodatne radne stanice i servere.
3. Napadač (koji može a i ne mora biti uključen u 1.i 2. korak) koristi
ugroženo računalo i pokreće DDoS napad protiv druge organizacije
U ovom primjeru obuhvaćeni su Zlonamjerni kod, neovlašteni pristup i uskraćenje usluge.
Elektronička pošta Lažna e-pošta, SPAM i ostali događaji povezani sa sigurnošću elektroničke pošte.
Izvor: Poslovanje i sigurnost 2008.-Zbornik radova hrvatskih menadžera sigurnosti
Prevencija računalno-sigurnosnog incidenta je postupak koji prethodi računalno-sigurnosnom
incidentu, a poduzima se u svrhu zaštite od računalno-sigurnosnog incidenta. Podrazumijeva
prikupljanje i širenje informacija vezanih uz informacijsku sigurnost, praćenje trendova, kao i
provjeru ranjivosti.
Tablica 11. Kategorizacija računalno-sigurnosnih incidenata prema težinskom nivou
Težinski nivo
Definicija težinskog nivoa Tipična kategorija incidenta
1. Računalno-sigurnosni incidenti imaju
utjecaj na sustave, servise ili informacije,
definirane kao ključne
Uskraćenje ili gubitak usluge Neovlašteni pristup (aktivni) Zlonamjerni softver Višekomponentni (aktivni)
2. Računalno-sigurnosni incidenti imaju
utjecaj na sustave, servise ili informacije, koji nisu definirani kao ključni
Neovlašten pristup
Nezakonita aktivnost Višekomponentni (pasivni)
3. Mogući incidenti, incidenti čije rješavanje nije vremenski osjetljivo
Elektronička pošta
Zahtjevi za računalnom forenzikom
Izvor: Poslovanje i sigurnost 2008.-Zbornik radova hrvatskih menadžera sigurnosti
43
Utvrđivanje nastanka i težine incidenta, te rješavanje incidenta koordiniranim aktivnostima
obuhvaća odgovor na računalno sigurnosni incident.
4.7.CERT
CERT (CERT-eng. Computer Emergency Response Team) je nacionalno tijelo za prevenciju i
zaštitu od računalnih ugroza sigurnosti javnih informacijskih sustava u Republici Hrvatskoj.
Zadaća CERTA je usklađivanje postupanja u slučaju sigurnosnih računalnih incidenata na
javnim informacijskim sustavima u Republici Hrvatskoj ili u drugim zemljama i
organizacijama, kada su povezani s Republikom Hrvatskom.
CERT i Zavod za sigurnost informacijskih sustava surađuju na prevenciji i zaštiti od
računalnih ugroza sigurnosnih informacijskih sustava te sudjeluju u izradi preporuka i normi
iz područja sigurnosti informacijskog sustava.
Prevencija računalnih ugroza sigurnosti informacijskog sustava provodi se kroz slijedeće
usluge:
- Dostavljanje sigurnosnih obavijesti- informiranje korisnika o ranjivostima sustava
kojima raspolažu ili alatima za upad u sustav te o metodama i mjerama zaštite prije
nego budu iskorišteni.
- Praćenje trendova računalne sigurnosti- praćenje razvoja novih tehnologija iz područja
računalne sigurnosti u cilju otkrivanja budućih prijetnji.
- Širenje informacija vezanih uz sigurnost- stavljanje na raspolaganje korisnicima
informacija koje im pomažu da poboljšaju svoju sigurnost, što podrazumijeva:
o arhivu objavljenih sigurnosnih obavijesti i drugih priopćenja
o smjernice najbolje sigurnosne prakse za pojedine informacijske tehnologije
o novosti iz svijeta računalne sigurnosti
o poveznice od proizvođača
o tekuće statistike i trendove u izvještajima o incidentima
- Provjera ranjivosti sustava- provođenje niza testova na korisničkom informacijskom
sustavu pronalaženja anomalija koje su prijetnja sigurnosti informacijskog sustava.
44
4.8. UPRAVLJANJE KONTINUITETOM POSLOVANJA
Strateško planiranje sigurnosne strategije zahtijeva pozicioniranje sigurnosti i procjenu rizika.
Da bi se uspješno pozicionirala sigurnost u poduzeću, potrebno je utvrditi prioritetne resurse ,
servise i imovinu poduzeća, politiku poduzeća, poslovne procese, sigurnosne metrike,
usklađenost, infrastrukturu i ročnost.
Nužno je identificirati i svesti na najmanju moguću razinu sve čimbenike koji predstavljaju
prijetnju za ispunjenje osnovnog cilja sigurnosne strategije.
Ključni proces za osiguravanje neprekinutosti poslovnog procesa i poslovna potreba svake
moderne organizacije je upravljanje kontinuitetom poslovanja. Prekidi u poslovanju koje
organizacija može podnijeti mogu biti relativno kratki i mjeriti se sekundama i minutama, ali i
relativno dugi i mjeriti se u danima, ovisno o specifičnostima poslovnog segmenta. Svaki
prekid za posljedicu ima financijske i operativne posljedice, čija šteta raste s vremenom.
Potrebno je planirati i uspostaviti proces upravljanja kontinuitetom poslovanja koji treba
identificirati potencijalne učinke koji mogu prouzročiti razne prijetnje, te uspostaviti okvir za
siguran nastavak odvijanja ključnih aktivnosti za vrijeme i nakon kriznih stanja. Treba
unaprijed predvidjeti posljedice koje mogu nastati uslijed neželjenih događaja kao što su:
· prirodne katastrofe (požar, poplava, potres)
· kvar na informatičkim sustavima
· kvar na servisima (opskrba električnom energijom, telefonske linije, opskrba vodom
...)
· štrajkovi,
· nemiri, sabotaže, terorizam, bombaški napadi, neprijateljski upadi u sustave
· gubitak podataka
· rat.
Plan kontinuiteta poslovanja treba omogućiti nastavak poslovanja u situacijama kada prijetnje
mogu nanijetu veću štetu i dovesti do prekida ključnih poslovnih procesa.
Primjerenim planiranjem i upravljanjem kontinuitetom poslovanja povećava se sposobnost
poduzeća da pravodobno i učinkovito reagira na prekide u poslovanju koje nastaju kao
posljedica vanjskih i unutarnjih događaja, te tako smanjuje negativne učinke na poslovne
procese, zaposlenike, klijente, ugled, profitabilnost i druge resurse.
45
Upravljanje kontinuitetom poslovanja čini sastavni dio upravljanja operativnim rizikom i
upravljanja rizikom informacijskog sustava.
Ciljevi plana upravljanja kontinuitetom poslovanja su:
· omogućiti ponovnu uspostavu kritičnih poslovnih procesa u zahtijevanom
vremenskom periodu u slučaju pojave katastrofalnih događaja.
· umanjiti financijske, operativne i reputacijske gubitke u slučaju prekida kritičnih
poslovnih procesa uslijed pojave katastrofalnih događaja.
Kako bi se to ostvarilo, ključno je ispuniti sljedeće zahtjeve:
· Poduzeće treba identificirati ključne poslovne funkcije, resurse i
infrastrukturu, koji će , ako dođe do prekida poslovanja, imati
negativan materijalni učinak;
· Uprava i viši menadžment moraju procijeniti sve rizike i kontrole
povezane s kontinuitetom poslovanja kao dio opće procjene rizika
najmanje jednom godišnje;
· Poduzeće mora razviti, implementirati i održavati Plan kontinuiteta
poslovanja (Bussines Continuity Plan) koji će omogućiti da poduzeće
učinkovito odgovori na sve zastoje i oporavi kritične poslovne
funkcije;
· Plan se mora kontrolirati najmanje jednom godišnje od strane višeg
menadžmenta i periodički revidirati od strane unutarnje revizije.
Politikom kontinuiteta poslovanja definiran je okvir za procjenu eksponiranosti svih
poslovnih cjelina rizicima povezanim s kontinuitetom poslovanja i sukladno toj procjeni
određuje se potreba za izradom plana za pojedine procese i poslovne servise. Plan koji treba
osigurati nastavak poslovanja u kriznim situacijama treba biti prikladno razvijen i troškovno
prihvatljiv.
Prihvaćanjem svih izrađenih planova kontinuiteta poslovanja poduzeće promiče sustav
upravljanja kontinuitetom poslovanja kao integralni dio poslovne i organizacijske kulture.
Upravljanje kontinuitetom poslovanja ima važnu ulogu u održavanju isporuke proizvoda i
usluga klijentima. Proaktivnost u pristupu pitanjima rizika, prijetnji, nepredviđenih događaja,
pripravnost na reakciju i upravljanje kriznom situacijom osigurava reputaciju odgovornog
poduzeća kao i demonstraciju poslovne kompetencije.
46
Kako bi se osiguralo da upravljanje kontinuitetom poslovanja postane dio temeljnih
vrijednosti i učinkovitog upravljanja, treba poticati, podizati i održavati svijest putem
neprekinute edukacije i informirajućeg programa kontinuiteta poslovanja. Svi zaposlenici
moraju biti upoznati sa važnošću postizanja ciljeva upravljanja kontinuitetom poslovanja kako
bi mogli tome prilagoditi vlastito ponašanje.
47
5. ZAKLJUČAK
Računala su nekada bila samo alat za poboljšanje produktivnosti radnika, sada su
informacijski sustavi priznati kao bitna sastavnica uspješne organizacije. Informacijski sustav
se može definirati kao skup tehnološke infrastrukture, organizacije, ljudi i postupaka za
prikupljanje, obradu, generiranje, pohranu i prijenos informacija kao i raspolaganje njima, te
je samim time ključan element korporativne strategije koji omogućava učinkovitost i
konkurentsku prednost. Nemoguće je zamisliti konkurentno poslovanje jedne banke bez
primjene informacijskog sustava. Upravo zbog iznimne važnosti uloge informacijskog sustava
u poslovanju logično je da se posebna pozornost treba usmjeriti na kontrolu i zaštitu tog
poslovnog resursa. Sustavnim upravljanjem sigurnošću informacijskog sustava definiraju se
uloge i odgovornosti za informacijsku sigurnost s ciljem zaštite povjerljivosti, integriteta i
raspoloživosti poslovnih informacija i informacijskog sustava.
Okosnicu sustavnog upravljanja sigurnošću informacijskog sustava čini proces procjene rizika
informacijskog sustava. Činjenica je da se ne može postići potpuna sigurnost informacijskog
sustava, te ostaje pitanje koliko je potrebno uložiti u sigurnost sustava i koje sve mjere
poduzeti kako bi se zadovoljila funkcionalnost sustava. Poznata izreka kaže: „ Lanac je
onoliko jako koliko je jaka najslabija karika.“ Iz toga proizlazi da je iznimno važno utvrditi
kritične resurse sustava kako bi se mogle primijeniti odgovarajuće sigurnosne mjere i
mehanizmi. Analizom sigurnosnih rizika utvrđuje se nivo prihvatljivog sigurnosnog rizika,
koji ovisi o arhitekturi sustava, namjeni sustava, implementiranoj tehnologiji i sl. Skale
vjerojatnost i šteta trebaju biti definirane se na temelju višegodišnjeg iskustva u provedbi
procjene rizika u financijskoj industriji te na temelju dobrih praksi i provedenih istraživanja
na području upravljanja sigurnosnim rizikom.
Prilikom analize sigurnosnih rizika informacijskog sustava potrebno je voditi računa o
kumulativnom efektu svih postojećih sigurnosnih rizika bez obzira na veličinu pojedinog
rizika. Veći broj manjih propusta u zaštiti sigurnosti sustava ne mora se činiti važnim gledano
pojedinačno, međutim analizom svih manjih propusta kao dijelova jednog većeg propusta
može se utvrditi kao značajan sigurnosni rizik. Prije svega bitno je smanjiti rizike ljudske
pogreške, krađe ili nepravilnog korištenja resursa. Obveza djelatnika po pitanju sigurnosti
razmatra se prilikom zapošljavanja i njihovo se poštivanje prati za vrijeme trajanja ugovora o
radu. Zaštita informacijskog sustava u segmentu pristupa resursima provodi se konceptom
zaštite osoba i imovine koji određuje načela prema kojima se obavlja fizička zaštita. Banka
48
mora osigurati da pristup informacijskim sustavima bude omogućen isključivo autoriziranim
radnicima. S tim u svezi mora implementirati identifikaciju i autorizaciju korisnika i
kontrolirati broj pokušaja logiranja na sustav.
S ciljem smanjenja operativnih rizika, potrebno je ustrojiti planiranje razvoja sustava u cjelini
i prevencije na sustavu, te planirati buduće potrebne kapacitete.
Smanjiti rizik od utjecaja malicioznog softvera instalacijom programa za antivirusnu zaštitu
koja se mora redovito ažurirati. Time se sprječava gubitak, uništenje ili dovođenje izvan
funkcije sredstava za rad važnih za poslovne aktivnosti.
Sistemski i operativni zapisi se moraju redovito bilježiti i čuvati u svrhu naknadne kontrole
događaja. Banka treba propisati procedure za rukovanje medijima za pohranu u svrhu zaštite
informacija od neovlaštenog korištenja. Također, banka treba primijeniti zaštitu od gubitka,
promjene ili nepravilnog i nedozvoljenog korištenja informacija koje se prenose među
poslovnim subjektima. Pristup sistemskim datotekama mora biti kontroliran. Banka će
osigurati sustav zaštite sistemskih datoteka. Integritet aplikativnog sustava ili sistemskog
softvera i njegova sigurnost mora biti odgovornost korisnika ili grupe koja ga koristi. Proces
upravljanja kontinuitetom poslovanja treba biti uspostavljen sa svrhom smanjenja utjecaja
neželjenih događaja ili mogućih katastrofa, na prihvatljivu razinu korištenjem preventivnih
planova i kontrola. Posljedice katastrofa ili sličnih događaja moraju se analizirati. Banka treba
razviti plan oporavka s ciljem uspostave poslovanja u zadanom vremenskom periodu.
49
LITERATURA
Kraft,E. (2003) Strane banke u Hrvatskoj: iz druge perspektive, Zagreb, HNB
Veić,P. i Nađ,I. (2005) Zakon o privatnoj zaštiti s komentarom, Rijeka, Naklada Žagar, str.
XI-XIII
Javorović,B. Bilandžić,M.(2007)Poslovne informacije i bussines intelligence, Zagreb,Golden
marketing-Tehnička knjiga, str. 233-234
Bilandžić,M. (2008) Poslovno obavještajno-djelovanje:Bussines intelligence u praksi, Zagreb,
AGM, str.71.
Ivandić Vidović,D., Karović,L. i Ostojić,A. (2011) Korporativna sigurnost, Zagreb, Udruga
hrvatskih menadžera sigurnosti
Internet izvori
http://www.hnb.hr/publikac/bilten-o-bankama/hbilten-o-bankama-22.pdf
http://www.hnb.hr/supervizija/o-bankama/h-vise-o-bankama.pdf
http://www.hnb.hr/supervizija/h-smjernice-za-upravljanje-informacijskim-sustavom.pdf
http://www.cert.hr/
http://www.itsistemi.com/hr/rjesenja/sigurnosna-rjesenja/
http://www.hnb.hr/propisi/zakoni-htm-pdf/h-zakon-o-kreditnim-institucijama-zadnji-54-
2013.pdf
http://narodne-novine.nn.hr/clanci/sluzbeni/2008_07_75_2484.html
http://narodne-novine.nn.hr/clanci/sluzbeni/2009_11_133_3247.html
http://narodne-novine.nn.hr/clanci/sluzbeni/2009_12_153_3762.html
http://narodne-novine.nn.hr/clanci/sluzbeni/2013_05_54_1082.html
http://narodne-novine.nn.hr/clanci/sluzbeni/2013_05_54_1088.html
http://narodne-novine.nn.hr/clanci/sluzbeni/2004_12_177_3068.html
http://narodne-novine.nn.hr/clanci/sluzbeni/298919.html
50
POPIS TABLICA I SHEMA
Tablica 1. Sigurnost pristupa treće strane-Metrike
Tablica 2. Anketa „Sigurnost pristupa trećih strana“
Tablica 3: Pravila postupanja s klasificiranim informacijama
Tablica 4. Mjerenje učinkovitosti sustava antivirusne zaštite-Metrike
Tablica 5. Tipovi informacijskih resursa
Tablica 6. Skala vjerojatnosti realizacije prijetnje- proizvoljne dimenzije
Tablica 7. Skala šteta u slučaju realizacije prijetnje-proizvoljne dimenzije
Tablica 8. Matrica rizika informacijskog sustava
Tablica 9. Tretiranje rizika informacijskog sustava- proizvoljne dimenzije
Tablica 10. Kategorizacija računalno-sigurnosnih incidenata prema tipu
Tablica 11. Kategorizacija računalno-sigurnosnih incidenata prema težinskom nivou
Shema 1. Ustroj organizacijske jedinice za sigurnost poduzeća
51
IZJAVA
kojom izjavljujem da sam diplomski rad s naslovom IT KORPORATIVNA SIGURNOST U BANKARSKOM
SEKTORU izradila samostalno pod voditeljstvom prof. dr. sc. Zvonka Čapka . U radu sam primijenila
metodologiju znanstveno-istraživačkog rada i koristila literaturu koja je navedena na kraju
diplomskog rada. Tuđe spoznaje, stavove, zaključke, teorije i zakonitosti koje sam izravno ili
parafrazirajući navela u diplomskom radu na uobičajen, standardan način citirala sam i povezala s
korištenim bibliografskim jedinicama. Rad je pisan u duhu hrvatskog jezika.
Također, izjavljujem da sam suglasna s objavom diplomskog rada na službenim stranicama Fakulteta.
Studentica
Gordana Marinov