Bezbednost informacija: osnove i smernice
U ovoj knjizi u prvom planu je bezbednost informacija u organizaciji, kako informacije vezane za aktivnost organizacije zaštititi od onih koji joj ne misle dobro. S obzirom na zaoštrenu tržišnu konkurenciju logično je očekivati da te informacije budu ugrožene spolja, od onih koji pokušavaju na razne načine da ostvare prednost u odnosu na organizaciju na tržištu.
Sadržaj
1. UVOD 1
2. INFORMACIJA I BEZBEDNOST INFORMACIJA 7
2.1 Pojam informacije 8
2.2 Aktuelno stanje bezbednosti informacija 13
2.3 Ključna svojstva informacija 15
2.4 Ostala svojstva informacija 17
2.5 Osnove bezbednosti informacija 19
3. INFORMACIONI SISTEMI I TELEKOMUNIKACIJE 23
3.1 Informacioni sistemi 24
3.1.1 Pojam informacionog sistema 24
3.1.2 Istorijski razvoj IS 27
3.1.3 Oblici životnog ciklusa IS 29
3.1.4 Osnovni principi uspostavljanja IS 31
3.2 Računarske mreže 33
3.2.1 Osnovne karakteristike i podela računarskih mreža 33
3.2.2 Hardverske komponente računarskih mreža 36
3.2.3 Komutacija paketa 37
3.2.4 Referentni modeli komuniciranja 41
3.3 Komunikacioni putevi i tehnologije za prenos informacija 49
3.3.1 Žični prenos 50
3.3.2 Bežični prenos 54
3.4 Softver i njegove karakteristike 58
3.4.1 Pojmovi u oblasti softvera 59
3.4.2 Softver kao specifičan proizvod 63
3.4.3 Podela softvera 67
3.4.4 Osnovne karakteristike kvaliteta softvera 68
3.5 Zakonski okvir u oblasti elektronskih komunikacija 72
4. MENADŽMENT RIZICIMA 77
4.1 Pojam rizika i menadžmenta rizicima 77
4.2 Standardi serije ISO 31000 80
4.3 Proces menadžmenta rizicima 84
4.4 Menadžment rizicima u oblasti bezbednosti informacija 96
5. STANDARDI ZA BEZBEDNOST INFORMACIJA 99
5.1 Struktura standarda sistema menadžmenta 100
5.2 Familija standarda ISO 27000 107
5.3 Zahtevi sistema menadžmenta bezbednošću informacija 110
5.4 Registar informacione imovine 114
5.5 Procena rizika po bezbednost informacija 116
5.6 Izjava o primenjivosti 123
5.7 Bezbednosni događaji i incidenti 124
5.8 Obezbeđenje kontinuiteta poslovanja 131
5.9 Praktični aspekti primene ISMS 137
5.10 Zakonski okvir za bezbednost informacija 139
6. BEZBEDNOST MREŽA 161
6.1 Osnovni principi bezbednosti mreža 161
6.1.1 Vrste bezbednosnih napada 163
6.1.2 Bezbednosni servisi 164
6.1.3 Bezbednosni mehanizmi 166
6.2 Bezbednost u „Cloud“ okruženju 170
6.3 Bezbednost bežičnih mreža 185
6.4 IP bezbednost 194
7. BEZBEDNOST INFORMACIJA U TELEKOMUNIKACIJAMA 199
7.1 Telekomunikacione mreže 199
7.2 Standard ISO 27011 204
7.3 ITU-T preporuke 208
7.
8. BEZBEDNOST INFORMACIJA U ELEKTROPRIVREDNIM SISTEMIMA 221
8.1 Korporacijske mreže 222
8.2 Poslovni i "real time" informacioni sistemi 226
8.3 SCADA sistemi 228
8.4 Inteligentne mreže ("Smart Grid") 230
8.5 Preporuke CIGRÉ 234
8.5.1 Preporuka TB 315 234
8.5.2 Preporuka TB 419 236
8.5.3 Preporuka TB 603 238
8.5.4 Preporuka TB 668 240
8.6 IEC standardi 243
8.7 Standardi NIST 245
8.8 Standardi NERC 254
8.9 Standardi DoE 255
9. DRUGI STANDARDI ZA BEZBEDNOST INFORMACIJA 269
9.1 COBIT 270
9.2 IEEE standardi 276
9.3 Bezbednost osnovnih aplikacija 277
9.3.1 Bezbednost elektronske pošte 277
9.3.2 Bezbednost Veba 279
8.10 Standardi ENISA 257
8.11 Standard ISO 27019 258
8.12 Case Study: Primena mera bezbednosti informacija u HV SCADA 263
POGOVOR 283
PRILOG A: REČNIK OSNOVNIH POJMOVA A-1
A.1 TERMINOLOGIJA I SRPSKO-ENGLESKI REČNIK A-3
A.2 ENGLESKO-SRPSKI REČNIK TERMINA A-29
A.3 SKRAĆENICE – ABBREVIATIONS A-41
PRILOG B: LITERATURA B-1
B.1 KNJIGE, ČLANCI, ZBORNICI, UPUTSTVA, IZVEŠTAJI B-3
B.2 STANDARDI B-7
B.3 ZAKONSKA REGULATIVA B-12
B.4 VAŽNI INTERNET SAJTOVI B-13
PRILOG C: IZVEŠTAJI RECENZENATA Dr Ljubomir Lazić
Dr Miodrag Mesarović
SPISAK SLIKA
2-1 Model komunikacionog sistema
2-2 Podaci, informacija i znanje
2-3 Razlika pojmova Safety i Security
2-4 Osnovni pojmovi vezani za bezbednost informacija
3-1 Ilustracija opšte definicije sistema
3-2 Položaj informacionog u odnosu na realni sistem
3-3 Periodi u razvoju IS
3-4 Linearni oblik životnog ciklusa IS
3-5 Princip „klijent-server“ modela
3-6 Komutacija paketa
3-7 Sistem avionskog prevoza i slojevita arhitektura
3-8 OSI referentni model
3-9 TCP/IP referentni model
3-10 Žični kablovi
3-11 Vrste optičkih vlakana
3-12 Elementi bežične mreže
3-13 Elementi računarskog sistema
3-14 Softver kao proizvod
3-15 Šest osnovnih karakteristika kvaliteta softvera
4-1 Pristup rizicima
4-2 Proces menadžmenta rizicima u ISO 31000
4-3 Ocenjivanje rizika i postupanje po rizicima u ISO 31000
4-4 Mapa rizika
4-5 Mapa rizika sa tri praga za upravljanje rizicima
4-6 Mapa rizika – dva kraja raspona ukupnog gubitka
5-1 Asortiman mrežnih putnih adaptera 5
5-2 Familija standarda ISO 27000 5.2
5-3 Naslovna strana izjave o primenjivosti - primer 5.6
5-4 Efektivnost BCM za scenario iznenadnog događaja 5.8
5-5 Efektivnost BCM za scenario postepenog nastajanja događaja 5.8
6-1 Model bezbednosti u mreži 6.1
6-2 Tipovi računarstva u oblaku 6.2
6-3 Bežično umrežavanje i komponente bezbednosti 6.3
6-4 Model arhitekture IEEE 802.11 6.3
6-5 Načini korišćenja servisa ESP 6.4
7-1 „Defense -in-Depth“ koncept 7.1
7-2 Arhitektura bezbednosti „od kraja do kraja“ 7.3
7-3 Piramida događaja 7.3
7-4 Komponente paketske mreže prema H.323 7.3
8-1 Princip SCADA sistema 8.3
8-2 Osnovna arhitektura inteligentnih mreža 8.4
8-3 Detaljniji prikaz arhitekture inteligentnih mreža 8.4
8-4 Domeni bezbednosti informacija u EE sistemu 8.5.1
8-5 EPCSA metodologija 8.5.1
8-6 Model domena bezbednosti informacija i ocenjivanja rizika 8.5.2
8-7 Povezanost IEC 62351 sa drugim standardima
8-8 Logički model NISTIR 7628
8-9 Pristup“odbrana po dubini“
8-10 Blok šema povezivanja HV SCADA sistema
9-1 Principi COBIT 5
9-2 Faze implementacije COBIT 5
9-3 Lokacija bezbednosnih mera u okviru TCP/IP
SPISAK TABELA
2-1 Rezultati istraživanja BI 2013-2015
2-2 Rezultati istraživanja BI 2013-2015
3-1 Osnovna klasifikacija računarskih mreža
3-2 Uloge elemenata za povezivanje
3-3 Protokoli i uređaji u slojevima OSI modela
3-4 Struktura datagrama IPv4 3.2.4
3-5 Struktura IP adrese 3.2.4
3-6 Klase UTP kablova 3.3.1
3-7 Elementi standarda IEEE 802.11 3.3.2
4-1 Struktura standarda ISO 31000 4.2
5-1 Struktura budućih menadžment standarda 5.1
5-2 Zajednički pojmovi u menadžment standardima 5.1
5-3 Standardi familije ISO 27000 5.2
5-4 Struktura standarda ISO 27001:2013 5.3
5-5 Aneks A standarda ISO 27001:2013 5.3
5-6 Vrednost informacione imovine (A) 5.5
5-7 Verovatnoća nastajanja neželjenog događaja (P) 5.5
5-8 Uticaj na bezbednost informacija (I) 5.5
5-9 Nivo rizika (NR) 5.5
5-10 Rang rizika 5.5
5-11 Standardi serije ISO 223xx i povezani standardi 5.8
5-12 Struktura standarda ISO 22301 5.8
5-13 Zakonodavstvo iz oblasti bezbednosti informacija 5.10
6-1 Vrste bezbednosnih servisa 6.1.2
6-2 Odnos bezbednosnih servisa i mehanizama 6.1.3
6-3 Dodatne bezbednosne kontrole za računarstvo u oblaku 6.2
6-4 Arhitektura protokola IEEE 802 i IEEE 802.11 6.3
7-1 Pretnje/posledice napada u telekomunikacionim mrežama 7.1
7-2 Struktura standarda ISO 27011:2016 7.2
7-3 Dodatne bezbednosne kontrole za telekomunikacije 7.2
7-4 Odnos smetnji i ugroženih ciljeva 7.3
7-5 Funkcionalni zahtevi i bezbednosni servisi 7.3
8-1 Kvalitet prenosa i raspoloživost telekomunikacionih servisa 8.1
8-2 Kategorije napada, posledice i protivmere 8.5.3
8-3 Struktura TB 668 8.5.4
8-4 Osnovna struktura standarda IEC 61850 8.6
8-5 Grupe ICS bezbednosnih kontrola 8.7
8-6 Struktura standarda NERC 8.8
8-7 Domeni DoE modela zrelosti 8.9
8-8 Struktura izveštaja ISO TR 27019:2013 8.11
8-9 Pregled dodatnih kontrola u ISO TR 27019:2013 8.11
9-1 Struktura familije COBIT 5 9.1
9-2 Ciljevi kontrola u COBIT 5 po pojedinim domenima 9.1
9-3 Prikaz osnovnih pretnji na Vebu 9.3
Predgovor
U našem okruženju postoji veliki razlog ZA nastajanje ove knjige i drugi veliki razlog PROYIV da ona bude napisana.
Ako već moram da se pravdam zašto sam se u to upustio, najbolja „odbrana“ je sve ono što se dešava u vezi sa informacijama kako na globalnom nivou tako i neposredno oko nas. Tema je veoma aktuelna, i nažalost, ostaće aktuelna i ubuduće. Zato je veoma važno da se o toj temi priča i da se pronalaze načini kako se sa problemom bezbednosti informacija izboriti. U ovoj knjizi u prvom planu je bezbednost informacija u organizaciji, kako informacije vezane za aktivnost organizacije zaštititi od onih koji joj ne misle dobro. S obzirom na zaoštrenu tržišnu konkurenciju logično je očekivati da te informacije budu ugrožene spolja, od onih koji pokušavaju na razne načine da ostvare prednost u odnosu na organizaciju na tržištu. Nažalost, u ovoj oblasti može se primeniti čuvena izreka u obliku molitve: „Bože, sačuvaj me od prijatelja, od neprijatelja ću se sam sačuvati!“. Dakle, i unutar same organizacije ima onih koji joj ne misle dobro, a pošto su njen deo, utoliko su opasniji u svom delovanju. Statistike u svetu pokazuju da se najveći broj ugrožavanja bezbednosti informacija dešava od strane insajdera, dakle onih koji su tu oko nas. To naravno ne znači da treba da skrenemo u paranoično ponašanje gledajući popreko ljude sa kojima radimo, već treba da se organizujemo tako da uredimo proces kako bi bio što je moguće više otporan i na tu vrstu ugrožavanja.
Razlog PROTIV razumeće pre svega oni koji su bar jednom prošli kroz proces pisanja knjige „od ideje do realizacije“ (autor je to već prošao sedam puta) i ono što je sledilo nakon toga. Uložite ogromnu energiju i vreme, na radno vreme koje je „8+“ dodate svakoga dana još po par sati, sve dok oči ili kičma mogu da izdrže, neretko odvajate vreme od sna ... Na kraju, kada se knjiga pojavi, podvučete crtu i zaključite kako se pisanje apsolutno ne isplati, a još kad čujete neke komentare padnete u iskušenje da se upitate: „A šta će to meni?“. U današnje vreme to je Sizifov posao. Međutim, kada nakon nekog vremena kroz citiranje vidite da su ljudi koristili knjigu, kada se susretnete sa onima koji su je čitali i čujete poneku lepu reč (a neki put i primedbu) shvatite da napor nije bio uzaludan i da ste uradili nešto što će drugima biti od koristi. Upravo to zadovoljstvo komunikacije sa čitaocima predstavlja nešto što vas pokreće i vodi kroz buru današnjeg vremena.
Ovom prilikom želim da se zahvalim onima koji su doprineli da se ova knjiga pojavi i da izgleda baš onako kako je vide čitaoci.
Zahvaljujem se recenzentima dr Ljubomiru Laziću i dr Miodragu Mesaroviću na korisnim sugestijama koje su pomogle formiranju finalne verzije teksta.
Posebnu zahvalnost autor duguje preduzeću Energoprojekt Entel a.d. i direktoru Mladenu Simoviću što su imali razumevanja i kroz finansijsku podršku pomogli izdavanje ove knjige.
Zahvaljujem se izdavaču ove knjige, kompaniji „Akademska misao“, koja je istrajala u opredeljenju da podrži izdavanje ove vrste literature.
Na kraju, jedno VELIKO HVALA supruzi Slavki i kćerki Jasmini, koje su imale dovoljno ljubavi, strpljenja, podrške i razumevanja za ono što sam radio.
U Beogradu, novembra 2017.
Detaljni podaci o knjiziNaslov: Bezbednost informacija: osnove i smernice
Izdavač: Akademska misao
Strana: 372 (cb)
Povez: meki
Pismo: latinica
Format: 24 cm
Godina izdanja: 2017
ISBN: 978-86-7466-711-8