S AD R AJ

UVOD.........................................................................................................................................1
1. POJAM INFORMACIONIH SISTEMA................................................................................2
2. SIGURNOSTI INFORMACIJSKIH SISTEMA....................................................................3
3. STANDARDIZACIJA INFORMACIJSKE SIGURNOSTI..................................................4
3.1. STANDARDI SIGURNOSTI.......................................................................................6
3.2. C O B I T........................................................................................................................8
ZAKLJUAK.............................................................................................................................9
LITERATURA..........................................................................................................................10

UVOD
Interes za informacijsku sigurnost je ogroman, a razlozi su mnogobrojni. Zakoni, zahtjevi
regulatora, potreba za standardizacijom i zahtjevi trita neki su od izvora radi kojih se
poveava interes i odgovornost za sigurnost. Tome se mogu pribrojiti i zahtjevi poslovnih
partnera te interni zahtjevi za unapreenjem procesa. Uz to, poveana potreba za sigurnou
proizlazi iz poveane ranjivosti informacijskog sistema (pogotovo radi sve vee sloenosti
sistema, komunikacijske isprepletenosti i koritenja nesigurnih komponenti i mrea).
Unato razliitim pristupima upravljanja sigurnou, razina sigurnosti i dalje ostaje nepoznata
ili neizvjesna. Iskustvo pokazuje da je nemogue upravljati procesima ako se ne mogu mjeriti.
Stoga je neovisno o vrsti djelatnosti neophodno pratiti rezultate sigurnosti, a ponekad i
usklaivanje sa standardima (obino u obliku normi najbolje prakse ili propisa) radi
kontinuiranog poboljanja.
Cilj ovog seminarskog rada je da objasniti standarde na kojim treba da poivaju dananji
informacioni sistemi, kao i sigurnost informacionih sistema u dananjim uslovima. U prvom
dijelu ovog rada se definie pojam informacionih sistema i njegove karakteristike dok u
drugom dijelu se navode kljuni standardi i sigurnost informacionih sistema.

1. POJAM INFORMACIONIH SISTEMA

Polazei od tumaenja pojma sistema, proizilazi opta definicija informacionog sistema.
Informacioni sistem (IS) se moe definisati kao sistem u kome se veze izmeu objekata i veze
sistema sa okolinom ostvaruju razmjenom informacija. Detaljnije obrazloenje pojma
informacionog sistema jeste da predstavlja ureeni i integrisani skup podataka, procesa,
interfejsa, mrea, tehnologija i ljudi koji su u meusobnoj korelaciji u cilju podrke i
poboljanja svakodnevnih poslovnih operacija i podrke menadmentu u rjeavanju poslovnih
problema, planiranja, upravljanja, predvianja, koordinisanja i donoenja odluka.
Informacioni sistem treba da bude model realnog sistema u kome djeluje1 (Slika 1).
Slika 1. Poloaj informacionog sistema u odnosu na realni sistem

Izvor: A.Njegu, Poslovni informacioni sistemi, univerzitet Singidunum, Beograd, 2009, p. 4;

Informacioni sistem je skup komponenata organizovanih tako da omoguavaju registrovanje,

prikupljanje, prijenos, obradu, skladitenje, analizu i distribuciju informacija za razliite
namjene. Prema optoj teoriji sistema, svaki sistem sadri elemente na ulazu i izlazu, odnosno
inpute i outpute, kao i odgovarajue upravljanje. Informacioni sistemi mogu se zasnivati na
klasinim rjeenjima, koja predpostavljaju korienje poslovne dokumentacije (tzv. manuelna
obrada informacija), ili rjeenjima koja su dijelimino ili potpuno bazirana na primjeni
informacione tehnologije. Ova posljednja vrsta informacionih sistema naziva se informacioni
sistemi bazirani na raunaru, kompjuterizovani informacioni sistemi ili raunarom podrani
informacioni sistemi2.

1 A.Njegu, Poslovni informacioni sistemi, univerzitet Singidunum, Beograd, 2009, p 4;

2 Preuzeto s http://www.itrevizija.ba/materijal/PojamInformacionihSistemia.pdf pristupljeno
27.10.2010.
3

2. SIGURNOSTI INFORMACIJSKIH SISTEMA

Informacijska sigurnost je stepen zatite i otpornosti informacijskog sistema na razliite
oblike ugroavanja. U sebi objedinjuje raspoloiva sredstva, metode, aktivnosti i organizaciju
koji maksimalno smanjuju rizike od svih oblika entropije, unutarnjih i vanjskih napada te
naruavanja optimalnog nastanka, obrade, distribucije i arhiviranja podataka. Sigurnost
informacionih sistema je neophodna da bi se isti zatitio od razliitih eksternih i internih
prijetnji (slika 2).
Slika 2. Pregled internih i eksternih prijetnji na IS

Sigurnost informacijskih sistema obuhvata primjenu mjera za zatitu podataka koji su u

obradi, ili su pohranjeni, ili je u toku njihov prijenos, od gubitka povjerljivosti, cjelovitosti i
raspoloivosti, te radi sprjeavanja gubitaka cjelovitosti ili raspoloivosti samih sistema.
Sigurnosne mjere ukljuuju mehanizme i procedure koje trebaju biti implementirane u svrhu
odvraanja, prevencije, detektiranja i oporavka od uticaja incidenata koji djeluju na
povjerljivost, cjelovitost i raspoloivost podataka i prateih sistemskih servisa i resursa,
ukljuujui i izvjetavanje o sigurnosnim incidentima. Sigurnost informacijskih sistema je
dinamian proces tokom cijelog ivotnog ciklusa sistema te se on treba razmatrati od faze
njegovog planiranja, razvoja, provedbe, operativnosti, rasta do rashodovanja i unitavanja
prema potrebi. To je zapravo proces upravljanja rizikom koji se koristi za procjenu,
nadgledanje, ukidanje, izbjegavanje, prijenos ili prihvatanje rizika. Openito se moe reci da
sigurnost informacijskih sustava obuhvata sve to i informacijska sigurnost u irem smislu,
samo primijenjeno u uim tehnolokim okvirima3.
Sigurnost informacijskih sistema je potrebna zbog :

zatite svih vidova vlasnitva organizacije,

3 I.Marijanovi, Upravljanje sigurnou informacija, diplomski rad, Fakultet elektrotehnike i

raunarstva, Zagreb, 2006, p.3;
4

osiguranja nesmetanog odvijanja svih procesa,

zatite od svih oblika ugroavanja (kako vanjskih tako i unutranjih),
specifine zatite svih oblika prijema, obrade, distribucije i arhiviranja podataka i
specifine zatite od informatikih napada (od virusa i upada u sustav do sabotae).

Potpuna (apsolutna) informacijska sigurnost ne postoji! U veini sluajeva apsolutna zatita

dovodi do toga da je ugroavanje u bilo kojem obliku (vremenskom, financijskom, ljudskom,
sigurnosnom itd.) apsolutno neisplativo. Meutim, odsustvo minimalno potrebne zatite spada
u domenu maksimalno mogueg ugroavanja rada pojedinca i organizacije.

3. STANDARDIZACIJA INFORMACIJSKE SIGURNOSTI

Koncept informacijske sigurnosti ne odnosi se iskljuivo na tehnike mjere zatite (korisnika
imena, ifre, enkripciju, prava pristupa i sl.), ve podrazumijeva administrativne (sigurnosne
politike, pravilnici, procedure) i fizike (video nadzor, zatita prostorija, fizika kontrola
pristupa itd.) mjere. Obzirom da je za adekvatnu zatitu informacijskog sistema gotovo
neizostavno potrebna kombinacija svih tih mjera, pogotovo kada je rije o veim
organizacijama, efikasna implementacija i nadzor svih potrebnih mjera zatite i sigurnosnih
kontrola zahtjeva dobro definiran sistem za upravljanje sigurnou. U cilju kompletne zatite
informacijskih sistema definirani su razliiti standardi koji na razliite naine nastoje
obuhvatiti kompletni sistem za upravljanje sigurnou, ili neke njegove aspekte.
Rainbow series nastali su iz potreba amerike vojske i administracije, na temelju kojih je
kasnije nastao meunarodni ISO 15408 standard. Zatim, brojni ameriki zakoni koji se
odnose na odreene ekonomske sektore npr. Health Insurance Portability And Accountability
Act (HIPAA) u zdravstvu ili Gramm-Leach-Bliley Act (GLBA) u finansijskom sektoru.
Nadalje, tu su standardi formirani od organizacija koje se bave revizijom (informacijskih)
sistema kao to su SAS70 ili COBIT koji predstavlja skup mjera. Postoji i IT Baseline
Protecion Manual (u originalu IT-Grundschutz die Basis fr IT-Sicherheit), njemakog
ureda za informacijsku sigurnost. Meu svim tim standardima, na meunarodnom planu ipak
se sve vie i vie prihvaa ISO17799/BS7799, to ponajvie se odnosi na Europu i Japan, a
donekle i Australiju. Razlog prihvaenosti ovih standarda jest to osiguravaju fleksibilnost,
definiraju upravljaki okvir, a ne zadiru u konkretnu tehniku implementaciju, to ih ini
primjenjivim u organizacijama razliitih tehnikih sistema, iz razliitih sektora te razliitih
veliina4.

4 ISO/IEC 17799:2005, CCERT-PUBDOC-2005-09-133, p.4;

5

3.1. STANDARDI SIGURNOSTI IS

Meunarodna organizacija za standardizaciju (ISO) i Meunarodna elektrotehnika komisija
(IEC) su osnovali zajedniki tehniki komitet JTC1 u okviru koga radi stalni komitet SC27
(ISO/IEC JTC1/SC27 "IT Security Technique") koji se bavi razvojem standarda u oblasti
sigurnosti IT sistema. Ovaj komitet je pokrenuo seriju standarda ISO/IEC 27000 koju ine:

ISO/IEC 27000 ISMS - Osnove i rjenik pojmova

ISO/IEC 27001 ISMS Zahtjevi
ISO/IEC 27002 (ISO/IEC 17799 koji je posle 2007 godine) Kodeks postupaka
(dobra praksa) za upravljanje sigurnosti informacija
ISO/IEC 27003 - ISMS Uputstvo za implementaciju
ISO/IEC 27004 - Mjerenja u menadmentu sigurnosti informacija
ISO/IEC 27005 - Menademt rizika sigurnosti informacija

Standard ISO/IEC 17799:2005 definie kodeks dobre poslovne praksa u oblasti sigurnosti
informacija. itav standard bazira na jedanest sigurnosnih kategorija (poglavlja) koje
pokrivaju sve aspekte informacija5:

Sigurnosna politika (eng. Security Policy),

Organiziranje informacijske sigurnosti (eng. Organizing Information Security),
Upravljanje resursima (eng. Asset Management),
Sigurnost ljudskih resursa (eng. Human Resources Security),
Fizika sigurnost (eng. Physical and Environmental Security),
Upravljanje komunikacijama i operacijama (eng. Communications and Operations
Management),
Kontrola pristupa (eng. Access Control),
Nabava, razvoj i odravanje informacijskih sustava (eng. Information Systems
Acquisition, Development and Maintenance),
Upravljanje sigurnosnim incidentima (eng. Information Security Incident
Management),
Upravljanje kontinuitetom poslovnih procesa (eng. Business Continuity Management)
i
Usklaenost sa zakonskim i drugim propisima (eng. Compliance).

Svaka od navedenih sigurnosnih kategorija definie sigurnosne ciljeve kao i kontrole koje je
potrebno sprovesti da bi se ispunili ti ciljevi. Vano je napomenuti da se kontrole definiu kao:
nain upravljanja rizicima, to podrazumjeva politike, procedure, uputstva, organizacione
strukture koje mogu da budu administrativne, tehnike, upravljake ili pravne.
Standard ISO/IEC 27001 definie zahtjeve koje menadment sistem za sigurnost informacija
mora da zadovolji i po kome se sprovodi sertifikacija ISMS ako se to zahtjeva. Ovi zahtjevi
5 ISO/IEC 17799:2005, CCERT-PUBDOC-2005-09-133, p.8;
6

baziraju na ciljevima i kontrolama (dobroj poslovnoj praksi) koje su definisane u standardu

ISO/IEC 17799. Cijeli koncept sigurnosti informacija koji je definisan u standardima ISO/IEC
27001 i ISO/IEC 17799 bazira na konceptu upravljanja (menadmentu) rizicima. Ocjena
rizika je definisana kao ocjena pretnji informacijama (prijetnje koje dovode do povrede
poverljivosti, integriteta i raspoloivosti informacija) njihovog uticaja na informacije i na
ranjivost (slabost) informacija i informacionih sistema kao i vjerovatnoe njihove pojave.
ISO 27001 standard ukljuuje zahtjev za identificiranje postojeih i buduih zakona i propisa
koji direktno utjeu na posao koji obavljamo i na nain na koji ga obavljamo. Time se
osigurava usklaenost operacija unutar organizacije s vaeom regulativom i kontinuirani rad
na sigurnosti. Sam standard tu kontinuiranost prikazuje preko PDCA modela (eng. Plan-DoCheck-Act). Ovaj model istie vanost paljivog planiranja programa uspostave sustava, to
rezultira efikasnim mjerama za njegovo trajno poboljanje i pravilnu upotrebu.
Slika 3. Procesni pristup PDCA modela

Izvor: I.Poljak, Standardna uspostava upravljanja sigurnosti u informacijskim sustavima, fakultet

elektrotehnike i raunarstva, Zagreb, 2008, p. 8;

3.2. COBIT
Svrha je COBIT-a upoznati menadere IT-a s upravljakim modelom koji pomae
razumijevanje i upravljanja rizikom vezanim u IT. COBIT pomae pri svladavanju razlika
poslovnih rizika, kontrolnih potreba i tehnikih pitanja. To je kontrolni model koji
zadovoljava potrebe upravljanja IT-om i osigurava cjelovitost informacija i drugih elemenata
informacijskog sistema. Okosnica COBIT metode razvijena je na rezultatima mnogobrojnih
rasprava i iskustva mnogobrojnih strunjaka iz podruja sigurnosti, a temelj metode su
svjetski standardi ( slika 5) . Metoda COBIT objavljena je u 6 dijelova koji zajedno s
programskim alatom ine jedinstven okvir i metodu procjene rizika. Osim osnovne verzije
postoji i metoda COBIT Quick start koja je namijenjena manjim poslovnim organizacijama
gdje IT nije tako kritian za poslovanje. U sreditu zanimanja osnovne metode COBIT veliki
su sustavi s dnevno intenzivnom i raspodijeljenom obradom podataka6.
Slika 5. Princip i ideja metode COBIT

COBIT metoda je otvorena to znai da se moe koristiti i prilagodavati individualnim

potrebama te da moe posluiti kao temelj detaljnije procjene po nekoj drugoj metodi
procjene rizika. Metoda COBIT ne stavlja u prvi plan procjenu rizika ve se vie bazira na
uskladivanje IT-a s poslovnim ciljevima.

6 M.Baca, The risk assessment of information system security, University of Zagreb, Faculty of Organization
and Informatics, Varadin, Croatia 2007, p.14;

Z A K LJ U A K
Informacione tehnologije igraju znaajnu ulogu u razvoju i odravanju konkurentnosti
savremenih organizacija. Uvoenje interneta, intraneta, elektronskog poslovanja itd. znaajno
je unaprijedilo sposobnost organizacija da brzo reaguju na stalne promjene koje se deavaju u
okolini u kojoj organizacije ostvaruje svoje poslovne aktivnosti. Otvaranje informacionih
resursa organizacije prema spoljnjem svijetu ima i svoje negativne strane. Informacije i
informacioni resursi (hardverski i softverski) izloeni su brojnim sigurnosnim prijetnjama kao
to su raunarske prijevare, industrijske pijunae, hakerske sabotae, virusi itd. Opstanak
organizacija je u direktnoj vezi sa njenom sposobnosti da zatiti svoje informacione
vrijednosti. Tako koncept zatite, odnosno sigurnosti informacija izbija u prvi plan.
Savremena poslovna praksa pokazuje da problem sigurnosti informacija nije iskljuivi
problem informacionih tehnologija nego je to vie "poslovni" problem kojim mora da se
pozabavi najvii nivo menadmenta organizacije. U njenoj sri je problem upravljanja
(menadment) rizicima.
Serija standarda ISO/IEC 27000, odnosno njeni standardi ISO/IEC 27001:2005 i ISO/IEC
17799:2005 daju jedan harmonizovani pristup upravljanju rizicima kojim su izloene
informacione vrijednosti u organizaciji kroz razvoj, implementaciju i odravanje menadment
sistema za sigurnost informacija.

LI T E R AT U R A
A.Njegu, Poslovni informacioni sistemi, univerzitet Singidunum, Beograd, 2009;
I.Marijanovi, Upravljanje sigurnou informacija, diplomski rad, Fakultet elektrotehnike i
raunarstva, Zagreb, 2006;

I.Poljak, Standardna uspostava upravljanja sigurnosti u informacijskim sustavima, fakultet

elektrotehnike i raunarstva, Zagreb, 2008;
ISO/IEC 17799:2005, CCERT-PUBDOC-2005-09-133, 2005;

M.Baca, The risk assessment of information system security, University of Zagreb, Faculty of
Organization and Informatics, Varadin, Croatia; 2007;
http://www.itrevizija.ba/materijal/PojamInformacionihSistemia.pdf

10