Silvana Tomić Rotim, Ivan Jakab, Nataša Kučeković
SILVANA TOMIĆ ROTIM, Zavod za informatičku djelatnost Hrvatske d.o.o., Zagreb IVAN JAKAB, Hrvatska Lutrija d.o.o., Zagreb NATAŠA KUČEKOVIĆ, Zavod za informatičku djelatnost Hrvatske d.o.o. stomic@zih.hr, ivan.jakab@lutrija.hr, nkucekovic@zih.hr
UPRAVLJANJE SIGURNOSNIM RIZICIMA U WEB APLIKACIJAMA Stručni rad / Professional paper Sažetak U radu se daje pregled metoda upravljanja rizicima, način njihove primjene, kao i način provedbe kompletnog procesa upravljanja sigurnosnim rizicima, od identifikacije rizika, analize, evaluacije, obrade i prihvaćanja. Također, prepoznaju se i opisuju ključni sigurnosni rizici u web aplikacijama, kao i način njihovog umanjenja. Sve je potkrijepljeno primjenom metodologije upravljanja rizicima na konkretnu FUPOL web aplikaciju. Dan je opis funkcioniranja aplikacije, rizici koji mogu ugroziti sigurnost aplikacije i informacija te način njihove obrade. Takvim pristupom u razvojnim fazama projekta osigurava se jasna specifikacija sigurnosnih zahtjeva, što u konačnici dovodi do pouzdane aplikacije i kolanja informacija. Time se i krajnjim korisnicima daje poruka da je korištenje aplikacije i u web okruženju sigurno i da su njihove informacije u svakom trenutku zaštićene. Ključne riječi: upravljanje rizicima, web aplikacije, FUPOL, sigurnost informacija 1. UVOD U obavljanju svakodnevnih poslovnih aktivnosti u današnjim organizacijama sve veću ulogu imaju web aplikacije. Pri tome se vrlo često dovodi u pitanje sigurnost informacija koje se pohranjuju ili razmjenjuju putem tih aplikacija. Pokazuje se da oprez korisnika nije u cijelosti neopravdan, jer u praksi vrlo često dolazi do incidenata koji u značajnoj mjeri ugrožavaju informacijski kapital. S druge strane, adekvatnim upravljanjem rizicima u razvoju i implementaciji takvih aplikacija, mogu se prepoznati određeni sigurnosni problemi, a samim tim adekvatnim sigurnosnim mjerama i svesti na prihvatljivu razinu. 2. UPRAVLJANJE SIGURNOSNIM RIZICIMA U WEB APLIKACIJAMA 2.1 Izvori sigurnosnih zahtjeva Glavni izvori sigurnosnih zahtjeva prilikom razvoja web aplikacija jesu: • pravni, zakonski, regulatorni i ugovorni zahtjevi koje interesne grupe moraju zadovoljiti te njihovo društveno-kulturno okruženje, • zahtjevi standarda primjenjivih u skladu s ciljevima i poslovnim okruženjem za obradu informacija za koje se web aplikacija razvija, • preporuke dobre prakse te • procjena rizika, uzimajući u obzir sveukupnu primjenu i ciljeve same aplikacije. 13. HRVATSKA KONFERENCIJA O KVALITETI I 4. ZNANSTVENI SKUP HRVATSKOG DRUŠTVA ZA KVALITETU, Brijuni 9. – 11. svibnja 2013. g. - 398 -