ÿDVRSLV]DSUDYQXLHNRQRPVNXWHRULMXLSUDNVX PRAVO I FINANSIJE 89 Doc. dr. Haris Hamidović11 Pitanje izrade i upravljanja revizijski trag zapisima Sažetak: Nadzor i bilježenje aktivnosti u informacijskom sistemu vrlo su važni elementi u svakom sistemu za upravljanje informacijskom sigurnošću. Aktivnosti se mogu bilježiti na razne načine, ovisno o elementu informacijskog sistema na kojem se provode određene aktivnosti ili mu se pristupa. U složenim informacijskim sistemima, a posebno u onima kod kojih postoje formalni sistemi za upravljanje sigurnošću, od ključne je važnosti da se bilježenje svih aktivnosti važnih za ispravno i sigurno funkcioniranje sistema provodi kontrolirano Ključne riječi: revizijski tragovi, informacijska sigurnost, SIEM 111 Uvod Sve poslovne organizacije bi trebale imati aktuelan dokument sigurnosnih zahtjeva koji se može lako primijeniti na bilo koji projekat razvoja ili akvizicije softvera. Ovi bi zahtjevi trebali opisivati poslovne i tehničke kontrole koje adresiraju nekoliko sigurnosnih tema, uključujući i pitanje logiranja, tj. izrade revizijski trag zapisa u aplikacijama i bazama podataka. Logiranje predstavlja karakteristiku kojom aplikacija stvara elektronički zapis događaja. Ti događaji uključuju promjene konfiguracije aplikacije, dodavanje i brisanje korisnika, promjenu korisničkih uloga i dozvola, poništavanje akreditiva za prijavu korisnika, promjenu postavki kontrole pristupa i, naravno, radnje i transakcije za koje je aplikacija dizajnirana. Zahtjevi za evidentiranje revizijski trag zapise odnosit će se na konfiguraciju funkcije evidentiranja revizijskih tragova koji se koristi za kontrolu vrste događaja koji se zapisuju u dnevnik revizije, kao i kontrole koje se koriste za zaštitu dnevnika revizije od neovlaštenih promjena (što bi, ako je dozvoljeno, moglo nekome omogućiti da „izbriše tragove svojih aktivnosti“). Kada je riječ o bazama podataka, evidentiranje revizijskih tragova sistema upravljanja bazom podataka predstavlja funkciju evidentiranja revizijskih tragova koja omogućava administratoru ili revizoru da pregleda neke ili sve aktivnosti koje se odvijaju u bazi podataka. Evidencija revizijskih tragova može precizno prikazati aktivnosti koje su se odvijale, 111 uključujući detalje promjena baze podataka i osobu koja je izvršila te promjene. (Gregory, 2016) Operativni sistemi i sistemi za upravljanje bazama podataka trebaju biti konfigurirani tako da se evidentira sav pristup datotekama i direktorijima. Ova praksa promovira odgovornost i pruža revizijski trag - dokaze u slučaju da forenzička istraga treba biti provedena u budućnosti. Zapisnici pristupa sami moraju biti dobro zaštićeni - u idealnom slučaju trebali bi biti pohranjeni u drugom sistemu za pohranu od sistema u kojem se čuvaju podaci kojim se pristup bilježi. Evidencije pristupa ne bi trebale biti izmjenjive, čak ni za administratore baze podataka i administratore sistema, tako da niko neće moći „izbrisati tragove svojih aktivnosti“ ukoliko se odluči da neovlašteno pristupa i obrađuje osjetljive informacije, a nakon toga pokuša sakriti zapise o svom pristupu i aktivnostima. Utvrđivanje zahtjeva za evidentiranje Ključ osiguranja uspjeha bilo koje strategije praćenja dnevnika je znati što se želi postići prije nego što se započne s izgradnjom procesa i infrastrukture koja će to podržati: x Šta organizacija želi ili treba nadgledati? x Koje sisteme i komponente sistema treba CISO u MKF / MKD EKI Sarajevo, haris.hamidovic@eki.ba BROJ 5 • MAJ/SVIBANJ 2021 • 90 PRAVO I FINANSIJE ÿDVRSLV]DSUDYQXLHNRQRPVNXWHRULMXLSUDNVX uključiti u strategiju praćenja? x Koje informacije sistemi trebaju bilježiti u sigurnosne evidencije? x Kako organizacija želi započeti sa hvatanjem i analizom sigurnosnih dnevnika? x Koliko često bi se trebali pregledavati podaci sigurnosnih dnevnika? x Koliko vremena je potrebno da organizacija zadrži podatke sigurnosnih dnevnika? Da bi odgovorile na ova pitanja, organizacije moraju prvo razmotriti primjenjive zakone i propise kojih se očekuje da se organizacija pridržava. Također bi trebalo pažljivo razmotriti sve postojeće organizacione politike ili strategije upravljanja rizikom koje organizacija koristi. (PCI Security Standards Council, 2016) Tako, na primjer, PCI DSS je specifičan kada je u pitanju definiranje osnovnih aktivnosti na visokom nivou koje se moraju evidentirati i pratiti (PCI Security Standards Council, 2016) kao što su: x Svi pojedinačni pristupi podacima vlasnika kartice; x Sve radnje koje je poduzela bilo koja osoba koja ima root ili administrativne privilegije; x Pristup svim revizijskim tragovima; x Nevaljani pokušaji logičkog pristupa; x Korištenje i promjene mehanizama za identifikaciju i provjeru autentičnosti - uključujući, ali ne ograničavajući se na stvaranje novih računa i podizanje privilegija - i sve promjene, dodavanja ili brisanja računa sa root ili administrativnim privilegijama; x Inicijalizacija, zaustavljanje ili pauziranje dnevnika revizije; x Stvaranje i brisanje objekata na sistemskom nivou;... Analiza revizijskih tragova Broj sistema koji generiraju log podatke brzo se povećava. Rast upotrebe tehnologija za virtualizaciju i pojava skalabilnosti računarskih resursa na zahtjev omogućili su mnogim organizacijama da spakuju više sistema i aplikacija u sve manje arhitekture hardvera. Tamo gdje je nekada postojalo praktično ograničenje količine fizičkog prostora na raspolaganju informacijskim sistemima, virtualizacija - i posebno usluge zasnovane na oblaku BROJ 5 • MAJ/SVIBANJ 2021 • - u osnovi su poništile taj problem. Brzi porast gustine sistema također je rezultirao eksponencijalnim rastom količine log podataka koji se proizvode. To je, pak, izvršilo strašan pritisak na sigurnosne timove da brže obrade sve veće količine informacija bez dodatnih resursa koji pomažu u procesu. Pored toga, logovi ne govore nužno isti jezik. Ne postoji univerzalno usvojeni standard za strukturiranje ili formatiranje log podataka. Evidencije mogu postojati u brojnim oblicima. Neki sistemi i uređaji generiraju zapisnike u obliku tekstualnih datoteka koje mogu čitati ljudi, dok drugi sistemi generiraju podatke dnevnika u mašinski čitljivim datotekama podataka ili u relacijskim bazama podataka. Neki sistemi čak mogu generirati evidencije u vlasničkim formatima. Također, nema dosljednosti u načinu na koji se informacije o događajima artikuliraju unutar datoteka dnevnika. Isti događaj koji se događa na dva različita sistema može biti potpuno različito opisan od strane ta dva sistema. Ova pitanja postavljaju značajan teret za praktičare informacijske sigurnosti. Nije ni čudo da - s obzirom na količinu općih troškova koja je naizgled potrebna za upravljanje i analizu podataka dnevnika i ograničen broj resursa koji su dostupni za obavljanje ovog posla - mnoge organizacije zaključuju da koristi aktivnog praćenja sigurnosnih dnevnika ne prevladavaju troškove i jednostavno odluče sredstva posvetiti drugdje. Da bi postale efikasnije u praćenju dnevnika, organizacije moraju usvojiti strukturirani pristup za generiranje, prijenos, skladištenje i analizu podataka sigurnosnih dnevnika na najefikasniji mogući način. Procesi upravljanja dnevnicima moraju se uskladiti sa strategijom upravljanja rizicima u organizaciji kako bi se resursi mogli najbolje iskoristiti na najefikasniji i najisplativiji način. Pristup mora biti prilagođen specifičnoj poslovnoj misiji organizacije i podržavati kulturu i tehnologiju jedinstvenu za organizaciju. (PCI Security Standards Council, 2016) Zapisivanje pristupa je efikasno samo ako neko zaista pregleda dnevnike zapisa. Budući da ovo može biti vremenski zahtjevna aktivnost, mnoge organizacije koriste automatske alate za generiranje upozorenja, gdje sistem šalje upozorenja ključnom osoblju kada se pojave određeni sigurnosno interesantni unosi u dnevnike revizije (poput pokušaja neovlaštenog pristupa). Ova upozorenja omogućavaju osoblju da djeluje u ÿDVRSLV]DSUDYQXLHNRQRPVNXWHRULMXLSUDNVX slučaju abnormalnih događaja kada se isti dogode. (Gregory, 2016) Na većini sistema softver za nadzor revizije može stvoriti velike datoteke, što može biti izuzetno teško ručno analizirati. Razvijene su stoga mnoge vrste alata koji pomažu smanjiti količinu informacija sadržanih u revizijskim zapisima i razgraničavanju korisnih informacija od sirovih podataka. Neke od ovih vrsta alata uključuju (ISACA, 2015): x Audit redukcijski alati - Ovi alati su pretprocesori dizajnirani da smanje obim revizijskih zapisa kako bi olakšali ručni pregled. Prije sigurnosnog pregleda, ovi alati mogu ukloniti mnoge zapise revizije za koje se zna da imaju mali sigurnosni značaj. x Alati za otkrivanje trendova / varijacija – Ovi alati traže anomalije u ponašanju korisnika ili sistema. Moguće je izraditi sofisticiranije procesore koji nadgledaju trendove korištenja i otkrivaju glavne varijacije. Na primjer, ako se korisnik obično prijavi u 9.00, ali se jednog jutra pojavi u 4.30, to može ukazivati na sigurnosni problem koji će možda trebati istražiti. x Alati za otkrivanje potpisa napada – Ovi alati traže potpis napada, što je određena sekvenca događaja koja ukazuje na pokušaj neovlaštenog pristupa. Jednostavan primjer bili bi ponovljeni neuspjeli pokušaji prijave. x SIEM (eng. Security information and event management) sistemi - Ovi alati bilježe revizijske tragove i vrše nad njima analizu u stvarnom vremenu. Oni mogu objediniti logove iz mnogih različitih izvora. Ti se podaci tada mogu povezati i po potrebi pružiti upozorenja. Neki SIEM sistemi također se mogu konfigurirati za obavljanje automatiziranih zadataka na temelju upozorenja (npr. pokretanje skeniranja ranjivosti ili zapovijed vatrozidu da zatvori određeni port). Pitanje pravovremenog odgovora Čitava poanta proaktivnog praćenja sigurnosnih dnevnika je olakšati pravovremeni odgovor na potencijalno zlonamjerne aktivnosti prije nego što isti postanu veliki problem. Način na koji (i koliko brzo) organizacija reaguje na potvrđeni zlonamjerni događaj može napraviti razliku između, PRAVO I FINANSIJE 91 na primjer, manjeg sigurnosnog događaja i velikog kršenja podataka. Organizacije moraju biti spremne za takve slučajeve i imati odgovarajuće postupke reagovanja i protivmjere unaprijed pripremljene, a kako bi pravovremeno i efikasno odgovorile. (PCI Security Standards Council, 2016) Nekome je potrebno dodijeliti odgovornost za nadgledanje i analizu sigurnosnih upozorenja. Pojmovnik PCI DSS npr. definira nadgledanje kao upotrebu sistema ili procesa koji neprestano nadgledaju računarske ili mrežne resurse u svrhu upozoravanja osoblja u slučaju alarma ili drugih unaprijed definiranih događaja. Jednom kada se potvrdi da događaj predstavlja zabrinjavajuće ili čak poznato zlonamjerno ponašanje, odgovornost je osoblja za nadzor dnevnika da upozori odgovarajuće pojedince kako bi se mogle primijeniti odgovarajuće protumjere. Hoće li ti pojedinci biti drugi administratori sistema ili osoblje sigurnosti, rukovodeće osoblje, zakonski zastupnici ili poslovni partneri, ovisit će o kontekstu i opsegu do kojeg je došlo zbog zlonamjerne aktivnosti. No, mora postojati dobro definirana „primopredaja“ odgovornosti između funkcije praćenja dnevnika i funkcije odgovora na incident. Iako je ovdje namjera razlikovati funkciju nadgledanja dnevnika i funkciju odgovora na incident, to ne moraju biti različiti pojedinci ili timovi. Potpuno je moguće - čak i vjerovatno u mnogim scenarijima - da osoblju za nadgledanje dnevnika bude dodijeljena odgovornost za reagovanje na incidente uz njihove dužnosti nadgledanja. Ključna stvar je da će u slučaju potvrđenog zlonamjernog događaja postojati neka točka ili „okidač“ u kojem trenutku će odluka o pokretanju neke vrste odgovora postati potrebna (PCI Security Standards Council, 2016). Budući da napadači ne djeluju po određenom rasporedu, te da se napadi i upadi mogu dogoditi u bilo koje vrijeme, organizacije bi trebale imati osoblje dodijeljeno odgovoru na napade 24 sata dnevno, sedam dana u sedmici (PCI Security Standards Council, 2016). Imajući u vidu generalnu nestašicu sigurnosnih stručnjaka interno rješavanje ovih pitanja je trenutno za veliki broj organizacija skoro nemoguća realizirati. Jedan od načina rješavanja ovog pitanja je i djelomična eksternalizacija ovih usluga, gdje specijalizirane firme pružaju svoje procedure, znanje i stručnost klijentima koji ne mogu, ili ne žele, osnovati svoje BROJ 5 • MAJ/SVIBANJ 2021 • 92 PRAVO I FINANSIJE ÿDVRSLV]DSUDYQXLHNRQRPVNXWHRULMXLSUDNVX sigurnosne timove. Proces je nazivno jednostavan: na klijentske uređaje postavljaju se forwarderi koji preusmjeravaju podatke na server koji ih obrađuje (kroz cijeli niz sigurnosnih pravila / scenarija obogaćenih sa threat intelligencom i mašinskim učenjem), te uzbune oko relevantnih događaja prosljeđuje operativnom centru. Tamo više nivoa analitičara analizira podatke te ih vraća natrag klijentima na daljne postupanje. (INFIGO IS, 2021). Literatura: CARNet CERT, LS&S, 2005, Implementacija syslog protokola u Windows okruženju CCERT-PUBDOC-2005-05-120 INFIGO IS, 2021, 15 godina izvrsnosti, Mreža ISACA, 2015, CISA Review Manual, 26th Edition PCI Security Standards Council, 2016, Effective Daily Log Monitoring Peter Gregory, 2016, CISA Certified Information Systems Auditor All-in-One Exam Guide, Third Edition 3rd Edition, McGraw-Hill Education Forenzično računovodstvo Autorica: dr. Ševala Isaković-Kaplan SADRŽAJ 1. Značaj računovodstva i revizije u društvu 2. Relevantne karakteristike forenzičnog računovodstva 3. Prevare u finansijskim izvještajima 4. Metodologija forenzičnog računovodstva 5. Potreba za forenzičnom računovodstvom u BiH Cijena – 70,00 KM sa PDV-om i troškovima dostave BROJ 5 • MAJ/SVIBANJ 2021 • Refam Creative Solutions - REC, Jukićeva br. 2, 71000 Sarajevo 5/V Maj/Svibanj 2021 No. 5 i Ƥ ýDVRSLV ]DSUDYQXLHNRQRPVNXWHRULMXLSUDNVX RADNI ODNOSI ZAŠTITA NA RADU 5$þ81292'6792 Privremeni i povremeni poslovi Procjena rizika 5DÿXQRYRGVWYHQLDVSHNW „ispravke“ PDV-a 0LUHOD0DäLýGLSORHF 0U=XKGLMD0DKPXWRYLý GLSOLQJ]DäWLWHQDUDGX 3URIGU0HKPHG-DKLý3URIGU ãHYDOD,VDNRYLý.DSODQ'RFGU /HMOD'HPLURYLý3URIGU+DULV-DKLý 2GJRYRULQDSLWDQMDSUHWSODWQLND -DYQHQDEDYNH5DGQLRGQRVLX)%L+LX563RUH]LLUDÿXQRYRGVWYR Poštarina plaćena kod pošte 71122 ISSN 2490-3590 Najnovije informacije o aktuelnim seminarima/webinarima, SULUXÿQLFLPDLRVWDOLPQRYRVWLPDPRæHWHSURQDýLQDQDäRMZHEVWUDQLFL Webinar – Javne nabavke – Maj 2021 3 Ponude u postupku javne nabavke Interaktivni webinar 3 Pravna zaštita u postupcima javnih nabavki Snimak webinara L Webinar – PIO/MIO – Maj 2021 3 Aktuelnosti u implementaciji Zakona PIO/MIO 35('$9$ÿ ,QWHUDNWLYQLZHELQDU 0U.HQDQ6SDKLþ²0LQLVWDUVWYR]DUDGLVRFLMDOQXSROLWLNX Snimak webinara 7UDMDQMHZHELQDUDRG²VDWL :HELQDU²5DÿXQRYRGVWYRLÀQDQVLMH²0DM 33'9²VXGVNDSUDNVD 33RUH]QLLUDĀXQRYRGVWYHQLWUHWPDQVWLSHQGLMD donacija i sponzorstva 3=QDĀDMLQWHUQLKNRQWURODXXSUDYOMDQMXUL]LNRP Interaktivni webinar Snimak webinara L Ukoliko ste propustili priliku da našim webinarima prisustvujete LQWHUDNWLYQRVQLPDNVYLKQDäLKZHELQDUDPRæHWHSRJOHGDWLLQDNQDGQR Kontaktirajte nas za više informacija! www.rec.ba ÿDVRSLV]DSUDYQXLHNRQRPVNXWHRULMXLSUDNVX PRAVO I FINANSIJE 3 SADRŽAJ BROJ 5 • MAJ/SVIBANJ 2021 • PRAVO 11 20 FINANSIJE Arhivska služba u Bosni i Hercegovini - ustroj, nadležnosti i obveze stvaratelja registraturnog materijala i arhivske građe Dr. doc. sc. Šimun Novaković O nedjeljivosti založnog prava Prof. dr. Duško Medić RADNI ODNOSI 23 32 Aktuelna pitanja instituta odmora i odsustva iz oblasti radnog odnosa Azra Bublin, dipl. iur. Privremeni i povremeni poslovi Mirela Mašić, dipl. oec. ZAŠTITA NA RADU 38 Redoslijed postupanja u implementaciji Zakona o zaštiti na radu u FBiH Ljiljana Ćehajić, dipl. iur. 52 Procjena rizika Mr. Zuhdija Mahmutović, dipl. ing. zaštite na radu RAČUNOVODSTVO 65 Novi Zakon o računovodstvu i reviziji u FBiH Dr. sc. Mirna Pajević Rožajac 77 Računovodstveni aspekt „ispravke“ PDV-a Prof. dr. Mehmed Jahić, Prof. dr. Ševala Isaković Kaplan, Doc. dr. Lejla Demirović, Prof. dr. Haris Jahić Uredba o kontrolama gotovine koja 79 Nova se unosi u Europsku uniju ili iznosi iz nje Bernard Iljazović zaštite za kreditora – kreditni 84 Instrumenti kovenanti Dr. sc. Jozo Piljić INFORMACIJSKI SISTEMI izrade i upravljanja revizijski trag 89 Pitanje zapisima Doc. dr. Haris Hamidović SUDSKA PRAKSA i materijalno pravo 93 Procesno Priredio: Predrag Krsmanović, sudija SAVJETODAVNI SERVIS ODGOVORI NA PITANJA PRETPLATNIKA 101 Javne nabavke 111 Radni odnosi u Federaciji BiH 122 Radni odnosi u Republici Srpskoj 129 Porezi i računovodstvo 139 Info stranica /.,).%¨):$!.*% 2016 www.rec.ba 2021 BROJ 5 • MAJ/SVIBANJ 2021 • 4 PRAVO I FINANSIJE ÿDVRSLV]DSUDYQXLHNRQRPVNXWHRULMXLSUDNVX UPUTE AUTORIMA Pozivamo autore da dostavljaju svoje radove i priloge koji sadržajem odgovaraju osnovnim tematskim opredjeljenjima Prava i finansija. U časopisu objavljujemo radove koji podliježu recenziji. PRAVO I FINANSIJE Mjesečni naučni i stručni časopis IZDAVAČ: Refam creative solutions – REC d.o.o. Društvo za istraživanje i unaprjeđenje lokalnog i regionalnog razvoja e-mail: rec@rec.ba www.rec.ba Bosna i Hercegovina, 71000 Sarajevo, Jukićeva 2 Tel/Fax: + 387 33 40 87 78 + 387 33 40 87 79 + 387 33 21 45 82 Mob: +387 61 150 454 Objavljujemo: • • • • • Da bi bili objavljeni u časopisu, radovi treba da ispunjavaju sljedeće uslove: 1. ZA IZDAVAČA: dr. sc. Fadil Šero 2. GLAVNI I ODGOVORNI UREDNIK: 3. dr. sc. Fadil Šero LEKTOR: Mirsad Hajdarović 4. 5. Grafički dizajn: Saša Kristić ŠTAMPA: 6. Štamparija “Fojnica”, Fojnica 7. Godišnja pretplata na štampano izdanje je 250 KM Godišnja pretplata na elektronsko izdanje je 200 KM Polugodišnja pretplata je 125 KM Cijena po primjerku je 25 KM U cijenu je uključen PDV stručne članke koji nude korisne prijedloge za određene struke i pri tome ne moraju obavezno sadržavati izvorna istraživanja autora; komentare zakona ili pojedinih zakonskih rješenja, direktiva Evropske unije, ili podzakonskih akata u okviru tematskih opredjeljenja časopisa; članke iz oblasti sudske prakse (inozemne i domaće) koji nisu prethodno objavljeni u zbornicima sudske prakse; kritičke osvrte na pojedina zakonska ili podzakonska akta sa novim prijedlozima za njihovu izmjenu ili dopunu, i prevode do sada neobjavljenih članaka, evropskih direktiva i različitih uputstava koja odgovaraju osnovnim opredjeljenjima časopisa i od značaja su za prilagođavanje i uključivanje Bosne i Hercegovine u evropske integracione procese. 8. 9. Radovi trebaju biti dostavljeni u elektronskoj formi (pisani u MS Word-u ili sl. tekst formatu, veličine slova 11-pt). Isprintani radovi bez elektronske forme neće se posebno prekucavati osim ako ti troškovi idu na teret autora; Naslovi trebaju biti jasni i informativni. Svi tekstovi, gdje je god to moguće, a posebno u slučajevima kada elaboriraju pojedine segmente jednog problema, treba da sadrže koncizne podnaslove. Što više podnaslova; U lijevom gornjem uglu naslovne stranice rukopisa treba da stoji ime i prezime autora, zvanje i naziv ustanove u kojoj radi i e-mail; U slučajevima kada se koriste kratice i simboli, uz rad moraju biti obavezno priložena odgovarajuća objašnjenja; Ukoliko u svom radu stručno elaborira pojedina zakonska rješenja ili pitanja koja se regulišu nekim zakonom, autor je obavezan navesti tačan naziv odgovarajućeg zakona ili podzakonskog akta; Svaki rad bi na početku teksta trebao da sadrži sažet prikaz autorske elaboracije teme, u trećem licu, ne više od deset redova. Izuzetak čine odgovori na pitanja i sudska praksa; Tekstovi iz područja inozemne i domaće sudske prakse podliježu posebno obradi tako da jedan primjer sudske prakse treba biti sažet, gdje je to god moguće, na jednu karticu teksta; Obim rukopisa je ograničen, u pravilu, na ne više od 10 strana, izuzev tamo gdje tema zahtijeva obradu na cijelom jednom autorskom tabaku / arku, odnosno 16 stranica; S obzirom na to da se svaki rad recenzira, autori su obavezni da uzmu u razmatranje i stav recenzenta. ISSN 2490-3590 Ovi kriteriji se odnose i na naručene tekstove. Časopis izlazi mjesečno. (osim dvobroja za juli/august). BROJ 5 • MAJ/SVIBANJ 2021 •