#procjena rizika | Explore Tumblr posts and blogs

zoranphoto · 2 years ago

Text

ZASTRAŠUJUĆE PROGNOZE SA SAMITA EKONOMSKE I POLITIČKE ELITE! ‘Ulazimo u nemilosrdni vrtlog kriza: ‘Vlade diljem svijeta, a pogotovo u Europi, nastavit će ulagati u vojske, zbog čega će trpjeti ljudi’

Prije redovitog godišnjeg Svjetskog ekonomskog foruma u Davosu (WEF), na kojem globalna i ekonomska oligarhija kao i svake godine neformalno, ali učinkovito iscrtava obrise onoga što će se u svijetu događati u sljedećem razdoblju, objavljena je procjena trenutnog stanja svjetske ekonomije i projekcije razvoja. U pregledu “Global Risks Report 2023”, koji je izdao WEF, prikazano je alarmantno stanje svjetske trgovine i međunarodnih ekonomskih odnosa uz nimalo optimistične prognoze. Već u uvodu izvršna direktorica WEF-a Saadia Zahidi navodi da je malo tko mogao predvidjeti razmjere nestabilnosti koja će biti potaknuta novim ratom u Europi. Zahidi navodi: “Energija i hrana pokretanjem rata u Ukrajini upotrijebljeni su kao oružje, što dovodi inflaciju do neviđenih razina, uzrokuje globalizirajuću krizu troškova života i time potiče društvene nemire. Posljedični zaokret u monetarnoj politici označava kraj ere niskih kamatnih stopa i imat će goleme posljedice za vlade, tvrtke i stanovništvo… U ovogodišnjem globalnom istraživanju percepcije rizika četiri od pet znanstvenika i ekonomskih stručnjaka izjavilo je da očekuje nastavak teške ekonomske nestabilnosti u sljedeće dvije godine”.

Sumrak civilizacije

Saadia Zahidi zaključuje: “Upornost više istovremenih kriza već preoblikuje svijet u kojem živimo uzrokujući ekonomske i tehnološke fragmentacije”. U svome, pak, intervjuu za Bloomberg prije početka summita u Davosu Zahidi upozorava kako se očekuje da će vlade diljem svijeta, a pogotovo u Europi, nastaviti ulagati u vojske, zbog čega će trpjeti stanovništvo. Svijet, po njezinu mišljenju, ulazi u nemilosrdni vrtlog usporednih kriza u uvjetima najviše inflacije u posljednjih 40 godina, a otvoreni geoekonomski rat mogao bi se pretvoriti u opću militarizaciju, uporabu vojne sile i prelazak na ratne ekonomije pojedinih država. WEF-ov “Global Risk Report 2023” zaključuje da je pred svijetom razdoblje konvergencije više različitih kriza koje će zajednički gomilati štetne posljedice ne samo na ekonomskom planu nego na svim strateškim područjima, a države će ući u period velikog međusobnog rivalstva kako bi osigurale za sebe što više prirodnih resursa, energije i hrane. Takav kontinuirani napor država za uspostavu nacionalnih otpornosti u strateškim sektorima imat će svoju enormnu cijenu – onu koju samo nekoliko najvećih svjetskih gospodarstava može podnijeti, procjenjuje WEF-ov pregled rizika. Dakako, po onome što se može iščitati iz WEF-ove publikacije, u Davosu okupljena ekonomska i politička elita svijeta smatra da se gotovo svi uzroci kriza koji pritiskaju svijet i ekonomije država mogu hladno pripisati višoj sili, neovisnoj o njihovu djelovanju, iako je posve jasno da se događa i da će se događati upravo ono što se na WEF-u u Davosu neformalno bez ikakvoga legitimiteta i uz zaštitu tisuća teško naoružanih policajaca i vojske, izravno ili posredno dogovori. Ovoga puta u Davosu nije bio nitko iz Rusije, a Peking je uputio samo zamjenika premijera.

Nema principa

Moskva je iznenađena i uvrijeđena zbog zapadnog sankcioniranja njezine agresije na Ukrajinu, a Kina zbog prevladavajuće agende deglobalizacije koja izravno ugrožava njezino gospodarstvo, kao i zbog zatvaranja protoka zapadne tehnologije prema Kini. Dok im je odgovaralo, bili su u Davosu i aktivno sudjelovali u kreiranju ekonomske i političke slike svijeta, a sada kada se osjećaju neshvaćenima, izoliranima i uskraćenima jer očito je kako Moskva drži neotuđivo prirodno pravo napada na susjedne države ili kako Peking zamišlja neometano pribavljanje zapadne tehnologije. Kada nije sve više po njihovu, tada, glumeći avangardu otpora, uskraćuju svoj dolazak i potporu skupu koji su ranije zdušno podržavali. Zatvaranje u nacionalne i blokovske okvire međunarodne trgovine, uspostava carinskih barijera, prekidanje dobavnih pravaca industrijskih komponenti i robe uvijek je u povijesti naviještalo nadolazak velikih ratova. I to ne ratova između malenih država i naroda s umišljenom vlastitom povijesnom veličinom, koje velike sile koriste u svojim proxy sučeljavanjima. One nemaju, koliko god se međusobno klale, sposobnost utjecaja na svjetsku ekonomiju i trgovinu. Istinske slomove međunarodne trgovine i otvaranje geoekonomskih ratova pokretale su velike sile koje su stvarno i efektivno vladale svijetom. Tako će biti i u ovom povijesnom trenutku smjene epoha i ulaska u eru ratova, jer ono što se sada događa, uključujući i pad svjetske trgovine i fragmentaciju ekonomije u okviru započetog procesa deglobalizacije, ništa drugo ne znači nego to da su velike svjetske sile ponovno pokrenule međusobni obračun za svjetska bogatstva. Ekonomski rat i opaki geoekonomski obračuni uvod su u velike oružane ratove kao i uvijek u povijesti. Ideologija koja se koristila kako bi pokretala mase i privoljela ih na podršku prošlim ratovima mijenjala se od rata do rata, a danas se bazira na nategnutoj tezi sukoba demokracija s autoritarnim državama.

Nova hrana

Dakako, već se na prvi pogled vidi kako ta krinka ne funkcionira jer ispod plašta tobože demokratskog bloka naziru se figure vladara krvavih ruku iz režima kakvi su, primjerice, saudijski ili katarski, koji su bliski saveznici SAD-a i EU-a i financijeri gospodarstava najmoćnijih europskih sila. Novi veliki rat teško se može izbjeći jer sada nije doveden u pitanje samo prastari mirovni poredak u Europi – odakle veliki svjetski ratovi redovito kreću – nego je prije svega vladajući neoliberalni ekonomski poredak iscrpio svoje potencijale i traži novu hranu. On, za razliku od procjena mnogih, ne propada, nego se transformira, a rat je oduvijek bio i sada će biti najpogodnije okružje za presvlačenje zmijske kože neoliberalnog sustava. Da bi opstao, on traži novi poticaj, novu hranu, jer počeo je žderati samog sebe. Preoblikovanje i novu snagu mogu mu osigurati samo države. No za državnu intervenciju na nominalno slobodnom prevladavajućem tržištu neoliberalne ekonomije bilo je potrebno osigurati povode, a to su kao i uvijek jahači apokalipse – bolest i rat. Konvergencija više različitih kriza, od zdravstvene do ekonomske i vojne, samo je u biti svjesno i namjerno stvaranje povoljnog okoliša za presvlačenje kože neoliberalne zmije. Tako je, eto sasvim slučajno, pandemija i pokrenula državni intervencionizam. Ekonomija koju su vodile financijska industrija i transnacionalne kompanije došla je pred slom i onda je uz pomoć pandemije izvršen zaokret koji se drugačije nije mogao pravdati. Početkom pandemijskih transfera državne pomoći gospodarstvu ekonomija zapravo prelazi u ruke države. Opet ne industrije i realne proizvodne ekonomije, nego u ruke državnih struktura. One raspodjeljuju financije kako im odgovara i za razliku od globalne financijske industrije i internacionalnih kompanija, države imaju moć voditi i oružane ratove za profit.

Profit je bitan

Države to i rade, a pandemija je poslužila kao priprema preuzimanja ekonomije u državne ruke u ratne svrhe u svojevrsnom neobjavljenom prelasku na ratno gospodarstvo. Sada nastupa rat i era ratova koje mogu opsluživati samo države, a ne primjerice nikakav Goldman Sachs. Neoliberalni poredak se presvlači u novu kožu jer je globalizacija postala preskupa i negativno utječe na kapacitet globalnih igrača za sudjelovanje u nadmetanju za kontrolu svjetskih resursa i tržišta. Da skup u Davosu nije debatni klub nego mjesto na kojem se uistinu kreira politika i dinamika međunarodnoga poretka, svjedoči i zaključni pregled globalnih svjetskih rizika donesen tijekom sastanka Svjetskog ekonomskog foruma 2018. U njemu se rafiniranim diplomatskim rječnikom donosi raščlamba postojećeg stanja međunarodnih odnosa i prosudba njegova daljnjega razvoja. Ta prosudba iz pregleda globalnih svjetskih rizika izuzetno je indikativna zbog svoga proročanskog karaktera jer sada, četiri godine nakon njezina donošenja, može se vidjeti da se sve navedeno u njoj i obistinilo. Kako se u Davosu ne okupljaju nikakvi vidovnjaci, nego bankari, gospodarstvenici i političari s uzdama moći čvrsto u svojim rukama, sasvim je izvjesno da dokumenti koji se donose u Davosu nisu nikakve procjene razvoja događaja, nego neka vrsta programa onoga što će se na međunarodnom ekonomskom i političkom planu uistinu događati. Davos zbivanja ne opisuje, nego ih kreira. Dokument sastanka u Davosu iz 2018. pod nazivom “Global Risks Report 2018” navodi: “Svijet je prešao u novu i uznemirujuću geopolitičku fazu. Na djelu nije samo multipolarani nego i multikonceptualani razvoj. Nema više sigurnosnih pretpostavki iz doba nakon hladnog rata o postojanju čvrstih normi i institucija na temelju kojih bi svjetske vodeće sile mogle približavati i usklađivati svoje interese…”

Usklađivanje interesa

“… To stvara nove rizike i neizvjesnosti – povećanje vojnih napetosti i gospodarske i komercijalne poremećaje. Međunarodni odnosi sada se odvijaju u različitim smjerovima – kroz nekonvencionalna vojna djelovanja, što uključuje i nove izvore cyber-prijetnji, transformirane i potpuno promijenjene trgovinske i investicijske veze, sukobe preko posrednika i neočekivane promjene dinamike postojećih vojnih i političkih saveza… Time izazvano jačanje snažne državne politike dovodi do toga da globalne norme gube svoju snagu i da raste napetost između velikih sila, što se odražava i na moćne i na male države. To, pak, proizvodi sve agresivnije geoekonomske agende i stvara sve veće pritiske s kojima se suočavaju slabije države.” Pregled globalnih rizika za 2018. nadalje zaključuje da se u takvim okolnostima ponovno uspostavljanje “države moći” logično pojavljuje kao sve “atraktivnije strateško sidro”. Navodi se: “Konkretno, nacionalističke agende i vanjska projekcija jake države postaje učinkovita strategija za vlade koje žele ispraviti percipirana sadašnja ili prošla međunarodna poniženja”. Tako se i zbilo. Davos zbivanja ne opisuje, nego ih kreira. Samo tri godine nakon što su te predikcije iz Davosa objavljene, Rusija je, vođena željom ispravljanja povijesti i percipiranih poniženja, pokrenula osvajački rat u Ukrajini. Kina je sve manje proizvodna i trgovačka sila, a sve više “država moći” koja gleda kako ponovno priključiti Tajvan. Nema razloga sumnjati da će se projekcije budućih zbivanja iznesene i u ovogodišnjem “Global Risks Report 2023” Svjetskog ekonomskog foruma ostvariti. Opisani pad svjetske trgovine, uvođenje carinskih barijera, provođenje ekonomskih sankcija prema suparnicima, otimanje za energiju i hranu samo su neki od indikatora preobrazbe vladajućeg neoliberalnog poretka kroz procese deglobalizacije, militarizacije gospodarstava i društva i siguran nagovještaj nadolazeće ere ratova velikih sila.

Era ratova

Pad svjetske trgovine preludij je u novu ratnu eru, a neoliberalni poredak koji je stvarni pokretač svih sadašnjih kriza i sadašnjih i budućih ratova sasvim sigurno ne propada, nego se kroz bolesti i velike ratove koji nadolaze samo pokušava transformirati. U svoje uzde upregnuo je najmoćnije države svijeta i pokrenuo geoekonomski i oružani rat za svjetska bogatstva. On, dakako, samo dobro glumi nacionalnu pripadnost, jer je po svojoj definiciji nadnacionalan i globalan. Koliko god se američki, europski, ruski ili kineski kapital prikazivao domoljubnim i nacionalnim -on to nije. On je nadnacionalni, a u trenucima kada je potrebno na međunarodnoj sceni silom ostvariti pozicije u borbi za profit i kada je potrebno izvršiti spašavanje cijelog neoliberalnog ekonomskog sustava, tada se on, protivno svojoj prirodi, prikazuje nacionalnim. Nacionalna država mu je tada potrebna za opstanak – ona ista koju je neoliberalni kapitalizam godinama pljuvao kao nepotreban trošak i relikt prošlosti. Sada kada je potrebno cijeli sustav neoliberalnog gospodarstva spašavati u eri ratova koja slijedi, država je ponovno u paradigmi neoliberalnog svijeta potrebna, i to što moćnija, sa što većom vojnom silom.

Amerikanci strahuju od kolapsa vojne industrije

Globalizacija u ovom trenutku počinje ugrožavati ne samo korporacijske interese nego i interese pojedinih država, posebice na obrambenom području. Američki stratezi smatraju da su u opasnosti vojne sposobnosti SAD-a, prije svega u sektoru vojnoindustrijskoga kompleksa, odnosno proizvodnje naoružanja i vojne opreme zbog prevelikog odljeva industrijskih radnih mjesta i ovisnosti o uvoznim sklopovima za vojnu industriju. Američki i europski stratezi smatraju da su globalizacija i slobodna trgovina uzdigle Kinu i dovele je na razinu najvećeg američkog konkurenta. Osim toga, pripreme za početak aktivnog provođenja mjera “zelene politike” usmjerenih na smanjenje štetnih emisija, prije svih Europske unije, u izravnoj su korelaciji s preokretom od globalizacijskih tokova prema postupnom vraćanju industrije i ekonomije u nacionalne okvire.

Profesor ekonomije koji je najavio buduće ratove

Još u rujnu 2018., u članku za Le Monde, profesor ekonomije sa sveučilišta u Toulouseu, Pierre-André Buigues najavio je promjene koje su sada na pomolu kada je rekao: “Nakon prelaska određenog praga, internacionalizacija trgovine nanosi štetu globalnoj ekonomiji. Globalizacija je pokazala da prekomjerna integracija ne pomaže u odupiranju krizama, nego ih pogoršava. Jaz između bogatih i siromašnih širi se zbog neravnomjerne raspodjele pozitivnih učinaka globalizacije”. Pierre-André Buigues zaključuje da globalizacija u konačnici izaziva negativne učinke i za one koji je predvode – internacionalne kompanije: “Multinacionalne tvrtke igraju središnju ulogu u globalizaciji i njezini su najvjerniji pristaše. Njihova internacionalistička strategija usmjerena je na pronalaženje mjesta s najnižim troškovima proizvodnje ispred drugih konkurenata. Ipak, nakon određene granice širenje internacionalizacije međunarodnih tvrtki šteti njihovoj profitabilnosti zbog povećanog geopolitičkog rizika i troškova prilagodbe na različita tržišta. Kao rezultat toga, danas smo suočeni sa sljedećim pitanjem – nismo li došli do praga iznad kojega cijena globalizacije postaje previsoka za cijelo gospodarstvo?”. Dnevno.hr Foto : Zoran / TV Wien Read the full article

0 notes

thenandnowhah · 8 years ago

Text

SIGURNOST INFORMACIJSKIH SUSTAVA

Pitanja i odgovori za ispit

1. Što je sigurnost, te koji je razlog za implementaciju sustava sigurnosti u poduzeću

SIGURNOST – niz mjera i postupaka koji se poduzimaju u cilju osiguranja funkcionalnostiposlovnog sustava u produkcijskim uvjetimaPošto se funkcionalnost poslovnih sustava sve više oslanja na informacijsku potporu, ta velikaovisnost o podacima, informacijama i komunikaciji traži odgovarajuću razinu osiguranjatemeljnih pretpostavki organizacijskog djelovanja sustava. U tome leži temeljeni razlog potrebeizgradnje sustava sigurnosti informacijskog sustava čija funkcionalnost ovisi o integritetuinformacijskog sadržaja, njegovoj točnosti, nepromjenjivosti upisanog sadržaja, ali i stalnojdostupnosti. Zato je potrebno izgraditi sustav sigurnosti koji će odgovoriti na sve postavljenezahtjeve, a istovremeno neće biti prepreka primjeni u pretpostavljenim uvjetima.

2. Koji je odnos sigurnosti i zaštite informacijskog sustava

ZAŠTITA – je čitav niz mjera i postupaka koji se poduzimaju kako bi se smanjila razina prijetnjikod pretpostavljenih rizika

3. Što je računalni kriminal, te koje radnje se mogu opisati kao računalni kriminal

Računalni kriminal, u najširem smislu, shvaćen je kao nedozvoljena djelatnost vezana uzfunkcioniranje računalskih sustava.Računalno prisluškivanje, neovlašteno prodiranje u računalne sustave, manipulacijebankovnim automatima, krivotvorenja različitih isprava, neovlašteno kopiranje komercijalnihkorisničkih programa.Manipulacije s računalom najčešće su usmjerene na stjecanje protupravne imovinske koristi.Vrlo je čest slučaj krađe softvera, tj. neovlaštenog kopiranja korisničkih programa svih vrsta,čime se zakidaju prihodi autora takvih programa.

4. Navedite nekoliko primjera računalnog kriminala?

Računalno prisluškivanje, neovlašteno prodiranje u računalne sustave, manipulacijebankovnim automatima, krivotvorenja različitih isprava, neovlašteno kopiranje komercijalnihkorisničkih programa.

5. Što govori Hrvatski zakon o računalnom kriminalu?

Zakon o računalnom kriminalu u RH još uvijek ne postoji niti ima kakvih naznaka da će uskoro bitidonesen. Odredbe koje su vezane za računalni kriminal disperzirane su u različitim zakonima. Postoji međunarodna «Konvencija o računalnom kriminalu» koju je Hrvatska potpisala pa ju obvezuje.Konvencija je prva međunarodna prekretnica u sprečavanju računalnog kriminala i kriminalaposredstvom interneta. Konvencija se naročito fokusira na probleme autorskog prava, računalnihprijevara, dječje pornografije, narušavanja mrežne sigurnosti i sl. Glavni cilj konvencije je baviti seopćenitim računalnim politikama koje se fokusiraju na zaštitu društva od računalnog kriminala i toposebno između zemalja potpisnicama.Članci Kaznenog zakona

koji u nas inkriminiraju ponašanja specificirana kao kaznena djela učlancima 2. do 6. Konvencije o kibernetičkom kriminalu su čl. 223, Oštećenje i upotreba tuđihpodataka, koji pokriva kaznena djela Neovlaštenog pristupa i Oštećenja, izmjene i uništenja podataka(čl. 2 i 4. Konvencije). Što se tiče čl. 3 i Kazneno djelo neovlaštenog presretanja podataka (Illegal Interception) u teoriji sesmatra da premda čl. 223. ne sadrži odredbe o kompjutorskoj špijunaži, postoji dovoljno postojećihinkriminacija kojima se može sankcionirati ovakvo ponašanje u svojim pojavnim oblicima. Tako npr.inkriminacije o izdavanju i neovlaštenom pribavljanju poslovne tajne (čl. 295 KZ) ili odavanjuslužbene tajne (čl. 132 KZ), odavanju državne tajne (čl. 144 KZ). Tu je i čl.133 i Nedozvoljenaupotreba osobnih podataka, čime se pokriva kako prikupljanje, obrađivanje i korištenje osobnihpodataka građana, tako i njihovo korištenje suprotno zakonom dozvoljenoj svrsi njihovog prikupljanja.Naravno, i glava kaznenih djela protiv imovine nadopunjena je inkriminacijama koje mogu poslužiti iza sankcioniranje nekih zloporaba Interneta. Tako su tu navedena kao inkriminacije slijedeća djela:- Povreda prava autora ili umjetnika izvođača- Neovlaštena upotreba autorskog djela ili izvedbe umjetnika izvođača- Oštećenje i upotreba tuđih podataka

6. Nabrojite i opiše nekoliko zakona RH koji se odnose na sigurnost IS?

1. Zakon o informacijskoj sigurnosti -Ovim se Zakonom utvrđuje pojam informacijskesigurnosti, mjere i standardi informacijske sigurnosti, područja informacijske sigurnosti,te nadležna tijela za donošenje, provođenje i nadzor mjera i standarda informacijskesigurnosti.

2. Zakon o elektroničkom potpisu - Ovim se Zakonom uređuje pravo fizičkih i pravnihosoba na uporabu elektroničkog potpisa u upravnim, sudskim i drugim postupcima,poslovnim i drugim radnjama, te prava, obveze i odgovornosti fizičkih i pravnih osoba usvezi s davanjem usluga certificiranja elektroničkog potpisa, ako posebnim zakonomnije drukčije određeno

3.Zakon o zaštiti tajnosti podataka- Ovim se Zakonom propisuju pojam, vrste istupnjevi tajnosti te mjere i postupci za utvrđivanje, uporabu i zaštitu tajnih podataka.

4.Zakon o zaštiti osobnih podataka - Ovim se Zakonom uređuje zaštita osobnihpodataka o fizičkim osobama te nadzor nad prikupljanjem, obradom i korištenjemosobnih podataka u Republici Hrvatskoj.

7. Što je pojam digitalnog integriteta?

Integritet predstavlja zaštitu podataka od namjernog ili slučajnog neovlaštenog mijenjanja.Dodatni element integriteta jest zaštita procesa ili programa kako bi se onemogućiloneovlašteno mijenjanje podataka. Glavni zahtjev komercijalnih i državnih institucija jestosigurati integritet podataka kako bi se izbjegle zlouporabe i greške. To je imperativ kakokorisnici ne bi mogli mijenjati podatke na način da ih izbrišu, promjene ili učine ključne podatkenesigurnima. Primjeri gdje je integritet podataka od ključne važnosti su sustav za kontrolu leta,sustavi u medicinskim ustanovama, sustavi u financijskim ustanovama itd.Ključni elementi za postizanje integriteta podataka su identifikacija i provjera autentičnostikorisnika. Budući integritet ovisi o kontroli pristupa, važno je pozitivno i jedinstveno utvrditiidentičnost svih korisnika prijavljenih na sustav

8. Što sve može imati digitalni identitet?

Digitalni identitet - potreba identifikacije i autentifikacije dokumenata, osobe, poslovnog subjekta iračunala.

9. Što je klasifikacija i deklasifikacija sadržaja, te koje su razine tajnosti definirane premazakonu o zaštiti tajnosti podataka

• Klasifikacija podatka

je postupak utvrđivanja jednog od stupnjeva tajnosti podatka s obziromna stupanj ugroze

•Deklasifikacija - prestanak postojanja razloga zbog kojih je podatak klasificiran

– postaje neklasificirani s ograničenom uporabom samo u službene svrhe

Propisuje vrste tajni

– državna

– službena

– vojna

– profesionalna

– poslovna

stupnjeve tajnosti

– vrlo tajno

– tajno

– povjerljivo

Za klasificirane podatke

određuje samo stupnjeve tajnosti

– Vrlo tajno

– Tajno

– Povjerljivo

– Ograničeno

10. O čemu govori norma ISO 27002 i koji su koraci implementacije norme ISO 27002

Međunarodna norma ISO 17799/27002 definira zahtjeve za uspostavljanje, implementaciju,rad, nadziranje, provjeru, održavanje i unaprjeđivanje dokumentiranog sustava upravljanjasigurnošću informacija u kontekstu cjelokupnog rizika poslovanja organizacije. Ona definirazahtjeve za implementaciju sigurnosnih kontrola prilagođenih potrebama svake pojedineorganizacije ili njenog dijela.

Koraci implementacije norme:

početak projekta (administartivna faza)2)definiranje ISMS-a (Information Security Managment System – sustav za upravljanjeinformacijskom sigurnošću)3)procjena rizika4)upravljanje rizikom5)obuka i informiranje kadrova6)priprema za reviziju7)revizija8)periodičke provjere (redovito provjeravanje i poboljšavanje sustava za upravljanjesigurnošću)Međunarodna organizacija za standardizaciju je promijenila naziv norme ISO/IEC 17799:2005u ISO/IEC 27002:2005.

11. Područja regulative standarda ISO 27001 i 27002?

ISO 27001 znači za informacijsku sigurnost isto ono što ISO 9001 znači za kvalitetu – to je normakoju su pisali najbolji svjetski stručnjaci u polju informacijske sigurnosti, i svrha joj je da pružimetodologiju na koji način uvesti informacijsku sigurnost u neku organizaciju. Ona isto tako pružamogućnost da organizacija dobije certifikat što znači da je nezavisni auditor potvrdio da jeinformacijska sigurnost na najbolji način provedena u dotičnoj organizaciji.Norma ISO 27001 je zapravo postavila temelj za informacijsku sigurnost, pa su tako razni propisipisani na osnovu iste – Odluka o primjerenom upravljanju informacijskim sustavom, Uredba o načinupohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka, kao iprovedbeni akti Zakona o informacijskoj sigurnosti. Drugim riječima, ova norma daje idealnumetodologiju kako provesti sve navedene propise.Osim norme ISO 27001 (nekadašnja norma BS 7799-2), postoji i norma ISO 27002 (nekadašnjanorma ISO 17799), koja je „pomoćna“ norma i detaljnije opisuje na koji način provesti pojedine mjerezaštite iz ISO 27001. Korisne su i norma BS 7799-3 (detaljno propisuje proces procjene rizika), tenorme BS 25999-1/BS 25999-2 (detaljno opisuju upravljanje kontinuitetom poslovanja

12. Koji su koraci izgradnje sustava sigurnosti

1. definiranje i donošenje politike sigurnosti2. procjena sigurnosnih rizikaa) procjena značaja podatkovnog sadržajab) inventura informacijske imovine : 1)čimbenici izvan poslovnog sustava2) čimbenici unutar poslovnog sustavac) identifikacija prijetnji pojedinom sadržaju3. Odabir mjera za smanjenje rizika4. izjava o primjenjivosti5. Praćenje efikasnosti (funkcionalnosti) postavljenog sustava6. dogradnja sustava ISMS (Information Security Management System)

13. Što je sigurnosna politika, na koji način je implementiramo, od kojih elementa se sastoji tekada je važeća?

Sigurnosna politika je skup pravila, smjernica i postupaka koja definiraju na koji načininformacijski sustav učiniti sigurnim i kako zaštititi njegove tehnološke i informacijskevrijednosti. Ona govori korisnicima što smiju raditi, što ne smiju raditi, što moraju raditi i koja jenjihova odgovornost. Politikom ne određujemo na koji način zaštiti informacijski sustav većsamo što zaštititi. Svakodnevnim razvojem tehnologija otkrivaju se i nove metode kojima jemoguće ugroziti sustav. Stoga definiranje općenite sigurnosne politike za informacijskesustave nije moguće i jednom napisana politika mora se redovito pregledavati, mijenjati inadopunjavati kada se za tim ukaže potrebaa) krovni dokument – to je izjava uprave o provođenju ISMS-ab) uža i šira politikac) provedbeni aktSTRATEGIJA može biti:

prihvaćanje rizika

– zna se za rizik ali se ne radi ništa

podjela

– popisuju se kritični procesi i gradi se sustav sigurnosti, a ostatak procesase osigura

prenošenje

– zna se da postoji rizik, ali se ne radi ništa nego se prenosi naosiguravajuće društvo

reduciranje rizika

– uvode se mjere za procese koje treba štititi i sustav se daljedograđuje

14. Koje su strategije izgradnje sustava sigurnosti?

samostalno preuzimanje rizika

(opredjeljenje poslovnog sustava da samostalno brine o razinisigurnosti IS-a te da se brine o mjerama za smanjivanje rizika na prihvatljivu razinu)-

podjela rizika

(strategija osiguravanja dijela rizika kod osiguravatelja, a za dio sustava sesamostalno gradi sustav sigurnosti. Na dijelu IS-a se ne postavlja razina zaštite (ili se dovoljnone ulaže u nju) pa se rizik pokriva osiguranjem).-

prenošenje rizika

(strategija koja je prisutna kod manjih poslovnih sustava pri čemu jeposlovodstvo procijenilo da destrukcija nad podacima ne povlači za sobom velike poslovnegubitke. Sav se rizik prenosi na osiguravatelja koji u slučaju velikog rizika sam ulaže uizgradnju sigurnosnog sustava kako bi smanjio vlastiti poslovni rizik)-

negiranje rizika

(temelji se na odluci o nepoduzimanju nikakvih aktivnosti zaštite IS-a.Poslovanje nije oslonjeno na IS podržan računalom, ali prijetnje nisu isključene nego je samosmanjen broj izvora i oblika prijetnje)

15. Što sve smatramo informacijskom imovinom, i zašto je bitna inventura informacijskeimovine

a) informacijska imovina – baze podataka i datoteke s podacima, sistemska dokumentacija,korisnički priručnici, materijal za treninge, procedure za operativu i podršku, planovioporavka i kontinuiteta rada sustava, sporazumi o oporavku, arhivirane informacijeb) softverska imovina – aplikacijski softver, sistemski softver, razvojni i pomoćni alatic) fizička imovina – računalna oprema, komunikacijska oprema, magnetski mediji, ostalatehnička oprema, namještaj, smještajd) servisi – računalni i komunikacijski servisi, opći pomoćni pogoni (grijanje, osvjetljenje,struja, klimatizacija)e) ljudi-materijalni dio – računala, mrežna oprema…-software – licencirani…-organizacija – razmještaj računala, struktura mreža…-ljudi-podaci – popis dokumenata i njihovih vlasnikaInventure imovine trebaju pomoći u osiguranju provođenja efikasne zaštite. Organizacija mora bitiu stanju identificirati svoju imovinu i njenu relativnu vrijednost i važnost. Temeljem te informacijeodređuje se razina zaštite imovine u skladu s vrijednošću i važnošću imovine. Potrebno jesastaviti i održavati popis važnog inventara u svakom informacijskom sustavu. Svaki dio imovinetreba biti jasno definiran, sa dogovorenim i dokumentiranim vlasništvom i sigurnosnimklasifikacijama (stavak 5.2), te mora imati svoju lokaciju (važno prilikom oporavka od štete iligubitka).

16. Što je procjena značaja podatkovnog sadržaja temeljem čega i zašto se provodi?

Procjenom značaja podatkovnog sadržaja utvrđuje se s kojim sve podacima raspolažeposlovni sustav i koji je značaj tih podataka za njegovu funkcionalnost. U tu svrhu se radiinventura informacijske imovine.

17. Koji su unutarnji a koji vanjski čimbenici koji utječu na procjenu značaja podatkovnogsadržaja?

Vanjski čimbenici:Zakonski i podzakonski akti država u kojoj djeluje poslovni sustavZakonski i podzakonski akti država u kojima djeluju poslovni sustavi s kojima se ostvarujeposlovna komunikacijaPoslovni običaju i norme koji se odnose na granu djelatnostiTrenutna situacija u okruženju u odnosu na stabilnost djelovanja poslovnog sustava sukladnoizvorima i oblicima prijetnji.Unutrašnji:Statut poslovnog sustava i drugi akti na nižim razinamaProcjena poslovodstva o važnosti pojedinog sadržaja za funkcionalnost sustavaPoslovni običajuStanje u poslovnom okruženju

18. Nabrojite i opišite izvore prijetnji informacijskog sadržaja!

Prijetnje se identificiraju po vrsti i intenzitetu, zbog čega treba imati evidenciju učestalostipojedinih prijetnji. Ako se prvi puta uvodi sustav sigurnosti, takve evidencije nema i treba seosloniti na procjenu vjerojatnih prijetnji, a nakon uvođenja mjera sigurnosti pratiti i procjenjivatiu kojoj mjeri je procjena bila realna ili ne.Izvori mogu biti

prirodni

(poplave, potresi),

ljudi

(namjerno – uništenje, sabotaža, špijunaža,krađa, virusi.. nenamjerno- nepažnja, nemar, neznanje..),

oprema

(tehnička pogreška opreme,prestanak napajanja, prekidi komunikacije, zračenja..).

19. Nabrojite i opišite oblike prijetnji informacijskom sustavu?

a) neautorizirano korištenjeb) uništenjec) neidentificirano korištenje i neregistrirana promjena sadržaja

20. Što je procjena rizika, te koje metode procjene rizika poznajete?

Kvalitativne i kvantitativne metode.

Dobre strane kvantitativne analize

: rezultati se baziraju na objektivnim procesima i mjerenjima,statistička vjerojatnost se računa matematičkim formulama, procjena potrebnih ulaganja jeprecizna, rezultati analize mogu se prikazati menadžerskom terminologijom (cijene, postupci,vjerojatnost).

Loše strane:

računanje je kompleksno treba dobro poznavati statističke pojmove dobri rezultatidobivaju se ako je poznata baza znanja odnosno ako postoje podaci o rizicima koji će seprocijeniti primjena analize je kompleksna treba više vremena za procjenu rizika vjerojatnostnije potpuno ispravna računa se i odstupanje vjerojatnosti od stvarnih vrijednosti pogodna jeza procjenu rizika u statičnoj okoliniKvalitativnaNe zadaje numeričke vrijednosti objektivne analize (što god to značilo), bazira se naodgovorima pitanja "što ako?"

Dobre strane:

računanje je jednostavno, ne treba definirati cijenu procjene objekata analize, neračuna se učestalost rizika, nije potrebno mnogo vremena za procjenu rizika, cijenaimplementacije je manja, fleksibilnog je karaktera.

Loše strane

: subjektivne je prirode (rezultat ovisi o kvaliteti tima koji je izrađuje), procjenatroškovnika ovisi o mjerama zaštite

21. Što su sigurnosne kopije te koje strategije izrade sigurnosnih kopija poznajete?

Sigurnosno kopiranje ili

backup

je kopiranje sadržaja promjenom materijalnog nositelja injegovim prostornim dislociranjem izvan produkcijskog okruženja

Potpuno kopiranje (

full backup

)

– metoda kojom se pohranjuju sve datoteke bez obzira na to jesu li označene za pohranu ili nisu. Pod oznakom za pohranu podrazumijevamo postavljeniatribut datoteke A (archive). Glavna prednost je u tome što je lako pronaći datoteku i vratiti juu računalni sustav jer su sve datoteke na jednom mediju. Nedostatak je što se svaki puta namedij kopiraju sve datoteke, bez obzira na to jesu li promijenjene ili ne.

Diferencijalno kopiranje

(differential backup

)

– pohranjuje nove datoteke i one datoteke kojesu označene kao nearhivirane ("spušteni archive"), odn. čiji je sadržaj promijenjen od zadnjegpotpunog kopiranja. Diferencijalni backup kopira archive i nearhivirane datoteke, te novedatoteke.

Inkrementalno kopiranje (

Incremental backup

pohranjuje nearhivirane datoteke i mijenja imatribut u archive, kako bi kod sljedećeg inkrementalnog backupiranja znao da im je sadržajmijenjan ako im je atribut nearhiviran.

22. Što su sigurnosne kopije te koje materijalne nositelje i sustave za izradu sigurnosnihkopija poznajete?

Sigurnosno kopiranje ili

backup

je kopiranje sadržaja promjenom materijalnog nositelja injegovim prostornim dislociranjem izvan produkcijskog okruženjaMATERIJALNI NOSITELJI:1)Analognia)papir b)mikrofilm2)Digitalnia)Magnetski (magnetska vrpca, magnetski disk)b)Optički (CD, DVD, BLUE RAY)c)Flash memorije

23. U koje se sve namjene u području sigurnosti može koristiti RAID tehnologija?

-u svrhu kontinuirane zaštite podataka od gubitka-

RAID1

(mirror ili identična kopija diska) – povećava pouzdanost i brzinu čitanja podataka

24. Što je to virus i od čega se on sastoji?

Virus je programski kod čija je namjera samo kopiranje bez htijenja i znanja korisnika, tedestruktivna aktivnost na sadržaju računala. Šire se preko zaraženih medija ili interneta.Računalni virus se obično sastoji od dva dijela.

•

Prvi dio je samokopirajući kod koji omogućava razmnožavanje virusa

•

Drugi dio je korisna informacija koja može biti bezopasna ili opasna.

25. Što sve podrazumijevamo pod pojmom malicioznog koda?

Maliciozni

programi su kompjutorski programi ili dijelovi programskog koda čije pokretanjedovodi do neželjenih posljedica po korisnika, odnosno njegov kompjutorski sustav, njegovepodatke ili programe ili pak do uskraćivanja mrežnih servisa i uslugaOblici malicioznog softvera su crvi, logičke bombe, trojanski konji, zamke i virusi.

26. Koje oblike malicioznog softwarea poznajete, te na koji način vršimo detekciju i uklanjanjemalicioznog softwarea?

Oblici malicioznog softvera su crvi, logičke bombe, trojanski konji, zamke i virusi. Virus je dioprogramskog koda koji je sposoban izvršiti samokopiranje (infekciju) dodavanjem novog sadržaja udruge programe ili dijelove operativnog sustavaDetekciju i uklanjanje vršimo pomoću antivirusnih alata:1.programi koji prate aktivnosti-pokušavaju presresti infekciju prije nego se dogodi, prateći sve aktivnosti koje ličeonima koje rade virusi2. scanneri-svoj rad temelje na principu potrage za ključnim dijelovima programa, odnosnoslijedom znakova koji su karakteristični za određeni virus. Prepoznaju samo viruseza koje imaju ranije definiran niz znakova. Pokreću se na zahtjev korisnika tepregledava dijelove, cijeli disk ili prenosivi medij3. integrity checker ili detektori promjena-ova vrsta zaštite temelji se na checksumu. Za savku datoteku koju je mogućezarazit virusom izračunava se veličina u bajtovima. Za takvu datoteku pretpostavlja seda je bez virusa. Takve se sume kasnije uspoređuju s ponovno izračunatimvrijednostima, u slučaju da su vrijednosti različite znači da se datoteka mijenjala. To nemora ukazivati da je posrijedi virus, ali ovaj način zaštite štiti i od najnovijih virusa zarazliku od scannera.

27. Što smatramo pod pojmom kriptografija te koja je razlika između simetrične i asimetričnekriptografijeKRIPTOGRAFIJA

– Kriptografija, odnosno kriptografke metode danas predstavljajunezamjenjivo sredstvo zaštite podataka bez obzira nalaze li se oni pohranjeni unutar memorijekompjutora, na nekom drugom mediju ilii se prenose putem kompjutorske mreže ili udaljenihkompjutorskih sustava. Cilj je takvih mreža osiguravanje tajnosti podataka kako njihov sadržajne bi došao u ruke neovlaštenim osobama.SIMETRIČNA – jednom šifrom (ključem) zaključavamo i otključavamo poruku- mana mu je da pošiljatelj i primatelj moraju imati isti ključ ASIMETRIČNA – uvijek se generira par ključeva, jednim se poruka zaključava, a drugim seotključava (javni i tajni ključ)- javni se distribuira svim pošiljateljima (s njim se poruka zaključa), a tajni jekod nas i s njim otključavamo poruku- pošiljatelj je siguran, ali primatelj ne zna ko mu šalje (to rješavamo PKI-om,certifikacijom ključa)

28. Što je digitalni potpis, te kako realiziramo digitalni potpis?

Digitalni potpis je tehnologija provjere vjerodostojnosti poruka primljenih u komunikaciji koja seodvija između udaljenih kompjutora. Takav «potpis» nalazi se u digitalnom obliku i sastavni jedio šifrirane poruke koja se šalje, a sadrži izračunati zbroj same poruke. Budući da je gotovonemoguće izmijeniti sadržaj teksta , a da zbroj ostane isti, predstavlja vrlo siguran načinprovjere vjerodostojnosti samog teksta i sigurne komunikacije. Nakon što primatelj dešifriraprimljenu poruku i digitalni potpis sam provjerava zbroj takve poruke i uspoređuje s primljenim.Svrha ove metode nije da osigura tajnost komunikacije pa se ona najčešće koristi ukombinaciji s kriptografskim metodama, uz pomoć kojih se može efikasno zaštititi sam sadržajpodataka koji se razmjenjuju.Bitno je naglasiti još da digitalni potpis potvrđuje vjerodostojnost teksta koji se šalje, odnosnoprima, ali ne i identitet osobe koja ga šalje, često se koristi u kombinaciji s digitalnimcertifikatom.

elektronički potpis

-To je skup podataka u elektroničkom obliku koji su pridruženi ili su logički povezani s drugimpodacima u elektroničkom obliku i koji služe za identifikaciju potpisnika njegova uloga jepotvrđivanje vjerodostojnosti dokumenata u elektroničkom obliku i garancija identitetapošiljatelja.elektronički potpis mora zadovoljavati i dodatne zahtjeve, a to su:- da je potpis jedinstven za korisnika koji ga koristi (ne smije postojati isti potpis za dvarazličita korisnika ili osobe)- mora biti pod isključivom kontrolom korisnika/osobe koji ga koristi (treba spriječitizlouporabu)- mora omogućiti provjeru identiteta korisnika (pomoću certifikata)- mora postojati veza između potpisa i potpisane isprave – kada se ručno potpisujeisprava, potpis je smješten fizički na dokumentu - dok je kod elektroničkog potpisapotrebno vezu uspostaviti na poseban način npr. Hash funkcijom kada je u pitanjudigitalni potpis Kriptografija javnog ključa (engl. PKI – Public Key Infrastructure) temelji se na parukomplementarnih ključeva koji obavljaju operacije enkripcije ili dekripcije, te je stoga poznata i kaoasimetrična kriptografija. Jedan ključ u paru naziva se "javnim", a drugi "tajnim" ključem. Javni ključslobodno se distribuira dok se tajni ključ čuva.

Enkripcija i dekripcija obavljaju se asimetričnim algoritmima koji su općenito definirani tako dakoriste par ključeva od kojih se bilo koji može koristiti za kriptiranje. Ako je jedan ključ iz paraupotrijebljen za kriptiranje poruke, onda se isključivo drugi ključ iz para može upotrijebiti zadekriptiranje. Uobičajeno je, međutim, da se kriptiranje obavlja javnim ključem, a dekriptiranje tajnimključem. Na taj način, svatko može kriptirati poruku korištenjem javnog ključa, ali poruku možedekriptirati i pročitati samo vlasnik tajnog ključa.Javni ključevi stoga moraju biti javno dostupni. Dodatno, korisnici javnih ključeva moraju bitisigurni da taj ključ uistinu pripada onome tko to tvrdi. U tu svrhu postoje specijalizirana tijela,povjerljive agencije (tzv. certificate authorities) koje izdaju certifikate. Povjerljiva agencija certifikatom jamči da javni ključ zaista pripada određenoj osobi.Svojstvo asimetričnih algoritama da je jednim ključem moguće obaviti enkripciju, a isključivodrugim ključem iz istog para uspješnu dekripciju iskorišteno je pri definiranju digitalnog potpisa.

29. Što je digitalna omotnica (PGP postupak) i kako se realizira?

PGP

(Pretty Good Privacy) je program (iako postoje i drugi programi koji isto rade, npr.

GnuPG

) kojivam omogućava privatnost elektroničke pošte. Riječ je o programu koji

šifrira

(enkriptira) vašupoštu tako da je nitko ne može pročitati (

dešifrirati

, dekriptirati) osim upravo osobe kojoj jenamijenjen. Tekst nakon takvog procesa šifriranja nekoj trećoj strani izgleda kao

besmisleniniz

slučajnih znakova, i takve kriptirane poruke su sposobne "izdržati" i najsloženijekriptografske analize. No, nije samo šifriranje jedina mogućnost zaštite e-maila: moguće je naproizvoljan tekst dodati i

digitalni potpis

, bez šifriranja. To se obično primjenjuje kad jesadržaj javnog tipa, ali se želi osigurati da drugi mogu provjeriti

autentičnost

takvog materijala- budući da nitko neće moći promijeniti sadržaj bez da se ista lako detektira putem digitalnogpotpisa.

•

koristi kriptografiju javnih ključeva

–

dva ključa - javni i tajni

–

javni ključ koristi se prilikom kriptiranja poruka i provjere potpisa

–

tajni ključ koristi se prilikim dekriptiranja i stvaranja potpisa

–

nije potrebna prethodna razmjena jedinstvenog tajnog ključa

30. Što je firewall i zašto je bitan?

Firewall (vatrozid) je zaštita računala koja obavlja filtriranja, analizu i provjeru paketa podatakakoji nose informacije sa i na Internet. Firewall je napravljen da bi zaštitio povjerljive korisničkepodatke od neautoriziranih korisnika blokiranjem i zabranom prometa prema pravilima kojekorisnik sam određuje.Firewall može biti

softverski

ili

hardverski

. Softverski firewall štiti jedno računalo, osim uslučaju kada je to računalo predodređeno za zaštitu čitave mreže. Hardverski firewallomogućuje zaštitu čitave mreže ili određenog broja računala. Za ispravan rad firewall-a,potrebno je precizno odrediti niz pravila koja određuju kakav promet je dopušten, a kakavzabranjen.

Firewall programi za osobna računala

Firewall koji se nalazi na osobnom računalu korisnika ima zadatak kontrole i ograničavanjapristupa računalu sa Interneta ili lokalne mreže. Njegova je uloga da na osobnom računaluomogućava pristup samo onima kojima smo to i dopustili, a svi ostali su onemogućeni i njihovipokušaji pristupa zabilježeni.Za razumijevanje rada firewall-a potrebno je poznavati dva stručna pojma, a to su IP adrese iTCP i UDP portovi.IP adresa: Sve što je povezano na Internet ima barem jednu jedinstvenu IP adresu. To možebiti adresa Vašeg računala ili routera preko kojeg je Vaša lokalna mreža spojena na Internet.Svaki paket koji putuje Internetom u sebi sadrži svoju izvorišnu i svoju odredišnu IP adresu,tako da se zna od koga je paket poslan i kome je poslan

31. Što je sigurni perimetar, te koje metode fizičke zaštite poznajete?

Sigurni perimetar je granica sigurne okoline.U programu fizičkih sigurnosti koriste se mnoga tehnička sredstva (brave, čuvari, sefovi,trezori,...). Ove mjere sigurnosti dopunjuju jedna drugu i rijetko djeluju odvojeno.

32. Koje sustave za kontrolu pristupa poznajete?

Biometrijske metode,

33. Što je biometrija i kako je koristimo za autentikaciju i identifikaciju?

Biometrija (grč. bios – život, metron – mjera) predstavlja skup automatiziranih metoda za jedinstvenoprepoznavanje ljudi temeljeno na jednoj ili većem broju njihovih fizičkih i ponašajnihkarakteristika.U informatičkoj tehnologiji se biometrijska autentikacija odnosi na tehnologije koje mjere ianaliziraju fizičke (otisci prstiju, rožnica oka, prepoznavanje lica i sl.) i ponašajne karakteristike(rukopis, tipkanje, hod i sl.) čovjeka.

34. Koje mjere sigurnosti poznajete?

Mjere: programske mjere, tehničke mjere, fizičke mjere, organizacijske mjere, mjere zaštite uoblasti prava.

35. Materijalni nositelji kao mjera povećanja otpornosti sustava!36. Što sve čini programske mjere zaštite informacijskog sustava?

Programske mjere zaštite su na razini

operacijskog sustava

i na razini korisničkih programa.Višekorisnički OS-i koordiniraju radom sustava s većim brojem korisnika. Radi odjeljivanjapodručja jednog korisnika, korisnička okolina se zaštićuje zaporkom. Ponekad se pojedinazaporka može autorizirati samo s uvjetovanih računala.Programske mjere zaštite na razini

korisničkih programa

su sigurnosna pohrana podataka,zaštita od malicioznog softvera i sustavi kriptozaštite.

37. Koje su tehničke mjere sigurnosti?

1.Protupožarni detektor – služe za automatsko aktiviranje raspršivača vode ili sustava zaprimjenu plinova, mogu biti detektori topline i detektori dima2.Detektori prekida strujnog kruga – štite prostore od neautoriziranog pristupa3.Laseri i senzori – koriste ultraljubičasti ili infracrveno svjetlo čije su frekvencije iznad ili ispodvidljivog spektra4.Unutrašnja televizija i kamera – postavljaju se na važnim mjestima i prenose sliku do kontrolneploče s čuvarima5.Detektori zvuka i vibracije – služe za otkrivanje zvukova u nekom području u vrijeme kada oninisu uobičajeni, zato se koriste vrlo osjetljivi mikrofoni

38. Koje su fizičke mjere sigurnosti IS?

39. Što podrazumijevamo pod organizacijskim mjerama sigurnosti IS?

Organizacijske mjere zaštite su mjere koje poduzima organizacija da bi osigurala željenurazinu funkcionalnosti sustava i integriteta podataka u uvjetima djelovanja pretpostavljenihoblika prijetnji.Oblici provedbe su:1. Upravljanje računalnom mrežom poslovnih sustava2. Kontrola pristupa djelovima sustava3. Tehnike razvoja sustava4. Planiranje nastavljenja poslovanja nakon nastupanja incidentne situacije5. Postojanje više alternativnih sigurnosnih procedura za isti problem6. nadzor i kontrola

40. Navedite barem 4 klasa norme ISO 27002 i objasnite jednu po izboru!

Procjena i obrada rizika ;Politika sigurnosti ;Organizacija informacijske sigurnosti;Upravljanje imovinomSigurnost ljudskog potencijala;Fizička sigurnost i sigurnost okruženja;Upravljanje komunikacijama i operacijama;Kontrola pristupa;Nabava, razvoj i održavanje informacijskih sustava;Upravljanje sigurnosnim incidentom;Upravljanje kontinuitetom poslovanja;Sukladnost.

Procjena i obrada rizika

predstavlja uvodnu klauzulu koja nas uvodi u normu predstavljanjemrizika, njegove procjene i obrade. Klauzula se sastoji od dvije glavne sigurnosne kategorije:Procjenjivanje sigurnosnih rizika i Obrada sigurnosnih rizika. Procjenjivanje rizika uključujeprepoznavanje, kvantificiranje i razvrstavanje rizika po prioritetima. Može se primijeniti višeputa da bi se obuhvatili različiti dijelovi organizacije ili pojedinačni informacijski sustavi. Sadržianalizu rizika i vrednovanje rizika.

Prije nego što se krene na obradu rizika, organizacija treba odrediti kriterij za određivanjeprihvatljivosti rizika. Rizik se može prihvatiti ukoliko je procijenjeno da je mali ili da trošakobrade nije isplativ za organizaciju. Neki od načina obrade rizika su: primjena odgovarajućihkontrola za smanjenje rizika, svjesno prihvaćanje rizika, izbjegavanje rizika na način da se nedozvoljavaju akcije koje bi izazvale rizik i prijenos rizika na druge strane (osiguravatelji ilidobavljači)

41. Što sve smatramo pod pojmom „politika sigurnosti“IS

Politika informacijske sigurnosti u kompaniji je dokument kojim kompanija izražava odlučnost ispremnost zaštite cjelokupne informacijske imovine u pogledu njezinog

integriteta

povjerljivosti

raspoloživosti

, te pravnih i poslovnih interesa organizacije.Načela Politika informacijske sigurnosti u kompaniji provodit će se kroz aktivnosti vezane zasigurnost (politike, standarde, pravilnike, postupke, upute, obrasce) kao i proces kontrole njihoveprimjene na svim razinama kompanije

42. Što su kontrole u okviru normi ISO 27002?43. Zašto je danas potrebna informacijska sigurnost?

Pošto se funkcionalnost poslovnih sustava sve više oslanja na informacijsku potporu, ta velikaovisnost o podacima, informacijama i komunikaciji traži odgovarajuću razinu osiguranja temeljnihpretpostavki organizacijskog djelovanja sustava. U tome leži temeljeni razlog potrebe izgradnjesustava sigurnosti informacijskog sustava čija funkcionalnost ovisi o integritetu informacijskogsadržaja, njegovoj točnosti, nepromjenjivosti upisanog sadržaja, ali i stalnoj dostupnosti. Zato jepotrebno izgraditi sustav sigurnosti koji će odgovoriti na sve postavljene zahtjeve, a istovremenoneće biti prepreka primjeni u pretpostavljenim uvjetima.

44. Koje su obveze uprave prema informacijskoj sigurnosti

Obveze uprave su često kritičan faktor. Uprava mora brinuti o:• donošenju sigurnosne politike,• ostvarenju sigurnosnih planova i ciljeva,• dodjeljivanju uloga (engl. roles) i obveza,• komunikaciji o važnosti informacijske sigurnosti,• odlučivanju o razini prihvatljivog rizika,• ispitivanju upravljanja.Uprava treba :• osigurati uspostavu, implementaciju i održavanje ISMS-a,• osigurati poboljšanje efektivnosti ISMS-a,• osigurati da procedure ISMS-a ispunjavaju sigurnosne zahtjeve,• osigurati da se ispoštuju zakonske, propisne i ugovorne obveze,• osigurati adekvatnu sigurnosnu razinu primjenom sigurnosnih kontrola,• brinuti o rezultatima ispitivanja sustava, te poduzimanju odgovarajućih mjera u skladu s rezultatimaispitivanja.Uprava mora upravljati ispitivanjem ISMS-a. Rezultati ispitivanja ISMS-a daju odgovor na pitanje oadekvatnosti i efektivnosti sustava. Ulazne informacije pri ispitivanju sustava su obavljeni pregledisustava, poduzete korektivne i preventivne mjere, preporuke za poboljšanje sustava, te novetehnologije i procedure. Rezultati ispitivanja ISMS-a su napravljene korekcije i poboljšanja, tepribavljeni resursi, ukoliko su bili potrebni. Kontinuirani napori pri poboljšanju sustava (čak i ako nemanovih zahtjeva) su ključ uspjeha sustava upravljanja.

45. Što je to sporazumi o povjerljivosti i s kim se sve mora potpisati?

Sporazumi o povjerljivosti ili o neotkrivanju podataka koriste se kako bi se dalo do znanja da jeneka informacija povjerljiva ili tajna. Uposlenici bi trebali potpisati takav sporazum kao dio ugovora oradu.Povremeno osoblje i korisnici s treće strane koji nisu obuhvaćeni takvim ugovorom, morajupotpisati sporazum o povjerljivosti prije nego što dobiju pristup računalnoj tehnologiji.Sporazume o povjerljivosti treba pregledavati kada nastupe promjene u uvjetimazapošljavanja ili sklapanja ugovora, naročito kada radnici napuštaju organizaciju ili kada ugovoriističu

46. Kada i zašto se mora provoditi nezavisna provjera informacijske sigurnosti?47. Što sve čini rizike koji se odnose na vanjske suradnike?

Iako mnoge kompanije imaju svoje interno odjeljenje za održavanje opreme, postoje situacijekada se pristup sustavu mora dopustiti osobama iz drugih tvrtki zbog servisiranja, održavanja,konzultacija ili obuke. Bitno je da u tom slučaju u ugovorima s vanjskim tvrtkama donesemoodredbe kojima se vanjski partneri obvezuju na poštivanje sigurnosnih pravila. Ako se podacimogu klasificirati kao tajna, potrebno ih je privremeno ukloniti sa sustava prije nego osobljekoje nije zaposleno u kompaniji dobije pristup sustavu za obavljanje posla.

Ukoliko se pokaže potreba za suradnjom s osobama koje nisu zaposlenici ustanove, administrator jedužan poduzeti sve potrebne mjere sigurnosti kako bi informacijski sustav ostao zaštićen.Ovisno o vrsti suradnje, administrator je dužan:

•

Administrator prije suradnje mora provjeriti da li su potencijalni suradnici, tj. firma koju onipredstavljaju, imali u prošlosti incidente vezane za sigurnost informacijskih sustava

•

Ukoliko se sklopi ugovor o suradnji, u ugovoru mora biti jasno definirano tko je odgovoran za bilokakvu štetu počinjenu radom suradnika

•

U ugovoru također mora biti jasno definirano koje ovlasti imaju suradnici, tj. što smiju, a što nesmiju raditi

•

U ugovoru mora biti definirano na koji način će suradnici podmiriti eventualno nastalu štetu

•

Administrator je dužan voditi bilješke o tome tko je i kada imao pristup informacijskom sustavu

•

Administrator je dužan provjeravati da li suradnici poštuju svoje ovlasti, tj. da li obavljaju radnjekoje nisu ugovorene

48. Što je to vlasnik informacijske imovine i kako ga definirati?

Vlasnik je odgovorna osoba koja se mora ponašati prema opremi na propisani način

49. Kako se osigurava sigurnost ljudskog potencijala?

Potencijalne uposlenike treba pažljivo provjeriti (stavak 6.1.2), naročito ako kandidiraju zaosjetljive poslove. Svi radnici i treće stranke koje koriste informatičku opremu trebaju potpisatisporazum o čuvanju povjerljivosti informacija.

Provjeru stalnog osoblja

treba načiniti već kod prijave za posao. U taj postupak trebauključiti sljedeće kontrole:a)dostupnost zadovoljavajućih preporuka, poslovnih i osobnihb)provjera (zbog potpunosti i točnosti) životopisa kandidatac)potvrda stečenih akademskih i profesionalnih kvalifikacijad)neovisna provjera identiteta (putovnica ili sličan dokument) Organizacija treba istražiti i kreditnu sposobnost kandidata, ukoliko posao za kojeg sekandidira uključuje pristup računalnoj tehnologiji pomoću koje se rukuje osjetljivim informacijama. Tuvrstu provjere treba za osoblje na visokim pozicijama ponavljati u određenim razmacima

Sporazumi o povjerljivosti

ili o neotkrivanju podataka koriste se kako bi se dalo do znanja da je neka informacija povjerljiva ili tajna. Uposlenici bi trebali potpisati takav sporazum kao dio ugovorao radu

U ugovoru o radu

treba biti naznačena odgovornost radnika za sigurnost informacija. Gdje jeprikladno i potrebno, te odgovornosti moraju vrijediti i neko vrijem nakon završetka ugovora o radu.Potrebno je navesti akcije koje će se poduzeti ako radnik zanemari sigurnosne zahtjeve

50. Kako definirati granice fizičkog sigurnosnog prostora?

Fizička zaštita se može ostvariti stvaranjem nekoliko fizičkih barijera oko poslovnog prostora i jedinica za obradu informacija. Poslovni sustavi trebaju koristiti područja fizičke sigurnosti kako bizaštitili područja koja sadrže računalnu tehnologiju (stavak 7.1.3).Potrebno je razmotriti slijedeće smjernice i kontrolne mehanizme, te ih implementiratiprema potrebi:a)područje fizičke sigurnosti treba biti jasno definiranob)područje fizičke sigurnosti zgrade mora biti čvrsto i kontinuirano, tj. bez prekida ubarijeri, gdje su moguće lake provale (npr. kontrolnim mehanizmima, rešetkama,alarmima, bravama, …).c)potrebno je imati područje recepcije ili neki drugi način fizičke kontrole pristupa zgradi.Pristup zgradama i lokacijama treba biti ograničen samo na ovlaštene osobe.d)fizičke barijere se trebaju, u slučajne potrebe, protezati od poda do stropa, kako bi sespriječilo neovlašteno ulaženje i kontaminacija iz okoline, kao u slučaju požara ilipoplavee)sva požarna vrata u području fizičke sigurnosti moraju biti opremljena alarmima i morajuse čvrsto zatvarati

51. Na koje se sve načine može ostvariti kontrole fizičkog pristupa?

Fizička zaštita podatkovnog sadržaja obuhvaća zaštitu računalne opreme, programa i datoteka oduništenja, neovlaštenog mijenjanja sadržaja, požara, poplave, potresa, eksplozije, krađe i divljaštva islično...U programu fizičkih sigurnosti koriste se mnoga tehnička sredstva (brave, čuvari, sefovi, trezori,...).Ove mjere sigurnosti dopunjuju jedna drugu i rijetko djeluju odvojeno.Iz područja građevinarstva moguće je napraviti 3 sloja fizičke zaštite:1.građevinske prepreke kao što su zid ili ograde2.zidovi, prozori i vrata same građevine3.odgovarajuće vitrine i trezori u koje se odlažu potrebni sadržaji ili materijalni nositelji

Kod kontrole fizičkog pristupa

radi se o zaštiti sigurnosnih područja pomoću kontrola ulaza kojeosiguravaju pristup samo ovlaštenim osobama.Potrebno je razmotriti sljedeće smjernice:1.potrebno je zapisati datum i vrijeme ulaza i odlaska posjetitelja i nadzirati sve posjetitelje,potrebno je dozvoliti pristup samo za ovlaštene namjene;2.pristup područjima u kojima se pohranjuju osjetljive informacije treba ograničiti samo naovlaštene osobe i kontrolirati ih putem kontrolne kartice i PIN-a;

3.svi zaposlenici i posjetitelji trebaju nositi neki oblik vidljive identifikacije;4.prava na pristup treba sigurnosnim područjima trebaju se redovito provjeravati i obnavljatiitd. [Međunarodna norma ISO/IEC 17799, str. 33]

52. Kako odabrati i osigurati smještaj opreme?

Računalni centar se može zaštititi tako da se učini što nepristupačnijim. Prostorija s ključnomopremom treba imati samo jedan ulaz koji mora biti zaključan i nadziran. Izlaz u nuždi trebamoći otvoriti samo iznutra i treba uvijek biti zatvoren. Također treba nadzirati i otvore sustavaza klimatizaciju,, te je potrebno udvostručiti vodove električne energije i komunikacije.Računala trebaju biti smještena na prvom katu zbog poplave ili eksplozija koje mogu pasti nakrov, te mora biti smješten u središnjoj prostoriji koja nema vanjskih zidova, već je okruženanpr. Uredima.

53. Kako ostvariti sigurno odbacivanje ili ponovno korištenje opreme?

Jedinice za pohranu koje sadrže osjetljive informacije treba ili fizički uništiti ili na siguran načinobrisati postojeće informacije, a ne koristiti standardne funkcije za brisanje. Sve dijelove opreme koji sadrže medije za pohranu (poput tvrdih diskova) treba provjeriti kakobi se osiguralo da se prije rashodovanja uklonilo sve osjetljive informacije i sav licencirani softver.Prilikom oštećenja uređaja za pohranu podataka s osjetljivim podacima treba kroz procjenu rizikaodrediti da li će se uređaj uništiti, popraviti ili odbaciti.

54. Koje su mjere kontrole za zaštitu od zloćudnog koda?

Zaštita od malicioznog softvera se treba temeljiti na sigurnosnoj svijesti, te na prikladnimkontrolama za pristup sustavu i upravljanje promjenama. Potrebno je razmotriti slijedeće kontrolnemehanizme:a) formalna politika koja zahtijeva poštivanje softverskih licenci i zabranjuje uporabuneovlaštenog softvera (stavak 12.1.2.2)b) formalna politika za zaštitu od rizika (uključujući i zaštitne mjere koje treba poduzeti)povezanih sa pribavljanjem datoteka i softvera od ili preko vanjskih mreža, ili bilo kojegdrugog medija (stavak 10.5, posebno 10.5.4 i 10.5.5)c)instalacija i redovita nadogradnja antivirusnih softvera za detekciju i popravak, radipregleda računala i medija – bilo kao mjera predostrožnosti, bilo kao dio svakodnevnerutined) provođenje redovitih pregleda softvera i podatkovnih sadržaja u sustavima za podrškukritičnim poslovnim procesima. Prisutnost bilo koje neodobrene datoteke ili bilo kojegneodobrenog dodatka treba formalno istražiti.e) provjera svih datoteka prije korištenja radi virusa na elektroničkim medijima sanepoznatim ili neovlaštenim izvorom, ili datoteka primljenih preko nesigurnih mrežaf) pregled svih pridodanih datoteka elektroničkoj pošti i svih datoteka skinutih sa mrežaprije korištenja, radi provjere malicioznog softvera. Te provjere se mogu obavljati narazličitim mjestima, npr. na serverima za elektroničku poštu, stolnim računalima ili naulasku u organizacijsku mrežug) postupci upravljanja i odgovornosti za zaštitu od virusa u sustavima, treniranjekorištenja, izvješćivanje i oporavak od napada virusa (stavci 6.3 i 8.1.3)

h) prikladni planovi poslovnog kontinuiteta za oporavak od napada virusa, uključujući savpotrebni backup podataka i softvera, te sporazume o oporavku (članak 11)i) postupci za provjeru svih informacija vezanih uz maliciozni softver, te za osiguravanjeda su obavijesti o upozorenjima točne i informativne. Manageri trebaju osigurati da seza razlikovanje obmana i stvarnih virusa koriste kvalificirani izvori, poput uglednihčasopisa, pouzdanih Internet stranica ili dobavljača antivirusnog softvera. Osoblje trebabiti svjesno problema postojanja obmana i lažnih opasnosti, te mora znati kako reagiratiu takvim situacijama

55. Koje su smjernice norme ISO27002 u odnosu na elektroničku trgovinu?

Potrebno je osigurati sigurno

on-line

poslovanje i korištenje elektroničkih povezanih usluga. Potrebno je zaštititi informacije uključene u elektroničku trgovinu preko javnih mreža od prijevara, osporavanjaugovora, neovlaštenog otkrivanja i promjene. Aktivnosti elektroničke trgovine između partnera trebajubiti podržane dokumentiranim sporazumom koji obvezuje obje strane na dogovorene uvjete prodaje.Elektronička trgovina može koristiti sigurne načine provjere vjerodostojnosti, npr. kriptografija javnimključem i digitalni potpisi kako bi se smanjili rizici.

56. Koje su smjernice norme on-line transakcije?

Važno je i zaštititi informacije u on - line transakcijama da bi se spriječio nekompletan prijenos,pogrešno usmjeravanje, neovlaštene promjene informacija itd. Također je potrebno osiguraticjelovitost informacija dostupnih na javno dostupnom mjestu radi sprečavanja neovlaštene promjene.

57. Koje su politika kontrole pristupa?

Kako bi se spriječila bilo koja od mogućih štetnih radnji korisnika važno je osigurati da korisnikima samo određene funkcije nad određenim podacima. U skladu sa svojim potrebama zaobavljanje posla, korisnik dobiva prava od administratora informacijskog sustava na korištenjesamo određenih podataka. Također mu se nad određenim podacima definiraju procedure kojesmije koristiti (npr. korisnik smije pregledavati samo svoje podatke, zaposlenik kompanijesmije čitati (ali ne i mijenjati odnosno brisati) samo one zapise koje je sam kreirao). Naravnoda ovako restriktivne mjere nisu potrebne u svim kompanijama, ali u onima gdje jepovjerljivost, integritet i dostupnost podataka presudna za poslovanje, svakako supreporučljive.Budući se ovo pravilo sigurnosne politike ne odnosi na korisnike sustava, već naadministratore, može biti stručno i vrlo detaljno opisano tko sve i na koji način smije imatipristup podacima.

58. Kako se provodi upravljanje korisničkim zaporkama?

Sustav mora definirati kakvog oblika moraju biti lozinke (npr. određivanjem minimalne duljine lozinke,zatim da lozinka sadrži neki od posebnih znakova itd.). U nastojanju da se što više oteža otkrivanjelozinki, korisnici se moraju držati sljedećih pravila:



Za lozinku se ne smije koristiti riječ iz rječnika. Sve takve riječi lako je pogoditi. Također semoraju izbjegavati imena, riječi iz drugih jezika itd.



Za lozinku zabranjeno je koristiti imena iz obitelji, prijatelja, datuma obljetnica (npr. rođendani),telefonski brojevi, registracije automobila...



Treba koristiti i velika i mala slova na operacijskim sustavima koja su na njih osjetljiva (Unix,Linux)



U lozinkama umjesto nekih slova treba koristiti i brojeve. Primjer: umjesto i – 1, umjesto E – 3itd.



Po mogućnosti uvrstiti simbole poput %,&,#,?,+



Lozinku izvesti iz nečeg lako pamtljivog! Nije dobro koristiti lozinku tipa „ht5Ioa9&s2“ jer ju jeteško zapamtiti i nužno ju je negdje napisati. Zato je potrebno odrediti lozinku u obliku nečegpamtljivog, s tim da ju „kriptiramo“. Primjer: Odabere se hint

automobil

koji potom „kriptiramo“ u

Aut0mOb1&

i to koristimo za lozinku.



Nikad se nikome ne smije reći lozinka niti se smije dopustiti ikome da se prijavi s našomlozinkom na sustav.Na korisnicima je također obaveza provoditi potrebne promjene lozinki jednom u određenomvremenskom razdoblju. Gdje je moguće, korisnici će automatski biti obaviješteni o potrebi promjenelozinke. Operacijski sustav potrebno je podesiti tako da ne dopušta mijenjanje samo jednog znakaunutar lozinke ili da za lozinku odredimo lozinku koja je već korištena na sustavu.

59. Što su politike praznog stola i praznog zaslona?

Potrebno je razmotriti slijedeće kontrolne mehanizme:

a)ako je moguće, papiri i računalni mediji trebaju biti pohranjeni u ormarićima na zaključavanjekada se ne koriste, a naročito nakon radnog vremena

b)kada nisu potrebne, osjetljive i kritične poslovne informacije trebaju biti pod ključem (idealno ��u vatro otpornom sefu ili ormaru), naročito kada su uredi prazni

c)osobna računala, terminali i pisači ne smiju ostati prijavljeni u sustav, ako nisu pod nadzorom,a kada nisu u uporabi, trebaju biti zaštićeni kroz mehanizme zaključavanja, lozinke ili drugekontrole

d)potrebno je zaštititi nenadzirane uređaje za faks i teleks, te mjesta za prijem i slanje pošte

e)uređaji za fotokopiranje trebaju biti zaključani (ili na neki drugi način zaštićeni od neovlaštenogkorištenja) izvan uobičajenog radnog vremena

f)osjetljive ili povjerljive informacije treba pokupiti iz pisača odmah po ispisu

60. Koje su politike uporabe kriptografskih kontrola?

Organizacija treba razviti politiku o korištenju kriptografskih kontrola za zaštitu svojihinformacija. Takva je politika potrebna zbog maksimizacije koristi i minimizacije rizika korištenjakriptografskih tehnika, te zbog izbjegavanja neprikladne i pogrešne uporabe iste. Prilikom razvojapolitike treba razmotriti slijedeće:a) managerski pristup prema korištenju kriptografskih kontrola kroz cijelu organizaciju,uključujući opće principe za zaštitu poslovnih informacijab) pristup upravljanju ključevima, uključujući metode za postupanje pri oporavku enkriptiranihinformacija u slučaju gubitka, oštećenja ili kompromitacije ključevac) uloge i odgovornosti, npr. tko je odgovoran za:1) implementaciju politike2) upravljanje ključevima3) određivanje prikladne razine kriptografske zaštited)standarde za efektivnu implementaciju kroz cijelu organizaciju (koje se rješenje koristiza koji poslovni proces)

61. Kako se ostvaruje upravljanje ključevima?

Sustav upravljanja ključevima treba se temeljiti na dogovorenom skupu standarda, procedura isigurnosnih metoda za:a) generiranje ključeva za različite sustave i aplikacijeb) generiranje i pribavljanje certifikata za javne ključevec) distribuciju ključeva korisnicima, uključujući i kako se ključevi moraju aktivirati po primitkud) pohranu ključeva, uključujući i to kako ovlašteni korisnici pribavljaju ključevee) promjene i nadogradnje ključeva, uključujući pravila o tome kada i kako treba mijenjatiključevef) postupanje sa kompromitiranim ključevimag) opozivanje ključeva, uključujući i kako ih se mora povući i deaktivirati, npr. kada postanukompromitirani ili kada korisnik napusti organizaciju (tada ključ treba biti i arhiviran)h) oporavak ključeva koji su izgubljeni ili oštećeni, i to kao dio planova poslovnog kontinuiteta(npr. dijela koji se odnosi na oporavak enkriptiranih informacija)i) arhiviranje ključeva, npr. za arhivirane ili backupirane informacije j) uništavanje ključevak) bilježenje i nadziranje aktivnosti upravljanja ključevima Kako bi se smanjila vjerojatnost kompromitacije, ključevi moraju imati određene datumeaktivacije i deaktivacije, tako da se mogu koristiti samo kroz određeno vremensko razdoblje. Torazdoblje treba ovisiti o okolnostima pod kojima se kriptografske kontrole koriste i o percipiranimrizicima. Pored problema sigurnosnog upravljanja tajnim i privatnim ključevima, potrebno je razmotriti izaštitu javnih ključeva. Postoji prijetnja da netko krivotvori digitalni potpis uz pomoć zamjenekorisnikovog javnog ključa svojim javnim ključem. Taj problem se rješava korištenjem certifikata za javni ključ. Ovaj proces se najčešće obavlja od strane certifikacijskog tijela, koje mora biti poznataorganizacija, koja koristi prikladne kontrole i postupke kojima može dokazati traženu razinupovjerenja.

62. Procedure za kontrolu promjene elemenata IS!

Kako bi se minimiziralo oštećivanje informacijskih sustava, moraju postojati strogekontrole nad implementacijom promjena. Moraju se nametati formalne procedure za kontrolupromjena. One moraju osigurati da sigurnost i kontrolne procedure neće biti kompromitirane, daprogrameri koji pružaju podršku imaju pristup do samo onih dijelova sustava koji su im potrebni uposlu, te da se pribavlja formalno odobrenje za svaku promjenu. Promjene u aplikacijskom softverumogu ostaviti posljedice na cjelokupnom operativnom okruženju. Gdje god je praktično, potrebno jeintegrirati aplikacije i procedure za kontrolu operativnih promjena (stavak 8.1.2). Taj proces morauključiti slijedeće:a) održavanje popisa dogovorenih razina ovlaštenjab) osiguravanja da su promjene dostavljene ovlaštenim korisnicimac) pregledavanje kontrola i procedura integriteta, kako bi se osiguralo da neće bitikompromitirane promjenamad) identifikacija svog računalnog softvera, informacija, entiteta u bazama podataka i svoghardvera, koji zahtijevaju izmjenee) pribavljanje formalnog odobrenja detaljnih prijedloga prije nego što se započne s radom napromjenamaf) prije implementacije osigurati da ovlašteni korisnici prihvaćaju promjeneg) osigurati provođenje implementacije tako da se poslovanje minimalno prekineh) osiguravanje da je sistemska dokumentacija ažurirana nakon završetka svake promjene, teda je stara dokumentacija arhivirana ili odbačenai) održavanje kontrole verzija za svaku nadogradnju softvera

j) održavanje nadzornog traga za sve zahtjeve za promjenamak) osiguravanje da se operativna dokumentacija (stavak 8.1.1) i korisničke procedurepromijene prema potrebil) osiguranje da implementacija promjena nastupi u pravo vrijeme i da ne ometa uključeniposlovni proces

63. Kako organizirati izvješćivanje o sigurnosnim događajima i slabostima?

Kroz odgovarajuće kanale upravljanja potrebno je što prije izvijestiti o sigurnosnim događajima(gubitak usluge, ljudske greške, nepravilnosti u radu hardvera ili softvera i sl.). Svi zaposlenici trebajuzabilježiti i izvijestiti o svakoj uočenoj sigurnosnoj slabosti u sustavima ili uslugama. [Međunarodnanorma ISO/IEC 17799, str. 87] U tu svrhu potrebno je utvrditi odgovornosti uprave i procedure za brzi učinkovit odgovor na sigurnosne incidente

64. Kako ostvariti upravljanje sigurnosnim incidentima i poboljšanjima?

Kako bi se postigla imunost sustava na napade, važno je definirati načine postupanja u slučajuprobijanja zaštite i napada na sustav. Dva su osnovna postupka u kontroliranju incidenata:1.Vođenje dnevnika (evidencije) pristupa sustavu2.Definiranje pravila opravka sustava u slučaju napada

65. Kako se ostvaruje prikupljanje dokaza o sigurnosnom incidentu?66. Što je to kontinuitet poslovanja i procjena rizika u odnosu na ostvarivanje kontinuitetaposlovanja?

Naime, informacijska sigurnost se brine o povjerljivosti, integritetu i dostupnosti (raspoloživosti)informacija u nekoj organizaciji. Međutim, i

kontinuitet poslovanja

se u prvom redu brine dasu informacije dostupne onima koji ih trebaju – naime, suština kontinuiteta poslovanja jest daosigurava kontinuitet ključnih poslovnih procesa u nekoj organizaciji. Kako se svaki poslovniproces bazira na protoku informacija, tako je fokus kontinuiteta poslovanja na dostupnosti,odnosno očuvanju i oporavku vitalnih poslovnih informacija.

67. Što podrazumijevamo pod pojmom sukladnost sa zakonskim propisima?

Izbjegavanje kršenja kaznenih i civilnih zakona, statutarnih, običajnih ili ugovornih obveza isigurnosnih zahtjeva. Dizajn, operacionalizacija i korištenje informacijskih sustava mogu biti podložni statutarnim,običajnim ili ugovornim sigurnosnim zahtjevima.Potrebno je, od strane pravnih savjetnika organizacije ili kvalificiranih pravnika, potražiti savjeto specifičnim pravnim zahtjevima. Zakonske obveze variraju od zemlje od zemlje

68. Što je to penetracijsko testiranje sustava?

Penetracijsko testiranje je jedna od metoda evaluacije sigurnosti računalnih sustavasimulirajući napad zlonamjernog korisnika (hakera). Proces uključuje aktivnu i detaljnu analizuračunalnih sustava u potrazi za mogućim propustima u dizajnu, implementaciji i održavanju. Sviotkriveni propusti se na kraju testiranja navode u Izvještaju, uz ocjenu vjerojatnosti i mogućihposljedica, te prijedlozima za smanjivanje rizika. Nakon prezentacije Izvještaja ćemo odgovoriti navaša pitanja, te zajedno sa vašim IT stručnjacima osmisliti strategiju unapređenja sigurnosti.

69. Što je SSL i zašto nam je potreban?

SSL (

Secure Sockets Layer

) je tehnologija za kreiranje šifrirane veze između web servera i browsera.Na taj način zaštićuju se podaci koji se prenose između browsera i web servera. SSL se najčešćekoristi kod

on-line trgov

ina kako bi se zaštitio prijenos podataka o kreditnim karticama i slično. Dabiste mogli koristiti tu tehnologiju na vašem web stranici potreban vam je SSL certifikat.Prenose se nezaštićeni podaci kroz zaštićene komunikacijske kanale. Upravo to radi SSL protokol.Zaštitu ostvaruje snažnim šifriranjem, a za identifikaciju koristi poznatu tehniku: sustav javnih ključeva(

Public Key Criptography

).Prilikom stvaranja SSL-a postavljeni su sljedeći ciljevi (po prioritetima):1. Kriptografska zaštita (

Criptographic Security

). SSL ostvaruje zaštitu podataka za ostvarenjesigurne veze između dva sudionika u komunikaciji.2. Neovisnost o softveru i hardveru (

Interoperability

). Omogućiti programerima stvaranje softvera kojiimplementira SSL tako da dva različita softvera mogu razmijeniti parametre šifriranja, bezmeđusobnog poznavanja kôda.3. Proširivost (

Extensibility

). Kreirati okvir unutar kojeg se mogu uklopiti nove metode šifriranja javnimi simetričnim ključem ukoliko se se za to pojavi potreba. Time se istovremeno ostvaruju dva podcilja:

•

sprečava potrebu za stvaranjem novih protokola (uz rizik njihovih mogućih nedostataka)

•

sprečava potrebu implementacije potpuno novih metoda šifriranja4. Relativna efikasnost (

Relative efficiency

). Šifriranje zna biti vrlo zahtjevno za procesor računala, posebno kada se koristi asimetrično šifriranje. Zbog toga SSL pamti (

cache

)komunikacijske parametre ostvarenih veza kako bi smanjio broj veza koje mora ispočetka stvarati,čime ujedno manje opterećuje mrežu.

70. Koji su zahtjevi vezani uz sigurnost radne stanice na razini operacijskog sustava

71. Što je Phishing? Kako možemo otkriti Phishing?

Phishing je jedan od oblika prijevare koji podrazumijeva skup aktivnosti kojima neovlaštenikorisnici korištenjem lažnih poruka elektroničke pošte i lažnih web stranica većinom financijskihorganizacija pokušavaju korisnika navesti na otkrivanje povjerljivih osobnih podataka kao što suJMBG, korisnička imena i zaporke, PIN brojevi, brojevi kreditnih kartica i sl. Nažalost velik brojkorisnika nije upoznat s ovim tipom prijevare. Jednom kad dođu do ovih informacija, zlonamjernikorisnici se ili sami njima koriste ili ih prodaju kako bi došli do podataka o drugim osobama.Elektroničke poruke se obično oslanjaju na lažna web odredišta koja izgledom sasvim odgovarajuweb odredištima legitimnih tvrtki.

Najčešći oblici phishinga

U najčešće primjere phishinga spadaju:

•

Lažna upozorenja banaka ili drugih financijskih organizacija u kojima se od korisnika tražiupisivanje osobnih podataka kako u suprotnom ne bi došlo do ukidanja računa.

•

Prijevare sa aukcijskim web stranicama (eBay), u kojima se korisnika nagovora na uplatuodređene novčane svote kako bi se kupio neki proizvod, čime korisnik zapravo, misleći dakupuje proizvod, vrši uplatu na lažni račun.

•

Lažne poruke od administratora u kojima se traže korisnički podaci kao što su lozinke.

•

Razne obavijesti u kojima se pokušava iznuditi novac za lažne dobrotvorne akcije.

•

Poruke u kojima se korisnika pokušava namamiti da uplati određenu svotu novaca na lažniračun (npr. poruka o drastičnom smanjenju cijene nekog proizvoda kojeg se može kupiti samona Internetu).

•

Poruke koje se pozivaju na sigurnost i zahtijevaju od korisnika otkrivanje osobnih informacija(korisnički račun, lozinku itd.) ili zahtijevaju instalaciju programa za kojeg se tvrdi da je zakrpaza pronađeni sigurnosni propust

•

Poruke koje vas obavještavaju da ste dobili na lutriji i da trebaju Vaše osobne podatke kako bimogli podići dobitak

Kako prepoznati phishing poruku?

Prevaranti često kopiraju vizualni izgled pravih e-mail poruka banaka i drugih kompanija. U posljednjevrijeme lažne poruke su u potpunosti identične s originalnima, međutim postoje određeni detalji kojiodaju prijevaru:

•

pravopisne i gramatičke pogreške u poruci

•

zahtijevaju se osobni podaci

•

zahtijeva se instalacija programa za kojeg se tvrdida je zakrpa za pronađeni sigurnosni propust

•

lažni linkovi u poruci

•

nekorištenje SSL i digitalnih certifikata

•

tijelo poruke je zapravo HTML obrazac

•

nerealna obećanja

•

pogreške u zaglavlju elektroničke poruke

•

poruke zahtijevaju hitan odgovor

•

poruke ne glase na određenu osobu

72. Što je DDoS, te kako se štitimo od njega?DoS

dolazi od

Denial of Service

, odnosno napad uskraćivanjem usluga. Radi se o vrstinapada u kojem se obično namjernim generiranjem velike količine mrežnog prometa nastoji zagušitimrežna oprema i poslužitelji. Isti postaju toliko opterećeni da više nisu u stanju procesirati legitimnipromet što na kraju ima za posljedicu da legitimni korisnici ne mogu koristiti mrežne usluge poputmaila weba i sl.

DDoS d

olazi od

Distributed Denial of Service

, a radi se o obliku napadauskraćivanjem usluga u kojem su izvori zagušujućeg mrežnog prometa distribuirani na više mjesta poInternetu. Najčešće se radi o računalima na koja je prethodno provaljeno kako bi ih se iskoristilo zanapad na druge mreže ili računala na Internetu.

73. Što je LDAP i zašto je bitanLDAP

(Lightweight Directory Access Protocol) je standard na Internetu koji klijentu(engl.

client

) ili radnoj stanici (engl.

workstation

), preko TCP/IP mreže, omogućujepregledavanje i uporabu adrese elektroničke pošte (engl.

e-mail

) na LDAP poslužitelju (engl.

server

). On je jednostavnija inačica X.500 protokola za pristup direktoriju u modelu zapovezivanje otvorenih sustava.Zahvaljujući jednostavnosti, fleksibilnosti i praktičnosti omogućava izradu brzih i točnih informacijskihservisa. LDAP pruža mogućnost registriranja klijenta, ili dokazivanja identiteta čime se može potpunoili djelomično pristupiti podacima, ili brani pristup podacima

74. Zašto nam je potrebna računalna forenzika, te koji su glavni postupci prilikom forenzičkograda?

Za podršku akcijama protiv osoba ili organizacija je nužno imati odgovarajuće dokaze. Uslučaju internih disciplinskih postupaka dokazi će biti opisani internim procedurama. U slučaju da akcija uključuje zakonske mjere, bilo prekršajne bilo krivične, tada prezentiranidokazi trebaju biti usklađeni sa pravilima za prikupljanje dokaza, određenima kroz relevantne zakoneili pravilima suda kod kojeg se provodi postupak. Ta pravila općenito uključuju:a) prihvatljivost dokaza – da li ili ne dokaz može biti korišten na sudub) težinu dokaza – kvalitetu i potpunost dokazac)adekvatne dokaze da su kontrole provođene korektno i konzistentno (tj. dokazi oprocesu kontrole) kroz razdoblje u kojem su dokazi bili pohranjivani i obrađivani od strane sustava

Kvaliteta i potpunost dokaza

Radi postizanja kvalitete i potpunosti, potreban je snažan dokazni trag. Općenito, takav sesnažan trag može uspostaviti pod slijedećim uvjetima:a) za papirnate dokumente – originali trebaju biti sigurno pohranjeni i mora biti zabilježeno tkoih je pronašao, kada i tko je tome svjedočio. Svaka istraga treba osigurati da se ne manipulira saoriginalima.b) za informacije na računalnim medijima – potrebno je načiniti kopije izmjenjivih medija, teinformacija na tvrdim diskovima i u memoriji, kako bi se osigurala dostupnost. Potrebno je sačuvatidnevnik svih aktivnosti poduzetih tijekom kopiranja, a samom postupku netko treba prisustvovati iposvjedočiti. Jedna kopija medija i dnevnika trebaju biti sigurno pohranjene. Kada se incident prvi puta otkrije, ne mora biti očito da će rezultirati sudskim postupkom.Stoga postoji opasnost nehotičnog uništenja potrebnih dokaza prije nego što je uočena ozbiljnostpočinjenog incidenta. Preporučljivo je u ranoj fazi bilo kakve pravne akcije angažirati odvjetnika ilipoliciju i zatražiti savjete o potrebnim dokazima

0 notes