SIGURNOST INFORMACIJSKIH SUSTAVA Pitanja i odgovori za ispit

1. to je sigurnost, te koji je razlog za implementaciju sustava sigurnosti u poduzeu SIGURNOST niz mjera i postupaka koji se poduzimaju u cilju osiguranja funkcionalnosti poslovnog sustava u produkcijskim uvjetima Poto se funkcionalnost poslovnih sustava sve vie oslanja na informacijsku potporu, ta velika ovisnost o podacima, informacijama i komunikaciji trai odgovarajuu razinu osiguranja temeljnih pretpostavki organizacijskog djelovanja sustava. U tome lei temeljeni razlog potrebe izgradnje sustava sigurnosti informacijskog sustava ija funkcionalnost ovisi o integritetu informacijskog sadraja, njegovoj tonosti, nepromjenjivosti upisanog sadraja, ali i stalnoj dostupnosti. Zato je potrebno izgraditi sustav sigurnosti koji e odgovoriti na sve postavljene zahtjeve, a istovremeno nee biti prepreka primjeni u pretpostavljenim uvjetima. 2. Koji je odnos sigurnosti i zatite informacijskog sustava ZATITA je itav niz mjera i postupaka koji se poduzimaju kako bi se smanjila razina prijetnji kod pretpostavljenih rizika 3. to je raunalni kriminal, te koje radnje se mogu opisati kao raunalni kriminal Raunalni kriminal, u najirem smislu, shvaen je kao nedozvoljena djelatnost vezana uz funkcioniranje raunalskih sustava. Raunalno prislukivanje, neovlateno prodiranje u raunalne sustave, manipulacije bankovnim automatima, krivotvorenja razliitih isprava, neovlateno kopiranje komercijalnih korisnikih programa. Manipulacije s raunalom najee su usmjerene na stjecanje protupravne imovinske koristi. Vrlo je est sluaj krae softvera, tj. neovlatenog kopiranja korisnikih programa svih vrsta, ime se zakidaju prihodi autora takvih programa. 4. Navedite nekoliko primjera raunalnog kriminala? Raunalno prislukivanje, neovlateno prodiranje u raunalne sustave, manipulacije bankovnim automatima, krivotvorenja razliitih isprava, neovlateno kopiranje komercijalnih korisnikih programa. 5. to govori Hrvatski zakon o raunalnom kriminalu? Zakon o raunalnom kriminalu u RH jo uvijek ne postoji niti ima kakvih naznaka da e uskoro biti donesen. Odredbe koje su vezane za raunalni kriminal disperzirane su u razliitim zakonima. Postoji meunarodna Konvencija o raunalnom kriminalu koju je Hrvatska potpisala pa ju obvezuje. Konvencija je prva meunarodna prekretnica u spreavanju raunalnog kriminala i kriminala posredstvom interneta. Konvencija se naroito fokusira na probleme autorskog prava, raunalnih prijevara, djeje pornografije, naruavanja mrene sigurnosti i sl. Glavni cilj konvencije je baviti se openitim raunalnim politikama koje se fokusiraju na zatitu drutva od raunalnog kriminala i to posebno izmeu zemalja potpisnicama. lanci Kaznenog zakona koji u nas inkriminiraju ponaanja specificirana kao kaznena djela u lancima 2. do 6. Konvencije o kibernetikom kriminalu su l. 223, Oteenje i upotreba tuih podataka, koji pokriva kaznena djela Neovlatenog pristupa i Oteenja, izmjene i unitenja podataka (l. 2 i 4. Konvencije).

to se tie l. 3 i Kazneno djelo neovlatenog presretanja podataka (Illegal Interception) u teoriji se smatra da premda l. 223. ne sadri odredbe o kompjutorskoj pijunai, postoji dovoljno postojeih inkriminacija kojima se moe sankcionirati ovakvo ponaanje u svojim pojavnim oblicima. Tako npr. inkriminacije o izdavanju i neovlatenom pribavljanju poslovne tajne (l. 295 KZ) ili odavanju slubene tajne (l. 132 KZ), odavanju dravne tajne (l. 144 KZ). Tu je i l.133 i Nedozvoljena upotreba osobnih podataka, ime se pokriva kako prikupljanje, obraivanje i koritenje osobnih podataka graana, tako i njihovo koritenje suprotno zakonom dozvoljenoj svrsi njihovog prikupljanja. Naravno, i glava kaznenih djela protiv imovine nadopunjena je inkriminacijama koje mogu posluiti i za sankcioniranje nekih zloporaba Interneta. Tako su tu navedena kao inkriminacije slijedea djela: - Povreda prava autora ili umjetnika izvoaa - Neovlatena upotreba autorskog djela ili izvedbe umjetnika izvoaa - Oteenje i upotreba tuih podataka 6. Nabrojite i opie nekoliko zakona RH koji se odnose na sigurnost IS? 1. Zakon o informacijskoj sigurnosti - Ovim se Zakonom utvruje pojam informacijske sigurnosti, mjere i standardi informacijske sigurnosti, podruja informacijske sigurnosti, te nadlena tijela za donoenje, provoenje i nadzor mjera i standarda informacijske sigurnosti. 2. Zakon o elektronikom potpisu - Ovim se Zakonom ureuje pravo fizikih i pravnih osoba na uporabu elektronikog potpisa u upravnim, sudskim i drugim postupcima, poslovnim i drugim radnjama, te prava, obveze i odgovornosti fizikih i pravnih osoba u svezi s davanjem usluga certificiranja elektronikog potpisa, ako posebnim zakonom nije drukije odreeno 3. Zakon o zatiti tajnosti podataka - Ovim se Zakonom propisuju pojam, vrste i stupnjevi tajnosti te mjere i postupci za utvrivanje, uporabu i zatitu tajnih podataka. 4. Zakon o zatiti osobnih podataka - Ovim se Zakonom ureuje zatita osobnih podataka o fizikim osobama te nadzor nad prikupljanjem, obradom i koritenjem osobnih podataka u Republici Hrvatskoj. 7. to je pojam digitalnog integriteta? Integritet predstavlja zatitu podataka od namjernog ili sluajnog neovlatenog mijenjanja. Dodatni element integriteta jest zatita procesa ili programa kako bi se onemoguilo neovlateno mijenjanje podataka. Glavni zahtjev komercijalnih i dravnih institucija jest osigurati integritet podataka kako bi se izbjegle zlouporabe i greke. To je imperativ kako korisnici ne bi mogli mijenjati podatke na nain da ih izbriu, promjene ili uine kljune podatke nesigurnima. Primjeri gdje je integritet podataka od kljune vanosti su sustav za kontrolu leta, sustavi u medicinskim ustanovama, sustavi u financijskim ustanovama itd. Kljuni elementi za postizanje integriteta podataka su identifikacija i provjera autentinosti korisnika. Budui integritet ovisi o kontroli pristupa, vano je pozitivno i jedinstveno utvrditi identinost svih korisnika prijavljenih na sustav 8. to sve moe imati digitalni identitet? Digitalni identitet - potreba identifikacije i autentifikacije dokumenata, osobe, poslovnog subjekta i raunala. 9. to je klasifikacija i deklasifikacija sadraja, te koje su razine tajnosti definirane prema zakonu o zatiti tajnosti podataka Klasifikacija podatka je postupak utvrivanja jednog od stupnjeva tajnosti podatka s obzirom na stupanj ugroze Deklasifikacija - prestanak postojanja razloga zbog kojih je podatak klasificiran postaje neklasificirani s ogranienom uporabom samo u slubene svrhe

Propisuje vrste tajni dravna slubena vojna profesionalna poslovna stupnjeve tajnosti vrlo tajno tajno povjerljivo Za klasificirane podatke odreuje samo stupnjeve tajnosti Vrlo tajno Tajno Povjerljivo Ogranieno 10. O emu govori norma ISO 27002 i koji su koraci implementacije norme ISO 27002 Meunarodna norma ISO 17799/27002 definira zahtjeve za uspostavljanje, implementaciju, rad, nadziranje, provjeru, odravanje i unaprjeivanje dokumentiranog sustava upravljanja sigurnou informacija u kontekstu cjelokupnog rizika poslovanja organizacije. Ona definira zahtjeve za implementaciju sigurnosnih kontrola prilagoenih potrebama svake pojedine organizacije ili njenog dijela. Koraci implementacije norme: 1) poetak projekta (administartivna faza) 2) definiranje ISMS-a (Information Security Managment System sustav za upravljanje informacijskom sigurnou) 3) procjena rizika 4) upravljanje rizikom 5) obuka i informiranje kadrova 6) priprema za reviziju 7) revizija 8) periodike provjere (redovito provjeravanje i poboljavanje sustava za upravljanje sigurnou) Meunarodna organizacija za standardizaciju je promijenila naziv norme ISO/IEC 17799:2005 u ISO/IEC 27002:2005. 11. Podruja regulative standarda ISO 27001 i 27002? ISO 27001 znai za informacijsku sigurnost isto ono to ISO 9001 znai za kvalitetu to je norma koju su pisali najbolji svjetski strunjaci u polju informacijske sigurnosti, i svrha joj je da prui metodologiju na koji nain uvesti informacijsku sigurnost u neku organizaciju. Ona isto tako prua mogunost da organizacija dobije certifikat to znai da je nezavisni auditor potvrdio da je informacijska sigurnost na najbolji nain provedena u dotinoj organizaciji. Norma ISO 27001 je zapravo postavila temelj za informacijsku sigurnost, pa su tako razni propisi pisani na osnovu iste Odluka o primjerenom upravljanju informacijskim sustavom, Uredba o nainu pohranjivanja i posebnim mjerama tehnike zatite posebnih kategorija osobnih podataka, kao i provedbeni akti Zakona o informacijskoj sigurnosti. Drugim rijeima, ova norma daje idealnu metodologiju kako provesti sve navedene propise. Osim norme ISO 27001 (nekadanja norma BS 7799-2), postoji i norma ISO 27002 (nekadanja norma ISO 17799), koja je pomona norma i detaljnije opisuje na koji nain provesti pojedine mjere zatite iz ISO 27001. Korisne su i norma BS 7799-3 (detaljno propisuje proces procjene rizika), te norme BS 25999-1/BS 25999-2 (detaljno opisuju upravljanje kontinuitetom poslovanja).

12. Koji su koraci izgradnje sustava sigurnosti 1. definiranje i donoenje politike sigurnosti 2. procjena sigurnosnih rizika a) procjena znaaja podatkovnog sadraja b) inventura informacijske imovine : 1)imbenici izvan poslovnog sustava 2) imbenici unutar poslovnog sustava c) identifikacija prijetnji pojedinom sadraju 3. Odabir mjera za smanjenje rizika 4. izjava o primjenjivosti 5. Praenje efikasnosti (funkcionalnosti) postavljenog sustava 6. dogradnja sustava ISMS (Information Security Management System) 13. to je sigurnosna politika, na koji nain je implementiramo, od kojih elementa se sastoji te kada je vaea? Sigurnosna politika je skup pravila, smjernica i postupaka koja definiraju na koji nain informacijski sustav uiniti sigurnim i kako zatititi njegove tehnoloke i informacijske vrijednosti. Ona govori korisnicima to smiju raditi, to ne smiju raditi, to moraju raditi i koja je njihova odgovornost. Politikom ne odreujemo na koji nain zatiti informacijski sustav ve samo to zatititi. Svakodnevnim razvojem tehnologija otkrivaju se i nove metode kojima je mogue ugroziti sustav. Stoga definiranje openite sigurnosne politike za informacijske sustave nije mogue i jednom napisana politika mora se redovito pregledavati, mijenjati i nadopunjavati kada se za tim ukae potreba a) krovni dokument to je izjava uprave o provoenju ISMS-a b) ua i ira politika c) provedbeni akt STRATEGIJA moe biti: 1) prihvaanje rizika zna se za rizik ali se ne radi nita 2) podjela popisuju se kritini procesi i gradi se sustav sigurnosti, a ostatak procesa se osigura 3) prenoenje zna se da postoji rizik, ali se ne radi nita nego se prenosi na osiguravajue drutvo 4) reduciranje rizika uvode se mjere za procese koje treba tititi i sustav se dalje dograuje 14. Koje su strategije izgradnje sustava sigurnosti? - samostalno preuzimanje rizika (opredjeljenje poslovnog sustava da samostalno brine o razini sigurnosti IS-a te da se brine o mjerama za smanjivanje rizika na prihvatljivu razinu) - podjela rizika (strategija osiguravanja dijela rizika kod osiguravatelja, a za dio sustava se samostalno gradi sustav sigurnosti. Na dijelu IS-a se ne postavlja razina zatite (ili se dovoljno ne ulae u nju) pa se rizik pokriva osiguranjem). - prenoenje rizika (strategija koja je prisutna kod manjih poslovnih sustava pri emu je poslovodstvo procijenilo da destrukcija nad podacima ne povlai za sobom velike poslovne gubitke. Sav se rizik prenosi na osiguravatelja koji u sluaju velikog rizika sam ulae u izgradnju sigurnosnog sustava kako bi smanjio vlastiti poslovni rizik) - negiranje rizika (temelji se na odluci o nepoduzimanju nikakvih aktivnosti zatite IS-a. Poslovanje nije oslonjeno na IS podran raunalom, ali prijetnje nisu iskljuene nego je samo smanjen broj izvora i oblika prijetnje)

15. to sve smatramo informacijskom imovinom, i zato je bitna inventura informacijske imovine a) informacijska imovina baze podataka i datoteke s podacima, sistemska dokumentacija, korisniki prirunici, materijal za treninge, procedure za operativu i podrku, planovi oporavka i kontinuiteta rada sustava, sporazumi o oporavku, arhivirane informacije b) softverska imovina aplikacijski softver, sistemski softver, razvojni i pomoni alati c) fizika imovina raunalna oprema, komunikacijska oprema, magnetski mediji, ostala tehnika oprema, namjetaj, smjetaj d) servisi raunalni i komunikacijski servisi, opi pomoni pogoni (grijanje, osvjetljenje, struja, klimatizacija) e) ljudi materijalni dio raunala, mrena oprema software licencirani organizacija razmjetaj raunala, struktura mrea ljudi podaci popis dokumenata i njihovih vlasnika

Inventure imovine trebaju pomoi u osiguranju provoenja efikasne zatite. Organizacija mora biti u stanju identificirati svoju imovinu i njenu relativnu vrijednost i vanost. Temeljem te informacije odreuje se razina zatite imovine u skladu s vrijednou i vanou imovine. Potrebno je sastaviti i odravati popis vanog inventara u svakom informacijskom sustavu. Svaki dio imovine treba biti jasno definiran, sa dogovorenim i dokumentiranim vlasnitvom i sigurnosnim klasifikacijama (stavak 5.2), te mora imati svoju lokaciju (vano prilikom oporavka od tete ili gubitka).

16. to je procjena znaaja podatkovnog sadraja temeljem ega i zato se provodi? Procjenom znaaja podatkovnog sadraja utvruje se s kojim sve podacima raspolae poslovni sustav i koji je znaaj tih podataka za njegovu funkcionalnost. U tu svrhu se radi inventura informacijske imovine. 17. Koji su unutarnji a koji vanjski imbenici koji utjeu na procjenu znaaja podatkovnog sadraja? Vanjski imbenici: Zakonski i podzakonski akti drava u kojoj djeluje poslovni sustav Zakonski i podzakonski akti drava u kojima djeluju poslovni sustavi s kojima se ostvaruje poslovna komunikacija Poslovni obiaju i norme koji se odnose na granu djelatnosti Trenutna situacija u okruenju u odnosu na stabilnost djelovanja poslovnog sustava sukladno izvorima i oblicima prijetnji. Unutranji: Statut poslovnog sustava i drugi akti na niim razinama Procjena poslovodstva o vanosti pojedinog sadraja za funkcionalnost sustava Poslovni obiaju Stanje u poslovnom okruenju

18. Nabrojite i opiite izvore prijetnji informacijskog sadraja! Prijetnje se identificiraju po vrsti i intenzitetu, zbog ega treba imati evidenciju uestalosti pojedinih prijetnji. Ako se prvi puta uvodi sustav sigurnosti, takve evidencije nema i treba se osloniti na procjenu vjerojatnih prijetnji, a nakon uvoenja mjera sigurnosti pratiti i procjenjivati u kojoj mjeri je procjena bila realna ili ne. Izvori mogu biti prirodni (poplave, potresi), ljudi (namjerno unitenje, sabotaa, pijunaa, kraa, virusi.. nenamjerno- nepanja, nemar, neznanje..), oprema (tehnika pogreka opreme, prestanak napajanja, prekidi komunikacije, zraenja..). 19. Nabrojite i opiite oblike prijetnji informacijskom sustavu? a) neautorizirano koritenje b) unitenje c) neidentificirano koritenje i neregistrirana promjena sadraja 20. to je procjena rizika, te koje metode procjene rizika poznajete? Kvalitativne i kvantitativne metode. Dobre strane kvantitativne analize: rezultati se baziraju na objektivnim procesima i mjerenjima, statistika vjerojatnost se rauna matematikim formulama, procjena potrebnih ulaganja je precizna, rezultati analize mogu se prikazati menaderskom terminologijom (cijene, postupci, vjerojatnost). Loe strane: raunanje je kompleksno treba dobro poznavati statistike pojmove dobri rezultati dobivaju se ako je poznata baza znanja odnosno ako postoje podaci o rizicima koji e se procijeniti primjena analize je kompleksna treba vie vremena za procjenu rizika vjerojatnost nije potpuno ispravna rauna se i odstupanje vjerojatnosti od stvarnih vrijednosti pogodna je za procjenu rizika u statinoj okolini Kvalitativna Ne zadaje numerike vrijednosti objektivne analize (to god to znailo), bazira se na odgovorima pitanja "to ako?" Dobre strane: raunanje je jednostavno, ne treba definirati cijenu procjene objekata analize, ne rauna se uestalost rizika, nije potrebno mnogo vremena za procjenu rizika, cijena implementacije je manja, fleksibilnog je karaktera. Loe strane: subjektivne je prirode (rezultat ovisi o kvaliteti tima koji je izrauje), procjena trokovnika ovisi o mjerama zatite 21. to su sigurnosne kopije te koje strategije izrade sigurnosnih kopija poznajete? Sigurnosno kopiranje ili backup je kopiranje sadraja promjenom materijalnog nositelja i njegovim prostornim dislociranjem izvan produkcijskog okruenja Potpuno kopiranje (full backup) metoda kojom se pohranjuju sve datoteke bez obzira na to jesu li oznaene za pohranu ili nisu. Pod oznakom za pohranu podrazumijevamo postavljeni atribut datoteke A (archive). Glavna prednost je u tome to je lako pronai datoteku i vratiti ju u raunalni sustav jer su sve datoteke na jednom mediju. Nedostatak je to se svaki puta na medij kopiraju sve datoteke, bez obzira na to jesu li promijenjene ili ne. Diferencijalno kopiranje (differential backup) pohranjuje nove datoteke i one datoteke koje su oznaene kao nearhivirane ("sputeni archive"), odn. iji je sadraj promijenjen od zadnjeg potpunog kopiranja. Diferencijalni backup kopira archive i nearhivirane datoteke, te nove datoteke. Inkrementalno kopiranje (Incremental backup)- pohranjuje nearhivirane datoteke i mijenja im atribut u archive, kako bi kod sljedeeg inkrementalnog backupiranja znao da im je sadraj mijenjan ako im je atribut nearhiviran.

22. to su sigurnosne kopije te koje materijalne nositelje i sustave za izradu sigurnosnih kopija poznajete? Sigurnosno kopiranje ili backup je kopiranje sadraja promjenom materijalnog nositelja i njegovim prostornim dislociranjem izvan produkcijskog okruenja MATERIJALNI NOSITELJI: 1) Analogni a) papir b) mikrofilm 2) Digitalni a) Magnetski (magnetska vrpca, magnetski disk) b) Optiki (CD, DVD, BLUE RAY) c) Flash memorije 23. U koje se sve namjene u podruju sigurnosti moe koristiti RAID tehnologija? - u svrhu kontinuirane zatite podataka od gubitka - RAID1 (mirror ili identina kopija diska) poveava pouzdanost i brzinu itanja podataka 24. to je to virus i od ega se on sastoji? Virus je programski kod ija je namjera samo kopiranje bez htijenja i znanja korisnika, te destruktivna aktivnost na sadraju raunala. ire se preko zaraenih medija ili interneta. Raunalni virus se obino sastoji od dva dijela.

Prvi dio je samokopirajui kod koji omoguava razmnoavanje virusa Drugi dio je korisna informacija koja moe biti bezopasna ili opasna.

25. to sve podrazumijevamo pod pojmom malicioznog koda? Maliciozni programi su kompjutorski programi ili dijelovi programskog koda ije pokretanje dovodi do neeljenih posljedica po korisnika, odnosno njegov kompjutorski sustav, njegove podatke ili programe ili pak do uskraivanja mrenih servisa i usluga Oblici malicioznog softvera su crvi, logike bombe, trojanski konji, zamke i virusi. 26. Koje oblike malicioznog softwarea poznajete, te na koji nain vrimo detekciju i uklanjanje malicioznog softwarea? Oblici malicioznog softvera su crvi, logike bombe, trojanski konji, zamke i virusi. Virus je dio programskog koda koji je sposoban izvriti samokopiranje (infekciju) dodavanjem novog sadraja u druge programe ili dijelove operativnog sustava Detekciju i uklanjanje vrimo pomou antivirusnih alata: 1.programi koji prate aktivnosti -pokuavaju presresti infekciju prije nego se dogodi, pratei sve aktivnosti koje lie onima koje rade virusi 2. scanneri -svoj rad temelje na principu potrage za kljunim dijelovima programa, odnosno slijedom znakova koji su karakteristini za odreeni virus. Prepoznaju samo viruse za koje imaju ranije definiran niz znakova. Pokreu se na zahtjev korisnika te pregledava dijelove, cijeli disk ili prenosivi medij 3. integrity checker ili detektori promjena -ova vrsta zatite temelji se na checksumu. Za savku datoteku koju je mogue zarazit virusom izraunava se veliina u bajtovima. Za takvu datoteku pretpostavlja se da je bez virusa. Takve se sume kasnije usporeuju s ponovno izraunatim vrijednostima, u sluaju da su vrijednosti razliite znai da se datoteka mijenjala. To ne

mora ukazivati da je posrijedi virus, ali ovaj nain zatite titi i od najnovijih virusa za razliku od scannera. 27. to smatramo pod pojmom kriptografija te koja je razlika izmeu simetrine i asimetrine kriptografije KRIPTOGRAFIJA Kriptografija, odnosno kriptografke metode danas predstavljaju nezamjenjivo sredstvo zatite podataka bez obzira nalaze li se oni pohranjeni unutar memorije kompjutora, na nekom drugom mediju ilii se prenose putem kompjutorske mree ili udaljenih kompjutorskih sustava. Cilj je takvih mrea osiguravanje tajnosti podataka kako njihov sadraj ne bi doao u ruke neovlatenim osobama. SIMETRINA jednom ifrom (kljuem) zakljuavamo i otkljuavamo poruku - mana mu je da poiljatelj i primatelj moraju imati isti klju ASIMETRINA uvijek se generira par kljueva, jednim se poruka zakljuava, a drugim se otkljuava (javni i tajni klju) - javni se distribuira svim poiljateljima (s njim se poruka zakljua), a tajni je kod nas i s njim otkljuavamo poruku - poiljatelj je siguran, ali primatelj ne zna ko mu alje (to rjeavamo PKI-om, certifikacijom kljua) 28. to je digitalni potpis, te kako realiziramo digitalni potpis? Digitalni potpis je tehnologija provjere vjerodostojnosti poruka primljenih u komunikaciji koja se odvija izmeu udaljenih kompjutora. Takav potpis nalazi se u digitalnom obliku i sastavni je dio ifrirane poruke koja se alje, a sadri izraunati zbroj same poruke. Budui da je gotovo nemogue izmijeniti sadraj teksta , a da zbroj ostane isti, predstavlja vrlo siguran nain provjere vjerodostojnosti samog teksta i sigurne komunikacije. Nakon to primatelj deifrira primljenu poruku i digitalni potpis sam provjerava zbroj takve poruke i usporeuje s primljenim. Svrha ove metode nije da osigura tajnost komunikacije pa se ona najee koristi u kombinaciji s kriptografskim metodama, uz pomo kojih se moe efikasno zatititi sam sadraj podataka koji se razmjenjuju. Bitno je naglasiti jo da digitalni potpis potvruje vjerodostojnost teksta koji se alje, odnosno prima, ali ne i identitet osobe koja ga alje, esto se koristi u kombinaciji s digitalnim certifikatom. elektroniki potpis - To je skup podataka u elektronikom obliku koji su pridrueni ili su logiki povezani s drugim podacima u elektronikom obliku i koji slue za identifikaciju potpisnika njegova uloga je potvrivanje vjerodostojnosti dokumenata u elektronikom obliku i garancija identiteta poiljatelja. elektroniki potpis mora zadovoljavati i dodatne zahtjeve, a to su: - da je potpis jedinstven za korisnika koji ga koristi (ne smije postojati isti potpis za dva razliita korisnika ili osobe) - mora biti pod iskljuivom kontrolom korisnika/osobe koji ga koristi (treba sprijeiti zlouporabu) - mora omoguiti provjeru identiteta korisnika (pomou certifikata) - mora postojati veza izmeu potpisa i potpisane isprave kada se runo potpisuje isprava, potpis je smjeten fiziki na dokumentu - dok je kod elektronikog potpisa potrebno vezu uspostaviti na poseban nain npr. Hash funkcijom kada je u pitanju digitalni potpis

Kriptografija javnog kljua (engl. PKI Public Key Infrastructure) temelji se na paru komplementarnih kljueva koji obavljaju operacije enkripcije ili dekripcije, te je stoga poznata i kao asimetrina kriptografija. Jedan klju u paru naziva se "javnim", a drugi "tajnim" kljuem. Javni klju slobodno se distribuira dok se tajni klju uva. 1 Enkripcija i dekripcija obavljaju se asimetrinim algoritmima koji su openito definirani tako da koriste par kljueva od kojih se bilo koji moe koristiti za kriptiranje. Ako je jedan klju iz para upotrijebljen za kriptiranje poruke, onda se iskljuivo drugi klju iz para moe upotrijebiti za dekriptiranje. Uobiajeno je, meutim, da se kriptiranje obavlja javnim kljuem, a dekriptiranje tajnim kljuem. Na taj nain, svatko moe kriptirati poruku koritenjem javnog kljua, ali poruku moe dekriptirati i proitati samo vlasnik tajnog kljua. Javni kljuevi stoga moraju biti javno dostupni. Dodatno, korisnici javnih kljueva moraju biti sigurni da taj klju uistinu pripada onome tko to tvrdi. U tu svrhu postoje specijalizirana tijela, povjerljive agencije (tzv. certificate authorities) koje izdaju certifikate. Povjerljiva agencija certifikatom jami da javni klju zaista pripada odreenoj osobi. Svojstvo asimetrinih algoritama da je jednim kljuem mogue obaviti enkripciju, a iskljuivo drugim kljuem iz istog para uspjenu dekripciju iskoriteno je pri definiranju digitalnog potpisa. 29. to je digitalna omotnica (PGP postupak) i kako se realizira? (Pretty Good Privacy) je program (iako postoje i drugi programi koji isto rade, npr. GnuPG) koji vam omoguava privatnost elektronike pote. Rije je o programu koji ifrira (enkriptira) vau potu tako da je nitko ne moe proitati (deifrirati, dekriptirati) osim upravo osobe kojoj je namijenjen. Tekst nakon takvog procesa ifriranja nekoj treoj strani izgleda kao besmisleni niz sluajnih znakova, i takve kriptirane poruke su sposobne "izdrati" i najsloenije kriptografske analize. No, nije samo ifriranje jedina mogunost zatite e-maila: mogue je na proizvoljan tekst dodati i digitalni potpis, bez ifriranja. To se obino primjenjuje kad je sadraj javnog tipa, ali se eli osigurati da drugi mogu provjeriti autentinost takvog materijala - budui da nitko nee moi promijeniti sadraj bez da se ista lako detektira putem digitalnog potpisa.PGP

koristi kriptografiju javnih kljueva dva kljua - javni i tajni javni klju koristi se prilikom kriptiranja poruka i provjere potpisa tajni klju koristi se prilikim dekriptiranja i stvaranja potpisa nije potrebna prethodna razmjena jedinstvenog tajnog kljua

30. to je firewall i zato je bitan? Firewall (vatrozid) je zatita raunala koja obavlja filtriranja, analizu i provjeru paketa podataka koji nose informacije sa i na Internet. Firewall je napravljen da bi zatitio povjerljive korisnike podatke od neautoriziranih korisnika blokiranjem i zabranom prometa prema pravilima koje korisnik sam odreuje. Firewall moe biti softverski ili hardverski. Softverski firewall titi jedno raunalo, osim u sluaju kada je to raunalo predodreeno za zatitu itave mree. Hardverski firewall omoguuje zatitu itave mree ili odreenog broja raunala. Za ispravan rad firewall-a, potrebno je precizno odrediti niz pravila koja odreuju kakav promet je doputen, a kakav zabranjen.

1

Firewall programi za osobna raunala Firewall koji se nalazi na osobnom raunalu korisnika ima zadatak kontrole i ograniavanja pristupa raunalu sa Interneta ili lokalne mree. Njegova je uloga da na osobnom raunalu omoguava pristup samo onima kojima smo to i dopustili, a svi ostali su onemogueni i njihovi pokuaji pristupa zabiljeeni. Za razumijevanje rada firewall-a potrebno je poznavati dva struna pojma, a to su IP adrese i TCP i UDP portovi. IP adresa: Sve to je povezano na Internet ima barem jednu jedinstvenu IP adresu. To moe biti adresa Vaeg raunala ili routera preko kojeg je Vaa lokalna mrea spojena na Internet. Svaki paket koji putuje Internetom u sebi sadri svoju izvorinu i svoju odredinu IP adresu, tako da se zna od koga je paket poslan i kome je poslan 31. to je sigurni perimetar, te koje metode fizike zatite poznajete? Sigurni perimetar je granica sigurne okoline. U programu fizikih sigurnosti koriste se mnoga tehnika sredstva (brave, uvari, sefovi, trezori,...). Ove mjere sigurnosti dopunjuju jedna drugu i rijetko djeluju odvojeno. 32. Koje sustave za kontrolu pristupa poznajete? Biometrijske metode, 33. to je biometrija i kako je koristimo za autentikaciju i identifikaciju? Biometrija (gr. bios ivot, metron mjera) predstavlja skup automatiziranih metoda za jedinstveno prepoznavanje ljudi temeljeno na jednoj ili veem broju njihovih fizikih i ponaajnih karakteristika. U informatikoj tehnologiji se biometrijska autentikacija odnosi na tehnologije koje mjere i analiziraju fizike (otisci prstiju, ronica oka, prepoznavanje lica i sl.) i ponaajne karakteristike (rukopis, tipkanje, hod i sl.) ovjeka. 34. Koje mjere sigurnosti poznajete? Mjere: programske mjere, tehnike mjere, fizike mjere, organizacijske mjere, mjere zatite u oblasti prava. 35. Materijalni nositelji kao mjera poveanja otpornosti sustava!

36. to sve ini programske mjere zatite informacijskog sustava? Programske mjere zatite su na razini operacijskog sustava i na razini korisnikih programa. Viekorisniki OS-i koordiniraju radom sustava s veim brojem korisnika. Radi odjeljivanja podruja jednog korisnika, korisnika okolina se zatiuje zaporkom. Ponekad se pojedina zaporka moe autorizirati samo s uvjetovanih raunala. Programske mjere zatite na razini korisnikih programa su sigurnosna pohrana podataka, zatita od malicioznog softvera i sustavi kriptozatite.

37. Koje su tehnike mjere sigurnosti? 1. Protupoarni detektor slue za automatsko aktiviranje rasprivaa vode ili sustava za primjenu plinova, mogu biti detektori topline i detektori dima 2. Detektori prekida strujnog kruga tite prostore od neautoriziranog pristupa 3. Laseri i senzori koriste ultraljubiasti ili infracrveno svjetlo ije su frekvencije iznad ili ispod vidljivog spektra 4. Unutranja televizija i kamera postavljaju se na vanim mjestima i prenose sliku do kontrolne ploe s uvarima 5. Detektori zvuka i vibracije slue za otkrivanje zvukova u nekom podruju u vrijeme kada oni nisu uobiajeni, zato se koriste vrlo osjetljivi mikrofoni 38. Koje su fizike mjere sigurnosti IS? Fizika zatita podatkovnog sadraja obuhvaa zatitu raunalne opreme, programa i datoteka od unitenja, neovlatenog mijenjanja sadraja, poara, poplave, potresa, eksplozije, krae i divljatva i slino... U programu fizikih sigurnosti koriste se mnoga tehnika sredstva (brave, uvari, sefovi, trezori,...). Ove mjere sigurnosti dopunjuju jedna drugu i rijetko djeluju odvojeno. 39. to podrazumijevamo pod organizacijskim mjerama sigurnosti IS? Organizacijske mjere zatite su mjere koje poduzima organizacija da bi osigurala eljenu razinu funkcionalnosti sustava i integriteta podataka u uvjetima djelovanja pretpostavljenih oblika prijetnji. Oblici provedbe su: 1. Upravljanje raunalnom mreom poslovnih sustava 2. Kontrola pristupa djelovima sustava 3. Tehnike razvoja sustava 4. Planiranje nastavljenja poslovanja nakon nastupanja incidentne situacije 5. Postojanje vie alternativnih sigurnosnih procedura za isti problem 6. nadzor i kontrola 40. Navedite barem 4 klasa norme ISO 27002 i objasnite jednu po izboru! Procjena i obrada rizika ; Politika sigurnosti ; Organizacija informacijske sigurnosti; Upravljanje imovinom Sigurnost ljudskog potencijala; Fizika sigurnost i sigurnost okruenja; Upravljanje komunikacijama i operacijama; Kontrola pristupa; Nabava, razvoj i odravanje informacijskih sustava; Upravljanje sigurnosnim incidentom; Upravljanje kontinuitetom poslovanja; Sukladnost. Procjena i obrada rizika predstavlja uvodnu klauzulu koja nas uvodi u normu predstavljanjem rizika, njegove procjene i obrade. Klauzula se sastoji od dvije glavne sigurnosne kategorije: Procjenjivanje sigurnosnih rizika i Obrada sigurnosnih rizika. Procjenjivanje rizika ukljuuje prepoznavanje, kvantificiranje i razvrstavanje rizika po prioritetima. Moe se primijeniti vie puta da bi se obuhvatili razliiti dijelovi organizacije ili pojedinani informacijski sustavi. Sadri analizu rizika i vrednovanje rizika.

Prije nego to se krene na obradu rizika, organizacija treba odrediti kriterij za odreivanje prihvatljivosti rizika. Rizik se moe prihvatiti ukoliko je procijenjeno da je mali ili da troak obrade nije isplativ za organizaciju. Neki od naina obrade rizika su: primjena odgovarajuih kontrola za smanjenje rizika, svjesno prihvaanje rizika, izbjegavanje rizika na nain da se ne dozvoljavaju akcije koje bi izazvale rizik i prijenos rizika na druge strane (osiguravatelji ili dobavljai) 41. to sve smatramo pod pojmom politika sigurnostiIS Politika informacijske sigurnosti u kompaniji je dokument kojim kompanija izraava odlunost i spremnost zatite cjelokupne informacijske imovine u pogledu njezinog integriteta, povjerljivosti i raspoloivosti, te pravnih i poslovnih interesa organizacije. Naela Politika informacijske sigurnosti u kompaniji provodit e se kroz aktivnosti vezane za sigurnost (politike, standarde, pravilnike, postupke, upute, obrasce) kao i proces kontrole njihove primjene na svim razinama kompanije 42. to su kontrole u okviru normi ISO 27002?

43. Zato je danas potrebna informacijska sigurnost? Poto se funkcionalnost poslovnih sustava sve vie oslanja na informacijsku potporu, ta velika ovisnost o podacima, informacijama i komunikaciji trai odgovarajuu razinu osiguranja temeljnih pretpostavki organizacijskog djelovanja sustava. U tome lei temeljeni razlog potrebe izgradnje sustava sigurnosti informacijskog sustava ija funkcionalnost ovisi o integritetu informacijskog sadraja, njegovoj tonosti, nepromjenjivosti upisanog sadraja, ali i stalnoj dostupnosti. Zato je potrebno izgraditi sustav sigurnosti koji e odgovoriti na sve postavljene zahtjeve, a istovremeno nee biti prepreka primjeni u pretpostavljenim uvjetima. 44. Koje su obveze uprave prema informacijskoj sigurnosti Obveze uprave su esto kritian faktor. Uprava mora brinuti o: donoenju sigurnosne politike, ostvarenju sigurnosnih planova i ciljeva, dodjeljivanju uloga (engl. roles) i obveza, komunikaciji o vanosti informacijske sigurnosti, odluivanju o razini prihvatljivog rizika, ispitivanju upravljanja. Uprava treba : osigurati uspostavu, implementaciju i odravanje ISMS-a, osigurati poboljanje efektivnosti ISMS-a, osigurati da procedure ISMS-a ispunjavaju sigurnosne zahtjeve, osigurati da se ispotuju zakonske, propisne i ugovorne obveze, osigurati adekvatnu sigurnosnu razinu primjenom sigurnosnih kontrola, brinuti o rezultatima ispitivanja sustava, te poduzimanju odgovarajuih mjera u skladu s rezultatima ispitivanja. Uprava mora upravljati ispitivanjem ISMS-a. Rezultati ispitivanja ISMS-a daju odgovor na pitanje o adekvatnosti i efektivnosti sustava. Ulazne informacije pri ispitivanju sustava su obavljeni pregledi sustava, poduzete korektivne i preventivne mjere, preporuke za poboljanje sustava, te nove tehnologije i procedure. Rezultati ispitivanja ISMS-a su napravljene korekcije i poboljanja, te pribavljeni resursi, ukoliko su bili potrebni. Kontinuirani napori pri poboljanju sustava (ak i ako nema novih zahtjeva) su klju uspjeha sustava upravljanja.

45. to je to sporazumi o povjerljivosti i s kim se sve mora potpisati? Sporazumi o povjerljivosti ili o neotkrivanju podataka koriste se kako bi se dalo do znanja da je neka informacija povjerljiva ili tajna. Uposlenici bi trebali potpisati takav sporazum kao dio ugovora o radu. Povremeno osoblje i korisnici s tree strane koji nisu obuhvaeni takvim ugovorom, moraju potpisati sporazum o povjerljivosti prije nego to dobiju pristup raunalnoj tehnologiji. Sporazume o povjerljivosti treba pregledavati kada nastupe promjene u uvjetima zapoljavanja ili sklapanja ugovora, naroito kada radnici naputaju organizaciju ili kada ugovori istiu 46. Kada i zato se mora provoditi nezavisna provjera informacijske sigurnosti?

47. to sve ini rizike koji se odnose na vanjske suradnike? Iako mnoge kompanije imaju svoje interno odjeljenje za odravanje opreme, postoje situacije kada se pristup sustavu mora dopustiti osobama iz drugih tvrtki zbog servisiranja, odravanja, konzultacija ili obuke. Bitno je da u tom sluaju u ugovorima s vanjskim tvrtkama donesemo odredbe kojima se vanjski partneri obvezuju na potivanje sigurnosnih pravila. Ako se podaci mogu klasificirati kao tajna, potrebno ih je privremeno ukloniti sa sustava prije nego osoblje koje nije zaposleno u kompaniji dobije pristup sustavu za obavljanje posla.Ukoliko se pokae potreba za suradnjom s osobama koje nisu zaposlenici ustanove, administrator je duan poduzeti sve potrebne mjere sigurnosti kako bi informacijski sustav ostao zatien. Ovisno o vrsti suradnje, administrator je duan: smiju raditi U ugovoru mora biti definirano na koji nain e suradnici podmiriti eventualno nastalu tetu Administrator je duan voditi biljeke o tome tko je i kada imao pristup informacijskom sustavu Administrator je duan provjeravati da li suradnici potuju svoje ovlasti, tj. da li obavljaju radnje Administrator prije suradnje mora provjeriti da li su potencijalni suradnici, tj. firma koju oni Ukoliko se sklopi ugovor o suradnji, u ugovoru mora biti jasno definirano tko je odgovoran za bilo U ugovoru takoer mora biti jasno definirano koje ovlasti imaju suradnici, tj. to smiju, a to ne

predstavljaju, imali u prolosti incidente vezane za sigurnost informacijskih sustava kakvu tetu poinjenu radom suradnika

koje nisu ugovorene

48. to je to vlasnik informacijske imovine i kako ga definirati? Vlasnik je odgovorna osoba koja se mora ponaati prema opremi na propisani nain 49. Kako se osigurava sigurnost ljudskog potencijala? Potencijalne uposlenike treba paljivo provjeriti (stavak 6.1.2), naroito ako kandidiraju za osjetljive poslove. Svi radnici i tree stranke koje koriste informatiku opremu trebaju potpisati sporazum o uvanju povjerljivosti informacija.

Provjeru stalnog osoblja treba nainiti ve kod prijave za posao. U taj postupak treba ukljuiti sljedee kontrole: a) dostupnost zadovoljavajuih preporuka, poslovnih i osobnih b) provjera (zbog potpunosti i tonosti) ivotopisa kandidata c) potvrda steenih akademskih i profesionalnih kvalifikacija d) neovisna provjera identiteta (putovnica ili slian dokument) Organizacija treba istraiti i kreditnu sposobnost kandidata, ukoliko posao za kojeg se kandidira ukljuuje pristup raunalnoj tehnologiji pomou koje se rukuje osjetljivim informacijama. Tu vrstu provjere treba za osoblje na visokim pozicijama ponavljati u odreenim razmacima Sporazumi o povjerljivosti ili o neotkrivanju podataka koriste se kako bi se dalo do znanja da je neka informacija povjerljiva ili tajna. Uposlenici bi trebali potpisati takav sporazum kao dio ugovora o radu U ugovoru o radu treba biti naznaena odgovornost radnika za sigurnost informacija. Gdje je prikladno i potrebno, te odgovornosti moraju vrijediti i neko vrijem nakon zavretka ugovora o radu. Potrebno je navesti akcije koje e se poduzeti ako radnik zanemari sigurnosne zahtjeve 50. Kako definirati granice fizikog sigurnosnog prostora? Fizika zatita se moe ostvariti stvaranjem nekoliko fizikih barijera oko poslovnog prostora i jedinica za obradu informacija. Poslovni sustavi trebaju koristiti podruja fizike sigurnosti kako bi zatitili podruja koja sadre raunalnu tehnologiju (stavak 7.1.3). Potrebno je razmotriti slijedee smjernice i kontrolne mehanizme, te ih implementirati prema potrebi: a) podruje fizike sigurnosti treba biti jasno definirano b) podruje fizike sigurnosti zgrade mora biti vrsto i kontinuirano, tj. bez prekida u barijeri, gdje su mogue lake provale (npr. kontrolnim mehanizmima, reetkama, alarmima, bravama, ). c) potrebno je imati podruje recepcije ili neki drugi nain fizike kontrole pristupa zgradi. Pristup zgradama i lokacijama treba biti ogranien samo na ovlatene osobe. d) fizike barijere se trebaju, u sluajne potrebe, protezati od poda do stropa, kako bi se sprijeilo neovlateno ulaenje i kontaminacija iz okoline, kao u sluaju poara ili poplave e) sva poarna vrata u podruju fizike sigurnosti moraju biti opremljena alarmima i moraju se vrsto zatvarati 51. Na koje se sve naine moe ostvariti kontrole fizikog pristupa? Fizika zatita podatkovnog sadraja obuhvaa zatitu raunalne opreme, programa i datoteka od unitenja, neovlatenog mijenjanja sadraja, poara, poplave, potresa, eksplozije, krae i divljatva i slino... U programu fizikih sigurnosti koriste se mnoga tehnika sredstva (brave, uvari, sefovi, trezori,...). Ove mjere sigurnosti dopunjuju jedna drugu i rijetko djeluju odvojeno. Iz podruja graevinarstva mogue je napraviti 3 sloja fizike zatite: 1. graevinske prepreke kao to su zid ili ograde 2. zidovi, prozori i vrata same graevine 3. odgovarajue vitrine i trezori u koje se odlau potrebni sadraji ili materijalni nositelji Kod kontrole fizikog pristupa radi se o zatiti sigurnosnih podruja pomou kontrola ulaza koje osiguravaju pristup samo ovlatenim osobama. Potrebno je razmotriti sljedee smjernice: 1. potrebno je zapisati datum i vrijeme ulaza i odlaska posjetitelja i nadzirati sve posjetitelje, potrebno je dozvoliti pristup samo za ovlatene namjene; 2. pristup podrujima u kojima se pohranjuju osjetljive informacije treba ograniiti samo na ovlatene osobe i kontrolirati ih putem kontrolne kartice i PIN-a;

3. svi zaposlenici i posjetitelji trebaju nositi neki oblik vidljive identifikacije; 4. prava na pristup treba sigurnosnim podrujima trebaju se redovito provjeravati i obnavljati itd. [Meunarodna norma ISO/IEC 17799, str. 33] 52. Kako odabrati i osigurati smjetaj opreme? Raunalni centar se moe zatititi tako da se uini to nepristupanijim. Prostorija s kljunom opremom treba imati samo jedan ulaz koji mora biti zakljuan i nadziran. Izlaz u nudi treba moi otvoriti samo iznutra i treba uvijek biti zatvoren. Takoer treba nadzirati i otvore sustava za klimatizaciju,, te je potrebno udvostruiti vodove elektrine energije i komunikacije. Raunala trebaju biti smjetena na prvom katu zbog poplave ili eksplozija koje mogu pasti na krov, te mora biti smjeten u sredinjoj prostoriji koja nema vanjskih zidova, ve je okruena npr. Uredima. 53. Kako ostvariti sigurno odbacivanje ili ponovno koritenje opreme? Jedinice za pohranu koje sadre osjetljive informacije treba ili fiziki unititi ili na siguran nain obrisati postojee informacije, a ne koristiti standardne funkcije za brisanje. Sve dijelove opreme koji sadre medije za pohranu (poput tvrdih diskova) treba provjeriti kako bi se osiguralo da se prije rashodovanja uklonilo sve osjetljive informacije i sav licencirani softver. Prilikom oteenja ureaja za pohranu podataka s osjetljivim podacima treba kroz procjenu rizika odrediti da li e se ureaj unititi, popraviti ili odbaciti. 54. Koje su mjere kontrole za zatitu od zloudnog koda? Zatita od malicioznog softvera se treba temeljiti na sigurnosnoj svijesti, te na prikladnim kontrolama za pristup sustavu i upravljanje promjenama. Potrebno je razmotriti slijedee kontrolne mehanizme: a) formalna politika koja zahtijeva potivanje softverskih licenci i zabranjuje uporabu neovlatenog softvera (stavak 12.1.2.2) b) formalna politika za zatitu od rizika (ukljuujui i zatitne mjere koje treba poduzeti) povezanih sa pribavljanjem datoteka i softvera od ili preko vanjskih mrea, ili bilo kojeg drugog medija (stavak 10.5, posebno 10.5.4 i 10.5.5) instalacija i redovita nadogradnja antivirusnih softvera za detekciju i popravak, radi pregleda raunala i medija bilo kao mjera predostronosti, bilo kao dio svakodnevne rutine provoenje redovitih pregleda softvera i podatkovnih sadraja u sustavima za podrku kritinim poslovnim procesima. Prisutnost bilo koje neodobrene datoteke ili bilo kojeg neodobrenog dodatka treba formalno istraiti. provjera svih datoteka prije koritenja radi virusa na elektronikim medijima sa nepoznatim ili neovlatenim izvorom, ili datoteka primljenih preko nesigurnih mrea pregled svih pridodanih datoteka elektronikoj poti i svih datoteka skinutih sa mrea prije koritenja, radi provjere malicioznog softvera. Te provjere se mogu obavljati na razliitim mjestima, npr. na serverima za elektroniku potu, stolnim raunalima ili na ulasku u organizacijsku mreu postupci upravljanja i odgovornosti za zatitu od virusa u sustavima, treniranje koritenja, izvjeivanje i oporavak od napada virusa (stavci 6.3 i 8.1.3)

c)

d)

e) f)

g)

h) i)

prikladni planovi poslovnog kontinuiteta za oporavak od napada virusa, ukljuujui sav potrebni backup podataka i softvera, te sporazume o oporavku (lanak 11) postupci za provjeru svih informacija vezanih uz maliciozni softver, te za osiguravanje da su obavijesti o upozorenjima tone i informativne. Manageri trebaju osigurati da se za razlikovanje obmana i stvarnih virusa koriste kvalificirani izvori, poput uglednih asopisa, pouzdanih Internet stranica ili dobavljaa antivirusnog softvera. Osoblje treba biti svjesno problema postojanja obmana i lanih opasnosti, te mora znati kako reagirati u takvim situacijama

55. Koje su smjernice norme ISO27002 u odnosu na elektroniku trgovinu? Potrebno je osigurati sigurno on-line poslovanje i koritenje elektronikih povezanih usluga. Potrebno je zatititi informacije ukljuene u elektroniku trgovinu preko javnih mrea od prijevara, osporavanja ugovora, neovlatenog otkrivanja i promjene. Aktivnosti elektronike trgovine izmeu partnera trebaju biti podrane dokumentiranim sporazumom koji obvezuje obje strane na dogovorene uvjete prodaje. Elektronika trgovina moe koristiti sigurne naine provjere vjerodostojnosti, npr. kriptografija javnim kljuem i digitalni potpisi kako bi se smanjili rizici. 56. Koje su smjernice norme on-line transakcije? Vano je i zatititi informacije u on - line transakcijama da bi se sprijeio nekompletan prijenos, pogreno usmjeravanje, neovlatene promjene informacija itd. Takoer je potrebno osigurati cjelovitost informacija dostupnih na javno dostupnom mjestu radi spreavanja neovlatene promjene. 57. Koje su politika kontrole pristupa? Kako bi se sprijeila bilo koja od moguih tetnih radnji korisnika vano je osigurati da korisnik ima samo odreene funkcije nad odreenim podacima. U skladu sa svojim potrebama za obavljanje posla, korisnik dobiva prava od administratora informacijskog sustava na koritenje samo odreenih podataka. Takoer mu se nad odreenim podacima definiraju procedure koje smije koristiti (npr. korisnik smije pregledavati samo svoje podatke, zaposlenik kompanije smije itati (ali ne i mijenjati odnosno brisati) samo one zapise koje je sam kreirao). Naravno da ovako restriktivne mjere nisu potrebne u svim kompanijama, ali u onima gdje je povjerljivost, integritet i dostupnost podataka presudna za poslovanje, svakako su preporuljive. Budui se ovo pravilo sigurnosne politike ne odnosi na korisnike sustava, ve na administratore, moe biti struno i vrlo detaljno opisano tko sve i na koji nain smije imati pristup podacima. 58. Kako se provodi upravljanje korisnikim zaporkama?Sustav mora definirati kakvog oblika moraju biti lozinke (npr. odreivanjem minimalne duljine lozinke, zatim da lozinka sadri neki od posebnih znakova itd.). U nastojanju da se to vie otea otkrivanje lozinki, korisnici se moraju drati sljedeih pravila: Za lozinku se ne smije koristiti rije iz rjenika. Sve takve rijei lako je pogoditi. Takoer se moraju izbjegavati imena, rijei iz drugih jezika itd. Za lozinku zabranjeno je koristiti imena iz obitelji, prijatelja, datuma obljetnica (npr. roendani), telefonski brojevi, registracije automobila... Treba koristiti i velika i mala slova na operacijskim sustavima koja su na njih osjetljiva (Unix, Linux) U lozinkama umjesto nekih slova treba koristiti i brojeve. Primjer: umjesto i 1, umjesto E 3 itd. Po mogunosti uvrstiti simbole poput %,&,#,?,+

Lozinku izvesti iz neeg lako pamtljivog! Nije dobro koristiti lozinku tipa ht5Ioa9&s2 jer ju je teko zapamtiti i nuno ju je negdje napisati. Zato je potrebno odrediti lozinku u obliku neeg pamtljivog, s tim da ju kriptiramo. Primjer: Odabere se hint automobil koji potom kriptiramo u Aut0mOb1& i to koristimo za lozinku. Nikad se nikome ne smije rei lozinka niti se smije dopustiti ikome da se prijavi s naom lozinkom na sustav.

Na korisnicima je takoer obaveza provoditi potrebne promjene lozinki jednom u odreenom vremenskom razdoblju. Gdje je mogue, korisnici e automatski biti obavijeteni o potrebi promjene lozinke. Operacijski sustav potrebno je podesiti tako da ne doputa mijenjanje samo jednog znaka unutar lozinke ili da za lozinku odredimo lozinku koja je ve koritena na sustavu.

59. to su politike praznog stola i praznog zaslona? Potrebno je razmotriti slijedee kontrolne mehanizme: a) ako je mogue, papiri i raunalni mediji trebaju biti pohranjeni u ormariima na zakljuavanje kada se ne koriste, a naroito nakon radnog vremena b) kada nisu potrebne, osjetljive i kritine poslovne informacije trebaju biti pod kljuem (idealno u vatro otpornom sefu ili ormaru), naroito kada su uredi prazni c) osobna raunala, terminali i pisai ne smiju ostati prijavljeni u sustav, ako nisu pod nadzorom, a kada nisu u uporabi, trebaju biti zatieni kroz mehanizme zakljuavanja, lozinke ili druge kontrole d) potrebno je zatititi nenadzirane ureaje za faks i teleks, te mjesta za prijem i slanje pote e) ureaji za fotokopiranje trebaju biti zakljuani (ili na neki drugi nain zatieni od neovlatenog koritenja) izvan uobiajenog radnog vremena f) osjetljive ili povjerljive informacije treba pokupiti iz pisaa odmah po ispisu

60. Koje su politike uporabe kriptografskih kontrola? Organizacija treba razviti politiku o koritenju kriptografskih kontrola za zatitu svojih informacija. Takva je politika potrebna zbog maksimizacije koristi i minimizacije rizika koritenja kriptografskih tehnika, te zbog izbjegavanja neprikladne i pogrene uporabe iste. Prilikom razvoja politike treba razmotriti slijedee: a) managerski pristup prema koritenju kriptografskih kontrola kroz cijelu organizaciju, ukljuujui ope principe za zatitu poslovnih informacija b) pristup upravljanju kljuevima, ukljuujui metode za postupanje pri oporavku enkriptiranih informacija u sluaju gubitka, oteenja ili kompromitacije kljueva c) uloge i odgovornosti, npr. tko je odgovoran za: 1) implementaciju politike 2) upravljanje kljuevima 3) odreivanje prikladne razine kriptografske zatite d) standarde za efektivnu implementaciju kroz cijelu organizaciju (koje se rjeenje koristi za koji poslovni proces)

61. Kako se ostvaruje upravljanje kljuevima? Sustav upravljanja kljuevima treba se temeljiti na dogovorenom skupu standarda, procedura i sigurnosnih metoda za: a) generiranje kljueva za razliite sustave i aplikacije b) generiranje i pribavljanje certifikata za javne kljueve c) distribuciju kljueva korisnicima, ukljuujui i kako se kljuevi moraju aktivirati po primitku d) pohranu kljueva, ukljuujui i to kako ovlateni korisnici pribavljaju kljueve e) promjene i nadogradnje kljueva, ukljuujui pravila o tome kada i kako treba mijenjati kljueve f) postupanje sa kompromitiranim kljuevima g) opozivanje kljueva, ukljuujui i kako ih se mora povui i deaktivirati, npr. kada postanu kompromitirani ili kada korisnik napusti organizaciju (tada klju treba biti i arhiviran) h) oporavak kljueva koji su izgubljeni ili oteeni, i to kao dio planova poslovnog kontinuiteta (npr. dijela koji se odnosi na oporavak enkriptiranih informacija) i) arhiviranje kljueva, npr. za arhivirane ili backupirane informacije j) unitavanje kljueva k) biljeenje i nadziranje aktivnosti upravljanja kljuevima Kako bi se smanjila vjerojatnost kompromitacije, kljuevi moraju imati odreene datume aktivacije i deaktivacije, tako da se mogu koristiti samo kroz odreeno vremensko razdoblje. To razdoblje treba ovisiti o okolnostima pod kojima se kriptografske kontrole koriste i o percipiranim rizicima. Pored problema sigurnosnog upravljanja tajnim i privatnim kljuevima, potrebno je razmotriti i zatitu javnih kljueva. Postoji prijetnja da netko krivotvori digitalni potpis uz pomo zamjene korisnikovog javnog kljua svojim javnim kljuem. Taj problem se rjeava koritenjem certifikata za javni klju. Ovaj proces se najee obavlja od strane certifikacijskog tijela, koje mora biti poznata organizacija, koja koristi prikladne kontrole i postupke kojima moe dokazati traenu razinu povjerenja. 62. Procedure za kontrolu promjene elemenata IS! Kako bi se minimiziralo oteivanje informacijskih sustava, moraju postojati stroge kontrole nad implementacijom promjena. Moraju se nametati formalne procedure za kontrolu promjena. One moraju osigurati da sigurnost i kontrolne procedure nee biti kompromitirane, da programeri koji pruaju podrku imaju pristup do samo onih dijelova sustava koji su im potrebni u poslu, te da se pribavlja formalno odobrenje za svaku promjenu. Promjene u aplikacijskom softveru mogu ostaviti posljedice na cjelokupnom operativnom okruenju. Gdje god je praktino, potrebno je integrirati aplikacije i procedure za kontrolu operativnih promjena (stavak 8.1.2). Taj proces mora ukljuiti slijedee: a) odravanje popisa dogovorenih razina ovlatenja b) osiguravanja da su promjene dostavljene ovlatenim korisnicima c) pregledavanje kontrola i procedura integriteta, kako bi se osiguralo da nee biti kompromitirane promjenama d) identifikacija svog raunalnog softvera, informacija, entiteta u bazama podataka i svog hardvera, koji zahtijevaju izmjene e) pribavljanje formalnog odobrenja detaljnih prijedloga prije nego to se zapone s radom na promjenama f) prije implementacije osigurati da ovlateni korisnici prihvaaju promjene g) osigurati provoenje implementacije tako da se poslovanje minimalno prekine h) osiguravanje da je sistemska dokumentacija aurirana nakon zavretka svake promjene, te da je stara dokumentacija arhivirana ili odbaena i) odravanje kontrole verzija za svaku nadogradnju softvera

j) odravanje nadzornog traga za sve zahtjeve za promjenama k) osiguravanje da se operativna dokumentacija (stavak 8.1.1) i korisnike procedure promijene prema potrebi l) osiguranje da implementacija promjena nastupi u pravo vrijeme i da ne ometa ukljueni poslovni proces 63. Kako organizirati izvjeivanje o sigurnosnim dogaajima i slabostima? Kroz odgovarajue kanale upravljanja potrebno je to prije izvijestiti o sigurnosnim dogaajima (gubitak usluge, ljudske greke, nepravilnosti u radu hardvera ili softvera i sl.). Svi zaposlenici trebaju zabiljeiti i izvijestiti o svakoj uoenoj sigurnosnoj slabosti u sustavima ili uslugama. [Meunarodna norma ISO/IEC 17799, str. 87] U tu svrhu potrebno je utvrditi odgovornosti uprave i procedure za brz i uinkovit odgovor na sigurnosne incidente 64. Kako ostvariti upravljanje sigurnosnim incidentima i poboljanjima? Kako bi se postigla imunost sustava na napade, vano je definirati naine postupanja u sluaju probijanja zatite i napada na sustav. Dva su osnovna postupka u kontroliranju incidenata: 1. Voenje dnevnika (evidencije) pristupa sustavu 2. Definiranje pravila opravka sustava u sluaju napada 65. Kako se ostvaruje prikupljanje dokaza o sigurnosnom incidentu?

66. to je to kontinuitet poslovanja i procjena rizika u odnosu na ostvarivanje kontinuiteta poslovanja? Naime, informacijska sigurnost se brine o povjerljivosti, integritetu i dostupnosti (raspoloivosti) informacija u nekoj organizaciji. Meutim, i kontinuitet poslovanja se u prvom redu brine da su informacije dostupne onima koji ih trebaju naime, sutina kontinuiteta poslovanja jest da osigurava kontinuitet kljunih poslovnih procesa u nekoj organizaciji. Kako se svaki poslovni proces bazira na protoku informacija, tako je fokus kontinuiteta poslovanja na dostupnosti, odnosno ouvanju i oporavku vitalnih poslovnih informacija. 67. to podrazumijevamo pod pojmom sukladnost sa zakonskim propisima? Izbjegavanje krenja kaznenih i civilnih zakona, statutarnih, obiajnih ili ugovornih obveza i sigurnosnih zahtjeva. Dizajn, operacionalizacija i koritenje informacijskih sustava mogu biti podloni statutarnim, obiajnim ili ugovornim sigurnosnim zahtjevima. Potrebno je, od strane pravnih savjetnika organizacije ili kvalificiranih pravnika, potraiti savjet o specifinim pravnim zahtjevima. Zakonske obveze variraju od zemlje od zemlje 68. to je to penetracijsko testiranje sustava? Penetracijsko testiranje je jedna od metoda evaluacije sigurnosti raunalnih sustava simulirajui napad zlonamjernog korisnika (hakera). Proces ukljuuje aktivnu i detaljnu analizu raunalnih sustava u potrazi za moguim propustima u dizajnu, implementaciji i odravanju. Svi otkriveni propusti se na kraju testiranja navode u Izvjetaju, uz ocjenu vjerojatnosti i moguih posljedica, te prijedlozima za smanjivanje rizika. Nakon prezentacije Izvjetaja emo odgovoriti na vaa pitanja, te zajedno sa vaim IT strunjacima osmisliti strategiju unapreenja sigurnosti.

69. to je SSL i zato nam je potreban? SSL (Secure Sockets Layer) je tehnologija za kreiranje ifrirane veze izmeu web servera i browsera. Na taj nain zatiuju se podaci koji se prenose izmeu browsera i web servera. SSL se najee koristi kod on-line trgovina kako bi se zatitio prijenos podataka o kreditnim karticama i slino. Da biste mogli koristiti tu tehnologiju na vaem web stranici potreban vam je SSL certifikat. Prenose se nezatieni podaci kroz zatiene komunikacijske kanale. Upravo to radi SSL protokol. Zatitu ostvaruje snanim ifriranjem, a za identifikaciju koristi poznatu tehniku: sustav javnih kljueva (Public Key Criptography). Prilikom stvaranja SSL-a postavljeni su sljedei ciljevi (po prioritetima): 1. Kriptografska zatita (Criptographic Security). SSL ostvaruje zatitu podataka za ostvarenje sigurne veze izmeu dva sudionika u komunikaciji. 2. Neovisnost o softveru i hardveru (Interoperability). Omoguiti programerima stvaranje softvera koji implementira SSL tako da dva razliita softvera mogu razmijeniti parametre ifriranja, bez meusobnog poznavanja kda. 3. Proirivost (Extensibility). Kreirati okvir unutar kojeg se mogu uklopiti nove metode ifriranja javnim i simetrinim kljuem ukoliko se se za to pojavi potreba. Time se istovremeno ostvaruju dva podcilja:

spreava potrebu za stvaranjem novih protokola (uz rizik njihovih moguih nedostataka) spreava potrebu implementacije potpuno novih metoda ifriranja

4. Relativna efikasnost (Relative efficiency). ifriranje zna biti vrlo zahtjevno za procesor raunala, posebno kada se koristi asimetrino ifriranje. Zbog toga SSL pamti (cache) komunikacijske parametre ostvarenih veza kako bi smanjio broj veza koje mora ispoetka stvarati, ime ujedno manje optereuje mreu. 70. Koji su zahtjevi vezani uz sigurnost radne stanice na razini operacijskog sustava 71. to je Phishing? Kako moemo otkriti Phishing? Phishing je jedan od oblika prijevare koji podrazumijeva skup aktivnosti kojima neovlateni korisnici koritenjem lanih poruka elektronike pote i lanih web stranica veinom financijskih organizacija pokuavaju korisnika navesti na otkrivanje povjerljivih osobnih podataka kao to su JMBG, korisnika imena i zaporke, PIN brojevi, brojevi kreditnih kartica i sl. Naalost velik broj korisnika nije upoznat s ovim tipom prijevare. Jednom kad dou do ovih informacija, zlonamjerni korisnici se ili sami njima koriste ili ih prodaju kako bi doli do podataka o drugim osobama. Elektronike poruke se obino oslanjaju na lana web odredita koja izgledom sasvim odgovaraju web odreditima legitimnih tvrtki. Najei oblici phishinga U najee primjere phishinga spadaju:

Lana upozorenja banaka ili drugih financijskih organizacija u kojima se od korisnika trai upisivanje osobnih podataka kako u suprotnom ne bi dolo do ukidanja rauna. Prijevare sa aukcijskim web stranicama (eBay), u kojima se korisnika nagovora na uplatu odreene novane svote kako bi se kupio neki proizvod, ime korisnik zapravo, mislei da kupuje proizvod, vri uplatu na lani raun. Lane poruke od administratora u kojima se trae korisniki podaci kao to su lozinke. Razne obavijesti u kojima se pokuava iznuditi novac za lane dobrotvorne akcije. Poruke u kojima se korisnika pokuava namamiti da uplati odreenu svotu novaca na lani raun (npr. poruka o drastinom smanjenju cijene nekog proizvoda kojeg se moe kupiti samo na Internetu).

Poruke koje se pozivaju na sigurnost i zahtijevaju od korisnika otkrivanje osobnih informacija (korisniki raun, lozinku itd.) ili zahtijevaju instalaciju programa za kojeg se tvrdi da je zakrpa za pronaeni sigurnosni propust Poruke koje vas obavjetavaju da ste dobili na lutriji i da trebaju Vae osobne podatke kako bi mogli podii dobitak

Kako prepoznati phishing poruku? Prevaranti esto kopiraju vizualni izgled pravih e-mail poruka banaka i drugih kompanija. U posljednje vrijeme lane poruke su u potpunosti identine s originalnima, meutim postoje odreeni detalji koji odaju prijevaru:

pravopisne i gramatike pogreke u poruci zahtijevaju se osobni podaci zahtijeva se instalacija programa za kojeg se tvrdi da je zakrpa za pronaeni sigurnosni propust lani linkovi u poruci nekoritenje SSL i digitalnih certifikata tijelo poruke je zapravo HTML obrazac nerealna obeanja pogreke u zaglavlju elektronike poruke poruke zahtijevaju hitan odgovor poruke ne glase na odreenu osobu

72. to je DDoS, te kako se titimo od njega? DoS dolazi od Denial of Service, odnosno napad uskraivanjem usluga. Radi se o vrsti napada u kojem se obino namjernim generiranjem velike koliine mrenog prometa nastoji zaguiti mrena oprema i posluitelji. Isti postaju toliko optereeni da vie nisu u stanju procesirati legitimni promet to na kraju ima za posljedicu da legitimni korisnici ne mogu koristiti mrene usluge poput maila weba i sl. DDoS dolazi od Distributed Denial of Service, a radi se o obliku napada uskraivanjem usluga u kojem su izvori zaguujueg mrenog prometa distribuirani na vie mjesta po Internetu. Najee se radi o raunalima na koja je prethodno provaljeno kako bi ih se iskoristilo za napad na druge mree ili raunala na Internetu. 73. to je LDAP i zato je bitan LDAP (Lightweight Directory Access Protocol) je standard na Internetu koji klijentu (engl. client) ili radnoj stanici (engl. workstation), preko TCP/IP mree, omoguuje pregledavanje i uporabu adrese elektronike pote (engl. e-mail) na LDAP posluitelju (engl. server). On je jednostavnija inaica X.500 protokola za pristup direktoriju u modelu za povezivanje otvorenih sustava. Zahvaljujui jednostavnosti, fleksibilnosti i praktinosti omoguava izradu brzih i tonih informacijskih servisa. LDAP prua mogunost registriranja klijenta, ili dokazivanja identiteta ime se moe potpuno ili djelomino pristupiti podacima, ili brani pristup podacima

74. Zato nam je potrebna raunalna forenzika, te koji su glavni postupci prilikom forenzikog rada? Za podrku akcijama protiv osoba ili organizacija je nuno imati odgovarajue dokaze. U sluaju internih disciplinskih postupaka dokazi e biti opisani internim procedurama. U sluaju da akcija ukljuuje zakonske mjere, bilo prekrajne bilo krivine, tada prezentirani dokazi trebaju biti usklaeni sa pravilima za prikupljanje dokaza, odreenima kroz relevantne zakone ili pravilima suda kod kojeg se provodi postupak. Ta pravila openito ukljuuju: a) prihvatljivost dokaza da li ili ne dokaz moe biti koriten na sudu b) teinu dokaza kvalitetu i potpunost dokaza c) adekvatne dokaze da su kontrole provoene korektno i konzistentno (tj. dokazi o procesu kontrole) kroz razdoblje u kojem su dokazi bili pohranjivani i obraivani od strane sustava Kvaliteta i potpunost dokaza Radi postizanja kvalitete i potpunosti, potreban je snaan dokazni trag. Openito, takav se snaan trag moe uspostaviti pod slijedeim uvjetima: a) za papirnate dokumente originali trebaju biti sigurno pohranjeni i mora biti zabiljeeno tko ih je pronaao, kada i tko je tome svjedoio. Svaka istraga treba osigurati da se ne manipulira sa originalima. b) za informacije na raunalnim medijima potrebno je nainiti kopije izmjenjivih medija, te informacija na tvrdim diskovima i u memoriji, kako bi se osigurala dostupnost. Potrebno je sauvati dnevnik svih aktivnosti poduzetih tijekom kopiranja, a samom postupku netko treba prisustvovati i posvjedoiti. Jedna kopija medija i dnevnika trebaju biti sigurno pohranjene. Kada se incident prvi puta otkrije, ne mora biti oito da e rezultirati sudskim postupkom. Stoga postoji opasnost nehotinog unitenja potrebnih dokaza prije nego to je uoena ozbiljnost poinjenog incidenta. Preporuljivo je u ranoj fazi bilo kakve pravne akcije angairati odvjetnika ili policiju i zatraiti savjete o potrebnim dokazima