Upload
georgia-becker
View
75
Download
6
Embed Size (px)
DESCRIPTION
Svojstva i vrijednost informacije Informacijska sigurnost. SVOJSTVA INFORMACIJE OČEKIVANA VRIJEDNOST INFORMACIJE PROCIJENJENA VRIJEDNOST INFORMACIJE INFORMACIJSKA SIGURNOST KVALITETA INFORMACIJA. Svojstva informacije. SVOJSTVA INFORMACIJA U ODNOSU NA SVOJSTVA FIZIČKIH ROBA - PowerPoint PPT Presentation
Citation preview
Upravljanje informacijskim resursima 2008/09
1
Svojstva i vrijednost informacije
Informacijska sigurnostSVOJSTVA INFORMACIJE
OČEKIVANA VRIJEDNOST INFORMACIJE�PROCIJENJENA VRIJEDNOST INFORMACIJE
INFORMACIJSKA SIGURNOSTKVALITETA INFORMACIJA
Upravljanje informacijskim resursima 2008/09
2
SVOJSTVA INFORMACIJA U ODNOSU NA SVOJSTVA FIZIČKIH ROBA Informacija nije nužno proizvod proizvodnje Informacija se može proizvesti uz malo ili bez ikakvih troškova Svaka se informacija razlikuje od bilo koje druge informacije; ako nije tako
onda nema za korisnika karakter novosti Informacija se može razmjenjivati; prihvaćanje informacije u potpunosti je
osobno iskustvo Informacija nije nužno rijetka (oskudna) premda dobra informacija nije
uvijek i raspoloživa Informacija može imati višestruke efekte i pozitivne i negativne Informacija je djeljiva (nerivalitetna) – nepotrošna; ako ju koristi jedna
osoba ne znači da ju ne može koristiti istovremeno i druga Informacija može postojati u dijelovima Informacija može biti potpuno lažna, potpuno istinita, djelomično lažna i
djelomično istinita ili niti lažna niti istinita Informacija ne može postojati razdvojena od svoje vrijednosti (koju za
primatelja ima)Izvor: Audrey Fenner, Placing Value on Information,
Library Philosophy and Practice Vol. 4, No. 2 (Spring 2002), http://www.webpages.uidaho.edu/~mbolin/fenner.html
Svojstva informacije
Upravljanje informacijskim resursima 2008/09
3
Kao resurs Osnova za odlučivanje Za stvaranje dodane vrijednosti Kao imovina
◦ Zapisi o proizvodnim procedurama (Patenti, licence i druga intelektualna imovina)
◦ Softverska rješenja Kao potrošna roba
◦ Komercijalni informacijski servisi
Funkcije informacije
Upravljanje informacijskim resursima 2008/09
4
Teorija odlučivanja bavi se problemom izbora odluka u danom kontekstu odlučivanja (vrijednosti izbora, neizvjesnosti odlučivanja, ograničenja koja se prilikom izbora postavljaju pred donositelja odluke, utjecaja vremenskog horizonta za koji se odluke donose, preferencija donositelja odluka i slično i obuhvaća više različitih modela i metoda)
Odluka se temelji na informacijama i ovisi o◦ (mentalnom) modelu za odlučivanje◦ Svojstvima informacije
Teorija odlučivanja i problem vrednovanja informacije
Upravljanje informacijskim resursima 2008/09
5
Pravodobnost – da ju korisnik može dobiti onda kad mu treba Točnost – da je provjerljiva i dokaziva i da nema za korisnika protuslovno
značenje Potpunost – da obuhvaća sve potrebne aspekte onoga o čemu govori Pouzdanost – da korisnik ima povjerenja u izvor i sadržaj bez
provjeravanja Efektivnost: informacija je relevantna za sustav i može se isporučiti
pravovremeno, da je ispravna, konzistentna, upotrebljiva i cjelovita Efikasnost: informacija se može iskoristiti uz optimalno iskorištenje
resursa Povjerljivost: informacija je zaštićena od neautoriziranog pristupa Integritet: odnosi se na točnost i cjelovitost informacije i njezinu
ispravnost u odnosu na sustav vrijednosti i očekivanja Raspoloživost: informacija je raspoloživa u momentu kad je potrebna
(implicira njezino zbrinjavanje) Usuglašenost: informacija je u suglasju sa zakonskom regulativom i
ugovornim obvezama korisnikaIzvor: Gellinas, Suton: Accounting information Systems, str. 33
Potrebna i poželjna svojstvainformacije
Upravljanje informacijskim resursima 2008/09
6
Vrijednost informacije (VoI) predstavlja iznos koji je donosilac odluke voljan platiti za informaciju prije donošenja odluke.◦ (wiki: Expected value of perfect information/Decision theory/Applied Information
Economics/Information economics
To je maksimalna cijena koju je netko voljan platiti znajući aktualnu vrijednost neizvjesnosti prije odluke o planiranim akcijama◦ http://www.businessdictionary.com/definition/value-of-information.html
Vrijednost informacije
Upravljanje informacijskim resursima 2008/09
7
Vrijednost (savršene) informacije u teoriji odlučivanja (VoI) predstavlja iznos (cijenu) koji je donosilac odluke voljan platiti za informaciju prije donošenja odluke.
Model: Postoji matrica Rij u kojoj redak i opisuje moguće izbore donositelja odluke a stupac opisuje slučajne varijable o kojima donositelj odluke nema dostatna znanja i koje imaju vjerojatnost pj za stanje j. Ako donositelj izabare j bez da znade vrijednost j najbolji izbor je onaj koji maksimizira očekivanu monetarnu vrijednost
Gdje je
očekivana vrijednost (dobitak) za akciju i tj. vrijednost koju očekuje donositelj odluke i ona je:
izbor maksimuma ovih očekivanja za sve raspoložive akcije (oduke).
Vrijednost informacije – formalni aspekt
Izvor: Prevedeno:
Upravljanje informacijskim resursima 2008/09
8
S druge strane, sa savršenim znanjem o j, igrač može izabrati vrijednost od i tako da optimizira očekivanja za specifičan j. Iz toga je očekivana vrijednost savršene informacije
Gdje je pj vjerojatnost da će sustav biti u stanju j a Rij je vrijednost (dobitak, korist) za donositelja odluke ako izabere akciju i dok je sustav u stanju j. Ovdje
predstavlja najbolji izbor akcije (odluke) i za svako stanje j
Očekivana vrijednost savršene informacije je razlika između ovih dviju vrijednosti
Ova razlika opisuje koliko velikoj vrijednosti se donositelj odluke može u svojim očekivanjima nadati ako znade j i izabere najbolji i za taj j u usporedbi sa slučajem da je izabrao i a da prethodno nije znao j. EV|PI je nužno veće ili jednako EMV tj. EVPI je uvijek nenegativno.
EVPI se može koristiti ako želimo odbiti skupu ponudu za znanje čija je cijena veća od EVPI. (Manje je korisna ako moramo odlučiti da li da prihvatimo ponudu za predviđanje, zato jer bismo trebali znati kvalitetu informacije koju ćemo prihvatiti.)
Vrijednost informacije
Upravljanje informacijskim resursima 2008/09
9
Vrijednost u upotrebi:◦ Za korisnika u situacijama kad za njom postoji potreba (rješavanju
domenskog problema)◦ Vrijednost se ne može definirati unaprijed već već procijeniti
unazad tek kad je iskorištena (za stvaranje novog znanja op. JM) Dobitak zbog posjedovanja informacije Gubitak zbog neposjedovanja informacije
◦ Nema istu vrijednost za dva korisnika Vrijednost u razmjeni:
◦ na organizacijskoj razini kada je informacija predmet trgovine – predmet ponude i potražnje kao i druga roba sa svojim elementima kvalitete
Izvor: W, Engelsman, Information Assets and their Value, [email protected] (Repo, A.J. The dual approach to the value of information – an appraisal of use and exchange values, Information processing & management, 22 (5): 373-383, 1986
[Rep89] Repo, A.J. The Value of Information: Approaches in Economics, Accounting, and Management Science. Journal of the American society for information Science,40(2):68-85,1989
Vrijednost informacije – praktični aspekt
Upravljanje informacijskim resursima 2008/09
10
Kvaliteta informacije mjeri se sintaksom, semantikom i pragmatikom.
Sintaksa: zahtijeva strogo poštivanje pravila pri prijenosu poruke, koja se odnose na strukturu serije primljenih signala.
Semantika: ocjenjuje ekonomičnost (sažetost) informacije, njezinu jasnoću i korektnost.
Pragmatika: odnosi na pravovremenost prenesene i priopćene informacije.
Sve tri komponente kojima se mjeri kvaliteta informacije važne su i za kvalitetu informacije potrebne za odlučivanje u poslovnom procesu, kao agregat njezinog naturalnog i vrijednosnog izraza.◦ Izvor: http://www.uqmbih.org/iso/info_zahtjevi.pdf
Mjerila kvalitete inforamcije
Upravljanje informacijskim resursima 2008/09
11
Subjektivna vrijednost informacije: Korisniku svojstvena vrijednost (Intrinzična):
točnost, objektivnost, povjerljivost, reputacija izvora Kontekstualna vrijednost: relevantnost, dodana
vrijednost, pravovremenost Reprezentacijska vrijednost: lakoća
razumijevanja, interpretabilnost, konciznost reprezentacije, konzistentnost reprezentacije
Pristupna vrijednost: pristup i sigurnost pristupa Izvor: Wang, R. & Strong, D. (1996) "Beyond Accuracy: What Data Quality Means to Data
Consumers". Journal of Management Information Systems, 1996. 12(4): p. 5-34.
Dimenzije kvalitete informacije
Upravljanje informacijskim resursima 2008/09
12
Autoritet izvora (informacija je prošla ekspertizu ili priznati status izvora) Obuhvat koji pokriva – širina i dubina u kojima izvor obuhvaća područje Kompozicija i organizacija – informacija je predstavljena na logičan i
dosljedan (usklađen s pravilima) način Objektivnost – nepostojanje pristranosti u interpretaciji Integritet - privrženost moralnim i etičkim principima, cjelovitost Opsežnost – doseg koji pokriva informacija; sadržajnost Pravovaljanost (nepobitnost, validnost) - stupanj očevidne istinitosti
koju informacija ima Jedinstvenost – priroda izvora i način na koji je informacija predstavljena Pravovremenost – aktualnost, svježina, koliko je važeća Reproduktivnost – koliko je ako se odnosi na neki skup podataka u
mogućnosti biti iskorištena na drugi skup a da daje konzistentne rezultate
◦ http://en.wikipedia.org/wiki/Information_quality
Metrike kvalitete informacije
Upravljanje informacijskim resursima 2008/09
13
Problem – postoji mnoštvo podataka (informacija) osobnih ili organizacijskih (poslovnih, institucionalnih, vojnih…) čija se kvaliteta i upotrebna vrijednost mogu na različite načine umanjiti ili potpuno uništiti ili zloupotrijebiti u različite svrhe
Rješenje: zaštita i osiguranje uvjeta u kojima će se zloupotrebe spriječiti i dovesti na najmanju moguću mjeru.
Informacijska sigurnost i kontrola
Upravljanje informacijskim resursima 2008/09
14
Sigurnost - vjerojatnost da će sustav u nekom vremenu raditi ispravno
Rizik – vjerojatnost da sustav neće raditi kako treba i/ili da će se ostvariti neka prijetnja
Prijetnja – nešto što može izazvati štetu Ranjivost – slabost sustava koja može
pogodovati nastanku štete
Sigurnost, rizici, ranjivost i prijetnje
RIZIK=PRIJETNJAxRANJIVOSTxVRIJEDNOST_IMOVINE
Upravljanje informacijskim resursima 2008/09
15
Informacijska sigurnost i kontrola
Triada informacijske sigurnosti
Sigurnost stvari i osoba i postupaka
Informacijska sigurnost –triada
Zaštita informacija i informacijskog sustava od neautoriziranog pristupa, upotrebe, otkrivanja, remećenja, modifikacije ili oštećenja. Zaštita se sprovodi s ciljem osiguranja◦ Integriteta – što znači zaštite točnosti i
cjelovitosti - zaštite od od neprimjerene modifikacije ili uništenja a uključuje i povrede prijema i odašiljanja podataka i informacija i autentičnosti (vjerodostojnosti)
◦ Povjerljivosti – što znači očuvanje autoriziranih ograničenja na pristup, otkrivanje (objavu) , privatnost i vlasništvo nad podatcima i informacijama
◦ Raspoloživosti – što znači osiguranja pravovremenosti i pouzdanosti pristupa i korištenja informacija
Izvor: http://www.law.cornell.edu/uscode/html/uscode44/usc_sec_44_00003542----000-.html
KOMUNIKACIJA
HARDVER SOFT
VER
Integritet Raspoloživost
Povj
erljiv
ost
INFORMACIJA
Upravljanje informacijskim resursima 2008/09
16
Informacijska sigurnost i kontrola
Fizička i osobna sigurnost 6 atributa sigurnosti
Tajnost
Raspoloživos
t
Posjed ikontrol
a
Povjerljivost
Korisnost
Integritet
Informacijska sigurnost – heksada
Atributi informacijske sigurnosti su nedjeljivi i ne rastavljaju se na druge sastavnice
Ne preklapaju u sadržaju Odražavaju jedinstveni aspekt
informacije Bilo koja zloupotreba reflektira se
na barem jedan od šest atributa
◦ Izvor: Parker, Donn B. “"Toward a New Framework for Information Security", in The Computer Security Handbook, 4th ed., edited by Seymour Bosworth and M. E. Kabay • New York, NY: John Wiley & Sons, 2002 • ISBN 0471412589
Informacija
Upravljanje informacijskim resursima 2008/09
17
Ovo je priča o četvoro ljudi koji su se zvali Svatko, Netko, Bilotko i Nitko. Trebalo je uraditi važan posao i Svatko je bio siguran da Netko mogao uraditi taj posao. Bilotko je mogao obaviti taj posao ali Nitko nije. Sada kada je Netko postao ljut zato što je to trebao uraditi Svatko a Svatko je mislio da će to uraditi Bilotko, ali je Nitko shvatio da to neće uraditi Svatko. Završilo je tako da je Svatko krivio Ne(t)kog dok Nitko nije uradio što je Bilotko mogao uraditi.
(prevedeno iz:http://en.wikipedia.org/wiki/Information_security
United States government images, File:Cx-26146-003.jpg)
Informacijska sigurnost – odgovornost svakog pojedinca
http://en.wikipedia.org/wiki/Information_security
Upravljanje informacijskim resursima 2008/09
18
Povreda bilo kojeg aspekta (atributa) sigurnosti donosi sa sobom određene rizike. Menadžment rizika sastoji se od:
Procjene sveukupne imovine i njezine vrijednosti: zgrade, hardvera, softvera, podataka
Procjena ljudi (radne snage) Procjena prijetnji koja uključuje djelovanje prirodnih sila, ratova,
nesreća, zlonamjernih aktivnosti unutar i van organizacije Procjena ranjivosti a za svaku ranjivost izračun vjerojatnosti koja će
koristiti. Uz to nužno je vrednovati politike, procedure, standarde, obuku, fizičku sigurnost, kontrolu kvalitete, tehničku sigurnost
Izračunati utjecaj svake prijetnje na pojedinačni dio imovine i ljude (kvantitativni i kvalitativni
Identificirati, odabrati i implementirati primjerenu kontrolu. Razmotriti produktivnost, troškovnu efektivnost i vrijednost imovine,
Procijeniti efektivnost kontrolnih mjera.
Rizici i informacijska sigurnost
Upravljanje informacijskim resursima 2008/09
19
ISO/IEC 27002; PREPORUKE ZA INFORMACIJSKLU SIGURNOST – Menadžment informacijskih rizika
Osigurati konzistentnu sigurnosnu politiku Organizirati informacijsku sigurnost Definirati sredstva i način upravljanja tim sredstvima Definirati sva pitanja osobne sigurnosti Definirati pitanja fizičke sigurnosti i sigurnosti okruženja Definirati pitanja sigurnosti komunikacija i operacijskog menadžmenta Definirati način upravljanja incidentima u slučaju narušavanja
informacijske sigurnosti Osigurati kontinuitet rada u upravljanje kontinuitetom i regulatorne
mjere za sukladnost metoda i postupaka Identificirati, izabrati i implementirati primjerenu kontrolu, njezinu
efektivnost i mjere sprovođenja Razraditi elemente produktivnosti, troškova i vrijednosti sredstava
Upravljanje informacijskim rizicima
Upravljanje informacijskim resursima 2008/09
20
Administrativne kontrole Pisane politike, procedure, standardi i uputstva iz poslovnog sustava Politika korisničkih imena i zaporki, pravila korištenja Zakonske kontrole Standardi informacijske sigurnosti za pojedine vrste poslovanja (kartice, tokeni...) Logičke kontrole Koriste softverska rješenja i podatke za nadzor i kontrolu pristupa informacijama u
računalnom sustavu (zaporke, vatrozidi, sustavi za detekciju upada, kontrolne liste za pristup pojedinim resursima, kriptiranje podataka)
Princip najnižih privilegija – zahtjeva da se pojedincu daju one privilegije koje su dostatne za izvršenje njegovih zadataka (npr. za operacijski sustav samo korisnička zaporka ali ne i administratorska)
Fizičke kontrole Obuhvaćaju nadzor i kontrolu radnog okruženja i računalne opreme (vrata, brave,
sustave za grijanje i hlađenje, alarmne sustave za atrodojavu i dim, kamere, prozore, kablove za zaključavanje itd.)
Razdvajanje dužnosti i dozvola za kritične situacije nositelja pojedinih aktivnosti (blagajna, primjenski programi, administriranje baze, programiranje)
Kontrole sigurnosti
Upravljanje informacijskim resursima 2008/09
21
Kontrola pristupa Autorizacija (identifikacija i autentifikacija) korisnika računalnog
sustava Autorizacija (identifikacija i autentifikacija) pristupa podatcima Autorizacija (identifikacija i autentifikacija) pristupa programima Identifikacija je dokaz o tome tko je što ili što je što Autentifikacija – je čin verifikacije zahtjeva za identifikacijom.
Provodi se kroz tri tipa informacije (ili njihovom kombinacijom)◦ Nešto što onaj koji se identificirao znade (PIN, zaporka, korisničko_ime)◦ Nešto što onaj koji se identificirao znade ima (magnetna kartica, čip kartica,
iskaznica...)◦ Nešto što onaj koji se identificirao znade jest (otisak prsta, glas, rožnica
oka...) Nakon autorizacije otvaraju se opcije dozvola za korištenje resursa
(pokretanje programa i datoteka, pregled, kreiranje, brisanje, izmjene)
Kontrola pristupa
Upravljanje informacijskim resursima 2008/09
22
Pistupni mehanizmi (temeljeni na administrativnim politikama i procedurama)
Ne –diskrecijski pristup: sve pristupne kontrole se administriraju u centraliziranom sustavu. Kontrole se temelje na funkcijama (ulogama ) koje pojedinci izvršavaju
Diskrecijski pristup: vlasnik ili kreator informacijskog resursa određuje prava pristupa tom resursu
Mandatni pristup: pristup je dozvoljen ili nije dozvoljen ovisno o tipu informacijskog resursa
(Današnji računalni sustavi i metode: sustavi temeljeni na ulogama, Grupne politike – postavke omogućuju mrežni operacijski sustavi (Kerberos, RADIUS, pristupne liste na vatrozidima i ruterima
Kontrole moraju biti podržane, moraju omogućiti registiranje i prebrojavanje aktivnosti, (log datoteke) i sve aktivnosti moraju ostaviti neki registirirani trag (putanju)
Kontrola pristupa - mehanizmi
Upravljanje informacijskim resursima 2008/09
23
Kriteriji klasifikacije (određuje ih uprava i menadžment na temelju sigurnosne politike).
Vrijednost informacije za organizaciju,◦ Aktualnost informacije i brzina zastarjevanja◦ Zakonska regulativa za pojedine informacije◦ Svakoj se kategoriji informacija dodjeljuje klasifikacijska
oznaka i potrebne kontrole Klasifikacija
◦ Javne◦ Osjetljive◦ Privatne◦ Povjerljive◦ Tajne ◦ Vrhunski tajne
Klasifikacija informacija s aspekta sigurnosti
KRIPTOGRAFIJA – prevođenje iskoristive informacije u oblik (formu) koja je neiskoristiva bilo kome drugom osim autoriziranom korisniku – onome koji znade ključ za prevođenje. Proces se naziva kriptiranje (enkripcija)
Upravljanje informacijskim resursima 2008/09
24
Rizici i ulaganja u zaštitu – nalaženje optimuma
Veličina rizika
Ulaganja uzaštitu/Štete
Rizici Ulaganja
Max Min
Max
Min
optimum
Upravljanje informacijskim resursima 2008/09
25
ISO/IEC 27002 - dio je ISO 27000 serije standarda o informacijskoj sigurnosti i sigurnosti informacijske tehnologije. Temelji se na rezultatima i preporukama najbolje prakse. Temelji se na triadi informcijske sigurnosti.
Prema preporukama ISO/IEC 27002:2005 za ISMS nužno je: Definirati sigurnosnu politiku Organizirati informacijsku sigurnost Definirati upravljanje imovinom Definirati sigurnost ljudskih resursa Definirati fizičku sigurnost Definirati sigurnost okruženja Definirati upravljanje komunikacijama i operacijama te kontrolu pristupa
informacijama Definirati način prikupljanja, razvoja i održavanja podataka i informacija Upravljanje u incidentnim slučajevima narušavanja informacijske sigurnosti Upravljanje kontinuitetom poslovanja i usklađenost regulatornih mjera
Standardi informacijske sigurnosti
Upravljanje informacijskim resursima 2008/09
26
UPRAVLJANJE RIZICIMA (RISK MANAGEMENT) se sastoji od: Identifikacije imovine i procjene njezine vrijednosti (ljudi,
zgrade, hardver, softver, podatci) Procjene prijetnji (djelovanja prirode, ratova, nesreća,
zlonamjernog djelovanja unutar i van organizacije) Procjene ranjivosti a za svaku vrstu ranjivosti izračunati
vjerojatnost. Vrednovati politike, postupke, standarde, obuku, fizičku sigurnost, kontrolu kvalitete, tehničku sigurnost
Izračunati utjecaj svake prijetnje na pojedinu vrstu imovine- kvantitativne i kvalitativne analize
Identificirati, izabrati i implementirati odgovarajuće kontrole. Razmotriti pitanja produktivnosti, troškovne efektivnosti i vrijednost sredstava (imovine)
Procijeniti efektivnost kontrolnih mjera i utjecaj na produktivnost
Upravljanje rizicima prema ISO/IEC 27002
Upravljanje informacijskim resursima 2008/09
27
Izvori i oblici prijetnjiPRIJETNJE
IZVOR OBLIK IZVOR OBLIK
LJUDI -NAMJERNE
PRIJETNE
Neautorizirani pristup
OPREMA
Tehnička pogreškaopreme
Krađa Napajanje energijomPrisluškivanje Prekidi komunkacijeVirusi ZračenjaSabotaža
PRIRODA
OnečišćenjaDiverzija PožarŠpijunaža Incidentne situacijeRazaranja Vremenske nepogode
LJUDI -NENAMJERNI
UTJECAJI
Nepažnja PotresiNemar PoplaveNeznanje
Nedisciplina
Neprikladniprogram
Lošaorganizacija
Upravljanje informacijskim resursima 2008/09
28
NIST (National Institute of Standards and Technology , SAD)–klasifikacija Pogreške i propusti
◦ Pogreške u unosu podataka◦ Pogreške u programiranju
Prevare i krađe – upotreba prava koja ne pripadaju korisniku na neku vrstu podataka (pristup bankovnim računima i skidanje malih iznosa)
Sabotaže zaposlenika◦ Uništenje hardverskih komponenata◦ Postavljanje “logičkih bombi” – programskih rješenja koja mogu uništiti ostale programe ili podatke◦ Pogrešan (namjerni) unos podataka◦ Unos programa koji ruše sustav◦ Brisanje podataka◦ Uzimanje podataka za ucjene◦ Promjene podataka
Gubitak fizičke i infrastrukturne potpore izazvan vanjskim utjecajima (gubitak napajanja, potres, poplava) Hakerski napadi –vanjski napadi- krađa podataka, neautorizirani pristup podatcima i njihovo brisanje,
unošenje bagova Malware (maliciozni napadi)
◦ Virusi – dijelovi programskog koda koji se mogu sami replicirati i dodaju se izvršnim datotekama (od slanja poruka, usporavanja rada do formatiranja diska)
◦ Trojanski konji – programi koji se sami instaliraju i izvode različite neželjene aktivnosti◦ Crvi (warms) – programi koji se automatski izvršavaju i izazivaju značajno smanjenje performansi računalnog sustava.
Prijetnje osobnoj sigurnosti – krađa privatnih podataka iz različitih privatnih baza podataka Onemogućavanje usluga (pristup mrežnim servisima)
Prijetnje računalnoj sigurnosti – NIST klasifikacija
Upravljanje informacijskim resursima 2008/09
29
Recommendation (89)9 of European Council Računalne zloupotrebe Računalno krivotvorenje Oštećivanje podataka i programa Računalna sabotaža i neautorizirani pristup Neautorizirano osluškivanje Neautorizirana reprodukcija zaštićenih računalnih programa Neautorizirano kopiranje topografije poluvodičkih elemenata Neautorizirana promjena podataka i/ili programa i dodatne
sigurnosne prijetnje Računalna špijunaža Neautorizirana upotreba računalnih sustava Neautorizirano kopiranje zaštićenih računalnih programa
Prijetnje računalnoj sigurnosti – klasifikacija Europske komisije
Upravljanje informacijskim resursima 2008/09
30
Načini rješavanja informacijskih prijetnji
Prijetnje Zaštita
1. Pogreške i propusti1. Pogreške u unosu
podataka2. Pogreške u programiranju
2. Prevare i krađe3. Sabotaže4. Gubitak fizičke i
infrastrukturne potpore5. Hakerski napadi i
malware
1. Prevencija pogrešaka i propusta1. Izrada sučelja za unos podataka s javljanjem
pogreške o tipu podataka2. Testiranje programa na dovoljno velikom
skupu podataka2. Autentifikacija, identifikacija,
autorizacija, kriptiranje podataka3. Onemogućavanje fizičkog pristupa,
softverska i hardverska zaštita uređaja i datoteka
4. Čuvanje rezervnih kopija podataka na posebno zaštićenim mjestima, UPS i rezervna napajanja
5. Softverska zaštita – specijalizirani programi (protiv advera, spyvera, antivirusna zaštita, protiv pishinga-a, pharming-a, podešavanje i filtriranje prometa – vatrozid (firewall ) – osobni i mrežni