Professional Documents
Culture Documents
Sigurnost Informacionih Sistema
Sigurnost Informacionih Sistema
Odgovor Zaštita
Otkrivanje
Što je informacijska sigurnost?
Virusi 4%
Ljudske pogreške
55%
Vanjski napadi 3%
Mrzovoljni
zaposlenici
9%
Nepošteni
zaposlenici
10%
Principi sigurnosti informacijskih sustava
• Organizacija za ekonomsku suradnju i razvoj (engl. The
Organisation for Economic Cooperation and Development -
OEDC ) je ustanovila 9 principa sigurnosti informacijskih
sustava:
• neugodnost sustava
- netransparentni rad + forsirana autentifikacija i
- autorizacija na svim medijima prije rada
- politika "idem zabraniti, pa du dozvoliti ako de se
netko žaliti"
Što je računalni kriminal ?(1)
• D. Parker: “opda forma kroz koju se ispoljava različiti
oblik kriminalne aktivnosti, forma koja de u
bududnosti postati dominantna”…
• Taber: “računalski delikt koji uključuje visokostručne
operacije na računalu u okolnostima gdje do povrede
ne bi moglo dodi na drugi način” (krađa, uništenje,
oštedenje)…
• Muhlen: “računalo sredstvo ili cilj kaznenog djela”…
Što je računalni kriminal (2)
• Krapac: “računalski kriminal označava sve slučajeve
zloupotrebe elektronskog računala koji su pravno
određeni kao kaznena djela”….
• Dragičevid: računalni kriminal je ukupnost kaznenih
djela, učinjenih na određenom području kroz
određeno vrijeme, kojima se neovlašteno utječe na
korištenje, cjelovitost i dostupnost, programske ili
podatkovne osnovice računalnog sustava ili tajnost
digitalnih podataka”…
Izvori prijetnji Motiv Akcije
Haker, craker
• Izazov • Hakiranje
• Ego • Socijalni inženjering
• Pobuna • Upad sustav
• Neautoriziran pristup
sustavu
Kompjuterski
kriminal • Uništenje informacija • Kompjuterski kriminal
• Ilegalno otkrivanje • Neovlaštene radnje
podataka (presretanje informacija,
• Novčani dobitak lažno predstavljanje...)
• Ilegalna izmjena • Podmetanje informacija
podataka • Ometanje, ulaženje u
sustav
Teroristi
• Uništavanje informacija • Bombaški napadi
• Ucjene • Rat informacijama
• Izrabljivanje • Probijanje u sustav
• Osveta • Uplitanje u sustav
Poslovna
špijunaža • Prednost u poslovanju • Ekonomsko iskorištavanje
(kompanije, • Ekonomska špijunaža • Krađa informacija
inozemne vlade i • Korist • Upad u privatnost
sl.) • Neautorizirani upadi u
sustav
Insiders (upućena
osoba) • Radoznalost • Napad na djelatnike
(nezadovoljstvo, • Ego • Ucjena
zlonamjernost, • Snalažljivost • Brisanje podataka
nemarnost....) • Novac • Prijevare i krađe
• Osveta • Presretanje
• Namjerne greške i • Sabotaža
propusti
Postupanje s računalnim kriminalom
• Prevencija: procjena rizika i analiza prijetnji, fizička
sigurnost, sigurnost osoblja, komunikacijska
sigurnost, operacijska sigurnost, planiranje načina za
borbu protiv računalnog kriminala
• Otkrivanje: mjere otkrivanja, tim za rukovođenje
kriznim situacijama, obrada i pradenje upada, istraga
i pravosudni progon, bilježenje tragova, prikupljanje
dokaza
• Kažnjavanje: rukovanje s dokazima, vještačenje
eksperata, prezentacija na sudu, aktivnosti nakon
presude
Zakoni i uredbe iz područja informacijske
sigurnosti RH
• Narodne novine (www.nn.hr) nisu
organizacija koje se bavi informacijskom
sigurnošdu, ali su primarni izvor za
pronalaženje zakona i uredbi koje donose
sabor i vlada, te krovne organizacije za
pojedine djelatnosti poput Narodne banke
Hrvatske.
Izvor: www.cert.hr - CCERT-PUBDOC-2008-08-238
Legislativa koja se odnosi na sve
organizacije
• Zakon o elektroničkom potpisu (NN 10/02)
• Zakon o zaštiti osobnih podataka (NN 103/03)
• Uredba o načinu pohranjivanja i posebnim
mjerama tehničke zaštite posebnih kategorija
osobnih podataka (NN 139/04)
• Zakon o pravu na pristup informacijama (NN
172/03)
• Zakon o elektroničkoj ispravi (NN 150/05)
Tijela državne vlasti i lokalne
samouprave
• Zakon o sigurnosnim službama (NN 32/02)
• Zakon o informacijskoj sigurnosti (NN 79/07)
• Zakon o sigurnosno-obavještajno sustavu (NN 32/02)
• Zakon o tajnosti podataka (NN 79/07)
• Uredba o mjerama informacijske sigurnosti (NN 46/08)
• Uredba o sigurnosnoj provjeri za pristup klasificiranim podacima
(NN 72/07)
• Uredba o načinu označavanja klasificiranih podataka, sadržaju i
izgledu uvjerenja o obavljenoj sigurnosnoj provjeri i izjave o
postupanju s klasificiranim podacima (NN 102/07)
• Pravilnik o kriterijima za ustrojavanje radnih mjesta savjetnika za
informacijsku sigurnost (NN 100/08)
Banke i kreditne organizacije
• Odluka o primjerenom upravljanju informacijskim
sustavom (HNB, NN 80/07)
• Smjernice za adekvatno upravljanje rizikom
eksternalizacije (HNB listopad 2005.)
• Smjernice Za upravljanje informacijskim sustavom u
cilju smanjenja operativnog rizika (HNB ožujak 2006.)
• Smjernice za ovladavanje rizikom informacijskog
sustava u kreditnim unijama (HNB studeni 2007)
Ostale financijske institucije
• Pravilnik o detaljnom obliku i najmanjem
opsegu te sadržaju revizorskog pregleda i
revizorskog izvješda društava za osiguranje (NN
76/06)
• Pravilnik o uvjetima za obavljanje poslova
ovlaštenog društva (NN 14/07)
• Pravilnik kojim se uređuje poslovanje društva
za upravljanje investicijskim fondovima (NN
25/07)
Napad
• Pasivni - ne mijenja napadnuti objekt
Presjecanje Presretanje
Izmjena Proizvodnja
Prekidanje (eng. interruption), predstavlja napad na raspoloživost.
Prekidanjem ili presijecanjem se prekida tok informacija tj. onemogućava
sepružanje neke usluge ili funkcioniranje nekog sustava. Ova kategorija
uključuje razne tipove napada, poput fizičkih kada osoba isključi usmjerivačili
ga na neki drugi način onesposobi. Također, prekidanje se može izvestitako da
napadač uspije dobiti pristup računalu, poslužitelju i sl. te takoizvede
prekidanje. DoS i DDoS napadi su klasični napadi prekidanja, tj.presijecanja
informacija. Takav napad je aktivan
a) sigurnosna politika;
b) podjela odgovornosti informacijske sigurnosti;
c) svijest o informacijskoj sigurnosti,edukacija i
trening;
d) ispravno procesiranje podataka u aplikacijama;
e) upravljanje ranjivostima;
f) upravljanje poslovnim kontinuitetom;
g) upravljanje sigurnosnim incidentima i
poboljšanjima sustava.