Professional Documents
Culture Documents
Istraživanje Kompjutorskog Kriminaliteta - Skripta
Istraživanje Kompjutorskog Kriminaliteta - Skripta
POSLOVI I OVLASTI
- obavlja stručne i administrativne poslove za Vijeće za nacionalnu sigurnost i Savjet za
koordinaciju sigurnosno-obavještajnih agencija;
- objedinjava dostavljena izvješća i informacije sigurnosno-obavještajnih agencija, izrađuje
periodična izvješća po područjima sigurnosno-obavještajnog djelovanja, te analizira i
ocjenjuje sigurnosno-obavještajne podatke od značaja za nacionalnu sigurnost RH bitne za
obavljanje ustavnih i zakonskih ovlasti Predsjednika Republike i Vlade;
- na zahtjev Predsjednika Republike i predsjednika Vlade surađuje sa sig.-obavještajnim
agencijama u izradi strat. procjena i ocjena sig. pojava važnih za nacionalnu sigurnost RH;
- izdaje uvjerenja (certifikate) o obavljenim sigurnosnim provjerama za osobe koje u
obavljanju svoje dužnosti imaju pristup klasificiranim podacima (i za pravne osobe kada
obavljaju poslove od značaja za nacionalnu sig. RH i na zahtjev stranih zemalja i org.);
- nadzire rad sig.-obav. agencija i Operativno-tehničkog centra za nadzor telekomunikacija;
- dodatne ovlasti iz Zakona o informacijskoj sigurnosti:
- središnje državno tijelo za inf. sig. koje koordinira donošenje i primjenu mjera i standarda
inf. sig. u RH i u razmjeni klas. i neklas. podataka između RH i stranih zemalja i org.;
- donosi pravilnike o područjima informacijske sigurnosti;
- trajno usklađuje propisane mjere i standarde inf. sig. u RH s međunarodnim standardima i
preporukama inf. sig. te sudjeluje u nacionalnoj normizaciji područja inf. sig.;
- koordinira i usklađuje rad Zavoda za sigurnost informacijskih sustava; Nacionalnog CERT-
a; državnih tijela, tijela jedinica lokalne i područne (regionalne) samouprave te pravnih
osoba s javnim ovlastima i savjetnika za informacijsku sigurnost;
- surađuje s mjerodavnim institucijama stranih zemalja i organizacija u području inf. sig. te
koordinira međunarodnu suradnju ostalih tijela i gore nabrojanih pravnih osoba.
SREDIŠNJI REGISTAR
- u sastavu UVNS djeluje Središnji registar za prijam, pohranu i distribuciju informacija i
dokumenata u razmjeni sa stranim zemljama i organizacijama, a u državnim tijelima
podregistri Središnjeg registra.
- utvrđuje pojam informacijske sigurnosti., mjere i standarde inf. sig., područja inf. sig., te
nadležna tijela za donošenje, provođenje i nadzor mjera i standarda inf. sig.;
- primjenjuje na državna tijela, tijela jedinica lokalne i područne samouprave te na pravne
osobe s javnim ovlastima, koje u svom djelokrugu koriste klasificirane i neklasificirane
podatke (u daljnjem tekstu - pravne osobe s javnim ovlastima);
- primjenjuje i na pravne i fizičke osobe koje ostvaruju pristup ili postupaju s klasificiranim i
neklasificiranim podacima.
POJMOVI
- informacijska sigurnost - stanje povjerljivosti, cjelovitosti i raspoloživosti podatka, koje
se postiže primjenom propisanih mjera i standarda inf. sig. te organizacijskom podrškom za
poslove planiranja, provedbe, provjere i dorade mjera i standarda;
- mjere informacijske sigurnosti - opća pravila zaštite podataka koja se realiziraju na
fizičkoj, tehničkoj ili organizacijskoj razini;
- standardi informacijske sigurnosti - organizacijske i tehničke procedure i rješenja
namijenjena sustavnoj i ujednačenoj provedbi propisanih mjera inf. sig.;
- područja informacijske sigurnosti - podjela inf. sig. na pet područja s ciljem sustavne i
učinkovite realizacije donošenja, primjene i nadzora mjera i standarda inf. sig.;
- sigurnosna akreditacija informacijskog sustava - postupak u kojem se utvrđuje
osposobljenost tijela i pravnih osoba s javnim ovlastima za upravljanje sigurnošću
informacijskog sustava, a provodi se utvrđivanjem primijenjenih mjera i standarda inf. sig.;
- informacijski sustav - komunikacijski, računalni ili dr. elektronički sustav u kojem se
podaci obrađuju, pohranjuju ili prenose, tako da budu dostupni i upotrebljivi za ovlaštene
korisnike.
POJMOVI
- hardver - sklopovlje odnosno fizička komponenta informacijskog sustava;
- klasificirani ugovor - ugovor kojim se razmjenjuju klasif. podaci između tijela i pravnih
osoba (državnih tijela, tijela jedinica lokalne i područne samouprave, te pravnih osoba s
javnim ovlastima, koja u svom djelokrugu koriste klasif. i neklasif. podatke) s pravnim i
fizičkim osobama (koje ostvaruju pristup ili postupaju s klasif. i neklasif. podacima);
- kriptomaterijali - kriptografski proizvodi i podaci, programska rješenja ili uređaji za zaštitu
podataka, teh. dokumentacija takvih rješenja i uređaja i odgovarajući kriptografski ključevi;
- medij za pohranu podataka - svaki medij na koji je moguće pohraniti podatke u
elektroničkom obliku;
- opća razina zaštite - skup mjera i standarda u područjima informacijske sigurnosti
propisan za određene stupnjeve tajnosti;
- sigurnosna akreditacija sustava registara - postupak kojim se utvrđuje jesu li
primijenjene mjere i standardi informacijske sigurnosti propisane za organizaciju rada,
osoblje, prostor, informacijske sustave i klasificirane podatke, u prostorima u kojima se
organizira prijem, korištenje, pohrana i daljnja distribucija klasificiranih podataka;
- sigurnosni spremnik - sef, kasa te drugi protuprovalno opremljeni prostor za pohranu
klasificiranih podataka;
- softver - svi operativni sustavi, programi, korisničke i servisne aplikacije;
- ugroza - potencijalni uzrok koji može nanijeti štetu klasificiranom podatku ili
informacijskom sustavu u kojem se koriste klasificirani podaci;
- upravljanje rizikom informacijske sigurnosti - sustavni pristup koji uključuje planiranje,
organiziranje i usmjeravanje aktivnosti, s ciljem osiguravanja da rizici za klasificirane
podatke ostanu u zakonom utvrđenim i prihvatljivim okvirima.
STUPNJEVI TAJNOSTI
- obzirom na stupanj ugroze zaštićenih vrijednosti stupnjevima tajnosti mogu se klasificirati
podaci iz djelokruga državnih tijela u području obrane, sigurnosno-obavještajnog sustava,
vanjskih poslova, javne sigurnosti, kaznenog postupka te znanosti, tehnologije, javnih
financija i gospodarstva ukoliko su podaci od sigurnosnog interesa za RH;
- stupnjevi tajnosti klasificiranih podataka:
- VRLO TAJNO - podaci čije bi neovlašteno otkrivanje nanijelo nepopravljivu štetu
nacionalnoj sigurnosti i vitalnim interesima RH, a osobito sljedećim vrijednostima:
- temelji Ustavom utvrđenog ustrojstva RH;
- neovisnost, cjelovitost i sigurnost RH;
- međunarodni odnosi RH;
- obrambena sposobnost i sigurnosno-obavještajni sustav;
- sigurnost građana;
- osnove gospodarskog i financijskog sustava RH;
- znanstvena otkrića, pronalasci i tehnologije od važnosti za nacionalnu sigurnost RH;
- TAJNO - podaci čije bi neovlašteno otkrivanje teško naštetilo opisanim vrijednostima;
- POVJERLJIVO - podaci čije bi neovlašteno otkrivanje naštetilo opisanim vrijednostima;
- OGRANIČENO - podaci čije bi neovlašteno otkrivanje naštetilo djelovanju i izvršavanju
zadaća državnih tijela u obavljanju njihovih poslova.
- glavi III. točci 39. kao izazov, rizik i prijetnja RH, izrijekom je navedeno:
Mogućnosti ugrožavanja informatičkog sustava RH: Stalno povećavanje korištenja
informatičke tehn. u javnoj i privatnoj sferi, praćeno je konstantnim povećanjem rizika
komp. kriminala i ugrožavanja inf. sustava. Na ovom području rizici nisu samo u
mogućnosti vanjskog ugrožavanja inf. sustava RH, već i u mogućim zlouporabama
privatnih podataka građana RH od strane drž. tijela i institucija RH, ili privatnih organizacija.
KAZNENI ZAKON
POJMOVI
- subjekt - korisnici i njihovi procesi;
- objekt - sva sredstva koja se zaštićuju (apstraktne tvorevine kao procesi, strukture
podataka, datoteke; te fizička sredstva kao što su procesori, spremnici, naprave);
- zaštitna pravila - poveznica između subjekata i objekata, određuje pravo pristupa i način
uporabe;
- uljez - svaki neprijateljski nastrojen napadač;
- poruka - svako međusobno djelovanje subjekta i objekta;
- komunikacijski kanal - svaki put od izvorišta do odredišta.
DIGITALNI POTPIS
- šifriranje kojim se dokazuje autorstvo, tj. izvornost elektroničkog dokumenta;
- uz odgovarajuće zakone vrijedi jednako kao i rukom potpisan dokument;
- svrha digitalnog potpisa je zaštita autora poruke, dokumenta ili neke datoteke od
mogućnosti da netko u njegovo ime šalje ili objavljuje iste;
- ako se pravilno implementira skoro ga je nemoguće falsificirati, daje dosta veliku sigurnost
da je poruka doista došla od stranke čiji potpis se na poruci nalazi, garantira da poruka nije
bila mijenjana od trenutka potpisa do primitka i čitanja same poruke i neporeciv je.
KAKO NASTAJE
- matematička, kriptografska metoda koja se uglavnom sastoji od tri algoritma:
- algoritam za generiranje privatnog ključa - koristi skup formula za generiranje ključa, a
odmah stvara i prateći javni ključ;
- algoritam za potpisivanje - uz pomoć privatnog ključa, te poruke koju želimo potpisati,
generira potpis (generira sažetak (eng. hash) originalne poruke, te ga kriptira privatnim
ključem, stvarajući tako jedinstveni potpis);
- algoritam za provjeru valjanosti potpisa - koristi pristiglu poruku, javni ključ, te potpis
da bi potvrdio valjanost potpisa odnosno podrijetlo te poruke;
- sam potpis nastaje na slijedeći način:
- originalnu poruku provedemo kroz algoritam sažimanja, tako da dobijemo jedinstveni
sažetak odnosno hash (uvijek je iste dužine, bez obzira na duljinu poruke i ista poruka će
uvijek imati isti sažetak); potom se nad sažetkom pokreće DSA algoritam koji sažetak
kriptira našim privatnim ključem i time nastaje digitalni potpis koji tada prilažemo uz
originalnu poruku i ona je tada spremna za slanje.
AUTENTIKACIJA
- od pristigle poruke generira se sažetak (hash) istim algoritmom kojim se sažetak
generirao prilikom potpisivanja poruke; javnim ključem dekriptira se potpis koji je u stvari
sažetak poruke te ga usporedimo sa sažetkom koji smo mi dobili; ako su oba sažetka ista
možemo smatrati da je potpis valjan.
INTEGRITET
- ako smo uspješno dekriptirali digitalni potpis, te smo tako dobili sažetak istovjetan onome
koji smo dobili iz poruke, tada možemo, sa poprilično dobrom sigurnošću, smatrati da je
poruka stigla u izvornom obliku.
NEPORECIVOST
- budući je privatni ključ dostupan samo njegovom vlasniku, te da ne postoji metoda da se
iz javnog ključa dobije privatni ključ, te da javni ključ može dekriptirati samo poruke
potpisane pripadajućim privatnim ključem (i obratno) možemo smatrati da je bilo koji
dokument potpisan privatnim ključem doista potpisan od strane vlasnika privatnog ključa;
- u slučajevima da privatni ključ bude kompromitiran, tj. da ga se dokopa treća stranka, ili
postoji sumnja da je do toga došlo, vlasnik privatnog ključa mora o tome u što kraćem roku
obavijestiti sve u lancu povjerenja te da samim time postaje nevažeći, zajedno sa svim
dokumentima potpisanim tim ključem, od trenutka objave.
- opširnije - https://sigurnost.carnet.hr/vise-o-sigurnosti/enciklopedija/digitalni-potpis/
KLASIČNA KRIPTOGRAFIJA
KRIPTOSUSTAVI I KLASIFIKACIJE -
http://web.math.pmf.unizg.hr/~duje/kript/kriptografija.html
- klasifikacija prema:
- tip operacije:
- supstitucija - u kojima se svaki element otvorenog teksta (bit, slovo, grupa bitova ili
slova) zamjenjuje s nekim drugim elementom (lako se može dekriptirati
frekvencijskom analizom);
- transpozicija - u kojima se elementi otvorenog teksta permutiraju (premještaju)
- npr. ako riječ TAJNA šifriramo u XIWOI, načinili smo supstituciju, a ako je šifriramo
u JANAT, načinili smo transpoziciju;
- postoje i kriptosustavi koji kombiniraju ove dvije metode;
- načinu obrade otvorenog teksta:
- bit po bit;
- u blokovima;
- tajnost i javnost ključa:
- simetrična - isti ključ služi za šifriranje i za dešifriranje;
- sigurnost ovih kriptosustava leži u tajnosti ključa, a zato se zovu i kriptosustavi s
tajnim ključem;
- npr. DES kriptosustav - kriptiraju se blokovi dužine 64 bita;
- asimetrična - ključ za šifriranje je javni ključ i bilo tko može šifrirati poruku pomoću
njega, ali samo osoba koja ima odgovaraju ključ za dešifriranje (privatni ili tajni
ključ) može dešifrirati tu poruku;
- npr. RSA kriptosustav - dobio je ime prema početnim slovima prezimena autora
(Ron Rivest, Adi Shamir i Len Adelman), a zasniva se na određenim svojstvima
brojeva koja se istražuju u teoriji brojeva.