URED VIJEĆA ZA NACIONALNU SIGURNOST

(ZAKON O SIGURNOSNO OBAVJEŠTAJNOM SUSTAVU RH)

- središnje državno tijelo odgovorno za utvrđivanje i provedbu aktivnosti vezanih za

primjenu mjera i donošenje standarda informacijske sigurnosti u državnim tijelima u RH,
kao i za usklađenost aktivnosti oko primjene mjera i standarda informacijske sigurnosti u
razmjeni klasificiranih podataka između RH i stranih zemalja i organizacija;
- radom upravlja predstojnik Ureda koji se imenuje/razrješuje rješenjem koje supotpisuju
Predsjednik Republike i predsjednik Vlade (na 4 godine, najviše 2 puta uzastopno).

POSLOVI I OVLASTI
- obavlja stručne i administrativne poslove za Vijeće za nacionalnu sigurnost i Savjet za
koordinaciju sigurnosno-obavještajnih agencija;
- objedinjava dostavljena izvješća i informacije sigurnosno-obavještajnih agencija, izrađuje
periodična izvješća po područjima sigurnosno-obavještajnog djelovanja, te analizira i
ocjenjuje sigurnosno-obavještajne podatke od značaja za nacionalnu sigurnost RH bitne za
obavljanje ustavnih i zakonskih ovlasti Predsjednika Republike i Vlade;
- na zahtjev Predsjednika Republike i predsjednika Vlade surađuje sa sig.-obavještajnim
agencijama u izradi strat. procjena i ocjena sig. pojava važnih za nacionalnu sigurnost RH;
- izdaje uvjerenja (certifikate) o obavljenim sigurnosnim provjerama za osobe koje u
obavljanju svoje dužnosti imaju pristup klasificiranim podacima (i za pravne osobe kada
obavljaju poslove od značaja za nacionalnu sig. RH i na zahtjev stranih zemalja i org.);
- nadzire rad sig.-obav. agencija i Operativno-tehničkog centra za nadzor telekomunikacija;
- dodatne ovlasti iz Zakona o informacijskoj sigurnosti:
- središnje državno tijelo za inf. sig. koje koordinira donošenje i primjenu mjera i standarda
inf. sig. u RH i u razmjeni klas. i neklas. podataka između RH i stranih zemalja i org.;
- donosi pravilnike o područjima informacijske sigurnosti;
- trajno usklađuje propisane mjere i standarde inf. sig. u RH s međunarodnim standardima i
preporukama inf. sig. te sudjeluje u nacionalnoj normizaciji područja inf. sig.;
- koordinira i usklađuje rad Zavoda za sigurnost informacijskih sustava; Nacionalnog CERT-
a; državnih tijela, tijela jedinica lokalne i područne (regionalne) samouprave te pravnih
osoba s javnim ovlastima i savjetnika za informacijsku sigurnost;
- surađuje s mjerodavnim institucijama stranih zemalja i organizacija u području inf. sig. te
koordinira međunarodnu suradnju ostalih tijela i gore nabrojanih pravnih osoba.

SREDIŠNJI REGISTAR
- u sastavu UVNS djeluje Središnji registar za prijam, pohranu i distribuciju informacija i
dokumenata u razmjeni sa stranim zemljama i organizacijama, a u državnim tijelima
podregistri Središnjeg registra.

ZAKON O INFORMACIJSKOJ SIGURNOSTI

- utvrđuje pojam informacijske sigurnosti., mjere i standarde inf. sig., područja inf. sig., te
nadležna tijela za donošenje, provođenje i nadzor mjera i standarda inf. sig.;
- primjenjuje na državna tijela, tijela jedinica lokalne i područne samouprave te na pravne
osobe s javnim ovlastima, koje u svom djelokrugu koriste klasificirane i neklasificirane
podatke (u daljnjem tekstu - pravne osobe s javnim ovlastima);
- primjenjuje i na pravne i fizičke osobe koje ostvaruju pristup ili postupaju s klasificiranim i
neklasificiranim podacima.
POJMOVI
- informacijska sigurnost - stanje povjerljivosti, cjelovitosti i raspoloživosti podatka, koje
se postiže primjenom propisanih mjera i standarda inf. sig. te organizacijskom podrškom za
poslove planiranja, provedbe, provjere i dorade mjera i standarda;
- mjere informacijske sigurnosti - opća pravila zaštite podataka koja se realiziraju na
fizičkoj, tehničkoj ili organizacijskoj razini;
- standardi informacijske sigurnosti - organizacijske i tehničke procedure i rješenja
namijenjena sustavnoj i ujednačenoj provedbi propisanih mjera inf. sig.;
- područja informacijske sigurnosti - podjela inf. sig. na pet područja s ciljem sustavne i
učinkovite realizacije donošenja, primjene i nadzora mjera i standarda inf. sig.;
- sigurnosna akreditacija informacijskog sustava - postupak u kojem se utvrđuje
osposobljenost tijela i pravnih osoba s javnim ovlastima za upravljanje sigurnošću
informacijskog sustava, a provodi se utvrđivanjem primijenjenih mjera i standarda inf. sig.;
- informacijski sustav - komunikacijski, računalni ili dr. elektronički sustav u kojem se
podaci obrađuju, pohranjuju ili prenose, tako da budu dostupni i upotrebljivi za ovlaštene
korisnike.

ZAVOD ZA SIGURNOST INFORMACIJSKIH SUSTAVA

- središnje državno tijelo za tehnička područja sigurnosti informacijskih sustava u tijelima i
pravnim osobama s javnim ovlastima, koje u svom djelokrugu koriste klasificirane i
neklasificirane podatke;
- donosi pravilnike kojima regulira standarde tehničkih područja sig. informacijskih sustava;
- trajno usklađuje standarde tehničkih područja sig. informacijskih sustava u RH s
međunarodnim standardima i preporukama te sudjeluje u nacionalnoj normizaciji područja
sig. informacijskih sustava;
- obavlja poslove sigurnosne akreditacije informacijskih sustava u suradnji s UVNS;
- tehnička područja sigurnosti informacijskih sustava:
- standardi sigurnosti informacijskih sustava;
- sigurnosne akreditacije informacijskih sustava;
- upravljanje kriptomaterijalima koji se koriste u razmjeni klasificiranih podataka;
- koordinacija prevencije i odgovora na računalne ugroze sig. informacijskih sustava.

PODRUČJA INFORMACIJSKE SIGURNOSTI

- sigurnosna provjera - područje u okviru kojeg se utvrđuju mjere i standardi inf. sig. koji
se primjenjuju na osobe koje imaju pristup klasificiranim podacima;
- te osobe su obvezne ishoditi uvjerenje o sigurnosnoj provjeri osobe (certifikat);
- tijela i pravne osobe s javnim ovlastima koji koriste klasificirane podatke stupnja tajnosti
„Povjerljivo“, „Tajno“ i „Vrlo tajno“, dužni su ustrojiti popis osoba koje imaju pristup
klasificiranim podacima i registar zaprimljenih certifikata s rokovima važenja certifikata;
- fizička sigurnost - područje u okviru kojeg se utvrđuju mjere i standardi inf. sig. za zaštitu
objekta, prostora i uređaja u kojem se nalaze klasificirani podaci;
- tijela i pravne osobe koji koriste klasificirane podatke stupnja tajnosti „Povjerljivo“, „Tajno“ i
„Vrlo tajno“, izvršit će kategorizaciju objekata i prostora na sigurnosne zone, propisane
mjerama i standardima inf. sig.;
- sigurnost podatka - područje za koje se utvrđuju mjere i standardi inf. sig. koje se
primjenjuju kao opće zaštitne mjere za prevenciju, otkrivanje i otklanjanje štete od gubitka
ili neovlaštenog otkrivanja klasificiranih i neklasificiranih podataka;
- tijela i pravne osobe s javnim ovlastima, dužni su primijeniti procedure o postupanju s
klasificiranim i neklasificiranim podacima, o sadržaju i načinu vođenja evidencije o
izvršenim uvidima u klasificirane podatke te nadzoru sig. podataka, propisanim mjerama i
standardima inf. sig.;
- sigurnost informacijskog sustava - područje u okviru kojeg se utvrđuju mjere i
standardi inf. sig. klasif. i neklasif. podatka koji se obrađuje, pohranjuje ili prenosi u inf.
sustavu te zaštite cjelovitosti i raspoloživosti informacijskog sustava u procesu planiranja,
projektiranja, izgradnje, uporabe, održavanja i prestanka rada informacijskog sustava;
- sigurnosna akreditacija informacijskog sustava provodi se za informacijski sustav u kojem
se koriste klasificirani podaci stupnja tajnosti „Povjerljivo“, „Tajno“ i „Vrlo tajno“;
- osobe koje sudjeluju u ovom procesu trebaju posjedovati certifikat razine „Vrlo tajno“ ili za
jedan stupanj više od najviše razine tajnosti klasificiranih podataka koji se obrađuju,
pohranjuju ili prenose u informacijskim sustavima pod njihovom nadležnosti;
- mjere fizičke zaštite prostora u kojima se nalaze inf. sustavi poduzet će se sukladno
najvišoj razini tajnosti klas. podataka koji se u njima obrađuju, pohranjuju ili prenose;
- središnja državna tijela za inf. sig. ustrojavaju registar certificirane opreme i uređaja koji
se koriste u klasificiranom inf. sustavu razine „Povjerljivo“, „Tajno“ i „Vrlo tajno“;
- registar cert. opreme i uređaja ustrojava se na temelju preuzimanja registara
međunarodnih org. ili vlastitim certificiranjem u skladu s međunarodnim normama;
- sigurnost poslovne suradnje - područje u kojem se primjenjuju propisane mjere i
standardi inf. sig. za provedbu natječaja ili ugovora s klasificiranom dokumentacijom koji
obvezuju pravne i fizičke osobe koje ostvaruju pristup ili postupaju s klasificiranim i
neklasificiranim podacima - te osobe su obvezne ishoditi uvjerenje o sigurnosnoj provjeri
pravne osobe (certifikat poslovne sigurnosti);
- te osobe za osoblje, objekte i prostore obvezne su primijeniti utvrđene mjere i standarde
inf. sig. za određeni stupanj tajnosti klasificiranih podataka;
- tijela i pravne osobe javnim ovlastima, ovlašteni su za podnošenje zahtjeva za izdavanje
certifikata poslovne sig. za pravne i fizičke osobe kojima dostavljaju klasificirane podatke
stupnja tajnosti „Povjerljivo“, „Tajno“ i „Vrlo tajno“;
- pravne i fizičke osobe koje sudjeluju u međunarodnim poslovima za koje je obvezan
certifikat poslovne sig., ovlaštene su za podnošenje zahtjeva za izdavanje certifikata;
- certifikat poslovne sig. izdaje središnje državno tijelo za informacijsku sigurnost (UVNS).

SAVJETNIK ZA INFORMACIJSKU SIGURNOST

- vrši nadzor informacijske sigurnosti - nadzor organizacije, provedbe i učinkovitosti
propisanih mjera i standarda inf. sig. u tijelima i pravnim osobama s javnim ovlastima;
- podnosi izvješće o rezultatima provedenog nadzora čelniku tijela ili pravne osobe te
središnjem državnom tijelu za informacijsku sigurnost.
- središnje državno tijelo za informacijsku sigurnost, na temelju izvješća, ovlašteno je:
- dati upute u svrhu otklanjanja utvrđenih nedostataka i nepravilnosti, koje su nadzirana
tijela i pravne osobe dužne u određenom roku otkloniti;
- preispitati daljnju valjanost sigurnosne akreditacije informacijskog sustava;
- pokrenuti postupak utvrđivanja odgovornosti;
- poduzeti druge mjere i radnje za koje je posebnim propisima ovlašteno;
- čelnik tijela ili pravne osobe dužan je poduzeti mjere za otklanjanje nedostataka utvrđenih
u provedbi nadzora;
- Ured Vijeća za nacionalnu sigurnost pravilnikom će propisati kriterije za ustrojavanje
radnih mjesta savjetnika za informacijsku sigurnost;
- uvjeti za radno mjesto savjetnika:
- VSS, odnosno preddiplomski i diplomski sveučilišni studij ili integrirani preddiplomski i
diplomski sveučilišni studij ili specijalistički diplomski stručni studij;
- radno iskustvo od najmanje 3 godine u tijelima ili pravnim osobama;
- izdan odgovarajući certifikat o obavljenoj sigurnosnoj provjeri;
- poznavanje engleskog jezika, u tijelima ili pravnim osobama koje postupaju s
međunarodnim klasificiranim podacima.
NACIONALNI CERT
- CERT - nacionalno tijelo za prevenciju i zaštitu od računalnih ugroza sigurnosti javnih
informacijskih sustava u RH, kao zasebna ustrojstvena jedinica ustrojava se u Hrvatskoj
akademskoj i istraživačkoj mreži (CARNet);
- usklađuje postupanja u slučaju sigurnosnih računalnih incidenata na javnim inf. sustavima
nastalih u RH, ili u drugim zemljama i organizacijama kad su povezani s RH;
- usklađuje rad tijela koja rade na prevenciji i zaštiti od računalnih ugroza sig. javnih
informacijskih sustava u RH te određuje pravila i načine zajedničkog rada;
- misija - promicanje i očuvanje sigurnosti Interneta u RH;
- ciljevi rada:
- proaktivne mjere (djeluju prije incidenta i dr. događaja koji mogu ugroziti sigurnost inf.
sustava, a u cilju sprečavanja ili ublažavanja mogućih šteta);
- praćenje stanja na području računalne sigurnosti i objavljivanje sigurnosnih
obavijesti u svrhu priprema za sprečavanje šteta;
- kontinuirano praćenje računalno-sigurnosnih tehnologija te se sva nova
saznanja prikupljaju i javno distribuiraju;
- javno objavljivanje novih informacija u svrhu edukacije najšire javnosti i
unapređenju svijesti o značaju računalne sigurnosti;
- provođenje detaljne edukativne obuke za specifične grupe korisnika;
- reaktivne mjere (djeluju na incidente u RH te dr. događaje koji mogu ugroziti računalnu
sigurnost javnih inf. sustava u RH)
- na osnovu prikupljenih saznanja izrađuju se i distribuiraju sigurnosna
upozorenja, javno ili ciljano;
- prikuplja, obrađuje i priprema sigurnosne preporuke o slabostima u inf.
sustavima te ih javno distribuira i arhivira u svom inf. sustavu;
- koordinacija rješavanja značajnijih incidenata u kada je jedna strana iz RH;
- u djelokrug rada Nacionalnog CERT-a nije uključeno - operativno rješavanje problema i
briga o sig. pojedinih sustava; kažnjavanje problematičnih korisnika; arbitraža u sporovima;
pokretanje kaznenih prijava;
- pojedini računalni incidenti se prijavljuju „abuse“ centru pojedinih pružatelja usluga.

UREDBA O MJERAMA INFORMACIJSKE SIGURNOSTI

POJMOVI
- hardver - sklopovlje odnosno fizička komponenta informacijskog sustava;
- klasificirani ugovor - ugovor kojim se razmjenjuju klasif. podaci između tijela i pravnih
osoba (državnih tijela, tijela jedinica lokalne i područne samouprave, te pravnih osoba s
javnim ovlastima, koja u svom djelokrugu koriste klasif. i neklasif. podatke) s pravnim i
fizičkim osobama (koje ostvaruju pristup ili postupaju s klasif. i neklasif. podacima);
- kriptomaterijali - kriptografski proizvodi i podaci, programska rješenja ili uređaji za zaštitu
podataka, teh. dokumentacija takvih rješenja i uređaja i odgovarajući kriptografski ključevi;
- medij za pohranu podataka - svaki medij na koji je moguće pohraniti podatke u
elektroničkom obliku;
- opća razina zaštite - skup mjera i standarda u područjima informacijske sigurnosti
propisan za određene stupnjeve tajnosti;
- sigurnosna akreditacija sustava registara - postupak kojim se utvrđuje jesu li
primijenjene mjere i standardi informacijske sigurnosti propisane za organizaciju rada,
osoblje, prostor, informacijske sustave i klasificirane podatke, u prostorima u kojima se
organizira prijem, korištenje, pohrana i daljnja distribucija klasificiranih podataka;
- sigurnosni spremnik - sef, kasa te drugi protuprovalno opremljeni prostor za pohranu
klasificiranih podataka;
- softver - svi operativni sustavi, programi, korisničke i servisne aplikacije;
- ugroza - potencijalni uzrok koji može nanijeti štetu klasificiranom podatku ili
informacijskom sustavu u kojem se koriste klasificirani podaci;
- upravljanje rizikom informacijske sigurnosti - sustavni pristup koji uključuje planiranje,
organiziranje i usmjeravanje aktivnosti, s ciljem osiguravanja da rizici za klasificirane
podatke ostanu u zakonom utvrđenim i prihvatljivim okvirima.

MJERE INFORMACIJSKE SIGURNOSTI ZA PODRUČJE SIGURNOSNE PROVJERE

- popis dužnosti i poslova za koje je potrebno uvjerenje o sigurnosnoj provjeri (certifikat);
- postupak za izdavanje certifikata;
- upitnik za sigurnosnu provjeru;
- pisana suglasnost osobe za koju se provodi sigurnosna provjera;
- izdavanje certifikata;
- sigurnosno informiranje;
- nacionalni registar izdanih certifikata, rješenja o odbijanju izdavanja certifikata i potpisanih
izjava o postupanju s klasificiranim podacima;
- registar zaprimljenih certifikata i potpisanih izjava o postupanju s klasificiranim podacima.

MJERE INFORMACIJSKE SIGURNOSTI ZA PODRUČJE FIZIČKE SIGURNOSTI

- višestruka zaštita:
- određivanje lokacije koju treba zaštititi;
- uspostavljanje sigurnosnih mjera radi zaštite i usporavanja neovlaštenog ulaza;
- određivanje vanjskih mjera fizičke sigurnosti;
- uspostavljanje mjera za utvrđivanje pokušaja neovlaštenog pristupa;
- određivanje mjera fizičke sigurnosti radi usporavanja neovlaštenog pristupa;
- usklađivanje brzine dolaska djelatnika osiguranja s vremenom usporavanja
neovlaštenog pristupa;
- sigurnosne zone:
- prostori u kojima se pohranjuju ili se postupa s klasif. podacima tajnosti „VT“, „T“ i
„POV“, ustrojavaju se kao Sigurnosna zona I ili Sigurnosna zona II;
- Sigurnosna zona I - jasno označen i zaštićen prostor s kontrolom pristupa i s
utvrđenim stupnjevima tajnosti klasificiranih podataka i vrstama podataka koji se nalaze
u tom prostoru; pristup je dozvoljen osobama koje imaju certifikat i koje imaju ovlaštenje
za pristup tom prostoru;
- Sigurnosna zona II utvrđuje se na način propisan za SZ I, a pristup je dozvoljen
(pored osoba koje imaju certifikat i ovlaštenje za pristup tom prostoru) i drugim
osobama, ali samo uz pratnju ili primjereni nadzor i uz opravdan razlog ulaska;
- administrativne zone:
- uspostavlja se za korištenje neklasificiranih podataka i klasificiranih podataka stupnja
tajnosti „Ograničeno“ u kontroliranom, vidljivo označenom prostoru unutar kojeg je
moguće kontrolirati pristup osoba i vozila;
- uspostavlja se i u prilazu sigurnosnoj zoni radi kontrole pristupa;
- plan fizičke sigurnosti:
- plan potreba, provedbe i organizacije za primjenu mjera fizičke sigurnosti izrađuje se
za objekte ili prostore u kojima se koriste klasificirani i neklasificirani podaci;
- procjena učinkovitosti mjera fizičke sigurnosti:
- najmanje jednom godišnje procjenjuje se učinkovitost mjera fizičke sigurnosti i
sigurnosnog sustava u cjelini, a obvezno kada dolazi do promjene namjene zaštićene
lokacije ili elemenata u sigurnosnom sustavu;
- kontrola osoba:
- provode se povremene kontrole osoba na ulazima i izlazima iz objekata ili prostora,
radi sprječavanja neovlaštenog iznošenja klasificiranih podataka ili sprječavanja
unošenja nedozvoljenih predmeta;
- pohrana klasificiranih podataka:
- podatak „Vrlo tajno“ - unutar sig. zona u odgovarajućem sig. spremniku, opremljenom
sustavom detekcije neovlaštenog pristupa, uz stalnu zaštitu i periodični nadzor ili u
prostoru za otvorenu pohranu, opremljenom sustavom detekcije neovlaštenog pristupa;
- podatak „Tajno“ - unutar sigurnosnih zona u odgovarajućem sigurnosnom spremniku,
ili u prostoru za otvorenu pohranu, opremljenom sustavom detekcije neovlaštenog
pristupa ili stalnom zaštitom i periodičnim nadzorom;
- podatak „Povjerljivo“ - unutar sigurnosnih zona, u odgovarajućem sig. spremniku;
- podatak „Ograničeno“ ili „Neklasificirano“ - u uredski namještaj koji se zaključava;
- tehnički sigurni prostori:
- objekti ili prostorije unutar sig. zona u kojima se postupa s podacima stupnja tajnosti
„Vrlo tajno“ i „Tajno“, čiji ulaz se posebno kontrolira i koji su protuprislušno zaštićeni;
- kada nisu u uporabi, moraju biti zaključani i čuvani;
- fizička sigurnost informacijskih sustava:
- informacijski sustavi u kojima se obrađuju, pohranjuju ili prenose klasificirani podaci
stupnjeva tajnosti „VT“, „T“, i „POV“ instaliraju se unutar sigurnosnih zona;
- prostori u kojima se nalaze poslužitelji, komunikacijska ili upravljačka oprema
informacijskih sustava u kojima se koriste podaci stupnja tajnosti „Ograničeno“,
organiziraju se kao sigurnosne zone;
- prostori u kojima se putem informacijskih ili komunikacijskih sustava koriste
neklasificirani podaci ili klasificirani podaci stupnja tajnosti „Ograničeno“, organiziraju se
kao administrativne zone;
- oprema za fizičku zaštitu klasificiranih podataka:
- treba biti u skladu sa standardima informacijske sigurnosti za područje fizičke
sigurnosti, odnosno s odgovarajućim nacionalnim ili međunarodnim normama.

MJERE INFORMACIJSKE SIGURNOSTI ZA PODRUČJE SIGURNOSTI PODATAKA

- klasificiranje i deklasificiranje podataka;
- označavanje podataka;
- pristup podacima;
- zaštita podataka;
- sustav registara (Sred. reg. u UVNS, podreg. Sred. reg., reg. u drž. tijel. i prav. osobama);
- evidencija korištenja klasificiranih podataka (obvezni kod „VT“, „T“ i „POV“);
- postupanje u izvanrednim situacijama;
- ustupanje klasificiranih podataka drugoj državi ili međunarodnoj organizaciji.

MJERE INFORMACIJSKE SIGURNOSTI ZA PODRUČJE SIGURNOSTI

INFORMACIJSKOG SUSTAVA
- mjere zaštite informacijskog sustava:
- zaštita hardvera, softvera i medija za pohranu podataka;
- upravljanje konfig. i sustavom korisničkog pristupa (razvijanje, primjenu i održavanje
sustava, na način koji omogućuje jednoznačno ident., autent. i autor. korisnika);
- kontrola povezivanja (definiranje uvjeta povezivanja informacijskih sustava, te
evidentiranje i nadzor) i uporabe informacijskih sustava (evidentiranje aktivnosti
korisnika informacijskog sustava);
- zaštita od rizika elektromagnetskog zračenja;
- primjena kriptografske zaštite;
- upravljanje sviješću o sigurnosti:
- uspostavljanje sigurnosnih pravila za djelatnike (upoznavanje korisnika sa sigurnosnim
pravilima i posljedicama nepridržavanja istih);
- sigurnosno educiranje i stručno usavršavanje (redovito i pravovremeno educiranje o
sigurnosnim aspektima uporabe informacijskog sustava);
- planiranje djelovanja u izvanrednim okolnostima:
- izrada procedura za postupanje u slučaju incidenata (planiranje i definiranje aktivnosti
odvraćanja, sprečavanja, detekcije i oporavka od učinaka incidenta, koji utječu na
povjerljivost, cjelovitost i dostupnost podatka ili informacijskog sustava, uključujući i
izvještavanje o sigurnosnim incidentima);
- izrada plana neprekidnosti poslovanja (utvrđuju se i analiziraju potencijalni problemi pri
radu sustava i definiraju se postupci za rješavanje tih problema, te definiraju druge
metode korištenja u slučaju nedostupnosti resursa inf. sustava u cilju održavanja
kontinuiteta poslovanja; uspostavljanje i testiranje adekvatne procedure sigurnosne
pohrane podataka, radi vraćanja sustava i podataka u prvobitno stanje nakon incidenta
kao što su ispad sustava, prirodne nepogode i djelovanje računalnih virusa).

MJERE INFORMACIJSKE SIGURNOSTI ZA PODRUČJE SIGURNOSTI POSLOVNE

SURADNJE
- sklapanje klasificiranih ugovora;
- certifikat poslovne sigurnosti;
- sigurnosni uvjeti za sklapanje klasificiranih ugovora;
- prijevoz klasificiranog materijala;
- pristup klasificiranim podacima prilikom međunarodnih posjeta;
- razmjena osoba u sklopu projekata ili programa.

CERTIFIKAT POSLOVNE SIGURNOSTI

- na zahtjev državnih tijela i pravnih osoba daje ga UVNS;
- zahtjev sadrži - naziv, adresu i matični broj pravne osobe za koju se traži certifikat; razlog
zbog kojeg se traži certifikat; stupanj tajnosti klasificiranih podataka za koje se traži
certifikat; u cijelosti popunjen i ovjeren Upitnik za sigurnosnu provjeru pravne osobe;
- sigurnosna provjera pravne osobe obuhvaća - provjeru vlasništva, provjeru strukture
vlasništva, podatke o tvrtkama u vlasništvu, provjeru ukupnog poslovanja, te financijskih
obveza, s obzirom na moguće sigurnosne rizike; sigurnosnu provjeru vlasnika, direktora,
članova uprave i nadzornog odbora, udjeličara i dioničara, koji, s obzirom na svoju funkciju,
mogu ostvariti pristup klasificiranim podacima; sigurnosnu provjeru osobe, predložene za
savjetnika za informacijsku sigurnost u pravnoj osobi, za njegova zamjenika, te zaposlenike
koji ostvaruju pristup klasificiranim podacima;
- UVNS izdaje certifikat na temelju izvješća nadležne sigurnosno-obavještajne agencije, u
roku ne dužem od šest mjeseci, na razdoblje od 5 godina.

ZAKON O TAJNOSTI PODATAKA

- utvrđuje pojam klasificiranih i neklasificiranih podataka, stupnjevi tajnosti, postupak

klasifikacije i deklasifikacije, pristup klasificiranim i neklasificiranim podacima, njihova
zaštita i nadzor nad provedbom;
- primjenjuje se na državna tijela, tijela jedinica lokalne i područne (regionalne)
samouprave, pravne osobe s javnim ovlastima te pravne i fizičke osobe koje ostvare
pristup ili postupaju s klasificiranim i neklasificiranim podacima;
POJMOVI
- podatak - dokument, odnosno svaki napisani, umnoženi, nacrtani, slikovni, tiskani,
snimljeni, fotografirani, magnetni, optički, elektronički ili bilo koji drugi zapis podatka,
saznanje, mjera, postupak, predmet, usmeno priopćenje ili informacija, koja s obzirom na
svoj sadržaj ima važnost povjerljivosti i cjelovitosti za svoga vlasnika;
- klasificirani podatak - kojeg je nadležno tijelo takvim označilo i za koji je utvrđen stupanj
tajnosti, kao i podatak kojeg je RH tako označenog predala druga drž., međun. org. ili
institucija s kojom RH surađuje (ne može se proglasiti podatak radi prikrivanja KD-a,
prekoračenja ili zlouporabe ovlasti te drugih oblika nezakonitog postupanja u drž. tijelima);
- neklasificirani podatak - podatak bez utvrđenog stupnja tajnosti, koji se koristi u
službene svrhe, kao i podatak koji je RH tako označenog predala druga drž., međun. org…;
- klasifikacija podatka - postupak utvrđivanja jednog od stupnjeva tajnosti podatka s
obzirom na stupanj ugroze i područje ovim Zakonom zaštićenih vrijednosti;
- deklasifikacija podatka - postupak kojim se utvrđuje prestanak postojanja razloga zbog
kojih je određeni podatak klasificiran odgovarajućim stupnjem tajnosti, nakon čega podatak
postaje neklasificirani s ograničenom uporabom samo u službene svrhe;
- vlasnik podatka - tijelo u okviru čijeg djelovanja je klasif. ili neklasif. podatak nastao;
- certifikat - uvjerenje o sigurnosnoj provjeri koje omogućava pristup klasifi. podacima.

STUPNJEVI TAJNOSTI
- obzirom na stupanj ugroze zaštićenih vrijednosti stupnjevima tajnosti mogu se klasificirati
podaci iz djelokruga državnih tijela u području obrane, sigurnosno-obavještajnog sustava,
vanjskih poslova, javne sigurnosti, kaznenog postupka te znanosti, tehnologije, javnih
financija i gospodarstva ukoliko su podaci od sigurnosnog interesa za RH;
- stupnjevi tajnosti klasificiranih podataka:
- VRLO TAJNO - podaci čije bi neovlašteno otkrivanje nanijelo nepopravljivu štetu
nacionalnoj sigurnosti i vitalnim interesima RH, a osobito sljedećim vrijednostima:
- temelji Ustavom utvrđenog ustrojstva RH;
- neovisnost, cjelovitost i sigurnost RH;
- međunarodni odnosi RH;
- obrambena sposobnost i sigurnosno-obavještajni sustav;
- sigurnost građana;
- osnove gospodarskog i financijskog sustava RH;
- znanstvena otkrića, pronalasci i tehnologije od važnosti za nacionalnu sigurnost RH;
- TAJNO - podaci čije bi neovlašteno otkrivanje teško naštetilo opisanim vrijednostima;
- POVJERLJIVO - podaci čije bi neovlašteno otkrivanje naštetilo opisanim vrijednostima;
- OGRANIČENO - podaci čije bi neovlašteno otkrivanje naštetilo djelovanju i izvršavanju
zadaća državnih tijela u obavljanju njihovih poslova.

POSTUPAK KLASIFICIRANJA I DEKLASIFICIRANJA PODATAKA

- klasifikacija podataka se obavlja pri nastanku klas. podataka ili pri periodičnoj procjeni;
- za vrijeme važenja stupnja tajnosti podatka, vlasnik podatka obvezan je trajno
procjenjivati stupanj tajnosti klasificiranog podatka i izraditi perodičnu procjenu, na temelju
koje se može promijeniti stupanj tajnosti ili izvršiti deklasifikacija podatka;
- periodična procjena provodi se:
- za stupanj tajnosti „VRLO TAJNO“ najmanje jednom u 5 godina;
- za stupanj tajnosti „TAJNO“ najmanje jednom u 4 godine;
- za stupanj tajnosti „POVJERLJIVO“ najmanje jednom u 3 godine;
- za stupanj tajnosti „OGRANIČENO“ najmanje jednom u 2 godine;
- o promjeni stupnja tajnosti ili o deklasifikaciji podatka vlasnik podatka će pisanim putem
izvijestiti sva tijela kojima je podatak bio dostavljen.
PRISTUP PODACIMA
- pristup klas. podacima imaju osobe kojima je to nužno za obavljanje poslova iz njihovog
djelokruga te koje imaju izdano Uvjerenje o obavljenoj sigurnosnoj provjeri (certifikat izdaje
ga UVNS za stupnjeve tajnosti „VT“, „T“ i „POV“ na rok od pet godina);
- pristup klasificiranim podacima bez certifikata imat će u okviru obavljanja poslova iz
njihovog djelokruga saborski zastupnik, ministar, državni tajnik središnjega državnog ureda,
sudac i Glavni državni odvjetnik (potpisuju izjavu da su upoznati s odredbama kojima se
uređuje zaštita klasif. pod. i obvezuju se raspolagati pod. sukladno navedenim propisima);
- Predsjednik RH, predsjednik Hrvatskoga sabora i predsjednik Vlade RH su izuzeti od
postupka propisanog za izdavanje certifikata;
- pristup neklasificiranim podacima imaju osobe kojima je to nužno radi obavljanje poslova
iz njihovog djelokruga, kao i zainteresirani ovlaštenici prava na informaciju na temelju
podnesenog zahtjeva za ostvarivanje prava na pristup informacijama;
- u UVNS se ustrojavaju registri izdanih certifikata, rješenja o odbijanju izdavanja certifikata,
potpisanih izjava, te obavljenih upoznavanja sa standardima postupanja s klasificiranim
podacima te s pravnim i drugim posljedicama neovlaštenog raspolaganja istim;
- državna tijela, tijela jedinica lokalne i područne samouprave i pravne osobe s javnim
ovlastima, vode evidenciju o izvršenim uvidima i postupanju s klasificiranim podacima.

STRATEGIJA NACIONALNE SIGURNOSTI RH

- glavi III. točci 39. kao izazov, rizik i prijetnja RH, izrijekom je navedeno:
Mogućnosti ugrožavanja informatičkog sustava RH: Stalno povećavanje korištenja
informatičke tehn. u javnoj i privatnoj sferi, praćeno je konstantnim povećanjem rizika
komp. kriminala i ugrožavanja inf. sustava. Na ovom području rizici nisu samo u
mogućnosti vanjskog ugrožavanja inf. sustava RH, već i u mogućim zlouporabama
privatnih podataka građana RH od strane drž. tijela i institucija RH, ili privatnih organizacija.

KONVENCIJA O KIBERNETIČKOM KRIMINALU (BUDIMPEŠTA 2011.)

- potreba vođenja zajedničke kaznene politike usmjerene s zaštiti društva od kibernetičkog

kriminala je od prvenstvene važnosti, i to među ostalim i putem usvajanja odgovarajućeg
zakonodavstva i poticanjem međunarodne suradnje;
- prepoznaje duboke promjene nastale digitalizacijom, konvergencijom i neprekidnom
globalizacijom računalnih mreža;
- zabrinutost zbog mogućnosti da računalne mreže i elektroničke informacije budu
iskorištene za počinjenje kaznenih djela, te da dokazi vezani uz ta djela budu pohranjeni i
prenošeni putem tih mreža;
- prepoznaje potrebu za suradnjom između država i privatnog gospodarstva u borbi protiv
kibernetičkog kriminala i potrebu za zaštitom legitimnih interesa prilikom korištenja i
razvitka informatičkih tehnologija;
- učinkovita borba protiv kibernetičkog kriminala zahtijeva povećanu, brzu i uhodanu
međunarodnu suradnju u kaznenopravnim predmetima;
- utvrđuje kriminalizaciju postupaka usmjerenih protiv tajnosti, cjelovitosti i dostupnosti
računalnih sustava, mreža i računalnih podataka, kao i postupaka njihove zloporabe,
usvaja ovlaštenja dovoljna za učinkovitu borbu protiv takvih kaznenih djela, olakšavajući
time otkrivanje, istraživanje i kazneni progon tih kaznenih djela, kako na domaćoj, tako i na
međunarodnoj razini, te osiguravajući brzu i pouzdanu međunarodnu suradnju.
PODJELA KAZNENIH DJELA
- kaznena djela protiv tajnosti, cjelovitosti i dostupnosti računalnih podataka i
sustava:
- nezakoniti pristup, nezakonito presretanje, ometanje podataka, ometanje sustava,
zloporaba naprava
- kaznena djela zloporabe računalnih sustava, mreža i računalnih podataka:
- računalna kaznena djela - računalno krivotvorenje, računalna prijevara;
- kaznena djela u svezi sa sadržajem - vezana uz dječju pornografiju, povreda autorskih
i srodnih prava.

POSTUPCI VEZANI UZ ZAHTJEVE ZA UZAJAMNOM POMOĆI U SLUČAJU

NEPOSTOJANJA MJERODAVNIH MEĐUNARODNIH UGOVORA
- svaka stranka će odrediti središnje tijelo ili tijela odgovorna za slanje i odgovaranje na
zahtjeve za pružanjem uzajamne pomoći, za izvršavanje tih zahtjeva ili njihovo
prosljeđivanje tijelima nadležnim za njihovu provedbu, a ta središnja tijela će komunicirati
izravno jedan s drugim (osim u slučaju hitnosti kada pravosudna dijela mogu komunicirati
međusobno, ali o tome odmah obavještavaju središnja tijela - ovo se radi putem
Međunarodne organizacije kriminalističke policije - Interpola);
- zahtjevi za uzajamnom pomoći po ovom članku bit će izvršeni u skladu s postupcima koje
odredi pošiljateljica zahtjeva, osim kada to nije u neskladu s pravom primateljice zahtjeva;
- primateljica zahtjeva može odbiti pružiti pomoć ako:
- se zahtjev odnosi na djelo koje primateljica smatra političkim djelom ili djelom
povezanim s političkim djelom;
- smatra da će izvršenje zahtjeva vjerojatno ugroziti njen suverenitet, sigurnost, javni
poredak ili druge bitne interese;
- primateljica može odgoditi postupanje po zahtjevu ako bi to postupanje ugrozilo kaznene
istrage ili postupke koje vode njezina tijela;
- prije odbijanja ili odgađanja pružanja pomoći primateljica će razmotriti može li zahtjevu biti
udovoljeno djelomično ili pod onim uvjetima koje primateljica smatra nužnima;
- pošiljateljica može od primateljice zahtijevati da zadrži u tajnosti činjenicu da je u skladu s
odredbama ovoga poglavlja postavljen zahtjev, kao i njegov sadržaj, osim utoliko koliko je
nužno za izvršavanje zahtjeva.

PREKOGRANIČNO PRISTUPANJE POHRANJENIM RAČUNALNIM PODACIMA UZ

SUGLASNOST ILI U SLUČAJU JAVNE DOSTUPNOSTI
- stranka može bez pribavljanja odobrenja druge stranke:
- pristupiti javno dostupnim („open source“) pohranjenim računalnim podacima, bez
obzira gdje su zemljopisno smješteni;
- pristupiti ili primati putem računalnog sustava na svojem državnom području
pohranjene računalne podatke smještene u drugoj stranci, ako stranka dobije zakonitu i
dragovoljnu suglasnost osobe koja ima zakonito ovlaštenje otkrivati podatke stranci
pomoću tog računalnog sustava.

KAZNENI ZAKON

RAČUNALNA KAZNENA DJELA

Povreda tajnosti, cjelovitosti i dostupnosti rač. pod., prog. ili sustava - Članak 223.
Računalno krivotvorenje - Članak 223.a
Računalna prijevara - Članak 224.a
- sve detaljno objašnjeno u pitanjima iz seminara;
RAČUNALO KAO SREDSTVO IZVRŠENJA
- poticanje na mržnju i ksenofobiju - čl. 174. st 4.
Rasna i druga diskriminacija
Članak 174.
Tko na temelju razlike u rasi, vjeri, jeziku, političkom ili drugom uvjerenju, imovini,
rođenju, naobrazbi, društvenom položaju ili drugim osobinama, spolu, boji kože,
nacionalnosti ili etničkome podrijetlu krši temeljna ljudska prava i slobode priznate od
međunarodne zajednice,
kaznit će se kaznom zatvora od šest mjeseci do pet godina.
Kaznom iz stavka 1. ovoga članka kaznit će se tko progoni organizacije ili pojedince
zbog njihova zalaganja za ravnopravnost ljudi.
Tko u cilju širenja rasne, vjerske, spolne, nacionalne, etničke mržnje ili mržnje po
osnovi boje kože ili spolnog opredjeljenja, ili drugih osobina, ili u cilju omalovažavanja,
javno iznese ili pronese zamisli o nadmoćnosti ili podčinjenosti jedne rase, etničke ili
vjerske zajednice, spola, nacije ili zamisli o nadmoćnosti ili podčinjenosti po osnovi boje
kože ili spolnog opredjeljenja, ili drugih osobina,
kaznit će se kaznom zatvora od tri mjeseca do tri godine.
Tko s ciljem iz stavka 3. ovoga članka putem računalnog sustava raspačava ili na
drugi način učini dostupnim javnosti materijale kojima se poriče, znatnije umanjuje,
odobrava ili opravdava kazneno djelo genocida ili zločina protiv čovječnosti,
kaznit će se kaznom zatvora od šest mjeseci do tri godine.

RAČUNALO KAO NOSITELJ DIGITALNIH DOKAZA

- čl. 197.a st. 1.
Dječja pornografija na računalnom sustavu ili mreži
Članak 197.a
Tko pomoću računalnog sustava ili mreže proizvodi, nudi, distribuira, pribavlja za
sebe ili drugoga, ili tko u računalnom sustavu ili na medijima za pohranu računalnih
podataka posjeduje pornografske sadržaje koji prikazuju djecu ili maloljetnike u
seksualnom eksplicitnom ponašanju ili koji su fokusirani na njihove spolne organe,
kaznit će se kaznom zatvora od jedne do deset godina.
Tko djetetu, posredstvom računalnog sustava, mreže ili medija za pohranu
računalnih podataka učini pristupačnim slike, audiovizualne sadržaje ili druge predmete
pornografskog sadržaja,
kaznit će se kaznom zatvora od šest mjeseci do tri godine
Posebne naprave, sredstva, računalni programi ili podaci korišteni ili prilagođeni za
počinjenje kaznenog djela iz stavka 1. i 2. ovoga članka oduzet će se.

ZAKON O KAZNENOM POSTUPKU

Pretraga pokretne stvari i bankovnog sefa

Članak 257.
Pretraga pokretnih stvari obuhvaća i pretragu računala i s njim povezanih uređaja,
drugih uređaja koji služe prikupljanju, pohranjivanju i prijenosu podataka, telefonskim,
računalnim i drugim komunikacijama i nositelja podataka. Na zahtjev tijela koje poduzima
pretragu, osoba koja se koristi računalom ili ima pristup računalu ili drugom uređaju ili
nositelju podataka, te davatelj telekomunikacijskih usluga, dužni su omogućiti pristup
računalu, uređaju ili nositelju podataka, te dati potrebne obavijesti za nesmetanu uporabu i
ostvarenje ciljeva pretrage.
Po nalogu tijela koje poduzima pretragu, osoba koja se koristi računalom ili ima
pristup računalu i drugim uređajima iz stavka 1. ovog članka, te davatelj
telekomunikacijskih usluga, dužni su odmah poduzeti mjere kojima se sprječava uništenje
ili mijenjanje podataka. Tijelo koje poduzima pretragu, može provedbu tih mjera naložiti
stručnom pomoćniku.
Osobu koja koristi računalo ili ima pristup računalu ili drugom uređaju ili nositelju
podataka, te davatelj telekomunikacijskih usluga, a koji ne postupe prema stavku 1. i 2.
ovog članka, premda za to ne postoje opravdani razlozi, sudac istrage može na prijedlog
državnog odvjetnika kazniti prema odredbi članka 259. stavka 1. ovog Zakona. Odredba o
kažnjavanju ne odnosi se na okrivljenika.

Privremeno oduzimanje predmeta

Članak 261.
Predmeti koji se imaju oduzeti prema kaznenom zakonu, ili koji mogu poslužiti pri
utvrđivanju činjenica u postupku, privremeno će se oduzeti i osigurati njihovo čuvanje.
Tko drži takve predmete, dužan ih je predati na zahtjev državnog odvjetnika,
istražitelja ili policije. Državni odvjetnik, istražitelj ili policija će držatelja predmeta upozoriti
na posljedice koje proizlaze iz odbijanja postupanja po zahtjevu.
Osobu koja ne postupi prema zahtjevu za predaju, premda za to ne postoje
opravdani razlozi, sudac istrage može na obrazloženi prijedlog državnog odvjetnika kazniti
prema članku 259. stavku 1. ovog Zakona.
Mjere iz stavka 2. ovog članka, ne mogu se primijeniti prema okrivljeniku niti
osobama koje su oslobođene dužnosti svjedočenja (članak 285.).
Članak 263.
Odredbe članka 261. ovog Zakona odnose se i na podatke pohranjene u računalima
i s njim povezanim uređajima, te uređajima koji služe prikupljanju i prijenosu podataka,
nositelje podataka i na pretplatničke informacije kojima raspolaže davatelj usluga, osim kad
je prema članku 262. ovog Zakona, privremeno oduzimanje predmeta zabranjeno.
Podaci iz stavka 1. ovog članka, na pisani zahtjev državnog odvjetnika se moraju
predati državnom odvjetniku u cjelovitom, izvornom, čitljivom i razumljivom obliku. Državni
odvjetnik u zahtjevu određuje rok u kojemu se imaju predati podaci. U slučaju odbijanja
predaje, može se postupiti prema članku 259. stavku 1. ovog Zakona.
Podatke iz stavka 1. ovog članka, snimit će u realnom vremenu tijelo koje provodi
radnju. Pri pribavljanju, snimanju, zaštiti i čuvanju podataka posebno će se voditi računa o
propisima koji se odnose na čuvanje tajnosti određenih podataka (članak 186. do 188.).
Prema okolnostima, podaci koji se ne odnose na kazneno djelo zbog kojega se postupa, a
potrebni su osobi prema kojoj se provodi mjera, mogu se snimiti na odgovarajuće sredstvo i
vratiti toj osobi i prije okončanja postupka.
Na prijedlog državnog odvjetnika sudac istrage može rješenjem odrediti zaštitu i
čuvanje svih računalnih podataka iz stavka 1. ovog članka, dok je to potrebno, a najdulje
šest mjeseci. Nakon toga računalni podaci će se vratiti osim:
1) ako nisu uključeni u počinjenje sljedećih kaznenih djela iz Kaznenog zakona: povrede
tajnosti, cjelovitosti i dostupnosti računalnih podataka, programa ili sustava (članak 223.),
računalnog krivotvorenja (članak 223.a) i računalne prijevare (članak 224.a),
2) ako nisu uključeni u počinjenje drugog kaznenog djela za koje se progoni po službenoj
dužnosti počinjenog pomoću računalnog sustava,
3) ako ne služe kao dokaz za kazneno djelo za koje se vodi postupak.
 Protiv rješenja suca istrage kojim su određene mjere iz stavka 3. ovog članka, osoba
koja se koristi računalom i osoba koja je davatelj usluga imaju pravo žalbe u roku od
dvadeset četiri sata. O žalbi odlučuje vijeće u roku od tri dana. Žalba ne odgađa izvršenje
rješenja.
SIGURNOST RAČUNALNIH SUSTAVA

POJMOVI
- subjekt - korisnici i njihovi procesi;
- objekt - sva sredstva koja se zaštićuju (apstraktne tvorevine kao procesi, strukture
podataka, datoteke; te fizička sredstva kao što su procesori, spremnici, naprave);
- zaštitna pravila - poveznica između subjekata i objekata, određuje pravo pristupa i način
uporabe;
- uljez - svaki neprijateljski nastrojen napadač;
- poruka - svako međusobno djelovanje subjekta i objekta;
- komunikacijski kanal - svaki put od izvorišta do odredišta.

PODJELA SIGURNOSNIH MEHANIZAMA

- zaštita od vanjskog utjecaja (mehanička oštećenja, oštećenja nastala požarom ili
poplavom, krađa uređaja ili medija na kojima su pohranjene informacije) - mjere zaštite su
jednake kao kod zaštite ostale imovine (ograničavanje pristupa osobama i čuvanje kopija
informacija na različitim mjestima);
- zaštita sučeljem prema korisniku - omogućuje uporabu računala samo unaprijed
ovlaštenim osobama kroz procese:
- identificiranje (predstavljanje) - proces u kojem se korisnik predstavlja sustavu (npr.
unošenjem svojeg korisničkog imena);
- autentificiranje (identifikacija + verifikacija) - proces u kojem korisnik dokazuje svoj
identitet (npr. davanje otiska prsta);
- autoriziranje (autentifikacija + provjera prava pristupa i ovlasti) - proces u kojem se
provjerava ima li već autentificirani korisnik pravo pristupa i kakvo je to pravo;
- bitna mu je razlika između ova 2 zadnja pojma
- unutarnji zaštitni mehanizam - dopuštaju korisniku pristup samo onim dijelovima
sustava za koje je ovlašten;
- kompjutorski zaštitni mehanizmi - najvažniji oblik zašt. mehanizama;
- cilj je zaštita poruka, a postiže se kriptiranjem.

VRSTE NAPADA NA SIGURNOST

- pasivni napad - uljez ne djeluje aktivno na informacije;
- prisluškivanje - uljez čita pakete koji su namijenjeni nekom drugom;
- narušava povjerljivost i tajnost informacija;
- aktivni napadi:
- prekidanje - prekidanje komunikacijskog kanala između izvorišta i odredišta; narušava
raspoloživost informacija;
- promjena sadržaja poruke - uljez prekida kom. kanal i, lažno se predstavljajući kao
izvorište, mijenja sadržaj poruke; narušava besprijekornost ili integritet informacija;
- izmišljanje poruka - uljez uspostavlja komunikacijski kanal s odredištem i, lažno se
predstavljajući kao izvorište, šalje izmišljene poruke ili snimljene stare poruke;
narušava besprijekornost ili integritet informacija;
- lažno predstavljanje - uljez se predstavlja kao neki drugi korisnik ili namjesti računalo
da se ono pretvara da je neko drugo računalo;
 - poricanje - nakon što je poruka poslana, korisnik se može predomisliti i poricati
autorstvo, te tvrditi da se netko lažno predstavio i poslao poruku u njegovo ime.

SIGURNOSNI ZAHTJEVI (prva tri su osnovna)

- povjerljivost ili tajnost - informacije u sustavu smiju biti pristupačne samo ovlaštenim
osobama;
- raspoloživost - inf. moraju uvijek biti na raspolaganju ovlaštenim korisnicima usprkos
mogućim neočekivanim i nepredvidljivim događajima (nestanak struje, prirodna nepogoda,
nesreća ili namjerni napad);
- besprijekornost - informacije mogu mijenjati samo za to ovlašteni korisnici, tj. treba se
osigurati jamstvo da su informacije poslane, primljene ili pohranjene u izvornom i
nepromijenjenom obliku;
- autentičnost - ovl. korisnici se moraju moći jednoznačno prepoznati (autentifikacija);
- autorizacija - za osiguranje besprijekornosti autentificiranim se ovlaštenim korisnicima
postupkom autorizacije dopušta pristup samo do određenih sadržaja;
- neporecivost - zaštita od opovrgavanja
- vjerodostojnost - postiže se nečim što znamo (pin, šifra); nečim što imamo (kartica, ključ
(fizički), token); nečim što jesmo (otisak, zjenica, biometrički faktor).

UTJECAJ POJEDINIH KOMPONENTI RAČUNALNIH SUSTAVA NA SIGURNOST

- sklopovlje - najviše može utjecati na raspoloživost informacija;
- najviše je podložno vanjskim utjecajima, pa se unaprjeđenje sigurnosti može postići
odgovarajućim održavanjem sustava i ograničenjem pristupa;
- povećanje raspoloživosti može se postići i ugradnjom pričuvnih sustava koji će
djelovati u slučaju kvara glavnog sustava ili njegovih dijelova;
- programi - nedopuštena uporaba ili krađa programa utječe na tajnost informacija, a
neovlaštena modifikacija programa na besprijekornost i raspoloživost;
- virusi - programski odsječci koji se komunikacijom ili razmjenom spremničkih medija
unose u sustav; sami se pridodaju u neke postojeće programe i djeluju štetno;
- crvi - cjeloviti programi koji sami sebe kroz komunikacijsku mrežu prenose s računala
na računalo i djeluju štetno;
- trojanski konji - program koji obavlja neki koristan posao, ali mu je pridodana neka
funkcija koja djeluje štetno;
- rootkit - zloćudni program koji svoje štetno djelovanje skriva na način da nadomješćuje
sustavske datoteke i podatke;
- podaci - raspoloživost može biti ugrožena neovlaštenim brisanjem datoteka, tajnost
neovlaštenim čitanjem sadržaja datoteka, a besprijekornost neovlaštenom promjenom
sadržaja; sigurnost se provodi kontrolom pristupa datotekama (npr. autorizacijom);
- komunikacije - najosjetljiviji dio računalnih sustava

STANJE RAČUNALNOG KRIMINALITETA

- godišnja zarada u svijetu - 105 milijardi dolara (u RH - 20 milijuna);

- zaštitne mjere - antivirus, vatrozid, neotvaranje mailova.
 PORUKE S DIGITALNIM POTPISOM

DIGITALNI POTPIS
- šifriranje kojim se dokazuje autorstvo, tj. izvornost elektroničkog dokumenta;
- uz odgovarajuće zakone vrijedi jednako kao i rukom potpisan dokument;
- svrha digitalnog potpisa je zaštita autora poruke, dokumenta ili neke datoteke od
mogućnosti da netko u njegovo ime šalje ili objavljuje iste;
- ako se pravilno implementira skoro ga je nemoguće falsificirati, daje dosta veliku sigurnost
da je poruka doista došla od stranke čiji potpis se na poruci nalazi, garantira da poruka nije
bila mijenjana od trenutka potpisa do primitka i čitanja same poruke i neporeciv je.

KAKO NASTAJE
- matematička, kriptografska metoda koja se uglavnom sastoji od tri algoritma:
- algoritam za generiranje privatnog ključa - koristi skup formula za generiranje ključa, a
odmah stvara i prateći javni ključ;
- algoritam za potpisivanje - uz pomoć privatnog ključa, te poruke koju želimo potpisati,
generira potpis (generira sažetak (eng. hash) originalne poruke, te ga kriptira privatnim
ključem, stvarajući tako jedinstveni potpis);
- algoritam za provjeru valjanosti potpisa - koristi pristiglu poruku, javni ključ, te potpis
da bi potvrdio valjanost potpisa odnosno podrijetlo te poruke;
- sam potpis nastaje na slijedeći način:
- originalnu poruku provedemo kroz algoritam sažimanja, tako da dobijemo jedinstveni
sažetak odnosno hash (uvijek je iste dužine, bez obzira na duljinu poruke i ista poruka će
uvijek imati isti sažetak); potom se nad sažetkom pokreće DSA algoritam koji sažetak
kriptira našim privatnim ključem i time nastaje digitalni potpis koji tada prilažemo uz
originalnu poruku i ona je tada spremna za slanje.

AUTENTIKACIJA
- od pristigle poruke generira se sažetak (hash) istim algoritmom kojim se sažetak
generirao prilikom potpisivanja poruke; javnim ključem dekriptira se potpis koji je u stvari
sažetak poruke te ga usporedimo sa sažetkom koji smo mi dobili; ako su oba sažetka ista
možemo smatrati da je potpis valjan.

INTEGRITET
- ako smo uspješno dekriptirali digitalni potpis, te smo tako dobili sažetak istovjetan onome
koji smo dobili iz poruke, tada možemo, sa poprilično dobrom sigurnošću, smatrati da je
poruka stigla u izvornom obliku.

NEPORECIVOST
- budući je privatni ključ dostupan samo njegovom vlasniku, te da ne postoji metoda da se
iz javnog ključa dobije privatni ključ, te da javni ključ može dekriptirati samo poruke
potpisane pripadajućim privatnim ključem (i obratno) možemo smatrati da je bilo koji
dokument potpisan privatnim ključem doista potpisan od strane vlasnika privatnog ključa;
- u slučajevima da privatni ključ bude kompromitiran, tj. da ga se dokopa treća stranka, ili
postoji sumnja da je do toga došlo, vlasnik privatnog ključa mora o tome u što kraćem roku
obavijestiti sve u lancu povjerenja te da samim time postaje nevažeći, zajedno sa svim
dokumentima potpisanim tim ključem, od trenutka objave.

- opširnije - https://sigurnost.carnet.hr/vise-o-sigurnosti/enciklopedija/digitalni-potpis/

KLASIČNA KRIPTOGRAFIJA

- kriptografija - znanstvena disciplina koja se bavi proučavanjem metoda za slanje poruka u

takvom obliku da ih samo onaj kome su namijenjene može pročitati.

KRIPTOSUSTAVI I KLASIFIKACIJE -
http://web.math.pmf.unizg.hr/~duje/kript/kriptografija.html

- klasifikacija prema:
- tip operacije:
- supstitucija - u kojima se svaki element otvorenog teksta (bit, slovo, grupa bitova ili
slova) zamjenjuje s nekim drugim elementom (lako se može dekriptirati
frekvencijskom analizom);
- transpozicija - u kojima se elementi otvorenog teksta permutiraju (premještaju)
- npr. ako riječ TAJNA šifriramo u XIWOI, načinili smo supstituciju, a ako je šifriramo
u JANAT, načinili smo transpoziciju;
- postoje i kriptosustavi koji kombiniraju ove dvije metode;
- načinu obrade otvorenog teksta:
- bit po bit;
- u blokovima;
- tajnost i javnost ključa:
- simetrična - isti ključ služi za šifriranje i za dešifriranje;
- sigurnost ovih kriptosustava leži u tajnosti ključa, a zato se zovu i kriptosustavi s
tajnim ključem;
- npr. DES kriptosustav - kriptiraju se blokovi dužine 64 bita;
- asimetrična - ključ za šifriranje je javni ključ i bilo tko može šifrirati poruku pomoću
njega, ali samo osoba koja ima odgovaraju ključ za dešifriranje (privatni ili tajni
ključ) može dešifrirati tu poruku;
- npr. RSA kriptosustav - dobio je ime prema početnim slovima prezimena autora
(Ron Rivest, Adi Shamir i Len Adelman), a zasniva se na određenim svojstvima
brojeva koja se istražuju u teoriji brojeva.