Uvod

Cyber rizici za organizacije Iz godine u godinu rastu te je cyber sigurnost sve važnija za sve
organizacije i njihovo poslovanje.. Kroz ovaj rad obrađena je tema najčešće korištenih okvira za
upravljanje cyber rizikom i cyber sigurnosti. Na početku rada je definirano što je cyber sigurnost
i koji su to cyber rizici. Kroz glavni dio rada navedeni su neki od okvira za urpavljanje cyber
rizicma: CIS,NIST,GDPR,ISO?NESTO. i Tokom rada su ukratko objašnjeni svi navedeni cyber
okviri te neke njihove karakteristike. Rad se sastoji od 2 poglavlja to su cbyer sigurnost te
najčešće korišteni okviri za upravljanje cyber rizicima.

Cyber sigurnost (u Hrvatskoj se još naziva i kibernetička sigurnost) je način zaštite sustava,
mreža i programa od cyber napada. Koristi se kao zaštita od neovlaštenog pristupa podatcima i
računalnim sustavima. Mjere cyber sigurnosti se provode radi zaštite podataka u nekoj
organizaciji. Kako bi se postigla određena količina cyber sigurnost u nekoj organizaciji potrebno
je da se ljudi procesi i tehnologija međusobno nadopunjuju – sve ove komponente moraju imati
način obrane od rizika. [1] Korisnički bi trebali biti upoznati s načelima sigurnosti podataka u
organizaciji, trebali bi mati smjernice o lozinkama, izradama sigurnosnih kopija podataka te o
prijetnjama mailovima. Organizacije moraju koristi to jest implementirati neki od okvira pomoću
kojeg će lakše predvidjeti rizike, zaštitit sustave ali i znati reagirati na prijetnje. [2]
Cyber sigurnost se odnosi na tehnologije, procese i prakse kojima je svrha očuvanje
intelektualnog vlasništva organizacije, podataka o klijentima, podataka o poslovanju te očuvanje
svih ostalih osjetljivih informacije od nautoriziranog pristupa. [3]
Cyber rizik se odnosi na bilo koji cyber napda ili povredu tajnoti podatka

Cyber rizici
Referenca [https://www.uscybersecurity.net/risks-2019/] rizci o kojima organizcaije moraju voditi
računa u 2019 su :
Povreda tajnosti podataka
Većina organizacija odustaje od tradicionalnih oblika pohrane podataka te se okreće čuvanju
podataka u oblaku. Organizacije trebaju biti vrlo pažljive kod odabira cloud usluga te imati dobar
sustav enkripcije.)
Nesigurno korisničko sučelje
Ukoliko organizacije koriste usluge u oblaku također koriste i njihova sučelja što znači da je
sigurnost doređenog sučelja u rukama pružatelja usluga- Rizici nastaju endostatakom dobre
sigurnosti pocevsi od autentifikacije i enkripciej. Kod odabira pružatelja usluge vrlo je bitno
saznati sigrunsot samog sustava.
Zlouporaba u oblaku
Korištenje oblaka zap ohranu podataka skolno je zlouporabi. Najveći rizik predstavalja
infrastruktura kao usluga (Iaas) koja nema siguran registracijski proces.
Malware napad
Ovi napadai odnose se na aktivnosti zlonamjenrih softvera na susravi kojih vlasnik nije niti
svjesta. Postoji više razloga zbog kojih dolazi do ovih napada a neki od njih su korištenje
besplatnih softvera, koristenje USB medija za razmjenu podataka, djeljenje podataka putem
torrenta te ne korištenje antivirusnog programa. Kakko bi se izbjegli ovakvi napradi potrebno je
definirati strogu sigurnosnu politiku u organizcaiji.
Gubitak podataka
Postoji više načina na koji se mogu izgubiti važni podaci za organizaciju kao naprijemr
korištenje nepouzdanog medija za pohranu podataka, izmjena ili brisanje podataka. Ovakve
situacije mogu dovesti do velikih problema kao što su gubitak klijenata te reputacije firme.
Trebalo bi koristi SSL enkripcije kako bi se zaštitli podaci.

Hakiranje
Hakiranje je konstanta prijetnja za koju nije izgledno da će uskoro nestati. Zato svaka
organizacija mora naći načine na koje može povećati sigurnsot i minimalizirati mogućnost
hakiranja.

Unutranja prijetnja
Unutarnja prijetnja će i dalje ostati jako velik ioblik za povrede tajnosti podataka. Svo osoblje je
zapravo unutarnja prijetnja uključujući i prošle zaposlenike. Na ovo se može utjecati redovitom
edukacijomosoblja, te njihovim testiranjem i praćenje.

IOT( Internet of things)

Najčešće korišteni ovkiri upravljanja cyber rizicima i cyber sigurnosti:

Okvir je skup standarda , smjernica i najboljih praksi za upravljanje rizikom. Najčešće korištenih
okvira za upravljanje cbyer rizicima i cyber sigurnošću 2019. godini su[4].

 National Institute of Standards and Technology (NIST) Framework for Improving

Critical Infrastructure Cybersecurity (NIST CSF)
 Payment Card Industry Data Security Standard (PCI DSS)
 Center for Internet Security Critical Security Controls (CIS)
 ISO/IEC 27001/27002 (ISO) (https://www.tenable.com/whitepapers/trends-in-security-
framework-adoption)
U nastavku ovog rada i biti će detaljnije objašnjena ova četiri okvira te GDPR koji je bitna za
sigirunost podatka u Eurposkoj uniji ali u za sve tvrtke koje posluju na pordučju europske unije.

Payment Card Idustry Dana Security Standard

PCI DSS predstavlja skup tehničkih i operativnih zahtjeva koji osiguravaju sigurnost kartičnog
poslovanja. Namijenjen je bankama, proizvođačima softvera, opreme i svima koji su uključeni u
izdavanje, prihvat i autorizaciju kartica.[5]
U izradi ovog standarda sudjelovali su American Express, Discover Financial Services, JCB,
MasterCard and Visa Inc, a standard se sastoji od šest ciljeva unutar kojih postoji sveukupno 12
zahtjeva koje je potrebno zadovoljiti kako bi se ispunili ciljevi[6]

https://www.pcisecuritystandards.org/documents/PCI_DSS-QRG-v3_2_1.pdf?
agreement=true&time=1572785906031

Ciljevi i zahtjevi PCI DSS-a:

1. Izgradnja i održavanje sigurne mrežne infrastrukture
Zahtjev 1: Izgraditi i održavati vatrozid podešen tako da zaštiti kartične podatke.
 Potrebno je uspostaviti i implementirati vatrozid te konfigurirati rutere tako da se
zabrani bilo kakav promet sa nepoznatih mreža
 Zahtjev 2: Ne koristiti lozinke i druge sigurnosne parametre dobivene od dobavljača
sklopovlja ili programa.
● Obavezno treba promijeniti zadane (unaprijed postavljene) lozinke.
2. Zaštita kartičnih (korisničkih) podataka -podaci o vlasniku kartice moraju u svakom
trenutku biti zaštićeni gdje god da su pohranjeni.
Zahtjev 3: Zaštiti spremljene kartične podatke.
Podaci sa kartice moraju u svakom trenutku biti sigurni te je potrebno spriječiti
neautorizirano korištenje kartice. Podaci o vlasniku kartice se moraju spremati samo kada je to
nužno. Svako čuvanje ovih podataka mora biti vremenski ograničeno, te je potrebno ukloniti
podatke nakon isteka nužnog vremena.
Zahtjev 4: Enkriptirati kartične podatke za vrijeme prijenosa po otvorenim, javnim
mrežama.
Potrebno je dobro dokumentirati I implementirati procedure za zaštitu ključeva koji se koriste
za šifriranje podataka kako nebi došlo do zlouporabe. Sve procese koji se koriste za
enkripciju potrebno je dobro dokumentirati,a sigurnosna politika i postupci moraju biti
detaljno evidentiratni te cijela orgnazicajia mora biti upoznata s njima.. IBAN nikad nebi
trebao biti u cjelosti prikazan te ga se nebi smjelo slati putem emalova ili instan poruka

Potrebno je koristiti jaku kripftografsku I sigurnosne protokole kada se podaci šalju prejo
otvornee mreže ,

3. Održavanje programa za upravljanje ranjivostima

Zahtjev 1: Zaštiti se od zlonamjernih program te r redovito ažurirati anti-virusne programe.
Svi sustavi moraju koristit anti virusne programe,a pogotovo osobna računala. Svi anti virusi
moraju biti redovito ažurirani , potrebno je provoditi periodično skeniranje sustavate
generirati revizijske zapise. Korisnicima treba onemogućiti isključivanje anti virusa.
• Zahtjev 2: Razvijati i održavati sigurne sustave i aplikacije.
Sigurnosne ranjivosti omogućuju kriminalcima pristup IBANU I ostalim podacima o
vlasnicu kartice. Potrebno je uspostaviti postupak za prepoznavanje ranjivosti sustava te
rangirati rizike .Security patches moraju biti instalirani unutar– unutar jednog mjeseca od
izdavanja. Treba osigurati da svi zahtjevi PCI DSS implementirani kod svake promjene na
sustavu ili mreži te kod uvođenja novog sustava. Developeri trebaju biti upućeni o tehnikama
sigurnog kodiranja. Procjenu ranjivosti web aplikacija treba obavljati najmanje jednom
godišnje a obavezno nakon svake promjene.

4.Implementacija jakih kontrola pristupa

Zahtjev 1: Ograničiti pristup kartičnim podacima modeliranjem poslovnog procesa.
Pristup kritičnim podacima treba imati samo ovlašteno osoblje. Potrebno je uspostaviti sustav za
kontrolu pristupa koji ograničava pristup na temelju onoga t korisnik mora znati, a postavljen je
na denay all(uskrati sve) osim ako to posebno nije dopušteno
• Zahtjev 2: Dodijeliti jedinstveni ID svakoj osobi koja pristupa računalu. Identificirati I
autentificirati svaki pristup sustavu
Svaki osoba mora imati jedinstveni pin za pristup sustavu kako bi se moglo pratit sve promjene
koje su napravili. Potrebno je definirati I implementirati postupke za osiguranje pravilnog
upravljanja identifikacijom korisnik. Svaki korisnik mora imati jedinstveno korisničko ime te
koristit lozinku,token ili nešto slično za dodatnu autentifikaciju. Svi korisnici moraju biti upućeni
u politiku autentifikacije. N smiju se koristi grupni ili generički ID. Pristup bazi podatak koja
sadržava podatke o vlasniku kartice mora biti ograničen

• Zahtjev 3: Ograničiti fizički pristup kartičnim podacima.

Svaki fizički pristup omogućuje osobama da pristupe, uklone uređaje, podatke, kopije I
slinčno.Pristup treba biti ograničen I definiran na osoblje, posjetitelje.
Potrebno je kontrolirati ulazak u objekt, omogućiti jednostavno razlikovanje osoblja I
posjetitelja npr. ID značka. Kod raskida poslovnog odnosa potrebno je opozvati pristup –
vratit karticu, onemogućiti uporabu pina I slično. Svaki posjetitelj mora biti identificiran
prilikom ulaska te po izlasku mora vratit karticu. Potrebno je voditi I dnevnik posjetitelja.
Sigurnosne kopije medija(svi papiri ili elektronički mediji na kojima se čuvaju podaci)
moraju postojati po mogućnosti na nekoj sigurnoj lokaciji. Sve medije je potrebno uništit
kada postanu nepotrebni. Revizijska zapisi se ne smij umoći promijeniti.

5.Redoviti nadzor i ispitivanje mrežne infrastrukture

Zahtjev 10: Pratiti i provjeravati svaki pristup mrežnim resursima i kartičnim podacima.
Mehanizmi praćenja korisničkih aktivnosti su od kritične važnosti za upravljanje ranjivošću
sustava. Treba implementirati revizijske zapise kako bi se svaki pristup komponenta mogao
povezati sa određenim korisnikom. Potrebo je zabilježiti najmanje korisničku identifikaciju,
vrsta događaja, datum I vrije, uspješnost ili neuspješnost događaja, naziv podataka kojima je
pristupljeno
• Zahtjev 11: Redovito provjeravati sigurnost sustava i procesa.
Potrebno je stalno testirati komponente sustava radi pojave novih prijetnji. Pogotovo je važno
testirati sustav kod svake uporabe novog softvera ili konfiguracije sustava. Provjera ranjivosti
unutarnje I vanjske mreže treba biti izšena barem jednom u kvartalu ali I svaki put nakon
nekih značajnih promjena robe
6.Održavanje sigurnosne politike
Zahtjev 11: Održavati pravilnik koji se odnosi na informacijsku sigurnost.
Dobar pravilnik o sigurnosti utječe na čitavu tvrtku I omogućava zaposlenicima da znaju
njihove dužnosti vezane uz sigurnosti. Pravilnik o sigurnsoti treba pregledavati barem
jednom godišnje te po potrebi ažurirati. U pravilniku trebaju biti jasno definirana pravila. Svi
članovi organizacije moraju biti dobro upoznati sa cijelim pravilnikom, te redovito upućeni u
promjene. Potrebno je I provjeriti osoblje prije angažiranja kako bi se izbjegli rizici iz
unutarnjih izovra.
NIST
Ovaj okvir je kreiran za upravljanje kibernetičkim rizicima kartične infrastrukture. Ovaj
okvir je vrlo prilagodljiv te je namijenjen različitim organizacijama neovisno o njihovoj
veličini ili sektoru. Kreiranje vlastitog profila organizacija može uvidjeti koje procese treba
promijeniti, dodati ili unaprijediti, okvir omogućuje svakoj organizaciji da si sama odredi
korake koji joj najviše odgovaraju kako bi ostvarila cilj,
NIST se sastoji od tri komponente:
● Implementation Tiers – Razine implementacije
o Prikazuje koliko određena organizacija vlada karakteristikama okvira. Postoje
četiri razine:
▪ Razina 1: djelomično upravljanje rizicima
▪ Razina 2: dobra informiranost o rizicima
▪ Razina 3: ponavljajuće upravljanje rizicima
▪ Razina 4: adaptivnog upravljanje rizicima
● Framework Core – Jezgra okvira
o Prikazuje skup željenih aktivnosti I ishoda organiziranih u kategorije. Sastoji se
od 5 glavnih funkcija od kojih svaka ima svoje kategorije I potkategorije
● Profiles
o Odnosi se na profile organizacija to jest na definiranje njihove potrebe I trenutnog
stanja organizacije. Pomoću izrade profila eidentificraj se prilike za poboljšanje
cyber sigurnosti. Organizacije trebaju kreirati Trenutni profil I ciljani profil
https://translate.google.com/translate?sl=auto&tl=hr&u=https%3A%2F%2Fwww.nist.gov
%2Fcyberframework%2Fonline-learning%2Fuses-and-benefits-framework

Funkcije okvira NIST

Identify – Identificirati
Svrha ove funkcije je razviti razumijevanje za upravljanje rizikom u organizaciji (za sustave,
podatke, imovinu i sl.) Kroz ovu funkciju se definira kontekst poslovanja te procjenjuje cijeli
sustav. S obzirom da se prijetnje sustavi i ljudi stalno mijenjaju potrebno je više puta
ponavljati ovu funkciju .Neki od ishoda ove funkcije su :
 Identificirati poslovno okruženje
 Identificirati postojeću politiku cyber sigurnosti kako bi se definirano daljnji
program upravljanja
 Identificirati prijetnje i ranjivosti unutra unutarnjih i vanjskih resursa
 Identificirati strategiju upravljanja rizikom koja uključuje prioritete, ograničenja
te granicu tolerancije na rizik.

Zaštita (Protect)
 Ova funkcija se odnosi na sposobnost da se ograniči utjecaj nekog negativnog događaja
događaja. Neki od ishoda su:
 Osviještenost i obuka osoblja o cyber sigurnosti omogućava osbolju da
obavlja posao u sklad usa informacijskom sigurnošću to jest sa postojećim
politikama i procedurama u organizacji.
 Ograničavanje pristupa svima unutar organizacije ovisno o riziku i njihovim
ovlastim.
 Upravljanje svim podacima organizacije treba biti u skladu sa poslovnom
strategijom upravljanja rizikom kako bi se zaštito itegritetet, dostupnost te
povjerljivost informacija.

Detect- otkriti
Ova funkcija definira aktivnosti pomoću kojih se može prepoznati pojava cyber sigurnosnog
događaja te njegovo pravovremeno otkrivanje .Potrebno je izraditi dobar sustav upozorenja
tako da se zna unaprijed kada se može očekivati neki događaj. Primjeri ishoda:
Oigurait otrkivanje anomalija, događaja te njihovih tujecaja
Kontinurani nadzor

Odgovoriti
Odnosi se na sveo en aktivnosti koje se može izvršiti nakon što se otkrije incident.
Omogućava smanjenje negativnog utjecaja.
Ishodi:
Upravljanje komunikacijom tijekom i nakon nekog događaja sa sudinoima.
Mjere ublažavanja akko bi se sprječilo širenj incidenta

Oporavak:
Ovaj funkcija omogućava pravodobno vraćanje u uuboičajen ostanje nakon nekog incidenta
Provdeba poboljšanja na temelju prošlčih incidenta
Koordinacja nakon oporavkao d incidnetna

(https://www.ispartnersllc.com/blog/nist-5-functions-overview/)
 CIS Critical Security Control je okvirrazvijne od strane SANS instituta i CIS (Centar za
Internet sigurnsot). [https://www.newnettechnologies.com/understanding-the-basic-cis-controls-
csc-1-6.html]

Slika 1: 20 Cis kontrola

(izvor : https://www.cisecurity.org/blog/cis-controls-version-7-whats-old-whats-new/)
20 točaka cisa: (https://www.tripwire.com/state-of-security/security-data-protection/security-
controls/cis-top-20-critical-security-controls/)
A- Basic kontrole – ove kontrole bi trebale biti implementirane u svakoj organizaciji kako bi
se osigurala osnovna cbyer zaštita
1.popis i kontrola hardvera – prvi korak u sigurnosti tvrtke je prikaz svih uređaja na mreži
pojeine organizacije.Potreno je voditi evidenciju o svim zalihama.
2. popis i kontrola softvera,
3. stalno upravljanje ranjivostima – potrebno je često to jest u redovitim razmacima
pretraživati ranjivosti mreže. Treba automatizirati provjere okruženja
4. kontrola korištenja administrativnih ovlasti – ove ovlasti su klavna meta cyber krminala.
Potrebno je promjeniti defaultne passworde te imati detaljan uvid u administratorske račune.
5. sigurna konfiguracija hardvera i softvera na mobilnim uređajima, prijenosnim
računalima, radnim stanicama i poslužiteljima,
6. održavanje, nadzor i analiza zapisa rada sustava – revizije prikazuju točan prikoz svik
aktivnosti na mreži što je u slučaju nekog incidenta vrlo korisno jer je moguće saznati tko je i
što npravio u vrijeme toga incidenta.
B-Foundamental – pružaju jo šviše sigurnsonih prednosit
7. zaštita e-pošte i web preglednika,
8. zaštita od zloćudnog softvera – antivirusni programi uvijek trebaju biti ažurirani
9. ograničena upotreba i kontrola mrežnih portova, protokola i usluga,
10. sposobnost povrata podataka – potrebno je imati sigurnosne kopije svih podataka to jest
svih važnih podataka
11. sigurne konfiguracije mrežnih uređaja poput vatrozida, usmjernika i prespojnika,
12. zaštita vanjskih dijelova mreže,
13. zaštita podataka – jedna od najzahtjevnijih točaka
14. kontrola pristupa uz need-to-know politiku,
15. kontrola bežičnog pristupa,
16. nadzor i kontrola korisničkih računa,
C-Organizational – usmjerene su na ljude i procese u organizcaiji više nego na tehniku
17. implementacija programa edukacije o sigurnosti – edukacija osoblja bi trebela biti
prioritet svakoj organizaciji- Ova obuka bi trebala biti redovita.
18. sigurnost aplikativnog softvera,
19. upravljanje sigurnosnim incidentima i
20. penetracijski testovi i uvježbavanje izvanrednih situacija.

GDPR

(https://eur-lex.europa.eu/legal-content/HR/TXT/HTML/?
uri=CELEX:32016R0679&qid=1462363761441&from=HR#d1e1794-1-1)
General Data Protection Regulatoj je zakon o zaštiti privatnosti i osobnih podataka. Gdpr
utječe na sve tvrtke u EU i sve one koje rukuju podacima iz EU.
GDPR-a definira osobni podatak kao svaki podatak koji se odnosi na pojedinca i omogućuje
utvrđivanje njegovog identiteta. To su ime i prezime, identifikacijski broj, slika,adresa,broj
telefona, IP adresa, povijest bolesti i sl(https://azop.hr/info-servis/detaljnije/vodic-kroz-
opcu-uredbu-o-zastiti-podataka)
Načela obrade podataka:
Zakonitost, poštenost i transparentnost obrate- osoba mora biti informirana o postupku i svrhi
obrade
Ograničavanje svrhe – podaci moraju biti prikupljeni za točno određene svrhe te da se dalje
ne mogu obrađivati za neke druge svrhe.
Smanjenje količine podataka- podaci moraju biti primjereni, relevantni te ograničeni samo na
ono nužne podatke
Točnost
Ograničavanje pohrane – identifikacija ispitanika mora biti moguća samo dok je to nužno za
svrhu za koju se obrađuju
Cjelovitost i povjerljivost – podaci se moraju obrađivati na siguran te moraju biti zaštićeni od
neovlaštene ili nezakonite obrade
Prava Građana ispitanika:
Transparentnost – ispitanik mora biti obaviješten o identitetu i podacima voditelja obrade, o
svrhama prikupljanja podataka te koliko će se podaci čuvati hoće li biti izneseni u treće
zemlje i slično
Pristup podacima – ispitanik mora mora znati koji se podaci obrađuju te koliko će biti
ohranjeni
Pravno na ispravak- moguće je zatažiti ispravak netočnih podatak

Praov na zaborav – moguće je zatražiti brisanje osobnih podataka ako ti podaci više nisu
nužni , ako je ispitanik povukao dopuštenje za njihovu obradu i slično
[https://azop.hr/info-servis/detaljnije/vodic-kroz-opcu-uredbu-o-zastiti-podataka ]
ISO 27001:27002
ISO 27001 prikazuje kako upravljati sigurnošću informacija u organizacijama neovisno o
kakvoj se organizaciji radi. Glavni cilj je zaštita podataka zbog koje je potrebno prepoznati
rizik te definirati šo napraviti kad se taj rizik dogodi. ISo 27002 daje smjenrcie za
implementaciju sigurnosnih mjera iz ISO 2700.
 Prednosti korištenja ISO standrda su mnogobrojne kao naprimjer marketniška prednost – ISO
je poznati standard i certifikat daje prednost kod kupaca, smanjenjem incidenta dugorno se
smanjuju i troškovi, ISO tjera tvrtke da napisu svoje procese
ISO 27001 je sastoji od 11 poglavlja i Aneksa A:

Poglavlje 0: Uvod 
Poglavlje 1: Opseg .
Poglavlje 2: Upućivanje na druge norme 
Poglavlje 3: Pojmovi i definicije .
Poglavlje 4: Kontekst organizacije Poglavlje 5: Rukovođenje 
Poglavlje 6: Planiranje 
Poglavlje 7: Podrška 
Poglavlje 8: Djelovanje 
Poglavlje 9: Ocjena učinaka 
Poglavlje 10: Poboljšanje 
Aneks A 

ISO20072 detaljni opisjue svaki zadatk iz ISO 20071

ZAKLJUČAK
Nakon pročuavanj teme cyber sigurnosti i cyber rizika može se zaključiti da je ova tem vrlo
važna i akutalna u današnje vrijeme. Svakoj organizacji trebao bi biti prioriteti kreirati svoj
plan urpavljanja rizicima i način nošenja sa mogućnošću rizika.
Kroz sve okvire upravljanj rizkom možemo vidjeti da je vrlo bitno točno odrediti u kakvoj
poziciji sa cyber sigurnošću stoji organizcija sada, prepoznati koje su sve moguće prijetnje te
odlučiti na koji način ih samnjiti. Vrlo je važno da svaka organizacija ima sigurnosnu
politiku te da sa njom upoznaje svoje osoblje kontinurano jer ne znjae sigurnosnih protokola
može dovesti do velikih gubitaka za firmu.