Professional Documents
Culture Documents
R EVIZIJA
R EVIZIJA
Cyber rizici za organizacije Iz godine u godinu rastu te je cyber sigurnost sve važnija za sve
organizacije i njihovo poslovanje.. Kroz ovaj rad obrađena je tema najčešće korištenih okvira za
upravljanje cyber rizikom i cyber sigurnosti. Na početku rada je definirano što je cyber sigurnost
i koji su to cyber rizici. Kroz glavni dio rada navedeni su neki od okvira za urpavljanje cyber
rizicma: CIS,NIST,GDPR,ISO?NESTO. i Tokom rada su ukratko objašnjeni svi navedeni cyber
okviri te neke njihove karakteristike. Rad se sastoji od 2 poglavlja to su cbyer sigurnost te
najčešće korišteni okviri za upravljanje cyber rizicima.
Cyber sigurnost (u Hrvatskoj se još naziva i kibernetička sigurnost) je način zaštite sustava,
mreža i programa od cyber napada. Koristi se kao zaštita od neovlaštenog pristupa podatcima i
računalnim sustavima. Mjere cyber sigurnosti se provode radi zaštite podataka u nekoj
organizaciji. Kako bi se postigla određena količina cyber sigurnost u nekoj organizaciji potrebno
je da se ljudi procesi i tehnologija međusobno nadopunjuju – sve ove komponente moraju imati
način obrane od rizika. [1] Korisnički bi trebali biti upoznati s načelima sigurnosti podataka u
organizaciji, trebali bi mati smjernice o lozinkama, izradama sigurnosnih kopija podataka te o
prijetnjama mailovima. Organizacije moraju koristi to jest implementirati neki od okvira pomoću
kojeg će lakše predvidjeti rizike, zaštitit sustave ali i znati reagirati na prijetnje. [2]
Cyber sigurnost se odnosi na tehnologije, procese i prakse kojima je svrha očuvanje
intelektualnog vlasništva organizacije, podataka o klijentima, podataka o poslovanju te očuvanje
svih ostalih osjetljivih informacije od nautoriziranog pristupa. [3]
Cyber rizik se odnosi na bilo koji cyber napda ili povredu tajnoti podatka
Cyber rizici
Referenca [https://www.uscybersecurity.net/risks-2019/] rizci o kojima organizcaije moraju voditi
računa u 2019 su :
Povreda tajnosti podataka
Većina organizacija odustaje od tradicionalnih oblika pohrane podataka te se okreće čuvanju
podataka u oblaku. Organizacije trebaju biti vrlo pažljive kod odabira cloud usluga te imati dobar
sustav enkripcije.)
Nesigurno korisničko sučelje
Ukoliko organizacije koriste usluge u oblaku također koriste i njihova sučelja što znači da je
sigurnost doređenog sučelja u rukama pružatelja usluga- Rizici nastaju endostatakom dobre
sigurnosti pocevsi od autentifikacije i enkripciej. Kod odabira pružatelja usluge vrlo je bitno
saznati sigrunsot samog sustava.
Zlouporaba u oblaku
Korištenje oblaka zap ohranu podataka skolno je zlouporabi. Najveći rizik predstavalja
infrastruktura kao usluga (Iaas) koja nema siguran registracijski proces.
Malware napad
Ovi napadai odnose se na aktivnosti zlonamjenrih softvera na susravi kojih vlasnik nije niti
svjesta. Postoji više razloga zbog kojih dolazi do ovih napada a neki od njih su korištenje
besplatnih softvera, koristenje USB medija za razmjenu podataka, djeljenje podataka putem
torrenta te ne korištenje antivirusnog programa. Kakko bi se izbjegli ovakvi napradi potrebno je
definirati strogu sigurnosnu politiku u organizcaiji.
Gubitak podataka
Postoji više načina na koji se mogu izgubiti važni podaci za organizaciju kao naprijemr
korištenje nepouzdanog medija za pohranu podataka, izmjena ili brisanje podataka. Ovakve
situacije mogu dovesti do velikih problema kao što su gubitak klijenata te reputacije firme.
Trebalo bi koristi SSL enkripcije kako bi se zaštitli podaci.
Hakiranje
Hakiranje je konstanta prijetnja za koju nije izgledno da će uskoro nestati. Zato svaka
organizacija mora naći načine na koje može povećati sigurnsot i minimalizirati mogućnost
hakiranja.
Unutranja prijetnja
Unutarnja prijetnja će i dalje ostati jako velik ioblik za povrede tajnosti podataka. Svo osoblje je
zapravo unutarnja prijetnja uključujući i prošle zaposlenike. Na ovo se može utjecati redovitom
edukacijomosoblja, te njihovim testiranjem i praćenje.
Okvir je skup standarda , smjernica i najboljih praksi za upravljanje rizikom. Najčešće korištenih
okvira za upravljanje cbyer rizicima i cyber sigurnošću 2019. godini su[4].
https://www.pcisecuritystandards.org/documents/PCI_DSS-QRG-v3_2_1.pdf?
agreement=true&time=1572785906031
Potrebno je koristiti jaku kripftografsku I sigurnosne protokole kada se podaci šalju prejo
otvornee mreže ,
Zaštita (Protect)
Ova funkcija se odnosi na sposobnost da se ograniči utjecaj nekog negativnog događaja
događaja. Neki od ishoda su:
Osviještenost i obuka osoblja o cyber sigurnosti omogućava osbolju da
obavlja posao u sklad usa informacijskom sigurnošću to jest sa postojećim
politikama i procedurama u organizacji.
Ograničavanje pristupa svima unutar organizacije ovisno o riziku i njihovim
ovlastim.
Upravljanje svim podacima organizacije treba biti u skladu sa poslovnom
strategijom upravljanja rizikom kako bi se zaštito itegritetet, dostupnost te
povjerljivost informacija.
Detect- otkriti
Ova funkcija definira aktivnosti pomoću kojih se može prepoznati pojava cyber sigurnosnog
događaja te njegovo pravovremeno otkrivanje .Potrebno je izraditi dobar sustav upozorenja
tako da se zna unaprijed kada se može očekivati neki događaj. Primjeri ishoda:
Oigurait otrkivanje anomalija, događaja te njihovih tujecaja
Kontinurani nadzor
Odgovoriti
Odnosi se na sveo en aktivnosti koje se može izvršiti nakon što se otkrije incident.
Omogućava smanjenje negativnog utjecaja.
Ishodi:
Upravljanje komunikacijom tijekom i nakon nekog događaja sa sudinoima.
Mjere ublažavanja akko bi se sprječilo širenj incidenta
Oporavak:
Ovaj funkcija omogućava pravodobno vraćanje u uuboičajen ostanje nakon nekog incidenta
Provdeba poboljšanja na temelju prošlčih incidenta
Koordinacja nakon oporavkao d incidnetna
(https://www.ispartnersllc.com/blog/nist-5-functions-overview/)
CIS Critical Security Control je okvirrazvijne od strane SANS instituta i CIS (Centar za
Internet sigurnsot). [https://www.newnettechnologies.com/understanding-the-basic-cis-controls-
csc-1-6.html]
GDPR
(https://eur-lex.europa.eu/legal-content/HR/TXT/HTML/?
uri=CELEX:32016R0679&qid=1462363761441&from=HR#d1e1794-1-1)
General Data Protection Regulatoj je zakon o zaštiti privatnosti i osobnih podataka. Gdpr
utječe na sve tvrtke u EU i sve one koje rukuju podacima iz EU.
GDPR-a definira osobni podatak kao svaki podatak koji se odnosi na pojedinca i omogućuje
utvrđivanje njegovog identiteta. To su ime i prezime, identifikacijski broj, slika,adresa,broj
telefona, IP adresa, povijest bolesti i sl(https://azop.hr/info-servis/detaljnije/vodic-kroz-
opcu-uredbu-o-zastiti-podataka)
Načela obrade podataka:
Zakonitost, poštenost i transparentnost obrate- osoba mora biti informirana o postupku i svrhi
obrade
Ograničavanje svrhe – podaci moraju biti prikupljeni za točno određene svrhe te da se dalje
ne mogu obrađivati za neke druge svrhe.
Smanjenje količine podataka- podaci moraju biti primjereni, relevantni te ograničeni samo na
ono nužne podatke
Točnost
Ograničavanje pohrane – identifikacija ispitanika mora biti moguća samo dok je to nužno za
svrhu za koju se obrađuju
Cjelovitost i povjerljivost – podaci se moraju obrađivati na siguran te moraju biti zaštićeni od
neovlaštene ili nezakonite obrade
Prava Građana ispitanika:
Transparentnost – ispitanik mora biti obaviješten o identitetu i podacima voditelja obrade, o
svrhama prikupljanja podataka te koliko će se podaci čuvati hoće li biti izneseni u treće
zemlje i slično
Pristup podacima – ispitanik mora mora znati koji se podaci obrađuju te koliko će biti
ohranjeni
Pravno na ispravak- moguće je zatažiti ispravak netočnih podatak
Praov na zaborav – moguće je zatražiti brisanje osobnih podataka ako ti podaci više nisu
nužni , ako je ispitanik povukao dopuštenje za njihovu obradu i slično
[https://azop.hr/info-servis/detaljnije/vodic-kroz-opcu-uredbu-o-zastiti-podataka ]
ISO 27001:27002
ISO 27001 prikazuje kako upravljati sigurnošću informacija u organizacijama neovisno o
kakvoj se organizaciji radi. Glavni cilj je zaštita podataka zbog koje je potrebno prepoznati
rizik te definirati šo napraviti kad se taj rizik dogodi. ISo 27002 daje smjenrcie za
implementaciju sigurnosnih mjera iz ISO 2700.
Prednosti korištenja ISO standrda su mnogobrojne kao naprimjer marketniška prednost – ISO
je poznati standard i certifikat daje prednost kod kupaca, smanjenjem incidenta dugorno se
smanjuju i troškovi, ISO tjera tvrtke da napisu svoje procese
ISO 27001 je sastoji od 11 poglavlja i Aneksa A:
Poglavlje 0: Uvod
Poglavlje 1: Opseg .
Poglavlje 2: Upućivanje na druge norme
Poglavlje 3: Pojmovi i definicije .
Poglavlje 4: Kontekst organizacije Poglavlje 5: Rukovođenje
Poglavlje 6: Planiranje
Poglavlje 7: Podrška
Poglavlje 8: Djelovanje
Poglavlje 9: Ocjena učinaka
Poglavlje 10: Poboljšanje
Aneks A