GDPR, phishing i CIA trijada

Questions and Answers

Objasnite, u kontekstu GDPR-a, razliku između voditelja obrade i izvršitelja obrade osobnih podataka.

Voditelj obrade određuje svrhu i način obrade podataka, dok izvršitelj obrade obrađuje podatke u ime voditelja, prema njegovim uputama.

Koja je uloga službenika za zaštitu osobnih podataka (DPO) unutar organizacije i zašto je ta uloga važna u kontekstu GDPR-a?

Službenik za zaštitu podataka osigurava usklađenost s GDPR-om savjetovanjem, praćenjem primjene uredbe i komunikacijom s nadzornim tijelima.

Navedite i ukratko opišite tri oblika phishing prijevara, ističući njihove specifičnosti.

Tri oblika phishinga su: spear phishing (ciljane personalizirane poruke), vishing (prevare putem telefona) i smishing (lažne SMS poruke).

Kako biste objasnili "pravo na zaborav" u kontekstu prava pojedinca na zaštitu osobnih podataka?

"Pravo na zaborav" omogućuje pojedincu da zatraži brisanje svojih osobnih podataka, ako više ne postoji valjani razlog za njihovu obradu.

Koje korake treba poduzeti ako primite sumnjivu e-poruku koja traži osobne podatke, kako biste se zaštitili od phishing napada?

Treba provjeriti vjerodostojnost pošiljatelja, izbjegavati klikanje na sumnjive poveznice i direktno kontaktirati organizaciju navedenu u poruci putem službenih kanala.

Objasnite kako se načelo povjerljivosti (Confidentiality) iz CIA trijade primjenjuje u praksi zaštite podataka unutar organizacije. Dajte konkretan primjer.

Povjerljivost se osigurava kontrolom pristupa, enkripcijom podataka, i sigurnosnim politikama. Primjer: ograničavanje pristupa financijskim podacima samo ovlaštenim zaposlenicima.

Kako bi organizacija mogla osigurati cjelovitost (Integrity) podataka pohranjenih u bazi podataka i koji su potencijalni rizici ako se cjelovitost naruši?

Cjelovitost se osigurava korištenjem kontrolnih suma, digitalnih potpisa i redovitim sigurnosnim kopijama. Rizik je gubitak povjerenja, financijski gubici i pravne posljedice.

Navedite dva primjera praktičnih mjera koje organizacija može poduzeti kako bi osigurala dostupnost (Availability) svojih kritičnih sustava i podataka.

Redovite sigurnosne kopije podataka i redundantnost sustava (npr. korištenje više servera) osiguravaju dostupnost.

Opišite kako bi se PDCA model mogao primijeniti za poboljšanje sigurnosti bežične mreže u uredu.

Plan: Analiza rizika i postavljanje ciljeva. Provedi: Implementacija sigurnosnih mjera (WPA3). Provjeri: Nadzor mreže. Djeluj: Poboljšanje sigurnosnih postavki.

Objasnite razliku između 'phishing' napada i 'spear phishing' napada u kontekstu socijalnog inženjeringa.

Phishing je masovni napad, dok je spear phishing ciljani napad na pojedince s personaliziranim porukama.

Koje su ključne komponente ISMS sustava i kako one doprinose cjelokupnoj informacijskoj sigurnosti organizacije?

Politike, procedure, procesi i tehnološke kontrole. Oni osiguravaju sustavan pristup upravljanju rizicima i zaštiti podataka.

Navedite tri primjera informacija koje napadači mogu pokušati dobiti putem socijalnog inženjeringa i objasnite zašto su te informacije vrijedne.

Korisnička imena, lozinke, podaci o kreditnim karticama. Te informacije omogućuju neovlašten pristup sustavima i financijskim resursima.

Kako bi organizacija trebala reagirati na uspješan socijalni inženjering napad (npr. zaposlenik je otkrio osjetljive informacije prevarantu) da minimizira štetu?

Ograničiti štetu (promjena lozinki, obavijest banke), istražiti incident, educirati zaposlenike i poboljšati sigurnosne procedure.

Objasnite pojam rezidualnog rizika i zašto je važno njegovo kontinuirano praćenje?

Rezidualni rizik je rizik koji preostaje nakon implementacije sigurnosnih kontrola. Važno ga je pratiti kako bi se osiguralo da je preostali rizik prihvatljiv i da ne premašuje tolerirane razine.

Navedite tri vrste prijetnji informacijskim sustavima i za svaku vrstu prijetnje predložite jednu preventivnu mjeru.

Prirodne prijetnje (potres - osiguranje zgrade), ljudsko djelovanje (phishing - edukacija zaposlenika), tehnički kvarovi (otkazivanje diska - backup sustav).

Koja je svrha norme ISO 22301 i kako organizacijama pomaže u upravljanju kontinuitetom poslovanja?

Svrha ISO 22301 je osigurati da organizacija može nastaviti s ključnim poslovnim procesima tijekom prekida. Pomaže kroz planiranje, implementaciju i održavanje sustava za odgovor na izvanredne situacije.

Objasnite temeljna načela GDPR-a vezana uz obradu podataka i navedite barem dva prava koja pojedinci imaju prema GDPR-u.

Načela GDPR-a uključuju zakonitost, poštenost i transparentnost obrade, ograničenje svrhe i smanjenje količine podataka. Pojedinci imaju pravo na pristup svojim podacima i pravo na brisanje.

Koje su ključne komponente Zakona o kibernetičkoj sigurnosti i zašto je strateško planiranje važno u kontekstu kibernetičke sigurnosti?

Ključne komponente su kategorizacija subjekata, obveze prijave incidenata i revizije sustava. Strateško planiranje je važno jer omogućuje proaktivnu zaštitu od prijetnji.

Što je digitalni dokaz i zašto je važno sačuvati njegov integritet tijekom prikupljanja?

Digitalni dokaz je podatak pohranjen ili prenesen elektronički koji može poslužiti u pravnim postupcima. Očuvanje integriteta je važno kako bi se osigurala vjerodostojnost dokaza na sudu.

Koja je razlika između post-mortem i live forenzike u kontekstu digitalne forenzike?

Post-mortem forenzika analizira podatke s uređaja nakon što je isključen, dok live forenzika analizira podatke na uključenom i aktivnom sustavu.

Objasnite ukratko ISO 27037 standard vezan uz digitalne dokaze

ISO 27037 daje smjernice za identifikaciju, prikupljanje, očuvanje i analizu digitalnih dokaza kako bi se osigurala njihova vjerodostojnost i prihvatljivost u pravnim postupcima.

Objasnite kako PDCA (Plan-Do-Check-Act) model doprinosi kontinuiranom poboljšanju ISMS-a (sustava upravljanja informacijskom sigurnošću).

PDCA model osigurava kontinuirano poboljšanje kroz ciklički proces: planiranje poboljšanja, implementacija plana, provjera učinkovitosti implementacije i djelovanje na temelju rezultata provjere za daljnja poboljšanja.

Koje su ključne komponente standarda ISO 27001 i kako one zajedno pridonose učinkovitom upravljanju informacijskom sigurnošću?

Ključne komponente su definiranje sigurnosne politike, procjena rizika, implementacija kontrola, upravljanje incidentima, dokumentacija, edukacija zaposlenika te kontinuirani nadzor i revizija. One zajedno osiguravaju sveobuhvatnu zaštitu informacija.

Navedite i obrazložite tri glavna cilja ISMS-a (sustava upravljanja informacijskom sigurnošću) i objasnite kako postizanje tih ciljeva utječe na poslovanje organizacije.

Glavni ciljevi su zaštita imovine, smanjenje rizika i osiguranje nesmetanog poslovanja. Postizanje ovih ciljeva povećava povjerenje klijenata, smanjuje gubitke zbog incidenata i osigurava usklađenost sa zakonima.

Opišite korake u procesu ISMS-a, od definiranja opsega do pripreme dokumentacije, i objasnite zašto je svaki od tih koraka važan za uspješnu implementaciju sustava.

Koraci su definiranje opsega, definiranje sigurnosne politike, procjena rizika, definiranje kontrola i priprema dokumentacije. Svaki korak je važan jer osigurava cjelovitost, učinkovitost i transparentnost ISMS-a.

Objasnite kako analiza rizika u informacijskom sustavu pomaže u prioritetnom upravljanju rizicima i smanjenju njihovog utjecaja na poslovanje organizacije.

Analiza rizika identificira imovinu, prijetnje i ranjivosti. Procjenom vjerojatnosti i posljedica rizika, omogućuje prioritetno upravljanje rizicima, usmjeravajući resurse na najkritičnije točke i smanjujući potencijalne štete.

Kako definiranje jasne sigurnosne politike unutar ISMS-a utječe na svijest i ponašanje zaposlenika u organizaciji?

Definiranje jasne sigurnosne politike educira zaposlenike o pravilima i odgovornostima, povećava svijest o važnosti sigurnosti i usmjerava njihovo ponašanje prema sigurnim praksama.

Na koji način implementacija kontrola unutar ISMS-a doprinosi smanjenju ranjivosti i zaštiti informacijske imovine organizacije od potencijalnih prijetnji?

Implementacija kontrola smanjuje ranjivosti tako što primjenjuje tehničke, organizacijske i proceduralne mjere zaštite. Time se smanjuje vjerojatnost iskorištavanja ranjivosti i štiti informacijska imovina od prijetnji.

Objasnite ulogu dokumentacije u ISMS-u (sustavu upravljanja informacijskom sigurnošću) i navedite primjere dokumentacije koja se obično priprema tijekom implementacije ISMS-a.

Dokumentacija osigurava transparentnost, dosljednost i reviziju ISMS-a. Primjeri uključuju politike sigurnosti, procedure, zapise o procjeni rizika, planove upravljanja incidentima i zapise o obuci zaposlenika.

U SDLC-u, koja je razlika između faze 'Analize' i faze 'Dizajna' i zašto je važno da se te faze odvijaju u pravilnom redoslijedu?

Faza 'Analize' fokusirana je na razumijevanje korisničkih potreba, dok faza 'Dizajna' kreira tehničko rješenje. Pravilan redoslijed osigurava da je dizajn temeljen na dobro razumijenim potrebama.

Objasnite kako faza 'Održavanja' u SDLC-u doprinosi dugoročnoj uspješnosti softverskog proizvoda.

Faza 'Održavanja' osigurava kontinuirano praćenje, ispravljanje pogrešaka i poboljšanje funkcionalnosti, što produljuje životni vijek softvera i zadržava njegovu relevantnost.

Kako SOA (Sigurnosno-obavještajna agencija) pridonosi zaštiti kritične infrastrukture Republike Hrvatske u kontekstu informacijske sigurnosti?

SOA pruža stručnu podršku i preporuke za zaštitu ključnih sustava važnih za nacionalnu sigurnost i gospodarstvo, smanjujući rizik od kibernetičkih napada.

Opišite na koji način SOA nadzire i otkriva prijetnje informacijskoj sigurnosti te kako se to znanje koristi u praksi?

SOA prati i analizira sigurnosne prijetnje, uključujući kibernetičke napade, te te informacije koristi za proaktivno reagiranje i zaštitu nacionalnih informacijskih sustava.

Uloga Vijeća za nacionalnu sigurnost (VNS) je donošenje strateških odluka. Kako se te odluke implementiraju u praksi u kontekstu informacijske sigurnosti?

VNS definira nacionalne strategije i prioritete za informacijsku i kibernetičku sigurnost, koje se zatim provode kroz konkretne mjere i aktivnosti relevantnih institucija.

Objasnite kako koordinacija između SOA-e i Vijeća za nacionalnu sigurnost (VNS) doprinosi sveobuhvatnoj zaštiti informacijske sigurnosti države?

SOA prikuplja i analizira podatke o prijetnjama, dok VNS usmjerava stratešku politiku. Koordinacija osigurava da se obavještajni podaci koriste za donošenje informiranih odluka i učinkovito upravljanje rizicima.

Navedite primjer situacije u kojoj bi SOA i VNS zajedno djelovali kako bi odgovorili na ozbiljan incident u informacijskoj sigurnosti?

U slučaju velikog kibernetičkog napada na kritičnu infrastrukturu, SOA bi analizirala prijetnju i pružila obavještajne podatke, dok bi VNS koordinirao odgovor i donosio strateške odluke za ublažavanje posljedica.

Pretpostavimo da je otkrivena nova ranjivost "zero-day" u široko korištenom softveru. Kako bi SOA i VNS zajedno radili na rješavanju te prijetnje?

SOA bi analizirala ranjivost i procijenila rizik, dok bi VNS koordinirao upozorenje relevantnim institucijama i donosio odluke o daljnjim mjerama zaštite, uključujući hitne zakrpe i komunikaciju s javnošću.

Objasnite razliku između mrtve i žive forenzike te navedite u kojim se situacijama primjenjuje svaka od njih.

Mrtva forenzika analizira podatke s neaktivnih sustava (npr. tvrdi diskovi), dok živa forenzika analizira podatke iz aktivnih sustava (npr. RAM). Mrtva forenzika se primjenjuje kada sustav nije operativan, a živa kada je sustav aktivan i potrebno je analizirati trenutno stanje.

Koje su ključne faze istrage digitalnih dokaza i zašto je rekonstrukcija događaja važna?

Ključne faze istrage digitalnih dokaza su: identifikacija, prikupljanje i očuvanje, analiza, evaluacija i prezentacija. Rekonstrukcija događaja je važna jer osigurava točnost i vjerodostojnost nalaza, što je ključno za pravni postupak.

Navedite tri tehnike socijalnog inženjeringa i objasnite kako se organizacije mogu obraniti od njih.

Tri tehnike socijalnog inženjeringa su: phishing, pretexting i tailgating. Organizacije se mogu obraniti edukacijom zaposlenika, politikama provjere identiteta i višefaktorskom autentifikacijom.

Koja je razlika između masovnih i ciljanih napada? Objasnite zašto su ciljani napadi često uspješniji.

Masovni napadi ciljaju široku publiku, dok su ciljani napadi usmjereni na određene osobe ili organizacije. Ciljani napadi su često uspješniji jer koriste prilagođene informacije o žrtvi, što ih čini uvjerljivijima.

Objasnite razliku između pseudonimizacije i anonimizacije podataka te navedite zašto se koriste.

Pseudonimizacija zamjenjuje osobne podatke oznakama koje ne omogućuju identifikaciju bez dodatnih podataka. Anonimizacija trajno uklanja identifikatore, čineći podatke neprepoznatljivima. Obje metode se koriste za smanjenje rizika zloupotrebe podataka.

Koje su moguće kazne za kršenje GDPR-a i što još, osim novčanih kazni, može uključivati kažnjavanje?

Kršenje GDPR-a može rezultirati kaznama do 20 milijuna eura ili 4% globalnog prihoda, ovisno o težini prekršaja. Kažnjavanje također može uključivati upozorenja, zabranu obrade podataka i obvezu ispravljanja propusta.

Navedite tri prava pojedinaca prema GDPR-u i objasnite zašto je važno da organizacije omoguće transparentno ostvarivanje tih prava.

Tri prava pojedinaca prema GDPR-u su: pravo na pristup podacima, pravo na ispravak i pravo na brisanje. Važno je da organizacije omoguće transparentno ostvarivanje tih prava jer se time osigurava povjerenje korisnika i ispunjavaju zakonske obveze.

Što podrazumijeva neovlašteni pristup računalnim sustavima prema Kaznenom zakonu RH i kakve su moguće kazne za to djelo?

Neovlašteni pristup računalnim sustavima podrazumijeva ulazak u računalni sustav bez dozvole s namjerom pristupa podacima, nanošenja štete ili ometanja sustava. Ovo djelo se kažnjava novčanom kaznom ili zatvorskom kaznom, ovisno o težini djela.

Flashcards

Informacijska sigurnost

Zaštita informacija i sustava koji ih obrađuju.

CIA trijada

Povjerljivost, cjelovitost i dostupnost informacija.

Povjerljivost

Osigurava da informacije budu dostupne samo ovlaštenim osobama.

Cjelovitost

Garantira točnost i potpunost informacija.

Dostupnost

Osigurava da su informacije dostupne ovlaštenim korisnicima kada su im potrebne.

Socijalni inženjering

Manipulacija ljudima za otkrivanje povjerljivih informacija.

ISMS

Sustav upravljanja za smanjenje rizika za informacijske resurse.

PDCA model

Model kontinuiranog poboljšanja: Planiraj, Provedi, Provjeri, Djeluj.

Što je SDLC?

Proces za planiranje, razvoj, testiranje i održavanje softverskih sustava.

Planiranje (SDLC)

Identificiranje zahtjeva i definiranju opsega projekta.

Analiza (SDLC)

Detaljna analiza zahtjeva kako bi se razumjele korisničke potrebe.

Dizajn (SDLC)

Kreiranje tehničkog dizajna softvera, uključujući arhitekturu i UI/UX elemente.

Razvoj (SDLC)

Pisanje koda i implementacija funkcionalnosti.

Implementacija (SDLC)

Isporuka softvera korisnicima i njegovo uvođenje u proizvodno okruženje.

Održavanje (SDLC)

Praćenje rada softvera, ispravljanje pogrešaka i unapređenje funkcionalnosti.

Što je SOA?

Središnje tijelo zaduženo za zaštitu nacionalne sigurnosti, uključujući informacijske prijetnje.

Voditelj obrade

Osoba ili pravni subjekt koji odlučuje o svrsi i načinu obrade osobnih podataka.

Izvršitelj obrade

Osoba ili pravni subjekt koji obrađuje podatke u ime voditelja obrade.

Službenik za zaštitu osobnih podataka (DPO)

Osoba zadužena za nadzor usklađenosti s GDPR-om u organizaciji.

Phishing

Kibernetička prijevara krađe podataka lažnim predstavljanjem pouzdanih institucija.

Spear phishing

Ciljani phishing napad s personaliziranim porukama.

Rezidualni rizik

Preostali rizik nakon primjene svih sigurnosnih kontrola. Kontinuirano se prati i smanjuje.

Prijetnje informacijskom sustavu

Potresi, poplave, krađa, phishing i tehnički kvarovi ugrožavaju informacijske sustave.

ISO 22301

Međunarodni standard za sustav upravljanja kontinuitetom poslovanja (BCMS).

Svrha norme ISO 22301

Osigurati kontinuitet ključnih poslovnih procesa i minimalizirati štetu tijekom izvanrednih situacija.

GDPR

Europski zakon koji regulira prikupljanje, obradu i zaštitu osobnih podataka.

Temeljna načela GDPR-a

Zakonitost, poštenost, transparentnost, ograničenje svrhe, smanjenje količine podataka, sigurnost obrade.

Zakon o kibernetičkoj sigurnosti

Definira mjere za zaštitu informacijskih sustava od kibernetičkih prijetnji, obuhvaća obveze prijave incidenata.

Digitalni dokaz

Podatak pohranjen elektronički koji može poslužiti kao dokaz u pravnom postupku.

Što je PDCA model?

Stalno poboljšanje ISMS-a kroz planiranje, djelovanje, provjeru i reakciju.

Što je ISO 27001?

Međunarodni standard za upravljanje informacijskom sigurnošću.

Komponente ISO 27001

Definiranje politike, procjena rizika, implementacija kontrola, upravljanje incidentima.

Ciljevi ISMS-a

Zaštita imovine, smanjenje rizika, osiguranje poslovanja, usklađenost s propisima.

ISMS proces

Definiranje opsega > Sigurnosna politika > Procjena rizika > Kontrole > Dokumentacija

Analiza rizika

Identificira imovinu, prijetnje i ranjivosti te procjenjuje njihov utjecaj.

Što je 'Check' u PDCA?

Prati učinkovitost sustava i provodi audite.

Što je 'Act' u PDCA?

Poduzimanje korektivnih mjera i poboljšanje sustava.

Digitalna forenzika

Analiza podataka iz pasivnih (tvrdi diskovi) i aktivnih sustava (RAM) radi utvrđivanja uzroka i posljedica sigurnosnih incidenata.

Faze istrage digitalnih dokaza

Identifikacija, prikupljanje, očuvanje, analiza, evaluacija i prezentacija digitalnih dokaza radi rekonstrukcije događaja.

Tehnike socijalnog inženjeringa

Manipuliranje ljudima da otkriju povjerljive informacije. Uključuje phishing, pretexting, tailgating i dumpster diving.

Ciljani i masovni napadi

Masovni napadi ciljaju široku publiku, dok ciljani napadi (spear phishing) ciljaju određene pojedince ili organizacije.

Pseudonimizacija i anonimizacija

Pseudonimizacija zamjenjuje osobne podatke oznakama, dok anonimizacija trajno uklanja identifikatore.

Kazne za Kršenje GDPR-a

Kazne do 20 milijuna eura ili 4% globalnog prihoda, ovisno o težini prekršaja, uključujući upozorenja, zabranu obrade podataka i obvezu ispravljanja propusta.

Prava pojedinaca prema GDPR-u

Pravo na pristup, ispravak, brisanje, ograničenje obrade, prenosivost i prigovor obradi podataka.

Neovlašteni pristup računalnim sustavima (KZ RH)

Ulazak u računalni sustav bez dozvole s namjerom pristupa podacima, nanošenja štete ili ometanja sustava. Kažnjivo novčanom ili zatvorskom kaznom.

Study Notes

Informacijska Sigurnost i CIA Trijada

• Informacijska sigurnost štiti informacije i sustave koji ih obrađuju, pohranjuju i prenose.
• CIA trijada uključuje povjerljivost, cjelovitost i dostupnost podataka.
• Cilj je spriječiti neovlašten pristup informacijama, njihov gubitak ili zloupotrebu.

Objašnjenje CIA Trijade

• CIA trijada je temeljni koncept informacijske sigurnosti.
• Povjerljivost osigurava pristup informacijama samo ovlaštenim osobama.
• Cjelovitost jamči točnost i potpunost informacija, sprječavajući neovlaštene izmjene.
• Dostupnost osigurava da su informacije dostupne ovlaštenim korisnicima kada su im potrebne, štiteći od prekida rada sustava i gubitka podataka.
• Cilj CIA trijade je pouzdanost i sigurnost informacija u organizacijama.

Definicija Socijalnog Inženjeringa

• Socijalni inženjering manipulira ljudima kako bi se došlo do povjerljivih informacija ili omogućio neovlašten pristup sustavima.
• Napadači koriste psihološke tehnike poput povjerenja, straha ili osjećaja hitnosti.
• Phishing e-poruke ili prevarantski telefonski pozivi su primjeri socijalnog inženjeringa.

ISMS i PDCA Model

• ISMS je sustav upravljanja za identificiranje, upravljanje i smanjenje rizika za informacijske resurse.
• PDCA model uključuje faze planiranja, implementacije, nadzora i poboljšanja.
• PDCA osigurava kontinuirani proces osiguravanja sigurnosti podataka.

PDCA Model Detaljnije

• PDCA (Plan-Do-Check-Act) je ciklički proces kontinuiranog poboljšanja.
• Faze PDCA modela su planiranje, provedba, provjera i djelovanje.
• U fazi planiranja postavljaju se ciljevi i identificiraju rizici.
• U fazi provedbe provode se planirane aktivnosti, edukacija zaposlenika i sigurnosne mjere.
• U fazi provjere prati se učinkovitost sustava.
• U fazi djelovanja poduzimaju se korektivne mjere i poboljšanja sustava.
• PDCA model osigurava stalno poboljšanje ISMS-a.

Objašnjenje ISO 27001

• ISO 27001 je međunarodni standard za sustav upravljanja informacijskom sigurnošću (ISMS).
• ISO 27001 pruža okvir za zaštitu informacija osiguravanjem njihove povjerljivosti, cjelovitosti i dostupnosti.
• ISO 27001 uključuje definiranje sigurnosne politike, procjenu rizika i primjenu kontrola za smanjenje prijetnji.

Komponente ISO 27001

• Komponente ISO 27001 uključuju definiranje sigurnosne politike, procjenu i obradu rizika, implementaciju kontrola, upravljanje incidentima, dokumentaciju, edukaciju zaposlenika te nadzor i reviziju.
• Cilj je smanjiti rizike i osigurati usklađenost sa zakonskim zahtjevima.

Ciljevi ISMS-a

• Ciljevi ISMS-a su zaštita imovine, smanjenje rizika i nesmetano poslovanje.
• Uključuje usklađenost sa zakonskim propisima, smanjenje incidenata i izgradnju povjerenja korisnika i poslovnih partnera.
• Implementacija ISMS-a pruža konkurentsku prednost.

Proces ISMS-a

• Prvi korak u procesu ISMS-a je definiranje opsega primjene, što uključuje resurse, procese, lokacije i informacije koje treba zaštititi.
• Definiranje sigurnosne politike uključuje izradu dokumenta koji postavlja ciljeve i smjernice za upravljanje informacijskom sigurnošću.
• Procjena i umanjivanje rizika uključuje identifikaciju prijetnji i ranjivosti, procjenu njihovog utjecaja i poduzimanje mjera.
• Definiranje kontrola uključuje odabir odgovarajućih mjera za upravljanje rizicima.
• Priprema dokumentacije uključuje dokumentiranje procesa, procedura i kontrola.

Analiza Rizika u Informacijskom Sustavu

• Analiza rizika identificira imovinu, prijetnje i ranjivosti koje mogu utjecati na poslovanje.
• Procjenjuju se vjerojatnost i posljedice rizika, kako bi se prioritetno upravljalo rizicima.
• Cilj je smanjiti rizike na prihvatljivu razinu.

Rezidualni Rizik

• Rezidualni rizik je preostali rizik nakon primjene sigurnosnih kontrola.
• Važno ga je kontinuirano pratiti i, po potrebi, dodatno smanjivati.
• Prihvaćanje rizika mora biti opravdano i dokumentirano od strane uprave.

Prijetnje Informacijskom Sustavu

• Informacijski sustavi mogu biti ugroženi prirodnim prijetnjama, ljudskim djelovanjem i tehničkim kvarovima.
• Prevencija uključuje sigurnosne mjere poput backup sustava, antivirusnih programa i edukacije zaposlenika.
• Ključ zaštite je pravilno upravljanje rizicima.

Objašnjenje ISO 22301

• ISO 22301 je standard za sustav upravljanja kontinuitetom poslovanja (BCMS).
• ISO 22301 pomaže organizacijama u pripremi za prekide poslovanja, smanjenju njihovog utjecaja i osiguravanju brzog oporavka.
• Obuhvaća analizu utjecaja, planiranje, implementaciju i testiranje planova za očuvanje poslovnih procesa.

Svrha Norme ISO 22301

• ISO 22301 je međunarodni standard za upravljanje kontinuitetom poslovanja.
• Pomaže organizacijama planirati, implementirati i održavati sustave za odgovor na izvanredne situacije.
• Cilj ISO 22301 je osigurati kontinuitet ključnih poslovnih procesa i minimalizirati štetu.

Što je GDPR

• GDPR (Opća uredba o zaštiti podataka) je europski zakon koji regulira prikupljanje, obradu i zaštitu osobnih podataka u EU.
• GDPR osigurava prava ispitanika poput prava na pristup, ispravak, brisanje i prenosivost podataka.
• GDPR propisuje stroge mjere za transparentnost i odgovornost organizacija te visoke kazne za kršenje.

Temeljna Načela GDPR-a

• GDPR propisuje zakonitost, poštenost i transparentnost obrade podataka.
• Pojedinci imaju prava poput pristupa, ispravka, brisanja i prijenosa podataka.
• Načela uključuju ograničenje svrhe, smanjenje količine podataka i sigurnost obrade.

Ključne Komponente Zakona o Kibernetičkoj Sigurnosti

• Zakon definira mjere zaštite informacijskih sustava i mreža od kibernetičkih prijetnji.
• Zakon obuhvaća kategorizaciju subjekata, obveze prijave incidenata i revizije sustava.
• Naglašava se važnost kibernetičke higijene i strateškog planiranja za sigurnost.

Digitalni Dokazi

• Digitalni dokaz je podatak pohranjen ili prenesen elektronički koji može poslužiti kao dokaz.
• Prema ISO 27037, proces uključuje identifikaciju, očuvanje, prikupljanje i analizu dokaza.
• Važno je sačuvati integritet dokaza.

Post-Mortem i Live Forenzika

• Post-mortem forenzika analizira podatke s isključenih uređaja.
• Live forenzika analizira podatke iz aktivnih sustava (npr. RAM).
• Obje metode ključne su za utvrđivanje uzroka i posljedica sigurnosnih incidenata.

Faze Istrage Digitalnih Dokaza

• Istraga uključuje identifikaciju, prikupljanje, očuvanje, analizu, evaluaciju te prezentaciju dokaza.
• Ključna je rekonstrukcija događaja kako bi se osigurala točnost nalaza.

Tehnike Socijalnog Inženjeringa

• Tehnike socijalnog inženjeringa uključuju phishing, pretexting, tailgating i dumpster diving.
• Obrana uključuje edukaciju, politike provjere i višefaktorsku autentifikaciju.

Ciljani i Masovni Napadi

• Masovni napadi su poput phishinga i ciljaju široku publiku, dok su ciljani (spear phishing) usmjereni na određene osobe ili organizacije.
• Ciljani napadi su sofisticiraniji jer koriste prilagođene informacije o žrtvi.

Pseudonimizacija i Anonimizacija

• Pseudonimizacija zamjenjuje osobne podatke oznakama koje ne omogućuju identifikaciju bez dodatnih podataka.
• Anonimizacija trajno uklanja identifikatore.
• Obje metode smanjuju rizik zloupotrebe.

Kazne za Kršenje GDPR-a

• Kršenje GDPR-a može rezultirati kaznama do 20 milijuna eura ili 4% globalnog prihoda.
• Kazne uključuju upozorenja, zabranu obrade podataka te obvezu ispravljanja propusta.

Prava Pojedinaca Prema GDPR-u

• Prema GDPR-u pojedinci imaju pravo na pristup podacima, ispravak, brisanje, ograničenje obrade, prenosivost podataka i prigovor obradi.
• Organizacije moraju omogućiti transparentno ostvarivanje tih prava.

Primjena ISO 22301

• ISO 22301 omogućuje organizacijama pripremu za prekide poput prirodnih nepogoda ili kibernetičkih napada.
• Primjer je implementacija plana za brzi povratak poslovanja nakon incidenta.

Koraci Izrade Plana Kontinuiteta Poslovanja

• Koraci uključuju definiranje politike, analizu utjecaja, procjenu rizika, razvoj strategije, izradu plana i provođenje testiranja.
• Ključno je redovito ažuriranje plana kako bi ostao učinkovit.

Neovlašteni Pristup Računalnim Sustavima

• Neovlašteni pristup računalnim sustavima podrazumijeva ulazak u sustav bez dozvole s namjerom pristupa podacima, nanošenja štete ili ometanja sustava.
• Ovo djelo se kažnjava novčanom kaznom ili zatvorskom kaznom.

Kazneno Djelo Neovlaštenog Presretanja Podataka

• Neovlašteno presretanje podataka uključuje nezakonito presretanje komunikacija unutar računalnih sustava, kao što su e-pošta, mrežne komunikacije ili prijenosi podataka.

Oštećenje Računalnih Podataka ili Programa

• Oštećenje računalnih podataka ili programa odnosi se na namjerno brisanje, izmjenu, uništavanje ili oštećivanje, što može uzrokovati štetu sustavu ili korisnicima.
• Predviđene su novčane ili zatvorske kazne.

Posljedice Kaznenih Djela Protiv Računalnih Sustava

• Posljedice uključuju gubitak povjerljivih podataka, financijske štete, narušavanje sustava te pravne sankcije za počinitelje.

Kazne Protiv Računalnih Sustava

• Kazne uključuju novčane kazne i zatvorske kazne, ovisno o težini djela, poput nanošenja velike materijalne štete, ugrožavanja kritične infrastrukture ili ponovljenih prekršaja.

Izvori i Oblici Prijetnji Informacijskoj Imovini

• Izvori prijetnji informacijskoj imovini mogu biti ljudi (namjerni i nenamjerni utjecaj), oprema i priroda.
• Namjerni utjecaj može uključivati neautorizirani pristup, krađu, prisluškivanje, viruse ili sabotažu.
• Nenamjerni utjecaj može uključivati nepažnju, nedisciplinu, nemar ili neznanje.
• Prijetnje od opreme mogu uključivati tehničke pogreške, prestanak napajanja, ispade ili prekide komunikacije.
• Prirodne prijetnje uključuju požare, oluje, potrese ili poplave.

Poslovna Tajna

• Poslovna tajna su podaci određeni zakonom ili aktom trgovačkog društva, a predstavljaju proizvodnu tajnu, rezultate istraživanja ili druge podatke čijim bi priopćavanjem mogle nastupiti štetne posljedice.

Stupnjevi Tajnosti Klasificiranih Podataka

• Stupnjevi tajnosti klasificiranih podataka su: vrlo tajno, tajno, povjerljivo, ograničeno.

Ransomware

• Ransomware je zlonamjerni softver koji šifrira podatke na računalu žrtve i onemogućuje im pristup.
• Napadač traži otkupninu, kako bi omogućio dešifriranje podataka.
• Širi se putem phishinga ili iskorištavanjem ranjivosti.

VPN

• VPN (Virtual Private Network) omogućuje sigurno povezivanje s internetom.
• VPN skriva IP adresu i enkriptira podatke koji se prenose.

SDLC

• SDLC (Software Development Life Cycle) je proces za planiranje, razvoj, testiranje i održavanje softverskih sustava.
• Faze SDLC-a uključuju planiranje, analizu, dizajn, razvoj, implementaciju i održavanje.

SOA

• SOA (Sigurnosno-obavještajna agencija) je središnje tijelo u Republici Hrvatskoj za zaštitu nacionalne sigurnosti, uključujući informacijske i kibernetičke prijetnje.
• Funkcije SOA-e su nadzor i otkrivanje prijetnji, zaštita kritične infrastrukture, koordinacija i suradnja te upravljanje krizama.

VNS

• Vijeće za nacionalnu sigurnost (VNS) savjetuje Vladu RH i koordinira pitanja nacionalne sigurnosti na području informacijske sigurnosti.
• Funkcije VNS-a su donošenje strateških odluka i koordinacija aktivnosti.

ZSIS

• Zavod za sigurnost informacijskih sustava (ZSIS) je tehničko tijelo za informacijsku sigurnost.
• Funkcije ZSIS-a su tehnička podrška, zaštita klasificiranih podataka, izdavanje certifikata i akreditacija, praćenje incidenata i razvoj politika i standarda.

CARNET

• CARNET je nacionalna organizacija koja pruža podršku obrazovanju i znanosti u području informatičke sigurnosti.
• Funkcije CARNET-a su sigurnost mrežne infrastrukture, reagiranje na incidente, edukacija i osvješćivanje, razvoj alata i usluga, sigurnosne preporuke i podrška e-uslugama.

CARNET-ov CERT

• CARNET-ov CERT je nacionalni tim za reagiranje na računalno-sigurnosne incidente unutar CARNET-ove mreže.
• Funkcije CARNET-ovog CERT-a su praćenje prijetnji, reakcija na incidente, prevencija i edukacija, analiza, obavještavanje, suradnja i koordinacija i sigurnosne preporuke.

Blockchain

• Blockchain je digitalna knjiga koja pohranjuje podatke u povezanim blokovima, osigurana kriptografijom.
• Blockchain je decentraliziran je što ga čini sigurnim.

Osobe u Procesu GDPR-a

• Ispitanik (Data Subject): Fizička osoba čiji se podaci obrađuju.
• Voditelj obrade (Data Controller): Osoba koja odlučuje o svrsi i načinu obrade.
• Izvršitelj obrade (Data Processor): Osoba koja obrađuje podatke u ime voditelja obrade.
• Službenik za zaštitu osobnih podataka (DPO): Osoba koja osigurava usklađenost s GDPR-om.

Phishing

• Phishing je kibernetička prijevara u kojoj napadači lažno predstavljaju pouzdane institucije kako bi ukrali osjetljive podatke.
• Phishing funkcionira putem lažnih e-poruka, SMS-ova ili web-stranica.
• Postoje razni oblici phishinga (spear phishing, vishing, smishing).
• Ključna obrana je provjera vjerodostojnosti komunikacije.

Description

Pitanja o GDPR-u, ulozi službenika za zaštitu podataka (DPO) i phishing prijevarama. Razmatra se i pravo na zaborav te mjere zaštite od phishing napada. Objašnjava se CIA trijada i cjelovitost podataka.