Sigurnost i zaštita informacijskih sustava

Questions and Answers

Koji je cilj norme ISO 31000?

• Smanjiti broj zaposlenika unutar organizacije.
• Pomoći organizacijama da smanje troškove poslovanja.
• Pomoći organizacijama da prepoznaju, ocjenjuju, upravljaju i komuniciraju rizike. (correct)
• Osigurati da organizacije uvijek ostvaruju profit.

Koji korak slijedi nakon analize utjecaja u metodologiji procjene rizika?

• Određivanje vjerojatnosti.
• Preporuka kontrola.
• Određivanje rizika. (correct)
• Dokumentiranje rezultata.

Koji od sljedećih koraka ne pripada procesu upravljanja rizicima?

• Utvrđivanje konteksta.
• Identifikacija rizika.
• Nadzor i kontrola rizika.
• Analiza tržišta. (correct)

Koja je razlika između kvalitativne i kvantitativne prosjene rizika?

Kvalitativna prosjena koristi odgovarajuće kriterije, dok kvantitativna uspoređuje numeričke rizike. (C)

Kako se klasificiraju rizici prema njihovoj ozbiljnosti?

Trivijalni, nizak, skroman, znatan, velik rizik. (B)

Koja je funkcija ARP protokola u mreži?

Povezivanje IP adrese s fizičkom (MAC) adresom. (A)

Koje od sljedećih svojstava informacija osigurava autentičnost?

Identitet subjekta. (D)

Koji certifikacijski autoritet djeluje u Hrvatskoj?

Fina. (A)

Kako se podaci dekriptiraju u procesu s javnim i privatnim ključem?

Privatnim ključem primaoca. (A)

Koja od sljedećih faza nije dio ISO 27001 standarda?

Izrada poslovnog plana. (B)

Koje svojstvo osigurava da aktivnosti subjekta mogu biti praćene jedinstveno?

Dokazivost. (C)

Što je CEZIH?

Centralni zdravstveni sustav u RH. (B)

Koje od navedenih kontrola spadaju pod sigurnosne kontrole prema ISO 27001?

Kontrola pristupa. (C)

Koji od sljedećih sustava ima funkciju sprječavanja napada na mrežu?

IPS (B)

Koja je svrha IDS-a?

Otkritavanje neželjenih upada i slanje izvješća (A)

Koji mehanizam koriste IDS-ovi za otkrivanje napada pomoću prethodnih uzoraka?

Ruđenje podataka (C)

Koje su prirodne prijetnje fizičkoj sigurnosti?

Meteorološke i geofizičke nepogode (B)

Što je prvi element fizičke zaštite koji treba osigurati?

Zaštita okoline (B)

Koja od sljedećih prijetnji nije prirodna?

Zlouporaba ovlasti (A)

Koja opcija najbolje opisuje mehanizam strateškog analiziranja u IDS-u?

Dijagrami stanja neovlaštenog upada (A)

Koji od sljedećih elemenata nije dio fizičke zaštite prostora?

Softver za analizu prometa (C)

Što se nalazi u zaglavlju datagrama?

Kontrolni podaci i informacije potrebne za predaju (B)

Što je rezultat procjene rizika u upravljanju rizicima?

Stvaranje prioritetnog popisa rizika (A)

Koja je maksimalna duljina datagrama u bytovima?

65535 (D)

Koji zakon se najviše odnosi na zaštitu osobnih podataka?

GDPR (C)

Koja funkcija ima DF bit u datagramu?

Naređuje usmjerivačima da ne fragmentiraju datagram (B)

Koji tip kriptiranja koristi jedan ključ za enkripciju i dekripciju?

Simetrično kriptiranje (C)

Koje su prednosti IPv6 u odnosu na IPv4?

Smanjenje usmjerivačkih tablica i bolja sigurnost (C)

Koja je osnovna namjena ICMP protokola?

Osigurati nadzor i kontrolu prijenosa podataka (D)

Koja metoda šifriranja koristi pomak abecede?

Cezarova šifra (A)

Zašto ARP nije potreban za slanje IP adresa?

Zbog rute koja koristi MAC adrese (C)

Što je osnovna svrha kriptografije?

Slanje podataka u nečitljivom obliku (B)

Što označava polje tip usluge u datagramu?

Vrstu usluge koju host želi od podmreže (C)

Koja agencija je zadužena za zaštitu osobnih podataka u Hrvatskoj?

AZOP (D)

Koju funkciju ima MF bit u fragmentiranom datagramu?

Signalizira da dolazi još fragmenata (C)

Koja od navedenih metoda koristi seriju Cezarovih šifri za šifriranje?

Vigenereova šifra (B)

Koji je proces vezan za digitalni potpis?

Kriptira se privatnim ključem pošiljatelja (C)

Što je primarna svrha PKI (Public Key Infrastructure)?

Osiguranje integriteta, povjerljivosti i autentičnosti podataka (D)

Koja od sljedećih opcija najbolje opisuje DDoS napad?

Napad koji dolazi s različitih zaraženih računala (B)

Koji je glavni rizik povezan sa SQL Injection napadom?

Neovlaštena promjena ili pristup bazi podataka (B)

Koja funkcija nije tipična za maliciozni softver?

Optimizacija performansi sustava (D)

Što je CRNA BROJKA u kontekstu sigurnosti računalnih sustava?

Zbroj napada koji se ne objavljuje javno (D)

Koji od sljedećih pojmova opisuje Apache?

Najpoznatiji web poslužitelj (C)

Koja je svrha UPS (Uninterrupted Power Supply)?

Osiguranje kontinuiranog napajanja u slučaja prekida napajanja (B)

Kako hakeri najčešće ulaze u sustave?

Zbog znatiželje ili neznanja (B)

Flashcards

IDS (Intrusion Detection System)

Sustav koji otkriva neovlaštene upade u mrežu i šalje izvješće sustavu za upravljanje pristupom.

IPS (Intrusion Prevention System)

Sustav koji otkriva i sprječava napade na mrežu.

Zvjezdasta topologija

Svi uređaji su povezani preko središnjeg uređaja (hub, switch, router).

Strojno učenje (IDS)

IDS koristi pravila i podatke da identificira napad.

Prirodne prijetnje (fizička sigurnost)

Prijetnje poput potresa, poplava ili vremenskih nepogoda.

Ljudske prijetnje (fizička sigurnost)

Prijetnje poput neovlaštenog pristupa ili sabotaže.

Zaštita okoline (fizički sustav)

Mjere zaštite fizičkog okruženja serverske sobe.

Zaštita poslužitelja

Mjere zaštite fizičkih poslužitelja, uključujući smještaj i administratora.

Datagram

Blok podataka koji se šalje preko mreže kao jedna poruka. Sastoji se od zaglavlja i podataka.

Zaglavlje datagrama

Prvih pet ili šest 32-bitnih riječi u datagramu sadrži upravljačke podatke. Obuhvaća elemente poput verzije protokola, duljine zaglavlja, tipa usluge, ukupne duljine, identifikacije, zastavica, adrese izvora i adrese odredišta.

Polje verzije

U zaglavlju datagrama, pokazuje koju verziju IP protokola datagram koristi.

Polje IHL

U zaglavlju datagrama, označava duljinu zaglavlja u riječima.

Polje tipa usluge

U zaglavlju datagrama, omogućava hostu da zatraži određenu vrstu usluge od mreže (npr. pouzdanost, brzina).

Polje identifikacije

U zaglavlju datagrama, omogućava odredišnom hostu da prepozna kojem datagramu pripada dobiveni fragment.

ARP protokol

Protokol koji se koristi za povezivanje IP adresa s fizičkim adresama (MAC adresama) računala u mreži.

DF bit

U zaglavlju datagrama, naređuje usmjerivačima da ne fragmentiraju datagram.

MF bit

U zaglavlju datagrama, označava da je datagram fragmentiran i da postoje još fragmenata.

KVALIFICIRANI CERTIFIKAT

Najviša razina sigurnosti za prijavu u online sustave, poput e-Građani, koja se koristi s tokenom banke ili drugim sigurnosnim alatima.

CA (Certifikacijski autoriteti)

Organizacije koje izdaju certifikate koji se koriste za kriptografiju i provjeru identiteta, npr. AKD i Fina u Hrvatskoj.

CEZIH

Centralni zdravstveni sustav u Republici Hrvatskoj.

Povjerljivost

Svojstvo informacija koje osigurava da su pristupačne samo ovlaštenim korisnicima.

Integritet

Svojstvo informacija koje osigurava da su točne, potpune i nepromijenjene.

Raspoloživost

Svojstvo informacija koje osigurava da su dostupne ovlaštenim korisnicima kada im je potrebna.

ISO 27001

Međunarodni standard koji propisuje kako uvesti sustav sigurnosti informacija u organizaciju.

Procjena rizika

Procjena rizika je proces identificiranja, analize i procjene potencijalnih prijetnji i ranjivosti koje bi mogle utjecati na postizanje ciljeva organizacije.

Upravljanje rizicima

Upravljanje rizicima je sustavan proces identificiranja, analize, procjene i tretiranja rizika kako bi se smanjila vjerojatnost i utjecaj negativnih događaja.

Registar rizika

Registar rizika je dokument koji sadrži popis svih identificiranih rizika, njihovu procjenu, planove za upravljanje i rezultate provedbe.

Kvalitativna procjena rizika

Kvalitativna procjena rizika koristi se za procjenu rizika na temelju subjektivnih procjena i usporedbe s kvalitativnim kriterijima.

GDPR

Opća uredba o zaštiti podataka - regulira obradu osobnih podataka u Europskoj uniji.

Kriptiranje

Pretvaranje podataka u nečitljiv oblik pomoću ključeva, sprječavajući neovlašteni pristup.

Asimetrično kriptiranje

Koristi dva različita ključa: jedan za šifriranje, drugi za dešifriranje.

Digitalni potpis

Kriptiranje dokumenata privatnim ključem pošiljatelja, provjerava se javnim ključem.

Skital

Staro grčka tehnika šifriranja, korištenje drvenog štapa za šifriranje poruke.

Cezarova šifra

Jednostavan tip šifriranja u kome se svako slovo pomakne za fiksan broj mjesta u abecedi.

Viegenereova šifra

Višeslojna šifra koja koristi niz Cezarovih šifri, bazirana na ključnom riječi.

Playfairova šifra

Šifriranje se radi u parovima slova korištenjem 5x5 matrice.

PKI (Public Key Infrastructure)

Skup pravila, hardvera i softvera te postupaka za upravljanje javnim ključevima koji se koriste za sigurnost podataka.

DDoS (Distributed Denial of Service)

Napad na sustav koji uzrokuje preopterećenje servera velikim brojem upita s različitih lokacija, što sprječava pristup sustavu ovlaštenim korisnicima.

CRNA BROJKA

Broj napada koji se ne prijavljuje javnosti, a čuva se u tajnosti.

SQL Injection

Napad koji se koristi za ubacivanje štetnog koda u bazu podataka putem web aplikacija.

UPS (Unlimited Power Supply)

Sigurnosni sustav koji pruža neprekidno napajanje strujom u slučaju nestanka struje.

Apache

Najpopularniji web server, otvorenog koda, koji omogućava pristup web stranicama.

MALICIOZNI SOFTVERI

Program koji se instalira bez znanja korisnika i ima štetne namjere, npr. krađu podataka ili oštećenje sustava.

HAKERI

Osobe koje mogu imati razne namjere, od znatiželje do zlonamjernog djelovanja, s ciljem pristupa računalnim sustavima.

Study Notes

Sigurnost i zaštita informacijskih sustava

• Postoje tri načina autentifikacije: korisničko ime/lozinka, token/kartica i biometrijske metode (zjenica oka, crta lica, otisak prsta).
• AAA – autentikacija, autorizacija, administracija.
• Informacijski sustav prikuplja, obrađuje i pohranjuje podatke i informacije, te ih stavlja na raspolaganje ovlaštenim korisnicima.
• Informacija je svaka vijest koja proširuje znanje, a podatak je informacija zapisana na nekom mediju.
• Elementi informacijskog sustava uključuju hardver, softver, lifeware (korisnici), orgware (organizacija) i netware (ako se radi o informacijsko-komunikacijskom sustavu).
• Softver može biti sistemski (npr. operacijski sustavi, baze podataka) ili aplikativni (aplikacije koje koristimo).
• Intranet je lokalna mreža koja koristi internetske servise i protokole, dok je extranet poveznica više intraneta za bržu razmjenu podataka.
• ERP je integralni informacijski sustav za upravljanje resursima poduzeća.
• CERT (Computer Emergency Response Team) je tim stručnjaka odgovoran za procjenu sigurnosti informacijskih sustava, prevenciju i zaštitu od sigurnosnih incidenata. Nacionalni CERT.hr je dio CARNET-a, i odgovoran je za računalno-sigurnosne incidente u Hrvatskoj.
• Pri rješavanju incidenata, djelatnici CERT-a slijede prioritete: potencijalna ugroza života, znatni učinci prema Zakonu o kaznenom postupku, ugrožavanje većeg broja korisnika, nove vrste ugrožavanja i ostali incidenti.

Topologija i zaštita

• Topologija zvijezde je mrežna struktura gdje svi čvorovi (uređaji) komuniciraju preko centralnog čvora (hub, switch, router).
• Zaštita informacijskog sustava podrazumijeva mjere fizičke i tehničke zaštite, kao i cyber zaštite.
• Fizička zaštita uključuje zaštitara, kamere, alarme, protupožarno...
• Tehnička zaštita uključuje kamere, alarme, protuprovalne uređaje.
• IPS (Intrusion Prevention System) sustav je naprednija verzija IDS-a (Intrusion Detection System) u cilju sprječavanja neželjenih napada
• IDS sustav otkriva i šalje izvješće o neovlaštenim napadima na mreži
• Metode zaštite uključuje strojno učenje (ekspertni sustavi), strateško analiziranje (prepoznavanje prijelaznih stanja) i rudarenje podataka (prepoznavanje uzoraka)

Prijetnje fizičkoj sigurnosti

• Prijetnje fizičkoj sigurnosti uključuju prirodne nepogode (meteorološke, geološke, sezonske), ljudske prijetnje (neposlušnost, otkrivanje osjetljivih podataka, sabotaža, nenamjerno oštećenje imovine, zlouporaba ovlasti, neovlašten pristup, krađa) i druge prijetnje (eksplozija, prašina, poplava, gubitak električne energije, elektromagnetska radijacija).

Zbirka osobnih podataka i klasifikacija podataka

• Svatko tko prikuplja osobne podatke mora to prijaviti Agenciji za zaštitu osobnih podataka (AZOP).
• SOA – Sigurnosno-obavještajna agencija je agencija koja prikuplja i analizira podatke za otkrivanje i spriječavanje radnji pojedinaca ili skupina.
• Klasificirani podatak je podatak za koji je nadležno tijelo propisalo stupanj tajnosti.
• Stupnjevi tajnosti podataka su ograničeno, povjerljivo, tajno, vrlo tajno.
• Zakonska regulativa na razini RH odnosi se na GDPR, Zakon o zaštiti osobnih podataka itd.

Aplikacijski serveri, protokoli, i digitalno certifikate

• TCP/IP je mrežni protokol temeljen na TCP (Transmission Control Protocol) i IP (Internet Protocol) protokolima.
• IP adrese služe za identificiranje uređaja na mreži.
• Subnet maska definira bitove originalne IP adrese koji predstavljaju mrežni broj.
• ICMP (Internet Control Message Protocol) protokol kontrolira tok i prijavljuje pogreške u prijenosu podataka.
• ARP (Address Resolution Protocol) omogućuje pretvorbu IP adresa u fizičke MAC adrese.
• CA- Certifikacijski autoriteti su organizacije koje izdaju digitalne certifikate.
• Kvalificirani certifikati se koriste za visoku razdu sigurnosti, kao što je prijava u e-Građani.

Analiza trenutnog stanja, dokumentiranje i edukacija

• Prvi korak je analiza trenutnog stanja informacijskog sustava.
• Identifikacija i procjena rizika se provodi kroz utvrđivanje potencijalnih prijetnji i ranjivosti.
• Definiranje sigurnosnih kontrola uključuje identifikaciju kontrola koje smanjuju te rizike.
• Dokumentiranje sigurnosnih politika i procedura.
• Obuka zaposlenika je ključna u uspješnom uvođenju ISO 27001 sustava.

Odžavanje i kontinuirano poboljšanje

• Održavanje sustava upravljanja informacijskom sigurnošću je potrebno za kontinuirano poboljšanje.
• Revizije sustava su važne za prilagodbe i otkrivanje eventualnih nedostataka.
• PKI je skup pravila, hardvera, softvera i procedura za stvaranje, korištenje i distribuciju javnih ključeva.
• DDOS je napad na sustav koji koristi veliki broj upita s različitih računala.

Kritiranje i kriptografija

• Kritiranje onemogućava neovlašteni pristup podacima.
• Kriptografija je znanost koja se bavi šifriranjem poruka.
• Postoje simetrično i asimetrično kriptiranje.
• Skital, Cezara šifra i Viegenerova šifra su primjeri šifriranja.

Digitalni potpis i funkcije

• Hash funkcija je algoritam za pretvorbu podataka u fiksni string.
• Hash funkcija se koristi za provjeru autentičnosti podataka.

SSL i SLA

• SSL (Secure Sockets Layer) je protokol za šifriranje podataka.
• SLA (Service Level Agreement) je ugovor o razini usluge između pružatelja i korisnika usluge. -KPI (Key Performance Indicator) koristi se za mjerenje uspješnosti.

Description

Ova kviz istražuje osnove sigurnosti informacijskih sustava, uključujući metode autentifikacije i ključne komponente sustava. Saznajte više o pristupima kao što su korisničko ime/lozinka, biometrijske metode, te važnosti AAA u zaštiti podataka.