Sigurnost i zaštita informacijskih sustava

Questions and Answers

Koji je cilj norme ISO 31000?

Smanjiti broj zaposlenika unutar organizacije.

Pomoći organizacijama da smanje troškove poslovanja.

Pomoći organizacijama da prepoznaju, ocjenjuju, upravljaju i komuniciraju rizike. (correct)

Osigurati da organizacije uvijek ostvaruju profit.

Koji korak slijedi nakon analize utjecaja u metodologiji procjene rizika?

Određivanje vjerojatnosti.

Preporuka kontrola.

Određivanje rizika. (correct)

Dokumentiranje rezultata.

Koji od sljedećih koraka ne pripada procesu upravljanja rizicima?

Utvrđivanje konteksta.

Identifikacija rizika.

Nadzor i kontrola rizika.

Analiza tržišta. (correct)

Koja je razlika između kvalitativne i kvantitativne prosjene rizika?

Kvalitativna prosjena koristi odgovarajuće kriterije, dok kvantitativna uspoređuje numeričke rizike.

Kako se klasificiraju rizici prema njihovoj ozbiljnosti?

Trivijalni, nizak, skroman, znatan, velik rizik.

Koja je funkcija ARP protokola u mreži?

Povezivanje IP adrese s fizičkom (MAC) adresom.

Koje od sljedećih svojstava informacija osigurava autentičnost?

Identitet subjekta.

Koji certifikacijski autoritet djeluje u Hrvatskoj?

Fina.

Kako se podaci dekriptiraju u procesu s javnim i privatnim ključem?

Privatnim ključem primaoca.

Koja od sljedećih faza nije dio ISO 27001 standarda?

Izrada poslovnog plana.

Koje svojstvo osigurava da aktivnosti subjekta mogu biti praćene jedinstveno?

Dokazivost.

Što je CEZIH?

Centralni zdravstveni sustav u RH.

Koje od navedenih kontrola spadaju pod sigurnosne kontrole prema ISO 27001?

Kontrola pristupa.

Koji od sljedećih sustava ima funkciju sprječavanja napada na mrežu?

IPS

Koja je svrha IDS-a?

Otkritavanje neželjenih upada i slanje izvješća

Koji mehanizam koriste IDS-ovi za otkrivanje napada pomoću prethodnih uzoraka?

Ruđenje podataka

Koje su prirodne prijetnje fizičkoj sigurnosti?

Meteorološke i geofizičke nepogode

Što je prvi element fizičke zaštite koji treba osigurati?

Zaštita okoline

Koja od sljedećih prijetnji nije prirodna?

Zlouporaba ovlasti

Koja opcija najbolje opisuje mehanizam strateškog analiziranja u IDS-u?

Dijagrami stanja neovlaštenog upada

Koji od sljedećih elemenata nije dio fizičke zaštite prostora?

Softver za analizu prometa

Što se nalazi u zaglavlju datagrama?

Kontrolni podaci i informacije potrebne za predaju

Što je rezultat procjene rizika u upravljanju rizicima?

Stvaranje prioritetnog popisa rizika

Koja je maksimalna duljina datagrama u bytovima?

65535

Koji zakon se najviše odnosi na zaštitu osobnih podataka?

GDPR

Koja funkcija ima DF bit u datagramu?

Naređuje usmjerivačima da ne fragmentiraju datagram

Koji tip kriptiranja koristi jedan ključ za enkripciju i dekripciju?

Simetrično kriptiranje

Koje su prednosti IPv6 u odnosu na IPv4?

Smanjenje usmjerivačkih tablica i bolja sigurnost

Koja je osnovna namjena ICMP protokola?

Osigurati nadzor i kontrolu prijenosa podataka

Koja metoda šifriranja koristi pomak abecede?

Cezarova šifra

Zašto ARP nije potreban za slanje IP adresa?

Zbog rute koja koristi MAC adrese

Što je osnovna svrha kriptografije?

Slanje podataka u nečitljivom obliku

Što označava polje tip usluge u datagramu?

Vrstu usluge koju host želi od podmreže

Koja agencija je zadužena za zaštitu osobnih podataka u Hrvatskoj?

AZOP

Koju funkciju ima MF bit u fragmentiranom datagramu?

Signalizira da dolazi još fragmenata

Koja od navedenih metoda koristi seriju Cezarovih šifri za šifriranje?

Vigenereova šifra

Koji je proces vezan za digitalni potpis?

Kriptira se privatnim ključem pošiljatelja

Što je primarna svrha PKI (Public Key Infrastructure)?

Osiguranje integriteta, povjerljivosti i autentičnosti podataka

Koja od sljedećih opcija najbolje opisuje DDoS napad?

Napad koji dolazi s različitih zaraženih računala

Koji je glavni rizik povezan sa SQL Injection napadom?

Neovlaštena promjena ili pristup bazi podataka

Koja funkcija nije tipična za maliciozni softver?

Optimizacija performansi sustava

Što je CRNA BROJKA u kontekstu sigurnosti računalnih sustava?

Zbroj napada koji se ne objavljuje javno

Koji od sljedećih pojmova opisuje Apache?

Najpoznatiji web poslužitelj

Koja je svrha UPS (Uninterrupted Power Supply)?

Osiguranje kontinuiranog napajanja u slučaja prekida napajanja

Kako hakeri najčešće ulaze u sustave?

Zbog znatiželje ili neznanja

Study Notes

Sigurnost i zaštita informacijskih sustava

• Postoje tri načina autentifikacije: korisničko ime/lozinka, token/kartica i biometrijske metode (zjenica oka, crta lica, otisak prsta).
• AAA – autentikacija, autorizacija, administracija.
• Informacijski sustav prikuplja, obrađuje i pohranjuje podatke i informacije, te ih stavlja na raspolaganje ovlaštenim korisnicima.
• Informacija je svaka vijest koja proširuje znanje, a podatak je informacija zapisana na nekom mediju.
• Elementi informacijskog sustava uključuju hardver, softver, lifeware (korisnici), orgware (organizacija) i netware (ako se radi o informacijsko-komunikacijskom sustavu).
• Softver može biti sistemski (npr. operacijski sustavi, baze podataka) ili aplikativni (aplikacije koje koristimo).
• Intranet je lokalna mreža koja koristi internetske servise i protokole, dok je extranet poveznica više intraneta za bržu razmjenu podataka.
• ERP je integralni informacijski sustav za upravljanje resursima poduzeća.
• CERT (Computer Emergency Response Team) je tim stručnjaka odgovoran za procjenu sigurnosti informacijskih sustava, prevenciju i zaštitu od sigurnosnih incidenata. Nacionalni CERT.hr je dio CARNET-a, i odgovoran je za računalno-sigurnosne incidente u Hrvatskoj.
• Pri rješavanju incidenata, djelatnici CERT-a slijede prioritete: potencijalna ugroza života, znatni učinci prema Zakonu o kaznenom postupku, ugrožavanje većeg broja korisnika, nove vrste ugrožavanja i ostali incidenti.

Topologija i zaštita

• Topologija zvijezde je mrežna struktura gdje svi čvorovi (uređaji) komuniciraju preko centralnog čvora (hub, switch, router).
• Zaštita informacijskog sustava podrazumijeva mjere fizičke i tehničke zaštite, kao i cyber zaštite.
• Fizička zaštita uključuje zaštitara, kamere, alarme, protupožarno...
• Tehnička zaštita uključuje kamere, alarme, protuprovalne uređaje.
• IPS (Intrusion Prevention System) sustav je naprednija verzija IDS-a (Intrusion Detection System) u cilju sprječavanja neželjenih napada
• IDS sustav otkriva i šalje izvješće o neovlaštenim napadima na mreži
• Metode zaštite uključuje strojno učenje (ekspertni sustavi), strateško analiziranje (prepoznavanje prijelaznih stanja) i rudarenje podataka (prepoznavanje uzoraka)

Prijetnje fizičkoj sigurnosti

• Prijetnje fizičkoj sigurnosti uključuju prirodne nepogode (meteorološke, geološke, sezonske), ljudske prijetnje (neposlušnost, otkrivanje osjetljivih podataka, sabotaža, nenamjerno oštećenje imovine, zlouporaba ovlasti, neovlašten pristup, krađa) i druge prijetnje (eksplozija, prašina, poplava, gubitak električne energije, elektromagnetska radijacija).

Zbirka osobnih podataka i klasifikacija podataka

• Svatko tko prikuplja osobne podatke mora to prijaviti Agenciji za zaštitu osobnih podataka (AZOP).
• SOA – Sigurnosno-obavještajna agencija je agencija koja prikuplja i analizira podatke za otkrivanje i spriječavanje radnji pojedinaca ili skupina.
• Klasificirani podatak je podatak za koji je nadležno tijelo propisalo stupanj tajnosti.
• Stupnjevi tajnosti podataka su ograničeno, povjerljivo, tajno, vrlo tajno.
• Zakonska regulativa na razini RH odnosi se na GDPR, Zakon o zaštiti osobnih podataka itd.

Aplikacijski serveri, protokoli, i digitalno certifikate

• TCP/IP je mrežni protokol temeljen na TCP (Transmission Control Protocol) i IP (Internet Protocol) protokolima.
• IP adrese služe za identificiranje uređaja na mreži.
• Subnet maska definira bitove originalne IP adrese koji predstavljaju mrežni broj.
• ICMP (Internet Control Message Protocol) protokol kontrolira tok i prijavljuje pogreške u prijenosu podataka.
• ARP (Address Resolution Protocol) omogućuje pretvorbu IP adresa u fizičke MAC adrese.
• CA- Certifikacijski autoriteti su organizacije koje izdaju digitalne certifikate.
• Kvalificirani certifikati se koriste za visoku razdu sigurnosti, kao što je prijava u e-Građani.

Analiza trenutnog stanja, dokumentiranje i edukacija

• Prvi korak je analiza trenutnog stanja informacijskog sustava.
• Identifikacija i procjena rizika se provodi kroz utvrđivanje potencijalnih prijetnji i ranjivosti.
• Definiranje sigurnosnih kontrola uključuje identifikaciju kontrola koje smanjuju te rizike.
• Dokumentiranje sigurnosnih politika i procedura.
• Obuka zaposlenika je ključna u uspješnom uvođenju ISO 27001 sustava.

Odžavanje i kontinuirano poboljšanje

• Održavanje sustava upravljanja informacijskom sigurnošću je potrebno za kontinuirano poboljšanje.
• Revizije sustava su važne za prilagodbe i otkrivanje eventualnih nedostataka.
• PKI je skup pravila, hardvera, softvera i procedura za stvaranje, korištenje i distribuciju javnih ključeva.
• DDOS je napad na sustav koji koristi veliki broj upita s različitih računala.

Kritiranje i kriptografija

• Kritiranje onemogućava neovlašteni pristup podacima.
• Kriptografija je znanost koja se bavi šifriranjem poruka.
• Postoje simetrično i asimetrično kriptiranje.
• Skital, Cezara šifra i Viegenerova šifra su primjeri šifriranja.

Digitalni potpis i funkcije

• Hash funkcija je algoritam za pretvorbu podataka u fiksni string.
• Hash funkcija se koristi za provjeru autentičnosti podataka.

SSL i SLA

• SSL (Secure Sockets Layer) je protokol za šifriranje podataka.
• SLA (Service Level Agreement) je ugovor o razini usluge između pružatelja i korisnika usluge. -KPI (Key Performance Indicator) koristi se za mjerenje uspješnosti.

Description

Ova kviz istražuje osnove sigurnosti informacijskih sustava, uključujući metode autentifikacije i ključne komponente sustava. Saznajte više o pristupima kao što su korisničko ime/lozinka, biometrijske metode, te važnosti AAA u zaštiti podataka.