Informacijska sigurnost - Pitanja i odgovori PDF

**Informacijska sigurnost i CIA trijada** Informacijska sigurnost odnosi se na zaštitu informacija i sustava koji ih obrađuju, pohranjuju i prenose. CIA trijada uključuje povjerljivost (osigurava pristup samo ovlaštenima), cjelovitost (zaštita podataka od izmjena) i dostupnost (informacije dostupne korisnicima kada su potrebne). Cilj je spriječiti neovlašten pristup, gubitak i zloupotrebu informacija. 2. **Pojasni CIA Trijadu** CIA trijada je osnovni koncept informacijske sigurnosti koji se sastoji od tri ključna elementa: 1. **Povjerljivost (Confidentiality):** Osigurava da informacije budu dostupne samo ovlaštenim osobama. Cilj je spriječiti neovlašteni pristup, otkrivanje ili krađu podataka. 2. **Cjelovitost (Integrity):** Garantira točnost i potpunost informacija te sprječava neovlaštene izmjene. Podaci moraju ostati nepromijenjeni, osim ako ih ovlaštene osobe ili procesi izmijene na pravilan način. 3. **Dostupnost (Availability):** Osigurava da informacije budu dostupne ovlaštenim korisnicima kada su im potrebne. To uključuje zaštitu od prekida rada sustava i gubitka podataka. Cilj CIA trijade je osigurati pouzdanost i sigurnost informacija u organizacijama. 3. **Definicija socijalnog inženjeringa** Socijalni inženjering je manipulacija ljudima kako bi otkrili povjerljive informacije ili omogućili neovlašten pristup sustavima. Napadači koriste psihološke tehnike poput povjerenja, straha ili osjećaja hitnosti. Primjeri uključuju phishing e-poruke ili prevarantske telefonske pozive. 4. **Što je ISMS i PDCA model** ISMS je sustav upravljanja koji pomaže organizacijama identificirati, upravljati i smanjiti rizike za informacijske resurse. PDCA model uključuje planiranje (definiranje ciljeva i rizika), implementaciju (provođenje kontrola), nadzor (mjerenje učinkovitosti) i poboljšanje (unapređenje prema rezultatima). To je kontinuirani proces koji osigurava sigurnost podataka. 5. **PDCA Model** PDCA model (Plan-Do-Check-Act) je ciklički proces kontinuiranog poboljšanja koji se koristi za upravljanje i optimizaciju poslovnih procesa, uključujući ISMS. Sastoji se od četiri faze: 1. **Plan (Planiraj):** Postavljaju se ciljevi, identificiraju rizici i definiraju strategije i politike za njihovo rješavanje. U ovoj fazi razvija se plan za implementaciju kontrola. 2. **Do (Provedi):** Provedba planiranih aktivnosti, uključujući implementaciju kontrola, edukaciju zaposlenika i izvršavanje sigurnosnih mjera. 3. **Check (Provjeri):** Kontinuirano se prati učinkovitost sustava i provode auditi kako bi se osiguralo da su postignuti željeni rezultati i da se ISMS pridržava postavljenih politika. 4. **Act (Djeluj):** Na temelju rezultata provjera poduzimaju se korektivne mjere i provodi se daljnje poboljšanje sustava. PDCA model osigurava stalno poboljšanje ISMS-a i prilagodbu promjenama u organizaciji ili okruženju. 6. **Objasni ISO 27001** ISO 27001 je međunarodni standard za sustav upravljanja informacijskom sigurnošću (ISMS). Pruža okvir za zaštitu informacija osiguravanjem njihove povjerljivosti, cjelovitosti i dostupnosti. Uključuje definiranje sigurnosne politike, procjenu rizika i primjenu kontrola za smanjenje prijetnji. 7. **Komponente ISO 27001** Glavne komponente ISO 27001 uključuju definiranje sigurnosne politike, procjenu i obradu rizika te implementaciju kontrola. Također obuhvaća upravljanje incidentima, dokumentaciju, edukaciju zaposlenika i kontinuirani nadzor i reviziju. Cilj je smanjiti rizike i osigurati usklađenost sa zakonskim i regulatornim zahtjevima. 8. **Ciljevi ISMS-a** Ciljevi ISMS-a su zaštita imovine, smanjenje ili uklanjanje rizika i osiguranje nesmetanog poslovanja. Također uključuje usklađenost sa zakonskim propisima i normama, smanjenje incidenata te izgradnju povjerenja korisnika i poslovnih partnera. Uspješno implementiran ISMS pruža konkurentsku prednost. 9. **Pojasni proces ISMS** Proces ISMS-a prema navedenim koracima: [Definiranje opsega] - Određuje se područje primjene ISMS-a, uključujući resurse, procese, lokacije i informacije koje će biti zaštićene. [Definiranje sigurnosne politike] - Izrađuje se dokument koji postavlja ciljeve i smjernice za upravljanje informacijskom sigurnošću u organizaciji. [Procjena i umanjivanje rizika] - Identificiraju se prijetnje i ranjivosti, procjenjuje se njihov utjecaj i vjerojatnost te se poduzimaju mjere za smanjenje rizika na prihvatljivu razinu. [Definiranje kontrola koje će se primijeniti] - Odabiru se odgovarajuće tehničke, organizacijske i proceduralne mjere za upravljanje rizicima, u skladu s ciljevima sigurnosti. [Priprema dokumentacije] - Dokumentiraju se svi procesi, procedure i kontrole koji se odnose na ISMS kako bi se osigurala jasna struktura i transparentnost. 10. **Analiza rizika u informacijskom sustavu** Analiza rizika identificira imovinu, prijetnje i ranjivosti koje mogu utjecati na poslovanje. Procjenjuju se vjerojatnost i posljedice kako bi se prioritetno upravljalo rizicima. Cilj je smanjiti rizike na prihvatljivu razinu kroz primjenu sigurnosnih mjera. 11. **Rezidualni rizik** Rezidualni rizik je preostali rizik nakon primjene svih sigurnosnih kontrola. Važno ga je kontinuirano pratiti i, po potrebi, dodatno smanjivati. Njegovo prihvaćanje mora biti opravdano i dokumentirano od strane uprave. 12. **Prijetnje informacijskom sustavu** Informacijski sustavi izloženi su prirodnim prijetnjama (potresi, poplave), ljudskim djelovanjem (krađa, phishing) i tehničkim kvarovima. Prevencija uključuje sigurnosne mjere poput backup sustava, antivirusne programe i edukaciju zaposlenika. Pravilno upravljanje rizicima ključ je zaštite. 13. **Pojasni ISO 22301** ISO 22301 je međunarodni standard za sustav upravljanja kontinuitetom poslovanja (BCMS). Cilj mu je pomoći organizacijama u pripremi za prekide poslovanja, smanjenju njihovog utjecaja i osiguravanju brzog oporavka. Obuhvaća analizu utjecaja, planiranje, implementaciju i testiranje planova za očuvanje poslovnih procesa. 14. **Svrha norme ISO 22301** ISO 22301 je međunarodni standard za upravljanje kontinuitetom poslovanja. Pomaže organizacijama planirati, implementirati i održavati sustave za odgovor na izvanredne situacije. Cilj je osigurati kontinuitet ključnih poslovnih procesa i minimalizirati štetu. 15. **Što je GDPR** GDPR (Opća uredba o zaštiti podataka) je europski zakon koji regulira prikupljanje, obradu i zaštitu osobnih podataka pojedinaca unutar EU. Cilj je osigurati prava ispitanika poput prava na pristup, ispravak, brisanje i prenosivost podataka. Uredba propisuje stroge mjere za transparentnost i odgovornost organizacija te visoke kazne za kršenje. 16. **Temeljna načela GDPR-a** GDPR propisuje zakonitost, poštenost i transparentnost obrade podataka. Pojedinci imaju prava poput pristupa svojim podacima, ispravka, brisanja i prijenosa. Načela uključuju ograničenje svrhe, smanjenje količine podataka i sigurnost obrade. 17. **Ključne komponente Zakona o kibernetičkoj sigurnosti** Zakon definira mjere zaštite informacijskih sustava i mreža od kibernetičkih prijetnji. Obuhvaća kategorizaciju subjekata, obveze prijave incidenata i revizije sustava. Naglašava važnost kibernetičke higijene i strateškog planiranja za sigurnost. 18. **Što je digitalni dokaz i kako se prikuplja** Digitalni dokaz je podatak pohranjen ili prenesen elektronički koji može poslužiti kao dokaz u pravnim postupcima. Prema ISO 27037, proces uključuje identifikaciju, očuvanje, prikupljanje i analizu dokaza. Važno je sačuvati integritet dokaza. 19. **Post-mortem i live forenzika** Post-mortem forenzika analizira podatke s uređaja nakon što je isključen (npr. tvrdi diskovi), dok live forenzika analizira podatke iz aktivnih sustava (npr. RAM). Obje metode ključne su za utvrđivanje uzroka i posljedica sigurnosnih incidenata. 20. **Faze istrage digitalnih dokaza** Istraga uključuje identifikaciju potencijalnih dokaza, njihovo prikupljanje i očuvanje, analizu, evaluaciju te prezentaciju rezultata. Ključna je rekonstrukcija događaja kako bi se osigurala točnost i vjerodostojnost nalaza. 21. **Tehnike socijalnog inženjeringa** Uključuju phishing (lažne poruke), pretexting (stvaranje uvjerljive priče), tailgating (neovlašten ulazak u zaštićene prostore) i dumpster diving (traženje podataka u otpadu). Obrana uključuje edukaciju, politike provjere i višefaktorsku autentifikaciju. 22. **Ciljani i masovni napadi** Masovni napadi poput phishinga ciljaju široku publiku, dok su ciljani (spear phishing) usmjereni na određene osobe ili organizacije. Ciljani napadi su sofisticiraniji jer koriste prilagođene informacije o žrtvi. 23. **Pseudonimizacija i anonimizacija** Pseudonimizacija zamjenjuje osobne podatke oznakama koje ne omogućuju identifikaciju bez dodatnih podataka. Anonimizacija trajno uklanja identifikatore, čineći podatke neprepoznatljivima. Obje metode smanjuju rizik zloupotrebe. 24. **Kazne za kršenje GDPR-a** Kršenje GDPR-a može rezultirati kaznama do 20 milijuna eura ili 4% globalnog prihoda, ovisno o težini prekršaja. Kazne uključuju i upozorenja, zabranu obrade podataka te obvezu ispravljanja propusta. 25. **Prava pojedinaca prema GDPR-u** Pojedinci imaju pravo na pristup podacima, ispravak, brisanje, ograničenje obrade, prenosivost podataka i prigovor obradi. Organizacije moraju omogućiti transparentno ostvarivanje tih prava. 26. **Primjena ISO 22301** ISO 22301 omogućuje organizacijama pripremu za prekide poput prirodnih nepogoda ili kibernetičkih napada. Primjer je implementacija plana za brzi povratak poslovanja nakon incidenta u IT sektoru. 27. **Koraci izrade Plana kontinuiteta poslovanja** Koraci uključuju definiranje politike, analizu utjecaja, procjenu rizika, razvoj strategije, izradu plana i provođenje testiranja. Ključno je redovito ažuriranje plana kako bi ostao učinkovit. 28. **Što je neovlašteni pristup računalnim sustavima prema Kaznenom zakonu RH?** Neovlašteni pristup računalnim sustavima podrazumijeva ulazak u računalni sustav bez dozvole s namjerom pristupa podacima, nanošenja štete ili ometanja sustava. Ovo djelo se kažnjava novčanom kaznom ili zatvorskom kaznom, ovisno o težini djela. 29. **Što obuhvaća kazneno djelo neovlaštenog presretanja podataka?** Neovlašteno presretanje podataka uključuje nezakonito presretanje komunikacija ili prijenosa podataka unutar računalnih sustava, kao što su e-pošta, mrežne komunikacije ili prijenosi podataka. 30. **Kako se definira oštećenje računalnih podataka ili programa?** Oštećenje računalnih podataka ili programa odnosi se na namjerno brisanje, izmjenu, uništavanje ili oštećivanje podataka ili programa koji mogu uzrokovati štetu sustavu ili korisnicima. Za ovo kazneno djelo predviđene su novčane ili zatvorske kazne. 31. **Koje su posljedice kaznenih djela protiv računalnih sustava?** Posljedice uključuju gubitak povjerljivih podataka, financijske štete, narušavanje poslovnih procesa i sigurnosnih sustava te pravne sankcije za počinitelje. 32. **Koje kazne su predviđene za kaznena djela protiv računalnih sustava?** Kazne uključuju novčane kazne i zatvorske kazne, ovisno o težini djela, poput nanošenja velike materijalne štete, ugrožavanja kritične infrastrukture ili ponovljenih prekršaja. 33. **Izvori i oblici prijetnji informacijskoj imovini** 34. **Što je poslovna tajna** Poslovnu tajnu predstavljaju podaci koji su kao poslovna tajna određeni zakonom, drugim propisom ili općim aktom trgovačkog društva, ustanove ili druge pravne osobe, a koji predstavljaju proizvodnu tajnu, rezultate istraživačkog ili konstrukcijskog rada te druge podatke zbog čijeg bi priopćavanja neovlaštenoj osobi mogle nastupiti štetne posljedice za njezine gospodarske interese. 35. **Stupnjevi tajnosti klasificiranih podataka su:** VRLO TAJNO, TAJNO, POVJERLJIVO, OGRANIČENO. 36. **Što je Ransomware** Ransomware je zlonamjerni softver koji šifrira podatke na računalu žrtve i onemogućuje im pristup. Napadač zatim traži otkupninu, najčešće u kriptovalutama, kako bi omogućio dešifriranje podataka. Širi se putem phishing e-poruka, zaraženih privitaka ili iskorištavanjem ranjivosti u sustavu. Cilj je financijska dobit napadača, a posljedice mogu biti gubitak podataka i prekid poslovanja. 37. **Što je VPN** VPN (Virtual Private Network) je tehnologija koja omogućuje sigurno povezivanje s internetom putem šifriranog tunela. Korisnicima pruža privatnost i sigurnost skrivanjem njihove IP adrese i enkripcijom podataka koji se prenose između uređaja i mreže. VPN se koristi za zaštitu podataka na javnim mrežama, pristup ograničenom sadržaju i osiguravanje anonimnosti na internetu. 38. **Što je SDLC (Software Development Life Cycle)?** SDLC (Software Development Life Cycle) je proces koji se koristi za planiranje, razvoj, testiranje i održavanje softverskih sustava. Cilj SDLC-a je osigurati kvalitetan softver koji zadovoljava korisničke potrebe, isporučuje se na vrijeme i u okviru budžeta. Faze SDLC-a uključuju: 1. **Planiranje:** Identificiranje zahtjeva i definiranje opsega projekta. 2. **Analiza:** Detaljna analiza zahtjeva kako bi se razumjele korisničke potrebe. 3. **Dizajn:** Kreiranje tehničkog dizajna softvera, uključujući arhitekturu i UI/UX elemente. 4. **Razvoj:** Pisanje koda i implementacija funkcionalnosti. 5. **Implementacija:** Isporuka softvera korisnicima i njegovo uvođenje u proizvodno okruženje. 6. **Održavanje:** Praćenje rada softvera, ispravljanje pogrešaka i unapređenje funkcionalnosti prema potrebama. SDLC osigurava strukturirani pristup razvoju softvera i minimizira rizik neuspjeha projekta. 39. **SOA Sigurnosno-obavještajna agencija** SOA (Sigurnosno-obavještajna agencija) je središnje tijelo u Republici Hrvatskoj zaduženo za zaštitu nacionalne sigurnosti, uključujući informacijske i kibernetičke prijetnje. Djeluje kao dio sustava nacionalne sigurnosti i odgovorna je za prikupljanje, analizu i distribuciju sigurnosno relevantnih informacija. Funkcija SOA-e u pogledu informacijske sigurnosti: 1. Nadzor i otkrivanje prijetnji: SOA prati, analizira i otkriva sigurnosne prijetnje, uključujući kibernetičke napade i ugroze na nacionalne informacijske sustave. 2. Zaštita kritične infrastrukture: Pruža stručnu podršku i preporuke za zaštitu ključnih sustava koji su važni za nacionalnu sigurnost i gospodarstvo. 3. Koordinacija i suradnja: SOA surađuje s domaćim i međunarodnim tijelima za sigurnost, razmjenjuje informacije i zajednički djeluje u slučaju globalnih ili regionalnih prijetnji. 4. Upravljanje krizama: U slučajevima sigurnosnih incidenata ili velikih prijetnji, SOA sudjeluje u koordinaciji odgovora i osiguravanju stabilnosti sustava. 40. **Vijeće za nacionalnu sigurnost** Vijeće za nacionalnu sigurnost (VNS) je najviše savjetodavno i koordinacijsko tijelo u Republici Hrvatskoj zaduženo za pitanja nacionalne sigurnosti. Osnovano je radi donošenja strateških odluka i usmjeravanja sigurnosne politike države. **Funkcije VNS-a u području informacijske sigurnosti:** 1. **Donošenje strateških odluka:** VNS definira nacionalne strategije za informacijsku i kibernetičku sigurnost te utvrđuje prioritete zaštite ključnih informacijskih sustava. 2. **Koordinacija aktivnosti:** Osigurava suradnju između sigurnosnih agencija (npr. SOA, Zavod za sigurnost informacijskih sustava - ZSIS) i drugih tijela uključenih u zaštitu informacijske infrastrukture. 3. **Praćenje i upravljanje prijetnjama:** Analizira i ocjenjuje rizike povezane s kibernetičkim napadima, curenjem povjerljivih podataka i drugim prijetnjama informacijskim sustavima. Donosi preporuke za smanjenje rizika. 4. **Zaštita kritične infrastrukture:** Fokusira se na zaštitu ključnih informacijskih sustava u javnom i privatnom sektoru koji su od vitalnog značaja za funkcioniranje države. 5. **Podrška zakonodavnim inicijativama:** Predlaže zakonske i regulatorne mjere za unaprjeđenje sigurnosnih standarda u području informacijske sigurnosti. 41. **Zavod za sigurnost informacijskih sustava (ZSIS)** Zavod za sigurnost informacijskih sustava (ZSIS) je središnje tehničko tijelo Republike Hrvatske zaduženo za područje informacijske sigurnosti. Njegova primarna funkcija je zaštita i osiguranje povjerljivosti, cjelovitosti i dostupnosti informacija unutar državne uprave i kritične infrastrukture. **Funkcije ZSIS-a u informacijskoj sigurnosti:** 1. **Tehnička podrška:** ZSIS pruža tehničku podršku u uspostavi i održavanju sigurnosnih sustava te osigurava implementaciju mjera informacijske sigurnosti u državnim tijelima. 2. **Zaštita klasificiranih podataka:** Odgovoran je za zaštitu klasificiranih informacija unutar državnih institucija, uključujući međunarodne organizacije poput NATO-a i EU. 3. **Izdavanje certifikata i akreditacija:** ZSIS izdaje certifikate za sigurnosnu opremu i akreditira informacijske sustave koji obrađuju klasificirane informacije. 4. **Praćenje i reakcija na incidente:** Zavod nadzire informacijske sustave i koordinira odgovore na sigurnosne incidente kako bi se minimizirali rizici i štete. 5. **Razvoj politika i standarda:** Sudjeluje u razvoju nacionalnih politika i standarda informacijske sigurnosti te osigurava njihovu primjenu u praksi. 42. **CARNET (Hrvatska akademska i istraživačka mreža)** CARNET (Hrvatska akademska i istraživačka mreža) je nacionalna organizacija koja pruža podršku obrazovnim i istraživačkim ustanovama u Republici Hrvatskoj u korištenju informacijskih i komunikacijskih tehnologija (ICT). Također, ima važnu ulogu u području informatičke sigurnosti, posebno unutar akademske i obrazovne zajednice. Funkcije CARNET-a u pogledu informatičke sigurnosti: 1. **Sigurnost mrežne infrastrukture:** CARNET upravlja nacionalnom akademskom i istraživačkom mrežom te osigurava zaštitu mrežnog prometa putem implementacije sigurnosnih protokola i tehnologija. 2. **Praćenje i reagiranje na incidente:** CARNET-ov **CERT (Computer Emergency Response Team)** odgovoran je za prevenciju, otkrivanje i rješavanje sigurnosnih incidenata u računalnim mrežama obrazovnih i akademskih ustanova. 3. **Edukacija i osvješćivanje:** Organizacija provodi edukacije, seminare i radionice o informatičkoj sigurnosti za učenike, nastavnike i druge korisnike. Potiče svijest o važnosti sigurnosti u digitalnom okruženju. 4. **Razvoj sigurnosnih alata i usluga:** CARNET nudi usluge kao što su filtriranje nepoželjnih sadržaja, zaštita e-pošte od zlonamjernih programa i phishinga te zaštita korisničkih računa kroz višefaktorsku autentifikaciju. 5. **Sigurnosne preporuke i politike:** Pruža smjernice i preporuke školama i institucijama za implementaciju sigurnosnih politika, uključujući sigurnost mreže, podataka i uređaja. 6. **Podrška e-uslugama:** CARNET osigurava sigurnost e-usluga poput e-Dnevnika, e-Matice i drugih platformi koje koriste obrazovne ustanove. 43. **CARNET-ov CERT (Computer Emergency Response Team)** CARNET-ov CERT (Computer Emergency Response Team) je nacionalni tim za reagiranje na računalno-sigurnosne incidente unutar CARNET-ove mreže i šire. Njegova glavna uloga je pružanje podrške u sprječavanju, otkrivanju i rješavanju računalno-sigurnosnih incidenata. Funkcije CARNET-ovog CERT-a: Praćenje sigurnosnih prijetnji, Reakcija na incidente, Prevencija i edukacija, Analiza i obavještavanje, Suradnja i koordinacija i Sigurnosne preporuke. 44. **Što je Blockchain** Blockchain je digitalna knjiga koja pohranjuje podatke u povezanim blokovima, osigurana kriptografijom. Decentraliziran je, što znači da nema središnjeg upravljača -- podaci se čuvaju na mnogim računalima istovremeno. Jednom zapisani podaci u lancu ne mogu se mijenjati, što ga čini sigurnim i pouzdanim. Najpoznatija primjena blockchaina su kriptovalute poput Bitcoina, ali se koristi i u drugim područjima poput praćenja lanca opskrbe i digitalnih ugovora. 45. **Osobe u procesu GDPR-a** **Ispitanik (Data Subject):** Fizička osoba čiji se osobni podaci obrađuju. Ima pravo na informacije o obradi svojih podataka, uključujući pravo na ispravak, brisanje („pravo na zaborav"), prenosivost podataka i prigovor obradi **Voditelj obrade (Data Controller):** Osoba ili pravni subjekt koji odlučuje o svrsi i sredstvima obrade osobnih podataka. Voditelj obrade mora osigurati zakonitu, transparentnu i poštenu obradu podataka **Izvršitelj obrade (Data Processor):** Osoba ili pravni subjekt koji obrađuje osobne podatke u ime voditelja obrade, prema njegovim uputama i unutar ugovornih obveza **Službenik za zaštitu osobnih podataka (Data Protection Officer - DPO):** Osoba koju imenuje organizacija radi osiguravanja usklađenosti s GDPR-om. Zadužen je za praćenje primjene uredbe, savjetovanje voditelja obrade i komunikaciju s nadzornim tijelima 46. **Što je Phishing** Phishing je oblik kibernetičke prijevare u kojem napadači lažno predstavljaju pouzdane institucije kako bi ukrali osjetljive podatke poput lozinki i brojeva kreditnih kartica. Funkcionira putem lažnih e-poruka, SMS-ova ili web-stranica koje izgledaju legitimno, ali su osmišljene za prikupljanje podataka. Žrtve često dobivaju hitne poruke, poput \"Vaš račun je ugrožen\", kako bi ih navele na brzo djelovanje. Postoji više oblika phishinga, uključujući **spear phishing** (ciljanje pojedinaca s personaliziranim porukama), **vishing** (prevara putem telefona) i **smishing** (lažne SMS poruke). Ključna obrana je provjera vjerodostojnosti komunikacije i izbjegavanje klikanja na sumnjive poveznice.

Informacijska sigurnost - Pitanja i odgovori PDF

Document Details

Tags

Related

Summary

Full Transcript