Sigurnost i zaštita informacijskih sustava PDF
Document Details
Uploaded by Deleted User
Tags
Summary
This document provides an overview of information security and protection of information systems. It discusses various authentication methods, components of an information system (hardware, software, lifeware, orgware), and concepts like intranet, extranet, and ERP. It also covers the role of CERT teams in preventing and handling security incidents.
Full Transcript
**SIGURNOST I ZAŠTITA INFORMACIJSKIH SUSTAVA** **3 NAČINA AUTENTIKACIJE --** korisničko ime/lozinka (ono što znamo), token/kartica.. (ono što imamo), biometrijske metode (zjenica oka, crte lica, otisak prsta -- ono što jesmo); **AAA --** autentikacija, autorizacija, administracija **INFORMACIJSKI...
**SIGURNOST I ZAŠTITA INFORMACIJSKIH SUSTAVA** **3 NAČINA AUTENTIKACIJE --** korisničko ime/lozinka (ono što znamo), token/kartica.. (ono što imamo), biometrijske metode (zjenica oka, crte lica, otisak prsta -- ono što jesmo); **AAA --** autentikacija, autorizacija, administracija **INFORMACIJSKI SUSTAV** -- prikuplja, obrađuje i pohranjuje podatke i informacije i daje ih na raspolaganje ovlaštenim korisnicima (informacija -- svaka vijest koja proširuje naše znanje; podatak -- informacija zapisana na nekom mediju). Elementi informacijskog sustava: hardver, softver, lifeware (korisnici), orgware (organizacija) (ako govorimo o informacijsko-[komunikacijskom] sustavu, onda treba dodati još i netware). **SOFTVER --** sistemski (operacijski sustavi; ostali sustavi koji podržavaju rad sustava -- npr. baze podataka) i aplikativni (aplikacije koje koristimo) **INTRANET** -- lokalna mreža u kojoj se koriste internetski servisi i protokoli; **EKSTRANET** -- više povezanih intraneta s ciljem brže razmjene podataka **ERP --** enterprise resource planning -- integralni informacijski sustav koji nam osigurava upravljanje resursima poduzeća; podatak unosimo samo jedanput, a možemo mu pristupati s više mjesta itd. **CERT** -- Computer Emergency Response Team -- tim stručnjaka koji je odgovoran za procjenu sigurnosti informacijskih sustava, tj. prevenciju i zaštitu od sigurnosnih incidenata. Nacionalni CERT (CERT.hr) dio je Hrvatske akademske i istraživačke mreže -- CARNET osnovan temeljem Zakona o informacijskoj sigurnosti RH kao nacionalno tijelo za prevenciju i zaštitu od računalnih ugroza sigurnosti javnih informacijskih sustava u Republici Hrvatskoj čiji je osnovni zadatak obrada računalno-sigurnosnih incidenata s ciljem očuvanja kibernetičke sigurnosti u Republici Hrvatskoj. Pri rješavanju incidenata resursi Nacionalnog CERT-a angažiraju se prema sljedećim prioritetima: 1. incidenti su potencijalna ugroza za živote ljudi 2. incidenti sa znatnim učinkom prema ZKS-u 3. incidenti koji pogađaju veći broj korisnika 4. nove vrste ugrožavanja računalne sigurnosti 5. ostali Incidenti. Sljedeći poslovi spadaju u nadležnost drugih tijela ili samih korisnika: 1. operativno rješavanje problema i briga o sigurnosti pojedinih sustava 2. kažnjavanje problematičnih korisnika 3. arbitraža u sporovima 4. pokretanje kaznenih prijava. **TOPOLOGIJA ZVIJEZDE --** zvjezdasta struktura, svi su spojeni preko hubova, switcheva, routera i može se primijeniti na app na netu, preko servera se spajamo **ZAŠTITA vs. SIGURNOST INF. SUSTAVA**: - IPS -- intrusion prevention system - IPS je sustav koji otkriva neželjene napade na mrežu i spriječava ih kako se ne bi mogla dovršiti primarna funkcija napada. On funkcionira kao nadogradnja na IDS koji je mogao sam otkriti o kakvoj se vrsti napada radi - IDS -- intrusion detection system - IDS je sustav za otkrivanje neovlaštenih upada u mrežu koji sam izradi i šalje izvješće sustavu za upravljanje pristupa u mrežu. IDS ima područja informacije koji nastoji zaštititi povjerljivost, integritet i raspoloživost. Kod IDSa upotrebljavaju se tri tipa mehanizma za otkrivanje napada: - STROJNO UČENJE- ekspertni sustavi imaju pravila koji opisuju kako izgleda točni upad, onda ids izradi relevantnu reviziju neovlaštenih upada, te njihov mehanizam za zaključavanje procjenjuje po dobivenim činjenicama i pravilima koja su im dana - STRATEŠKO ANALIZIRANJE-prema stratističkoj analizi za prijelazna stanja software gleda dijagram koji ima zapisana stanja prijelaza koji se smatraju neovlaštenim upadom, i ako se neki upad podudara sa jednim iz dijagrama, aktivira se stanje upada - RUDARENJE PODATAKA-oni gledaju uzorke koji su bili u prijašnjim uzorcima napadi korisni ili neotkriveni i „kopiraju" dok ne izvuku primjere na koje se mogu referirati i po njima gledaju napade **PRIJETNJE FIZIČKOJ SIGURNOSTI:** a\. Prirodne nepogode (meteorološke, geofizičke, sezonski fenomeni, astrofizički fenomeni, biološke prijetnje) b\. Ljudske prijetnje (neposlušnost, otkrivanje osjetljivih podataka, sabotaža, nenamjerno oštećenje imovine, zlouporaba ovlasti, neovlašten pristup podacima ili imovini, krađa) c\. Ostale prijetnje (eksplozija, prašina, poplava, gubitak elektroničkog napajanja, elektromagnetska radijacija) **FIZIČKA ZAŠTITA INFORMACIJSKOG SUSTAVA:** a\. Zaštita okoline -- prvi element nad kojim treba provesti postupke fizičke zaštite (lokoti, zaštitari, nadzorne kamere, alarmni sustavi) b\. Zaštita recepcije (alarmi, gumb za slučaj opasnosti, kamere za nadzor c\. Zaštita prostorija (kamere, gumb za slučaj opasnosti, protuprovalni alarm, vatrodojavni alarm) d\. Zaštita opreme e\. Zaštita poslužitelja (pravilan smještaj poslužitelja, administrator) f\. Zaštita osobnih računala (sigurnosna politika, zaključavanje nakon uporabe, smještaj) g\. Implementacija kontrole pristupa (zaštitari, recepcionari, posebne oznake ili kartice) h\. EPS sigurnost (sustav za detekciju požara, sastav za nadzor, adekvatna oprema za zaštitare...) **ELEMENTI ZA POSTIZANJE FIZIČKE SIGURNOST:** alarmni sustavi, rasvjeta, zaštitari, nadzorne kamere, uređaji za kontrolu pristupa, sustavi za zaključavanje prostorija, uređaji za zaključavanje opreme, sustavi za praćenje i otkrivanje lokacije **TEHNIČKA ZAŠTITA** Jedan od osnovnih ciljeva tehničke zaštite je zaštititi podatke od neovlaštenog pristupa, oštećenja ili gubitka. To se postiže implementacijom različitih sigurnosnih alata koji sprječavaju ulazak zlonamjernog softvera, osiguravajući pritom da samo ovlašteni korisnici imaju pristup kritičnim informacijama. U tu svrhu, organizacije često koriste sofisticirane sustave autentifikacije, kao i alate za enkripciju koji osiguravaju da podaci ostanu povjerljivi i nepročitani od strane neovlaštenih osoba **VRSTE PRIJETNJI** DIJELIMO PREMA NJIHOVOM [IZVORU] SU: a\. Prirodne prijetnje - meteorološke nepogode, geofizičke nepogode, biološke prijetnje, astrofizički fenomeni, sezonski fenomeni itd. b\. Namjerne prijetnje ljudi - neautorizirani pristup, prisluškivanje, otkrivanje podataka, sabotaža, zlouporaba ovlasti, namjerno oštećenje opreme, maliciozni programi c\. Nenamjerne prijetnje ljudi - nedovoljna educiranost, nepravilno rukovanje, nemar i nepažnja, nedisciplina, nenamjerno oštećenje opreme, nenamjerno brisanje podataka **ZBIRKA OSOBNIH PODATAKA --** svatko tko skuplja osobne podatke dužan je to prijaviti Agenciji za zaštitu osobnih podataka (AZOP) **SOA - Sigurnosno obavještajna** agencija je agencija koja prikuplja i analizira podatke u cilju otkrivanja i spriječavanja radnji pojedinaca ili skupina. SOA je dio šireg sustava nacionalne sigurnosti i njeno djelovanje ima međusrodni karakter. **SIGURNOSNA PROVJERA** -- postupak provjere pristupa osobama koje imaju pristup podacima koji su klasificirani, radi ih SOA **KLASIFICIRANI SUSTAVI** -- sigurnosne provjere najstrože kod tajnih i vrlo tajnih, u posebnim su uvjetima **KLASIFICIRANI PODATAK** je onaj koji je nadležno tijelo označilo u propisanom postupku i za koji je utvrđen stupanj tajnosti. Također, klasificirani podatak može biti i onaj koji je Republici Hrvatskoj predala druga država, međunarodna organizacija ili institucija s kojom Republika Hrvatska surađuje. Klasificiranim podatkom ne može se proglasiti podatak radi prikrivanja kaznenog djela, prekoračenja ili zlouporabe ovlasti te drugih oblika nezakonitog postupanja u državnim tijelima. - **STUPNJEVI TAJNOSTI PODATAKA** -- ograničeno, povjerljivo, tajno, vrlo tajno, propisuje ih Zakon o tajnosti podataka **ZAKONSKA REGULATIVA** -- na razini RH -- GDPR (od 2018.g. General Data Protection Regulation, na razini EU, prije tog je bio Zakon o zaštiti osobnih podataka) **APLIKACIJSKI SERVERI** -- server na kojemu imamo sustav koji kontrolira rad web aplikacije (npr. jmu za Java desktop aplikacije, za web je tu potrebno autentikacijsko pravo) \-\-\-\-\-- **[TCP/IP]** \- naziv potječe od dva najčešće korištena protokola: TCP (engl. Transmission Control Protocol) i IP (engl. Internet Protocol), prisutan je danas na skoro svim računalima, u prvom redu zbog jednostavnog definiranja adresa uređaja na mreži, te zbog mogućnosti povezivanja na Internet **IP adresa** -- sastoji se od 32 bita, tj. 4 bytea, ima dva dijela -- sastoji se od mrežnog broja i broja hosta. **SUBNET MASK** -- 32-bitni broj koji kaže koje bitove originalne IP adrese treba promatrati kao bitove mrežnog broja (1 -- mrežno, 0 -- bitovi) A diagram of a computer program Description automatically generated with medium confidence **IP - INTERNET PROTOKOL** je najvažniji protokol unutar Internet sloja (TCP/IP model). IP je protokol za veze bez spajanja (engl. connectionless protocol), što znači da se dvije strane ne dogovaraju o početku ili završetku prijenosa podataka, nego predajna strana šalje podatke i ako nakon nekog vremena ne dobije potvrdu šalje podatke ponovo. IP znači ne razmjenjuje upravljačke podatke za uspostavu veze s kraja na kraj mreže, već se oslanja na protokole drugih slojeva koji trebaju uspostaviti vezu, ako žele da to bude veza sa spajanjem. IP se također oslanja na protokole viših i nižih slojeva za osiguravanje korekcije i detekcije pogreški, zbog čega se često naziva \"nepouzdani protokol\". IP će prenijeti podatke mrežom, ali neće provjeriti jesu li podaci točno preneseni, tu funkciju će obaviti protokoli ostalih slojeva u TCP/IP arhitekturi. [Funkcije Internet protokola]: definira datagram, definira shemu adresiranja na Internetu, prebacuje podatke između sloja za pristup mreži i prijenosnog (transportnog) sloja, vrši usmjeravanje datagrama do udaljenih računala **DATAGRAM** Internet protokol definira paket pod nazivom datagram. [Datagram je blok podataka koji se šalje na mrežu kao jedna poruka]. Prvih pet ili šest 32-bitnih riječi u datagramu rezervirano je za upravljačke podatke (zaglavlje), a nakon zaglavlja slijede podaci. Zaglavlje sadrži sve elemente potrebne za predaju paketa (tip usluge, ukupnu duljinu, identifikaciju, zastavice, adresu izvora, adresu odredišta, \...). **Polje verzija (engl. version) kaže koju verziju protokola koristi datagram. S obzirom da je** duljina zaglavlja promjenljiva, u IHL (Internet Header Length) polju je naznačena duljina zaglavlja (pet ili šest riječi). U polju tip usluge (engl. type of service) host govori podmreži koju vrstu usluge želi (moguće su različite kombinacije pouzdanosti i brzine). Polje ukupna duljina (engl. total length) daje ukupnu duljinu datagrama (zaglavlje i podaci). Maksimalna duljina je 65535 bytova. Polje identifikacija (engl. identification) omogućava odredišnom hostu određivanje kojem datagramu pripada pristigli fragment9. Slijedi neiskorišteni bit, DF bit i MF bit. DF (Don\'t Fragment) bit naređuje usmjernicima da ne fragmentiraju datagram, jer ga odredište ne može složiti. MF (More Fragments) bit imaju postavljen svi fragmenti osim zadnjeg kao znak da dolazi još fragmenata istog datagrama. **IPv6 vs. IPv4** -- IPv6 bolja sigurnost, adrese za miliajrdu računala, smanjenje usmjerivačkih tablica, bolja podrška servisima, brži rad o routera, IPv4 -- 13 polja u zaglavlju, IPv6 -- 7 polja kraće zaglavlje, brža obrada paketa **CMP (Internet Control Message Protocol)** Usmjernici "prate" rad na Internetu. Kad dođe do neočekivane situacije ICMP prijavi događaj. Osnovna namjena ICMP protokola je osiguravanje nadzora i kontrole prijenosa podataka do odredišta, s obzirom da IP protokol to ne osigurava. ICMP šalje poruke koje osiguravaju kontolu toka, prijavu pogreške, pojavu alternativnog puta do odredišta i slično. Na ovaj način nije osiguran pouzdan prijenos podataka, već to treba osigurati protokol više razine. Svaka ICMP poruka je je "uokvirena" u IP datagram. **ARP (Address Resolution Protocol)** Iako svako računalo na Internetu ima IP adresu ona se ne može koristiti za slanje datagrama, jer uređaji na prijenosnom sloju ne razumiju IP adrese. Računala su priključena na LAN preko sučelja (mrežne kartice) koja razumiju samo MAC adrese (48-bitna adresa). Mrežne kartice primaju i šalju datagrame na osnovu 48 bitne LAN adrese i ne poznaju 32 bitnu IP adresu. Svako računalo ima pokrenut ARP protokol, čiji je zadatak postavljanje pitanja i primanje odgovora. Kad računalo želi poslati podatke drugom računalu kreirat će datagram sa IP adresom računala u adresnom polju odredišta. Nakon toga potrebno saznati fizičku (MAC) adresu tog računala. Računalo koje želi slati podatke šalje ARP upit svim računalima (broadcast) u lokalnoj mreži, a stanica koja prepozna svoju IP adresu odaziva se ARP odgovorom, kojeg također primaju svi i koji sadrži fizičku adresu. Na taj način se povezuje IP adresa i fizička adresa, te omogućava slanje datagrama. \-\-\-- *Predavanje 7.10.* **KVALIFICIRANI CERTIFIKAT --** najviša razina sigurnosti, npr. za prijavu u e-Građani (s tokenom banke i sl.) **CA -- certifikacijski autoriteti** (u Hrvatskoj to su AKD i Fina, za osobne je npr. AKD) -- certifikacijski autoriteti imaju servere na kojima se nalaze javni ključevi kojima možemo kriptirati poruku, a ona se dekriptira privatnim ključem primatelja koji svoj privatni ključ isto pronalazi na tim serverima **CEZIH** -- centralni zdravstveni sustav u RH **SVOJSTVA INFORMACIJA I PROCESA** -- povjerljivost, integritet (cjelovitost, potpunost podataka), raspoloživost (podaci uvijek dostupni ovlaštenim korisnicima), autentičnost (svojstvo koje osigurava da je identitet subjekta zaista onaj za kojeg se tvrdi da jest), neporecivost (osigurava nemogućnost poricanja izvršene aktivnosti ili primitka informacije), dokazivost (osigurava da aktivnosti subjekta mogu biti praćene jedinstveno do samog subjekta), pouzdanost (svojstvo dosljednoga, očekivanog ponašanja i rezultata). PIRANDP **SISTEMSKI INŽENJERI (ili ADMINISTRATORI)** -- imaju uvid kontrolu nad logovima u sustavu **ISO 27001** -- International Organization for Standardization -- standard koji govori kako moramo uvesti sustav sigurnosti u našu organizaciju ISO 27001 propisuje 114 sigurnosnih kontrola raspoređenih u 14 domena, poput kontrole pristupa, sigurnosti mreže, sigurnosti aplikacija i kontinuiranosti poslovanja. Svaka kontrola ima za cilj smanjiti specifičan sigurnosni rizik. 1. ANALIZA TRENUTNOG STANJA 2. IDENTIFIKACIJA I PROCJENA RIZIKA 3. DEFINIRANJE SIGURNOSNIH KONTROLA 4. RAZRADA I DOKUMENTIRANJE SIGURNOSNIH POLITIKA I PROCEDURA 5. IMPLEMENTACIJA I PROVOĐENJE SIGURNOSNIH KONTROLA 6. EDUKACIJA I OBUKA ZAPOSLENIKA 7. PRAĆENJE, NADZOR I REVIZIJA 8. PRIPREMA ZA CERTIFIKACIJSKU REVIZIJU 9. ODRŽAVANJE I KONTINUIRANO POBOLJŠANJE **PKI** -- Public Key Infrastrucure -- skup pravila, hardvera i softvera i procedura potrebnih za stvaranje, kreiranje, upravljanje, korištenje, distribuciju i pozivanje javnih ključeva; koristi se za osiguranje integriteta, povjerljivosti i autentičnposti podataka kroz upotrebu asimetričnog kriptiranja - primjenjuje se u različitim domenama, uključujući e-poštu, web sigurnost putem SSL/TLS certifikata, kao i autentifikaciju korisnika **DDOS** -- Distributed Denial of Service -- napad na sustav, ima jako veliki broj upita od strane neovlaštenih korisnika, a to najčešće bootovi (zaražena računala), s različitih strana dolazi ogroman broj upita na koje računalo pokušava odgovoriti pa ovlašteni korisnici ne mogu pristupiti sustavu **CRNA BROJKA** -- broj napada koji se skriva, tj. ne daje u javnost **SQL Injection** -- upiše se kod u komandnu liniju u browseru, ali najčešće ne direktno, nego preko nekakvih proxja **UPS** -- Unlimited power supply, duple linije i sl. su neke od zaštitnih funkcija **APACHE** -- najpoznatiji web server - Projekt HTTP poslužitelja Apache zajednički je razvoj softvera čiji je cilj stvaranje robusne implementacije izvornog koda HTTP (web) poslužitelja komercijalne kvalitete, značajke i besplatno dostupne. Projektom zajednički upravlja skupina volontera diljem svijeta, koji koriste Internet i Web za komunikaciju, planiranje i razvoj poslužitelja i povezane dokumentacije. **DIREKTIVE** (smjernice), **UREDBE** -- moraju se implementirati u cijelosti **MALICIOZNI SOFTVERI -** softver koji možete instalirati s bilo kojeg medija, među ostalima i s Interneta. Malware može imati više funkcija, od prikupljanja osjetljivih informacija, dobivanja pristupa zaraženom sustavu ili mreži, prekidu ili usporavanju računalnih operacija i komunikacija, itd. U današnje vrijeme najčešće se koristi u svrh prikupljanja osjetljivih osobnih, financijskih, korporativnih i ostalih podataka. Vrste: virus, crv, trojanski konj, spyware, exploit, rootkit, dialer, URL injector itd i. ii. iii. iv. v. vi. vii. viii. **HAKERI** - hakeri su osobe koje svojim neznanjem ili radi znatiželje, nekada slučajno upadaju u sustave, nemaju namjere naštetiti sustavu. **KRAKERI** - Iznimno opasne osobe koje svojim znanjem upadaju u sustav s namjerom da naštete sustavu, ukradu osobne podatke ili imovinske koristi **FRIKERI** - odnosno osobe koje raspolažu sa tehničkim znanjima kojima koriste razne telefonske sustave za neograničeno i besplatno korištenje njihovih usluga **CYBER NAPADE** dijelimo na: - Volja počinitelja -- slučajni i namjerni - Učinak -- aktivni i pasivni - Mjesto napada -- unutarnji i vanjski - Cilj napada -- podatkovni resursi, softverski resursi i hardverski resursi **Metode napada:** Cyber napadi mogu napasti podatkovne resurse, softverske resurse i hardverske resurse **Kopanje po smeću dvije vrste:** - FIZIČKO KOPANJE PO SMEĆU- traženje korisnih informacija iz fizičkog otpada kao što su odbačeni dokumenti(potraga za povjerljivim informacijama, lozinkama, brojevima računa), stare elektronske uređaje (Diskovi, USB-ovi ili hard diskovi koji nisu pravilno uništeni, a mogu sadržavati povjerljive informacije), Ručni zapisi i bilješke (šifre, brojevi telefona ili nacrti koji su olako bačeni) - DIGITALNO KOPANJE PO SMEĆU -- odnosi se na analizu digitalnog otpada ili ostataka kako bi se dobili korisni podatci, primjeri uključuju: - METAPODATCI IZ FAJLOVA -- dokumenti ili slike često sadrže metapodatke kao što su autori, mjesta snimalja ili datumi koji otkrivaju ključne informacije. - CACHE MEMORIJE ILI LOGOVI -- Iz digitalnih tragova u privremenim fajlovima ili zapisnicima na serverima mogu se izvući osjetljivi podatci. - NEOBRISANI PODATCI- „Deleted" fajlovi često ostaju na uređaju dok ne budu prepisani, a napadači koriste alate za njihovo obnavljanje. - IZVLAČENJE IZ GREŠAKA -- Traženje grešaka u web aplikacijama koje nenamjerno otkrivaju informacije, poput nezaštićenih API ključeva ili korisničkih lozinki. **CAPTCHA** je mehanizam temeljen na „pitanje-odgovor" sistemu prepoznavanja razlika između bot računala i ljudi. Ovaj mehanizam pomaže kod zaštite od DOS i DDOS napada jer zadatcima koje zadaje raspoznaje bot računala kojima odbija pristup sustavu. **HTTP vs HTTPS** - HTTP, ili Hypertext Transfer Protocol, je jedan od osnovnih protokola koji omogućuje prijenos informacija na internetu.Da biste shvatili što je HTTP, zamislite ga kao poštara koji prenosi pakete informacija s jedne točke na drugu. Svaki put kad posjetite neku web stranicu, vaš preglednik koristi HTTP za slanje zahtjeva serveru, a zatim taj server vraća podatke nazad -- slike, tekst, video, i sve što čini web stranicu. HTTP je nešifrirani protokol, što znači da sve informacije koje šaljete i primate putem njega putuju "otvoreno. HTTPS (Hypertext Transfer Protocol Secure) je nadograđena verzija HTTP-a koja koristi enkripciju kako bi zaštitila podatke u prijenosu između preglednika i servera. Za razliku od HTTP-a, HTTPS koristi SSL (Secure Sockets Layer) ili TLS (Transport Layer Security) certifikate koji osiguravaju da su vaši podaci šifrirani i da ih ne može presresti ili pročitati netko tko nije ovlašten. SSL i TLS funkcioniraju poput sigurnosnog paketa koji "umotava" vaše podatke prije nego što oni napuste vaš preglednik, te ih "odmotava" tek kad stignu do servera. **XML - Extensible Markup Language** XML - Extensible Markup Language je označni jezik i format datoteke za pohranu, prijenos i rekonstrukciju proizvoljnih podataka. Definira skup pravila za kodiranje dokumenata u format koji je čitljiv i za ljude i za stroj. Ciljevi dizajna XML-a naglašavaju jednostavnost, općenitost i upotrebljivost na Internetu. To je format tekstualnih podataka sa snažnom podrškom putem Unicodea za različite ljudske jezike. Iako je dizajn XML-a usredotočen na dokumente, jezik se široko koristi za predstavljanje proizvoljnih struktura podataka poput onih koje se koriste u web uslugama. **SUSTAV PROCJENE RIZIKA** -- ovo je s neta, ne njegovo objašnjenje, on nije nešto detaljno o tome pričao, samo je spomenuo: sastoji se od dva potprocesa, a to su analiza rizika i vrednovanje rizika. Prvi proces u metodologiji upravljanja rizikom. Organizacije koriste procjenu rizika da bi odredile opseg potencijalnih prijetnji i rizika koji prate jedan informacijski sustav kroz SDLC. Ova aktivnost pomaže da se identificiraju odgovarajuće kontrole za smanjenje ili eliminaciju rizika za vrijeme procesa ublažavanja rizika. Metodologija procjene rizika sastoji se od devet koraka: karakterizacija sustava, identificiranje prijetnji, identificiranje ranjivosti, analiza kontrola, određivanje vjerojatnosti, analiza utjecaja, određivanje rizika, preporuka kontrola, dokumentiranje rezultata [Klasifikacija rizika]: trivijalni rizik, nizak rizik, skroman rizik, znatan rizik, velik rizik, [Koraci u upravljanju rizicima]: utvrđivanje konteksta, identifikacija rizika, analiza rizika, procjena rizika, tretiranje rizika, nadzor i kontrola rizika, implementacija sustava upravljanja rizicima. Pri procesu upravljanja rizicima pravi se REGISTAR RIZIKA koji je potrebno redovito ažurirati. [ISO 31000] - pruža okvir i smjernice za učinkovito upravljanje rizikom unutar organizacija. Cilj norme je pomoći organizacijama da prepoznaju, ocjenjuju, upravljaju i komuniciraju rizike, osiguravajući tako ostvarenje ciljeva i optimizaciju resursa. RSA -- risk assessment tools i RSM -- risk management system **RMS -- RISK MANAGEMENT SYSTEM** Upravljanje rizicima ključni je element uspješnog poslovanja, koje omogućava organizacijama da se suoče s neizvjesnostima i izazovima. Procjena rizika uključuje usporedbu stupnja rizika s unaprijed definiranim kriterijima kako bi se odredilo jesu li rizici prihvatljivi ili ne. Kvalitativna prosjena uspoređuje kvalitativne rizike s odgovarajućim kriterijima, dok se kvantitativna uspoređuje numeričke rizike s mjerljivim kriterijima kao što su učestalost, fatalnost ili novčani iznosi. Rezultat procjene je stvaranje prioritetnog popisa rizika za danje upravljanje ( registar rizika) **ZAKONSKE REGULATIVE:** - GDPR - Zakon o informacijskoj sigurnosti - Zakon o tajnosti podataka - Zakon o sigurnosnim provjeravama - Zakon o elektroničkoj ispravi - Zakon o elektroničkom potpisu - Zakon na pravo pristupa informacijama - Zakon o sigurnosnim službama RH Drugo: - Zakon o elektroničkoj komunikaciji - Pravilnik o kibernetičkoj sigurnosti kritične infrastrukture - Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (NIS Direktiva) - Pravilnik o tehničkoj zaštiti - Agencije i nadzorna tijela: AZOP (Agencija za zaštitu osobnih podataka), Nacionalni CERT, Središnji državni ured za razvoj digitalnog društva, MUP **KRIPTIRANJE I KRIPTOGRAFIJA:** - **KRIPTIRANJE** -- onemogućavamo neovlaštenim korisnicima čitanje naših podataka, čitljivi tekst pomoću ključeva pretvara se u nečitljivi (privatni ključ -- zna ga samo vlasnik, javni -- znaju ga svi koji s korisnikom trebaju komunicirati). Postoji simetrično (poruka se kriptira i dekriptira istim ključem) i asimetrično kriptiranje (poruka se kriptira jednim, a dekriptira drugim ključem). - **KRIPTOGRAFIJA** - znanstvena disciplina koja se bavi proučavanjem metoda za slanje poruka u takvom obliku da ih samo onaj kome su namijenjene može pročitati. - SKITAL - Neki elementi kriptografije bili su prisutni već kod starih Grka. eleSpartanci su u 5. stoljeću prije Krista upotrebljavali napravu za šifriranje zvanu skital. To je bio drveni štap oko kojeg se namotavala vrpca od pergamenta, pa se na nju okomito pisala poruka. - **CEZAROVA ŠIFRA** -- to je tip šifre zamjene (supstitucije), u kome se svako slovo otvorenog teksta zamjenjuje odgovarajućim slovom abecede, pomaknutim za određeni broj mjesta. - **VIEGENEROVA ŠIFRA** -- metoda šifriranja abecednog teksta korištenjem serije Cezarovih šifri, zasnovanih na slovima ključa. - **PLAYFAIROVA ŠIFRA** -- šifra koja se bazira na tome da se parovi - slova šifriraju korištenjem 5 × 5 matrice. **DIGITALNI POTPIS** -- samo u slučaju digitalnog potpisa se kriptira privatnim ključem pošiljatelja, dekriptira se javnim ključem pošiljatelja; istim kanalom šaljemo dokument i hash; ako možemo dekriptirati javnim ključem pošiljatelja, dokument je valjan, tj. pošiljatelj je taj koji šalje dokument, ako pustimo hash funkciju na dokument i dobijemo isti rezultat, to je autentičan dokument - digitalni i obični potpis NISU ISTI, ali imaju istu pravnu snagu **HASH FUNKCIJA** -- određeni dokument pretvaramo u tekst neke fiksne veličine, jedna od primjera je SHA1 hash. To znači da hash funkicje za ulaz imaju neku poruku, string ili podatak proizvoljne duljine te kao izlaz generiraju izlazni string ili podatak koji nazivamo hash code, hash rezultat, hash vrijednost, sažetak poruke ili jedinstveno rečeno hash **ISO 27001 --** postavljanje smjernica za uspostavljanje, implementaciju, održavanje i neprestano poboljšanje sustava upravljanja inform. sigurnošću ISMS -- Information Security Management System -- principi povjerljivosti, integritet, dostupnost PCDA -- Plan, Check, Do, Act **SSL protokol** -- (eng. Secure Sockets Layer) protokol je standardizirana sigurnosna tehnologija za kreiranje kriptirane veze između poslužitelja i preglednika. Njome se osigurava zadržavanje privatnosti i sigurnosti svih podataka koji se razmjenjuju između sudionika komunikacije. Jedna od najraširenijih primjena SSL standarda jest zaštita podataka u tzv. online transakcijama (npr. plaćanje putem Interneta, bankarske transakcije i sl.). **SLA -- SERVICE LEVEL AGREEMENT -** ugovor između pružatelja usluga i njegovih korisnika koji dokumentira usluge koje će pružatelj pružati i definira standarde usluga koje je pružatelj dužan ispuniti. Tipovi: Customer-level SLA (između pružatelja i vanjskog ili internog kupca, definiranje usluga i očekivanja), Service-level SLA (pokriva specifične usluge koje se pružaju većem broju kupaca), Multilevel SLA (uključuje više razina usluga ili strana, često se koristi u dogovorima s više pružatelja usluga). - KPI-jevi (Key Performance Indicator, pokazatelji uspješnosti) su mjere koje pružatelj koristi za mjerenje izvedbe u odnosu na te ciljeve i omogućavanje timovima kontinuiranog poboljšanja. KPI-jevi su osmišljeni kako bi pojednostavili proces evaluacije i dali timovima točnu predodžbu o tome kako napreduju prema bilo kojem navedenom cilju. - Na primjer, ako je organizacija dala određena jamstva oko kibernetičke sigurnosti svoje ponude, mogla bi pratiti KPI-jeve kao što su broj sigurnosnih incidenata u određenom vremenskom razdoblju, pokušaji upada i stope uspješnosti sustava za otkrivanje ili sprječavanje upada, cijena po incidentu ili sigurnosna ocjena dobavljača.