Sigurnost i zaštita informacijskih sustava PDF

Summary

This document provides an overview of information security and protection of information systems. It discusses various authentication methods, components of an information system (hardware, software, lifeware, orgware), and concepts like intranet, extranet, and ERP. It also covers the role of CERT teams in preventing and handling security incidents.

Full Transcript

**SIGURNOST I ZAŠTITA INFORMACIJSKIH SUSTAVA**

**3 NAČINA AUTENTIKACIJE --** korisničko ime/lozinka (ono što znamo),
token/kartica.. (ono što imamo), biometrijske metode (zjenica oka, crte
lica, otisak prsta -- ono što jesmo); **AAA --** autentikacija,
autorizacija, administracija

**INFORMACIJSKI SUSTAV** -- prikuplja, obrađuje i pohranjuje podatke i
informacije i daje ih na raspolaganje ovlaštenim korisnicima
(informacija -- svaka vijest koja proširuje naše znanje; podatak --
informacija zapisana na nekom mediju). Elementi informacijskog sustava:
hardver, softver, lifeware (korisnici), orgware (organizacija) (ako
govorimo o informacijsko-[komunikacijskom] sustavu, onda
treba dodati još i netware).

**SOFTVER --** sistemski (operacijski sustavi; ostali sustavi koji
podržavaju rad sustava -- npr. baze podataka) i aplikativni (aplikacije
koje koristimo)

**INTRANET** -- lokalna mreža u kojoj se koriste internetski servisi i
protokoli; **EKSTRANET** -- više povezanih intraneta s ciljem brže
razmjene podataka

**ERP --** enterprise resource planning -- integralni informacijski
sustav koji nam osigurava upravljanje resursima poduzeća; podatak
unosimo samo jedanput, a možemo mu pristupati s više mjesta itd.

**CERT** -- Computer Emergency Response Team -- tim stručnjaka koji je
odgovoran za procjenu sigurnosti informacijskih sustava, tj. prevenciju
i zaštitu od sigurnosnih incidenata. Nacionalni CERT (CERT.hr) dio je
Hrvatske akademske i istraživačke mreže -- CARNET osnovan temeljem
Zakona o informacijskoj sigurnosti RH kao nacionalno tijelo za
prevenciju i zaštitu od računalnih ugroza sigurnosti javnih
informacijskih sustava u Republici Hrvatskoj čiji je osnovni zadatak
obrada računalno-sigurnosnih incidenata s ciljem očuvanja kibernetičke
sigurnosti u Republici Hrvatskoj.

Pri rješavanju incidenata resursi Nacionalnog CERT-a angažiraju se prema
sljedećim prioritetima:

1. incidenti su potencijalna ugroza za živote ljudi

2. incidenti sa znatnim učinkom prema ZKS-u

3. incidenti koji pogađaju veći broj korisnika

4. nove vrste ugrožavanja računalne sigurnosti

5. ostali Incidenti.

Sljedeći poslovi spadaju u nadležnost drugih tijela ili samih korisnika:

1. operativno rješavanje problema i briga o sigurnosti pojedinih
sustava

2. kažnjavanje problematičnih korisnika

3. arbitraža u sporovima

4. pokretanje kaznenih prijava.

**TOPOLOGIJA ZVIJEZDE --** zvjezdasta struktura, svi su spojeni preko
hubova, switcheva, routera i može se primijeniti na app na netu, preko
servera se spajamo

**ZAŠTITA vs. SIGURNOST INF. SUSTAVA**:

- IPS -- intrusion prevention system - IPS je sustav koji otkriva
neželjene napade na mrežu i spriječava ih kako se ne bi mogla
dovršiti primarna funkcija napada. On funkcionira kao nadogradnja na
IDS koji je mogao sam otkriti o kakvoj se vrsti napada radi

- IDS -- intrusion detection system - IDS je sustav za otkrivanje
neovlaštenih upada u mrežu koji sam izradi i šalje izvješće sustavu
za upravljanje pristupa u mrežu. IDS ima područja informacije koji
nastoji zaštititi povjerljivost, integritet i raspoloživost. Kod
IDSa upotrebljavaju se tri tipa mehanizma za otkrivanje napada:

- STROJNO UČENJE- ekspertni sustavi imaju pravila koji opisuju
kako izgleda točni upad, onda ids izradi relevantnu reviziju
neovlaštenih upada, te njihov mehanizam za zaključavanje
procjenjuje po dobivenim činjenicama i pravilima koja su im dana

- STRATEŠKO ANALIZIRANJE-prema stratističkoj analizi za prijelazna
stanja software gleda dijagram koji ima zapisana stanja
prijelaza koji se smatraju neovlaštenim upadom, i ako se neki
upad podudara sa jednim iz dijagrama, aktivira se stanje upada

- RUDARENJE PODATAKA-oni gledaju uzorke koji su bili u prijašnjim
uzorcima napadi korisni ili neotkriveni i „kopiraju" dok ne
izvuku primjere na koje se mogu referirati i po njima gledaju
napade

**PRIJETNJE FIZIČKOJ SIGURNOSTI:**

a\. Prirodne nepogode (meteorološke, geofizičke, sezonski fenomeni,
astrofizički

fenomeni, biološke prijetnje)

b\. Ljudske prijetnje (neposlušnost, otkrivanje osjetljivih podataka,
sabotaža,

nenamjerno oštećenje imovine, zlouporaba ovlasti, neovlašten pristup

podacima ili imovini, krađa)

c\. Ostale prijetnje (eksplozija, prašina, poplava, gubitak elektroničkog
napajanja,

elektromagnetska radijacija)

**FIZIČKA ZAŠTITA INFORMACIJSKOG SUSTAVA:**

a\. Zaštita okoline -- prvi element nad kojim treba provesti postupke
fizičke zaštite

(lokoti, zaštitari, nadzorne kamere, alarmni sustavi)

b\. Zaštita recepcije (alarmi, gumb za slučaj opasnosti, kamere za nadzor

c\. Zaštita prostorija (kamere, gumb za slučaj opasnosti, protuprovalni
alarm,

vatrodojavni alarm)

d\. Zaštita opreme

e\. Zaštita poslužitelja (pravilan smještaj poslužitelja, administrator)

f\. Zaštita osobnih računala (sigurnosna politika, zaključavanje nakon
uporabe,

smještaj)

g\. Implementacija kontrole pristupa (zaštitari, recepcionari, posebne
oznake ili

kartice)

h\. EPS sigurnost (sustav za detekciju požara, sastav za nadzor,
adekvatna

oprema za zaštitare...)

**ELEMENTI ZA POSTIZANJE FIZIČKE SIGURNOST:**

alarmni sustavi, rasvjeta, zaštitari, nadzorne

kamere, uređaji za kontrolu pristupa, sustavi za zaključavanje
prostorija, uređaji za

zaključavanje opreme, sustavi za praćenje i otkrivanje lokacije

**TEHNIČKA ZAŠTITA**

Jedan od osnovnih ciljeva tehničke zaštite je zaštititi podatke od
neovlaštenog pristupa, oštećenja ili gubitka. To se postiže
implementacijom različitih sigurnosnih alata koji sprječavaju ulazak
zlonamjernog softvera, osiguravajući pritom da samo ovlašteni korisnici
imaju pristup kritičnim informacijama. U tu svrhu, organizacije često
koriste sofisticirane sustave autentifikacije, kao i alate za enkripciju
koji osiguravaju da podaci ostanu povjerljivi i nepročitani od strane
neovlaštenih osoba

**VRSTE PRIJETNJI** DIJELIMO PREMA NJIHOVOM [IZVORU] SU:

a\. Prirodne prijetnje - meteorološke nepogode, geofizičke nepogode,
biološke

prijetnje, astrofizički fenomeni, sezonski fenomeni itd.

b\. Namjerne prijetnje ljudi - neautorizirani pristup, prisluškivanje,
otkrivanje

podataka, sabotaža, zlouporaba ovlasti, namjerno oštećenje opreme,

maliciozni programi

c\. Nenamjerne prijetnje ljudi - nedovoljna educiranost, nepravilno
rukovanje,

nemar i nepažnja, nedisciplina, nenamjerno oštećenje opreme, nenamjerno

brisanje podataka

**ZBIRKA OSOBNIH PODATAKA --** svatko tko skuplja osobne podatke dužan
je to prijaviti Agenciji za zaštitu osobnih podataka (AZOP)

**SOA - Sigurnosno obavještajna** agencija je agencija koja prikuplja i
analizira podatke u cilju otkrivanja i spriječavanja radnji pojedinaca
ili skupina. SOA je dio šireg sustava nacionalne sigurnosti i njeno
djelovanje ima međusrodni karakter.

**SIGURNOSNA PROVJERA** -- postupak provjere pristupa osobama koje imaju
pristup podacima koji su klasificirani, radi ih SOA

**KLASIFICIRANI SUSTAVI** -- sigurnosne provjere najstrože kod tajnih i
vrlo tajnih, u posebnim su uvjetima

**KLASIFICIRANI PODATAK** je onaj koji je nadležno tijelo označilo u
propisanom postupku i za koji je utvrđen stupanj tajnosti. Također,
klasificirani podatak može biti i onaj koji je Republici Hrvatskoj
predala druga država, međunarodna organizacija ili institucija s kojom
Republika Hrvatska surađuje. Klasificiranim podatkom ne može se
proglasiti podatak radi prikrivanja kaznenog djela, prekoračenja ili
zlouporabe ovlasti te drugih oblika nezakonitog postupanja u državnim
tijelima.

- **STUPNJEVI TAJNOSTI PODATAKA** -- ograničeno, povjerljivo, tajno,
vrlo tajno, propisuje ih Zakon o tajnosti podataka

**ZAKONSKA REGULATIVA** -- na razini RH -- GDPR (od 2018.g. General Data
Protection Regulation, na razini EU, prije tog je bio Zakon o zaštiti
osobnih podataka)

**APLIKACIJSKI SERVERI** -- server na kojemu imamo sustav koji
kontrolira rad web aplikacije (npr. jmu za Java desktop aplikacije, za
web je tu potrebno autentikacijsko pravo)

\-\-\-\-\--

**[TCP/IP]**

\- naziv potječe od dva najčešće korištena protokola: TCP (engl.
Transmission Control Protocol) i IP (engl. Internet Protocol), prisutan
je danas na skoro svim računalima, u prvom redu zbog jednostavnog
definiranja adresa uređaja na mreži, te zbog mogućnosti povezivanja na
Internet

**IP adresa** -- sastoji se od 32 bita, tj. 4 bytea, ima dva dijela --
sastoji se od mrežnog broja i broja hosta.

**SUBNET MASK** -- 32-bitni broj koji kaže koje bitove originalne IP
adrese treba promatrati kao bitove mrežnog broja (1 -- mrežno, 0 --
bitovi)

A diagram of a computer program Description automatically generated with
medium confidence

**IP - INTERNET PROTOKOL** je najvažniji protokol unutar Internet sloja
(TCP/IP model). IP je protokol za veze bez spajanja (engl.
connectionless protocol), što znači da se dvije strane ne dogovaraju o
početku ili završetku prijenosa podataka, nego predajna strana šalje
podatke i ako nakon nekog vremena ne dobije potvrdu šalje podatke
ponovo. IP znači ne razmjenjuje upravljačke podatke za uspostavu veze s
kraja na kraj mreže, već se oslanja na protokole drugih slojeva koji
trebaju uspostaviti vezu, ako žele da to bude veza sa spajanjem. IP se
također oslanja na protokole viših i nižih slojeva za osiguravanje
korekcije i detekcije pogreški, zbog čega se često naziva \"nepouzdani
protokol\". IP će prenijeti podatke mrežom, ali neće provjeriti jesu li
podaci točno preneseni, tu funkciju će obaviti protokoli ostalih slojeva
u TCP/IP arhitekturi.

[Funkcije Internet protokola]: definira datagram, definira
shemu adresiranja na Internetu, prebacuje podatke između sloja za
pristup mreži i prijenosnog (transportnog) sloja, vrši usmjeravanje
datagrama do udaljenih računala

**DATAGRAM**

Internet protokol definira paket pod nazivom datagram. [Datagram je blok
podataka koji se šalje na mrežu kao jedna poruka]. Prvih pet
ili šest 32-bitnih riječi u datagramu rezervirano je za upravljačke
podatke (zaglavlje), a nakon zaglavlja slijede podaci. Zaglavlje sadrži
sve elemente potrebne za predaju paketa (tip usluge, ukupnu duljinu,
identifikaciju, zastavice, adresu izvora, adresu odredišta, \...).

**Polje verzija (engl. version) kaže koju verziju protokola koristi
datagram. S obzirom da je** duljina zaglavlja promjenljiva, u IHL
(Internet Header Length) polju je naznačena duljina zaglavlja (pet ili
šest riječi). U polju tip usluge (engl. type of service) host govori
podmreži koju vrstu usluge želi (moguće su različite kombinacije
pouzdanosti i brzine). Polje ukupna duljina (engl. total length) daje
ukupnu duljinu datagrama (zaglavlje i podaci). Maksimalna duljina je
65535 bytova.

Polje identifikacija (engl. identification) omogućava odredišnom hostu
određivanje kojem datagramu pripada pristigli fragment9. Slijedi
neiskorišteni bit, DF bit i MF bit. DF (Don\'t Fragment) bit naređuje
usmjernicima da ne fragmentiraju datagram, jer ga odredište ne može
složiti. MF (More Fragments) bit imaju postavljen svi fragmenti osim
zadnjeg kao znak da dolazi još fragmenata istog datagrama.

**IPv6 vs. IPv4** -- IPv6 bolja sigurnost, adrese za miliajrdu računala,
smanjenje usmjerivačkih tablica, bolja podrška servisima, brži rad o
routera, IPv4 -- 13 polja u zaglavlju, IPv6 -- 7 polja kraće zaglavlje,
brža obrada paketa

**CMP (Internet Control Message Protocol)**

Usmjernici "prate" rad na Internetu. Kad dođe do neočekivane situacije
ICMP prijavi događaj. Osnovna namjena ICMP protokola je osiguravanje
nadzora i kontrole prijenosa podataka do odredišta, s obzirom da IP
protokol to ne osigurava. ICMP šalje poruke koje osiguravaju kontolu
toka, prijavu pogreške, pojavu alternativnog puta do odredišta i slično.
Na ovaj način nije osiguran pouzdan prijenos podataka, već to treba
osigurati protokol više razine. Svaka ICMP poruka je je "uokvirena" u IP
datagram.

**ARP (Address Resolution Protocol)**

Iako svako računalo na Internetu ima IP adresu ona se ne može koristiti
za slanje datagrama, jer uređaji na prijenosnom sloju ne razumiju IP
adrese. Računala su priključena na LAN preko sučelja (mrežne kartice)
koja razumiju samo MAC adrese (48-bitna adresa). Mrežne kartice primaju
i šalju datagrame na osnovu 48 bitne LAN adrese i ne poznaju 32 bitnu IP
adresu.

Svako računalo ima pokrenut ARP protokol, čiji je zadatak postavljanje
pitanja i primanje odgovora. Kad računalo želi poslati podatke drugom
računalu kreirat će datagram sa IP adresom računala u adresnom polju
odredišta. Nakon toga potrebno saznati fizičku (MAC) adresu tog
računala. Računalo koje želi slati podatke šalje ARP upit svim
računalima (broadcast) u lokalnoj mreži, a stanica koja prepozna svoju
IP adresu odaziva se ARP odgovorom, kojeg također primaju svi i koji
sadrži fizičku adresu. Na taj način se povezuje IP adresa i fizička
adresa, te omogućava slanje datagrama.

\-\-\--

*Predavanje 7.10.*

**KVALIFICIRANI CERTIFIKAT --** najviša razina sigurnosti, npr. za
prijavu u e-Građani (s tokenom banke i sl.)

**CA -- certifikacijski autoriteti** (u Hrvatskoj to su AKD i Fina, za
osobne je npr. AKD) -- certifikacijski autoriteti imaju servere na
kojima se nalaze javni ključevi kojima možemo kriptirati poruku, a ona
se dekriptira privatnim ključem primatelja koji svoj privatni ključ isto
pronalazi na tim serverima

**CEZIH** -- centralni zdravstveni sustav u RH

**SVOJSTVA INFORMACIJA I PROCESA** -- povjerljivost, integritet
(cjelovitost, potpunost podataka), raspoloživost (podaci uvijek dostupni
ovlaštenim korisnicima), autentičnost (svojstvo koje osigurava da je
identitet subjekta zaista onaj za kojeg se tvrdi da jest), neporecivost
(osigurava nemogućnost poricanja izvršene aktivnosti ili primitka
informacije), dokazivost (osigurava da aktivnosti subjekta mogu biti
praćene jedinstveno do samog subjekta), pouzdanost (svojstvo
dosljednoga, očekivanog ponašanja i rezultata). PIRANDP

**SISTEMSKI INŽENJERI (ili ADMINISTRATORI)** -- imaju uvid kontrolu nad
logovima u sustavu

**ISO 27001** -- International Organization for Standardization --
standard koji govori kako moramo uvesti sustav sigurnosti u našu
organizaciju

ISO 27001 propisuje 114 sigurnosnih kontrola raspoređenih u 14 domena,
poput kontrole pristupa, sigurnosti mreže, sigurnosti aplikacija i
kontinuiranosti poslovanja. Svaka kontrola ima za cilj smanjiti
specifičan sigurnosni rizik.

1. ANALIZA TRENUTNOG STANJA

2. IDENTIFIKACIJA I PROCJENA RIZIKA

3. DEFINIRANJE SIGURNOSNIH KONTROLA

4. RAZRADA I DOKUMENTIRANJE SIGURNOSNIH POLITIKA I PROCEDURA

5. IMPLEMENTACIJA I PROVOĐENJE SIGURNOSNIH KONTROLA

6. EDUKACIJA I OBUKA ZAPOSLENIKA

7. PRAĆENJE, NADZOR I REVIZIJA

8. PRIPREMA ZA CERTIFIKACIJSKU REVIZIJU

9. ODRŽAVANJE I KONTINUIRANO POBOLJŠANJE

**PKI** -- Public Key Infrastrucure -- skup pravila, hardvera i softvera
i procedura potrebnih za stvaranje, kreiranje, upravljanje, korištenje,
distribuciju i pozivanje javnih ključeva; koristi se za osiguranje
integriteta, povjerljivosti i autentičnposti podataka kroz upotrebu
asimetričnog kriptiranja

- primjenjuje se u različitim domenama, uključujući e-poštu, web
sigurnost putem SSL/TLS certifikata, kao i autentifikaciju korisnika

**DDOS** -- Distributed Denial of Service -- napad na sustav, ima jako
veliki broj upita od strane neovlaštenih korisnika, a to najčešće
bootovi (zaražena računala), s različitih strana dolazi ogroman broj
upita na koje računalo pokušava odgovoriti pa ovlašteni korisnici ne
mogu pristupiti sustavu

**CRNA BROJKA** -- broj napada koji se skriva, tj. ne daje u javnost

**SQL Injection** -- upiše se kod u komandnu liniju u browseru, ali
najčešće ne direktno, nego preko nekakvih proxja

**UPS** -- Unlimited power supply, duple linije i sl. su neke od
zaštitnih funkcija

**APACHE** -- najpoznatiji web server - Projekt HTTP poslužitelja Apache
zajednički je razvoj softvera čiji je cilj stvaranje robusne
implementacije izvornog koda HTTP (web) poslužitelja komercijalne
kvalitete, značajke i besplatno dostupne. Projektom zajednički upravlja
skupina volontera diljem svijeta, koji koriste Internet i Web za
komunikaciju, planiranje i razvoj poslužitelja i povezane dokumentacije.

**DIREKTIVE** (smjernice), **UREDBE** -- moraju se implementirati u
cijelosti

**MALICIOZNI SOFTVERI -** softver koji možete instalirati s bilo kojeg
medija, među ostalima i s Interneta. Malware može imati više funkcija,
od prikupljanja osjetljivih informacija, dobivanja pristupa zaraženom
sustavu ili mreži, prekidu ili usporavanju računalnih operacija i
komunikacija, itd. U današnje vrijeme najčešće se koristi u svrh
prikupljanja osjetljivih osobnih, financijskih, korporativnih i ostalih
podataka. Vrste: virus, crv, trojanski konj, spyware, exploit, rootkit,
dialer, URL injector itd

i. ii. iii. iv. v. vi. vii. viii.

**HAKERI** - hakeri su osobe koje svojim neznanjem ili radi znatiželje,
nekada slučajno upadaju u sustave, nemaju namjere naštetiti sustavu.

**KRAKERI** - Iznimno opasne osobe koje svojim znanjem upadaju u sustav
s namjerom da naštete sustavu, ukradu osobne podatke ili imovinske
koristi

**FRIKERI** - odnosno osobe koje raspolažu sa tehničkim znanjima kojima
koriste razne telefonske sustave za neograničeno i besplatno korištenje
njihovih usluga

**CYBER NAPADE** dijelimo na:

- Volja počinitelja -- slučajni i namjerni

- Učinak -- aktivni i pasivni

- Mjesto napada -- unutarnji i vanjski

- Cilj napada -- podatkovni resursi, softverski resursi i hardverski
resursi

**Metode napada:**

Cyber napadi mogu napasti podatkovne resurse, softverske resurse i
hardverske resurse

**Kopanje po smeću dvije vrste:**

- FIZIČKO KOPANJE PO SMEĆU- traženje korisnih informacija iz fizičkog
otpada kao što su odbačeni dokumenti(potraga za povjerljivim
informacijama, lozinkama, brojevima računa), stare elektronske
uređaje (Diskovi, USB-ovi ili hard diskovi koji nisu pravilno
uništeni, a mogu sadržavati povjerljive informacije), Ručni zapisi i
bilješke (šifre, brojevi telefona ili nacrti koji su olako bačeni)

- DIGITALNO KOPANJE PO SMEĆU -- odnosi se na analizu digitalnog otpada
ili ostataka kako bi se dobili korisni podatci, primjeri uključuju:

- METAPODATCI IZ FAJLOVA -- dokumenti ili slike često sadrže
metapodatke kao što su autori, mjesta snimalja ili datumi koji
otkrivaju ključne informacije.

- CACHE MEMORIJE ILI LOGOVI -- Iz digitalnih tragova u privremenim
fajlovima ili zapisnicima na serverima mogu se izvući osjetljivi
podatci.

- NEOBRISANI PODATCI- „Deleted" fajlovi često ostaju na uređaju dok ne
budu prepisani, a napadači koriste alate za njihovo obnavljanje.

- IZVLAČENJE IZ GREŠAKA -- Traženje grešaka u web aplikacijama koje
nenamjerno otkrivaju informacije, poput nezaštićenih API ključeva
ili korisničkih lozinki.

**CAPTCHA** je mehanizam temeljen na „pitanje-odgovor" sistemu
prepoznavanja razlika između bot računala i ljudi. Ovaj mehanizam pomaže
kod zaštite od DOS i DDOS napada jer zadatcima koje zadaje raspoznaje
bot računala kojima odbija pristup sustavu.

**HTTP vs HTTPS** - HTTP, ili Hypertext Transfer Protocol, je jedan od
osnovnih protokola koji omogućuje prijenos informacija na internetu.Da
biste shvatili što je HTTP, zamislite ga kao poštara koji prenosi pakete
informacija s jedne točke na drugu. Svaki put kad posjetite neku web
stranicu, vaš preglednik koristi HTTP za slanje zahtjeva serveru, a
zatim taj server vraća podatke nazad -- slike, tekst, video, i sve što
čini web stranicu. HTTP je nešifrirani protokol, što znači da sve
informacije koje šaljete i primate putem njega putuju "otvoreno.

HTTPS (Hypertext Transfer Protocol Secure) je nadograđena verzija HTTP-a
koja koristi enkripciju kako bi zaštitila podatke u prijenosu između
preglednika i servera. Za razliku od HTTP-a, HTTPS koristi SSL (Secure
Sockets Layer) ili TLS (Transport Layer Security) certifikate koji
osiguravaju da su vaši podaci šifrirani i da ih ne može presresti ili
pročitati netko tko nije ovlašten. SSL i TLS funkcioniraju poput
sigurnosnog paketa koji "umotava" vaše podatke prije nego što oni
napuste vaš preglednik, te ih "odmotava" tek kad stignu do servera.

**XML - Extensible Markup Language**

XML - Extensible Markup Language je označni jezik i format datoteke za
pohranu, prijenos i rekonstrukciju proizvoljnih podataka. Definira skup
pravila za kodiranje dokumenata u format koji je čitljiv i za ljude i za
stroj. Ciljevi dizajna XML-a naglašavaju jednostavnost, općenitost i
upotrebljivost na Internetu. To je format tekstualnih podataka sa
snažnom podrškom putem Unicodea za različite ljudske jezike. Iako je
dizajn XML-a usredotočen na dokumente, jezik se široko koristi za
predstavljanje proizvoljnih struktura podataka poput onih koje se
koriste u web uslugama.

**SUSTAV PROCJENE RIZIKA** -- ovo je s neta, ne njegovo objašnjenje, on
nije nešto detaljno o tome pričao, samo je spomenuo: sastoji se od dva
potprocesa, a to su analiza rizika i vrednovanje rizika. Prvi proces u
metodologiji upravljanja rizikom. Organizacije koriste procjenu rizika
da bi odredile opseg potencijalnih prijetnji i rizika koji prate jedan
informacijski sustav kroz SDLC. Ova aktivnost pomaže da se
identificiraju odgovarajuće kontrole za smanjenje ili eliminaciju rizika
za vrijeme procesa ublažavanja rizika. Metodologija procjene rizika
sastoji se od devet koraka: karakterizacija sustava, identificiranje
prijetnji, identificiranje ranjivosti, analiza kontrola, određivanje
vjerojatnosti, analiza utjecaja, određivanje rizika, preporuka kontrola,
dokumentiranje rezultata

[Klasifikacija rizika]: trivijalni rizik, nizak rizik,
skroman rizik, znatan rizik, velik rizik,

[Koraci u upravljanju rizicima]: utvrđivanje konteksta,
identifikacija rizika, analiza rizika, procjena rizika, tretiranje
rizika, nadzor i kontrola rizika, implementacija sustava upravljanja
rizicima. Pri procesu upravljanja rizicima pravi se REGISTAR RIZIKA koji
je potrebno redovito ažurirati.

[ISO 31000] - pruža okvir i smjernice za učinkovito
upravljanje rizikom unutar organizacija. Cilj norme je pomoći
organizacijama da prepoznaju, ocjenjuju, upravljaju i komuniciraju
rizike, osiguravajući tako ostvarenje ciljeva i optimizaciju resursa.

RSA -- risk assessment tools i RSM -- risk management system

**RMS -- RISK MANAGEMENT SYSTEM**

Upravljanje rizicima ključni je element uspješnog poslovanja, koje
omogućava organizacijama da se suoče s neizvjesnostima i izazovima.

Procjena rizika uključuje usporedbu stupnja rizika s unaprijed
definiranim kriterijima kako bi se odredilo jesu li rizici prihvatljivi
ili ne. Kvalitativna prosjena uspoređuje kvalitativne rizike s
odgovarajućim kriterijima, dok se kvantitativna uspoređuje numeričke
rizike s mjerljivim kriterijima kao što su učestalost, fatalnost ili
novčani iznosi. Rezultat procjene je stvaranje prioritetnog popisa
rizika za danje upravljanje ( registar rizika)

**ZAKONSKE REGULATIVE:**

- GDPR

- Zakon o informacijskoj sigurnosti

- Zakon o tajnosti podataka

- Zakon o sigurnosnim provjeravama

- Zakon o elektroničkoj ispravi

- Zakon o elektroničkom potpisu

- Zakon na pravo pristupa informacijama

- Zakon o sigurnosnim službama RH

Drugo:

- Zakon o elektroničkoj komunikaciji

- Pravilnik o kibernetičkoj sigurnosti kritične infrastrukture

- Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i
davatelja digitalnih usluga (NIS Direktiva)

- Pravilnik o tehničkoj zaštiti

- Agencije i nadzorna tijela: AZOP (Agencija za zaštitu osobnih
podataka), Nacionalni CERT, Središnji državni ured za razvoj
digitalnog društva, MUP

**KRIPTIRANJE I KRIPTOGRAFIJA:**

- **KRIPTIRANJE** -- onemogućavamo neovlaštenim korisnicima čitanje
naših podataka, čitljivi tekst pomoću ključeva pretvara se u
nečitljivi (privatni ključ -- zna ga samo vlasnik, javni -- znaju ga
svi koji s korisnikom trebaju komunicirati). Postoji simetrično
(poruka se kriptira i dekriptira istim ključem) i asimetrično
kriptiranje (poruka se kriptira jednim, a dekriptira drugim
ključem).

- **KRIPTOGRAFIJA** - znanstvena disciplina koja se bavi proučavanjem
metoda za slanje poruka u takvom obliku da ih samo onaj kome su
namijenjene može pročitati.

- SKITAL - Neki elementi kriptografije bili su prisutni već kod starih
Grka. eleSpartanci su u 5. stoljeću prije Krista upotrebljavali
napravu za šifriranje zvanu skital. To je bio drveni štap oko kojeg
se namotavala vrpca od pergamenta, pa se na nju okomito pisala
poruka.

- **CEZAROVA ŠIFRA** -- to je tip šifre zamjene (supstitucije), u kome
se svako slovo otvorenog teksta zamjenjuje odgovarajućim slovom
abecede, pomaknutim za određeni broj mjesta.

- **VIEGENEROVA ŠIFRA** -- metoda šifriranja abecednog teksta
korištenjem serije Cezarovih šifri, zasnovanih na slovima ključa.

- **PLAYFAIROVA ŠIFRA** -- šifra koja se bazira na tome da se parovi

- slova šifriraju korištenjem 5 × 5 matrice.

**DIGITALNI POTPIS** -- samo u slučaju digitalnog potpisa se kriptira
privatnim ključem pošiljatelja, dekriptira se javnim ključem
pošiljatelja; istim kanalom šaljemo dokument i hash; ako možemo
dekriptirati javnim ključem pošiljatelja, dokument je valjan, tj.
pošiljatelj je taj koji šalje dokument, ako pustimo hash funkciju na
dokument i dobijemo isti rezultat, to je autentičan dokument

- digitalni i obični potpis NISU ISTI, ali imaju istu pravnu snagu

**HASH FUNKCIJA** -- određeni dokument pretvaramo u tekst neke fiksne
veličine, jedna od primjera je SHA1 hash. To znači da hash funkicje za
ulaz imaju neku poruku, string ili podatak proizvoljne duljine te kao
izlaz generiraju izlazni string ili podatak koji nazivamo hash code,
hash rezultat, hash vrijednost, sažetak poruke ili jedinstveno rečeno
hash

**ISO 27001 --** postavljanje smjernica za uspostavljanje,
implementaciju, održavanje i neprestano poboljšanje sustava upravljanja
inform. sigurnošću

ISMS -- Information Security Management System -- principi
povjerljivosti, integritet, dostupnost

PCDA -- Plan, Check, Do, Act

**SSL protokol** -- (eng. Secure Sockets Layer) protokol je
standardizirana sigurnosna tehnologija za kreiranje kriptirane veze
između poslužitelja i preglednika. Njome se osigurava zadržavanje
privatnosti i sigurnosti svih podataka koji se razmjenjuju između
sudionika komunikacije. Jedna od najraširenijih primjena SSL standarda
jest zaštita podataka u tzv. online transakcijama (npr. plaćanje putem
Interneta, bankarske transakcije i sl.).

**SLA -- SERVICE LEVEL AGREEMENT -** ugovor između pružatelja usluga i
njegovih korisnika koji dokumentira usluge koje će pružatelj pružati i
definira standarde usluga koje je pružatelj dužan ispuniti. Tipovi:
Customer-level SLA (između pružatelja i vanjskog ili internog kupca,
definiranje usluga i očekivanja), Service-level SLA (pokriva specifične
usluge koje se pružaju većem broju kupaca), Multilevel SLA (uključuje
više razina usluga ili strana, često se koristi u dogovorima s više
pružatelja usluga).

- KPI-jevi (Key Performance Indicator, pokazatelji uspješnosti) su
mjere koje pružatelj koristi za mjerenje izvedbe u odnosu na te
ciljeve i omogućavanje timovima kontinuiranog poboljšanja. KPI-jevi
su osmišljeni kako bi pojednostavili proces evaluacije i dali
timovima točnu predodžbu o tome kako napreduju prema bilo kojem
navedenom cilju.

- Na primjer, ako je organizacija dala određena jamstva oko
kibernetičke sigurnosti svoje ponude, mogla bi pratiti KPI-jeve kao
što su broj sigurnosnih incidenata u određenom vremenskom razdoblju,
pokušaji upada i stope uspješnosti sustava za otkrivanje ili
sprječavanje upada, cijena po incidentu ili sigurnosna ocjena
dobavljača.