You are on page 1of 17

Fakultet prometnih znanosti

Sveuilite u Zagrebu

2009/10

INTELIGENTNI TRANSPORTNI SUSTAVI II


(ITS II)
SIGURNOST ITS-a

Kolegij: Inteligentni transportni sustavi II

Sadraj

1. UVOD
2. NAELA SIGURNOSTI
3. USTROJ SIGURNOSNOG SUSTAVA
4. UPRAVLJANJE RIZICIMA

2008.

1. UVOD
Temeljni uvjeti za dobra sigurnosna naela:
1. Jednostavnost,
2. Nedvosmislenost
3. Opa razumljivost
Temeljna naela:

2008.

Opa naela sigurnosti

Izvedena naela sigurnosti

2. NAELA SIGURNOSTI
Opa naela sigurnosti informacija :

1. Informacija ima izraunljivu vrijednost


2. Informacijski prostor je kompleksan
3. Zatita informacija
4. Duna panja vodstva tvrtke ili dravne uprave
5. Vlasnitvo nad informacijama
6. Informacijski rizik
7. Utvrivanje rizika
8. Osobna odgovornost pojedinaca
9. Naelo otvorenosti
10. Potreba za specijalistikim znanjima
2008.

2. NAELA SIGURNOSTI, nastavak


Izvedena naela sigurnosti informacija

1. Minimum kontrole (protumjere)


2. Raspodjela zadataka i ovlatenja
3. Klasifikacija informacija

2008.

2. NAELA SIGURNOSTI, nastavak

Aspekti sigurnosti ITS-a:


1. Sigurnosna politika
2. Organizacija sigurnosnog sustava
3. Klasifikacija i kontrola nad informacijama
4. Sigurnost osoblja
5. Fizika sigurnost i sigurnost okoline
6. Sigurnost osnovnog hardware-a i mree
7. Kontrola pristupa informacijskom sustavu
8. Sigurnost pri razvoju i odraavanju
9. Planiranje rada
10. Suglasje sa Zakonom i normama

2008.

3. USTROJ SIGURNOSNOG SUSTAVA

Revizija
Zatita integriteta
Autorizacija
Identifikacija i
autentifikacija
Fiziko osiguranje
Sigurnosna politika
2008.

3. USTROJ SIGURNOSNOG SUSTAVA, nastavak


Naela sigurnosne politike:
Tko moe i treba imati dozvolu za koritenje resursa?
Tko dodjeljuje ovlatenja za koritene resursa?
Tko moe i treba imati privilegije administratora sustava?
Koja su prava i obveze administratora sustava?
Koji su doputeni naini koritenja resursa?
Koja su prava i odgovornosti korisnika sustava?
Tko ima pravo prenoenja ovlatenja?
Kako se postupa s osjetljivim informacijama?

2008.

3. USTROJ SIGURNOSNOG SUSTAVA, nastavak


Naruavanje sigurnosne politike:

Nemar
Sluajne pogreke
Neinformiranost o vaeoj politici sigurnosti
Nerazumijevanje vaee politike sigurnosti
Namjerno poduzete tetne aktivnosti

2008.

4. UPRAVLJANJE RIZICIMA
Upravljanje rizicima

Naela upravljanja sigurnosnim informacijskim rizicima :


Primjena sustavne metodologije identifikacije svih sigurnosnih informacijskih rizika
Uspostavljene procedure vrednovanja vjerojatnosti pojave tetnih dogaaja i ozbiljnosti
(impact) posljedice
Definiranje strategije i taktike kontrole nad rizicima
Metodologija izbora odgovarajuih protumjera
Vrste rizika s obzirom na izvor :
Unutarnji (interni) rizici
Vanjski (eksterni) rizici

2008.

10

4. UPRAVLJANJE RIZICIMA, nastavak


Unutarnji (interni) rizici

2008.

Uzrok

Manifestacije

Poslovodstvo

Nedostupnost resursa,
neodgovarajue planiranje i kontrola

Zaposlenici

Pogreke, kraa, utaja, sabotae,


korupcija, neadekvatno koritenje
ovlatenja

ITS tehniki sustav

Kvarovi osnovnog hardvera,


pogreke u softveru, kvarovi
pomone opreme
11

4. UPRAVLJANJE RIZICIMA, nastavak


Vanjski (eksterni) rizici

2008.

Uzrok

Manifestacija

Prirodne nepogode, via sila

Potres, poplava, poar i dr.

Isporuitelji opreme

Nekvalitetna oprema ili inkompatibilna,


loe odravanje

Isporuitelji softvera

Nedjelotvoran softver, loe odravanje,


odavanje poslovne tajne

Dobavljai usluga

Nestanak napajanja, prekid komunikacija

Konkurencija

Sabotae, pijunae

Kreditori, investitori

Nelikvidnost, insolventnost

Sindikat

trajkovi, opstrukcije

Dravna uprava

Nepovoljna pravna zatita, loa fiskalna i


monetarna politika

Borci za zatitu okolia

Prosvjedi, opstrukcije, negativni publicitet

Teroristi

Unitenje i oteenje imovine

Kriminalci

Kraa i pljaka opreme i informacija

Hakeri

Raunalni virusi i dr.

Ranije zaposleni

Unajmljeni od vanjskih igraa

12

4. UPRAVLJANJE RIZICIMA, nastavak


Metodologija upravljanja rizicima
1. Identifikacija rizika
2. Ispitivanje vjerojatnosti pojavljivanja i kvantifikacije rizika
3. Utvrivanje prioriteta rizika
4. Identifikacija protumjera
5. Utvrivanje odnosa trokova i koristi od primjena protumjera
6. Izbor najdjelotvornijih protumjera
7. Implementacija izabranih protumjera
8. Definiranje mjera otklanjanja moguih teta
9. Nadzor, revizija i modifikacija plana postupaka

2008.

13

4. UPRAVLJANJE RIZICIMA, nastavak

Vjerojatnost* Posljedice
Rizik =
Protumjere

2008.

14

4. UPRAVLJANJE RIZICIMA, nastavak


Rizik

Racionalni izbor:

R
(
= 1) ( R0, T 0)
T
R0

T0
2008.

Trokovi protumjera
15

4. UPRAVLJANJE RIZICIMA, nastavak

Ako vi aktivno ne napadnete rizike, oni e aktivno napasti vas.


(Tom Gilb)

2008.

16

Pitanja i komentari

???

2008.

17