PLAN INFORMACIJSKE SIGURNOSTI PODUZEA

1. UVOD
Vojni zapovjednici i vladari odavno su uoili vanost zatite informacija o njihovim
vojnim kapacitetima, sposobnostima, broju vojnika i njihovim pokretima. Ukoliko bi takve
informacije pale u ruke neprijatelja, posljedice bi mogle biti katastrofalne. U dananje doba,
vlade, vojska, financijske institucije, bolnice i privatna poduzea prikupljaju velike koliine
povjerljivih informacija o svojim zaposlenicima, komitentima, proizvodima, istraivanjima i
financijskoj poziciji. Veina takvih informacija se pribavlja, obrauje i sprema u raunalnim
sustavima i prenosi mreom do drugih raunala.
U sluaju povrede povjerljivosti takvih informacija moglo bi doi do proputene
dobiti, tubi ili ak bankrota poduzea. Zatita povjerljivih informacija je osnovni zahtjev
poslovnog svijeta dananjice a u mnogim sluajevima i zakonska obveza. Za pojedince zatita
informacija ima znaajan utjecaj na privatnost na koju se razliito gleda u razliitim
kulturama.
Svako poduzee trebalo bi imati funkcionalne makar osnovne elemente podsustava za
zatitu informacijskih sustava koji bi trebao biti implementiran u okviru informacijskog
sustava tvrtke. Jai naglasak treba biti stavljen na organizacijske i proceduralne imbenike
informacijske sigurnosti nego na tehnike imbenike. Razlog ovakvome pristupu je injenica
da se najee podcjenjuju organizacijski i ljudski imbenici sigurnosti nautrb tehnikom
aspektu, to u praksi esto rezultira manjkavostima i neadekvatnim sustavima zatite
informacijskih sustava.
2. PLAN INFORMACIJSKE SIGURNOSTI
U dananje doba nuno je da uprava poduzea prepozna vanost upravljanja
informacijskom sigurnosti kao odluujuim imbenikom odvijanja poslovne aktivnosti. U
tom smislu, nuno je producirati niz dokumenata koji e na jasan nain definirati generalne
kriterije, uloge, rizike, funkcije te odgovornosti za osiguranje sigurnosti informacija i
podataka koji se prikupljaju i obrauju tijekom odvijanja poslovne aktivnosti. Kako bi uprava
poduzea mogla ispuniti ove zadae, moraju se primijeniti razne sigurnosne procedure koje
e zatititi povjerljivost podataka i informacija i na taj nain pridonijeti kontinuitetu odvijanja
poslovne aktivnosti.
Osnovni dokument koji definira kritine imbenike upravljanja informacijskom
sigurnou naziva se Plan informacijske sigurnosti. Taj plan mora biti prilagoen organizaciji
na koju se primjenjuje i stoga moe posjedovati razliite razine kompleksnosti. U okviru njega
se istrauju rizici koji se mogu pojaviti a imaju utjecaj na poslovni sustav te predloiti
odreene akcije koje se mogu poduzeti kako bi se oni minimizirali ili u potpunosti izbjegli.
Plan informacijske sigurnosti razvija se u skladu s internom dokumentacijom organizacije ili
poduzea koja je identificirana kao osnova za pripremu Plana i relevantna je za odvijanje
poslovnih procesa. Temeljno upravljanje informacijskom sigurnou definirano je standardom
ISO 17799.
Koraci koje treba poduzeti kod pripreme Plana informacijske sigurnosti prikazani su
na sljedeem dijagramu.

Dijagram: Koraci pripreme plana informacijske sigurnosti

Izvor: izradio autor

2.1 Privatnost, povjerljivost i sigurnost informacija
Privatnost podataka je sposobnost zaposlenika ili odgovornog za odreeni poslovni
proces da kontrolira uporabu i irenje informacija koje se odnose na njega ili poslovni
poduhvat.
Povjerljivost ini skup alata koji se primjenjuju za zatitu privatnosti. Osjetljivim
informacijama se dodjeljuje status povjerljivosti koji za sobom povlai specifine kontrole,
ukljuujui striktna ogranienja pristupa i otkrivanja podataka. Te kontrole moraju potivati
svi oni koji se koriste takvim informacijama. Sigurnost u biti predstavlja sve mogue
implementirane zatite u klasinim i kompjutorskim informacijskim sustavima. Ona titi i
sistem i informacije sadrane u njemu od neovlatenog pristupa, sluajnog oteenja ili
koritenja na nedozvoljen nain.
Svi ukljueni u koritenje informacija moraju odrati povjerljivost informacija koje su
im povjerene, osim ukoliko je odavanje informacija odobreno od strane relevantnog tijela,
odnosno Uprave, ukoliko je to predloeno od strane identificiranih kljunih korisnika ili ako
to zahtijevaju lokalni zakoni i propisi. Povjerljive informacije ukljuuju sve privatne
informacije koje bi mogle biti od koristi konkurenciji ili tetne po organizaciju koja ih titi.
One takoer ukljuuju informacije koje dobavljai, komitenti, zaposlenici i eventualne tree
strane u poslovnom odnosu povjeravaju organizaciji koja podatke titi. Obaveza zatite
povjerljivih informacija mora se definirati i unutar ugovora o radu koji potpisuje svaki
zaposlenik.
2

2.2 Pravila dobrog ponaanja

Poslovni podaci i komunikacije mogu postati i javni pod ve navedenim uvjetima, stoga u
kolokvijalnoj, ali i pisanoj komunikaciji treba izbjegavati pretjerivanje, poniavajue
primjedbe, pretpostavljanje te neprimjerene karakterizacije ljudi i dogaaja koje bi se mogle
krivo shvatiti. Ovo se jednako odnosi na elektroniku potu, internu dokumentaciju,
memorandume, kao i na formalne izvjetaje i dokumente.
2.3 Need to know princip
Poslovne organizacije, osobito one koje rade sa inovativnim tehnologijama ili su
znanstveno intenzivne, esto koriste osjetljive informacije. Ovaj princip se esto koristi kako
bi se osigurale takve informacije. On je vrlo jednostavan a temelji se na injenici da ak i ako
netko posjeduje sva slubena odobrenja za pristup odreenim informacijama poput pisane
dozvole, pristup takvim informacijama se ne daje osim ako te osobe nemaju potrebu znati ih,
odnosno ako je potrebno da ih znaju za vrenje slubene dunosti, odnosno za izvoenje
odreene faze poslovnog procesa.1 Ova strategija pokuava zapravo odvratiti zaposlenike od
toga da pregledavaju osjetljivi materijal ograniavajui pristup na najmanji mogui broj ljudi.
U praksi, sustav kontrole pristupa operativnim i dokumentacijskim sustavima moe se
koristiti za provoenje ovog principa. Vlasnik odreene informacije ili dokumenta moe
odrediti da li druga osoba treba imati pristup njima. Taj princip u pravilu se primjenjuje
paralelno s obveznim sustavima kontrole pristupa u kojima bi nedostatak slubenog odobrenja
mogao apsolutno zabraniti osobi pristup informacijama. Ovakva ugraena kontrola u sebi
sadri element subjektivnosti.
Kao i kod veine sigurnosnih mehanizama, cilj je oteati neautoriziran pristup
informacijama bez oteavanja legitimnog pristupa. U nekim situacijama poput analize
informacija ili istraivanja, ovaj princip moe se pokazati problematinim jer je teko odrediti
da li odreena osoba treba imati pristup nekoj informaciji sve dok se informaciji ne pristupi i
ne napravi se procjena.
Osnovna zamjerka ovom sustavu je da se moe zlorabiti od strane onih koji ele odbiti
drugima pristup informacijama nastojei da poveaju svoju osobnu mo ili sprijee neeljeni
pristup njihovom radu. Stoga primjena ovog principa mora promovirati duh pozitivne
suradnje a ne samo uvati privatnost podataka.
2.4 Nivoi diskrecije
Ukoliko je potrebno, kljuni korisnici unutar organizacije mogu interno uvesti BellLaPadula2 model viestupnjevane sigurnosti kako bi se formalizirali nivoi diskrecije. Ovaj
jednostavni model je formalni prijelazni model koji opisuje set pristupnih pravila koja se
koriste pri oznaavanju dokumenata i informacija, poevi od najosjetljivijih do najmanje
osjetljivih. Nain na koji se informacije mogu oznaavati moe biti prilagoen organizaciji
koja ga koristi.

1
2

http://www.bcbsil.com/code/code_confident.htm (03.06.2007)
http://en.wikipedia.org/wiki/Bell-La_Padula_security_model (03.06.2007)

Slika: Nivoi povjerljivosti informacija

Izvor: izradio autor

Oznaavanje dokumenata i informacija moe dodatno poboljati nain na koji se
obrauju povjerljivi podaci. Ovakve oznake mogu se koristiti i unutar sustava elektronske
razmjene podataka te sustava elektronske pote.
3. RIZIK
Rizik je koncept koji opisuje potencijalno negativan utjecaj na poslovanje poduzea ili
neku karakteristiku vrijednosti koja moe proizai iz nekog postojeeg procesa ili budueg
dogaaja. U svakodnevnoj uporabi, termin rizik se esto koristi simultano s mogunou
poznatog gubitka. Prema tome, rizik je u direktnoj povezanosti s ljudskim oekivanjima. Kod
profesionalne procjene rizika, on kombinira vjerojatnost nastanka dogaaja te koliki je utjecaj
tog dogaaja na poslovanje poduzea. Vrlo esto u poslovnom kontekstu rizik se moe izraziti
novano, dakle bilo kao direktan dodani troak ili proputena dobit.
Glavni cilj procjene rizika nije samo identificirati sve potencijalne rizike i prijetnje
podacima i sigurnosti informacija nego i stvoriti bazu za konstantno poboljavanje Plana
informacijske sigurnosti s obzirom na najnovije rizike i prijetnje koje proizlaze iz operativnih
potreba i injenice da su informacijski sustavi dinamini te se stalno razvijaju. Po definiciji
takav plan nikada nije posve primijenjen poto se mora stalno dopunjavati.
Identificiranje rizika podrazumijeva predvianje razumnih i predvidivih vanjskih i
unutranjih opasnosti po informacijski sustav i integritet povjerljivih podataka koji bi mogli
rezultirati u sluajnom i neautoriziranom otkrivanju, zlouporabi, promjeni, unitenju ili
drugaijem nainu kompromitiranja takvih informacija.
Sve mogue rizike je izrazito teko identificirati. Poto je rast tehnologije dinamian a
ne statian, stalno se pojavljuju novi rizici koje u trenutku klasifikacije vjerojatno nije niti
mogue obuhvatiti. Zbog pojave novih rizika i tehnologija za njihovo umanjenje,
metodologiju identifikacije i obrade rizika treba stalno iznova provjeravati u periodikim
intervalima kako bi se na vrijeme prepoznali i uklonili novi rizici ili makar smanjio njihov
utjecaj.
Neki najei rizici od kompromitiranja podataka i informacija unutar informacijskog
sustava su sljedei:
4

Pristup povjerljivim informacijama od strane neovlatene osobe

Kompromitiranje sistemske sigurnosti kao rezultat pristupa od strane hakera
Presretanje podataka tijekom transakcije
Gubitak podataka ili povjerljivosti informacija zbog greke korisnika
Fiziki gubitak podataka uslijed katastrofe
Nekompletnost i nedokumentiranost transakcije
Neautorizirani pristup povjerljivim informacijama od strane zaposlenika
Neautorizirani zahtjev telefonom ili emailom za povjerljivim informacijama
(phishing)
Neautorizirani pristup preko papirnih dokumenata i izvjetaja
Neautorizirani transfer povjerljivih informacija preko tree strane

4. KONTROLA I UPRAVLJANJE RIZIKOM

4.1 Prikupljanje informacija
Povjerljive informacije se ne prikupljaju ukoliko to nije nuno potrebno i relevantno za
svrhu za koju se prikupljaju. Ukoliko je mogue, one se moraju prikupljati direktno od izvora
informacija a ne iz drugih izvora. U sluaju da to nije mogue, mora se voditi evidencija o
tome iz kojih izvora je dobijena povjerljiva informacija. Bitno je istaknuti da se takve
informacije ne smiju prikupljati bez izriite dozvole rukovoditelja odgovarajuih odjela unutar
poduzea. U svakom sluaju, minimalan zahtjev po ovom pitanju je da kriterij prikupljanja
informacija potuje operativne potrebe i zakonsku legislativu okoline u kojoj poduzee
posluje.
4.2 Pristup informacijama
Niti jedan zaposlenik, organizacija ili vanjski entitet ne smije dobiti pristup centralnom
informacijskom sustavu koji sadri povjerljive informacije bez izriite dozvole odgovornih
instanci poduzea. Internim dokumentom (odlukom, imenovanjem) potrebno je nominirati
sigurnosne funkcije unutar poduzea. Dozvola pristupa odreuje se prema procjeni
rukovoditelja da odreeni zaposlenik treba dobiti pristup informacijama, no pritom je
potrebno da budu ispunjeni svi uvjeti iz plana zatite podataka ali i da se zatiti privatnost
osoba na koje se odnose ti podaci, odnosno povjerljivost podataka ukoliko su openite
prirode.
Nuno je voditi adekvatne evidencije u pisanom i elektronikom obliku prema vaeim
procedurama u kojima e biti evidentirano tko je, kada i zato dobio pristup odreenim
povjerljivim informacijama. Kopija potpisanih formulara ove vrste mora biti sadrana u
osobnoj arhivi zaposlenika. Ovakve evidencije mogu odravati i kljuni korisnici te osoba
zaduena za informacijsku sigurnost.
4.3 Obrazovanje
Novi zaposlenici obino ne posjeduju specifina znanja potrebna za odravanje i
poboljanje informacijske sigurnosti sustava poduzea. Iz tog razloga osoba zaduena za
informacijsku sigurnost poduzea bi trebala napraviti plan internog obrazovanja kadrova,
odnosno angairati vanjsku tvrtku ukoliko se za to ukae potreba. Informacije o obrazovanju
zaposlenih vezano uz informacijsku sigurnost su osobito vane u sluaju identificiranih
sigurnosnih propusta te kod provoenja unutranje ili vanjske revizije.
5

4.4 uvanje i unitavanje dokumenata

Svi tiskani materijali koji sadre povjerljive informacije moraju biti tieni od
unitenja ili gubitka te moguih katastrofa poput poara, izljeva vode, na nain koji je odreen
od strane odjela za zatitu na radu i vaeih zakonskih propisa. Posebnu panju treba posvetiti
ograniavanju fizikog pristupa takvim informacijama koritenjem sustava prepoznavanja
korisnika, ali i zakljuavanjem osjetljivih materijalnih dokumenata te definiranjem liste onih
koji imaju kljueve te koritenjem principa selektivne distribucije informacija.
uvanje dokumenata i osjetljivih podataka dulje od potrebnog roka koji definiraju
zakonski propisi ili operativne potrebe poduzea predstavlja znaajan sigurnosni rizik. Zbog
prostornog ogranienja, povijesne dokumente mogue je uvati na udaljenim lokacijama ili za
to angairati tvrtke koje pruaju takve usluge, uz periodike provjere da li je doista osigura na
sigurnost podataka. Ukoliko ne postoje posebni zahtjevi, dokumenti koji sadre povjerljive
informacije trebaju se unititi najkasnije tri mjeseca nakon to je istekao traeni rok
zadravanja dokumenata.
Unitavanje dokumenata je odgovornost kljunih korisnika ukljuenih u odgovarajue
procese u poduzeu, odnosno vlasnike tih procesa. Sav tiskani materijal koji sadri povjerljive
informacije treba biti uniten kada je istekao rok zadravanja. Unitavanje se mora izvesti
tako da se sprijei neautorizirani pristup povjerljivim informacijama, npr. rezanjem u
specijaliziranim rezaima papira i magnetoptikih medija. Prije predaje raunalne opreme u
proces recikliranja ili prije doniranja rashodovane raunalne opreme, odnosno prije
redistribucije raunalne opreme od jednog korisnika drugom korisniku, originalni korisnik je
odgovoran za brisanje i snimanje vlastitih sadraja s tvrdog diska raunala.

4.5 Odjelni planovi uvanja privatnosti podataka

Odgovornost je i pravo svakog kljunog korisnika da razvije i primjenjuje vlastiti plan
uvanja povjerljivih informacija i dokumenata. Iako ne postoji propisani format odjelnog
plana, minimalni zahtjev je da je dokument potpisan od strane rukovoditelja odjela, da sadri
datum donoenja, te definira sljedee zahtjeve:
-

naziv ureda, odjela, projekta ili organizacijske jedinice koja manipulira

povjerljivim podacima
imena osoba koje imaju pristup povjerljivim podacima
administrativne kontrole koje su poduzete kako bi se minimizirao broj ljudi koji
imaju pristup povjerljivim informacijama
opis metoda fizike zatite informacija
opis roka trajanja zadravanja povjerljivih informacija
opis naina unitavanja povjerljivih dokumenata
opis sadraja treninga o informacijskoj sigurnosti, uestalosti te nain dostave
povjerljivih informacija

4.6 Zahtjevi prema treim stranama

Zbog specijaliziranih znanja koja su potrebna da bi se dizajnirale, primijenile te
servisirale nove tehnologije, te zbog kratkog roka na raspolaganju za njihovu primjenu,
poduzea vrlo esto ne posjeduju obrazovani kadar koji moe obaviti taj posao sam. Iz tog
razloga poduzea ponekad moraju angairati vanjske specijaliste u odreenim podrujima,
6

odnosno konzultante. Isto tako, vanjske slube ponekad se angairaju da bi pomogli u

unitavanju dokumentacije koja se nalazi u papirnatom obliku, te na magnetnim ili optikim
medijima a koja nastaje tijekom odvijanja poslovne aktivnosti poduzea.
Zbog osiguranja od sluajnog ili namjernog otuenja povjerljivih informacija potrebno
je da pruatelji konzultantskih ili tehnikih usluga predoe certifikate iz kojih je razvidno da
su osposobljeni za manipulaciju povjerljivim dokumentima na odgovarajui nain. Ovisno o
raspoloivosti certifikata, poduzea esto trae provjeru koritenih procedura. Svi ugovori s
pruateljima usluga moraju sadravati klauzulu o privatnosti koja zahtijeva od njih da
primijene adekvatne mjere kako bi se ouvala povjerljivost informacija i kako bi se suzdrali
od sluajnog ili namjernog otkrivanja klasificiranih informacija. Vrlo esto od njih se trai da
budu dodatno osigurani u sluaju da otkriju povjerljive informacije te da doe do pravno
utemeljenih zahtjeva od strane osoba ili poduzea ija je privatnost povrijeena.
4.7 Kontrola pristupa informacijama sadranim unutar informacijskog sustava poduzea
Kontrola pristupa informacijama koje su sadrane unutar informacijskog sustava
poduzea vrlo je kompleksna aktivnost koja moe biti zaseban predmet vrlo opirnog
razmatranja. Ona obuhvaa sve radnje koje se poduzimaju unutar programskog i hardverskog
podsustava kako bi se ograniio pristup povjerljivim informacijama unutar sustava i kako bi
se pristup odgovarajuim kategorijama podataka dozvolio samo odreenim osobama. U ovu
grupu kontrola izmeu ostalog pripadaju sljedee instance:
1. kreiranje kriterija pristupa raunalnoj mrei (ukljuuje kontrolu pristupa osobnih
raunala, mobilnih telefona i prijenosnika korisnika izvan sustava)
2. kreiranje korisnikih grupa
3. kontrola pristupa elektronikoj poti
4. kontrola pristupa Internet servisima
5. kontrola pristupa telefonskom sustavu
6. kontrola daljinskog pristupa
7. kontrola pristupa preko virtualnih privatnih mrea
5. SURADNJA ORGANIZACIJSKIH CJELINA U PROVOENJU PLANA
INFORMACIJSKE SIGURNOSTI
Vano je naglasiti da identificirane strake, taktike i operativne jedinice unutar
poduzea nemaju izoliranu odgovornost po pitanju provoenja plana informacijske sigurnosti
poto su njihove odgovornosti obino meusobno isprepletene, ali je isto i s rizicima. Npr.
jedan odjel moe biti vlasnik podataka koji se odnose na zdravlje zaposlenika, stoga njihova
kvaliteta prelazi operativnu razinu i prelazi na strateku. Odjel kontrole projekata koji
posjeduje povijesni pogled na izvedene projekte u biti radi s podacima koji imaju ne samo
stratreku nego i operativnu kvalitetu. Iz tog razloga, kada se procjenjuje kritinost primjene
zatite informacija, a zbog kompleksnosti poslovnih organizacija, potrebno je ne oslanjati se
iskljuivo na klasifikacije koje se izvode na poetku izrade plana ve je potrebno svako
razmatranje staviti u odgovarajuu perspektivu koja izvire iz stvarnih operativnih potreba.
U okviru ovih aktivnosti unutar poduzea potrebno je jasno identificirati
organizacijske cjeline, odjele i kljuni korisnike koji ravnopravno dijele odgovornost za
sigurnost informacijskog sustava u cjelini. Sve razine u provoenju plana informacijske
sigurnosti moraju u suradnji sa strunjakom za informacijsku sigurnost periodiki testirati i
prilagoavati plan informacijske sigurnosti novonastalim zahtjevima. Iz tog razloga potrebno
je izraivati minimalno godinje izvjetaje o stanju informacijske sigurnosti koji propituju
adekvatnost postojeih kontrola informacijske sigurnosti u skladu s procedurama i
7

preporukama za implementaciju istih. Godinji izvjetaj o stanju informacijske sigurnosti

mora biti odobren od strane odgovarajue instance unutar poduzea a treba sadravati sljedee
elemente:
- dodatke planu informacijske sigurnosti koji proistiu iz tehnolokog i
operativnog razvoja informacijske tehnologije i poslovnih zahtjeva
- procjenu stanja primjene postojeeg plana informacijske sigurnosti
- status primjene postojeeg plana informacijske sigurnosti
- prijedlog mjera za poboljanje informacijske sigurnosti poduzea
- vrijeme potrebno za primjenu mjera poboljanja
- vezane trokove i proraun potreban za primjenu predloenih mjera
6. ZAKLJUAK
Neprekinuta poslovna aktivnost i ispravno funkcioniranje informacijskih sustava je
danas osnovni zahtjev koji se postavlja pred strunjake koji su u poduzeima zadueni za
sigurnost informacijskih sustava. Prijetnje informacijskim sustavima i procesima tako postaju
prijetnje kvaliteti poslovne aktivnosti i efikasnosti. Cilj sigurnosti informacijskih sustava je
postaviti u funkciju mjere koje mogu eliminirati ili barem znaajno smanjiti prijetnju tim
sustavima na prihvatljivi nivo. Sigurnost i menadment rizika su stoga nuno vezani uz
menadment sustava upravljanja kvalitetom.
Sigurnost informacijskih sustava je zatita informacija, informacijskih sustava i usluga
od katastrofalnih dogaaja, greaka i manipulacija tako da se smanji mogunost i utjecaj
sigurnosnih incidenata na im manju mjeru. Sigurnost informacijskih sustava sastoji se od
osiguranja povjerljivosti informacija, integriteta informacija, raspoloivosti informacija i
informacijskih sustava te potovanja zakonskih propisa. U dananje doba gotovo sva
poduzea koriste informacijske sustave kao podrku svojoj svakodnevnoj poslovnoj
aktivnosti. Ukoliko te informacije postanu raspoloive konkurentima, postanu tehniki
oteene tijekom prijenosa, netone ili obrisane, postavlja se pitanje integriteta poslovne
aktivnosti i na kraju, da li se poslovna aktivnost uope moe nastaviti u opsegu i na nain na
koji se obavljala do takvog neeljenog dogaaja. U dananje doba kada su informacijski
sustavi umreeni, rizik pojave neeljenih dogaanja se viestruko multiplicira.
Zbog svega navedenog, u poduzeu mora postojati procjena rizika te mjera koje e
provesti kako bi se definirale procedure postupanja s osjetljivim podacima i tehnoloke mjere
kojima e se oni osigurati. Informacije se daju na koritenje svim zaposlenicima u vidu plana
informacijske sigurnosti koji priprema strunjak za informacijsku sigurnost a koji je izmeu
ostalog preduvjet za primjenu sustava upravljanja kvalitetom. Plan upravljanja
informacijskom sigurnou sadri i kljune korisnike unutar poduzea koji dijele odgovornost
za upravljanje sigurnou informacijskih sustava ali i godinje izvjetaje o stanju
informacijske sigurnosti koji slue kao podloga za stalno poboljavanje plana i stanja
sigurnosti informacijskih sustava unutar poduzea.
7. LITERATURA
1. Operative Information Protection Plan, Saa Aksentijevi, Saipem Mediteran Usluge
d.o.o interna dokumentacija, Rijeka, 15.08.2006.
2. http://en.wikipedia.org/wiki/E-business (02.06.2007.)
3. http://www.bcbsil.com/code/code_confident.htm (03.06.2007)
4. http://en.wikipedia.org/wiki/Bell-La_Padula_security_model (03.06.2007)
5. http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci508347,00.html (31.05.2007.)
6. http://fas.org/irp/program/process/echelon.htm (25.05.2007.)
8

7. http://www.microsoft.com/protect/yourself/phishing/identify.mspx (03.06.2007.)
8. http://www.cs.berkeley.edu/~bh/hacker.html (30.05.2007.)
9. http://www.secretcodebreaker.com/history2.html (03.06.2007.)
10. Saipem Spa, Milano, Italija, interna dokumentacija