Baza podataka

– Organizirana zbirka podataka.

– Zbirka zapisa pohranjenih u računalu na sustavni način, takav da joj se računalni program može obratiti
prilikom odgovaranja na problem/upit.
– Svaki se zapis prepoznaje kao skup podataka.

Zašto baza podataka?

– Lakše upravljanje podacima (Previše individualnih/odvojenih datoteka)
– Različiti pogledi na podatke
– Dijeljenje i ažuriranje podataka
– Povećana sigurnost podataka
– Bolja kvaliteta podataka
– Bolja integracija podataka

Sustav upravljanja bazom podataka

– (Data Base Management System - DBMS) je poslužitelj (server) baze podataka.
– Oblikuje fizički prikaz baze u skladu s traženom logičkom strukturom.
– Obavlja u ime klijenata sve operacije s podacima.
– Brine se za sigurnost podataka i automatizira administrativne poslove s bazom.
– Programska podrška i hardver za rad s bazom podataka.
– Baza podataka je zbirka zapisa, a DBMS upravlja bazom podataka.
– Često se rabi termin baza podataka i za zbirku zapisa i za programsku podršku!

Model podataka
– Skup pravila koja određuju kako sve može izgledati logička struktura baze podataka.
– Model čini osnovu za oblikovanje i implementiranje baze podataka.
– Podaci u bazi moraju biti logički organizirani u skladu s onim modelom kojeg podržava odabrani DBMS.

Zahtjevi prema bazama podataka

– Fizička nezavisnost podataka!

o Razdvaja se logička definicija baze od njezine stvarne fizičke građe (promjena stroja...).
– Logička nezavisnost podataka!
o Razdvaja se logička definicija cijele baze podataka od logičke definicije za jednu aplikaciju (promjene u
pojedinoj aplikaciji ne djeluje na cijelu bazu).

– Fleksibilnost pristupa!
o Korisnik može po svom nahođenju uspostavljati veze među podacima.

– Istovremeni pristup do podataka!

o Veći broj korisnika istovremeno rabe iste podatke.

– Čuvanje integriteta!
o Automatski se čuva korektnost i konzistencija podataka.
– Zahtjevi prema bazama podataka

– Mogućnost oporavka nakon kvara!

– Zaštita od neovlaštene uporabe (ograničenje prava uporabe baze)!
– Zadovoljavajuća brzina pristupa!
– Mogućnost podešavanja i kontrole!

Arhitektura baze podataka

Sastoji se od tri „sloja“ i sučelja među slojevima:
1. Fizička razina
2. Globalna logička razina
3. Lokalna logička razina

Razlike između fizičke i logičke razine?

Fizička razina
- Fizički prikaz i raspored podataka na jedinicama vanjske memorije.
- Raspored pohranjivanja opisuje kako se elementi logičke definicije baze preslikavaju na fizičke uređaje
(kako i gdje će se elementi pohraniti).
Globalna logička razina
- Logička struktura cijele baze.
- Imenuje i definira sve tipove podataka i veza među njima, u skladu s pravilima rabljenog modela.
- Uvode se i i ograničenja kojim se čuva integritet podataka (primjeri?).

Lokalna logička razina

- Logička predodžba o dijelu baze kojeg rabi pojedina aplikacija.
- Imenuju se i definiraju svi lokalni tipovi podataka i veze među njima.

Entitet
– Stvar koja se može zasebno identificirati [P. Chen, 1976]
– Bilo koji objekt koji se može razlikovati i predstaviti u bazi podataka [C.J.Date, 1986]

– Bilo što o čemu pohranjujemo informaciju [J.Martin, 1989]

Atribut
Sinonimi: svojstvo (property), element, polje (field).

– Pojedinačne vrijednosti atributa pohranjuju se u bazu podataka - elementarni podatak (data element,
data item).
– Obilježje, svojstvo entiteta

Podatak koji:
a) identificira
b) kvantificira
c) klasificira
d) izražava kvalitetu ili stanje
Veza (relationship)
– pokazuje odnos između entiteta

Distribuirana baza podataka

– Baza podataka u kojoj su podaci smješteni na barem dva servera.
– Logički jedinstvena baza podataka.
– Fizički distribuirani dijelovi.

Web-bazirana baza podataka

– Pristup putem Interneta
o Web klijenti
o Web server
o Server(i) baze podataka

Prednosti Nedostaci
– Globalni pristup – Potencijalni problemi sa sigurnošću
– Internet protokoli (HTTP, SSL, itd) pružaju – Manje fleksibilno sučelje
jednoobrazni pristup – Smanjena interaktivnost u slučaju sporije veze
– Klijent ne vidi strukturu baze podataka
– Poznato web sučelje
 SIGURNOST INFORMACIJSKIH SUSTAVA
Dobra zaštita zavisi od:
– Prirode rizika
– Štete koja nastaje destrukcijom (cost/benefit analiza)

Temeljna načela sigurnog informacijskog sustava

1. Povjerljivost (da informacije ne budu dostupne ili otkrivene neovlaštenim subjektima)
2. Integritet (da informacije i procesi nisu neovlašteno ili nepredviđeno mijenjani)
3. Raspoloživost (omogućuje pristup i upotrebljivost na zahtjev ovlaštenog subjekta)
4. Neporecivost (osigurava nemogućnost poricanja izvršene aktivnosti ili primitka informacije)
5. Dokazivost (osigurava da aktivnosti subjekta mogu biti praćene jedinstveno do samog subjekta)
6. Autentičnost (osigurava da je identitet subjekta zaista onaj za koji se tvrdi da jest)
7. Pouzdanost (dosljednost, očekivano ponašanje i rezultati)
8. Neporecivost, dokazivost, autentičnost i pouzdanost mogu se promatrati i kao kombinacija prva tri načela
(povjerljivosti, integriteta i raspoloživosti).

Posljedice narušavanja temeljnih načela sigurnosti IS

– Gubitak integriteta
– Gubitak raspoloživosti
– Gubitak povjerljivosti

Gubitak integriteta
– Integritet sustava i podataka odnosi se na potrebu da informacije budu zaštićene od neovlaštenih ili
neispravnih izmjena.
– Neovlaštene ili neispravne izmjene dovode do gubitka integriteta.
– Ako integritet sustava ili podataka nije ponovo uspostavljen, nastavak korištenja takvim sustavom ili
podacima može dovesti do netočnosti, prijevara ili pogrešnih odluka.
– Gubitak integriteta smanjuje povjerenje u informacijski sustav!

Gubitak raspoloživosti
– Neraspoloživost informacijskog sustava potrebnog za obavljanje zadatka može negativno utjecati na ciljeve
tvrtke i kontinuitet poslovanja te onemogućiti odvijanje vitalnih poslovnih procesa.
– Gubitak funkcionalnosti sustava i operativne djelotvornosti (učinkovitosti) može, primjerice, dovesti do
narušavanja reputacije, rezultirati gubitkom produktivnog vremena te onemogućiti krajnjeg korisnika u
izvršavanju radnih zadataka.

Gubitak povjerljivosti
– Neovlašteno, neočekivano ili nenamjerno otkrivanje ili objavljivanje podataka može rezultirati gubitkom
povjerljivosti sustava i podataka.
– Gubitak povjerljivosti može dovesti do teških povreda važećih propisa te utjecati na gubitak povjerenja
javnosti i narušavanje reputacije, a može prouzročiti i pokretanje sudskog postupka.
Resursi IS
Resursi informacijskog sustava:
– opipljiva imovina (primjerice hardver, komunikacijska oprema, građevine),
– informacije/podaci (primjerice dokumenti, podaci u bazama podataka),
– softver,
– sposobnost proizvodnje nekog proizvoda ili pružanja neke usluge (engl. know-how),
– osobe koje održavaju i koriste informacijski sustav,
– neopipljiva imovina (primjerice zaštitni znak, reputacija)…

Treba identificirati i klasificirati resurse prema njihovoj važnosti i vrijednosti, te odrediti i implementirati
potreban stupanj zaštite tih resursa.

Prijetnje
– Resursi su izloženi raznim vrstama prijetnji.
– Prijetnja može prouzročiti neželjenu situaciju čija posljedica može biti nanošenje štete resursima tvrtke.
– Šteta može nastati kao posljedica ostvarenja prijetnje, primjerice neovlaštenog uništavanja, razotkrivanja,
promjene te unošenja promjena koje uzrokuju pogrešno zapisivanje, nedostupnost ili gubitak informacija.

Prijetnje sigurnosti poslovanja

– Neautorizirani pristup
– Uništavanje informacija
– Izmjena ili ubacivanje informacija
– Krađa informacija i njihovo darivanje ili prodavanje
– Ometanje rada
– Nepriznavanje da su informacije ili usluge dobivene
– Neistinita tvrdnja o pružanja usluga
– Potencijalne prijetnje:
– Infiltracija u sustav
– Prekoračenje ovlaštenja
– Istiskivanje
– Prisluškivanje
– Promjena podataka u komunikacijskom kanalu
– Odbijanje servisa
– Poricanje transakcije
Ograničenja
Pri odabiru i provedbi mjera potrebno je uzeti u obzir:
– Organizacijska ograničenja
– Financijska ograničenja
– Ograničenja određenog okruženja
– Ograničenja vezana uz ljudske resurse
– Vremenska ograničenja
– Pravna ograničenja
– Tehnička ograničenja
– Kulturološka i društvena ograničenja

Upravljanje rizikom informacijskog sustava

– Upravljanje rizikom je proces procjene rizika, poduzimanja radnja za smanjenje rizika na prihvatljivu razinu
i održavanja prihvatljive razine rizika.
– Zaštitne mjere se odabiru ovisno o rizicima odnosno o vjerojatnosti pojave neželjenog događaja i o njegovu
učinku na informacijski sustav.

Smanjivanje rizika
– Izbjegavanje rizika uklanjanjem uzroka rizika i/ili posljedica, npr. odričući se određenih funkcija sustava ili
prestankom korištenja sustava kad su rizici otkriveni
– Ograničavanje rizika provođenjem mjera, npr. primjenom preventivnih i detekcijskih kontrola kojima se
smanjuju potencijalni negativni učinci na prihvatljivu razinu
– Prenošenje rizika pomoću drugih načina naknade pretrpljen eštete, npr. ugovaranjem osiguranja

Kategorije zaštite podataka

a) Zakon o tajnosti podataka
b) Zakon o zaštiti osobnih podataka
c) Zakon o zaštiti tajnosti podataka

a) Zakon o tajnosti podataka

Ovaj Zakon se primjenjuje na državna tijela, tijela jedinica lokalne i područne (regionalne) samouprave, pravne
osobe s javnim ovlastima te pravne i fizičke osobe koje, u skladu sa ovim Zakonom, ostvare pristup ili
postupaju s klasificiranim i neklasificiranim podacima.
Klasificirani podatak je onaj koji je nadležno tijelo, u propisanom postupku, takvim označilo i za koji je utvrđen
stupanj tajnosti, kao i podatak kojeg je Republici Hrvatskoj tako označenog predala druga država,
međunarodna organizacija ili institucija s kojom Republika Hrvatska surađuje.
Neklasificirani podatak je podatak bez utvrđenog stupnja tajnosti, koji se koristi u službene svrhe, kao i
podatak koji je Republici Hrvatskoj tako označenog predala druga država, međunarodna organizacija ili
institucija s kojom Republika Hrvatska surađuje.
Stupnjevi tajnosti klasificiranih podataka
1. Vrlo tajno
2. Tajno
3. Povjerljivo
4. Ograničeno
b) Zakon o zaštiti osobnih podataka
Osobni podatak je svaka informacija koja se odnosi na identificiranu fizičku osobu ili fizičku osobu koja se
može identificirati (u daljnjem tekstu: ispitanik); osoba koja se može identificirati je osoba čiji se identitet
može utvrditi izravno ili neizravno, posebno na osnovi identifikacijskog broja ili jednog ili više obilježja
specifičnih za njezin fizički, psihološki, mentalni, gospodarski, kulturni ili socijalni identitet.
Obrada osobnih podataka je svaka radnja ili skup radnji izvršenih na osobnim podacima, bilo automatskim
sredstvima ili ne, kao što je prikupljanje, snimanje, organiziranje, spremanje, prilagodba ili izmjena, povlačenje,
uvid, korištenje, otkrivanje putem prijenosa, objavljivanje ili na drugi način učinjenih dostupnim, svrstavanje ili
kombiniranje, blokiranje, brisanje ili uništavanje, te provedba logičkih, matematičkih i drugih operacija s tim
podacima
Posebne kategorije osobnih podataka su podaci koji se odnose na rasno ili etničko podrijetlo, politička
stajališta, vjerska ili druga uvjerenja, sindikalno članstvo, zdravlje ili spolni život i osobni podaci o kaznenom i
prekršajnom postupku

c) Zakon o tajnosti podataka nije regulirao područje poslovne i profesionalne tajne.

U zapadnim demokracijama tajnost podataka pravnih i fizičkih osoba izvan državnog sustava (privatni sektor)
regulira se internim pravilima, u skladu i oslanjajući se pri tom na pravni sustav države (zaštita intelektualnog i
industrijskog vlasništva, patenti i dr.)
Poslovna tajna – podaci koji su kao poslovna tajna određeni zakonom, drugim propisom ili općim aktom
trgovačkog društva, ustanove ili druge pravne osobe, a koji predstavljaju proizvodnu tajnu, rezultate
istraživačkog ili konstrukcijskog rada te druge podatke zbog čijeg bi priopćavanja neovlaštenoj osobi mogle
nastupiti štetne posljedice za njezine gospodarske interese
Poslovna tajna mora biti regulirana internim aktom organizacije – pravilnikom!
Zaštita poslovne tajne
Ukoliko poslovna tajna nije na odgovarajući način regulirana – ne mogu se sankcionirati osobe koje ju učine
javno dostupnom ili otuđe
Regulacija se mora prilagoditi odredbama već uvelike zastarjelog Zakona o zaštiti tajnosti podataka
Tehnički zaštititi podatke, a pravno ne regulirati poslovnu tajnu – znači ostaviti podatke otvorenima