1. Šta je informaciona sigurnost?

Informaciona sigurnost bavi se zaštitom tajnosti, privatnosti, cjelovitosti i dostupnosti

informacija u cjelini kako bi služila potrebama odgovarajućeg korisnika informacija.
2. ISO standardi?
Međunarodna organizacija za standardizaciju - ISO (International Organisation for
Standardization) predstavlja mrežu nacionalnih instituta u 162 zemlje i ujedno je najveća
svjetska institucija za razvoj standarda.
ISO 27001 je međunarodni standard objavljen od strane Međunarodne Organizacije za
Standardizacije (ISO) i opisuje kako upravljati informacijskom sigurnošću. Najnovija verzija
ovog standarda je objavljena 2013. godine. ISO 27001 može biti implementiran u bilo kojoj
organizaciji, profitnoj ili neprofitnoj, privatnoj ili državnoj, maloj ili velikoj. Napisali su ga
najbolji svjetski stručnjaci na polju informacijske sigurnosti i propisuje metodologiju za
primjenu upravljanja informacijskom sigurnošću u organizaciji. Također, omogućava
tvrtkama dobivanje certifikata, što znači da neovisno certifikacijsko tijelo daje potvrdu da je
organizacija implementirala informacijsku sigurnost skladno ISO 27001. Ovaj standard svojim
zahtjevima definiše 4 glavna područja sistema zaštite informacija:
 Sistem menadžmenta sigurnosti informacija (ISMS)
 Odgovornost rukovodstva
 Ocjena rukovodstva
 Unaprjeđenje ISMS-a

ISO 27001 je sveobuhvatan, te sigurnost informacija tretira sa tri aspekta: Informatičkog,

administrativnog i fizičkog.

3. Cyber kriminal?

Sajber kriminal predstavlja oblik kriminalnog ponašanja, kod koga se korišćenje kompjuterske
tehnologije i informacionih sistema ispoljava kao način izvršenja krivičnog dela,gdje se kompjuter ili
računarska mreža upotrebljavaju kao sredstvo ili cilj izvršenja. Kompjuteri i kompjuterska tehnologija
se mogu zloupotrebljavati na razne načine, a sam kriminalitet koji se realizuje pomoću kompjutera
može imati oblik bilo kog od tradicionalnih vidova kriminaliteta, kao što su krađe,
utaje,pronevjere,dok se podaci koji se neovlašteno pribavljaju zloupotrebom informacionih sistema
mogu na razne načine koristiti za sticanje protivpravne koristi.

4. Cyber rat?

Cyber-ratovanje (ratovanje u kibernetskom prostoru) je pojam koji označava upotrebu računala,

interneta i drugih sredstava za pohranu ili širenje informacija za provođenje napada na
neprijateljske informacijske sustave pomoću sredstava informatičke tehnologije. Takav vojni
sukob u virtualnom prostoru odvija se sredstvima koja su uglavnom iz područja informacijskih
tehnologija. Bojišnice cyber-rata su npr. komunikacijski i informacijski sistemi. Napadači mogu
primjerice uz relativno malen napor oštetiti infrastrukturu ili gospodarstvo neprijateljske države
ako se u velikoj mjeri temelji na računarskim sistemima.

Cyber-ratovanjem napadač može slijediti razne strateške ciljeve:

  distribuciju propagande ili uzrokovati paniku među civilnim stanovništvom.
 trajno oštetiti ključne elemente tehnološke infrastrukture (elektrane, komunikacijske
sisteme, itd).
 napadi mogu biti sredstvo za prikupljanje tajnih informacija...

5. Cyber terorizam?
Sajber terorizam, u širem smislu, predstavlja napade i pretnje usmerene protiv računara,
računarskih mreža i informatičke opreme za skladištenje podataka sa svrhom zastrašivanja i
uticanja na vladajuće strukture i javnost u političkom i socijalnom životu. Ovi napadi su
uglavnom usmereni na personalne računare, a obavljaju se uglavnom pomoću virusa.
Kako još nije potpuno razjašnjeno šta je tačno sajber terorizam često dolazi do nesporazuma
u tumačenju. Pod pojmom sajber terorizam često se pogrešno podrazumevaju slučaji
računarske ili internet zloupotrebe, kao što su hakerske aktivnosti, širenje virusa i čitav
spektar računarskih on-line incidenata koji nose tek marginalne štete ili teškoće.
Neke od najpopularnijih definicija:
 „Sajber terorizam predstavlja sa predumišljajem, politički motivisane napade od
strane nacionalnih grupa ili tajnih agenata, ili pojedinaca protiv informacionih i
računarskih sistema, računarskih programa i podataka koji dovode do nasilja nad
civilnim metama.“
 Zvanična definicija sajber terorizma koju daju eksperti iz Centra za zaštitu nacionalne
infrastrukture Sjedinjenih Američkih Država, definiše sajber terorizam kao „kriminalni
akt izvršen kroz računare rezultujući u nasilju, smrti i/ili destrukciji, stvarajući teror
radi ubeđivanja vlade da promeni svoju politiku“.

6. Zašto je važna (potrebna) informacijska sigurnost?

ISMS (Information security management system) je potreban zato što su današnje prijetnje
sve veće i opasnije po razne organizacije koje imaju povjerljive informacije. Sve organizacije
posjeduju informacije koje su jako osjetljive. APT (Advanced persistent threat) je opisan kao
cyber aktivnost vještih kriminalaca na državnom nivou s ciljem da ukradu povjerljive
informacije velikih korporacija ili čak stranih vlada. Svaka korporacija koja ima pristup
internetu će biti skenirana i potencijalna meta cyber napada. Postojanje današnjih
organizacija najviše zavisi od korištenja informacionih i komunikacijskih tehnologija, ali
vlasnici tih korporacija još uvijek ne shvaćaju koliko su važne njihove informacije za
konkurente, ali i za cyber kriminalce i koliko zapravo te informacije nisu zaštićene. Visoko
profilirani cyber napadi i nepotpunom zaštitom podataka dovode do štete brendu i
korporaciji kako u javnom svijetu, tako i u privatnom. Informaciona sigurnost nekima znači
jedno, a nekima skroz nešto drugo.

7. Menadžer sigurnosti informacija?

Iako dobra praksa očekuje od jednog menadžera da bude odgovoran za koordinaciju svih
aktivnosti vezanih za sigurnost, ovo nije specifičan zahtjev ISO27001. Praktično iskustvo
pokazuje da će jedna osoba zaista morati da se bavi s upravljanjem ISMS projektom, i ova
osoba bi trebala biti odgovarajuće kvalificirana. On ili ona bi mogli biti imenovani pre nego
što bude postavljen forum, i njegov ili njen podnesak mogao bi uključen u formiranje foruma.
Menadžer sigurnosti informacija ne mora da bude ista osoba koja je imenovana za stručnjaka
 za informacionu sigurnost organizacije. Izabrana osoba za menadžersku ulogu morat će biti
efikasan menadžer s dobro razvijenim vještinama komunikacije i upravljanja projektima.
Ovom menadžeru treba određeni broj definiranih i ključnih aktivnosti. U zavisnosti od kulture
i strukture organizacije, ovo bi moglo uključiti:
• Uspostavljanje foruma za upravljanje informacijama
• Razvijanje foruma, sigurnosne politike, njenih ciljeva i strategija.
• Definirati, uz forum, obim ISMS-a, uzimajući u obzir unutrašnja i vanjska pitanja i
zahtjeve zainteresiranih strana.
• Brifiranje foruma o aktualnim prijetnjama, ranjivosti i poduzetim koracima protiv
njih.
• Rad s kontrolorima rizika za obavljanje inicijalne sigurnosti informacija procjene
rizika.
• Osigurati da kontrolori rizika identificiraju promijenjene rizike i poduzmu
odgovarajuće akcije.
• Snimanje i rukovanje sigurnosnim incidentima, uključujući njihovo uspostavljanje
uzroke i određivanje odgovarajućih korektivnih i / ili preventivnih aktivnosti.
• Izvještavanje na forumu o napretku u implementaciji ISMS-a, o incidentima,
pitanjima, pitanjima sigurnosti i trenutnim prijetnjama
• Praćenje poštovanja standarda i izvještavanje menadžmenta o efikasnosti ISMS-a.
• Stalno usavršavanje aktivnosti preko cijelog ISMS-a itd.

8. Kriptografija?
Kriptografija je nauka koja se bavi metodima očuvanja tajnosti informacija. Kada se lične,
finansijske, vojne ili informacije državne bezbednosti prenose sa mesta na mesto, one
postaju ranjive na prisluškivačke taktike. Ovakvi problemi se mogu izbjeći kriptovanjem
(šifrovanjem) informacija koje ih čini nedostupnim neželjenoj strani. Šifra i digitalni potpis su
kriptografske tehnike koje se koriste da bi se implementirali bezbjednosni servisi. Osnovni
element koji se koristi naziva se šifarski sistem ili algoritam šifrovanja. Svaki šifarski sistem
obuhvata par transformacija podataka, koje se nazivaju šifrovanje i dešifrovanje. Šifrovanje je
procedura koja transformiše originalnu informaciju (otvoreni tekst) u šifrovane podatke
(šifrat). Obrnut proces, dešifrovanje, rekonstruiše otvoreni tekst na osnovu šifrata.
Kriptografija mora da obezbjedi sledeće:

 Integritet ili vjerodostojnost informacija koje se šifruju

 Tajnost (engl. Confidentiality) informacija osigurava da je sadržaj informacije
dostupan samo ovlašćenim osobama odnosno samo onim koji posjeduju ključ.
 Provjera identiteta (engl. Autentification) korisnici koji počinju komunikaciju se
trebaju prvo predstaviti jedan drugome pa tek onda počinju sa razmjenom
informacija.
 Nemogućnost izbjegavanja odgovornosti je vrlo važna stavka, pogotovo u novije
vreme kada se veliki deo novčanih transakcija obavlja putem interneta.

ISO27002 kaže, u 10.1.1, da organizacija treba da razvija i prati politiku o upotrebi

kriptografskih kontrola radi zaštite informacija. Svaka odluka o tome da li je odgovarajuće
kriptografsko rješenje odgovaraju ili ne, treba da bude dio šireg procesa procjene rizika i
 izbora kontrola. Procjena rizika treba da odredi neophodni nivo zaštite koji treba dati
informacijama. Ova procjena rizika bi trebala riješiti i pitanja poput neovlaštene
cirkulacije ključeva za šifriranje; možda bi bilo prikladno da organizacija zadrži kopije svih
ključeva za šifriranje zaposlenih zbog opasnosti od njihovog gubitka ili nezadovoljnog
zaposlenog. Ako procjena rizika ukazuje na to da su kriptografske kontrole prikladne,
organizacija mora razviti izjavu o politici unutar svog ISMS-a koja određuje kako
namjerava riješiti ovo pitanje. Osnovni principi koje organizacija treba primijeniti, trebaju
biti implementirani u cijeloj organizaciji.

9. Malware software? (Zloćudni softver)

Zlonamjerni softver, zloćudni softver, štetni softver ili na engleskom malware je pojam koji
označava softver koji radi štetu korisniku (pojam je nastao od riječi malicious i software što u
doslovnom prijevodu znači "zloćudni" ili "zlonamjerni" softver). Radi se o računalnim
programima koji se pokreću na računalnom sustavu bez stvarnog korisnikovog pristanka i
imaju neku vrstu nepoželjnog učinka, kao što je oštećenje programa i podataka koji se nalaze
na sustavu, širenje na druga računala, krađa podataka (osobito povjerljivih podataka kao što
su lozinke i brojevi kreditnih kartica), omogućavanje neovlaštenog udaljenog pristupa na
računalo, prikazivanje reklamnih poruka, masovno slanje neželjene elektroničke pošte
(spama), sudjelovanje u napadima na druga računala putem mreže, i drugo.
Prema načinu širenja zloćudni programi mogu se podijeliti u više skupina: računalni virusi,
crvi, trojanski konji. Prema načinu djelovanja i cilju zloćudne programe dijelimo na špijunske
programe, oglašivačke programe, fork bombe, ucjenjivački softver (softver koji traži
otkupninu) itd.
Virus je štetni program koji se širi tako što inficira datoteke i programe. On ih zapravo
modificiraju (izmjenjuju) dodavanjem vlastite kopije, koja također može biti modificirana.
Trojanski konj je štetni program koji se predstavlja kao neki posve drugi program koji radi
nešto korisno ili zanimljivo (npr. računalna igra). Za razliku od virusa ne može se sam
replicirati (osim ako ga korisnik ne prekopira npr. na drugo računalo). Može izvoditi razne
aktivnosti poput krađe korisničkih lozinki, brojeva kreditne kartice i drugih osjetljivih
informacija koje potom šalje nekoj drugoj osobi ili može nepotrebno zauzimati resurse
računala usporavajući ga na taj način.
Računalni crv je štetni program koji se širi mrežom. Crvi mogu biti mrežni, a mogu biti
bazirani na računalu domaćinu

Špijunski softver (engl. spyware) je široka kategorija štetnog softvera s namjenom da presreće ili
preuzima djelomično kontrolu rada na računalu bez znanja ili dozvole korisnika. Dok sam naziv
sugerira da je riječ o programima koji nadgledaju rad korisnika, ovaj naziv danas označava široku
paletu programa koji iskorištavaju korisničko računalo za stjecanje koristi za neku treću osobu.

10. Alati za sigurnosno upravljanje komunikacija, instant poruka, mailova, pretraživanja na

društvenim mrežama?
11. Objasniti značaj informacione sigurnosti u obrazovanju i radnom okruženu?