Bezbednost i zaštita informacionih sistema

Sadržaj
Opasnosti po IS prema uzroku nastanka Pretnje bezbednosti informacije u automatizovanim sistemima Neovlašćen pristup informaciji Štetni programi Obezbeđivanje pouzdanosti informacije u automatizovanim sistemima sistemima Komponente integralne zaštite IS Mere bezbednosti pri nabavci, instalaciji, korišćenju i održavanju hardvera Mere bezbednosti u fazi eksploatacije IS Glavni zadaci strategije zaštite Kontrola

Efikasnost bilo kog informacionog sistema se u značajnoj meri odeređuje stanjem zaštićenosti (bezbednosti) informacije koja se u njemu obrađuje. Bezbednost informacije je stanje zaštićenosti informacije prilikom njenog primanja, obrade, čuvanja, prenosa i korišćenja od različitih oblika pretnji.

Pretnje bezbednosti informacije u automatizovanim sistemima

Opasnosti po IS prema uzroku nastanka

Pretnje bezbednosti informacije u automatizovanim sistemima

Prirodne opasnosti (elementarne nepogode, prirodna zračenja) Čovek sa aspekta nenamernosti (loša organizacija, nedisciplina, nemar, nehat, zamor i dr.). Čovek sa atributom namernosti (diverzija, sabotaža, zlonamernost, kriminal, špijunaža)
Izvori koji mogu predstavljati pretnju informaciji su: su: ljudi, aparati i aparati programska sredstva koja se koriste prilikom razrade i eksploatacije automatizovanih sistema (SAU) i faktori spoljašnje (SAU) sredine. Mnoge pretnje bezbednosti inforamcije, koje stvaraju navedeni izvori, mogu se podeliti u dve klase:
nenamerne i namerne.

Pretnje bezbednosti informacije u automatizovanim sistemima

Osnovni vidovi nenamernih pretnji su: su:

Nenamerne pretnje

Elementarne nepogode Prekidi u radu i zastoji tehničkih sredstava Greške u razradi SAU Greške u kompleksima algoritmova i programa Greške korisnika i osoblja koje radi na sistemu U skladu sa njihovom fizičkom suštinom i mehanizmima realizacije, pretnje te klase se mogu podeliti u pet grupa: špijunaža i diverzije; neovlašćen pristup informaciji snimanje eletromagnetnog zračenja i usmeravanja; neovlašćena modifikacija struktura; štetni programi.

Namerne pretnje

Namerne pretnje

Pod pravilima razgraničavanja pristupa se podrazumeva skup uredbi koje propisuju prava pristupa za lica ili procese (subjekte pristupa) pojedinačnim informacijama (objektima pristupa). kompjuterski virusi. uz korišćenje sredstava računarske tehnike ili automatizovanih sistema te ustanove. Prisluškivanje može biti neposredno i pomoću tehničkih sredstava. U takve metode spadaju: prisluškivanje. posmatranja Neovlašćen pristup (NP) je pristup informaciji koji narušava postavljena pravila razgraničavanja pristupa. Prisluškivanje – je jedan od najstarijih metoda dobijanja informacije. koji su stalno prisutni u računaru ili računarskim bombe“ sistemima i koji se izvršavaju samo pri poštovanju određenih uslova. Kod neposrednog prisluškivanja koristi se samo slušni organ čoveka. krađa dokumenata i mašinskih nosioca informacije. programski i aparatski „ubačeni uređaji“se koriste ili za neposredan štetan uticaj na AS. Štetni programi Štetni Štetni programi . Neovlašćena izmena strukture AS u fazama razrade i modernizacije je dobila naziv „ubačeni uređaj“. Algoritamski. prikupljanje i analiza otpada mašinskih nosioca informacije. U zavisnosti od mehanizma delovanja štetne programe delimo na četiri klase: logičke bombe. eksplozije. crvi. podmetanje požara. prostora i dr. Prilikom posmatranja se uglavnom pokušavaju pribaviti vizuelne osobine objekata. krađa programa i atributa sistema zaštite. imaju sposobnost da se premeštaju po sistemu i da sami proizvode kopije. Štetni uticaji „ubačenih uređaja“ na SAU se ostvaruju prilikom dobijanja odgovarajuće komande spolja (uglavnom je to karakteristično za aparatske „ubačene uređaje“) i prilikom početka određenih događaja u sistemu.). predmeta. „Crvi“ su nazivi za programe koji se izvršavaju svaki put kod ulaženja u sistem. ili za omogućavanje nekonstrolisanog ulaza u sistem. Posmatranje pretpostavlja dobijanje i analizu prikazivanja objekta (dokumenta. čoveka. Namerne pretnje Neovlašćen pristup informaciji Neovlašćena modifikacija struktura Štetni programi „Logičke bombe“ su programi ili njihovi delovi. „Trojanski konji“ su programi. Jedan od osnovnih oblika pretnji bezbednosti informacije u AS su posebni programi. posmatranje. kao i za krađu i uništavanje informacionih resursa. koji su dobili zajednički naziv „programi štetočine“. potkupljivanje i ucena saradnika. dobijeni preko javne promene ili dodavanja komandi u korisničke programe. trojanski konji.Metodi i sredstva špijunaže i deverzije se najčešće koriste za dobijanje podataka o sistemu zaštite sa ciljem pronicanja u AS.

njihove logičnosti. korišćenju i održavanju hardvera korišć Nabavka kvalitetnog hardvera od kvalitetnih dobavljača Evidencija računarske opreme Instalacija hardvera od strane kompetentnih lica Korišćenje urenaja za neprekidno napajanje . pozajmljivanje i iznošenje računarske opreme Održavanje hardvera poveriti stručnoj organizaciji Bezbednost i zaštita informacionih sistema Mere bezbednosti pri nabavci. Zakonitost. Zaštita od dejstva eksplozivnih. Mere bezbednosti pri nabavci. pragmatičnom (povezan sa izučavanjem pitanja vrednosti informacije prilikom donošenja upravljačkih rešenja. zaključavanje prostorija. Proaktivnost. preventivnih i zaštitnih mera. Istraživanje problema OPI (Obezbeđivanje pouzdanosti informacije) u AS (Automatizovanim sistemima) informacije) (Automatizovanim sistemima) se ostvaruje na tri nivoa: sintaksičkom (povezan sa kontrolom i zaštitom elementarnih činilaca IB – znakova ili simbola). Program zaštite mora bii usaglašen sa ciljevima organizacije. Mora da uključi ovlašćenja. Bezbednost i zaštita informacionih sistema Komponente integralne zaštite IS Bezbednost i zaštita informacionih sistema Zaštita od neovlašćenog pristupa. plombiranje računara i ostale opreme. Korišćenje inovativnih. Sveobuhvatnost.„Kompjuterski virusi“ su mali programi koji se posle ulaska u računar samostalno šire pravljenjem virusi“ svojih kopija. jonizirajućih i drugih opasnih materija. Kontinuitet.UPS Korišćenje hardvera uz: mere tehničke zaštite. njene dostupnosti i pravovremenosti. instalaciji. Zaštita od oticanja podataka i informacija. uticaja grešaka na kvalitet i efikasnost funkcionaisanja AS). Zaštita od požara. a kad se steknu određeni uslovi vrše negativan uticaj na AS. Izbegavati premeštanje. Kontinuitet. korišćenju i održavanju softvera korišć Nabavka licencnog softvera Stručna instalacija samo službeno potrebnog softvera Korišćenje softvera bez eskperimenata uz kopiju na rezervnom medijumu bez razmene softvera sa drugim korisnicima Održavanje softvera od strane stručnog lica Bezbednost i zaštita informacionih sistema Bezbednost i zaštita informacionih sistema . semantičkom (povezan sa obezbeđenjem pouzdanosti smisaonog značenja IB. Program mora biti stalno aktivan. Problem obezbeđivanja (povećanja) pouzdanosti informacije OPI (Obezbeđivanje pouzdanosti (Obezbeđivanje informacije) prilikom njene obrade u AS (Automatizovanim sistemima) uglavnom čini kontrola informacije) (Automatizovanim sistemima) pravilnosti informacionih blokova (IB). obaveze i odgovornosti. Svi u organzaciji moraju biti uključeni. Validacija Program mora da bude garantovano pouzdan. pronalaženje grešaka i njihovo ispravljanje na raznim etapama obrade informacije. Zaštita od havarija i sl. neprotivrečnosti i usaglašenosti). Obezbeđivanje pouzdanosti informacije u automatizovanim sistemima Obezbeđivanje pouzdanosti informacije u automatizovanim sistemima Karakteristike TQM (Total Quality Management) pristupa u zaštiti informacionih resursa Usaglašenost. instalaciji.

Mere bezbednosti u fazi eksploatacije IS Definisati procedure rada i vršiti kontrolu njihovog poštovanja Vršiti kontorlu ovlašćenja izmena u aplikacijama Definisati postupke u slučaju vanrednih situacija Koristiti računar samo za izvršavanje službenih zadataka Pristup sistemu pomoću lozinke Računar sa najvažnijim podacima ne povezivati na Internet Svi medijumi sa podacima treba da budu evidentirani Glavni zadaci strategije zaštite: Prevencija i zastrašivanje Detekcija Lokalizacja oštećenja Oporavak Korekcije Opreznost i disciplina skeniranje na viruse Fierwalls privatne meže Bezbednost i zaštita informacionih sistema 1. Korak Korak Korak Korak Korak 1: 2: 3: 4: 5: Procena vrednosti sistema Procena ranjivosti sistema Analiza štete Analiza zaštite Cost-Benefit analiza Havarija ==> plan oporavka Bezbednost i zaštita informacionih sistema Cilj plana je održanje kontinuiteta poslovanja Plan oporavka je važan elemenat zaštite Plan mora sadržati opciju i za slučaj potpunog uništenja kapaciteta. Ispitivanje plana podrazumeva korišćrenje what-if analize Sve kritične aplikacije moraju imati jasne procedure za oporavak Plan mora biti napisan jasno i nedvosmisleno. kontrola ovlašćenja ovlašć Kontrola Bezbednost i zaštita informacionih sistema Tipovi kontrolora: Vrste kontrole: Interni – iz preduzeća. kontrola autentičnosti autentič Korisnićko ime/lozinka Javni ključ Biomertija Ovlašćenja grupe Dodela uloga 3. zaštita pristupa 2. Program zaštite treba da obuhvati očekivane pretnje. da bi bio upotrebljiv u trenutku nezgode . ali ne iz strukture ICT Eksterni – iz nezavisne firme Operaciona kontrola – da li sistem radi koektno? Kontrola podobnosti – da li su sistemi zaštite adekvatno ugrađeni i odgovarajući Nije ekonomično uvonenje zaštite od svih mogućih pretnji.

Sign up to vote on this title
UsefulNot useful