SADRŽAJ

Uvod………………………………………………………………………………… 2

Zaštita inoformacionih Sistema ………………………………………………………..3

Rizici od zloupotrebe informacione tehnologije ……………………………………...3-6

Kompjuterski kriminal…………………………………………………………………6

Oblici zloupotrebe informacione tehnologije …………………………………………..7

Zloupotreba sredstava informacione tehnologije ……………………………………..7-8

Neovlaštena upotreba softvera i povreda prava vlasništva …………………………….8

Sabotaže i virusi ………………………………………………………………………9-10

Oblici zaštite od zloupotrebe informacione tehnologije .................................................11

Zaštita informacionog sistema od pristupa neovlaštenih korisnika …………………..11-14

Antivirusna zaštita i zaštita tajnosti podataka ………………………………………...14-17

Zaštita u uslovima elektronskog poslovanja ....................................................................18

Kontrola poverljivosti ………………………………………………………………....18-21

Kontrola pristupa ………………………………………………………………………21-22

Kontrola integriteta, raspoloživosti i nemogućnosti poricanja ………………………….22

Infrastruktura javnog ključa ……………………………………………………………23-25

Zaključak …………………………………………………………………………………26

Literatura ………………………………………………………………………………….27

1
 UVOD

U poglavlju koje sledi upoznaćemo opširnu zaštitu informacionih sistema. Sama

zaštita nam dovoljno govori da je potrebno sprovesti jaku zaštitu informacionog sistema.
Danas su visrusi brzom putanjom jako napredovali, stoga vam omogućavamo uputstvo za
zaštitu vaših računarskih sistema. Nije reč samo o visrusima, tu je i zaštita od zloupotrebe
informacione tehnologije i mnoge druge zaštite. Važno je napomenuti da je bitna zaštita
neovlaštenog korištenja podataka.

2
 ZAŠTITA INFORMACIONIH SISTEMA

Sve veći problem i ograničavajući faktor razvoja i primena računarskih sistema

postaje bezbednost informacionih sistema.
U poslovnim informacionim sistemima računarske konfiguracije su veoma različite, te se u
jednom poslovnom sistemu mogu koristiti:
 Veliki računari za centralnu obradu;
 Manji računari za decentralizovano prikupljanje i obradu podataka;
 Personalni računari za automatizaciju kancelarijskog poslovanja.
Sa aspekta bezbednosti, svaka od ovih vrsta računara ima specifičnosti koje
se ogledaju u različitim organizacijama rada ovih sistema.

Rizici od zloupotrebe informacione tehnologije

Prilikom definisanja odgovarajuće politike zaštite informacionog sistema, neophodno

je izvršiti analizu rizika kojima su informacije izložene u svim fazama životnog ciklusa
informacionog sistema. Analiza rizika je dobra pretpostavka za uspostavljanje dobre politike
upravljanja rizicima (Risk Management Policy). Generalno, rizik se može definisati kao
potencijalna opasnost da neka preduzeća aktivnost dovede do neželjenih posledica. U skladu
sa tim, informacioni rizik predstavlja opasnost da primena informacione tehnologije dovede
do neželjenih posledica,tj. šteta u poslovnom sistemu i njegovom okruženju. Iz tog razloga je
neophodno upravljati informacionim rizicima prema sledećim načelima:
 Potrebno je primenjivati sistemsku metodiku identifikacije svih informacionih rizika;
 Potrebno je definisati adekvatne procedure evaluacije ozbiljnosti (težine) i frekvencije
(učestalosti) rizika,
 Potrebno je formulisati odgovarajuću strategiju i taktiku kontrole nad rizicima, kao
izbor odgovarajućih protivmera.

Uprkos formalno daleko većem broju spoljnih izvora rizika, empirijska istraživanja
pokazuju da su u praksi daleko mnogobrojniji napadi na sistem iznutra,

3
 iz same organizacije. Tako npr. neke procene govore da je odnos približno 70:30, a neke čak
80:20 u prilog napada iznutra (25). Po svemu sudeći, ova druga procena je bliža stvarnosti, ne
samo zato što dolazi iz kompetentnijeg izvora (CERT), nego i zato što je prva procena stara
nekoliko godina, a od tada su se stvari po pitanju sigurnosti informacija bitno promenile.
S obzirom na uzrok, rizici mogu biti objektivni i subjektivni. Objektivni rizici proizilaze iz
prirode i zakonitosti funkcionisanja sistema u kojem se informaciona tehnologija primenjuje,
dok subjektivni rizici nastaju namerom pojedinaca ili grupa ili kada se u sistemu ne
preduzimaju raspoložive mere zaštite od objektivnih rizika. Protiv objektivnih rizika se teško
štititi i njih nije moguće u potpunosti izbeći. Subjektivni rizici se mogu u potpunosti izbeći
preduzimanjem odgovarajaćih preventivnih mera u sistemu.

TIP UZORKA UZORAK MANIFESTACIJA

Nedostupnost resursa,
Menadžment neodgovarajuće
planiranje i kontrola
Greške, krađa, utaja, sabotaže,
Unutrašnji
Zaposleni korupcija, neadekvatno
korištenje neovlaštenja
Kvarovi hardvera i pomoćne
Informacioni sistem
opreme, greške u softveru
Potres, poplava,
Prirodne nepogode, viša sila požar, eksplozija,
ekstremna temperatura
Nepouzdana ili inkompatibilna
Isporučioci opreme
oprema, loše održavanje
Nekorektan softver,
Isporučioci softvera
neblagovremeno pružanje usluga
Nestanak napajanja,
Dobavljači usluga prekid komunikacionih veza,
neblagovremeno pružanje usluga
Sabotaže, špijunaža,
Konkurencija sudske tužbe,
Spoljni
finansijske špekulacije
Kreditori, investitori Nelikvidnost, insolventnost
Štrajkovi, sabotaže,
Sindikati
opstrukcije
Nepovoljne promjene u fiskalnoj
Državna uprava
i monetarnoj politici
Protesti, opstrukcije,
Borci za zaštitu okoline neželjeni i negativni
publicitet
Uništenje, oštećenje i krađa
Teroristi, kriminalci, hakeri imovine, pljačka, kompjuterski
virusi, sabotaže, špijunaža

Tabela 1.1. Uzroci i manifestacije rizika od zloupotrebe informacione tehnologije

4
 U cilju pronalaženja odgovarajućih načina minimalicacije mogućih razlika,
neophodno je razviti i sprovesti primereni skup postupaka, odnosno metodologiju upravljanja
rizicima. Kao i bilo koji drugi upravljački proces, i proces upravljanja rizicima neophodno je
pažljivo planirati. Takvim planom bi trebale biti obuhvaćene sledeće aktivnosti:
* Identifikacija rizika – pri identifikaciji rizika se polazi od slabosti informacionog
sistema. Svaka organizacija mora uočiti nedostatke zaštite, te nastojati definisati
rizike, polazeći od njihovih mogućih izvora;
* Ispitivanje verovatnoće i kvantifikacije rizika – kada su identifikovani rizici kojima je
izložen informacioni sistem, nosioci zaštitne politike moraju pokušati kvantifikovati
težinu i frekvenciju rizika, odnosno proceniti verovatnoću njihovog nastajanja u
određenom vremenskom razdoblju;
* Utvrđivanje prioriteta rizika – kvantifikacija rizika u vidu verovatnoće pretpostavka je
za utvrđivanje prioriteta preduzimanja odgovarajućih protivmera;
* Identifikacija protivmera – vrši kreator politike zaštite na bazi sugestija administratora
zaštite podataka, kada su u pitanju tehničke mere i konsultacija sa srednjim i top
menadžmentom organizacije;
* Utvrđivanje odnosa troškova i koristi od primene protivmera – troškovima se smatraju
ukupni troškovi pripreme i preduzimanja određene protivmere, dok se koristima
smatraju troškovi koji su izbegnuti eliminacijom određene vrste rizika;
* Izbor najprihvatljivijih protivmera – vrši se na bazi procene odnosa troškova i koristi
za svaku od njih;
* Implementacija izabranih protivmera – mere koje iskazuju niže troškove i veće koristi
kandidata su za implementaciju;
* Definisanje mera otklanjanja potencijalnih šteta – uprkos preduzetim protivmerama i
dalje su određeni rizici prisutni. Iz tog razloga se planom upravljanja rizicima moraju
definisati i mere otklanjanja potencijalnih šteta koje će nastati kao posledica
realizacije rizika;
* Kontrola, revizija i modifikacija plana postupka – na kraju, planom upravljanja
rizicima treba se utvrditi i obaveza kontrole nad njegovim izvršavanjem, te njegove
povremene revizije i eventualne modifikacije.

5
 Rizici koji prete jednom računarskom sistemu su:
- Kompjuterski kriminal
- Sabotaža
- Špijunaža
- Nedovoljna čistoća u prostorijama u kojima su smešteni računari
- Slučajno ili namerno kvarenje računarskih sistema
- Razne vremenske nepogode.

Kompjuterski kriminal

Kompjuteri su u ranim fazama njihovog razvića bili neophodni za neke veće

zloupotrebe i to iz dva osnovna razloga:
 njihovo korištenje je podrazumevalo specijalnu edukaciju, tako da se njima bavio
samo relativno uzan krug informatičkih stručnjaka.
 oni su nisu nalazili u masovnoj upotrebi.
Prilikom definisanja kompjuterskog kriminala neophodno je imati veoma
širok pristup koji se mora zasnivati na tri osnovna elementa:
1. načinu izvršenja
2. sredstvu izvršenja
3. posledici kriminalnog djelovanja
Kompjuterski kriminal predstavlja oblik kriminalnog ponašanja, kod koga se
korišćenje kompjuterske tehnologije i informatičkih sistema ispoljava kao način izvršenja
krivičnog dela, ili se kompjuter upotrebljava kao sredstvo ili cilj izvršenja.

Oblici kompjuterskog kriminala su raznovrsni i brojni:

 Krađa računarske opreme
 Krađa računarskog vremena
 Krađa softvera radi neovlaštenog korištenja i prodaje
 Upadanje u računarsku komunikacionu mrežu radi kopiranja i menjanja podataka
 Kopiranje podataka iz računarskih centara bežičnim putem
 Pronevera zaposlenog osoblja u firmi

6
 OBLICI ZLOUPOTREBE INFORMACIONE TEHNOLOGIJE

Protivpravne aktivnosti pri kojima informaciona tehnologija služi kao sredstvo

činjenja ili objekat napada predstavlja informatički ili kompjuterski (računarski) kriminalitet.
Savremena pravna teorija i sudska praksa prihvata sledeću klasifikaciju kompjuterskog
kriminaliteta:
1. Zloupotreba sredstava informacione tehnologije
2. Neovlaštena upotreba softvera i povreda prava vlasništva
3. Sabotaže i virusi

Zloupotreba sredstava informacione tehnologije

Pod zloupotrebom sredstava informacione tehnologije se podrazumevaju kriminalne

radnje u kojima proizvodi informacione tehnologije i podaci predstavljaju objekat
zloupotrebe. Oblici zloupotrebe informacionih resursa se najčešće manifestuju kroz sledeće
aktivnosti:
 manipulacije ulaznim i izlaznim podacima;
 manipulacije sistemskim i aplikativnim softverom;
 manipulacija obradom podataka u svrhu dobijanja željenih,a netačnih podataka;
 manipulacija zaštitnih mehanizama radi njihovog slabljenja ili zaobilaženja;
 manipulacija prenosom podataka u mrežnim sistemima;
 otuđenje fizičkih nosilaca podataka;
 krađa podataka u prenosu kopiranjem.
Neophodno je istaknuti da sredstva parainformacione tehnologije takođe mogu
biti objekat zloupotrebe, a do sada su uočeni primeri zloupotrebe dva tipa ovih sredstava i to
bankomata i inteligentnih ili pametnih kartica.
Bankomati su zloupotrebljavani na taj način što su instalisani lažni bankopmati
postojećih finansijskih institucija, koji su naizglad funkcionisali korektno. Cilj zloupotrebe je
bio da se dođe do tajne lozinke ili ličnog identifikacionog broja korisnika bankomata
memorisanog na bankomat karticama. Prestupnici bankomat povezuju sa svojim računarom,
te u njegovu memoriju pohranjuju tajnu lozinku zajedno sa javnim brojem bankomat kartice.

7
 Zloupotreba pametnih kartica (Smart Card) je najprije uočena kod telefonskih kartica.
Budući da one nemaju vlasnika, ovdje se ne radi o krađi podataka sa kartice, već o
falsifikovanju kartice zbog ostvarivanja mogućnosti besplatnog telefoniranja.

Neovlaštena upotreba softvera i povreda prava vlasništva

Računarski programi predstavljaju autorsko djelo i kao što je to slučaj sa svim ostalim
intelektualnim proizvodima i patentima, tako i oni podliježu načelima zaštite prava vlasništva nad
intelektualnim proizvodima. Neovlaštena upotreba računarskih programa i povreda prava
vlasništva danas predstavljaju najčešći oblik informatičkog kriminaliteta, a popularno se naziva
softverskim piratstvom.

Sabotaže i virusi

Sabotaže u području informacione tehnologije predstavljaju kriminalne radnje koje su

usmjerene na privremeno onesposobljavanje ili trajno uništavanje informatičke opreme i
podataka. Sabotaže čine hakeri i krekeri. Hakeri su prestupnici koji uglavnom putem
računarskih mreža neovlašteno ulaze u tuđi informacioni sistem i ilegalno ostvaruju određenu
korist. Krekeri su prestupnici koji neovlašteno ulaze u tuđi informacioni sistem, te pomoću
softvera izazivaju materijalnu ili nematerijalnu štetu vlasnicima ili ovlaštenim korisnicima
informacionog sistema.

U posljednjih nekoliko godina veliku opasnost za informacione sisteme predstavljaju

kompjuterski virusi. To su programi ili programski segmenti koji imaju svojstvo
razmnožavanja i koji se lijepe na regularne sistemske ili aplikativne programe. Virusi se lijepe
na računarski program u vrijeme njegovog izvođenja, tako da mogu preuzeti kontrolu pri
svakom njegovom narednom izvođenju. Uzrokuju poteškoće
у radu računarskog sistema ili oštećenja, odnosno uništenje datoteka programa i podataka.
Virusi mogu inficirati druge programe modifikujući ih tako da u sebe uključe i njihovu
kopiju. Zavisno od načina oblikovanja mogu se manifestovati odmah ili poslije određenog
vremena.

8
 Po načinu djelovanja razlikuju se sledeće grupe virusa:

1. Virusi pratioci (Companion Virus) – računarski programi koji prate regularni program
i aktiviraju se uvijek kada se program kojeg prate aktivira, pri čemu izazivaju teškoće
u njegovom radu;
2. Vezujući virusi (Link Virus) – ilegalni računarski programi koji se vezuju za neku
logičku funkciju regularnih programa i aktiviraju se samo onda kada se aktiviraju te
logičke funkcije;
3. Virusi paraziti (Parasite Virus) – programske rutine koje se nastanjuju u regularni
program i uzrokuju trajne poremećaje u njegovom radu. Slični njima su tzv. virusi
bakterije koji se razmnožavaju po eksponencijalnom zakonu, zauzimajući,tj.
angažujući vrijeme procesora i memorijski prostor na disku ili u operativnoj memoriji;
4. Virusi sa više dijelova (Multi-Parite Virus) – virusi koji se sastoje od većeg broja
posebnih programa koji se lijepe na različite dijelove regularnih programa i djelujući
usklađeno ometaju normalan rad regularnih programa.

S obzirom na način skrivanja u sistemu, virusi se dijele u sljedeće grupe:

1. Virusi sa više oblika (Polimorphic Virus) – virusi koji se manifestuju na različite

načine u različitim uslovima i pri tome uzrokuju različite poremećaje u radu
regularnih programa;
2. Kriptografisani virusi (Encrypted Virus) – programi na koje je primijenjen postupak
enkripcije, što predstavlja osnovu za mogućnost skrivanja;
3. Pritajeni virusi (Stealth Virus) – programi paraziti koji se aktiviraju i počinju ometati
rad regularnih programa samo onda kada se stekne odgovarajući sklop okolnosti ili
nakon isteka određenog vremena.

Prenos virusa ili infekcija,tj.zaraza se može ostvariti na različite načine,

а najčešće se ostvaruje putem informacionih nosioca podataka, korištenjem već inficiranih
programa i uređaja putem komunikacionih kanala u računarskim mrežama.

9
Struktura virusa:

1. Obavezna komponenta
2. Nosiva komponenta
3. Funkcija za ukidanje

Moramo praviti razliku između klasičnih virusa, crva i trojanskih konja.

Klasični virusi su danas rijetki, te se više susrećemo sa crvima.
Crvi za razliku od virusa nemaju prvu obaveznu komponentu, tj. ne inficiraju druge
programe, već se šire mrežom i to najčešće putem elektronske pošte.
Trojanski konj se za razliku od crva i virusa ne širi sam, već je za to potrebno da
korisnik vrši kopiranje na drugi računar. Oni su često destruktivni i mogu ukrasti informacije
sa računara.

Kolekciju virusa koji su trenutno u opticaju nazivamo "ITW" kolekcijom (eng.In The
Wild). Danas se možemo sresti sa oko 200 virusa.
Postoji i druga ZOO kolekcija koja obuhvata sve poznate viruse i maliciozne
programe.

10
 OBLICI ZAŠTITE OD ZLOUPOTREBE INFORMACIONE
TEHNOLOGIJE

С obzirom na činjenicu da na rizike od zloupotrebe informacione tehnologije uvijek

treba računati, neophodno je osmisliti odgovarajući sistem zaštite od takvih pokušaja. Sistem
zaštite od zloupotrebe informacione tehnologije bi trebao obavezno da obuhvati tri vida
zaštite:
1. Zaštita inforamcionog sistema od pristupa neovlaštenih korisnika;
2. Antivirusna zaštita;
3. Zaštita tajnosti podataka.

Zaštita informacionog sistema od pristupa neovlaštenih korisnika

Informacioni sistem određene organizacije najčešće predstavlja objekat napada od

strane neovlaštenih korisnika, čija je namjera činjenje određene zloupotrebe. Zaštita
informacionog sistema se može posmatrati sa dva aspekta: sa aspekta organizacije na
lokalnom nivou i sa aspekta okruženja na globalnom nivou. U svrhu zaštite informacionog
sistema na lokalnom nivou moguće je primijeniti mjere fizičke i logičke zaštite.
Mere fizičke zaštite su klasične mjere koje se ostvaruju putem fizičkih prepreka
pristupu materijalnim komponentama informacionog sistema. Iako su ove mjere pouzdane,
one nisu dovoljne da u potpunosti zaštite informacioni sistem od pristupa neovlaštenih
korisnika.
Mere logičke zaštite informacionog sistema se ostvaruju putem računara i
odgovarajućih softverskih rješenja. Mogu se svrstati u dvije grupe:
 Aktivnosti identifikacije korisnika;
 Aktivnosti provjere ovlaštenosti ili autorizacije korisnika.

11
 Postupak identifikacije korisnika u suštini predstavlja provjeru da li je korisnik zaista
ona osoba za koju se predstavlja računaru, odnosno informacionom sistemu. Ostvaruje se na
dva načina: kao fizička identifikacija korisnika i kao logička identifikacija korisnika.
Fizička identifikacija polazi od pretpostavke da korisnik posjeduje određeni predmet
ili ima određenu genetsku osobinu koja ga jednoznačno razlikuje od svih ostalih subjekata.
Korisnik se pomoću predmeta ili genetske osobine predstavlja računaru, a računar vrši
provjeru identifikacije korisnika.
Logička identifikacija se zasniva na provjeri tzv. lozinke (Password), čijim unosom
se korisnik predstavlja računaru. Lozinke mogu biti:
a) numeričke (sadrže kao elemente samo brojeve) i alfanumeričke (sadrže sve vrste
znakova – i slova i brojeve);
b) jednostavne (sastoje se od jednog znaka) i složene (sastoje se od više znakova);
v) jednokratne (mogu se koristiti samo jednom) i višekratne (mogu se koristiti više
puta);
g) jednosmjerne (lozinke koje korisnik unosi u računar i čeka odgovor) i interaktivne
(lozinke koje korisnik unosi u dijalogu sa računarom, po načelu pitanja i odgovora);
d) javne (lozinke koje su dostupne svima bez ograničenja) i tajne (dostupne su samo
nekom ili nekim korisnicima).

У složenim informacionim sistemima koriste se selektivni sistemi korisničkih

ovlaštenja i njihove provjere. Posmatrano sa aspekta korisničkih ovlaštenja, svaki
informacioni sistem se sastoji od dva segmenta: otvorenog i zaštićenog segmenta. Otvoreni
segment ili predvorje sistema predstavlja segment informacionog sistema koji zahtijeva
minimalna ovlašćenja korisnika. Zaštićeni segment sistema je dopušten samo onim
korisnicima koji imaju posebna ili dodatna ovlaštenja.
Intranet, kao distribuirani informacioni sistem određene organizacije zasniva se na
koncepciji Interneta. Budući da je osnovna koncepcija Interneta otvorenost prema svim
korisnicima, intranet bi takođe trebao biti otvoren sistem. Međutim, iz tog razloga proizilaze i
rizici od potencijalne zloupotrebe intraneta od strane neovlaštenih korisnika.

12
 Sredstvo zaštite tajnosti informacionog sadržaja i procesa u intranetu od neovlaštenog
pristupa iz Interneta i zloupotrebe je tzv. "vatreni zid" (Firewall). Firewall je računar
programiran na poseban način, koji ostvaruje načelo usmjerene potpunosti intraneta prema
Internetu, jer on omogućava neometan pristup intranetu iz Interneta samo ovlaštenim
korisnicima. Firewall predstavlja usko grlo između unutrašnje i spoljašnje mreže, budući da
sav komunikacioni promet između tih mreža mora prolaziti preko njega. Unutar zone
zaštićene vatrenim zidom nalaze se različiti serveri (za Web i elektronsku poštu), računari na
kojima su instalisane baze podataka te personalni računari korisnika (slika1.1.).

Slika 1. Građa Intraneta

Izvršavanjem funkcije upravljanja prometom podataka između intraneta i Interneta,

Firewall kontroliše svu komunikaciju koja se odvija između dvije mreže, te propušta ili
blokira informacije, zavisno od toga kako se pojedine vrste informacija klasifikuju i tretiraju
pravilima informacione politike zaštite poslovnog sistema u čijem je vlasništvu Firewall.
Vatreni zidovi funkcionišu primjenjujući tri osnovne metode zaštite:
1. Filtriranje paketa podataka (Packet Filtering) – Firewall odbija propustiti pakete
podataka što dolaze iz spoljnih neovlaštenih izvora, te povezati unutrašnje mrežne
resurse sa neovlaštenim uslugama.

13
 2. Prevođenje mrežnih adresa (Network Adress Translation, NAT) – poznato i pod
nazivom maskiranje (IP Masquerading) je tehnika kojom se rješava problem skrivanja
internetskih računara. To je ustvari deligirana funkcija gdje jedan internetski računar
upućuje zahtjeve prema spoljnoj mreži u ime svih ostalih računara unutrašnje mreže,
skrivajući tako njihov identitet. Firewall poštom šalje sve podatke koji se upućuju sa
internetskih računara u spoljnu mrežu kao da ih šalje on sam.
3. Deligiranje usluga (Proxy Service) – vrši Firewall koji funkcioniše na sloju aplikacija
OSI referentnog modela. On može potpuno odvojiti komunikaciju na mrežnom sloju
od komunikacije na višim nivoima, uz pomoć protokola kao što su HTTP, FTP,
SMTP.
Većina vatrenih zidova pruža i dvije važne dodatne usluge zaštite:
 Usluge enkribirane autentičnosti (Encrypted Authentication) – u ovom slučaju
Firewall zahtijeva od korisnika javne mreže, tj. Interneta dokazivanje identiteta, kako
bi im dopustio pristup intranetu sa spoljnih lokacija;
 Usluge enkribiranih tunela (Encrypted Tunnels) – Firewall uspostavlja sigurnu vezu
između dvije privatne mreže preko jednog medija, kao što je npr.Internet.

Praktično, svi vatreni zidovi koriste osnovne metode prilikom pružanja svojih usluga
zaštite. Pri tome se razlikuju njihove tehničke performanse. U nekim slučajevima isti uređaj
izvršava sve navedene funkcije, dok u nekim drugim slučajevima postoji više uređaja, od
kojih svaki izvršava samo neku ili neke funkcije, ali svi oni moraju da djeluju usklađeno.

Antivirusna zaštita i zaštita tajnosti podataka

Unošenje računanarskih virusa u informacioni sistem, bilo slučajno ili namjerno,

uvijek predstavlja uzrok poteškoća u radu sistema, a mogu dovesti i do težih oštećenja,
odnosno uništenja računarskih programa i podataka.
Najbolje efekte daju mjere preventivne antivirusne zaštite kao što su izbjegavanje
upotrebe programa nepoznatog ili sumnjivog porijekla, izbjegavanje presnimavanja tzv.
Shareware programa iz Interneta, ukoliko oni nisu licencirani, tj. ako se ne zna ko im je autor;
sprečavanje neovlaštenih osoba da kopiraju programe.

14
iz informacionog sistema u koji im nije dozvoljen pristup ili da koriste vlastite programe na
računarima tog sistema.
Ukoliko do zaraze virusima u informacionom sistemu ipak dođe, neophodno je
primijeniti mjere liječenja sistema. Tehnički najjednostavniji je postupak reformatiranja svih
aktivnih nosilaca podataka i računarskih memorija, odnosno njihovo čišćenje od svih
postojećih sadržaja, pa tako i virusa.

Mjere zaštite mogu se podijeliti u sljedeće grupe:

1. Organizacione;
2. Tehničke;
3. Komunikacione.

Organizacione mjere zaštite se preduzimaju da se obezbijedi integritet, raspoloživost

i tajnost podataka. One obuhvataju:
 uslov za rad računara i osoblja
 stručne kadrove
 tehnologiju obrade podataka
 medijume za čuvanje podataka
 pravne aspekte zaštite podataka

Tehničke mjere obuhvataju zaštitu hardvera, softvera, prenos i obradu podataka.

Mogu se podijeliti na:
 fizičke
 mjere zaštite u računarskom sistemu
Fizička zaštita treba da obezbijedi zaštitu od:
 neispravnih instalacija
 požara
 poplava
 zagađene okoline
 štetnih zračenja
 neurednog napajanja električnom energijom
 nepovoljnih klimatskih i temperaturnih uslova
 elementarnih nepogoda

15
 Mere zaštite u računarskom sistemu obuhvataju:
 zaštita harvera
 zaštita sistemskog i aplikativnog softvera
 zaštita datoteka sa podacima
 kontrola radnih postupaka koje moraju da primjenjuju svi korisnici usluga
informacionog sistema

Mjere zaštite u telekomunikacionom prenosu obuhvataju dvije metode:

 softversku – šifriranje podataka i posebne protokole
 tehničku – posebnu opremu
Mjere zaštite podataka u telekomunikacionom prenosu čine posebnu grupu, a vrste
kontrole područja u računarsko – komunikacionoj mreži su:
 kontrole pouzdanosti i integriteta sistema
 organizacione kontrole
 kontrole pristupa
 kontrole integriteta podataka

Cilj svih mjera zaštite jeste obezbjeđenje integriteta i pouzdanosti poslovnog

informacionog sistema. Pouzdanost sistema označava njegovu sposobnost da se brzo i tačno
obnovi poslije greške i nepravilnog rada bilo koje sistemske komponente.

Infekcije računarskim virusima, crvima ili trojancima mogu se spriječiti, a posljedice

njihovog dejstva ublažiti ili potpuno sanirati primjenom kvalitetnog antivirusnog programa.
Postoje dva smjera razvoja pretraživanja antivirusnih programa:
1. generički
2. specifičan za pojedine viruse

Generičko pretraživanje se vrši traženjem određenih osobina virusa. Ovako se ne

može identifikovati virus, već samo generička maliciozna aktivnost.
Pretraživanje specifično za pojedine viruse se vrši tako što se u datoteci koja se
pregleda traži određeni potpis koji ukazuje na virus. Ali ovako se ne može detektovati novi
virus, već samo oni čiji se potpisi nalaze u internoj bazi.

16
 Današnji antivirusni programi koriste obje metode u cilju prepoznavanja malicioznih
programa.

Pretraživanje virusa antivirusnim programom se može vršiti na dva načina:

 u stvarnom vremenu – vrši se provjera svake datoteke prije njenog izvršavanja
 na zahtjev korisnika – pregleda hard disk.

Antivirusni programi sprečavaju zarazu tako što skeniraju fajlove koji su pokrenuti u
potrazi za kodom koji bi odao prisustvo virusima. Već zaražene fajlove čiste tako što unutar
zaraženog fajla brišu kod za koji su sigurni da je virus.
Ako ste zaraženi nekim novim virusom o kome ne postoji podatak u internoj bazi
vašeg antivirusnog programa, on neće otkriti ništa ili će ga otkriti kao mogući virus koji neće
uspjeti da očisti jer ne razlikuje ostatak koda od pravog programa u koji se ugnijezdio virus.
Kvalitet antivirusnog programa se ocjenjuje na osnovu:
 brzine skeniranja
 sposobnosti da otkrije viruse
 lakoće instalacije
 konfigurisanja i ažuriranja liste potpisa poznatih virusa

Informacioni sistem mora preduzeti određene mjere zaštite tajnosti podataka, odnosno
informacionog sadržaja. Taj problem se nastoji riješiti na dva načina: preduzimanjem mjera
ograničavanja dostupnosti podataka i elemenata informacionog sistema i preduzimanjem
mjera ostvarivanja nerazumljivosti ili smanjenje razumljivosti inače dostupnih podataka od
strane neovlaštenih korisnika.

17
 ZAŠTITA U USLOVIMA ELEKTRONSKOG POSLOVANjA

Zaštita tajnosti podataka nikada nije bio jednostavan problem, ali sva njegova težina i
značaj dolaze do punog izražaja sa pojavom računarskih mreža, a naročito Interneta i
elektronskog poslovanja. Organizacije koje se bave elektronskim poslovanjem moraju
provoditi najmanje pet vrsta kontrolnih postupaka:
1. Kontrola poverljivosti (Confidentiality Control)
2. Kontrola pristupa (Access Control)
3. Kontrola integriteta (Integrity Control)
4. Kontrola raspoloživosti (Availability Control)
5. Kontrola nemogućnosti poricanja (Nonrepudiation Control)

Kontrola poverljivosti

Povjerljivost informacija zahtijeva zaštitu informacionog sadržaja od neovlaštenog

uvida i upotrebe od strane neovlaštenih korisnika. Zaštita povjerljivosti informacionog
sadržaja ostvaruje se kriptografijom. Kriptografija je metoda ostvarivanja zaštite
povjerljivosti informacionog sadržaja na bazi nerazumljivosti poruka od strane onih subjekata
kojima poruke nisu upućene. Naučna metoda koja se bavi izučavanjem kriptografskih metoda
naziva se kriptologija. Kriptoanaliza je nauka o ostvarivanju razumljivosti podataka od
strane subjekata koji su ih primili, a nisu trebali.
У sistemu u kojem se primjenjuju kriptološke metode pretpostavlja se postojanje
sljedećih entiteta: pošiljalac poruke, izvorna poruka, kriptografska metoda, kriptogram,
ovlašteni i neovlašteni korisnik. Pošiljalac stvara izvornbu poruku, nakon čega je podvrgava
kriptografisanju pomoću odgovarajuće metode i šalje ovlaštenom korisniku, koji je prima i
dekriptuje.
Sve poznate kriptografske metode se mogu podijeliti u dvije grupe: a) Metode
premještanja ili transpozicije b) Metode kodne zamjene ili supstitucije.

18
 Metode premještanja (transpozicije) prikrivaju stvarni informacioni sadržaj
zamjenom mjesta znakova u izvornom sadržaju. Razlikuju se jednodimenzionalne ili linearne
i višedimenzionalne ili matrične metode.
Jednodimenzionalne ili linearne metode izvorni informacioni sadržaj, tzv. otvoreni
tekst remete određenim postupcima kako bi izmijenio izvorni redosljed znakova.
Višedimenzionalne ili matrične metode organizuju otvoreni tekst u dvodimenzionalni
ili višedimenzionalni oblik ili matricu, a kriptogram nastaje iščitavanjem matrice na način
različit od njegovog punjenja u matricu.

Metode premještanja su se u praksi pokazale suviše jednostavnim pa su još u Starom

Rimu razvijene prve metode kodne zamjene, odnosno supstitucije. Koriste se dvije abecede:
izvorna i kodna. Izvornom abecedom se iskazuje otvoreni tekst, a kodnom kriptogram. Prva
metoda je tzv. Cezarova metoda, koja kao izvornu abecedu koristi latiničnu abecedu u njenom
prirodnom redosljedu, a kao kodnu istu tu abecedu, ali permutiranu za jedno ili više slovnih
mjesta.
Kasnije se Cezarova metoda sa pomakom poboljšala uvođenjem tzv. ključa. Ključ je
niz znakova izvorne abecede, koji može ali i ne mora imati neko značenje, a postavlja se kao
prvi prilikom stvaranja kodne abecede. Tokom vremena razvija se čitav niz sve složenijih
metoda koden zamjene poput Vigenoreova metoda, Sestrieva metoda, metoda Playfair,
Beassova metoda, Delastelleova metoda.
Enkripcija je kriptografski postupak koji kriptogram stvara u numeričkom obliku.

У praksi se najčešće koristi kombinacija većeg broja metoda premještanja i metoda

supstitucije, a postupak stvaranja kriptograma odvija se u većem broju slijednih i
ponavljajućih koraka. Takvi postupci se nazivaju kriptografskim algoritmima. Svaki
kriptografski algoritam se može transformisati u računarski program, pa iz toga proizilazi da
se kriptografisanje poruka može ostvariti jednostavno i brzo pomoću elektronskog računara.
Da bi se omogućila jednostavnija primjena tih algoritama u privatnim i javnim
komunikacionim mrežama, 1975.godine je razvijen standard za enkripciju podataka. Ovaj
standard bi trebao da osigura postizanje sljedećih ciljeva:

19
 1. Garantovano visok nivo pouzdanosti
2. Jednostavan za upotrebu
3. Kriptografski algoritam mora da bude javnog karaktera, dakle poznat i dostupan svim
zainteresovanim korisnicima
4. Prilagodljiv za upotrebu u okvirima različitih aplikacija
5. Ekonomičan pri implementaciji i eksploataciji
6. Primjenjiv u svakom konkretnom slučaju

Standard za enkripciju podataka DES je enkripcijski algoritam koji je razvijen iz

kriptografskog algoritma Lucifer, kojeg je početkom 1970-ih godina osmislila kompanija
IBM. DES spada u kategoriju blok-šifara, jer enkribira podatke u 64-bitne blokove uz
primjenu 64-bitnog ključa.
Konkretne metode zamjene i premještanja znakova u izvornoj poruci radi stvaranja
kriptograma, kao i redosljed njihove primejne određuje ključ (Key). Ključ je niz znakova,
odnosno lozinka koju poznaju ovlašteni učesnici u razmjeni podataka, tj. pošiljalac i primalac.
Naziva se tajnim ključem i ne smije poznat neovlaštenim korisnicima.

Slika 2. Data Encryption Standard DES

U javnim komunikacionim mrežama u uslovima elektronskog poslovanja, enkripcijski

algoritmi u infrasturkturi javnog ključa koji su se pokazali primjereni i dovoljno pouzdani su
sljedeći:
 RSA algoritam, koji je nastao kao akronim početnih slova prezimena tvoraca
algoritama Ronalda L.Rivesta, Adija Shawira i Leonarda M.
 PGP algoritam
 Grupa algoritama zasnovana na sažecima

20
 RSA algoritam se može koristiti kako za enkripciju informacionog sadržaja, tako i za
autentifikaciju, odnosno utvrđivanje vjerodostojnosti sadržaja ili identiteta pošiljaoca. Dužina
RSA algoritma može biti između 40 i 1024 bita, a zasniva se na primjeni javnog i tajnog
ključa.
PGP algoritam je algoritam za autentifikaciju i enkripciju informacija u infrastrukturi
javnog ključa, koji je izuzetno popularan u Internetu, zbog svoje robusnosti i pouzdanosti, ali
i činjenice da je njegova upotreba u nekomercijalne svrhe od samog početka bila besplatna.
PGP sistem koriste praktično svi Internet servisi i on predstavlja izuzetno kvalitetno sredstvo
zaštite tajnosti podataka u mnogim poslovnim primjenama Interneta, kao što je elektronska
pošta, elektronska razmjena podataka i elektronske finansijske transakcije.
У upotrebi je i grupa algoritama koji se zasnivaju na sažecima. Sažetak poruke je niz
znakova fiksne dužine, koji se izvodi iz informacije koja može biti varijabilne dužine.

Kontrola pristupa

Kontrolom pristupa se autentifikuje identitet onog ko nastoji pristupiti računarskim ili

informacionim resursima, te kontroliše upotreba tih resursa. Autentifikacija predstavlja
provjeru vjerodostojnosti identiteta subjekta koji traži pristup nekom sistemu ili mreži.
Najpoznatiji mehanizmi autentifikacije korisnika koji su do sada razvijeni su sljedeći:
 Autentifikacija zasnovana na statičnim lozinkama – ovo je osnovni oblik
autentifikacije koji se koristi u savremenim informacionim sistemima. Klijent koristi
određenu identifikaciju i lozinku kako bi se predstavio sistemu, a sistem održava
lozinku u enkribiranom formatu.
 Autentifikacija pomoću hardverskih uređaja – ovo je metoda autentifikacije pri kojoj
određeni uređaj (Token) ima u sebi memorisane potrebne identifikacione oznake
korisnika, koje mogu poslati na provjeru radi autentifikacije sistemu kojem se želi
pristupiti.
 Autentifikacija zasnovana na dinamičnim lozinkama – ima za cilj smanjiti rizik od
krađe lozinki iz mreže. Ova autentifikaciona šema zahtijeva od korisnika prilikom
svake nove autentifikacije unos nove lozinke, koja je

21
 različita od prethodne korištene. Generišu ih hardverski uređaji tokeni, koji su
prethodno programirani za svakog korisnika.
 Biometrijska autentifikacija – zasniva se na upotrebi fizičkih, odnosno fizioloških
svojstava korisnika kao sredstva za njegovu identifikaciju.
 Autentifikacija zasnovana na javnim i privatnim ključevima – u ovom slučaju snažan
mehanizam autentifikacije predstavlja infrastrukturu javnog ključa
.
Kontrola integriteta, raspoloživosti i nemogućnosti poricanja

Kontrola integriteta štiti podatke ili računarske resurse od bilo kakvih namjernih ili
nenamjernih nedopuštenih izmjena. Integritet osigurava tačnost i potpunost informacija.
Kontrola raspoloživosti podrazumijeva osiguranje kontinuiteta obrade podataka i
raspoloživosti informacija. Smanjenjem ili potpunim ukidanjem raspoloživosti informacionih
ili računarskih resursa utiče se na rad sistema i poslovanje organizacije, što može uzrokovati
finansijske štete i smanjenje kvaliteta usluga pruženim klijentima.
Kontrolom nemogućnosti poricanja se osigurava da korisnici ne mogu poricati
aktivnosti koje su preduzeli. Primjer takve situacije je kada klijent u elektronskoj trgovini
naruči neku robu, a kasnije je ne želi primiti, tvrdeći da je nije naručio. Takvi incidenti se
mogu spriječiti upotrebom digitalnog potpisa.

22
 INFRASTRUKTURA JAVNOG KLjUČA

Organizacije širom svijeta koriste novu generaciju distribuiranih aplikacija, koje im

omogućavaju isporuku proizvoda i usluga putem intraneta, ekstraneta i Interneta. Okruženje u
kojem se implementiraju takve aplikacije mora biti stalno raspoloživo i pouzdano, kako bi
klijenti organizacije osjećali povjerenje, a sama organizacija mogla koristiti sve prednosti
elektronskog tržišta. Osnova za razvoj sigurnih distribuiranih aplikacija u takvom okruženju
jeste infrastruktura javnog ključa koja omogućava autentičnu, privatnu i nesmetanu
komunikaciju.
Korisnici prije nego što se odluče na razmjenu informacija putem Interneta,
zahtijevaju određene mehanizme koji će im garantovati ne samo integritet podataka koje šalju
Internetom, nego i onaj nivo diskrecije koji im omogućava i tradicionalni način obavljanja
transakcija. Oni žele da njihove elektronske transakcije budu povjerljive i zaštićene od
neovlaštenih izmjena.
Kriptografija pomoću javnog ključa osigurava povjerljivost osjetljivih informacija ili
poruka primjenom matematičkog algoritma ili ključa, kojima se enkribiraju, odnosno šifriraju
podaci, te povezanog matematičkog ključa kojima se oni dekribiraju, odnosno dešifriraju.
Najznačajnija komponenta infrastrukture javnog ključa jeste certifikacioni autoritet. To je tzv.
treća strana od povjerenja koja izdaje digitalne certifikate i upravlja certifikatima tokom
njihovog cijelog životnog ciklusa.
У elektronskom poslovanju koristi se i niz manje značajnih dokumenata koji se
prenose u elektronskom obliku, a koji takođe moraju biti na neki način ovjereni. To se može
postići primjenom tehnike digitalnog potpisa, čime će učesnici u nekom poslu moći potvrditi
da su neki dokument poslali, a drugi da su ga primili.
Digitalni potpis je elektronski identifikator uporediv sa tradicionalnim svojeručnim potpisom,
jedinstven je, moguće ga je verifikovati i samo korisnik može identificirati njegovo
generisanje. Da bi se spriječilo negiranje digitalno potpisanog ugovora, elektronski potpisan
dokument mora uključivati određene elemente i zadovoljavati uslove:

23
 mora jasno i detaljno održavati iskazanu volju svih ugovornih strana za sklapanje
ugovora;
 mora jasno ukazivati na činjenicu da su ugovorne strane voljne preuzeti obaveze iz
ugovora;
 ugovor mora biti autentičan, bez ikakvih modifikacija.

Slika 3. Enkripcija pomoću javnog ključa

Slika 4. Digitalni potpis

Infrastruktura javnog ključa pruža sledeće:

1. Povjerljivost – osigurava da samo željeni primaoci mogu čitati poruke
2. Integritet podataka – osigurava da se poruke ne mogu mijenjati
3. Autentifikacija – garantuje da su učesnici u elektronskoj komunikaciji upravo oni
kojima i kakvima se predstavljaju
4. Nemogućnost poricanja – onemogućava učesnicima poricanje učestvovanja u
izvršenoj elektronskoj transakciji.

24
 Kvalitet infrastrukture javnog ključa naročito se ogleda u tome što se funkcije
enkripcije, dekripcije i verifikacije identiteta obavljaju veoma brzo i nevidljivo za učesnike u
komunikaciji iako su efekti gotovo isti kao da se radi o potpunoj i sigurnoj komunikacija
"face to face".
Tehnologija infrastrukture javnog ključa omogućava korištenje jednog od dva modela
izgradnje takve infrastrukture za potrebe organizacije u okruženju elektronskog poslovanja.
To su:
 Nabavka samostalnog softvera infrastrukture javnog ključa – u ovom slučaju
organizacija preuzima potpunu odgovornost za nabavku i korištenje tehnologije,
uključujući potrebne računarske sisteme, telekomunikacione veze i uređaje, baze
podataka, zaštitu svog Web-sajta, zaštitu mrežne konfiguracije, itd.
 Korištenje platforme integrisane u infrastrukturu javnog ključa – ovaj model garantuje
usluge prema načelu, podjelu investicionog opterećenja i podjelu rizika, te ima daleko
više izgleda na uspjeh. U ovom modelu se kombinuju softver i hardver infrastrukture
javnog ključa koji kontroliše organizacija, kompatibilnost sa javnim aplikacijama, te
usluge upravljanja certifikatima i vitalnim dijelovima infrastrukture koje pruža za to
specijalizovana institucija.

25
 ZAKLJUČAK

Na osnovu svega iznešenog možemo reći da se Regulativne mere o zaštiti informacionih

tehnologija veoma dobro snalaze,tj. Da su EU mere danas veoma značajne i pooštrene.

U današnje vreme je veoma teško zaštiti svoje lične podatke,kao običnog korisnika.jer se taj
sistem veoma raširio i na društvenim mrežama,a sami znamo koja je to bezbednost na samom
internet,ali sudeći po svemu danas su ti sistemi malo poboljšani pa postoje načini kako na neki
način sačuvati svoje podatke od običnih hakera,koji na neki način pokušavaju ući u našu bazu
podataka.

Što se tiče većih firmi koje imaju svoje servere,one raspolažu velikom bazom podataka u
kojoj se nalaze neki dokumenti koji običnim ljudima nisu dostupne.To je veliki zalogaj za
hakere,ali kako oni sami kažu,to je neki izazov za njih.Tako da znamo da su velike firme i
kompanije bile na meti i na udaru hakera,gde su i pojedine bile do te mere srušene.

Ako pogledamo ljudsku svest i razum videćemo da se kod ljudi i kod običnih korisnika javlja
ta neka panika u pogledu novih tehnologija itd. Danas se vodi polemika oko 5G mreže.EU
mere u vezi te mreže nisu još donešene,ali ćemo svakao uvideti kakve će biti mere i šta će se
preduzeti povodom toga.

26
 LITERATURA
 Prof. dr Vesna Aleksić–Marić, prof. dr Dušanka Stojanović, "INFORMACIONI
SISTEMI", Ekonomski fakultet Banja Luka, 2005;
 Zaštita informacionog sistema, 24.12.2009.

 Zaštita informacionog Sistema,Milica Tepsšić ,Rade Tanjga;Banja Luka,2011.

 Konvencija za zaštitu pojedinaca pri automatskoj obradi ličnih podataka,Evropski

ugovori,1981.

 Zakon o zaštit ličnih podataka,2002.

 http:// www.symantec.com

 http://europa.eu.int

 Odluka o mininalnim standardima upravljanja informacionim sistemom finansijske

institucije,2013.

27