Professional Documents
Culture Documents
EU Regulativa IS
EU Regulativa IS
Uvod………………………………………………………………………………… 2
Kompjuterski kriminal…………………………………………………………………6
Zaključak …………………………………………………………………………………26
Literatura ………………………………………………………………………………….27
1
UVOD
2
ZAŠTITA INFORMACIONIH SISTEMA
Uprkos formalno daleko većem broju spoljnih izvora rizika, empirijska istraživanja
pokazuju da su u praksi daleko mnogobrojniji napadi na sistem iznutra,
3
iz same organizacije. Tako npr. neke procene govore da je odnos približno 70:30, a neke čak
80:20 u prilog napada iznutra (25). Po svemu sudeći, ova druga procena je bliža stvarnosti, ne
samo zato što dolazi iz kompetentnijeg izvora (CERT), nego i zato što je prva procena stara
nekoliko godina, a od tada su se stvari po pitanju sigurnosti informacija bitno promenile.
S obzirom na uzrok, rizici mogu biti objektivni i subjektivni. Objektivni rizici proizilaze iz
prirode i zakonitosti funkcionisanja sistema u kojem se informaciona tehnologija primenjuje,
dok subjektivni rizici nastaju namerom pojedinaca ili grupa ili kada se u sistemu ne
preduzimaju raspoložive mere zaštite od objektivnih rizika. Protiv objektivnih rizika se teško
štititi i njih nije moguće u potpunosti izbeći. Subjektivni rizici se mogu u potpunosti izbeći
preduzimanjem odgovarajaćih preventivnih mera u sistemu.
4
U cilju pronalaženja odgovarajućih načina minimalicacije mogućih razlika,
neophodno je razviti i sprovesti primereni skup postupaka, odnosno metodologiju upravljanja
rizicima. Kao i bilo koji drugi upravljački proces, i proces upravljanja rizicima neophodno je
pažljivo planirati. Takvim planom bi trebale biti obuhvaćene sledeće aktivnosti:
* Identifikacija rizika – pri identifikaciji rizika se polazi od slabosti informacionog
sistema. Svaka organizacija mora uočiti nedostatke zaštite, te nastojati definisati
rizike, polazeći od njihovih mogućih izvora;
* Ispitivanje verovatnoće i kvantifikacije rizika – kada su identifikovani rizici kojima je
izložen informacioni sistem, nosioci zaštitne politike moraju pokušati kvantifikovati
težinu i frekvenciju rizika, odnosno proceniti verovatnoću njihovog nastajanja u
određenom vremenskom razdoblju;
* Utvrđivanje prioriteta rizika – kvantifikacija rizika u vidu verovatnoće pretpostavka je
za utvrđivanje prioriteta preduzimanja odgovarajućih protivmera;
* Identifikacija protivmera – vrši kreator politike zaštite na bazi sugestija administratora
zaštite podataka, kada su u pitanju tehničke mere i konsultacija sa srednjim i top
menadžmentom organizacije;
* Utvrđivanje odnosa troškova i koristi od primene protivmera – troškovima se smatraju
ukupni troškovi pripreme i preduzimanja određene protivmere, dok se koristima
smatraju troškovi koji su izbegnuti eliminacijom određene vrste rizika;
* Izbor najprihvatljivijih protivmera – vrši se na bazi procene odnosa troškova i koristi
za svaku od njih;
* Implementacija izabranih protivmera – mere koje iskazuju niže troškove i veće koristi
kandidata su za implementaciju;
* Definisanje mera otklanjanja potencijalnih šteta – uprkos preduzetim protivmerama i
dalje su određeni rizici prisutni. Iz tog razloga se planom upravljanja rizicima moraju
definisati i mere otklanjanja potencijalnih šteta koje će nastati kao posledica
realizacije rizika;
* Kontrola, revizija i modifikacija plana postupka – na kraju, planom upravljanja
rizicima treba se utvrditi i obaveza kontrole nad njegovim izvršavanjem, te njegove
povremene revizije i eventualne modifikacije.
5
Rizici koji prete jednom računarskom sistemu su:
- Kompjuterski kriminal
- Sabotaža
- Špijunaža
- Nedovoljna čistoća u prostorijama u kojima su smešteni računari
- Slučajno ili namerno kvarenje računarskih sistema
- Razne vremenske nepogode.
Kompjuterski kriminal
6
OBLICI ZLOUPOTREBE INFORMACIONE TEHNOLOGIJE
7
Zloupotreba pametnih kartica (Smart Card) je najprije uočena kod telefonskih kartica.
Budući da one nemaju vlasnika, ovdje se ne radi o krađi podataka sa kartice, već o
falsifikovanju kartice zbog ostvarivanja mogućnosti besplatnog telefoniranja.
Računarski programi predstavljaju autorsko djelo i kao što je to slučaj sa svim ostalim
intelektualnim proizvodima i patentima, tako i oni podliježu načelima zaštite prava vlasništva nad
intelektualnim proizvodima. Neovlaštena upotreba računarskih programa i povreda prava
vlasništva danas predstavljaju najčešći oblik informatičkog kriminaliteta, a popularno se naziva
softverskim piratstvom.
Sabotaže i virusi
8
Po načinu djelovanja razlikuju se sledeće grupe virusa:
1. Virusi pratioci (Companion Virus) – računarski programi koji prate regularni program
i aktiviraju se uvijek kada se program kojeg prate aktivira, pri čemu izazivaju teškoće
u njegovom radu;
2. Vezujući virusi (Link Virus) – ilegalni računarski programi koji se vezuju za neku
logičku funkciju regularnih programa i aktiviraju se samo onda kada se aktiviraju te
logičke funkcije;
3. Virusi paraziti (Parasite Virus) – programske rutine koje se nastanjuju u regularni
program i uzrokuju trajne poremećaje u njegovom radu. Slični njima su tzv. virusi
bakterije koji se razmnožavaju po eksponencijalnom zakonu, zauzimajući,tj.
angažujući vrijeme procesora i memorijski prostor na disku ili u operativnoj memoriji;
4. Virusi sa više dijelova (Multi-Parite Virus) – virusi koji se sastoje od većeg broja
posebnih programa koji se lijepe na različite dijelove regularnih programa i djelujući
usklađeno ometaju normalan rad regularnih programa.
9
Struktura virusa:
1. Obavezna komponenta
2. Nosiva komponenta
3. Funkcija za ukidanje
Kolekciju virusa koji su trenutno u opticaju nazivamo "ITW" kolekcijom (eng.In The
Wild). Danas se možemo sresti sa oko 200 virusa.
Postoji i druga ZOO kolekcija koja obuhvata sve poznate viruse i maliciozne
programe.
10
OBLICI ZAŠTITE OD ZLOUPOTREBE INFORMACIONE
TEHNOLOGIJE
11
Postupak identifikacije korisnika u suštini predstavlja provjeru da li je korisnik zaista
ona osoba za koju se predstavlja računaru, odnosno informacionom sistemu. Ostvaruje se na
dva načina: kao fizička identifikacija korisnika i kao logička identifikacija korisnika.
Fizička identifikacija polazi od pretpostavke da korisnik posjeduje određeni predmet
ili ima određenu genetsku osobinu koja ga jednoznačno razlikuje od svih ostalih subjekata.
Korisnik se pomoću predmeta ili genetske osobine predstavlja računaru, a računar vrši
provjeru identifikacije korisnika.
Logička identifikacija se zasniva na provjeri tzv. lozinke (Password), čijim unosom
se korisnik predstavlja računaru. Lozinke mogu biti:
a) numeričke (sadrže kao elemente samo brojeve) i alfanumeričke (sadrže sve vrste
znakova – i slova i brojeve);
b) jednostavne (sastoje se od jednog znaka) i složene (sastoje se od više znakova);
v) jednokratne (mogu se koristiti samo jednom) i višekratne (mogu se koristiti više
puta);
g) jednosmjerne (lozinke koje korisnik unosi u računar i čeka odgovor) i interaktivne
(lozinke koje korisnik unosi u dijalogu sa računarom, po načelu pitanja i odgovora);
d) javne (lozinke koje su dostupne svima bez ograničenja) i tajne (dostupne su samo
nekom ili nekim korisnicima).
12
Sredstvo zaštite tajnosti informacionog sadržaja i procesa u intranetu od neovlaštenog
pristupa iz Interneta i zloupotrebe je tzv. "vatreni zid" (Firewall). Firewall je računar
programiran na poseban način, koji ostvaruje načelo usmjerene potpunosti intraneta prema
Internetu, jer on omogućava neometan pristup intranetu iz Interneta samo ovlaštenim
korisnicima. Firewall predstavlja usko grlo između unutrašnje i spoljašnje mreže, budući da
sav komunikacioni promet između tih mreža mora prolaziti preko njega. Unutar zone
zaštićene vatrenim zidom nalaze se različiti serveri (za Web i elektronsku poštu), računari na
kojima su instalisane baze podataka te personalni računari korisnika (slika1.1.).
13
2. Prevođenje mrežnih adresa (Network Adress Translation, NAT) – poznato i pod
nazivom maskiranje (IP Masquerading) je tehnika kojom se rješava problem skrivanja
internetskih računara. To je ustvari deligirana funkcija gdje jedan internetski računar
upućuje zahtjeve prema spoljnoj mreži u ime svih ostalih računara unutrašnje mreže,
skrivajući tako njihov identitet. Firewall poštom šalje sve podatke koji se upućuju sa
internetskih računara u spoljnu mrežu kao da ih šalje on sam.
3. Deligiranje usluga (Proxy Service) – vrši Firewall koji funkcioniše na sloju aplikacija
OSI referentnog modela. On može potpuno odvojiti komunikaciju na mrežnom sloju
od komunikacije na višim nivoima, uz pomoć protokola kao što su HTTP, FTP,
SMTP.
Većina vatrenih zidova pruža i dvije važne dodatne usluge zaštite:
Usluge enkribirane autentičnosti (Encrypted Authentication) – u ovom slučaju
Firewall zahtijeva od korisnika javne mreže, tj. Interneta dokazivanje identiteta, kako
bi im dopustio pristup intranetu sa spoljnih lokacija;
Usluge enkribiranih tunela (Encrypted Tunnels) – Firewall uspostavlja sigurnu vezu
između dvije privatne mreže preko jednog medija, kao što je npr.Internet.
Praktično, svi vatreni zidovi koriste osnovne metode prilikom pružanja svojih usluga
zaštite. Pri tome se razlikuju njihove tehničke performanse. U nekim slučajevima isti uređaj
izvršava sve navedene funkcije, dok u nekim drugim slučajevima postoji više uređaja, od
kojih svaki izvršava samo neku ili neke funkcije, ali svi oni moraju da djeluju usklađeno.
14
iz informacionog sistema u koji im nije dozvoljen pristup ili da koriste vlastite programe na
računarima tog sistema.
Ukoliko do zaraze virusima u informacionom sistemu ipak dođe, neophodno je
primijeniti mjere liječenja sistema. Tehnički najjednostavniji je postupak reformatiranja svih
aktivnih nosilaca podataka i računarskih memorija, odnosno njihovo čišćenje od svih
postojećih sadržaja, pa tako i virusa.
15
Mere zaštite u računarskom sistemu obuhvataju:
zaštita harvera
zaštita sistemskog i aplikativnog softvera
zaštita datoteka sa podacima
kontrola radnih postupaka koje moraju da primjenjuju svi korisnici usluga
informacionog sistema
16
Današnji antivirusni programi koriste obje metode u cilju prepoznavanja malicioznih
programa.
Antivirusni programi sprečavaju zarazu tako što skeniraju fajlove koji su pokrenuti u
potrazi za kodom koji bi odao prisustvo virusima. Već zaražene fajlove čiste tako što unutar
zaraženog fajla brišu kod za koji su sigurni da je virus.
Ako ste zaraženi nekim novim virusom o kome ne postoji podatak u internoj bazi
vašeg antivirusnog programa, on neće otkriti ništa ili će ga otkriti kao mogući virus koji neće
uspjeti da očisti jer ne razlikuje ostatak koda od pravog programa u koji se ugnijezdio virus.
Kvalitet antivirusnog programa se ocjenjuje na osnovu:
brzine skeniranja
sposobnosti da otkrije viruse
lakoće instalacije
konfigurisanja i ažuriranja liste potpisa poznatih virusa
Informacioni sistem mora preduzeti određene mjere zaštite tajnosti podataka, odnosno
informacionog sadržaja. Taj problem se nastoji riješiti na dva načina: preduzimanjem mjera
ograničavanja dostupnosti podataka i elemenata informacionog sistema i preduzimanjem
mjera ostvarivanja nerazumljivosti ili smanjenje razumljivosti inače dostupnih podataka od
strane neovlaštenih korisnika.
17
ZAŠTITA U USLOVIMA ELEKTRONSKOG POSLOVANjA
Zaštita tajnosti podataka nikada nije bio jednostavan problem, ali sva njegova težina i
značaj dolaze do punog izražaja sa pojavom računarskih mreža, a naročito Interneta i
elektronskog poslovanja. Organizacije koje se bave elektronskim poslovanjem moraju
provoditi najmanje pet vrsta kontrolnih postupaka:
1. Kontrola poverljivosti (Confidentiality Control)
2. Kontrola pristupa (Access Control)
3. Kontrola integriteta (Integrity Control)
4. Kontrola raspoloživosti (Availability Control)
5. Kontrola nemogućnosti poricanja (Nonrepudiation Control)
Kontrola poverljivosti
18
Metode premještanja (transpozicije) prikrivaju stvarni informacioni sadržaj
zamjenom mjesta znakova u izvornom sadržaju. Razlikuju se jednodimenzionalne ili linearne
i višedimenzionalne ili matrične metode.
Jednodimenzionalne ili linearne metode izvorni informacioni sadržaj, tzv. otvoreni
tekst remete određenim postupcima kako bi izmijenio izvorni redosljed znakova.
Višedimenzionalne ili matrične metode organizuju otvoreni tekst u dvodimenzionalni
ili višedimenzionalni oblik ili matricu, a kriptogram nastaje iščitavanjem matrice na način
različit od njegovog punjenja u matricu.
19
1. Garantovano visok nivo pouzdanosti
2. Jednostavan za upotrebu
3. Kriptografski algoritam mora da bude javnog karaktera, dakle poznat i dostupan svim
zainteresovanim korisnicima
4. Prilagodljiv za upotrebu u okvirima različitih aplikacija
5. Ekonomičan pri implementaciji i eksploataciji
6. Primjenjiv u svakom konkretnom slučaju
20
RSA algoritam se može koristiti kako za enkripciju informacionog sadržaja, tako i za
autentifikaciju, odnosno utvrđivanje vjerodostojnosti sadržaja ili identiteta pošiljaoca. Dužina
RSA algoritma može biti između 40 i 1024 bita, a zasniva se na primjeni javnog i tajnog
ključa.
PGP algoritam je algoritam za autentifikaciju i enkripciju informacija u infrastrukturi
javnog ključa, koji je izuzetno popularan u Internetu, zbog svoje robusnosti i pouzdanosti, ali
i činjenice da je njegova upotreba u nekomercijalne svrhe od samog početka bila besplatna.
PGP sistem koriste praktično svi Internet servisi i on predstavlja izuzetno kvalitetno sredstvo
zaštite tajnosti podataka u mnogim poslovnim primjenama Interneta, kao što je elektronska
pošta, elektronska razmjena podataka i elektronske finansijske transakcije.
У upotrebi je i grupa algoritama koji se zasnivaju na sažecima. Sažetak poruke je niz
znakova fiksne dužine, koji se izvodi iz informacije koja može biti varijabilne dužine.
Kontrola pristupa
21
različita od prethodne korištene. Generišu ih hardverski uređaji tokeni, koji su
prethodno programirani za svakog korisnika.
Biometrijska autentifikacija – zasniva se na upotrebi fizičkih, odnosno fizioloških
svojstava korisnika kao sredstva za njegovu identifikaciju.
Autentifikacija zasnovana na javnim i privatnim ključevima – u ovom slučaju snažan
mehanizam autentifikacije predstavlja infrastrukturu javnog ključa
.
Kontrola integriteta, raspoloživosti i nemogućnosti poricanja
Kontrola integriteta štiti podatke ili računarske resurse od bilo kakvih namjernih ili
nenamjernih nedopuštenih izmjena. Integritet osigurava tačnost i potpunost informacija.
Kontrola raspoloživosti podrazumijeva osiguranje kontinuiteta obrade podataka i
raspoloživosti informacija. Smanjenjem ili potpunim ukidanjem raspoloživosti informacionih
ili računarskih resursa utiče se na rad sistema i poslovanje organizacije, što može uzrokovati
finansijske štete i smanjenje kvaliteta usluga pruženim klijentima.
Kontrolom nemogućnosti poricanja se osigurava da korisnici ne mogu poricati
aktivnosti koje su preduzeli. Primjer takve situacije je kada klijent u elektronskoj trgovini
naruči neku robu, a kasnije je ne želi primiti, tvrdeći da je nije naručio. Takvi incidenti se
mogu spriječiti upotrebom digitalnog potpisa.
22
INFRASTRUKTURA JAVNOG KLjUČA
23
mora jasno i detaljno održavati iskazanu volju svih ugovornih strana za sklapanje
ugovora;
mora jasno ukazivati na činjenicu da su ugovorne strane voljne preuzeti obaveze iz
ugovora;
ugovor mora biti autentičan, bez ikakvih modifikacija.
24
Kvalitet infrastrukture javnog ključa naročito se ogleda u tome što se funkcije
enkripcije, dekripcije i verifikacije identiteta obavljaju veoma brzo i nevidljivo za učesnike u
komunikaciji iako su efekti gotovo isti kao da se radi o potpunoj i sigurnoj komunikacija
"face to face".
Tehnologija infrastrukture javnog ključa omogućava korištenje jednog od dva modela
izgradnje takve infrastrukture za potrebe organizacije u okruženju elektronskog poslovanja.
To su:
Nabavka samostalnog softvera infrastrukture javnog ključa – u ovom slučaju
organizacija preuzima potpunu odgovornost za nabavku i korištenje tehnologije,
uključujući potrebne računarske sisteme, telekomunikacione veze i uređaje, baze
podataka, zaštitu svog Web-sajta, zaštitu mrežne konfiguracije, itd.
Korištenje platforme integrisane u infrastrukturu javnog ključa – ovaj model garantuje
usluge prema načelu, podjelu investicionog opterećenja i podjelu rizika, te ima daleko
više izgleda na uspjeh. U ovom modelu se kombinuju softver i hardver infrastrukture
javnog ključa koji kontroliše organizacija, kompatibilnost sa javnim aplikacijama, te
usluge upravljanja certifikatima i vitalnim dijelovima infrastrukture koje pruža za to
specijalizovana institucija.
25
ZAKLJUČAK
U današnje vreme je veoma teško zaštiti svoje lične podatke,kao običnog korisnika.jer se taj
sistem veoma raširio i na društvenim mrežama,a sami znamo koja je to bezbednost na samom
internet,ali sudeći po svemu danas su ti sistemi malo poboljšani pa postoje načini kako na neki
način sačuvati svoje podatke od običnih hakera,koji na neki način pokušavaju ući u našu bazu
podataka.
Što se tiče većih firmi koje imaju svoje servere,one raspolažu velikom bazom podataka u
kojoj se nalaze neki dokumenti koji običnim ljudima nisu dostupne.To je veliki zalogaj za
hakere,ali kako oni sami kažu,to je neki izazov za njih.Tako da znamo da su velike firme i
kompanije bile na meti i na udaru hakera,gde su i pojedine bile do te mere srušene.
Ako pogledamo ljudsku svest i razum videćemo da se kod ljudi i kod običnih korisnika javlja
ta neka panika u pogledu novih tehnologija itd. Danas se vodi polemika oko 5G mreže.EU
mere u vezi te mreže nisu još donešene,ali ćemo svakao uvideti kakve će biti mere i šta će se
preduzeti povodom toga.
26
LITERATURA
Prof. dr Vesna Aleksić–Marić, prof. dr Dušanka Stojanović, "INFORMACIONI
SISTEMI", Ekonomski fakultet Banja Luka, 2005;
Zaštita informacionog sistema, 24.12.2009.
http:// www.symantec.com
http://europa.eu.int
27