Sigurnost Informacijskih Sustava - Skripta: Mr. Sc. Bernard Vukelić

mr. sc.
Bernard Vukelić
Veleučilište u Rijeci
Sigurnost informacijskih
sustava - skripta
Rijeka, 2016.
mr. sc. Bernard Vukelić
SIGURNOST INFORMACIJSKIH SUSTAVA
Veleučilište u Rijeci
mr. sc. Bernard Vukelić SIGURNOST INFORMACIJSKIH SUSTAVA - SKRIPTA
Nakladnik: Veleučilište u Rijeci, Trpimirova 2/V, Rijeka

Za nakladnika: Saša Hirnig
Lektor: Una Matić Vukelić, prof.
Recenzenti: prof. dr. sc. Miroslav Bača
dr. sc. Marin Kaluža
Mjesto i godina izdanja: Rijeka, 2016.
Naklada: predavanja su objavljena na web-stranica a Veleučilišta u Rijeci
ijedan dio ovi predavanja i vjež i ne s ije se u nožavati, fotokopirati ni na ilo koji drugi
način reproducirati ili upotrebljavati uključujući web-distribuciju i sustave a pretraživanje te
skladištenje podataka e pisanog dopuštenja nakladnika.
ISBN: 978-953-6911-84-4
Veleučilište u Rijeci uvrstilo je ovaj udž enik u veleučilišne udž enike (KLASA: 602-09/16-
01/02, URBROJ: 2170-57-02-16-3).
Predgovor
Ova skripta namijenjena je studentima stručni i diplomskih specijalistički stručni

studija Veleučilišta u Rijeci kao recen irani nastavni materijal iz kolegija Sigurnost
informacijskog sustava. Svi sadržaji koji su skripto o ra eni uskla eni su s plano i
programom kolegija. Budući da je program kolegija podijeljen na dva zasebna, a opet
povezana dijela, tj. organi acijski i te nički aspekt sigurnosti informacijskih sustava, tako je i
koncipiran sadržaj ove skripte. To nači da su u ovom radu kao prvom dijelu skripte
o u vaćene te e ve ane a teorijski dio glavni poj ova infor acijske sigurnosti,
institucionalnog i zakonodavnog okvira u RH, procjene rizika kao i sustava upravljanja
infor acijsko sigurnošću (ISMS) te povezanih standarda. Drugi dio skripte, koji o ra uje
više te ničke te e iz navedenog područja infor acijske sigurnosti važne a studente stručnog
studija kao što su kontrola pristupa, io etrija, kriptografija, steganografija, računalna
foren ika, alicio ni progra i, sigurnost i aštita reža i dr., a koje se tako er i vode kroz
praktične vjež e na kolegiju, bit će o ra ene u drugo dijelu skripte koji je u pripre i, a na
kraju će sve vjerojatno re ultirati cjeloviti udž eniko odnosno knjigom. Namjena ovog
nastavnog materijala jest studenti a pružiti uvid u ovo široko, ali danas aktualno područje, u
napomenu da su og opiširnosti sadržaja neke teme opisane i preuzete u sažeto o liku
dovoljno a ispunjavanje očekivani is oda kolegija koji su navedeni na početku svakog
poglavlja te adovoljavanje postavljeni uvjeta a polaganje kolokvija i avršnog ispita. Za
proširivanje nanja i svakog dijela u skripti je navedeno i citirano dosta relevantnih
kvalitetnih izvora i poveznica na koje se upućuje te preporučuje a daljnje čitanje.
Autor
SADRŽAJ
1. UVOD ................................................................................................................................ 5
2. TEMELJNI POJMOVI IZ SIGURNOSTI INFORMACIJSKIH SUSTAVA ................... 6
2.1. Sigurnost ................................................................................................................................ 6
2.2. Informacijska sigurnost .......................................................................................................... 8
2.3. Povijesni razvoj informacijske sigurnosti ............................................................................ 11
2.4. Prijetnje ................................................................................................................................ 14
2.5. Ranjivost .............................................................................................................................. 16
2.6. Napad ................................................................................................................................... 18
2.7. Zaštitne jere....................................................................................................................... 20
2.8. Voditelj sigurnosti informacijskog sustava (engl. Chief Information Systems Security
Officer – CISSO) .............................................................................................................................. 21
3. SUSTAV UPRAVLJANJA RMA JSK M S UR U (ISMS) ................. 23
3.1. SMS i a tjevi a jerenje efikasnosti i učinkovitosti .................................................... 33
4. RAČU AL KR M AL, ST TU JE ZAK SKA RE ULAT VA
SIGURNOSTI INFORMACIJSKIH SUSTAVA U RH .......................................................... 38
4.2. Računalni kri inal ............................................................................................................... 38
4.3. Institucije i zakonska regulativa sigurnosti informacijskih sustava u RH ........................... 41
4.4. Pregled EU propisa na području infor acijske sigurnosti ................................................... 50
5. PROCJENA RIZIKA ....................................................................................................... 51
6. DRŽAVA JE K T U TETA P SL VA JA (B P) ........................................... 61
6.2. Ve a i e u kontinuiteta poslovni procesa i infor acijske sigurnosti ............................. 64
6.3. Priručnik a kontinuitet poslovanja...................................................................................... 66
6.4. Odgovor na incidente (engl. Incident response) .................................................................. 67
7. LITERATURA ................................................................................................................. 72
1. UVOD
U današnje do a nužno je da organi acije koje se susreću s veliki roje prijetnji od

prirodni nepogoda do prijevara, kra a i gu itka podataka prepo naju važnost upravljanja
informacijsko sigurnosti kao odlučujućeg či enika odvijanja poslovne aktivnosti. Dojam
je da se sigurnost informacijskih sustava još uvijek često ane aruje i s atra troško . Često
se u praksi vide polovična rješenja kojima se o u vaćaju sa o te nički aspekti sigurnosti, a
organizacijski elementi se zanemaruju što često re ultira anjkavosti a i neadekvatni
sustavi a aštite infor acijskih sustava. Be kvalitetnog planiranja i anali a vrlo je teško
razviti i implementirati siguran informacijski sustav. Upravo je taj dio u fokusu ove skripte.
Skripta je podijeljena u šest poglavlja uključujući i prvo uvodno poglavlje. Drugo

poglavlje opisuje te eljne poj ove i koncepte i područja sigurnosti infor acijski sustava.
Treći dio odnosi se na definiranje sustava za upravljanje informacijskog sigurnošću ( SMS), a
nakon toga u četvrto se definira institucionalni i zakonodavni okvir informacijske sigurnosti
u Republici Hrvatskoj. Procjena rizika opisana je u petom poglavlju, a poslovni kontinuitet u
šesto , ujedno zadnjem poglavlju.
„Jedini informacijski sustav koji je zaista siguran je onaj koji je ugašen, isključen iz
napajanja, zaključan u sefu od titana, zakopan u betonskom bunkeru, te okružen nervnim
plinom i dobro plaćenima naoružanim čuvarima. Čak ni tad, ne bih se baš kladio na njega.”
(Eugene Spafford Direktor Computer Operations, Audit and Security Technology (COAST) Purdue
University)
5
2. TEMELJNI POJMOVI IZ SIGURNOSTI
INFORMACIJSKIH SUSTAVA
Ishodi poglavlja:
Definirati pojam sigurnost

Opisati sigurnost kao proces
Definirati i opisati pojam informacijske sigurnosti
Nabrojati i opisati glavne aspekte zaštite informacija
Dati povijesni prikaz informacijske sigurnosti
Opisati temeljne pojmove prijetnja, ranjivost, napad, zaštitna mjera
Definirati organizacijsku strukturu i odgovornosti voditelja informacijske sigurnosti
2.1. Sigurnost
Definicije:
Pleskonjić, Maček, or ević i arić [27] sigurnost definiraju kao proces održavanja
prihvatljive razine rizika. Drugi autori [15] [22] navode sličnu definiciju, odnosno sigurnost
opisuju kao proces s anjenja ri ika ili vjerojatnosti nastajanja štete.
Cingula [13] navodi da je sigurnost osjećaj pojedinca da je aštićen (engl. safe,

protected, secure, franc. sauf, njem. sicher, gesch tzt, gefahrlos) od fi ičke, društvene,
du ovne, novčane, političke, ekono ske, osjećajne, profesionalne, psi ološke, odgojne ili
ilo koje druge prijetnje, ugro e, opasnosti, štete, povrede ili ilo kakvog doga aja koji se
ože tu ačiti kao neželjen. Isto tako, navodi da je sigurnost kontrola nei vjesnosti pri če u
se prepoznata opasnost svodi u granice prihvatljivog rizika.
Bez obzira na definiciju, sigurnost nije proi vod ili avršno stanje, već proces.
Sigurnost kao proces asniva se na četiri osnovna koraka: procjena, aštita,

otkrivanje i odgovor [27].
1. Procjena (engl. assesment). Smatra se posebnom akcijom ato što je u ve i s pravili a,

procedurama, pravnom i drugo regulativo , odre ivanje udžeta i te ničko procjeno
stanja sigurnosti. reška u procjeni ilo kojeg od ovih elemenata ože naškoditi svi
operacijama koje slijede.
6
. Zaštita (engl. protection). Zaštita, tj. sprječavanje ili prevencija podrazumijeva primjenu
protumjera kako i se s anjila ogućnost ugrožavanja sustava. Ako aštita akaže,
primjenjuje se sljedeći korak, odnosno otkrivanje.
3. Otkrivanje (engl. detection). Otkrivanje ili detekcija predstavlja proces identifikacije upada,
tj. povrede sigurnosnih pravila ili incidenata koji se odnose na sigurnost.
4. Odgovor (engl. response). Odgovor ili reakcija predstavlja proces oporavka. U novije
vrijeme sve se češće primjenjuju pravna sredstva (sudski proces protiv onoga koji ugrožava
sigurnost).
Slika 1. Sigurnost kao proces [27]
Kada se govori o sigurnosti i aštiti infor acijski sustava i reža, nekoliko principa
danas vrijedi kao osnovni postulati: [27]
1) Sigurnost je proces. Sigurnost nije gotov proizvod, usluga ili procedura, već skup koji
i sadržava, u još nogo ele enata i jera koje se stalno provode.
2) Ne postoji apsolutna sigurnost.
3) U ra ličite etode te ničke aštite, tre a i ati u vidu i ljudski faktor, sa svi
slabostima.
Uz navedene principe u literaturi se nerijetko spominje i da je sigurnost način

ra išljanja te da ona nije samo pitanje tehnologije i jera aštite.
7
2.2. Informacijska sigurnost
Infor acija se ože definirati kao „podatak s odre eni načenje , odnosno
sa nanje koje se ože prenijeti u ilo koje o liku (pisanom, audio, vizualnom,
elektronskom ili nekom drugom)”. [24]
Informacija je najvažnija i najskuplja imovina (resurs). Njezino pravodobno

posjedovanje, njezina ispravnosti i tajnost često su od odlučujuće važnosti u poslovanju bilo
koje institucije ili organizacije. ajući to na u u, informaciju kao takvu potrebno je aštititi
što je danas zahtjevan posao s obzirom na to da su infor acije i ložene veće roju prijetnji i
ranjivosti.
U takvo okruženju, a ra voje računala, sustavi za upravljanjem informacijama

postaju stvarnost i obveza organizacija kojima je informacija bit djelovanja. Takve
organizacije e u prvi a su uvele i pojam informacijske sigurnosti. Taj se pojam ne odnosi
isključivo na te ničke jere aštite (korisnička i ena, zaporke, enkripciju, prava pristupa i
sl.) već podra u ijeva i ad inistrativne i organizacijske mjere (sigurnosna politika,
pravilnici, procedure) te fi ičke jere (videonad or, aštita prostorija, fi ička kontrola
pristupa). Bez obzira na to u kojem je obliku pohranjena, infor acija uvijek ora iti
prikladno aštićena. Kako i infor acijski sustav io aštićen na pravi način, potre no je
uspješno uskladiti, implementirati i nadzirati te pregledavati i po oljšavati sve potre ne jere
aštite kako bi se osiguralo ispunjenje poslovnih i sigurnosnih zahtjeva organizacije. Treba
iti svjestan da definiranje, i ple entacija, održavanje i po oljšavanje infor acijske
sigurnosti ože iti od presudne važnosti kako i se ostvarila i adržala konkurentnost,
osigurao dotok novca i profitabilnost, kako bi se zadovoljile zakonske norme i osigurao
poslovni ugled.
Marijanović [23] ističe da se pod poj o infor acijske sigurnosti podra u ijeva
aštita infor acija od velikog broja prijetnji kako i se osigurao poslovni kontinuitet, s anjio
ri ik, te povećao roj poslovni prilika i povrat od investicija.
8
Prema Nacionalnom programu informacijske sigurnosti u RH [24] „sigurnost
infor acijski sustava ( SE ) podra u ijeva sigurnost podataka na elektronički
ediji a i računali a (COMPUSEC), sigurnost podataka u sustavima za prijenos podataka
(COMSEC) te sigurnost informacijske infrastrukture u posebnim kategorijama prostora od
ra ličiti vrsta pasivnog ili aktivnog prisluškivanja (TECSEC).”
„ nfor acijska sigurnost je disciplina kojoj je osnovni cilj osigurati aštitu infor acija i
infor acijski sustava od neovlaštenog pristupa, korištenja, pri jene ili uništavanja.” [25]
nfor acijska sigurnost tako er uključuje:

 oporavak informacijskih sustava
 detekciju i odvraćanje napada
 pri jenu akonski propisa koji se odnose na privatnost, računalni kri inal,
računalnu foren iku i slično.
Važno je i spo enuti da se u to kontekstu sve češće upotrebljava termin

osiguravanje informacija (engl. Information Assurance), kao zamjenski za pojam
informacijska sigurnost, ponajprije og preširokog načenja riječi sigurnost. Osiguravanje
informacija u tom smislu predstavlja me udjelovanje te nologije koja osigurava uvjete
sigurnosti, procesa koji osnažuju djelovanje te nologije i ljudi koji o ogućavaju rad
tehnologije u operativnoj uporabi. [18]
Informacijski sustav jest svaki sustav koji se prikupljaju, po ranjuju, čuvaju,

o ra uju, prika uju, do vaćaju i isporučuju infor acije tako da udu dostupne i upotre ljive
za svakoga tko ima pravo njima se koristiti. [25]
nfor acije je potre no aštititi:
a) od neovlašteni izmjena, odnosno osigurati integritet

b) od objavljivanja tajnih informacija, odnosno osigurati povjerljivost,
c) od uskraćivanja dostupnosti infor acija ovlašteni korisnici a, odnosno osigurati
raspoloživost/dostupnost.
9
Slika 2. Sigurnost informacija [8]
ično se u području infor acijske sigurnosti to o načava kao očuvanje -I-A, gdje
je C-I-A akroni od engleski riječi: onfidentiality, Integrity i Availability (u prijevodu
o načavaju povjerljivost, integritet i dostupnost). U literaturi povezanost tih triju aspekata
prikazuje se kroz tzv. sigurnosni trokut (engl. CIA triad).
Slika 3. Sigurnosni trokut (engl. CIA triad) [17]
Povjerljivost se odnosi na osiguranje da je infor acija dostupna sa o oni a koji

i aju ovlašteni pristup istoj. Kod ovog aspekta najveća pažnja us jerena je na korisničku
identifikaciju i autentifikaciju.
Drugi aspekt sigurnosnog trokuta jest integritet. Pod poj o integriteta

podra u ijeva se činjenica da infor acija ne ože iti pro ijenjena e odgovarajućeg
10
ovlaštenja, odnosno da su one ogućene pro jene od strane neovlašteni oso a ili
neovlaštene pro jene ovlašteni korisnika.
Kao treći aspekt infor acijske sigurnosti navodi se dostupnost (raspoloživost), a taj
pojam odnosi se upravo na dostupnost podataka i infor acija korisnici a. ajviši cilj
dostupnosti jest osigurati stalnu odnosno pravodobnu dostupnost potrebnih informacija. Dva
su najčešća uzroka neraspoloživosti sustava: odbijanje usluge (eng. Denial Of Service - DoS) i
gu itak ogućnosti obrade podataka.
U smjernicama HNB-a [33] u kontekstu sigurnosti informacijskih sustava navodi se da

se funkcionalan i siguran informacijski sustav mora, osim na povjerljivosti, integritetu i
raspoloživosti, zasnivati i na sljedeći te eljni načelima:
1. neporecivosti: svojstvu koje osigurava ne ogućnost poricanja i vršene aktivnosti ili

primitka informacije;
2. dokazivosti: svojstvu koje osigurava da aktivnosti su jekta ogu iti praćene
jedinstveno do samog subjekta;
3. autentičnosti: svojstvu koje osigurava da je identitet subjekta zaista onaj za koji se
tvrdi da jest;
4. pouzdanosti: svojstvu dosljednog, očekivanog ponašanja i re ultata.
2.3. Povijesni razvoj informacijske sigurnosti
Ako se analizira literatura koja prati povijesni razvoj informacijske sigurnosti,

pri jećuju se dva pristupa navedenoj temi. Prvi pristup temelji se na procjeni prijetnji, a drugi
pristup na us jerenosti pre a cilju koji se želi postići. Procjena prijetnji najčešće se opisuje
nu erički i statistički podaci a te je više okrenuta te nički vještina a aštite, ali
o ogućuje olju cjelovitost sagledavanja pro le a. Drugi pristup više se avi upravljanje
sustavom sigurnosti i zahtijeva detaljniju stručnu anali u.
Povijesni razvoj informacijske sigurnosti opisan je i u knjizi „Evolucija ciljeva

informacijske sigurnosti od 1960-tih do danas” [12] te se u njoj navode glavne načajke dane
u nastavku.
11
Razdoblje 1950/60-ih
 sigurnosne prijetnje: u malom broju; ra lo i: računala su skupa i malobrojna, novost:

relativno mali broj korisnika, a najviše vlada i vojska;
 sigurnost se odnosi sa o na fi ički pristup računalu;
 veća po ornost pridaje se pou danosti računala.
Razdoblje 1960/70-ih
 pojava prvi oso ni računala;

 sigurnosne prijetnje: i dalje u malom broju; razlozi: stand-alone računala i specifičan
softver;
 1970-e: ra voj standardi irani aplikacija o načava i povećanje prijetnji sigurnosti;
 fokus sigurnosti po iče se s računala na infor acije; pojava termina InfoSec,
doku enti i i vještaji o sigurnosti odnose se na povjerljivost informacija, najčešće
vojnih i vladinih;
 1974. godine Saltzer i Schroeder [31] ističu potre u aštititi infor acije; prvi put
spominju se termini integriteta, povjerljivosti i dostupnosti kroz sigurnosni trokut
(engl. CIA triad).
Razdoblje 1980-ih
 veća upotre a računala u sektoru gospodarstva, ra ličiti prioriteti u odnosu na vojsku i

vladu (trošak/profit);
 fokus je na očuvanju integriteta infor acija;
 prijetnja: nedovoljno o učeni zaposlenici;
 pomaci u zakonodavstvu i standardizacija
 The Morris worm, 1998.: prvi a ilježeni DoS napad.
12
Razdoblje 1990-ih i početak 21. stoljeća
 1998. nastaje termin Information Assurance (IA): osim integriteta, dostupnosti i

povjerljivosti, govori se i o autentikaciji i o neporecivosti (korištenje, po rana i
prijenos informacija);
 fokus se sa sigurnosti informacija prebacuje na sigurnost sustava, odnosno s te ničkog
na organizacijski dio;
 Standard - BS7799 Part 1:1995;
 povjerljivost, dostupnost i integritet nadopunjuje se potrebom u posjedovanju te
točnošću, jasnošću i ko pletnošću infor acija;
 u poslovno s islu počinje se pratiti i učinkovitost sigurnosnih mjera - sigurnost
poslovanja - rješenje unapre uje poslovanje
Danas
 sigurnost je integralni dio korporacija – korporativna sigurnost;

 pojedinci: upotre a društveni reža – sve veća važnost pridaje se i privatnosti
informacija (osobni podaci);
 naglasak je i na odgovornosti i podizanju svijesti o sigurnosti.
Neki od autora [15] navode i ovakvu podjelu u razvoju sigurnosti:
 Sigurnost računala (engl. Computer Security – 1970.)

 Sigurnost podataka (engl. Data Security – 1980.)
 Sigurnost informacija, Informacijska sigurnost (engl. Information Security – 1983.)
 Sigurnost informacijskih sustava (engl. IS Security – 1988.)
 Sigurnost poslovanja (engl. Enterprise protection – Enterprise Security Architecture,
Industrial Security – 1995.)
13
Budući da je prethodno navedeno što je sigurnost infor acijski sustava, ože se i
definirati što nije, odnosno što se ne s atra pod ti poj o . To se ponajprije odnosi na dvije
situacije, odnosno paranoju i neugodnost sustava. Pod paranojom se misli taktika
zabranjivanje svega, odnosno ograničavanja korisnika unaprijed „ a svaki slučaj”, a pod
neugodnost sustava spada forsirana autentikacija i politika „ide a raniti, pa ću dopustiti
ako će se netko žaliti”. Isto tako, važno je napo enuti da i forsiranje implementacije
isključivo te nološki rješenja e ikakvog cilja i strategije kao i prepuštanje rige oko
sigurnosti sustava infor atičkom odjelu unutar organizacije nije sigurnost informacijskih
sustava.
Isto tako, treba istaknuti sljedeće: informacijska sigurnost nije IT sigurnost, odnosno
infor acijski sustav ( S) nije T sustav. To su dvije ra ličite stvari. U svako slučaju, IT
sustav dio je (podskup) nogo šireg infor acijskog sustava.
2.4. Prijetnje
Sigurnost infor acijski sustava ože iti ugrožena na više načina.
U kontekstu informacijske sigurnosti prijetnja je objekt, osoba ili drugi entitet koji
predstavlja stalnu opasnost za imovinu organizacije. Prijetnja se definira i kao „ ogući u rok
neželjenog incidenta koji ože u rokovati štetu sustavu ili organi aciji.” [34] Neke od
definicija prijetnji su i: [33]
• Prijetnja je svaka sila ili sredstvo koja ože poništiti ili s anjiti učinkovitost sustava,
odnosno ograničiti ili one ogućiti ispunjenje cilja.
• Prijetnje su potencijalni u rok neželjenog doga aja (sigurnosnog incidenta) koji ože
i ati a posljedicu štetu a sustav, i ovinu ili organi aciju.
Prijetnja ože prou ročiti neželjenu situaciju čija posljedica ože iti nanošenje štete
i ovini u organi aciji. Prijetnja ora iskoristiti postojeću ranjivost i ovine da i se
reali irala i re ultirala šteto . Stoga je potre no točno utvrditi prijetnje kao i nji ovu ra inu i
14
vjerojatnost (mala, srednja, velika).
Slika 4. Nivo vjerovatnosti prijetnji [34]
Prijetnje ože o podijeliti pre a i voru:
1. ljudi – namjerne prijetnje

2. ljudi – nenamjerne prijetnje
3. oprema
4. prirodne nepogode.
Slika 5. ajčešće prijetnje sigurnosti infor acijski sustava [21]
Prijetnje se mogu grupirati i prema navedeni područji a:
• logička infiltracija
• komunikacijska infiltracija
• kvarovi na opremi
• pogreške radi aposlenika
• fi ičke prijetnje.
Svaka prijetnja i a o ilježja koja pružaju korisne infor acije o sa oj prijetnji.

Pri jeri takvi korisni infor acija uključuju: [33]
15
1. i vor (pri jerice je li riječ o unutrašnjoj ili vanjskoj prijetnji)
2. motiv (primjerice ostvarivanje financijske dobiti, ostvarivanje konkurentske prednosti)
3. učestalost pojavljivanja
4. ra ornu oć.
2.5. Ranjivost
Ranjivost se definira kao „sla ost i ovine ili grupe i ovina koju jedna ili više
prijetnji mogu iskoristiti” [28] pćenito ože o ranjivosti podijeliti na ranjivosti aplikacije i
ranjivosti operacijskog sustava.
„Ranjivost sama po sebi ne nanosi štetu, nego ranjivost ože o definirati kao stanje
ili skup stanja koji ože o ogućiti nekoj prijetnji da utječe na resurse (pri jerice nedostatak
e ani a a kontrole pristupa jest ranjivost koja i ogla o ogućiti ostvarenje prijetnje
neovlaštenog pristupa, što ože dovesti do gu itka ili oštećenja resursa).” [33]
„Anali a ranjivosti je procjena sla osti koje identificirane prijetnje ogu iskoristiti. Ta
i anali a tre ala u eti u o ir okruženje i postojeće aštitne jere i kontrole. Ranjivost u
odnosu na neku prijetnju poka atelj je lakoće kojo je oguće naštetiti sustavu ili resursi a.
” [33]
Ranjivost se najčešće povezuje s propusti a u progra sko kodu, no ogući su i

nogi drugi pri jeri, kao što su površno i ple entirana fi ička sigurnost, nedovoljno
poznavanje i neprikladan izbor tehnologija i alata, propusti u dizajnu sustava, propusti u
i ple entaciji i održavanju sustava i sl.
Postoje tri osnovna tipa ranjivosti s obzirom na prirodu informacijskog sustava i faze u
kojoj se nalazi s obzirom na SDLC (engl. System Development Life Cycle): [28]
• ako informacijski sustav još nije di ajniran, ispitivanje ranjivosti potrebno je fokusirati
na sigurnosnu politiku organizacije, planirane sigurnosne postupke te na razvojnu
sigurnosnu analizu proizvoda;
16
• ako je informacijski sustav u fa i i ple entacije, identifikacija ranjivosti je proširena
i uključuje više specifični podataka, kao opis načenja planirane sigurnosti u
dokumentaciji dizajna sigurnosti te rezultati testiranja i ocjene sustava;
• ako je sustav u radu, proces idntifikacije ranjivosti tre a uključivati anali e o ilježja
informacijskog sustava i sigurnosne kontrole, tehnike i postupke koji se upotrebljavaju
u aštiti sustava.
Da i se uspješno identificirale ranjivosti sustava, potrebno je testiranje samog sustava

ovisno o kritični točka a infor acijskog sustava i dostupni resursi a (te nologija,
stručno oso lje a testiranje...).
Metode ispitivanja ranjivosti jesu:
 alati za automatsko skeniranje ranjivosti (koriste se metodom koja skenira korisnike

reže na po nate ranjive servise poput TP protokola, ali ovi alati ne ogu poka ati
realne ranjivosti u sklopu okruženja u koje se nala i infor acijski sustav);
 sigurnosni testovi i vrednovanja (testiranje efikasnosti ugra eni sigurnosni kontrola
u informacijski sustav, tako da kontrole zadovoljavaju sigurnosnu politiku
organizacije i industrijske standarde);
 testiranje upada u sustav (procjena sposobnosti da se informacijski sustav odupre
na jerni pokušaji a ao ilaženja sigurnosnog sustava).
Osim navedenih metoda, izvori o ranjivosti mogu biti:
 dokumentacija od prethodnih analiza rizika procjenjivanog informacijskog sustava

 i vještaji kontrolni pregleda (audita) sustava, i vještaji o ano alija a sustava,
i vještaji sigurnosni pregleda te i vještaji testiranja i procjene sustava
 popisi ranjivosti drugih organizacija
 sigurnosna upozorenja unutar sustava
 specijalizirane mailing liste.
17
2.6. Napad
U osnovi, napadi su akcije koje su us jerene na ugrožavanje sigurnosti infor acija,

računalni sustava i reža. nteres počinitelja ože se definirati kao napad/provala/upad radi:
 ostvarenje koristi/štete: provala

 samodokazivanja: upad
„Napad je djelo, akcija koja iskorištava priliku postojanja ranjivosti kako i se ko pro itirao S
sustav koji tre a o aštititi” [15]
pćenito se svaki napad pre a cilju koji nastoji ostvariti ože svrstati u jednu od sljedeće tri
kategorije:
 Napad pristupa (engl. access attack) - napad u koje napadač želi ado iti pristup
povjerljivi resursi a a koje nije ovlašten.
 Napad modifikacije (engl. modification attack) - napad u koje napadač želi prisilno
izmijeniti informacije u sustavu a koje nije ovlašten.
 apad uskraćivanje usluge (engl. denial of service attack) - napad u koje napadač želi
pore etiti i one ogućiti rad reže, usluga, sustava u cjelini.
Podjela:
 Aktivni napadi jesu oni kod kojih kao posljedica dolazi do promjene objekta koji se
napada (npr. mijenjanje podataka).
 Pasivni napadi jesu oni kod koji sa o jekt ostaje nepro ijenjen (npr. neovlašteni
pristup podaci a e da i se riše ili ijenja).
Podjela:
 unutarnji: posjeduje ovlaštenja
 vanjski: ne posjeduje ovlaštenja
18
Cilj napada najčešće su:
 podatkovni resursi
 strojna podrška
 progra ska podrška
apad u kontekstu računalnog kri inala:
1. uspješan napad
2. napad u pokušaju
Postoje ra ličite vrste napada, ali oni se općenito ogu podijeliti u četiri osnovne
kategorije:
a) presijecanje, prekidanje (engl. interruption)
b) presretanje (engl. interception)
c) izmjena (engl. modification)
d) proizvodnja (engl. fabrication)
Slika 6. Kategorije napada [27]
19
Koraci kod napada su:
 ispitaj i procijeni (engl. survey and assess)

 iskoristi i pro i (engl. exploit and penetrate)
 povećaj privilegije (engl. escalate privileges)
 održi pristup (engl. maintain access)
 odbij uslugu (engl. deny service)
Postoji nekoliko načina anipuliranja i pripre e napada na infor acijski sustav:
 Mrežno orijentirani napad

 Socijalno inženjerstvo
 Zao ilaženje fi ički sigurnosni jera
2.7. Zaštitne mjere
Prema „Smjernicama za upravljanje informacijskim sustavom u cilju smanjenja

operativnog rizika Hrvatske narodne banke” [33] aštitne jere uključuju sve postupke,
procedure i mehanizme kojima se:
 štite resursi infor acijskog sustava od prijetnja
 smanjuju ranjivosti informacijskog sustava
 ograničava učinak neželjeni doga aja
 otkrivaju neželjeni doga aji
 pospješuje oporavak.
Zaštitne jere i aju jednu od sljedeći uloga ili više nji :
1) prevencije
2) odvraćanja
3) otkrivanja
4) ograničavanja
20
5) korigiranja
6) oporavka
7) nadzora
8) osvješćivanja.
Tako er tre a i ati na u u da je podi anje ra ine nanja i svijesti aposlenika

vezanih uz sigurnost i funkcionalnost infor acijskog sustava važna aštitna jera.
Zaštitne jere dijele se:
 na aštitu sa i podataka
 na progra sku aštitu
 na organi acijsku aštitu te
 na fi ičku i te ničku aštitu.
Mjere koje u praksi postižu do re re ulate pri implementaciji informacijske sigurnosti jesu:
a) sigurnosna politika
b) podjela odgovornosti informacijske sigurnosti
c) svijest o informacijskoj sigurnosti, edukacija i trening
d) ispravno procesiranje podataka u aplikacijama
e) upravljanje ranjivostima
f) upravljanje poslovnim kontinuitetom i
g) upravljanje sigurnosnim incidentima i po oljšanji a sustava.
2.8. Voditelj sigurnosti informacijskog sustava (engl. Chief Information Systems Security
Officer – CISSO)
„ so a čije je prvenstvena riga sigurnost informacijskih sustava je voditelj sigurnosti

(engl. CSO, Chief Security Officer). Poželjno je da voditelj sigurnosti ude stručan, ali da
istovre eno posjeduje sposo nost a vo enje ljudi i da je ko unikativan.” [10]
„Njegova je briga ukupna sigurnost informacijski sustava. To uključuje fi ičku

sigurnost, pri če u će sura ivati s aposlenici a poput portira, čuvara i slično. Voditelj
sigurnosti piše pravilnike, nad ire rad reže i servisa, organizira obrazovanje korisnika i
21
administratora, komunicira s upravo , sudjeluje u donošenju odluka o na avi računala i
softvera, te sudjeluje u ra voju softvera, kako i osigurao da se poštuju pravila iz sigurnosne
politike.” [10]
Voditelj sigurnosti informacijskog sustava trebao bi: [33]
 nadzirati i koordinirati aktivnosti vezane uz sigurnost informacijskog sustava

 inicirati pri jenu do ri praksi i pri vaćeni standarda ve ani u sigurnost
informacijskog sustava
 i ati savjetodavnu ulogu u ve i sa sigurnošću informacijskog sustava.
Zadaci voditelja sigurnosti tre ali i, i e u ostalog, uključivati sljedeće:
 odre ivanje sigurnosni ciljeva u skladu sa strategijo infor acijskog sustava anke
 razvoj politike sigurnosti informacijskog sustava, standarda, smjernica i ostalih
 internih akata u cilju postizanja i održavanja adovoljavajuće ra ine sigurnosti
 razvoj i primjenu strategije sigurnosti i sigurnosne arhitekture informacijskog sustava
 nad iranje istrage u slučajevi a narušavanja sigurnosti infor acijskog sustava
 suradnju s vanjskim suradnicima prilikom obavljanja neovisnih revizija i testiranja
sigurnosti informacijskog sustava
 anali iranje sigurnosni potre a te u skladu s nji a predlaganje planiranja,
i ple entacije, testiranja i nad iranja aktivnosti a po oljšanje sigurnosti
informacijskog sustava
 planiranje i koordiniranje anali e isplativosti preporučeni i postojeći sigurnosni
rješenja
 upozoravanje na potrebu za izobrazbom i davanje smjernica za izobrazbu svih osoba
koje se koriste infor acijski sustavo anke, a u ve i sa sigurnošću informacijskog
sustava
 dostavljanje i vješća upravi i nad orno od oru anke
 procjenu rizika sigurnosti informacijskog sustava
 kontroliranje provo enja politike sigurnosti infor acijskog sustava i ostali interni
akata koji se odnose na sve aspekte sigurnosti informacijskog sustava
 koordiniranje aktivnosti s organizacijskom jedinicom informacijske tehnologije i
unutarnjom revizijom
22
 sudjelovanje u načajniji fa a a u životno ciklusu infor acijskog sustava s
aspekta sigurnosti
 sudjelovanje u planiranju kontinuiteta poslovanja
3. V V
(ISMS)
Ishodi poglavlja:
Definirati pojam sustava za upravljanje informacijskom sigurnošću (ISMS)

Opisati pojmove standard, norma i kontrola
Opisati aktivnosti PDCA modela
Definirati efikasnost sustava za upravljanje sigurnošću informacijskih sustva
Definicije:
Sustav upravljanja infor acijsko sigurnošću (engl. Information Security

Management System, ISMS) dio je sveukupnog sustava upravljanja, utemeljen na pristupu
upravljanju rizicima, u cilju uspostavljanja, provo enja, praćenja, revidiranja, održavanja i
unaprje ivanja informacijske sigurnosti. [16]
Adelsberger [1] pod terminom ISMS podrazumijeva „dokumentirani proces koji uz

po oć resursa i pravila osigurava ispunjenje a tjeva očuvanja aspekata infor acijske
sigurnosti C-I-A. Taj proces, za ostvarenje planiranih ciljeva, zahtjeva u organizaciji niz
novih organizacijsko-funkcionalni pristupa, najčešće i nove resurse, ali o ave no ni novi
znanja i vještina te podi anja svijesti o infor acijskoj sigurnosti svih sudionika.”
Uspješno usvajanje i uspostava SMS-a je važno og aštite infor acijske i ovine

što
o ogućuje organi aciji:
a) da postigne veću garanciju sigurnosti u aštiti infor acijske i ovine od
informacijskih rizika na kontinuiranoj osnovi;
23
b) da održava strukturiran sveo u vatan radni okvir a identifikaciju i procjeni ri ika
infor acijske sigurnosti, oda ir i pri jenu odgovarajući sigurnosni jera
(kontrola) te mjerenje i po oljšanje nji ove učinkovitosti;
c) da kontinuirano po oljšava kontroliranu okolinu i
d) da djelotvorno postiže akonsku i regulatornu uskla enost.
Da bi se postavio temelj informacijske sigurnosti i odredili njezini okviri te o ogućilo

ra u ijevanje sigurnosni a tjeva organi cacije i potre u a uspostavo ciljeva na području
informacijske sigurnosti, upotrebljavaju se standardi odnosno norme.
„Standard sadrži strukturirani set s jernica i specifikacija a po oć organi acijama u

ra voju sustava upravljanja infor acijsko sigurnošću. Implementacija sigurnosnih kontrola
po standardi a ne sa o da one ogućava previd pojedini kontrola, već je i doka kvalitete
uspostavljenih sigurnosnih kontrola.” [21]
„Norme su javno objavljene specifikacije koje u domeni informacijske sigurnosti daju

etodologiju kako riješiti pojedine aspekte infor acijske sigurnosti.” [21]
akon što se identificiraju sigurnosni a tjevi i napravi procjena ri ika, potre no je

izabrati i implementirati prikladne kontrole kako bi se rizik sveo na prihvatljivu razinu. Izbor
kontrola ovisi o organi aciji, odnosno pri vatljivosti ri ika i načinu upravljanja rizikom, ali i
o nacionalni i e unarodni akonski pravi a i o ve a a.
„Me unarodni standardi, odnosno nor e, koji se odnose na infor acijsku sigurnost
i ra eni su kako i organi acija a po ogli da uspostave sustav upravljanja infor acijsko
sigurnošću. rgani acije koje se potrude i steknu certifikate koji potvr uju sukladnost sa
a tjevi a e unarodni nor i, ogu na taj način adovoljiti a tjeve akonodavca, a
istovre eno steći povjerenje poslovni partnera i kupaca, što i daje poslovnu prednost na
ko petitivno tržištu. Radi toga se spo enute organi acije kod koji čitatelj ože pronaći
nor e i standarde infor acijske sigurnosti te noštvo korisni uputa i savjeta o to e kako
uspostaviti sustav upravljanja informacijskom sigurnošću. ” [9]
Standardi koji su od velike važnosti a sigurnost infor acijski sustava jesu: ISO
27001 – Sustav upravljanja infor atičko sigurnošću te ISO 27002 – Kodeks postupaka a
24
upravljanje infor acijsko sigurnošću. Kako bi se uspostavio kvalitetan sustav a
upravljanje sigurnošću infor acija, potrebno je upotrebljavati oba standarda.
ISO 27002 i ISO 27001 glavni su e unarodni standardi informacijske sigurnosti,

koje je objavila Internacionalna organizacija za standardizaciju (ISO). Navedeni standardi
važni su a valjujući činjenici da i je oguće pri ijeniti na gotovo sve organi acije jer
osiguravaju fleksi ilnost, definiraju upravljački okvir, a ne ula e u konkretnu te ničku
implementaciju.
Osim glavnih standarda, postoje i mnogi drugi ve ani u pro le atiku aštite i
sigurnosti infor acijski sustava, koji su već doneseni ili su planirani u naredno ra do lju:
 S – Rječnik ter ina koji se koriste unutar S 27000 serije standarda

 ISO 27001 – Sustav upravljanja infor atičko sigurnošću (ISMS)
 ISO 27002 – Kodeks postupaka a upravljanje infor acijsko sigurnošću
 S – Vodič a i ple entaciju SMS-a
 ISO 27004 – Mjerenje i metrika efikasnosti sustava informacijske sigurnosti
 ISO 27005 – Upravljanje rizicima informacijske sigurnosti
 ISO 27006 – Zahtjevi za postupkom analize i certificiranja standarda
 ISO 27007 – Upute za analizu ISMS-a
 ISO 27011 – Upute za uspostavu ISMS u telekomunikacijskom sektoru
 ISO 27031 – Specifikacije za ICT odjel pripremljenosti poslovne neprekinutosti rada
 ISO 27032 – Upute za cyber- sigurnost
 S – Upute a režnu sigurnost
 ISO 27034 – Upute za sigurnost aplikacija
 ISO 27799 – Sigurnosni sustav u zdravstvu
ISO 27001 temeljni je standard ISO 27000 serije standarda, a definira zahtjeve za
uspostavu, implementaciju, rad, nadzor, reviziju, održavanje i po oljšavanje doku entiranog
sustava upravljanja infor acijsko sigurnošću.
Sigurnosne domene (kategorije) koje su pokrivene ovim standardom jesu:
25
 Politika sigurnosti
 Organizacija informacijske sigurnosti
 Upravljanje imovinom
 Sigurnost ljudskog potencijala
 i ička sigurnost i sigurnost okruženja
 Upravljanje komunikacijama i operacijama
 Kontrola pristupa
 a ava, ra voj i održavanje infor acijski sustava
 Upravljanje sigurnosnim incidentima
 Upravljanje kontinuitetom poslovanja
 Sukladnost
ajnovija inačica ovog standarda je o javljena 1 . godine, te je sadašnji puni na iv

ISO/IEC 27001:2013. ajvažnije i jene u ver iji 1 se odnose na strukturu glavnog dijela
standarda, ainteresirane strane, ciljeve, praćenje i jerenje. Me uti , sve te i jene nisu
zapravo mnogo promijenile standard u cjelini – njegova temeljna filozofija se i dalje bazira na
procjeni i o radi ri ika, a adržane su iste fa e uspostave, primjene, pregledavanja i
po oljšavanja. va nova ver ija standarda je lakša a čitanje i ra u ijevanje, te je nogo
jednostavnija a integriranje s drugi standardi a upravljanja kao što su S 9 1, S
22301, itd.
Nova revizija norme IEC/ISO 27001 iz 1 . godine sadržava ove sigurnosne kategorije:
Poglavlje 0: Uvod – o jašnjava svr u S 1 i njegovu ko pati ilnost s drugi

standardima upravljanja.
Poglavlje 1: Opseg – o jašnjava da je ovaj standard pri jenjiv u ilo kojoj organi aciji.
Poglavlje : Upućivanje na druge nor e – upućuje na S / E kao standard u koje u

su navedeni pojmovi i definicije.
Poglavlje 3: Pojmovi i definicije – tako er upućuje na S / E .
26
Poglavlje 4: Kontekst organizacije – ovo poglavlje je dio faze planiranja u PDCA krugu
(uspostava, upravljanje, pregledavanje, po oljšavanje) i definira uvjete a ra u ijevanje
vanjskih i unutarnjih pitanja, zainteresiranih strana i njihovih zahtjeva, te definiranje opsega
sustava upravljanja infor acijsko sigurnošću.
Poglavlje 5: Rukovo enje – ovaj odjeljak je dio faze planiranja PDCA ciklusa i definira
odgovornost top enadž enta, odre uje uloge i odgovornosti, te sadržaj krovne politike
informacijske sigurnosti.
Poglavlje 6: Planiranje – ovo poglavlje je dio faze planiranja u PDCA krugu i definira uvjete
za procjenu rizika, obradu rizika, Izjavu o primjenjivosti, plan obrade rizika, te postavlja
ciljeve informacijske sigurnosti.
Poglavlje : Podrška – ovo poglavlje je dio faze planiranja u PDCA krugu i definira uvjete za
dostupnost resursa, nadležnosti, infor iranost, ko unikaciju i kontrolu doku enata i apisa.
Poglavlje 8: Djelovanje – ovo poglavlje je dio Do faze (primjene) u PDCA krugu i definira
provedbu procjene i obrade rizika, kao i sigurnosne mjere i druge procese potrebne za
postizanje ciljeva informacijske sigurnosti.
Poglavlje 9: cjena učinaka – ovo poglavlje je dio faze pregledavanja u PDCA krugu i
definira uvjete a praćenje, jerenje, anali u, procjenu, unutarnju revi iju i pregled
enadž enta.
Poglavlje 1 : Po oljšanje – ovo poglavlje je dio fa e po oljšanja u PD A krugu i definira

uvjete a nesukladnosti, ispravke, korektivne jere i trajno po oljšanje.
Aneks A – ovaj aneks nudi katalog 114 sigurnosnih mjera koje se nalaze u 14 poglavlja
(poglavlja od A.5 do A.18).
Svaka glavna sigurnosna kategorija sadržava:
 cilj kontrole koji definira što tre a postići i
27
 jednu ili više kontrola koje se ogu pri ijeniti a posti anje tog cilja.
Primjer
Upravljanje imovinom
 Odgovornost za imovinu
 Cilj: postizanje i održavanje odgovarajuće zaštite imovine organizacije.
Klasifikacija informacija
 Cilj: osiguranje odgovarajuće razine zaštite informacija.
ISO/IEC 27001 upotrebljava PDCA (engl. Plan-Do-Check-Act) model. Ovaj model

ističe važnost pažljivog planiranja progra a uspostave sustava, što re ultira efikasni
jera a a njegovo trajno po oljšanje i pravilnu upora u.
Slika 7. Faze PDCA ciklusa (modela) [17]
U nastavku su ukratko opisani koraci po pojedinim fazama PDCA modela.
PLAN faza
28
1) Podrška uprave. Prije i ple entacije ilo kojeg efikasnog sustava upravljanja
najvažnije je da uprava u potpunosti ra u ije koristi uvodenja sustava te podržava
njegovo uvo enje, svjesna ogući pro le a i prepreka koje se ogu pojaviti.
Sigurnost tre a iti potaknuta od vr a organi acije. Kako i se uspješno ispunili
ciljevi i a tjevi infor acijske sigurnosti, važno je da i vršno tijelo organi acije
preuzme inicijativu u promicanju informacijske sigurnosti te pruži punu potporu ti u
ili vanjski suradnici a koji će provoditi proces.
2) Definiranje opsega sustava upravljanja sigurnošću informacija. Drugi korak jest
definiranje područja koje će pokrivati implementirani sustav upravljanja sigurnošću
infor acija. To ože iti područje cijelog informacijskog sustava organizacije ili
sa o jedan njegov dio. Tako er, sustav ože pokrivati sa o jednu specificnu uslugu,
npr. internetsko ankarstvo. Područje opsega sustava upravljanja sigurnošcu
informacija o u vaća sve one domene za koje organizacija smatra da trebaju
adekvatnu infor acijsku aštitu.
3) Kreiranje dokumenta sigurnosne politike. Dokument sigurnosne politike relativno je
kratak dokument (1 – 3 stranice), potpisan od strane uprave organizacije te prezentiran
svim zaposlenicima. Namjena dokumenta jest iskazivanje potpune potpore
poslovodstva uvo enju sustava upravljanja sigurnošću informacija. Dokumentom se
nedvoj eno i ražava politika organizacije da će osigurati tajnost informacija, štititi
njihov integritet te osiguravati njihovu dostupnost samo autoriziranim korisnicima. Svi
drugi relevantni dokumenti, pravne i zakonske odred e od specifične važnosti a
organizaciju, kao i ostali dokumenti sigurnosne politike namijenjene odre eni
aspektima informacijskog sustava, trebaju biti navedeni u krovnom dokumentu
sigurnosne politike.
4) Uspostaviti upravljačku strukturu a proved u jera i strategija sustava upravljanja
sigurnošću infor acija. Struktura se rine a proved u, kreiranje i održavanje
ažurnosti sigurnosni politika, kao i relevantni standarda, procedura i planova.
Struktura se sastoji od ra ličiti tijela i ti ova aduženi a specifične sigurnosne
aspekte. Konačnu odgovornost a proved u sigurnosni jera preu i a glavni
služ enik a infor acijsku sigurnost. jegove odgovornosti i ovlaštenja moraju biti
jasno definirani, kao i odgovornosti i ovlaštenja svakog aposlenika u upravljačkoj
strukturi a sigurnost infor acija. a taj način postiže se adekvatna proved a
sigurnosnih mjera unutar organizacije.
29
5) vo enje procjene ri ika. Kako i se donijela odluka o to e koje je informacijske
resurse potre no aštititi, nužno je provesti detaljnu anali u organi acije u cilju
utvr ivanja lokacije, načina postupanja i odgovornosti a pojedine infor acijske
resurse. Informacijski resursi svakog dijela organizacije trebaju se klasificirati unutar
aspekata tajnosti, integriteta i dostupnosti.
6) Odabir sigurnosnih kontrola. Podrazumijeva se da nisu sve kontrole primjenjive na sve
organi acije. Preporučuje se upotre a sa o oni kontrola koje su u procesu anali e
ri ika identificirane kao nužne za primjenu. Nakon odabira sigurnosnih kontrola
specifične sigurnosne politike definiraju se a svaku pojedinu kontrolu, kako i se
osigurala željena ra ina sigurnosti. Preporuke i procedure a i ple entaciju
sigurnosnih politika specificiraju se u posebnoj dokumentaciji o implementaciji
sigurnosne politike, te se sama implementacija mjera definiranih politikama provodi u
„Act” fazi PDCA ciklusa.
7) Kreiranje Izjave o primjenjivosti. Norma ISO/IEC 27001 zahtijeva postojanje
dokumenta zvanog Izjava o primjenjivosti (engl. Statement Of Applicability, SoA),
koji sadržava popis sigurnosni kontrola s o jašnjenji a ašto su pojedine kontrole
uključene odnosno isključene i sustava. Standard podra u ijeva da je opseg sustava
upravljanja sigurnošću infor acija specifican za svaku pojedinu organizaciju i samim
ti je opravdano isključivanje pojedini kontrola i sustava.
DO faza
1) Izrada i implementacija plana upravljanja sigurnosnim rizikom. Plan upravljanja

sigurnosnim rizikom jest projektni plan koji se uključuju eventualne dodatne
sigurnosne kontrole u sustav upravljanja sigurnošću informacija ako se za tim otkrije
potre a pri i vo enju procjene rizika. Uslijed promjene informacijskih resursa ili
pro jene veličine ri ika a pojedine informacijske resurse potrebno je ponovno
provesti postupak procjene ri ika te revidirati i ažurirati sigurnosnu politiku a
relevantne sigurnosne kontrole. Pri for ulaciji jera a posti anje željene ra ine
sigurnosti, formulira se plan za upravljanje sigurnosnim rizikom tako da se veličina
rizika nastoji svesti na naj anji ogući iznos.
2) Implementacija sigurnosnih kontrola. Dok se definiranjem sigurnosnih politika za
odabrane sigurnosne kontrole opisuje koje bi mjere trebalo poduzeti za postizanje i
održavanje željene ra ine sigurnosti, njihova implementacija podrazumijeva
30
specifikaciju kako je potrebno implementirati definirane sigurnosne mjere opisane
doku enti a sigurnosne politike. užno je redovito provjeravati sigurnosne politike i
metode njihove implementacije kako bi se na vrijeme odredila optimalna metoda
suočavanja s novi sigurnosni prijetnja a. Budući da su sposo nosti napadača sve
sofisticiranije i štete koje ogu nastati nji ovi djelovanje sve veće, važno je često
provjeravati i ažurirati sigurnosne politike i etode nji ove implementacije.
3) Provo enje o ra ovni progra a. Dio i ple entacije sustava upravljanja sigurnošću
infor acija ože se reali irati auto atski pute te nički procedura ugra enih u
infor acijski sustav. Meduti , veći dio i ple entacije ovisi o odluka a i
aktivnosti a ovlašteni oso a kao i svi korisnika infor acijskog sustava
organi acije. Kako i se podigla svijest o važnosti pridržavanja sigurnosni jera
i ple entirani kro sustav upravljanja sigurnošću infor acija, važno je provoditi
odgovarajuću i planiranu izobrazbu zaposlenika o važnosti sigurnosti te pridržavanju
sigurnosnih politika i procedura.
4) Upravljanje operacijama i resursima. Kako bi se upravljanje operacijama i resursima
sustava upravljanja sigurnošću informacija pravilno i efikasno provodilo, važno je
uspostaviti takav tip sigurnosne organizacije koji se ne oslanja pretjerano na
pojedinačne aposlenike. Takoder, nužno je uspostaviti sustav r og reagiranja na
incidente kako bi se osigurao kontinuirani rad informacijskog sustava i poslovanja
organizacije. Svaki novi informacijski resurs treba biti provjeren i testiran prije
uključivanja u informacijski sustav. Specifikacije resursa moraju se nadzirano
pohranjivati i kontrolirati. Ako je odre eni ure aj uništen ili je na nje u i veden
popravak, odgovarajuća procedura tre a se provoditi pri rukovanju ure aje u cilju
sprečavanja otkrivanja osjetljivi infor acija lona jerni korisnici a.
5) Uočavanje i reagiranje na sigurnosne incidente. Svaki aposlenik dužan je o uočeno
sigurnosnom incidentu i vijestiti oso u nadležnu a proved u sigurnosni jera, e
pokušaja sa ostalnog rješavanja incidenta. Za rješavanje sigurnosni incidenata
potrebno je kreirati posebnu proceduru i slijediti metode i odgovornosti definirane
proceduro . Tako er je prilikom rješavanja sigurnosni incidenata nužno proi vesti
i vještaj o riješeni sigurnosni incidenti a.
CHECK faza
1) vršavanje procedura a nad or sustava. siguranje željene ra ine sigurnosti
31
infor acijskog sustava održava se pri jeno pravila i procedura a nadzor sustava
upravljanja sigurnošću infor acija. Budući da se nove sigurnosne prijetnje otkrivaju
na dnevnoj a i, nužno je pratiti i vore infor acija o sigurnosni prijetnja a i
redovito ažurirati sigurnosne e ani e a sprečavanje ti prijetnji.
2) Provjera efikasnosti sustava. Konstantno provjeravanje sigurnosnih mjera i
mehanizama implementirani sustavo upravljanja sigurnošću infor acija nužno je
kako i se osigurala njegova efikasnost. Provjeru je dužan provoditi svaki aposlenik
u svakom aspektu svojeg rada, a osi toga nužno je provoditi i povremene provjere
ranjivosti sustava. Povremene provjere ranjivosti mogu se provoditi unutar same
organi acije ili se a to ogu angažirati osposo ljeni stručnjaci i van organi acije
kako i provjera ila što o jektivnija. U i ajući u o ir re ultate takvi provjera,
provode se jere a po oljšanje sustava upravljanja sigurnošću infor acija.
3) Provjera razine prihvatljivog rizika. Efektom sigurnosne mjere smatra se njezina
sposobnost umanjivanja prijetnje, ranjivosti ili čak vrijednosti infor acijskog resursa
kako bi se postigao minimalan rizik. Za umanjivanje ranjivosti informacijskog sustava
ogu se upotrije iti ra ličite strategije, npr. uklanjanje svi ranjivosti, uklanjanje onih
ranjivosti koje zahtijevaju najmanje financijskih sredstava, a zatim onih unutar
dopušteni sredstava, uspostava i odabir ravnoteže i e u te nički i nete nički
metoda za uklanjanje ranjivosti i sl. Pokušaj uklanjanja svi ranjivosti najvjerojatnije
neće u anjiti rizik na nulu. toviše, takva je etoda o ično skupa i vre enski
zahtjevna te rijetko donosi očekivane re ultate. stale etode mogu se kombinirati u
cilju dobivanja najboljeg rezultata odluko o oda iru odredenog odnosa troška i
učinka.
4) Provedba internih audita sustava. nterni auditi igraju važnu ulogu u održavanju
kontinuiranog po oljšanja sustava. ilj interni audita jest provjera efikasnosti,
ispravne i ple entacije i održavanja sigurnosni kontrola u cilju potvrde da se sustav
upravljanja sigurnošću infor acija ponaša onako kako se to od njega očekuje.
5) Pregled sustava od strane uprave. Uprava obavlja pregled i ocjenu sustava upravljanja
sigurnošću infor acija u cilju potvrde kontinuirane adekvatnosti i efikasnosti sustava.
Ulazni podaci za pregled poslovodstva su rezultati provedenih audita i kontrola,
i vršene korektivne i preventivne akcije, preporuke a unapre enje sustava te nove
tehnologije i metode koje se primjenjuju u informacijskim sustavima. Rezultati
pregleda poslovodstva jesu prijedlozi za korekcije sustava, njegovo unapre enje kao i
osiguranje potrebnih resursa za provedbu specificiranih korektivnih i preventivnih
32
mjera.
ACT faza
1) ple entacija etoda a po oljšanje sustava. Kontinuirana težnja unapre enju koja
se ne temelji isključivo na aktualno pro le u vrlo je važna odlika svakog uspješnog
sustava upravljanja organizacijom. Ona predstavlja napredak iz reaktivnog na
proaktivno upravljanje. Metode kontinuiranog po oljšavanja sustava jesu
identifikacija potencijalni unapredivi područja, anali a i opravdanje potrebnih
akcija, odluka o provo enju jera a po oljšanje, i ple entacija po oljšanja,
jerenje utjecaja po oljšanja na organi aciju, anali a re ultata po oljšanja na
pregledu poslovodstva, stalna potraga a novi etoda a po oljšanja.
2) Provedba korektivnih i preventivnih mjera. Korektivne mjere provode se nakon
ostvarenog sigurnosnog ri ika kako i se spriječila ponovna pojava ri ika u
udućnosti. Preventivne mjere upotrebljavaju se za umanjivanje vjerojatnosti pojave
rizika i umanjivanje potencijalni šteta.
3) Informiranje o sustavu unutar organizacije. Provedba sigurnosnih politika i
upo navanje svi aposlenika sa sustavo upravljanja sigurnošću infor acija ora se
provoditi planirano i e osjećaja opterećenja edu aposlenici a organi acije.
Potre no je tako er provoditi redovitu i o ra u uprave, korisnika i partnera o načinu
pri jene i pridržavanja i ple entirani sigurnosni politika.
3.1. ISMS i zahtjevi za mjerenjem efikasnosti i učinkovitosti
Adelsberger [2] smatra da nije dovoljno samo implementirati ISMS nego postoji
potreba za mjerenjem efikasnosti i učinkovitosti sustava. Tako er smatra da i se oglo reći
da SMS proces do ro funkcionira, odnosno uspješno adovoljava ula ne a tjeve oraju se
znati kriteriji na temelju kojih se donosi ocjena o stupnju zadovoljenja ulaznih zahtjeva, te
način jerenja tog stupnja adovoljenja. To se općenito i ražava jero efikasnosti i
učinkovitosti.
„Efikasnost se definira kao ostvarenje nekog cilja s ini u o troškova, napora ili
gu itaka, a učinkovitost (efektivnost) je poja pod koji se podra u ijeva i vo enje pravi
stvari (aktivnosti) koje dovode do ostvarenja cilja. U praksi to nači provesti ni jerenja na
33
te elju koji se ože točno utvrditi efikasnost, ali i učinkovitosti uspostavljenog SMS
procesa. U cilju odre ivanja jesta u procesu na koji a će se vršiti jerenja i odrediti kakva
mjerenja provesti potrebno je mapirati poslovni ISMS proces. ”
Slika 8. Principi mjerenja i njegovog utjecaja na proces [2]
Može se vidjeti da su jerenja osnova korektivni aktivnosti, kao i planiranja

po oljšanja. Kriteriji pri vatljivosti jerenja se definiraju u P fa i i ple entacije PD A
modela koji je opisan dalje u skripti.
Da bi jerenja učinkovitosti i ala s isla ona tre aju uključivati slijedeće ciljeve:
 Procjenu učinkovitosti i ple entiranog SMS-a
 Procjenu učinkovitosti i ple entirani procesa
 Provjeru ispunjenosti prepoznatih zahtjeva zainteresiranih strana
 lakšano po oljšanje SMS u s islu ukupni infor acijski ri ika;
 Davanje prijedloga a ocjenu uprave a lakše odlučivanje ve ano a SMS, donošenje
odluka i opravdavanje a tjeva a unapre ivanje i ple entiranog SMS
Pose na pažnja se ora posvetiti osnovnim principima na kojima se bazira

prihvatljivo mjerenje:
 Svi rezultati mjerenja moraju biti dokazivi
 Svi rezultati mjerenja moraju biti ponovljivi
 Mjerenja oraju nastojati isključivati su jektivnost – što je u neki slučajevi a
vezano za poslovne procese teško i jeći
34
ijeli tekst dostupan je na we sjedištu
http://www.kvalis.com/component/k2/item/699-mjerenje-učinkovitosti-informacijske-
sigurnosti.
Metrikama za sigurnost informacijskih sustava bavi se i rad autora Sajko M.: Mjerenje
i vrednovanje učinkovitosti infor acijske sigurnosti koji se nalazi na adresi
http://www.fer.unizg.hr/_download/repository/Mario_Sajko_%5Bkvalifikacijski_rad%5D.pdf
te se preporučuje a daljnje čitanje.
Na kraju ovog poglavlja, a radi aktualnosti sadržaja i boljeg razumijevanja teme,

potrebno je navesti i rad u kojem se analizira smjer razvoja sustsva za upravljanje
infor acijsko sigurnošću. Tako Klaić [18] u svojem radu pod nazivom „Pregled stanja i
trendova u suvremenoj politici informacijske sigurnosti i metodologijama upravljanja
infor acijsko sigurnošću” razlikuje tradicionalni i suvremeni pristup upravljanja
infor acijsko sigurnošću te navodi i neke od aktualni trendova.
Dalje opisani dio rada preu et je i rada Klaić A.: „Pregled stanja i trendova u
suvremenoj politici informacijske sigurnosti i metodologijama upravljanja infor acijsko
sigurnošću” i orginalno je objavljen na web sjedištu
https://www.fer.unizg.hr/_download/repository/KvalifikacijskiDrIspit_AK_08022010.pdf
A. Tradicionalni pristup upravljanju informacijskom sigurnošću
radicionalni pristup upravljanju informacijskom sigurnošću temelji se na

propisivanju minimalnih sigurnosnih mjera i standarda, koji su utvr eni prema stupnjevima
tajnosti podataka. o znači da se mjere zaštite primjenjuju na klasificirani podatak u bilo
kojem obliku, odnosno na objekte (tehnologija i procesi) i subjekte (osobe) koji koriste ili
pristupaju tim klasificiranim podacima. Ovakav pristup se primarno primjenjuje u okviru
organizacija koje koriste klasificirane podatke (državni sektor i pravne osobe koje s njim
sura uju) te podrazumijeva da je klasificirani podatak isključivi objekt zaštite, a sama
35
metodologija se primjenjuje na ljude, organizaciju (procese) i na tehnologiju, kada i ako su u
doticaju s klasificiranim podacima.
Osnovni koncepti ovog pristupa nastali su prije više desetljeća, kada su sve jasniji
zahtjevi sigurnosne politike u -tim godinama prošlog stoljeća, potaknuli stvaranje
sigurnosnih modela za provedbu ciljeva sigurnosne politike, u prvom redu na informacijskim
sustavima. ako su nastali Bell- a adula model i rešetkasti model (Lattice Model), koji
razra uju kontrolu pristupa podacima na informacijskom sustavu, usmjeravajući se na
sigurnosni kriterij povjerljivosti tih podataka, ili Biba model koji je usmjeren na kriterij
cjelovitosti podataka, kao i čitav niz drugih formalnih sigurnosnih modela. Sigurnosnim
modelima, arhitektura informacijskog sustava prilago ava se ciljevima sigurnosne politike na
formalni, matematički način.
S obzirom da informacijski sustav čini i okruženje, koje, uz tehnički sustav, obuhvaća i
organizaciju odgovornu za taj sustav, te podatke i korisnike informacijskog sustava, nužan
korak dalje bili su sigurnosni načini rada informacijskih sustava. ako sigurnosni načini rada
informacijskih sustava: namjenski (engl. dedicated), na razini sustava (engl. system high),
razdijeljeni (engl. compartmented) i multirazinski (engl. multilevel), povezuju stupanj tajnosti
klasificiranih podataka na informacijskom sustavu, razinu sigurnosnog certifikata osobe koja
ima pristup informacijskom sustavu, nužnost pristupa klasificiranom podatku u okviru
djelokruga rada osobe (engl. „need-to-kno ), kao i formalno odobrenje za pristup
podacima na informacijskom sustavu. Ovi elementi sa sigurnosnog stanovišta predstavljaju
temeljne elemente za odlučivanje o dodjeli pristupa sustavu.
ahtjevi koje postavlja tradicionalni pristup informacijskoj sigurnosti u osnovi su
statičkog karaktera, tj. unaprijed su propisani prema stupnjevima tajnosti klasificiranih
podataka. Politika informacijske sigurnosti uglavnom je oblikovana po iskustvenom
sigurnosnom modelu, bez većeg prostora za specifičnosti zahtjeva poslovnog okruženja, a
mehanizmi provedbe su detaljno propisani, kako bi provedba bila unificirana u organizacijski
vrlo heterogenom, državnom sektoru
B. Suvremeni pristup upravljanju informacijskom sigurnošću
Suvremeni pristup upravljanju informacijskom sigurnošću temelji se na upravljanju

rizicima, dok je u tradicionalnom pristupu upravljanje rizicima dodatna metodologija koja se
više primjenjuje u novije vrijeme. Metodologija upravljanja rizicima temelji se na
36
identificiranim informacijskim resursima unutar opsega ISMS-a, zatim na identificiranim
prijetnjama tih resursa, identificiranim ranjivostima koje bi ove prijetnje mogle iskoristiti te
na procjeni utjecaja koje gubitak povjerljivosti, cjelovitosti ili raspoloživosti može imati na
resurse. Sigurnosne kontrole (zaštitne mjere) štite identificirane resurse, tj. vrijednosti koje je
organizacija identificirala u okviru opsega ISMS-a. Osnovni koncepti upravljanja rizicima
počinju se šire primjenjivati u području informacijske sigurnosti krajem -tih godina prošlog
stoljeća.
ahtjevi koje postavlja suvremeni pristup upravljanju informacijskom sigurnošću, u
osnovi su dinamičkog karaktera, tj. prilago avaju se sa svakim periodičkim procjenjivanjem
rizika. Dodatno su i rezultati procjene rizika, vezani na konkretno sigurnosno okruženje te su
optimalno prilago eni stvarnoj kombinaciji prijetnji i ranjivosti konkretnih resursa.
Sigurnosne kontrole za eliminaciju ili smanjivanje rizika, kao mehanizmi provedbe,
uobičajeno se ne propisuju detaljno, kako bi se provedba mogla prilagoditi različitim
sigurnosnim okruženjima, u širokom rasponu pravnih osoba u različitim državama koje mogu
koristiti me unarodne norme. roces identifikacije rizika temeljen je na subjektivnom
procjenjivanju te je stoga i izračun temeljnih vrijednosti rizika subjektivan. Nepotpunost
podataka o frekvenciji doga anja sigurnosnih prijetnji, kao i izračun za prijetnje koje se
rijetko doga aju, doprinose subjektivnosti i netočnosti izračuna parametara rizika.
Suvremeni pristup, za razliku od tradicionalnog, podrazumijeva povezanost informacijskih
sustava s informacijskim prostorom, odnosno prihvaća koncept kibernetičkog prostora, u
kojem se doslovno „sve komunikacijski povezuje sa svim .
. rendovi razvoja u upravljanju informacijskom sigurnošću
radicionalno taktički i reaktivni karakter informacijske sigurnosti, naročito vidljiv pri

velikim sigurnosno povezanim krizama (npr. S D 11 ili propast korporacije nron),
uzrokuje stanje u kojem su sigurnosne mjere u stalnom kašnjenju za prijetnjama.
pravo stoga, razvoj područja upravljanja informacijskom sigurnošću usmjeren je danas
prema multidimenzionalnom shvaćanju politike informacijske sigurnosti (me upovezanost
područja ili domena politike, odnosno sigurnosnog programa). Drugi važan smjer ide prema
uključenju nekih faktora koji se u tradicionalnom pristupu nisu smatrali toliko relevantnim
(npr. organizacijska kultura i struktura), a treći smjer je vezan za pokušaj zaobilaženja
subjektivnosti kao najveće slabosti suvremenog pristupa upravljanju informacijskom
37
sigurnošću preko metodologije upravljanja rizikom (razvoj sigurnosne metrike, drugačiji
konceptualni pristup).
4. Č , INSTITUCIJE I ZAKONSKA
REGULATIVA SIGURNOSTI INFORMACIJSKIH
SUSTAVA U RH
Ishodi poglavlja:
Opisati pojam računalnog kriminala

Definirati i opisati institucije informacijske sigurnosti u Republici Hrvatskoj
Definirati i opisati zakonodavni okvir informacijske sigurnosti u Republici Hrvatskoj
Dati kratki pregled propisa na području informacijske sigurnosti
4.2. Računalni kriminal
Definicije:
Do danas ne postoji opće pri vaćena definicija računalnog kriminala, pa čak niti
jedinstven pogled na sadržaj i o like koje on o u vaća.
Računalni kri inal: [22]
 D. Parker: „...opća for a kro koju se ispoljava ra ličiti o lik kri inalne aktivnosti,
for a koja će u udućnosti postati do inantna...”
 Taber: „...računalski delikt koji uključuje visokostručne operacije na računalu u
okolnosti a gdje do povrede ne i oglo doći na drugi način (kra a, uništenje,
oštećenje)…”
 Muhlen: „...računalo sredstvo ili cilj ka nenog djela...”
Do aći autori:
38
 Krapac: „...računalski kri inal o načava sve slučajeve loupotre e elektronskog
računala koji su pravno odre eni kao ka nena djela...”
 Dragičević: „...računalni kri inal je ukupnost ka neni djela, učinjeni na odre eno
području kro odre eno vrije e, koji a se neovlašteno utječe na korištenje,
cjelovitost i dostupnost, progra ske ili podatkovne osnovice računalnog sustava ili
tajnost digitalnih podataka...”
 Bača: „računalni kri inal predstavlja o lik kri inalnog ponašanja kod kojeg
korištenje računala i infor acijske te nologije predstavlja način i vršenja ka nenog
djela, ili se računalo upotre ljava kao sredstvo ili cilj i vršenja, a či e se ostvaruje
neka u kaznenopravno s islu relevantna posljedica“ [3]
Računalni kri inal predstavlja jedan od naj rže rastući kri inala jer u nove,
oguće je vršiti i stare tradicionalne o like na natno olji i kvalitetniji način koristeći prito
infor acijsku te nologiju. jegovo ra voju tako er je pridonio i sa ra voj interneta, kao i
posljedice ljudski i te nički ana, kako og nedostatka infor atičke pis enosti tako i
og nedostatne aštite i ulaganja u sigurnost infor acijski sustava. Ra voje te nologije
napadi su postali složeniji i lakši a i ved u, a o ra ovanost ljudi, ovisno o o liku kri inala,
tako er je pridonijela njegovom rastu. U Ta lici 1. prika ane su vrste napade te ogući
počinitelji ti napada.
VRSTA NAPADA M U P Č TELJ

TRAŽE JE P SME U - Korisnici
(Dumpster diving) - Svi koji i aju pristup s eću
- Svi koji imaju pristup kompjuterskom prostoru ili
prostoru u kojem se pohranjuju sigurnosne kopije
PR SLU K VA JE - Ko unikacijski te ničari i inženjeri
(Wiretapping, Eavesdropping) - Agenti konkurencije
- Ko unikacijsko oso lje, ivši aposlenici,
do avljači i ugovarači
MASKIRANJE - Mogući počinitelji su svi
(Masquerading)
SOFTVERSKO PIRATSTVO - Kupci i korisnici komercijalnog softvera
(Software piracy) - Zaposlenici koji kradu vlasnički softver
ZAMKE - Sistemski programeri
(Trap doors) - Aplikacijski programeri
VREMENSKI NAPADI - apredni siste ski analitičari
(Timing attacks) - Napredni kompjuterski programeri
39
TROJANSKI KONJI - Programeri koji imaju znanje o ovakvim programima
VIRUSI - Zaposlenici ili ivši aposlenici
CRVI - Do avljači ili ugovarači
TEHNIKA SLAME - Programeri financijskog sustava
- Kompjuterski korisnici
L ČKE B MBE - Kompjuterski operatori
- Krakeri
PREMETANJE PO PODACIMA - Sudionici transakcija koje se unose ili ažuriraju

(Data diddling) - Do avljači i vorni podataka
- Osobe koje pripremaju podatke za unos
- Druge osobe koje imaju pristup
PRETRAŽ VA JE - Malicio ne neovlaštene oso e
(Scanning) - pijuni kako i došli do odre eni podataka
- Kri inalci koji na jeravaju i vršiti prijevaru
Ta lica 1. Vrste napada i ogući počinitelji [14]

Postupanje s računalni kri inalo – faze:
 Prevencija: procjena ri ika i anali a prijetnji, fi ička sigurnost, sigurnost oso lja,
ko unikacijska sigurnost, operacijska sigurnost, planiranje načina a or u protiv
računalnog kri inala;
 Otkrivanje: jere otkrivanja, ti a rukovo enje kri nim situacijama, obrada i
praćenje upada, istraga i pravosudni progon, ilježenje tragova, prikupljanje doka a;
 ažnjavanje: rukovanje s doka i a, vještačenje eksperata, pre entacija na sudu,
aktivnosti nakon presude.
Ministarstvo unutarnjih poslova RH na svoji we stranica a o javljuje statističke

podatke o kriminalitetu u Hrvatskoj. Na Slici 9. prikazana je statistika za 2013. godinu.
40
Slika 9. Ka nena djela i područja računalnog kri inala a 1 . godinu [29]
Treba svakako istaknuti da se te atiko računalnog kri inaliteta u Repu lici

Hrvatskoj bavi mali broj autora, a za daljnje čitanje oko navedene te e korisno je pogledati
rad Dragičević D. " KOMPJUTERSKI KRIMINALITET I INFORMACIJSKI SUSTAVI",
IBS, Zagreb, 2004. i rad koji daje kritički osvrt na Konvenciju o ki ernetičko kri inalu kao
i na članak .i 4. Ka nenog akona Repu like Hrvatske. [35]
4.3. Institucije i zakonska regulativa sigurnosti informacijskih sustava u RH
Narodne novine [www.nn.hr] nisu organizacija koje se bavi informacijsko

sigurnošću, ali su primarni izvor a pronalaženje akona i ureda a zakona koji reguliraju
područje infor acijske sigurnosti u Repu lici Hrvatskoj koje donose Sabor i Vlada te krovne
organizacije za pojedine djelatnosti poput Narodne banke Hrvatske.
S o iro na specifičnost te e koja nije poznata studentima studija Informatike, a

iskazuje se potreba barem njezina površnog po navanja, navest će se i ukratko opisati
institucije koje se ave infor acijsko sigurnošću u Republici Hrvatskoj te prateća akonska
regulativa.
41
Osim sa web stranica pojedinih institucija, infor acije o nji ovo djelokrugu oguće je i
pročitati i u stručni pu likacija a. Tako je Laboratorij za sustave i signale, Fakulteta
elektrote nike i računarstva Sveučilišta u Zagrebu 2010. godine napravio je i objavio
dokument pod nazivom „Informacijska sigurnost u Hrvatskoj” [6] u koje je sažeto na rojao
i opisao navedeni okvir iz kojeg su preuzeti opisi te na kojeg se upućuje na detaljnije čitanje.
Navedena tematika opisna je i preuzeta iz rada Juran A.: „Sigurnost informacijskih sustava”
[17]
U nogo rojne akone koji djeluju na području infor acijske sigurnosti tako er
postoji i odre eni roj institucija koje rinu a infor acijsku sigurnost, a definirati će se
područje djelovanja: acionalnog ERT-a, AR et ERT-a, Zavoda a sigurnost
infor acijski sustava, Ureda Vijeća a nacionalnu sigurnost, Agencije a podršku
infor acijski sustavi a i infor acijski te nologija a, Agencije a aštitu oso ni
podataka te Središnjeg državnog ureda a e-Hrvatsku.
Nacionalni CERT
Nacionalni CERT (engl. Computer Emergency Response Team) osnovan je 2008.

godine u skladu sa Zakono o infor acijskoj sigurnosti RH i pre a to akonu jedna od
adaća je o rada incidenata na nternetu, tj. očuvanje infor acijske sigurnosti u RH.
acionalni ERT preu et će korake a očuvanje infor acijske sigurnosti u o liku uputa,
s jernica, preporuka, savjeta i išljenja sa o ukoliko se jedna od strana nala i na državni
prostori a, odnosno ukoliko u do eni i a „. r“ ili je P adresa locirana u državi. [4]
Misija ove institucije je preventivno djelovati te aštititi sigurnost javni
infor acijski sustava ukoliko se dogodi neki računalni napad, a način na koji to čini je kro
dvije vrste jera, a to su proaktivne i reaktivne. Proaktivni jera a pokušava se spriječiti
ili u lažiti oguća šteta, a one uključuju: praćenje stanja na području računalne sigurnosti i
objavljivanje sigurnosnih obavijesti u svrhu priprema za sprečavanje šteta, kontinuirano
praćenje računalno-sigurnosni te nologija te se sva nova sa nanja prikupljaju i šire, javno
o javljivanje novi infor acija u svr u edukacije najšire javnosti i unapre enju svijesti o
načaju računalne sigurnosti te provo enje detaljne edukativne o uke a specifične grupe
korisnika. Reaktivne jere služe a su ijanje incidenata koji ugrožavaju infor acijsku
sigurnost u RH, pa se nji a prikupljaju i distri uiraju sigurnosna upo orenja, pripre aju se i
42
o ra uju sigurnosne preporuke o sla osti a u infor acijski sustavi a i sve to na javan i
ciljan način. [4]
acionalni ERT sura uje s relevantni tijeli a RH aduženi a sigurnost
infor acijski sustava kao i sa strani ERT-ovi a preko članstva u oru of ncident
Response and Security Teams (FIRST) i radne grupe TF-CSIRT.
Bitno je naglasiti kako je Nacionalni CERT osnovan 2008. godine u Hrvatskoj, a prije
njega je AR et ERT ( - ERT) koji je djelovao od srpnja 199 . godine, no djelokrug
poslovanja - ERT-a preu eo je acionalni ERT. snovna adaća - ERT-a ila je
koordinacija u procesu rješavanja računalno-sigurnosnih incidenta kod koji je are jedna
strana uključena u incident orala iti i Hrvatske. iljevi - ERT-a koji se sada nala e
unutar acionalnog ERT-a su po oljšanje ukupne sigurnosti računalni sustava na reži,
sa njivanje troškova osiguranja računalni reža od provala te s anjivanje štete koja je
i a vana provala a u računalne sustave.[4]
U djelokrug rada acionalnog ERT-a nije uključeno:

 operativno rješavanje pro le a i riga o sigurnosti pojedini sustava,
 kažnjavanje pro le atični korisnika,
 ar itraža u sporovi a te
 pokretanje krivični prijava.
Zavod za sigurnost informacijskih sustava
Zavod a sigurnost infor acijski sustava središnje je državno tijelo a o avljanje

poslova u te nički područji a infor acijske sigurnosti državni tijela što o u vaća
standarde sigurnosti informacijskih sustava, sigurnosne akreditacije informacijski sustava,
upravljanje kripto aterijali a koji se koriste u ra jeni klasificirani podataka te
koordinaciju prevencije i odgovora na računalne ugro e infor acijske sigurnosti. Hrvatski
43
Sa or osnovao ga je . godine donošenje Zakona o sigurnosno-obavještajno sustavu.
ZS S je apravo ERT a tijela državne uprave, tijela jedinica lokalne i područne (regionalne)
sa ouprave, pravne oso e s javni ovlasti a te pravne i fi ičke oso e koje u svo
poslovanju ostvare pristup ili postupaju s klasificirani i neklasificirani podaci a. Za ZS S
je važno napo enuti da i a ulogu rvatskog SA (engl. National Communication Security
Authority), a njegove o ve e kao SA su nad or te nički kriptografski podataka, i or,
upravljanje i održavanje kriptografske opreme te koordinacija rada s NSA (engl. National
Security Authority) tijelo (Uredo Vijeća a nacionalnu sigurnost).
ZS S je nadležan a aktivnosti ve ane u sigurnost infor acijski sustava i reža
državni tijela. Tako er, a upravljanje kripto aterijali a koji se koriste u ra jeni
klasificirani podataka i e u državni tijela, strani država i organi acija te a koordinaciju
prevencije i otklanjanja pro le a ve ani u sigurnost računalni reža u državni tijeli a.
ZS S je adužen i a trajno uskla ivanje standarda te nički područja sigurnosti
infor acijski sustava u Repu lici Hrvatskoj s e unarodni standardi a i preporuka a
kao i a sudjelovanje u nacionalnoj nor i aciji područja sigurnosti infor acijski sustava.
re vije a za nacionalnu sigurnost
Ured Vijeća a nacionalnu sigurnost središnje je državno tijelo a infor acijsku

sigurnost – hrvatski NSA (engl. National Security Authority), koje je aduženo a donošenje i
nadziranje primjene mjera i standarda informacijske sigurnosti. Djelokrug poslovanja ove
institucije je područje sigurnosne provjere, fi ičke sigurnosti, sigurnosti podataka, sigurnosti
infor acijski sustava i sigurnosti poslovne suradnje i daja certifikata a fi ičke i pravne
osobe za pristup nacionalnim, NATO i EU klasificiranim podacima.
S o iro da UV S u Hrvatskoj i a ulogu SA, skupa sa Vladino odluko i a
utjecaj u sklapanju e unarodni sigurnosni ugovora a aštitu klasificirani podataka.
snovne adaće koji a se ova institucija avi su: i ved a stručni i ad inistrativni
poslova Vijeća a nacionalnu sigurnost, savjetodavna uloga a koordinaciju sigurnosno-
o avještajni agencija, te poslovi koji Predsjedniku RH i Vlade RH daju nad or nad rado
sigurnosno-o avještajni agencija i tijela sigurnosno-o avještajnog sustava.
si prije navedeni adaća i uloga UV S-a, ova institucija donosi odre ene pravilnike koji
og upora e u služ ene svr e nisu dostupni javnosti, a oni su: [17]
 Pravilnik o standardima sigurnosne provjere
44
 Pravilnik o standardi a fi ičke sigurnosti
 Pravilnik o standardima sigurnosti podataka
 Pravilnik o standardi a organi acije i upravljanje područje sigurnosti informacijskih
sustava
 Pravilnik o standardima sigurnosti poslovne suradnje
Agencija a o ršku in orma ijskim sustavima i in orma ijskim te no o ijama
Agencija a podršku infor acijski sustavi a i infor acijski te nologija a, APIS

T d.o.o., osnovana je kraje 5. ugovoro i e u Vlade RH i rada Zagre a sa svr o
obavljanja poslova ra voja i podrške ključni infor acijski sustavi a RH i rada Zagre a,
te ra vijanja aplikativni servisa i čuvanja potrebnih informacijskih baza.
Misija AP S-a je pružiti strateške, stučne i proved e usluga vlasnici a i javno
sektoru RH u planiranju, ra voju, podršci i održavanju poslovno-infor acijski sustava.
Uloga ove institucije u aštiti infor acijske sigurnosti je ra voj i praćenje i ple entacije
s jernica, nor i i politike a ra voj e-uprave, ra vitak i podupiranje ajedničke računalno-
ko unikacijske i aplikacijske infrastrukture te podrška tijeli a državne uprave u ra voju
vlastite strategije e-poslovanja. Sve to postiže na način da štiti oso ne podatke, ra vija
ajedničke elektroničke usluge i centralni pristup infor acijski resursi a državne uprave u
odgovarajuću autori aciju i autentifikaciju te kodiranje i planiranje cjeloživotnog o raovanja
državni služ enika u pri jeni infor acijsko-komunikacijske tehnologije. Cilj AP S T-a je
iti prvi i or u pružanju T servisa u javno sektoru te postati nacionalni referentni centar
ra voja i T podrške u režene u korisnički us jerene uprave RH.
en ija a aštitu oso ni o ataka
Agencija a aštitu oso ni podataka osnovana je Zakono o aštiti oso ni

podataka, a predstavlja sa ostalno i neovisno tijelo čija je te eljda uloga proved a nad ora
nad obradom osobnih podataka u Republici Hrvatskoj.
Ve ano u aštitu oso ni podataka Agencija o avlja upravne i stručne poslove, a u
okviru javnih vlasti to je: nador provo enja aštite oso ni podataka, uka ivanje na uočene
loupora e prikupljanja oso ni podataka, sastavljanje liste država i e unarodni
45
organizacija koje imaju odgovarajuće ure enu aštitu oso ni podataka , rješavanje povodo
a tjeva a utvr ivanje povrede prava aja čeni Zakono o aštiti oso ni podataka te
vo enje Središnjeg registara irki oso ni podataka.
Kada je riječ o prikupljanju i korištenju oso ni podataka Agencija a aštitu oso ni
podataka i a pravo risati prikupljene podatke koji su prikupljeni e pravne osnove te
ukoliko se radi o ilo kakvi nepravilnosti a ili radnja a suprotni akonu. si toga
ovlaštenje ove institucije je suradnja s drugi država a i aštita oso ni podataka ako se
oso ni podaci i nose van države ili druga neprikladna jesta.
re išnji r avni ure a e-Hrvatsku
Središnji državni ured a e-Hrvatsku središnji je državni ured čiji je adatak

promicanje i sustavno unaprje ivanje i gradnje infor acijsko-ko unikacijske infrastrukture
u Repu lici Hrvatskoj, javnog pristupanja internetski usluga a i sadržaji a, razvitka
primjene informacijske i komunikacijske tehnologije i sustava elektroničke uprave.
U svr u sigurnosti infor acijski sustava SDUeH igra veliku ulogu jer je u andatu
Vlade Repu like Hrvatske i e u 11. i 15. godine organi acijski spojeno Ministarstvo
uprave i Središnji državni ured a e-Hrvatsku či e su nadležnosti inistarstva dodani i
poslovi infor ati acije i oderni acije, a udući da je riječ o spajanju državne uprave i
infor ati acije ključna je uloga sigurnosti infor acijski sustava.
Me u rojni propisanim zakonima, u ovom dijelu opisat će se njih nekoliko: Zakon

o informacijskoj sigurnosti, Zakon o aštiti oso ni podataka te Zakon o elektroničkoj ispravi.
Zakon o informacijskoj sigurnosti
Zakon o informacijskoj sigurnosti donio je Hrvatski Sabor u srpnju 2007. godine,

podijeljen je na 8 cjelina te se pute njega utvr uju poj ovi infor acijske sigurnosti, jera i
standarda infor acijske sigurnosti, područja infor acijske sigurnosti te nadležna tijela a
46
donošenje, provo enje i nad or jera i standarda informacijske sigurnosti. Ovim zakonom
utvr eni su ini alni kriteriji ve ani a aštitu podataka.
Zakon o informacijskoj sigurnosti [36] odnosi se na sva državna tijela, tijela jedinica
lokalne i regionalne sa ouprave te na pravne i fi ičke oso e koje u svo poslovanju koriste
klasificirane i neklasificirane podatke. Mjere i standardi koje provodi Zakon o informacijskoj
sigurnosti prvenstveno se odnose na rad s klasificirani i neklasificirani podaci a, a
utvr uju se pre a stupnju tajnosti, roju, vrsti te ogućnosti ugrožavanja ti podataka na
odre enoj lokaciji.
Pre a članku . ovog akona postoji pet područja a koja se pripisuju jere i
standardi informacijske sigurnosti, a to su:
 Sigurnosna provjera - osobe koje imaju pristup klasificiranim podacima moraju raditi
u skladu sa zakonom. Klasifikacija podataka dijeli se u nekoliko stupnjeva, a to je
„Povjerljivo“, „Tajno“ i „Vrlo tajno“.
 i ička sigurnost – aštita jesta gdje se nala e klasificirani podaci, odnosno aštita
o jekta, prostora i ure aja.
 Sigurnost podataka - opće jere a prevenciju, otkrivanje i otklanjanje štete od
gu itka ili neovlaštenog otkrivanja klasificirani i neklasificiranih podataka.
 Sigurnost informacijskog sustava – dio informacijske sigurnosti u okviru kojeg se
utvr uju jere i standardi infor acijske sigurnosti klasificiranog i neklasificiranog
podatka koji se o ra uje, po ranjuje ili prenosi u infor acijsko sustavu te aštite
cjelovitosti i raspoloživost infor acijskog sustava u procesu planiranja, projektiranja,
i gradnje, upora e, održavanja i prestanka rada infor acijskog sustava.
 Sigurnost poslovne suradnje – proved a natječaja ili ugovora s klasificirano
doku entacijo koji o ve ju pravne i fi ičke oso e.
Zakono o infor acijskoj sigurnosti odre ena su središnja državna tijela koja i aju
ulogu u informacijskoj sigurnosti: Ured Vijeća a nacionalnu sigurnost, Zavod za sigurnost
informacijskih sustava te Nacionalni CERT.
Nadzor informacijske sigurnosti provode savjetnici za informacijsku sigurnost, a nji ovi
poslovi su nad or organi acije, proved e te učinkovitosti propisani jera i standarda
informacijske sigurnosti u tijelima i pravnim osobama.
Zakon o aštiti oso ni o ataka
47
Zakon o aštiti oso ni podataka donio je Hrvatski Sa or u lipnju . godine, te se
ovi Zakono ure uje aštita oso ni podataka o fi ički oso a a te nad or nad
prikupljanje , o rado i korištenje oso ni podataka u Republici Hrvatskoj. Zakon o
aštiti oso ni podataka podijeljen je na 11 cjelina: temeljne odredbe, obrada osobnih
podataka, obrada posebnih kategorija osobnih podataka, povjeravanje poslova obrade osobnih
podataka, davanje podataka korisnicima, i nošenje oso ni podataka i Repu like Hrvatske,
irke oso ni podataka, evidencije i središnji registar, prava ispitanika i aštita prava, nad or
nad o rado oso ni podataka, ka nene odred e te prijela ne i aključne odred e. [37]
Svrha zakona o aštiti oso ni podataka je aštita privatnog živora, odnosno aštita
ostali ljudski prava i te eljni slo oda u prikupljanju, o radi i korištenju oso ni podataka.
Ta prava osiguravaju se svakoj fi ičkoj oso i e o ira na: državljanstvo i pre ivalište, tj.
neovisno o rasi, oji kože, spolu, je iku, vjeri, ati o političko ili drugo uvjerenju, o
nacionalno ili socijalno podrijetlu te neovisno o i ovini, ro enju, nao ra i, društveno
položaju ili drugi oso ina a. Unutar ovog zakona djeluje Agencija a aštitu oso ni
podataka (AZ P) i njena uloga je nad or a o radu oso ni podataka, te joj je propisan
ustroj, financiranje, rukovodstvo, ovlasti i dužnosti te poslovi i funkcije koje s ije o avljati.
Zakonom je definiran pojam osobnog podatka, obrada osobnih podataka, zbirka osobnih
podataka, voditelj zbirke osobnih podataka, korisnik, privola ispitanika, osnovni oblik
evidencije informacija o zbirci podataka koju voditelj zbirke mora voditi. Svaka evidencija se
mora dostaviti Agenciji za aštitu podataka, te joj se ora prijaviti svaka i jena i o rada.
si toga definirano je koja prava i aju ispitanici s o iro na dane podatke, kako postupati
s neispravni ili nepotpuni padaci a, ati ogućnost podnošenja Agenciji a aštitu
oso ni podataka a tjeva a utvr ivanje povrede prava koji su aja čeni ovi akono ,
utvr ivanje radnji koje se ogu podu i ati na te elju rješenja pred odno spo enutog
a tjeva, princip poslovni podataka kojeg se oraju pridržavati svi aposlenici AZ P-a, te
ka ne u ra ni slučajevi a kršenja odred i ovog akona.
Zakono o aštiti oso ni podataka propisani su uvjeti pod koji a se ogu
prikupljati i o ra ivati podaci. U skladu s ti e odre eno je koje je podatke a ranjeno
prikupljati i u kojim izni ni slučajevi a se ti podaci ogu ipak prikupiti, navedeni su
uvjeti koje voditelj irke (ili oso ni podataka ili i vršitelj o rade) oraju ispuniti pre a
ispitaniku kako i ogli i vršavati prikupljanje i o radu njegovi oso ni podataka.
Zakonom su propisane i ogućnosti i enovanja i vršitelja o rade od strane voditelja irke i
njegove o ve e, ati kada voditelj s ije, a kada ne s ije dati oso ne podatke na korištenje,
48
koji je vre enski interval u koje se ogu koristit odre eni podaci te su definirani uvjeti
i nošenja oso ni podataka van države.
Zakon o e ektroničkoj is ravi
Zakon o elektroničkoj ispravi stupa na snagu 9. prosinca 5. godine. vi

Zakono se ure uje pravo fi ički i pravni oso a na upora u elektroničke isprave u svi
poslovni radnja a i djelatnosti a te u postupci a koji se vode pred tijeli a javne vlasti u
koji a se elektronička opre a i progra i ogu pri jenjivati u i radi, prijenosu, po rani i
čuvanju infor acija u elektroničko o liku, pravna valjanost elektroničke isprave te upora a
i pro et elektronički isprava.
Svaka oso a odlučuje da li će pri vatiti ili neće pri vatiti upora u i pro et
elektronički isprava a svoje potre e i potre e poslovni i ostali odnosa s drugi a.
eovisno da li je odre ena oso a pri vaća ili ne, elektronička isprava i a istu pravnu snagu
kao i isprava na papiru ako se njena uporaba provodi u skladu s odredbama ovog Zakona.
Pre a ovo akonu elektronička isprava definirana je kao jedno načno pove an
cjelovit skup podataka koji su elektronički o likovani (i ra eni po oću računala i drugi
elektronički ure aja), poslani, pri ljeni ili sačuvani na elektroničko , agnetno ,
optičko ili drugo ediju, i koji sadrži svojstva koji a se utvr uje i vor (stvaratelj),
utvr uje vjerodostojnost sadržaja te doka uje postojanost sadržaja u vre enu. Sadržaj
elektroničke isprave uključuje sve o like pisanog teksta, podatke, slike i crteže, karte, zvuk,
glazbu, govor.
Kada je riječ o radnja a uklljučeni u doku entacijski ciklus, elektronička isprava orala i
osigurati jedno načno o ilježje koji se nedvoj eno utvr uje pojedinačna elektronička
isprava te pojedinačni stvaratelj elektroničke isprave, ati infor acijsku cjelovitost i
nepovredivost elektroničke isprave, o lik apisa koji čitatelju o ogućuje jednostavno čitanje
sadržaja te pristup sadržaju elektroničke isprave kro cijelo vrije e doku entacijskog
ciklusa.
Elektronička isprava sastoji se od dva neodvojiva dijela, općeg i pose nog. pći dio
čini pred etni sadržaj isprave, odnosno infor acije elektroničko o liku. Posebni dio
sastavljen je od jednog ili više integrirani elektronički potpisa i podataka o vre enu
nastajanja elektroničke isprave te drugih dokumentacijskih svojstva.
49
Upora a elektroničke isprave ni jednoj strani ne s ije ograničavati poslovanje ili ju
dovoditi u neravnopravan položaj. Za upra u elektronički isprava ože se koristiti ilo koja
upotre ljiva i dostupna infor acijsko-ko unikacijska te nologija, ukoliko nije Zakono
drugačije odre eno. jelokupni infor acijski sustav koji se koristi u radnja a s
elektronički isprava a ora i ati odgovarajuću aštitu oso ni podataka te je itno da
postoji ogućnost provjere vjerodostojnosti, i vornosti te nepro jenjivosti elektroničke
isprave. [17]
Osim navedenih zakona, u RH postoji i duži ni ostali Zakona koji se tiču ovog
područja kao što su: Zakon o elektroničko potpisu, Zakon o Privatnoj aštiti, Zakon o
ar ivu i ar ivskoj gra i, Zakon o teleko unikacija a, Zakon o računovodstvu, Zakon o
aštiti tajnosti podataka i slično.
4.4. Pregled EU propisa na o ručju in orma ijske si urnosti
Budući da je Republika Hrvatska dio Europske unije, Laboratorij za sustave i signale,

Fakulteta elektrote nike i računarstva Sveučilišta u Zagre u objavio je 2012. godine
dokument pod nazivom „Pregled EU propisa na području infor acijske sigurnosti” koji se
i vorno ože naći na we pove nici ttp://www.cis. r/files/dokumenti/CIS-DOC-2012-04-
047.pdf i predstavlja pregled zakonodavstva EU-a u području infor acijske sigurnosti,
odnosno pogled na konvencije, europske spora u e, pripadajuće protokole i preporuke
koji a se nastoji regulirati pitanje režne i infor acijske sigurnosti u EU-u.
U navedenom dokumentu stoji: „cilj europske politike režne i infor acijske

sigurnosti je po oljšati postojeće nedovoljne propise i podignuti ra inu svijesti o računalno
kri inalu na području cijele Europe. Tako er, na jera joj je okupiti države članice u
infor acijsku ajednicu kako i se ogle ajednički snaga a uspješnije oriti protiv
računalnog kri inala i lona jerni napadača.”
Isto tako, navodi se: „Vijeće EU donijelo je propise i akone o sigurnosnoj politici u
koji a se opisuju aktivnosti u području režne i infor acijske sigurnosti a e lje članice
kojima je cilj:
50
 podizanje svijesti putem javnog informiranja te edukacijom,
 osnivanje ajedničkog ERT-a (engl. Computer Emergency Response Team), ali i
 nacionalni ERT-ova, organi acija s cilje učinkovitog odgovora na sigurnosne
incidente,
 te nološka podrška a istraživanja i ra voj sigurnosti te stvaranje strategije
unapre enja
 režne i infor acijske sigurnosti,
 pro ocija standardi acije i certifikacije u infor acijskoj sigurnosti pute postojeći
 sigurnosnih standarda,
 uskla ivanje propisa na državnoj ra ini,
 e unarodna suradnja na području režne i infor acijske sigurnosti.”
Tako er se navodi da se sigurnost infor acija o ogućuje donošenje i

ispunjavanje te nički , operacijskih i zakonskih uvjeta.
5. PROCJENA RIZIKA
Ishodi poglavlja:
Opisati pojam procjene rizika
51
Definirati i opisati metodologije procjene rizika
Definirati pojam obrade rizika
Napomena: Kvantitativne i kvalitative metode u ovoj skripti neće se opisivati opširno jer će
biti uključene u 2. dio skripte i izvo ene na vježbama kroz praktične primjere
Procjena rizika (engl. risk assessment) dio je većeg procesa koji se naziva upravljanje
rizikom (engl. risk management).
„Procjena rizika je proces prepoznavanja, kvantificiranja i razvrstavanja rizika po

prioritetima prema kriterijima za pri vaćanje ri ika i ciljevi a važni a organi aciju.
Procjena rizika sastoji se od dva potprocesa, a to su analiza rizika i vrednovanje rizika.”
[28]
Procjena sigurnosnog ri ika uključuje ra atranje:
 poslovne štete koja ože nastati kao re ultat sigurnosni nesreda, u i ajući u
obzir potencijalne posljedice gubitka povjerljivosti, cjelovitosti ili dostupnosti
informacija ili imovine;
 realnih vjerojatnosti da će do tih incidenata doći, u kontekstu prevladavajućih
prijetnja i ranjivosti te trenutačno implementiranih kontrolnih mehanizama.
Slika 10. Zaduženja i odgovornosti u organi aciji priliko procjene ri ika [34]
52
U literaturi je rizik definiran kao funkcija razine prijetnje, ranjivosti i vrijednosti
informacijske imovine, odnosno rizik je vjerojatnost prijetnje da iskoristi neku ranjivost
imovine te time ugrozi imovinu.
Slika 11. Primjer popisa ranjivosti i prijetnji pri procjeni rizika
Budući da su ranjivost i prijetnje opisani pret odno u tekstu, za procjenu rizika

potrebno je još opisati i poja vrijednosti i ovine.
Vrijednost imovine (resursa, engl. asset) predstavlja gu itak koji organi acija ože
pretrpjeti u slučaju da prijetnja iskoristi ranjivost. Stoga je prije procjene ri ika važno
identificirati imovinu koja ima važnost a podu eće.
Informacijska imovina osnovno se dijeli:

 na nematerijalnu:
 baze podataka
 aplikacijski i sistemski softver
 servise (računalni i ko unikacijski servisi, ostali servisi a podršku rada)
 na opre u ili fi ičku i ovinu:
 računala i ko unikacijska oprema
 ostala te nička opre a
53
Osim toga, u informacijsku i ovinu ogu se uključiti i oso lje, osjetljiva poslovna
dokumentacija, mediji za pohranu podataka te ra ličite kontrole i procedure koje i aju
vrijednost za poslovanje.
Hadjina [15] infor acijsko i ovino s atra i sva sredstva koja uskladišćuju
informaciju, prenose informaciju, kreiraju informaciju, koriste informaciju ili su informacija
sama za sebe. Takvu imovinu predstavljaju i informacijski sustavi.
Informacijska se imovina pre a potre i i ogućnostima klasificira u skupine (engl.

asset group). Pojedinu klasu čini i ovina koju karakteri iraju jedna ili više ajednički
osobina (vrijednost, utjecaj prijetnji, ranjivost, lokacija i dr.).
Informacije (engl. data assets) su vrednovane kro intervju s oso lje koje ože
pružiti podatke o načinu pri jene infor acija. so lje tre a oći istaknuti realni (Worst
case) scenarij koji se ože dogoditi kao posljedica sljedećih utjecaja prijetnji:
 nedostupnost podataka/informacija
 otkrivanje podataka/informacija
 slučajna ili na jerna pro jena infor acija/podataka
 uništenje podataka/infor acija
Metodologija procjene rizika sastoji se od devet koraka: [34]
1. Karakterizacija sustava
2. Identificiranje prijetnji
3. Identificiranje ranjivosti
4. Analiza kontrola
5. dre ivanje vjerojatnosti
6. Analiza utjecaja
7. dre ivanje ri ika
8. Preporuka kontrola
9. Dokumentiranje rezultata
54
Karakterizacija sustava
U procjeni rizika za neki informacijski sustav prvi korak je da se definira cilj

podu vata. U ovo koraku identificiraju se granice infor acijskog sustava, ajedno sa
ure aji a i infor acija a koji čine sustav. Karakterizacijom informacijskog sustava se
ustanovljavaju cilj procjene rizika, te se daju osnovne informacije (npr. hardver, softver,
komunikacijske veze, odgovorno osoblje) za definiranje rizika.
Najprije je potrebno prikupiti informacije o samom sustavu kako slijedi: [34]
 Hardver
 Softver
 Sučelja sustava (npr. interna i vanjska povezanost)
 Podaci i informacije
 so lje koje održava i koristi infor acijski sustav
 a jena sustava (npr. procesi koje i vršava infor acijski sustav)
 Kritičnost sustava i podataka (npr. vrijednost i važnost sustava a organi aciju)
 Osjetljivost sustava i podataka
Mogu se koristiti slijedeće te nike prikupljanja infor acija: [34]
 Upitnik
 Intervjui odgovornog osoblja
 Pregled dokumentacije
 Upora a auto atski skenirajući alata
čekivani i la i ovog koraka je karakteri acija procjenjivanog infor acijskog

sustava, do ra slika okoliša infor acijskog sustava, i nacrt granica sustava.
Analiza kontrola
55
Cilj ovog koraka je da se analiziraju kontrole koje su primijenjene ili su planirane za
primjenu u organizaciji da bi smanjile ili uklonile vjerojatnost da prijetnja iskoristi
ranjivost sustava. [34]
Sigurnosne kontrole o u vaćaju upotre u te nički i nete nički etoda.
Te ničke kontrole su aštitni alati koji su ugra eni u računalni ardver, softver ili
firmver (npr. mehanizmi za kontrolu pristupa, mehanizmi za identifikaciju i autentikaciju,
enkripcijske metode, softver za otkrivanje upada).
ete ničke kontrole su kontrole upravljanja i radne kontrole, kao što su sigurnosne
politike, radne procedure, te sigurnost oso lja, fi ička sigurnost i sigurnost okoliša.
te ničke i nete ničke kontrole ogu se dalje klasificirati na preventivne i aktivne:
 Preventivne kontrole sprečavaju pokušaje prekršaja sigurnosne politike i uključuju

takve kontrole kao što su kontrola pristupa, enkripcija i autentikacija.
 Aktivne kontrole upo oravaju na prekršaje sigurnosne politike i sadrže takve
kontrole kao što su nad orna praćenja (engl. audit trails), metode otkrivanja upada
i kontrolne sume (engl. checksums).
Analiza utjecaja
Sljedeći važan korak u jerenju nivoa ri ika je da se odredi štetni utjecaj koji je
re ultat uspješnog iskorištavanja ranjivosti od strane prijetnje.
Prije početka anali e utjecaja, potre no je do iti slijedeće infor acije:
 Svr a sustava (npr. proces koji tre a i vršiti sustav)
 Kritičnost sustava i podataka (npr. vrijednost sustava ili njegova važnost a
organizaciju)
 Osjetljivost sustava i podataka
Kvalitativne metode rizika
56
Kvalitativne metode rizika o ogućuju siste atično ispitivanje i ovine, prijetnji i
ranjivosti te ti e odre ivanje vjerojatnosti pojavljivanja prijetnji, i nos troškova ukoliko
se one pojave i vrijednost aštitni jera di ajnirani kako i se s anjile prijetnje i
ranjivosti na prihvatljivu razinu. Tim koji provodi kvalitativu procjenu rizika mora biti
vrlo kompetentan jer se oslanja na subjektivnu procjenu. Cilj kvalitativne procjene jest
subjektivno rangirati elemente rizika. [32]
va etoda kao i većina ostali , definira ri ik kao funkciju vrijednosti i ovine,

ranjivosti i prijetnji. Vrijednosti i ovine pridružuje o roj od do 4 dok se ranjivosti i
prijetnji pridružuje roj od do . Ri ik se računa tako da ove para etre roji o.
R = AV + V + T
Slika 12. Metoda matrice predefiniranih vrijednosti [32]
Kvantitativne metode rizika
Kod kvantitativnih metoda rizika vjerojatnost konverzije izvora opasnosti u stvarne,

nu eričke vrijednosti ve ane u gu itak, o ljede ili neku drugu vrstu opasnosti.
AR /SLE etoda se najčešće koristi kod upravljanja financijski rizicima. U ovoj

etodi ri ik je definiran količino gu itka na godišnjoj ra ini. ALE (eng. Annual Loss
Expectancy) ili očekivani godišnji gu itak je definiran roje porasta AR -a (eng.
Annual Rate of Occurrence), odnosno učestalošću pojave prijetnje i SLE (eng. Single Loss
Expectancy), koji predstavlja novčanu vrijednost očekivanu nastanko prijetnje. SLE bi
mogli detaljnije definirati kao vrijednost imovine AV (eng. Asset Value) po noženo s
57
faktoro i loženosti E (eng. Exposure Factor) koji prikazuje postotak gubitka imovine u
odre eno incidentu.
ALE = SLE * ARO gdje je SLE = AV * EF
Primjer:
Za resurs koji i a vrijednost od 1 $, faktor i loženosti od % i vjerojatnost od , 5 u

godini dana ri ik se ože lako i računati.
R =1000$∗0,2∗0,05/ god =10$/ god
Slika 13. Nivo rizika i potrebne akcije [34]

Preporuke kontrola
Za vrije e ovog koraka u procesu upravljanja ri iko , preporučuju se kontrole koje

ogu u lažiti ili eli inirati ri ik, na način koji odgovara radni operacija a
organizacije.
Cilj preporuke kontrola je smanjiti nivo rizika za sustav i njegove podatke na prihvatljivi
nivo.
Sljedeći faktori tre aju se ra otriti u preporuci kontrola: [28]

 Efektivnost preporučeni kontrola (npr. kompatibilnost sa sustavom)
 Zakoni i uredbe
 Organizacijska politika
 Utjecaj na rad
58
 Sigurnost i pouzdanost
Preporuka kontrola je re ultat procesa procjene ri ika i daje s jernice a proces

u lažavanja ri ika, za vrijeme kojeg se preporučene proceduralne i te ničke sigurnosne
kontrole procjenjuju, klasificiraju i primjenjuju.
Dokumentacija
Re ultati procjene ri ika (identificirane prijetnje i ranjivosti, procijenjeni ri ik i

preporučene kontrole) trebaju se dokumentirati u o liku i vještaja.
vještaj o procjeni ri ika opisuje prijetnje i ranjivosti, jeri ri ik i preporučuje kontrole
koje se trebaju primijeniti.
naliza troškova i dobitaka
Da bi se predvidjeli resursi i primijenile najisplativije kontrole, organi acije, nakon

identificiranja svi ogući kontrola i procjene nji ove i vedivosti i efektivnosti, tre aju
provesti anali u troškova i do itaka a svaku predloženu kontrolu da i se odredilo koje
su kontrole odgovarajuće a dane uvjete. [34]
Anali a troškova i do itaka ože iti kvalitativna ili kvantitativna. je in cilj je da
pokaže da trošak pri jene kontrola ože iti opravdan s anjenje nivoa ri ika.
u vaća:
• dre ivanje utjecaja pri jene novi ili prošireni kontrola

• dre ivanje utjecaja ako se ne pri jene nove ili proširene kontrole
• Procjenu troškova i ple entacije koja o u vaća:
 nabavku softvera i hardvera
 s anjena radna efektivnost ako je rad sustava ograničen radi povećane sigurnosti
 troškovi pri jene dodatnih politika i procedura
 troškovi apošljavanja dodatnog oso lja a pri jenu predloženi politika, procedura
ili usluga
 troškovi o uke
 troškovi održavanja
59
Nakon navedenih koraka, a u skladu s Odlukom Uprave o prihvatljivoj razini rizika,
tim a procjenu ri ika odre uje strategiju, način i slijed i ple entacije sigurnosni
kontrola u dokumentu Plan obrade rizika.
Plan obrade rizika temelji se na zbirci preventivnih i korektivnih mjera koja uključuje
te ničke i fi ičke jere, popratnu doku entaciju, proceduralne i druge mjere.
Obrada rizika - ogućnosti: [28]
• Preuzimanje rizika (engl. Risk Assumption) – o u vaća privaćanje potencijalnog ri ika

i nastavak s radom ili implementaciju kontrola za smanjenje rizika na prihvatljivu
razinu.
• Izbjegavanje rizika (engl. Risk Avoidance) – i jegavanje ri ika na način da se
eli inira u rok ri ika i/ili njegove posljedice (npr. gašenje sustava kada je ri ik
identificiran).
• graničenje ri ika (engl. Risk Limitation) – ograničenje ri ika i ple entacijom
kontrola koje ini i iraju negativan utjecaj prijetnja (korištenje preventivni jera).
• Planiranje rizika (engl. Risk Planning) – upravljanje ri iko na način da se ra vije
plan s anjenja ri ika koji prioriteti ira, i ple entira i održava kontrole.
• straživanje i prepo navanje (engl. Research and Acknowledgment) – smanjenje rizika
prepo navanje ranjivosti i istraživanje kontrola a ispravljanje ranjivosti.
• Prijenos rizika (engl. Risk Transference) – prijenos ri ika po oću neki drugi
ogućnosti, npr. treće strane poput osiguranja.
60
6. D Ž V E E V (B )
Jednostavnije je ne činiti ništa i nadati se da

će se nezgoda dogoditi nekome drugom...”
Ishodi poglavlja:
Opisati pojam kontinuitet poslovanja

Opisati pojam oporavka od havarije
Opisati vezu izme u sigurnosti informacijskog sustava i održavanja poslovnog kontinuiteta
Opisati pojam odaziva na incidente
61
Definicije:
"Planiranje odnosno upravljanje kontinuitetom poslovnih procesa (engl. Business

continuity planning, BCP ili Business continuity management, B M) je proces i rade i
dorade logističkog plana koji daje s jernice kako i jeći, u lažiti, te u slučaju najgoreg,
oporaviti se, odnosno ponovno pokrenuti poslovanje, nakon kraha uzrokovanog
nezgodom." [5]
Kontinuitet poslovanja je “strateška i taktička sposo nost organi acije da planira i

odgovori na incidente i prekide u poslovanju, kako bi nastavila s poslovnim aktivnostima
na nivou koji je pret odno definirala kao pri vatljiv“ [19]
Ciljevi:
 S anjenje vjerojatnosti pojave prekida poslovanja od strane neočekivani

incidenatakoji uzrokuju prekid
 državanje kontinuiteta poslovanja a vrije e prekida koji je nastupio od
neočekivanog incidenta (doga aja) koji je i a vao prekid
Oporavak od havarije (engl. disaster recovery) čine „procesi, politike i procedure

pove ane s pripre o a oporavak ili o novu te nološke infrastrukture od kritične
važnosti a organi aciju nakon prirodne avarije ili avarije u rokovane ljudski
djelovanje “ [ ]
Kao što se vidi i definicija, kod oporavka od avarije naglasak je na te nologiji, dok
je kod kontinuiteta poslovanja naglasak na poslovnim aktivnostima. Zato je oporavak od
havarije dio kontinuiteta poslovanja – ože ga se s atrati jedni od glavni či enika
koji o ogućuju odvijanje poslovni aktivnosti ili te nološki dijelo kontinuiteta
poslovanja. [20]
Poslovni sustavi s dobro ustrojenim poslovnim procesima ubrzavaju rad tvrtke kojoj
pripadaju, povećavaju unutarnji red, s anjuju troškove te povećavaju kvalitetu proi voda.
62
Poslovno okruženje se neprekidno ijenja, r ina i količina pro jena dra atično se
povećava, konkurenti dola e i nestaju, nesta ilnost tržišta i glo ali acija i temelja
ijenjaju način poslovanja.
eprekidno unaprje ivanje poslovni procesa jedan je od ključni faktora uspje a.
Upravljanje poslovnim procesima ima nekoliko osnovnih aktivnosti. To su dizajn i

odeliranje poslovnog procesa, i vo enje procesa te jerenje njegove uspješnosti.
Neadekvatno planiranje kontinuiteta poslovanja ože prou ročiti: [ ]
 gu itak raspoloživosti
 gubitak reputacije
 gubitak konkurentskih prednosti
 gubitak podataka
 gubitak produktivnosti
 povećanje operativni troškova
 povredu ugovornih odnosa
 povredu važeći propisa
 financijski gubitak
snovna ideja kontinuiteta poslovanja apravo je aštititi infor acije u slučaju neke
veće i neočekivane ne gode (dakle, osigurati dostupnost informacija). Upravljanje
kontinuiteto poslovanja predvi a pisanje planova koji odre uju na koji način je potre no
postupiti u i vanredni situacija a (pripre a re ervne lokacije, odre ivanje vre ena
oporavka, pripre a ko unikacije u slučaju kri e i sl.)
Plan kontinuiteta poslovanja mora se sastojati od : [11]
1) plana odaziva na incident

2) plana oporavka
63
Plan odaziva na incident o ično je jedinstven plan koji se odnosi na cijelu organi aciju
i opisuje radnje koje se moraju poduzeti odmah nakon pojave havarije – smanjenje
posljedica incidenta, ko unikacija sa služ a a a itne slučajeve, evakuacija grade,
okupljanje na zbornim mjestima, organizacija transporta na rezervnu lokaciju i sl.
Plan oporavka se o ično piše ase no a svaku kritičnu aktivnost i ora o u vaćati
sljedeće korake:
 Vrije e i način na koji se ko unicira s ra ni ainteresirani strana a
( aposlenici a i nji ovi o itelji a, dioničari a, klijenti a, partneri a,
državni služ a a, javni ediji a i dr.),
 Princip sastavljanja tima,
 Provo enje oporavka infrastrukture,
 Provjera funkcionalnosti aplikacija i kontrole pristupa,
 Provjerava podataka koji nedostaju i utvr ivanje svega što je oštećeno u avariji,
 Oporavak podataka i uspostava normalnih aktivnosti.
Ključni principi kontinuiteta poslovanja su:
1) okus (na ljude, kritične procese i servise, i vore incidenata)

2) Preventiva
3) Plan
4) Zaštita
ple entacija kro šest fa a:
1) Upravljanje rizikom
2) Analiza posljedica na poslovanje (BIA – engl. Business Impact Analysis)
3) Razvoj strategije kontinuiranog poslovanja
4) Razvoj planova
5) Testiranje planova
6) državanje planova
6.2. Ve a i među kontinuiteta os ovni ro esa i in orma ijske si urnosti
64
"Informacijska sigurnost se brine o povjerljivosti, integritetu i dostupnosti
(raspoloživosti) informacija u nekoj organizaciji, dok se kontinuitet poslovanja u prvom
redu brine da su informacije dostupne onima koji ih trebaju.
Kako se svaki poslovni proces bazira na protoku informacija, tako je fokus
kontinuiteta poslovanja na dostupnosti, odnosno očuvanju i oporavku vitalni poslovni
informacija." [11]
Kod strategije i planiranja kontinuiteta poslovnih procesa mora se paziti i na:
 iljano vrije e oporavka a pojedine poslovno kritične funkcije (engl. RTO -

Recovery Time Objective).
 Minimalne obveze koje se moraju izvoditi tijekom nezgode
 Pronaći re ervnu lokaciju na kojoj će se ponovo uspostaviti svi poslovno kritični
procesi
 drediti resurse koji će iti potre ni na re ervnoj lokaciji
 Članovi kri nog enadž enta te aduženja u situacija a ne gode
 iljana točka oporavka a podatke, odnosno koliko unatrag će iti oguće
rekonstruirati podatke ukoliko podaci udu uništeni u nezgodi
 Jedinstvene i kritične točke koje ogu prou ročiti prekid u radu
 vor i način na ave sve potre ne opre e u slučaju nezgode (ICT oprema,
na ještaj, vo ila, strojevi, itd.).
Planiranje kontinuiteta poslovni procesa o u vaća etodologiju koja se koristi kako

i se stvorio praktičan plan oporavka. Plan koji opisuje način na koji će se organi acija
oporaviti i vratiti u prijašnje stanje nakon djelo ičnog ili potpunog prekida kritični
poslovnih funkcija. Poseban naglasak nalazi se na realizaciji plana unutar unaprijed
odre enog vre ena nakon nastupa prekida ili katastrofe.
65
Slika 14. Životni ciklus plana kontinuiteta poslovanja [38]
snovne fa e i rade plana kontinuiteta poslovanja su sljedeće:
a) analiza
b) di ajn rješenja
c) implementacija
d) testiranje i pri vaćanje od strane organi acije
e) održavanje pri vaćenog plana
Djelotvornost planiranja kontinuiteta poslovanja ocjenjuje se po oću testiranja i

primjene plana kontinuiteta poslovanja, plana oporavka, plana odgovora na incidente kao i
uspostavo adekvatnog procesa upravljanja pričuvno po rano podataka.
6.3. Priručnik a kontinuitet os ovanja
U dokumentu "Upravljanje kontinuitetom poslovnih procesa" [11] definira se i pojam

priručnika za kontinuitet poslovanja manje organizacije kao jednostavan tiskani priručnik
koji mora biti spremljen na sigurnom mjestu, udaljenom od primarne radne lokacije.
66
Priručnik tre a sadržavati: [11]
 imena, adrese i telefonske brojeve kriznog rukovodstva,

 listu aposleni u generalni /opći služ a a,
 listu najvažniji klijenata i do avljača,
 točnu lokaciju udaljenih sigurnosnih kopija podataka,
 kopije ugovora o osiguranju te,
 kopije drugi kritični aterijala nužni a ostvarenje kontinuiteta poslovanja
organizacije.
6.4. Odgovor na incidente (engl. Incident response)
Napomena: o temi opširnije pročitati na poveznici

http://security.foi.hr/wiki/index.php/Odgovaranje_na_incidente_-_Incident_response [26]
gdje su autori rgovčić, Marković i Gelo detaljnije obuhvatili i tehnički aspekt odgovora
na incidente te sa koje je preuzet i dio ove skripte.
Definicije:
"Računalni sigurnosni incident je ilo koja ne akonita, neautori irana ili nepri vatljiva
akcija koja uključuje računalni sustav ili režu. Takva akcija ože uključivati
ilo koji od slijedeći doga aja:
 kra u ili ra jenu tajni
 e- ail spa ili dosa ivanje
 neautori iran ili ne akonit upad u računalni sustav
 pronevjera
 posjed ili širenje dječje pornografije
 DoS napadi
 iznuda." [26]
“Bilo koja ne akonita akcija kada se doka i a takvu akciju ogu po raniti na računalni
edij poput prevare, prijetnji i tradicionalni ločina” [26]
67
“ ncident je neplanirani i neželjeni doga aj čija je posljedica povreda (ili koji neposredno
prijeti povredo ) važeći propisa RH, politike sigurnosti infor acijskog sustava, ostali
interni akata anke ve ani u infor acijsku sigurnost kao i narušavanje te eljni
načela infor acijskog sustava, pri vaćeni praksi ve ani u infor acijsku sigurnost te
funkcionalnosti infor acijskog sustava.” [ ]
Slika 15. Podjela incidenata [26]
Ciljevi plana odgovora na incident su:

 Detekcija sigurnosni doga aja
 dentifikacija sigurnosni incidenata, nji ova procjena i odgovor na odgovarajući i
učinkovit način
 Minimiziranje negativnih posljedica na organizaciju i na njezine poslovne
operacije pri jeno odgovarajući sigurnosni kontrola, kao dio odgovora na
incidente (BCP)
 Br o učenje i pojave sigurnosni incidenata i nji ovog upravljanja.
Metodologija odgovora na incidente o u vaća ovih 7 koraka:
1) Pripre a prije nego što se incident dogodi – poduzeti akcije pripreme organizacije
i tima za odgovor (CERT) prije nego se incident dogodi
2) Detekcija incidenata – identificirati potencijalne računalno sigurnosne incidente
3) Inicijalni odgovor – provesti inicijalnu istragu, sni ajući glavne detalje koji
68
okružuju incident, okupljanje ti a a odgovor na incidente i o avještavanje oni
osoba koje trebaju znati o incidentu
4) Oblikovati strategiju odgovora na incidente - odrediti najbolji odgovor na temelju
re ultata svi po nati činjenica i do iti pristanak enadž enta
5) Odrediti koje civilne, kriminalne, administrativne i druge akcije je primjereno
podu eti, te eljeno na aključci a istrage
6) stražiti incident – obaviti detaljno sakupljanje podataka. Pregledati sakupljene
podatke, odrediti što se dogodilo, kada se dogodilo, tko je to učinio i kako
spriječiti da se to ne dogodi u udućnosti.
7) vještavanje – točno infor acijsko i vješće o re ultati a istrage na način da ude
korisno donositeljima odluka.
8) Donošenje odluka - mjere za sigurnost zaposlenika i proceduralne promjene,
evidentiranje naučeni lekcija, ra voj dugoročni popravaka a identificirane
probleme
Pripre a organi acije uključuje ra voj organi acijski strategija koje će o ogućiti
olji stav organi acije priliko odgovaranjana incidente. To uključuje poduzimanje
sljedeći koraka:
1. i ple entacija sigurnosni jera na poslužitelju

2. i ple entacija režni sigurnosni jera
3. o učavanje krajnji korisnika
4. upotreba sustava za otkrivanje napada (IDS, engl. Intrusion detection system )
5. stvaranje stroge kontrole pristupa
6. obavljanje pravodobnih procjena ranjivosti
7. redovito obavljanje sigurnosnog kopiranja podataka
ncident se o ično otkrije kada netko posu nja da se dogodio neautori irani,
nepri vatljiv ili ne akonit doga aj u organi acijskoj računalnoj reži ili u opre i a
obradu podataka.
69
Slika 16. Područja i indikatori incidenata [26]
U većini organi acija, krajnji korisnici ogu prijaviti incident na načina:

1) njihovom neposrednom nadzorniku
2) odjelu a po oć (ili lokalno odjelu a informacijsku tehnologiju ako ne postoji
služ eni odjel a po oć)
3) liniji za incidente koju vodi objekt za informacijsku sigurnost
Be o ira na koji način se otkrije incident, najvažnije je da se a ilježe svi po nati

detalji. Najbitniji detalji su: [26]
 Trenutno vrijeme i datum
 Tko/što je prijavilo incident
 Priroda incidenta
 Kada se dogodio incident
 Uključeni ardver/softver
 Dodirne točke a uključeno oso lje
Pripre a a odgovaranje na incident uključuje organi acijske korake te korake

pripreme tima za odgovor na računalno sigurnosni incident – CSIRT-a (engl. Computer
security incident response team).
Preporučaju se sljedeći koraci:
 identificiranje organizacijskih rizika
 pripre a poslužitelja a odgovaranje i oporavak od incidenata
70
 pripre a reže i ple entacijom sigurnosnih mjera
 donijeti politike i procedure koji a će se postići ciljevi odgovaranja na incidente
 kreirati programske alate za CSIRT
 stvoriti CSIRT koji će se oći nositi s incidenti a
Faze:
1) priprema
2) identifikacija
3) ograničavanje
4) uklanjanje
5) oporavak
6) i vještavanje
Ad. 1 a a pripre e uključuje:

 preventivne etode sprječavanja incidenata
 podršku rukovodstva
 odre ivanje oso a aduženi a odgovor na incidente te definiranje nji ovi ovlasti,
 odgovornosti i djelokruga rada
 planiranje komunikacije u itni slučajevi a
 organi aciju sustava i vješćivanja
 izobrazbu zaposlenika u vezi s prepoznavanjem incidenata
 i o ra u oso a aduženi a odgovor na incidente
 donošenje s jernica a suradnju e u ra ličiti organi acijski jedinica a
 definiranje odgovornosti korisnika informacijskog sustava u svezi s incidentima
 uspostavljanje odnosa s nadležni institucija a kao i drugi ti ovi a a odgovor na
incidente
Ad. . a a identifikacije uključuje identifikaciju incidenta.
Ad . a a ograničavanja uključuje provo enje potre ni radnja od strane oso a aduženi a

odgovor na incidente (pri jerice ispitivanje situacije, i jegavanje neovlašteno
pro ijenjenog koda, i radu pričuvne po rane, procjenu ri ika od nastavka rada
kompromitiranog dijela informacijskog sustava, suradnju s osobama odgovornim za
ko pro itirani dio infor acijskog sustava, pro jenu aporka i slično).
71
Ad 4. Faza uklanjanja - odre ivanje u roka i načajka incidenta o u vaća:
 po oljšanje sigurnosni postavki infor acijskog sustava
 provo enje analize ranjivosti
 uklanjanje uzroka incidenta
 lociranje ažurni pričuvni kopija koje su napravljene prije nego što je narušena
funkcionalnost i sigurnost informacijskog sustava
Ad 5. Oporavak. Fa a oporavka uključuje ponovnu uspostavu ko pro itiranih dijelova

informacijskog sustava te procjenu stanja i nadzor poslovnih procesa.
Ad 6. a a i vještavanja. i vještavanje o svi fa a a upravljanja incidento te i radu

i vješća o incidentu i radu preporuka radi ržeg prepo navanja ili sprečavanja ponavljanja
incidenta.
LITERATURA
1. Adelsberger Z.: "Auditiranje ISMS i standardi",
72
http://www.kvalis.com/component/k2/item/711-auditiranje-isms-i-standardi-iso-
19011-iso-27007-i-iso-27008
2. Adels erger Z.: Mjerenje učinkovitosti infor acijske sigurnosti,
http://www.kvalis.com/component/k2/item/699-mjerenje-učinkovitosti-informacijske-
sigurnosti
3. Bača M.: Uvod u računalnu sigurnost, arodne novinae, 4.
4. CARNet CERT , http://www.cert.hr/onama
5. CARNet CERT: " Upravljanje kontinuitetom poslovanja",
http://www.cis.hr/files/dokumenti/CIS-DOC-2011-06-017.pdf
6. AR et ERT: „ nfor acijska sigurnost u Hrvatskoj”, La oratorij a sustave i
signale, akultet elektrote nike i računarstva, Sveučilišta u Zagre u
http://sigurnost.lss.hr/images/dokumenti/lss-pubdoc-2010-10-003.pdf
7. AR et ERT: „Pregled EU propisa na području infor acijske sigurnosti”,
La oratorij a sustave i signale, akultet elektrote nike i računarstva, Sveučilište u
Zagrebu, http://www.cis.hr/files/dokumenti/CIS-DOC-2012-04-047.pdf
8. CARNet CERT: Integralni okvir za sigurnost i pouzdanost,
http://www.cis.hr/www.edicija/LinkedDocuments/CCERT-PUBDOC-2001-03-02.pdf
9. AR et ERT: Pregled svjetski organi acija u području infor acijske sigurnosti,
http://www.cis.hr/www.edicija/LinkedDocuments/CCERT-PUBDOC-2008-08-
238.pdf
10. CARNet CERT: Sigurnosna politika informacijskih sustava a članice AR eta,
http://www.cert.hr/sites/default/files/sigurnosna_politika_ustanove.pdf
11. CARNet CERT: Upravljanje kontinuitetom poslovnih procesa,
http://www.cert.hr/sites/default/files/NCERT-PUBDOC-2010-15-307.pdf
12. Cherdantseva Y. , Hilton J.: THE EVOLUTION OF INFORMATION SECURITY
GOALS FROM THE 1960S TO TODAY; Cardiff University, Cranfield University,
2012.
13. Cingula M. : "KORPORATIVNA SIGURNOST - Pojam sigurnosti i temeljni srodni
pojmovi", http://web.efzg.hr/dok/MAR/avuletic/01_Pojam%20sigurnosti.pdf
14. Dragičević D. " K MPJUTERSK KR M AL TET RMA JSK
SUSTAVI", IBS, Zagreb, 2004.
15. Hadjina N. ,FER - Zavod za primijenjeno računarstvo, SVEUČ L TE U ZA REBU,
ZA T TA S UR ST RMA JSK H SUSTAVA (nastavni materijali sa
zbirkom zadataka),
https://www.fer.unizg.hr/_download/repository/SkriptaZaStudente2009-12[1].pdf
16. HRN ISO/IEC 27001:2005, HRN ISO/IEC 17799:2005, www.hzn.hr, www.iso.org
17. Juran A.: „Sigurnost infor acijski sustava”, Po orski fakultet u Rijeci, Sveučilište u
Rijeci, http://www.pfri.uniri.hr/knjiznica/NG-dipl.LMPP/290-2014.pdf
18. Klaić A.: „Pregled stanja i trendova u suvre enoj politici infor acijske sigurnosti i
etodologija a upravljanja infor acijsko sigurnošću”,
https://www.fer.unizg.hr/_download/repository/KvalifikacijskiDrIspit_AK_08022010.
pdf
19. Košutić D.: " Disaster recovery vs. kontinuitet poslovanja", 1 Acade y,
http://advisera.com/27001academy/hr/blog/2010/11/04/disaster-recovery-vs-
kontinuitet-poslovanja/
20. Košutić D.: "Kontinuitet poslovanja",
http://blog.iso27001standard.com/hr/tag/kontinuitet-poslovanja/
21. Kovačević D.: Sigurnosna politika, AKULTET ELEKTR TEH KE
RA U ARSTVA, SVEUČ L TE U ZAGREBU, 2008.,
http://sigurnost.zemris.fer.hr/ISMS/2008_kovacevic/docs/SigurnosnaPolitika.pdf
73
22. Krapac D. , Kompjuterski kriminalitet, Pravni fakultet Zagreb, 1992.
23. Marijanović .: " UPRAVLJA JE S UR U RMA JA", AKULTET
ELEKTROTEHNIKE I RACUNARSTVA, SVEUČ L TE U ZA REBU, .,
http://sigurnost.zemris.fer.hr/ISMS/2006_marijanovic/Marijanovic_diplomski.pdf
24. Nacionalni program informacijske sigurnosti u RH,
[http://www.cert.hr/sites/default/files/CCERT-PUBDOC-2005-04-110.pdf
25. Nastavni materijali iz kolegija S UR ST RMA JSK H SUSTAVA,
ZL P RABA RMA JSK H TEH L JA, Etički i a ovi pri jene
informacijskih tehnologija,
http://www.unizd.hr/Portals/1/Primjena_rac/Poseban_program/Predavanja/sigurnost_p
redavanje.pdf
26. Odgovaranje na incidente - Incident response PITUP - wiki stranica kolegija Sigurnost
infor acijski sustava akulteta organi acije i infor atike u Varaždinu,
http://security.foi.hr/wiki/index.php/Odgovaranje_na_incidente_-
_Incident_response_PITUP
27. Pleskonjić D., Maček ., or ević B., arić M.: "Sigurnost računarski siste a i
reža", Mikro knjiga, Beograd, .
28. Procjena rizika - wiki stranica kolegija Sigurnost informacijskih sustava Fakulteta
organi acije i infor atike u Varaždinu,
http://security.foi.hr/wiki/index.php/Procjena_rizika
29. Računalni kri inal u Hrvatskoj, ttp://www.statistika. r/index.p p/4 -racunalni-
kriminal-u-hrvatskoj-u-2013
30. Sajko M.: Mjerenje i vrednovanje učinkovitosti infor acijske sigurnosti koji se nala i
na adresi
http://www.fer.unizg.hr/_download/repository/Mario_Sajko_%5Bkvalifikacijski_rad
%5D.pdf
31. Saltzer J.H., Schroeder M. D.: "The Protection of Information in Computer Systems
Manuscript", http://www.cs.virginia.edu/~evans/cs551/saltzer/
32. egudović H.: Prednosti i nedostaci etoda a kvalitativnu procjenu ri ika, Infigo,
http://www.infigo.hr/files/INFIGO-MD-2006-06-01-RiskAsses.pdf
33. Smjernice za upravljanje informacijskim sustavom u cilju smanjenja operativnog
rizika Hrvatske narodne banke, http://old.hnb.hr/supervizija/h-smjernice-za-
upravljanje-informacijskim-sustavom.pdf
34. Stojaković-Čelustka S.: snove upravljanja ri iko , ttp://www.cis. r/files/ eluska-
Osnove_upravljanja_rizikom.pdf
35. Vojković ., ta uk-Sunjić S.: K VE JA K BER ET ČK M
KRIMINALU I KAZNENI ZAKON REPUBLIKE HRVATSKE, Pravni fakultet
Split, hrcak.srce.hr/file/59422
36. Zakon o informacijskoj sigurnosti, http://narodne
novine.nn.hr/clanci/sluzbeni/298919.html
37. Zakon o aštiti oso ni podataka, ttp://narodne-
novine.nn.hr/clanci/sluzbeni/305952.html
38. Životni ciklus plana kontinuiteta poslovanja [ ttp://www.king-
ict.hr/Default.aspx?tabid=757 ]
74

Sigurnost Informacijskih Sustava - Skripta: Mr. Sc. Bernard Vukelić

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Sigurnost Informacijskih Sustava - Skripta: Mr. Sc. Bernard Vukelić

Uploaded by

Copyright:

Available Formats

mr. sc.

mr. sc. Bernard Vukelić SIGURNOST INFORMACIJSKIH SUSTAVA - SKRIPTA

Nakladnik: Veleučilište u Rijeci, Trpimirova 2/V, Rijeka

Lektor: Una Matić Vukelić, prof.

Recenzenti: prof. dr. sc. Miroslav Bača

dr. sc. Marin Kaluža

Mjesto i godina izdanja: Rijeka, 2016.

Naklada: predavanja su objavljena na web-stranica a Veleučilišta u Rijeci

Ova skripta namijenjena je studentima stručni i diplomskih specijalistički stručni

U današnje do a nužno je da organi acije koje se susreću s veliki roje prijetnji od

Skripta je podijeljena u šest poglavlja uključujući i prvo uvodno poglavlje. Drugo

Definirati pojam sigurnost

Cingula [13] navodi da je sigurnost osjećaj pojedinca da je aštićen (engl. safe,

Sigurnost kao proces asniva se na četiri osnovna koraka: procjena, aštita,

1. Procjena (engl. assesment). Smatra se posebnom akcijom ato što je u ve i s pravili a,

Slika 1. Sigurnost kao proces [27]

Uz navedene principe u literaturi se nerijetko spominje i da je sigurnost način

Informacija je najvažnija i najskuplja imovina (resurs). Njezino pravodobno

U takvo okruženju, a ra voje računala, sustavi za upravljanjem informacijama

nfor acijska sigurnost tako er uključuje:

Važno je i spo enuti da se u to kontekstu sve češće upotrebljava termin

Informacijski sustav jest svaki sustav koji se prikupljaju, po ranjuju, čuvaju,

nfor acije je potre no aštititi:

a) od neovlašteni izmjena, odnosno osigurati integritet

prikazuje se kroz tzv. sigurnosni trokut (engl. CIA triad).

Slika 3. Sigurnosni trokut (engl. CIA triad) [17]

Povjerljivost se odnosi na osiguranje da je infor acija dostupna sa o oni a koji

Drugi aspekt sigurnosnog trokuta jest integritet. Pod poj o integriteta

U smjernicama HNB-a [33] u kontekstu sigurnosti informacijskih sustava navodi se da

1. neporecivosti: svojstvu koje osigurava ne ogućnost poricanja i vršene aktivnosti ili

2.3. Povijesni razvoj informacijske sigurnosti

Ako se analizira literatura koja prati povijesni razvoj informacijske sigurnosti,

Povijesni razvoj informacijske sigurnosti opisan je i u knjizi „Evolucija ciljeva

 sigurnosne prijetnje: u malom broju; ra lo i: računala su skupa i malobrojna, novost:

 pojava prvi oso ni računala;

 veća upotre a računala u sektoru gospodarstva, ra ličiti prioriteti u odnosu na vojsku i

 1998. nastaje termin Information Assurance (IA): osim integriteta, dostupnosti i

 sigurnost je integralni dio korporacija – korporativna sigurnost;

Neki od autora [15] navode i ovakvu podjelu u razvoju sigurnosti:

 Sigurnost računala (engl. Computer Security – 1970.)

Sigurnost infor acijski sustava ože iti ugrožena na više načina.

1. ljudi – namjerne prijetnje

Slika 5. ajčešće prijetnje sigurnosti infor acijski sustava [21]

Prijetnje se mogu grupirati i prema navedeni područji a:

Svaka prijetnja i a o ilježja koja pružaju korisne infor acije o sa oj prijetnji.

Ranjivost se najčešće povezuje s propusti a u progra sko kodu, no ogući su i

Da i se uspješno identificirale ranjivosti sustava, potrebno je testiranje samog sustava

Metode ispitivanja ranjivosti jesu:

 alati za automatsko skeniranje ranjivosti (koriste se metodom koja skenira korisnike

Osim navedenih metoda, izvori o ranjivosti mogu biti:

 dokumentacija od prethodnih analiza rizika procjenjivanog informacijskog sustava

U osnovi, napadi su akcije koje su us jerene na ugrožavanje sigurnosti infor acija,

 ostvarenje koristi/štete: provala

apad u kontekstu računalnog kri inala:

Slika 6. Kategorije napada [27]

 ispitaj i procijeni (engl. survey and assess)

Postoji nekoliko načina anipuliranja i pripre e napada na infor acijski sustav:

 Mrežno orijentirani napad

2.7. Zaštitne mjere

Prema „Smjernicama za upravljanje informacijskim sustavom u cilju smanjenja

Zaštitne jere i aju jednu od sljedeći uloga ili više nji :

Tako er tre a i ati na u u da je podi anje ra ine nanja i svijesti aposlenika

Zaštitne jere dijele se: