Professional Documents
Culture Documents
Sigurnost Informacijskih Sustava - Skripta: Mr. Sc. Bernard Vukelić
Sigurnost Informacijskih Sustava - Skripta: Mr. Sc. Bernard Vukelić
Bernard Vukelić
Veleučilište u Rijeci
Sigurnost informacijskih
sustava - skripta
Rijeka, 2016.
mr. sc. Bernard Vukelić
SIGURNOST INFORMACIJSKIH SUSTAVA
Veleučilište u Rijeci
ijedan dio ovi predavanja i vjež i ne s ije se u nožavati, fotokopirati ni na ilo koji drugi
način reproducirati ili upotrebljavati uključujući web-distribuciju i sustave a pretraživanje te
skladištenje podataka e pisanog dopuštenja nakladnika.
ISBN: 978-953-6911-84-4
Veleučilište u Rijeci uvrstilo je ovaj udž enik u veleučilišne udž enike (KLASA: 602-09/16-
01/02, URBROJ: 2170-57-02-16-3).
Predgovor
Autor
SADRŽAJ
1. UVOD ................................................................................................................................ 5
2. TEMELJNI POJMOVI IZ SIGURNOSTI INFORMACIJSKIH SUSTAVA ................... 6
2.1. Sigurnost ................................................................................................................................ 6
2.2. Informacijska sigurnost .......................................................................................................... 8
2.3. Povijesni razvoj informacijske sigurnosti ............................................................................ 11
2.4. Prijetnje ................................................................................................................................ 14
2.5. Ranjivost .............................................................................................................................. 16
2.6. Napad ................................................................................................................................... 18
2.7. Zaštitne jere....................................................................................................................... 20
2.8. Voditelj sigurnosti informacijskog sustava (engl. Chief Information Systems Security
Officer – CISSO) .............................................................................................................................. 21
3. SUSTAV UPRAVLJANJA RMA JSK M S UR U (ISMS) ................. 23
3.1. SMS i a tjevi a jerenje efikasnosti i učinkovitosti .................................................... 33
4. RAČU AL KR M AL, ST TU JE ZAK SKA RE ULAT VA
SIGURNOSTI INFORMACIJSKIH SUSTAVA U RH .......................................................... 38
4.2. Računalni kri inal ............................................................................................................... 38
4.3. Institucije i zakonska regulativa sigurnosti informacijskih sustava u RH ........................... 41
4.4. Pregled EU propisa na području infor acijske sigurnosti ................................................... 50
5. PROCJENA RIZIKA ....................................................................................................... 51
6. DRŽAVA JE K T U TETA P SL VA JA (B P) ........................................... 61
6.2. Ve a i e u kontinuiteta poslovni procesa i infor acijske sigurnosti ............................. 64
6.3. Priručnik a kontinuitet poslovanja...................................................................................... 66
6.4. Odgovor na incidente (engl. Incident response) .................................................................. 67
7. LITERATURA ................................................................................................................. 72
1. UVOD
„Jedini informacijski sustav koji je zaista siguran je onaj koji je ugašen, isključen iz
napajanja, zaključan u sefu od titana, zakopan u betonskom bunkeru, te okružen nervnim
plinom i dobro plaćenima naoružanim čuvarima. Čak ni tad, ne bih se baš kladio na njega.”
(Eugene Spafford Direktor Computer Operations, Audit and Security Technology (COAST) Purdue
University)
5
2. TEMELJNI POJMOVI IZ SIGURNOSTI
INFORMACIJSKIH SUSTAVA
Ishodi poglavlja:
2.1. Sigurnost
Definicije:
Pleskonjić, Maček, or ević i arić [27] sigurnost definiraju kao proces održavanja
prihvatljive razine rizika. Drugi autori [15] [22] navode sličnu definiciju, odnosno sigurnost
opisuju kao proces s anjenja ri ika ili vjerojatnosti nastajanja štete.
Bez obzira na definiciju, sigurnost nije proi vod ili avršno stanje, već proces.
6
. Zaštita (engl. protection). Zaštita, tj. sprječavanje ili prevencija podrazumijeva primjenu
protumjera kako i se s anjila ogućnost ugrožavanja sustava. Ako aštita akaže,
primjenjuje se sljedeći korak, odnosno otkrivanje.
3. Otkrivanje (engl. detection). Otkrivanje ili detekcija predstavlja proces identifikacije upada,
tj. povrede sigurnosnih pravila ili incidenata koji se odnose na sigurnost.
4. Odgovor (engl. response). Odgovor ili reakcija predstavlja proces oporavka. U novije
vrijeme sve se češće primjenjuju pravna sredstva (sudski proces protiv onoga koji ugrožava
sigurnost).
Kada se govori o sigurnosti i aštiti infor acijski sustava i reža, nekoliko principa
danas vrijedi kao osnovni postulati: [27]
1) Sigurnost je proces. Sigurnost nije gotov proizvod, usluga ili procedura, već skup koji
i sadržava, u još nogo ele enata i jera koje se stalno provode.
2) Ne postoji apsolutna sigurnost.
3) U ra ličite etode te ničke aštite, tre a i ati u vidu i ljudski faktor, sa svi
slabostima.
7
2.2. Informacijska sigurnost
Infor acija se ože definirati kao „podatak s odre eni načenje , odnosno
sa nanje koje se ože prenijeti u ilo koje o liku (pisanom, audio, vizualnom,
elektronskom ili nekom drugom)”. [24]
Marijanović [23] ističe da se pod poj o infor acijske sigurnosti podra u ijeva
aštita infor acija od velikog broja prijetnji kako i se osigurao poslovni kontinuitet, s anjio
ri ik, te povećao roj poslovni prilika i povrat od investicija.
8
Prema Nacionalnom programu informacijske sigurnosti u RH [24] „sigurnost
infor acijski sustava ( SE ) podra u ijeva sigurnost podataka na elektronički
ediji a i računali a (COMPUSEC), sigurnost podataka u sustavima za prijenos podataka
(COMSEC) te sigurnost informacijske infrastrukture u posebnim kategorijama prostora od
ra ličiti vrsta pasivnog ili aktivnog prisluškivanja (TECSEC).”
„ nfor acijska sigurnost je disciplina kojoj je osnovni cilj osigurati aštitu infor acija i
infor acijski sustava od neovlaštenog pristupa, korištenja, pri jene ili uništavanja.” [25]
9
Slika 2. Sigurnost informacija [8]
ično se u području infor acijske sigurnosti to o načava kao očuvanje -I-A, gdje
je C-I-A akroni od engleski riječi: onfidentiality, Integrity i Availability (u prijevodu
o načavaju povjerljivost, integritet i dostupnost). U literaturi povezanost tih triju aspekata
10
ovlaštenja, odnosno da su one ogućene pro jene od strane neovlašteni oso a ili
neovlaštene pro jene ovlašteni korisnika.
Kao treći aspekt infor acijske sigurnosti navodi se dostupnost (raspoloživost), a taj
pojam odnosi se upravo na dostupnost podataka i infor acija korisnici a. ajviši cilj
dostupnosti jest osigurati stalnu odnosno pravodobnu dostupnost potrebnih informacija. Dva
su najčešća uzroka neraspoloživosti sustava: odbijanje usluge (eng. Denial Of Service - DoS) i
gu itak ogućnosti obrade podataka.
11
Razdoblje 1950/60-ih
Razdoblje 1960/70-ih
Razdoblje 1980-ih
12
Razdoblje 1990-ih i početak 21. stoljeća
Danas
13
Budući da je prethodno navedeno što je sigurnost infor acijski sustava, ože se i
definirati što nije, odnosno što se ne s atra pod ti poj o . To se ponajprije odnosi na dvije
situacije, odnosno paranoju i neugodnost sustava. Pod paranojom se misli taktika
zabranjivanje svega, odnosno ograničavanja korisnika unaprijed „ a svaki slučaj”, a pod
neugodnost sustava spada forsirana autentikacija i politika „ide a raniti, pa ću dopustiti
ako će se netko žaliti”. Isto tako, važno je napo enuti da i forsiranje implementacije
isključivo te nološki rješenja e ikakvog cilja i strategije kao i prepuštanje rige oko
sigurnosti sustava infor atičkom odjelu unutar organizacije nije sigurnost informacijskih
sustava.
Isto tako, treba istaknuti sljedeće: informacijska sigurnost nije IT sigurnost, odnosno
infor acijski sustav ( S) nije T sustav. To su dvije ra ličite stvari. U svako slučaju, IT
sustav dio je (podskup) nogo šireg infor acijskog sustava.
2.4. Prijetnje
U kontekstu informacijske sigurnosti prijetnja je objekt, osoba ili drugi entitet koji
predstavlja stalnu opasnost za imovinu organizacije. Prijetnja se definira i kao „ ogući u rok
neželjenog incidenta koji ože u rokovati štetu sustavu ili organi aciji.” [34] Neke od
definicija prijetnji su i: [33]
• Prijetnja je svaka sila ili sredstvo koja ože poništiti ili s anjiti učinkovitost sustava,
odnosno ograničiti ili one ogućiti ispunjenje cilja.
• Prijetnje su potencijalni u rok neželjenog doga aja (sigurnosnog incidenta) koji ože
i ati a posljedicu štetu a sustav, i ovinu ili organi aciju.
Prijetnja ože prou ročiti neželjenu situaciju čija posljedica ože iti nanošenje štete
i ovini u organi aciji. Prijetnja ora iskoristiti postojeću ranjivost i ovine da i se
reali irala i re ultirala šteto . Stoga je potre no točno utvrditi prijetnje kao i nji ovu ra inu i
14
vjerojatnost (mala, srednja, velika).
Slika 4. Nivo vjerovatnosti prijetnji [34]
Prijetnje ože o podijeliti pre a i voru:
• logička infiltracija
• komunikacijska infiltracija
• kvarovi na opremi
• pogreške radi aposlenika
• fi ičke prijetnje.
15
1. i vor (pri jerice je li riječ o unutrašnjoj ili vanjskoj prijetnji)
2. motiv (primjerice ostvarivanje financijske dobiti, ostvarivanje konkurentske prednosti)
3. učestalost pojavljivanja
4. ra ornu oć.
2.5. Ranjivost
Ranjivost se definira kao „sla ost i ovine ili grupe i ovina koju jedna ili više
prijetnji mogu iskoristiti” [28] pćenito ože o ranjivosti podijeliti na ranjivosti aplikacije i
ranjivosti operacijskog sustava.
„Ranjivost sama po sebi ne nanosi štetu, nego ranjivost ože o definirati kao stanje
ili skup stanja koji ože o ogućiti nekoj prijetnji da utječe na resurse (pri jerice nedostatak
e ani a a kontrole pristupa jest ranjivost koja i ogla o ogućiti ostvarenje prijetnje
neovlaštenog pristupa, što ože dovesti do gu itka ili oštećenja resursa).” [33]
„Anali a ranjivosti je procjena sla osti koje identificirane prijetnje ogu iskoristiti. Ta
i anali a tre ala u eti u o ir okruženje i postojeće aštitne jere i kontrole. Ranjivost u
odnosu na neku prijetnju poka atelj je lakoće kojo je oguće naštetiti sustavu ili resursi a.
” [33]
Postoje tri osnovna tipa ranjivosti s obzirom na prirodu informacijskog sustava i faze u
kojoj se nalazi s obzirom na SDLC (engl. System Development Life Cycle): [28]
• ako informacijski sustav još nije di ajniran, ispitivanje ranjivosti potrebno je fokusirati
na sigurnosnu politiku organizacije, planirane sigurnosne postupke te na razvojnu
sigurnosnu analizu proizvoda;
16
• ako je informacijski sustav u fa i i ple entacije, identifikacija ranjivosti je proširena
i uključuje više specifični podataka, kao opis načenja planirane sigurnosti u
dokumentaciji dizajna sigurnosti te rezultati testiranja i ocjene sustava;
• ako je sustav u radu, proces idntifikacije ranjivosti tre a uključivati anali e o ilježja
informacijskog sustava i sigurnosne kontrole, tehnike i postupke koji se upotrebljavaju
u aštiti sustava.
17
2.6. Napad
„Napad je djelo, akcija koja iskorištava priliku postojanja ranjivosti kako i se ko pro itirao S
sustav koji tre a o aštititi” [15]
pćenito se svaki napad pre a cilju koji nastoji ostvariti ože svrstati u jednu od sljedeće tri
kategorije:
Napad pristupa (engl. access attack) - napad u koje napadač želi ado iti pristup
povjerljivi resursi a a koje nije ovlašten.
Napad modifikacije (engl. modification attack) - napad u koje napadač želi prisilno
izmijeniti informacije u sustavu a koje nije ovlašten.
apad uskraćivanje usluge (engl. denial of service attack) - napad u koje napadač želi
pore etiti i one ogućiti rad reže, usluga, sustava u cjelini.
Podjela:
Aktivni napadi jesu oni kod kojih kao posljedica dolazi do promjene objekta koji se
napada (npr. mijenjanje podataka).
Pasivni napadi jesu oni kod koji sa o jekt ostaje nepro ijenjen (npr. neovlašteni
pristup podaci a e da i se riše ili ijenja).
Podjela:
unutarnji: posjeduje ovlaštenja
vanjski: ne posjeduje ovlaštenja
18
Cilj napada najčešće su:
podatkovni resursi
strojna podrška
progra ska podrška
1. uspješan napad
2. napad u pokušaju
Postoje ra ličite vrste napada, ali oni se općenito ogu podijeliti u četiri osnovne
kategorije:
a) presijecanje, prekidanje (engl. interruption)
b) presretanje (engl. interception)
c) izmjena (engl. modification)
d) proizvodnja (engl. fabrication)
19
Koraci kod napada su:
1) prevencije
2) odvraćanja
3) otkrivanja
4) ograničavanja
20
5) korigiranja
6) oporavka
7) nadzora
8) osvješćivanja.
na aštitu sa i podataka
na progra sku aštitu
na organi acijsku aštitu te
na fi ičku i te ničku aštitu.
Mjere koje u praksi postižu do re re ulate pri implementaciji informacijske sigurnosti jesu:
a) sigurnosna politika
b) podjela odgovornosti informacijske sigurnosti
c) svijest o informacijskoj sigurnosti, edukacija i trening
d) ispravno procesiranje podataka u aplikacijama
e) upravljanje ranjivostima
f) upravljanje poslovnim kontinuitetom i
g) upravljanje sigurnosnim incidentima i po oljšanji a sustava.
2.8. Voditelj sigurnosti informacijskog sustava (engl. Chief Information Systems Security
Officer – CISSO)
21
administratora, komunicira s upravo , sudjeluje u donošenju odluka o na avi računala i
softvera, te sudjeluje u ra voju softvera, kako i osigurao da se poštuju pravila iz sigurnosne
politike.” [10]
odre ivanje sigurnosni ciljeva u skladu sa strategijo infor acijskog sustava anke
razvoj politike sigurnosti informacijskog sustava, standarda, smjernica i ostalih
internih akata u cilju postizanja i održavanja adovoljavajuće ra ine sigurnosti
razvoj i primjenu strategije sigurnosti i sigurnosne arhitekture informacijskog sustava
nad iranje istrage u slučajevi a narušavanja sigurnosti infor acijskog sustava
suradnju s vanjskim suradnicima prilikom obavljanja neovisnih revizija i testiranja
sigurnosti informacijskog sustava
anali iranje sigurnosni potre a te u skladu s nji a predlaganje planiranja,
i ple entacije, testiranja i nad iranja aktivnosti a po oljšanje sigurnosti
informacijskog sustava
planiranje i koordiniranje anali e isplativosti preporučeni i postojeći sigurnosni
rješenja
upozoravanje na potrebu za izobrazbom i davanje smjernica za izobrazbu svih osoba
koje se koriste infor acijski sustavo anke, a u ve i sa sigurnošću informacijskog
sustava
dostavljanje i vješća upravi i nad orno od oru anke
procjenu rizika sigurnosti informacijskog sustava
kontroliranje provo enja politike sigurnosti infor acijskog sustava i ostali interni
akata koji se odnose na sve aspekte sigurnosti informacijskog sustava
koordiniranje aktivnosti s organizacijskom jedinicom informacijske tehnologije i
unutarnjom revizijom
22
sudjelovanje u načajniji fa a a u životno ciklusu infor acijskog sustava s
aspekta sigurnosti
sudjelovanje u planiranju kontinuiteta poslovanja
3. V V
(ISMS)
Ishodi poglavlja:
Definicije:
23
b) da održava strukturiran sveo u vatan radni okvir a identifikaciju i procjeni ri ika
infor acijske sigurnosti, oda ir i pri jenu odgovarajući sigurnosni jera
(kontrola) te mjerenje i po oljšanje nji ove učinkovitosti;
c) da kontinuirano po oljšava kontroliranu okolinu i
d) da djelotvorno postiže akonsku i regulatornu uskla enost.
„Me unarodni standardi, odnosno nor e, koji se odnose na infor acijsku sigurnost
i ra eni su kako i organi acija a po ogli da uspostave sustav upravljanja infor acijsko
sigurnošću. rgani acije koje se potrude i steknu certifikate koji potvr uju sukladnost sa
a tjevi a e unarodni nor i, ogu na taj način adovoljiti a tjeve akonodavca, a
istovre eno steći povjerenje poslovni partnera i kupaca, što i daje poslovnu prednost na
ko petitivno tržištu. Radi toga se spo enute organi acije kod koji čitatelj ože pronaći
nor e i standarde infor acijske sigurnosti te noštvo korisni uputa i savjeta o to e kako
uspostaviti sustav upravljanja informacijskom sigurnošću. ” [9]
Standardi koji su od velike važnosti a sigurnost infor acijski sustava jesu: ISO
27001 – Sustav upravljanja infor atičko sigurnošću te ISO 27002 – Kodeks postupaka a
24
upravljanje infor acijsko sigurnošću. Kako bi se uspostavio kvalitetan sustav a
upravljanje sigurnošću infor acija, potrebno je upotrebljavati oba standarda.
Osim glavnih standarda, postoje i mnogi drugi ve ani u pro le atiku aštite i
sigurnosti infor acijski sustava, koji su već doneseni ili su planirani u naredno ra do lju:
ISO 27001 temeljni je standard ISO 27000 serije standarda, a definira zahtjeve za
uspostavu, implementaciju, rad, nadzor, reviziju, održavanje i po oljšavanje doku entiranog
sustava upravljanja infor acijsko sigurnošću.
25
Politika sigurnosti
Organizacija informacijske sigurnosti
Upravljanje imovinom
Sigurnost ljudskog potencijala
i ička sigurnost i sigurnost okruženja
Upravljanje komunikacijama i operacijama
Kontrola pristupa
a ava, ra voj i održavanje infor acijski sustava
Upravljanje sigurnosnim incidentima
Upravljanje kontinuitetom poslovanja
Sukladnost
Nova revizija norme IEC/ISO 27001 iz 1 . godine sadržava ove sigurnosne kategorije:
Poglavlje 1: Opseg – o jašnjava da je ovaj standard pri jenjiv u ilo kojoj organi aciji.
26
Poglavlje 4: Kontekst organizacije – ovo poglavlje je dio faze planiranja u PDCA krugu
(uspostava, upravljanje, pregledavanje, po oljšavanje) i definira uvjete a ra u ijevanje
vanjskih i unutarnjih pitanja, zainteresiranih strana i njihovih zahtjeva, te definiranje opsega
sustava upravljanja infor acijsko sigurnošću.
Poglavlje 5: Rukovo enje – ovaj odjeljak je dio faze planiranja PDCA ciklusa i definira
odgovornost top enadž enta, odre uje uloge i odgovornosti, te sadržaj krovne politike
informacijske sigurnosti.
Poglavlje 6: Planiranje – ovo poglavlje je dio faze planiranja u PDCA krugu i definira uvjete
za procjenu rizika, obradu rizika, Izjavu o primjenjivosti, plan obrade rizika, te postavlja
ciljeve informacijske sigurnosti.
Poglavlje : Podrška – ovo poglavlje je dio faze planiranja u PDCA krugu i definira uvjete za
dostupnost resursa, nadležnosti, infor iranost, ko unikaciju i kontrolu doku enata i apisa.
Poglavlje 8: Djelovanje – ovo poglavlje je dio Do faze (primjene) u PDCA krugu i definira
provedbu procjene i obrade rizika, kao i sigurnosne mjere i druge procese potrebne za
postizanje ciljeva informacijske sigurnosti.
Poglavlje 9: cjena učinaka – ovo poglavlje je dio faze pregledavanja u PDCA krugu i
definira uvjete a praćenje, jerenje, anali u, procjenu, unutarnju revi iju i pregled
enadž enta.
Aneks A – ovaj aneks nudi katalog 114 sigurnosnih mjera koje se nalaze u 14 poglavlja
(poglavlja od A.5 do A.18).
27
jednu ili više kontrola koje se ogu pri ijeniti a posti anje tog cilja.
Primjer
Upravljanje imovinom
Odgovornost za imovinu
Cilj: postizanje i održavanje odgovarajuće zaštite imovine organizacije.
Klasifikacija informacija
Cilj: osiguranje odgovarajuće razine zaštite informacija.
PLAN faza
28
1) Podrška uprave. Prije i ple entacije ilo kojeg efikasnog sustava upravljanja
najvažnije je da uprava u potpunosti ra u ije koristi uvodenja sustava te podržava
njegovo uvo enje, svjesna ogući pro le a i prepreka koje se ogu pojaviti.
Sigurnost tre a iti potaknuta od vr a organi acije. Kako i se uspješno ispunili
ciljevi i a tjevi infor acijske sigurnosti, važno je da i vršno tijelo organi acije
preuzme inicijativu u promicanju informacijske sigurnosti te pruži punu potporu ti u
ili vanjski suradnici a koji će provoditi proces.
2) Definiranje opsega sustava upravljanja sigurnošću informacija. Drugi korak jest
definiranje područja koje će pokrivati implementirani sustav upravljanja sigurnošću
infor acija. To ože iti područje cijelog informacijskog sustava organizacije ili
sa o jedan njegov dio. Tako er, sustav ože pokrivati sa o jednu specificnu uslugu,
npr. internetsko ankarstvo. Područje opsega sustava upravljanja sigurnošcu
informacija o u vaća sve one domene za koje organizacija smatra da trebaju
adekvatnu infor acijsku aštitu.
3) Kreiranje dokumenta sigurnosne politike. Dokument sigurnosne politike relativno je
kratak dokument (1 – 3 stranice), potpisan od strane uprave organizacije te prezentiran
svim zaposlenicima. Namjena dokumenta jest iskazivanje potpune potpore
poslovodstva uvo enju sustava upravljanja sigurnošću informacija. Dokumentom se
nedvoj eno i ražava politika organizacije da će osigurati tajnost informacija, štititi
njihov integritet te osiguravati njihovu dostupnost samo autoriziranim korisnicima. Svi
drugi relevantni dokumenti, pravne i zakonske odred e od specifične važnosti a
organizaciju, kao i ostali dokumenti sigurnosne politike namijenjene odre eni
aspektima informacijskog sustava, trebaju biti navedeni u krovnom dokumentu
sigurnosne politike.
4) Uspostaviti upravljačku strukturu a proved u jera i strategija sustava upravljanja
sigurnošću infor acija. Struktura se rine a proved u, kreiranje i održavanje
ažurnosti sigurnosni politika, kao i relevantni standarda, procedura i planova.
Struktura se sastoji od ra ličiti tijela i ti ova aduženi a specifične sigurnosne
aspekte. Konačnu odgovornost a proved u sigurnosni jera preu i a glavni
služ enik a infor acijsku sigurnost. jegove odgovornosti i ovlaštenja moraju biti
jasno definirani, kao i odgovornosti i ovlaštenja svakog aposlenika u upravljačkoj
strukturi a sigurnost infor acija. a taj način postiže se adekvatna proved a
sigurnosnih mjera unutar organizacije.
29
5) vo enje procjene ri ika. Kako i se donijela odluka o to e koje je informacijske
resurse potre no aštititi, nužno je provesti detaljnu anali u organi acije u cilju
utvr ivanja lokacije, načina postupanja i odgovornosti a pojedine infor acijske
resurse. Informacijski resursi svakog dijela organizacije trebaju se klasificirati unutar
aspekata tajnosti, integriteta i dostupnosti.
6) Odabir sigurnosnih kontrola. Podrazumijeva se da nisu sve kontrole primjenjive na sve
organi acije. Preporučuje se upotre a sa o oni kontrola koje su u procesu anali e
ri ika identificirane kao nužne za primjenu. Nakon odabira sigurnosnih kontrola
specifične sigurnosne politike definiraju se a svaku pojedinu kontrolu, kako i se
osigurala željena ra ina sigurnosti. Preporuke i procedure a i ple entaciju
sigurnosnih politika specificiraju se u posebnoj dokumentaciji o implementaciji
sigurnosne politike, te se sama implementacija mjera definiranih politikama provodi u
„Act” fazi PDCA ciklusa.
7) Kreiranje Izjave o primjenjivosti. Norma ISO/IEC 27001 zahtijeva postojanje
dokumenta zvanog Izjava o primjenjivosti (engl. Statement Of Applicability, SoA),
koji sadržava popis sigurnosni kontrola s o jašnjenji a ašto su pojedine kontrole
uključene odnosno isključene i sustava. Standard podra u ijeva da je opseg sustava
upravljanja sigurnošću infor acija specifican za svaku pojedinu organizaciju i samim
ti je opravdano isključivanje pojedini kontrola i sustava.
DO faza
30
specifikaciju kako je potrebno implementirati definirane sigurnosne mjere opisane
doku enti a sigurnosne politike. užno je redovito provjeravati sigurnosne politike i
metode njihove implementacije kako bi se na vrijeme odredila optimalna metoda
suočavanja s novi sigurnosni prijetnja a. Budući da su sposo nosti napadača sve
sofisticiranije i štete koje ogu nastati nji ovi djelovanje sve veće, važno je često
provjeravati i ažurirati sigurnosne politike i etode nji ove implementacije.
3) Provo enje o ra ovni progra a. Dio i ple entacije sustava upravljanja sigurnošću
infor acija ože se reali irati auto atski pute te nički procedura ugra enih u
infor acijski sustav. Meduti , veći dio i ple entacije ovisi o odluka a i
aktivnosti a ovlašteni oso a kao i svi korisnika infor acijskog sustava
organi acije. Kako i se podigla svijest o važnosti pridržavanja sigurnosni jera
i ple entirani kro sustav upravljanja sigurnošću infor acija, važno je provoditi
odgovarajuću i planiranu izobrazbu zaposlenika o važnosti sigurnosti te pridržavanju
sigurnosnih politika i procedura.
4) Upravljanje operacijama i resursima. Kako bi se upravljanje operacijama i resursima
sustava upravljanja sigurnošću informacija pravilno i efikasno provodilo, važno je
uspostaviti takav tip sigurnosne organizacije koji se ne oslanja pretjerano na
pojedinačne aposlenike. Takoder, nužno je uspostaviti sustav r og reagiranja na
incidente kako bi se osigurao kontinuirani rad informacijskog sustava i poslovanja
organizacije. Svaki novi informacijski resurs treba biti provjeren i testiran prije
uključivanja u informacijski sustav. Specifikacije resursa moraju se nadzirano
pohranjivati i kontrolirati. Ako je odre eni ure aj uništen ili je na nje u i veden
popravak, odgovarajuća procedura tre a se provoditi pri rukovanju ure aje u cilju
sprečavanja otkrivanja osjetljivi infor acija lona jerni korisnici a.
5) Uočavanje i reagiranje na sigurnosne incidente. Svaki aposlenik dužan je o uočeno
sigurnosnom incidentu i vijestiti oso u nadležnu a proved u sigurnosni jera, e
pokušaja sa ostalnog rješavanja incidenta. Za rješavanje sigurnosni incidenata
potrebno je kreirati posebnu proceduru i slijediti metode i odgovornosti definirane
proceduro . Tako er je prilikom rješavanja sigurnosni incidenata nužno proi vesti
i vještaj o riješeni sigurnosni incidenti a.
CHECK faza
31
infor acijskog sustava održava se pri jeno pravila i procedura a nadzor sustava
upravljanja sigurnošću infor acija. Budući da se nove sigurnosne prijetnje otkrivaju
na dnevnoj a i, nužno je pratiti i vore infor acija o sigurnosni prijetnja a i
redovito ažurirati sigurnosne e ani e a sprečavanje ti prijetnji.
2) Provjera efikasnosti sustava. Konstantno provjeravanje sigurnosnih mjera i
mehanizama implementirani sustavo upravljanja sigurnošću infor acija nužno je
kako i se osigurala njegova efikasnost. Provjeru je dužan provoditi svaki aposlenik
u svakom aspektu svojeg rada, a osi toga nužno je provoditi i povremene provjere
ranjivosti sustava. Povremene provjere ranjivosti mogu se provoditi unutar same
organi acije ili se a to ogu angažirati osposo ljeni stručnjaci i van organi acije
kako i provjera ila što o jektivnija. U i ajući u o ir re ultate takvi provjera,
provode se jere a po oljšanje sustava upravljanja sigurnošću infor acija.
3) Provjera razine prihvatljivog rizika. Efektom sigurnosne mjere smatra se njezina
sposobnost umanjivanja prijetnje, ranjivosti ili čak vrijednosti infor acijskog resursa
kako bi se postigao minimalan rizik. Za umanjivanje ranjivosti informacijskog sustava
ogu se upotrije iti ra ličite strategije, npr. uklanjanje svi ranjivosti, uklanjanje onih
ranjivosti koje zahtijevaju najmanje financijskih sredstava, a zatim onih unutar
dopušteni sredstava, uspostava i odabir ravnoteže i e u te nički i nete nički
metoda za uklanjanje ranjivosti i sl. Pokušaj uklanjanja svi ranjivosti najvjerojatnije
neće u anjiti rizik na nulu. toviše, takva je etoda o ično skupa i vre enski
zahtjevna te rijetko donosi očekivane re ultate. stale etode mogu se kombinirati u
cilju dobivanja najboljeg rezultata odluko o oda iru odredenog odnosa troška i
učinka.
4) Provedba internih audita sustava. nterni auditi igraju važnu ulogu u održavanju
kontinuiranog po oljšanja sustava. ilj interni audita jest provjera efikasnosti,
ispravne i ple entacije i održavanja sigurnosni kontrola u cilju potvrde da se sustav
upravljanja sigurnošću infor acija ponaša onako kako se to od njega očekuje.
5) Pregled sustava od strane uprave. Uprava obavlja pregled i ocjenu sustava upravljanja
sigurnošću infor acija u cilju potvrde kontinuirane adekvatnosti i efikasnosti sustava.
Ulazni podaci za pregled poslovodstva su rezultati provedenih audita i kontrola,
i vršene korektivne i preventivne akcije, preporuke a unapre enje sustava te nove
tehnologije i metode koje se primjenjuju u informacijskim sustavima. Rezultati
pregleda poslovodstva jesu prijedlozi za korekcije sustava, njegovo unapre enje kao i
osiguranje potrebnih resursa za provedbu specificiranih korektivnih i preventivnih
32
mjera.
ACT faza
1) ple entacija etoda a po oljšanje sustava. Kontinuirana težnja unapre enju koja
se ne temelji isključivo na aktualno pro le u vrlo je važna odlika svakog uspješnog
sustava upravljanja organizacijom. Ona predstavlja napredak iz reaktivnog na
proaktivno upravljanje. Metode kontinuiranog po oljšavanja sustava jesu
identifikacija potencijalni unapredivi područja, anali a i opravdanje potrebnih
akcija, odluka o provo enju jera a po oljšanje, i ple entacija po oljšanja,
jerenje utjecaja po oljšanja na organi aciju, anali a re ultata po oljšanja na
pregledu poslovodstva, stalna potraga a novi etoda a po oljšanja.
2) Provedba korektivnih i preventivnih mjera. Korektivne mjere provode se nakon
ostvarenog sigurnosnog ri ika kako i se spriječila ponovna pojava ri ika u
udućnosti. Preventivne mjere upotrebljavaju se za umanjivanje vjerojatnosti pojave
rizika i umanjivanje potencijalni šteta.
3) Informiranje o sustavu unutar organizacije. Provedba sigurnosnih politika i
upo navanje svi aposlenika sa sustavo upravljanja sigurnošću infor acija ora se
provoditi planirano i e osjećaja opterećenja edu aposlenici a organi acije.
Potre no je tako er provoditi redovitu i o ra u uprave, korisnika i partnera o načinu
pri jene i pridržavanja i ple entirani sigurnosni politika.
Adelsberger [2] smatra da nije dovoljno samo implementirati ISMS nego postoji
potreba za mjerenjem efikasnosti i učinkovitosti sustava. Tako er smatra da i se oglo reći
da SMS proces do ro funkcionira, odnosno uspješno adovoljava ula ne a tjeve oraju se
znati kriteriji na temelju kojih se donosi ocjena o stupnju zadovoljenja ulaznih zahtjeva, te
način jerenja tog stupnja adovoljenja. To se općenito i ražava jero efikasnosti i
učinkovitosti.
„Efikasnost se definira kao ostvarenje nekog cilja s ini u o troškova, napora ili
gu itaka, a učinkovitost (efektivnost) je poja pod koji se podra u ijeva i vo enje pravi
stvari (aktivnosti) koje dovode do ostvarenja cilja. U praksi to nači provesti ni jerenja na
33
te elju koji se ože točno utvrditi efikasnost, ali i učinkovitosti uspostavljenog SMS
procesa. U cilju odre ivanja jesta u procesu na koji a će se vršiti jerenja i odrediti kakva
mjerenja provesti potrebno je mapirati poslovni ISMS proces. ”
Da bi jerenja učinkovitosti i ala s isla ona tre aju uključivati slijedeće ciljeve:
Procjenu učinkovitosti i ple entiranog SMS-a
Procjenu učinkovitosti i ple entirani procesa
Provjeru ispunjenosti prepoznatih zahtjeva zainteresiranih strana
lakšano po oljšanje SMS u s islu ukupni infor acijski ri ika;
Davanje prijedloga a ocjenu uprave a lakše odlučivanje ve ano a SMS, donošenje
odluka i opravdavanje a tjeva a unapre ivanje i ple entiranog SMS
34
ijeli tekst dostupan je na we sjedištu
http://www.kvalis.com/component/k2/item/699-mjerenje-učinkovitosti-informacijske-
sigurnosti.
Metrikama za sigurnost informacijskih sustava bavi se i rad autora Sajko M.: Mjerenje
i vrednovanje učinkovitosti infor acijske sigurnosti koji se nalazi na adresi
http://www.fer.unizg.hr/_download/repository/Mario_Sajko_%5Bkvalifikacijski_rad%5D.pdf
te se preporučuje a daljnje čitanje.
Dalje opisani dio rada preu et je i rada Klaić A.: „Pregled stanja i trendova u
suvremenoj politici informacijske sigurnosti i metodologijama upravljanja infor acijsko
sigurnošću” i orginalno je objavljen na web sjedištu
https://www.fer.unizg.hr/_download/repository/KvalifikacijskiDrIspit_AK_08022010.pdf
35
metodologija se primjenjuje na ljude, organizaciju (procese) i na tehnologiju, kada i ako su u
doticaju s klasificiranim podacima.
Osnovni koncepti ovog pristupa nastali su prije više desetljeća, kada su sve jasniji
zahtjevi sigurnosne politike u -tim godinama prošlog stoljeća, potaknuli stvaranje
sigurnosnih modela za provedbu ciljeva sigurnosne politike, u prvom redu na informacijskim
sustavima. ako su nastali Bell- a adula model i rešetkasti model (Lattice Model), koji
razra uju kontrolu pristupa podacima na informacijskom sustavu, usmjeravajući se na
sigurnosni kriterij povjerljivosti tih podataka, ili Biba model koji je usmjeren na kriterij
cjelovitosti podataka, kao i čitav niz drugih formalnih sigurnosnih modela. Sigurnosnim
modelima, arhitektura informacijskog sustava prilago ava se ciljevima sigurnosne politike na
formalni, matematički način.
S obzirom da informacijski sustav čini i okruženje, koje, uz tehnički sustav, obuhvaća i
organizaciju odgovornu za taj sustav, te podatke i korisnike informacijskog sustava, nužan
korak dalje bili su sigurnosni načini rada informacijskih sustava. ako sigurnosni načini rada
informacijskih sustava: namjenski (engl. dedicated), na razini sustava (engl. system high),
razdijeljeni (engl. compartmented) i multirazinski (engl. multilevel), povezuju stupanj tajnosti
klasificiranih podataka na informacijskom sustavu, razinu sigurnosnog certifikata osobe koja
ima pristup informacijskom sustavu, nužnost pristupa klasificiranom podatku u okviru
djelokruga rada osobe (engl. „need-to-kno ), kao i formalno odobrenje za pristup
podacima na informacijskom sustavu. Ovi elementi sa sigurnosnog stanovišta predstavljaju
temeljne elemente za odlučivanje o dodjeli pristupa sustavu.
ahtjevi koje postavlja tradicionalni pristup informacijskoj sigurnosti u osnovi su
statičkog karaktera, tj. unaprijed su propisani prema stupnjevima tajnosti klasificiranih
podataka. Politika informacijske sigurnosti uglavnom je oblikovana po iskustvenom
sigurnosnom modelu, bez većeg prostora za specifičnosti zahtjeva poslovnog okruženja, a
mehanizmi provedbe su detaljno propisani, kako bi provedba bila unificirana u organizacijski
vrlo heterogenom, državnom sektoru
36
identificiranim informacijskim resursima unutar opsega ISMS-a, zatim na identificiranim
prijetnjama tih resursa, identificiranim ranjivostima koje bi ove prijetnje mogle iskoristiti te
na procjeni utjecaja koje gubitak povjerljivosti, cjelovitosti ili raspoloživosti može imati na
resurse. Sigurnosne kontrole (zaštitne mjere) štite identificirane resurse, tj. vrijednosti koje je
organizacija identificirala u okviru opsega ISMS-a. Osnovni koncepti upravljanja rizicima
počinju se šire primjenjivati u području informacijske sigurnosti krajem -tih godina prošlog
stoljeća.
ahtjevi koje postavlja suvremeni pristup upravljanju informacijskom sigurnošću, u
osnovi su dinamičkog karaktera, tj. prilago avaju se sa svakim periodičkim procjenjivanjem
rizika. Dodatno su i rezultati procjene rizika, vezani na konkretno sigurnosno okruženje te su
optimalno prilago eni stvarnoj kombinaciji prijetnji i ranjivosti konkretnih resursa.
Sigurnosne kontrole za eliminaciju ili smanjivanje rizika, kao mehanizmi provedbe,
uobičajeno se ne propisuju detaljno, kako bi se provedba mogla prilagoditi različitim
sigurnosnim okruženjima, u širokom rasponu pravnih osoba u različitim državama koje mogu
koristiti me unarodne norme. roces identifikacije rizika temeljen je na subjektivnom
procjenjivanju te je stoga i izračun temeljnih vrijednosti rizika subjektivan. Nepotpunost
podataka o frekvenciji doga anja sigurnosnih prijetnji, kao i izračun za prijetnje koje se
rijetko doga aju, doprinose subjektivnosti i netočnosti izračuna parametara rizika.
Suvremeni pristup, za razliku od tradicionalnog, podrazumijeva povezanost informacijskih
sustava s informacijskim prostorom, odnosno prihvaća koncept kibernetičkog prostora, u
kojem se doslovno „sve komunikacijski povezuje sa svim .
37
sigurnošću preko metodologije upravljanja rizikom (razvoj sigurnosne metrike, drugačiji
konceptualni pristup).
4. Č , INSTITUCIJE I ZAKONSKA
REGULATIVA SIGURNOSTI INFORMACIJSKIH
SUSTAVA U RH
Ishodi poglavlja:
Definicije:
Do danas ne postoji opće pri vaćena definicija računalnog kriminala, pa čak niti
jedinstven pogled na sadržaj i o like koje on o u vaća.
D. Parker: „...opća for a kro koju se ispoljava ra ličiti o lik kri inalne aktivnosti,
for a koja će u udućnosti postati do inantna...”
Taber: „...računalski delikt koji uključuje visokostručne operacije na računalu u
okolnosti a gdje do povrede ne i oglo doći na drugi način (kra a, uništenje,
oštećenje)…”
Muhlen: „...računalo sredstvo ili cilj ka nenog djela...”
Do aći autori:
38
Krapac: „...računalski kri inal o načava sve slučajeve loupotre e elektronskog
računala koji su pravno odre eni kao ka nena djela...”
Dragičević: „...računalni kri inal je ukupnost ka neni djela, učinjeni na odre eno
području kro odre eno vrije e, koji a se neovlašteno utječe na korištenje,
cjelovitost i dostupnost, progra ske ili podatkovne osnovice računalnog sustava ili
tajnost digitalnih podataka...”
Bača: „računalni kri inal predstavlja o lik kri inalnog ponašanja kod kojeg
korištenje računala i infor acijske te nologije predstavlja način i vršenja ka nenog
djela, ili se računalo upotre ljava kao sredstvo ili cilj i vršenja, a či e se ostvaruje
neka u kaznenopravno s islu relevantna posljedica“ [3]
Računalni kri inal predstavlja jedan od naj rže rastući kri inala jer u nove,
oguće je vršiti i stare tradicionalne o like na natno olji i kvalitetniji način koristeći prito
infor acijsku te nologiju. jegovo ra voju tako er je pridonio i sa ra voj interneta, kao i
posljedice ljudski i te nički ana, kako og nedostatka infor atičke pis enosti tako i
og nedostatne aštite i ulaganja u sigurnost infor acijski sustava. Ra voje te nologije
napadi su postali složeniji i lakši a i ved u, a o ra ovanost ljudi, ovisno o o liku kri inala,
tako er je pridonijela njegovom rastu. U Ta lici 1. prika ane su vrste napade te ogući
počinitelji ti napada.
39
TROJANSKI KONJI - Programeri koji imaju znanje o ovakvim programima
VIRUSI - Zaposlenici ili ivši aposlenici
CRVI - Do avljači ili ugovarači
TEHNIKA SLAME - Programeri financijskog sustava
- Kompjuterski korisnici
L ČKE B MBE - Kompjuterski operatori
- Krakeri
Prevencija: procjena ri ika i anali a prijetnji, fi ička sigurnost, sigurnost oso lja,
ko unikacijska sigurnost, operacijska sigurnost, planiranje načina a or u protiv
računalnog kri inala;
Otkrivanje: jere otkrivanja, ti a rukovo enje kri nim situacijama, obrada i
praćenje upada, istraga i pravosudni progon, ilježenje tragova, prikupljanje doka a;
ažnjavanje: rukovanje s doka i a, vještačenje eksperata, pre entacija na sudu,
aktivnosti nakon presude.
40
Slika 9. Ka nena djela i područja računalnog kri inala a 1 . godinu [29]
41
Osim sa web stranica pojedinih institucija, infor acije o nji ovo djelokrugu oguće je i
pročitati i u stručni pu likacija a. Tako je Laboratorij za sustave i signale, Fakulteta
elektrote nike i računarstva Sveučilišta u Zagrebu 2010. godine napravio je i objavio
dokument pod nazivom „Informacijska sigurnost u Hrvatskoj” [6] u koje je sažeto na rojao
i opisao navedeni okvir iz kojeg su preuzeti opisi te na kojeg se upućuje na detaljnije čitanje.
Navedena tematika opisna je i preuzeta iz rada Juran A.: „Sigurnost informacijskih sustava”
[17]
U nogo rojne akone koji djeluju na području infor acijske sigurnosti tako er
postoji i odre eni roj institucija koje rinu a infor acijsku sigurnost, a definirati će se
područje djelovanja: acionalnog ERT-a, AR et ERT-a, Zavoda a sigurnost
infor acijski sustava, Ureda Vijeća a nacionalnu sigurnost, Agencije a podršku
infor acijski sustavi a i infor acijski te nologija a, Agencije a aštitu oso ni
podataka te Središnjeg državnog ureda a e-Hrvatsku.
Nacionalni CERT
42
o ra uju sigurnosne preporuke o sla osti a u infor acijski sustavi a i sve to na javan i
ciljan način. [4]
acionalni ERT sura uje s relevantni tijeli a RH aduženi a sigurnost
infor acijski sustava kao i sa strani ERT-ovi a preko članstva u oru of ncident
Response and Security Teams (FIRST) i radne grupe TF-CSIRT.
Bitno je naglasiti kako je Nacionalni CERT osnovan 2008. godine u Hrvatskoj, a prije
njega je AR et ERT ( - ERT) koji je djelovao od srpnja 199 . godine, no djelokrug
poslovanja - ERT-a preu eo je acionalni ERT. snovna adaća - ERT-a ila je
koordinacija u procesu rješavanja računalno-sigurnosnih incidenta kod koji je are jedna
strana uključena u incident orala iti i Hrvatske. iljevi - ERT-a koji se sada nala e
unutar acionalnog ERT-a su po oljšanje ukupne sigurnosti računalni sustava na reži,
sa njivanje troškova osiguranja računalni reža od provala te s anjivanje štete koja je
i a vana provala a u računalne sustave.[4]
43
Sa or osnovao ga je . godine donošenje Zakona o sigurnosno-obavještajno sustavu.
ZS S je apravo ERT a tijela državne uprave, tijela jedinica lokalne i područne (regionalne)
sa ouprave, pravne oso e s javni ovlasti a te pravne i fi ičke oso e koje u svo
poslovanju ostvare pristup ili postupaju s klasificirani i neklasificirani podaci a. Za ZS S
je važno napo enuti da i a ulogu rvatskog SA (engl. National Communication Security
Authority), a njegove o ve e kao SA su nad or te nički kriptografski podataka, i or,
upravljanje i održavanje kriptografske opreme te koordinacija rada s NSA (engl. National
Security Authority) tijelo (Uredo Vijeća a nacionalnu sigurnost).
ZS S je nadležan a aktivnosti ve ane u sigurnost infor acijski sustava i reža
državni tijela. Tako er, a upravljanje kripto aterijali a koji se koriste u ra jeni
klasificirani podataka i e u državni tijela, strani država i organi acija te a koordinaciju
prevencije i otklanjanja pro le a ve ani u sigurnost računalni reža u državni tijeli a.
ZS S je adužen i a trajno uskla ivanje standarda te nički područja sigurnosti
infor acijski sustava u Repu lici Hrvatskoj s e unarodni standardi a i preporuka a
kao i a sudjelovanje u nacionalnoj nor i aciji područja sigurnosti infor acijski sustava.
44
Pravilnik o standardi a fi ičke sigurnosti
Pravilnik o standardima sigurnosti podataka
Pravilnik o standardi a organi acije i upravljanje područje sigurnosti informacijskih
sustava
Pravilnik o standardima sigurnosti poslovne suradnje
45
organizacija koje imaju odgovarajuće ure enu aštitu oso ni podataka , rješavanje povodo
a tjeva a utvr ivanje povrede prava aja čeni Zakono o aštiti oso ni podataka te
vo enje Središnjeg registara irki oso ni podataka.
Kada je riječ o prikupljanju i korištenju oso ni podataka Agencija a aštitu oso ni
podataka i a pravo risati prikupljene podatke koji su prikupljeni e pravne osnove te
ukoliko se radi o ilo kakvi nepravilnosti a ili radnja a suprotni akonu. si toga
ovlaštenje ove institucije je suradnja s drugi država a i aštita oso ni podataka ako se
oso ni podaci i nose van države ili druga neprikladna jesta.
46
donošenje, provo enje i nad or jera i standarda informacijske sigurnosti. Ovim zakonom
utvr eni su ini alni kriteriji ve ani a aštitu podataka.
Zakon o informacijskoj sigurnosti [36] odnosi se na sva državna tijela, tijela jedinica
lokalne i regionalne sa ouprave te na pravne i fi ičke oso e koje u svo poslovanju koriste
klasificirane i neklasificirane podatke. Mjere i standardi koje provodi Zakon o informacijskoj
sigurnosti prvenstveno se odnose na rad s klasificirani i neklasificirani podaci a, a
utvr uju se pre a stupnju tajnosti, roju, vrsti te ogućnosti ugrožavanja ti podataka na
odre enoj lokaciji.
Pre a članku . ovog akona postoji pet područja a koja se pripisuju jere i
standardi informacijske sigurnosti, a to su:
Sigurnosna provjera - osobe koje imaju pristup klasificiranim podacima moraju raditi
u skladu sa zakonom. Klasifikacija podataka dijeli se u nekoliko stupnjeva, a to je
„Povjerljivo“, „Tajno“ i „Vrlo tajno“.
i ička sigurnost – aštita jesta gdje se nala e klasificirani podaci, odnosno aštita
o jekta, prostora i ure aja.
Sigurnost podataka - opće jere a prevenciju, otkrivanje i otklanjanje štete od
gu itka ili neovlaštenog otkrivanja klasificirani i neklasificiranih podataka.
Sigurnost informacijskog sustava – dio informacijske sigurnosti u okviru kojeg se
utvr uju jere i standardi infor acijske sigurnosti klasificiranog i neklasificiranog
podatka koji se o ra uje, po ranjuje ili prenosi u infor acijsko sustavu te aštite
cjelovitosti i raspoloživost infor acijskog sustava u procesu planiranja, projektiranja,
i gradnje, upora e, održavanja i prestanka rada infor acijskog sustava.
Sigurnost poslovne suradnje – proved a natječaja ili ugovora s klasificirano
doku entacijo koji o ve ju pravne i fi ičke oso e.
Zakono o infor acijskoj sigurnosti odre ena su središnja državna tijela koja i aju
ulogu u informacijskoj sigurnosti: Ured Vijeća a nacionalnu sigurnost, Zavod za sigurnost
informacijskih sustava te Nacionalni CERT.
Nadzor informacijske sigurnosti provode savjetnici za informacijsku sigurnost, a nji ovi
poslovi su nad or organi acije, proved e te učinkovitosti propisani jera i standarda
informacijske sigurnosti u tijelima i pravnim osobama.
47
Zakon o aštiti oso ni podataka donio je Hrvatski Sa or u lipnju . godine, te se
ovi Zakono ure uje aštita oso ni podataka o fi ički oso a a te nad or nad
prikupljanje , o rado i korištenje oso ni podataka u Republici Hrvatskoj. Zakon o
aštiti oso ni podataka podijeljen je na 11 cjelina: temeljne odredbe, obrada osobnih
podataka, obrada posebnih kategorija osobnih podataka, povjeravanje poslova obrade osobnih
podataka, davanje podataka korisnicima, i nošenje oso ni podataka i Repu like Hrvatske,
irke oso ni podataka, evidencije i središnji registar, prava ispitanika i aštita prava, nad or
nad o rado oso ni podataka, ka nene odred e te prijela ne i aključne odred e. [37]
Svrha zakona o aštiti oso ni podataka je aštita privatnog živora, odnosno aštita
ostali ljudski prava i te eljni slo oda u prikupljanju, o radi i korištenju oso ni podataka.
Ta prava osiguravaju se svakoj fi ičkoj oso i e o ira na: državljanstvo i pre ivalište, tj.
neovisno o rasi, oji kože, spolu, je iku, vjeri, ati o političko ili drugo uvjerenju, o
nacionalno ili socijalno podrijetlu te neovisno o i ovini, ro enju, nao ra i, društveno
položaju ili drugi oso ina a. Unutar ovog zakona djeluje Agencija a aštitu oso ni
podataka (AZ P) i njena uloga je nad or a o radu oso ni podataka, te joj je propisan
ustroj, financiranje, rukovodstvo, ovlasti i dužnosti te poslovi i funkcije koje s ije o avljati.
Zakonom je definiran pojam osobnog podatka, obrada osobnih podataka, zbirka osobnih
podataka, voditelj zbirke osobnih podataka, korisnik, privola ispitanika, osnovni oblik
evidencije informacija o zbirci podataka koju voditelj zbirke mora voditi. Svaka evidencija se
mora dostaviti Agenciji za aštitu podataka, te joj se ora prijaviti svaka i jena i o rada.
si toga definirano je koja prava i aju ispitanici s o iro na dane podatke, kako postupati
s neispravni ili nepotpuni padaci a, ati ogućnost podnošenja Agenciji a aštitu
oso ni podataka a tjeva a utvr ivanje povrede prava koji su aja čeni ovi akono ,
utvr ivanje radnji koje se ogu podu i ati na te elju rješenja pred odno spo enutog
a tjeva, princip poslovni podataka kojeg se oraju pridržavati svi aposlenici AZ P-a, te
ka ne u ra ni slučajevi a kršenja odred i ovog akona.
Zakono o aštiti oso ni podataka propisani su uvjeti pod koji a se ogu
prikupljati i o ra ivati podaci. U skladu s ti e odre eno je koje je podatke a ranjeno
prikupljati i u kojim izni ni slučajevi a se ti podaci ogu ipak prikupiti, navedeni su
uvjeti koje voditelj irke (ili oso ni podataka ili i vršitelj o rade) oraju ispuniti pre a
ispitaniku kako i ogli i vršavati prikupljanje i o radu njegovi oso ni podataka.
Zakonom su propisane i ogućnosti i enovanja i vršitelja o rade od strane voditelja irke i
njegove o ve e, ati kada voditelj s ije, a kada ne s ije dati oso ne podatke na korištenje,
48
koji je vre enski interval u koje se ogu koristit odre eni podaci te su definirani uvjeti
i nošenja oso ni podataka van države.
Pre a ovo akonu elektronička isprava definirana je kao jedno načno pove an
cjelovit skup podataka koji su elektronički o likovani (i ra eni po oću računala i drugi
elektronički ure aja), poslani, pri ljeni ili sačuvani na elektroničko , agnetno ,
optičko ili drugo ediju, i koji sadrži svojstva koji a se utvr uje i vor (stvaratelj),
utvr uje vjerodostojnost sadržaja te doka uje postojanost sadržaja u vre enu. Sadržaj
elektroničke isprave uključuje sve o like pisanog teksta, podatke, slike i crteže, karte, zvuk,
glazbu, govor.
Kada je riječ o radnja a uklljučeni u doku entacijski ciklus, elektronička isprava orala i
osigurati jedno načno o ilježje koji se nedvoj eno utvr uje pojedinačna elektronička
isprava te pojedinačni stvaratelj elektroničke isprave, ati infor acijsku cjelovitost i
nepovredivost elektroničke isprave, o lik apisa koji čitatelju o ogućuje jednostavno čitanje
sadržaja te pristup sadržaju elektroničke isprave kro cijelo vrije e doku entacijskog
ciklusa.
Elektronička isprava sastoji se od dva neodvojiva dijela, općeg i pose nog. pći dio
čini pred etni sadržaj isprave, odnosno infor acije elektroničko o liku. Posebni dio
sastavljen je od jednog ili više integrirani elektronički potpisa i podataka o vre enu
nastajanja elektroničke isprave te drugih dokumentacijskih svojstva.
49
Upora a elektroničke isprave ni jednoj strani ne s ije ograničavati poslovanje ili ju
dovoditi u neravnopravan položaj. Za upra u elektronički isprava ože se koristiti ilo koja
upotre ljiva i dostupna infor acijsko-ko unikacijska te nologija, ukoliko nije Zakono
drugačije odre eno. jelokupni infor acijski sustav koji se koristi u radnja a s
elektronički isprava a ora i ati odgovarajuću aštitu oso ni podataka te je itno da
postoji ogućnost provjere vjerodostojnosti, i vornosti te nepro jenjivosti elektroničke
isprave. [17]
Osim navedenih zakona, u RH postoji i duži ni ostali Zakona koji se tiču ovog
područja kao što su: Zakon o elektroničko potpisu, Zakon o Privatnoj aštiti, Zakon o
ar ivu i ar ivskoj gra i, Zakon o teleko unikacija a, Zakon o računovodstvu, Zakon o
aštiti tajnosti podataka i slično.
Isto tako, navodi se: „Vijeće EU donijelo je propise i akone o sigurnosnoj politici u
koji a se opisuju aktivnosti u području režne i infor acijske sigurnosti a e lje članice
kojima je cilj:
50
podizanje svijesti putem javnog informiranja te edukacijom,
osnivanje ajedničkog ERT-a (engl. Computer Emergency Response Team), ali i
nacionalni ERT-ova, organi acija s cilje učinkovitog odgovora na sigurnosne
incidente,
te nološka podrška a istraživanja i ra voj sigurnosti te stvaranje strategije
unapre enja
režne i infor acijske sigurnosti,
pro ocija standardi acije i certifikacije u infor acijskoj sigurnosti pute postojeći
sigurnosnih standarda,
uskla ivanje propisa na državnoj ra ini,
e unarodna suradnja na području režne i infor acijske sigurnosti.”
5. PROCJENA RIZIKA
Ishodi poglavlja:
51
Definirati i opisati metodologije procjene rizika
Definirati pojam obrade rizika
Napomena: Kvantitativne i kvalitative metode u ovoj skripti neće se opisivati opširno jer će
biti uključene u 2. dio skripte i izvo ene na vježbama kroz praktične primjere
Procjena rizika (engl. risk assessment) dio je većeg procesa koji se naziva upravljanje
rizikom (engl. risk management).
poslovne štete koja ože nastati kao re ultat sigurnosni nesreda, u i ajući u
obzir potencijalne posljedice gubitka povjerljivosti, cjelovitosti ili dostupnosti
informacija ili imovine;
realnih vjerojatnosti da će do tih incidenata doći, u kontekstu prevladavajućih
prijetnja i ranjivosti te trenutačno implementiranih kontrolnih mehanizama.
Slika 10. Zaduženja i odgovornosti u organi aciji priliko procjene ri ika [34]
52
U literaturi je rizik definiran kao funkcija razine prijetnje, ranjivosti i vrijednosti
informacijske imovine, odnosno rizik je vjerojatnost prijetnje da iskoristi neku ranjivost
imovine te time ugrozi imovinu.
53
Osim toga, u informacijsku i ovinu ogu se uključiti i oso lje, osjetljiva poslovna
dokumentacija, mediji za pohranu podataka te ra ličite kontrole i procedure koje i aju
vrijednost za poslovanje.
Hadjina [15] infor acijsko i ovino s atra i sva sredstva koja uskladišćuju
informaciju, prenose informaciju, kreiraju informaciju, koriste informaciju ili su informacija
sama za sebe. Takvu imovinu predstavljaju i informacijski sustavi.
Informacije (engl. data assets) su vrednovane kro intervju s oso lje koje ože
pružiti podatke o načinu pri jene infor acija. so lje tre a oći istaknuti realni (Worst
case) scenarij koji se ože dogoditi kao posljedica sljedećih utjecaja prijetnji:
nedostupnost podataka/informacija
otkrivanje podataka/informacija
slučajna ili na jerna pro jena infor acija/podataka
uništenje podataka/infor acija
Metodologija procjene rizika sastoji se od devet koraka: [34]
1. Karakterizacija sustava
2. Identificiranje prijetnji
3. Identificiranje ranjivosti
4. Analiza kontrola
5. dre ivanje vjerojatnosti
6. Analiza utjecaja
7. dre ivanje ri ika
8. Preporuka kontrola
9. Dokumentiranje rezultata
54
Karakterizacija sustava
Hardver
Softver
Sučelja sustava (npr. interna i vanjska povezanost)
Podaci i informacije
so lje koje održava i koristi infor acijski sustav
a jena sustava (npr. procesi koje i vršava infor acijski sustav)
Kritičnost sustava i podataka (npr. vrijednost i važnost sustava a organi aciju)
Osjetljivost sustava i podataka
Upitnik
Intervjui odgovornog osoblja
Pregled dokumentacije
Upora a auto atski skenirajući alata
Analiza kontrola
55
Cilj ovog koraka je da se analiziraju kontrole koje su primijenjene ili su planirane za
primjenu u organizaciji da bi smanjile ili uklonile vjerojatnost da prijetnja iskoristi
ranjivost sustava. [34]
Sigurnosne kontrole o u vaćaju upotre u te nički i nete nički etoda.
Te ničke kontrole su aštitni alati koji su ugra eni u računalni ardver, softver ili
firmver (npr. mehanizmi za kontrolu pristupa, mehanizmi za identifikaciju i autentikaciju,
enkripcijske metode, softver za otkrivanje upada).
ete ničke kontrole su kontrole upravljanja i radne kontrole, kao što su sigurnosne
politike, radne procedure, te sigurnost oso lja, fi ička sigurnost i sigurnost okoliša.
Analiza utjecaja
Sljedeći važan korak u jerenju nivoa ri ika je da se odredi štetni utjecaj koji je
re ultat uspješnog iskorištavanja ranjivosti od strane prijetnje.
Prije početka anali e utjecaja, potre no je do iti slijedeće infor acije:
Svr a sustava (npr. proces koji tre a i vršiti sustav)
Kritičnost sustava i podataka (npr. vrijednost sustava ili njegova važnost a
organizaciju)
Osjetljivost sustava i podataka
56
Kvalitativne metode rizika o ogućuju siste atično ispitivanje i ovine, prijetnji i
ranjivosti te ti e odre ivanje vjerojatnosti pojavljivanja prijetnji, i nos troškova ukoliko
se one pojave i vrijednost aštitni jera di ajnirani kako i se s anjile prijetnje i
ranjivosti na prihvatljivu razinu. Tim koji provodi kvalitativu procjenu rizika mora biti
vrlo kompetentan jer se oslanja na subjektivnu procjenu. Cilj kvalitativne procjene jest
subjektivno rangirati elemente rizika. [32]
R = AV + V + T
57
faktoro i loženosti E (eng. Exposure Factor) koji prikazuje postotak gubitka imovine u
odre eno incidentu.
Primjer:
58
Sigurnost i pouzdanost
Dokumentacija
59
Nakon navedenih koraka, a u skladu s Odlukom Uprave o prihvatljivoj razini rizika,
tim a procjenu ri ika odre uje strategiju, način i slijed i ple entacije sigurnosni
kontrola u dokumentu Plan obrade rizika.
Plan obrade rizika temelji se na zbirci preventivnih i korektivnih mjera koja uključuje
te ničke i fi ičke jere, popratnu doku entaciju, proceduralne i druge mjere.
60
6. D Ž V E E V (B )
Ishodi poglavlja:
61
Definicije:
Ciljevi:
Kao što se vidi i definicija, kod oporavka od avarije naglasak je na te nologiji, dok
je kod kontinuiteta poslovanja naglasak na poslovnim aktivnostima. Zato je oporavak od
havarije dio kontinuiteta poslovanja – ože ga se s atrati jedni od glavni či enika
koji o ogućuju odvijanje poslovni aktivnosti ili te nološki dijelo kontinuiteta
poslovanja. [20]
Poslovni sustavi s dobro ustrojenim poslovnim procesima ubrzavaju rad tvrtke kojoj
pripadaju, povećavaju unutarnji red, s anjuju troškove te povećavaju kvalitetu proi voda.
62
Poslovno okruženje se neprekidno ijenja, r ina i količina pro jena dra atično se
povećava, konkurenti dola e i nestaju, nesta ilnost tržišta i glo ali acija i temelja
ijenjaju način poslovanja.
gu itak raspoloživosti
gubitak reputacije
gubitak konkurentskih prednosti
gubitak podataka
gubitak produktivnosti
povećanje operativni troškova
povredu ugovornih odnosa
povredu važeći propisa
financijski gubitak
snovna ideja kontinuiteta poslovanja apravo je aštititi infor acije u slučaju neke
veće i neočekivane ne gode (dakle, osigurati dostupnost informacija). Upravljanje
kontinuiteto poslovanja predvi a pisanje planova koji odre uju na koji način je potre no
postupiti u i vanredni situacija a (pripre a re ervne lokacije, odre ivanje vre ena
oporavka, pripre a ko unikacije u slučaju kri e i sl.)
63
Plan odaziva na incident o ično je jedinstven plan koji se odnosi na cijelu organi aciju
i opisuje radnje koje se moraju poduzeti odmah nakon pojave havarije – smanjenje
posljedica incidenta, ko unikacija sa služ a a a itne slučajeve, evakuacija grade,
okupljanje na zbornim mjestima, organizacija transporta na rezervnu lokaciju i sl.
Plan oporavka se o ično piše ase no a svaku kritičnu aktivnost i ora o u vaćati
sljedeće korake:
Vrije e i način na koji se ko unicira s ra ni ainteresirani strana a
( aposlenici a i nji ovi o itelji a, dioničari a, klijenti a, partneri a,
državni služ a a, javni ediji a i dr.),
Princip sastavljanja tima,
Provo enje oporavka infrastrukture,
Provjera funkcionalnosti aplikacija i kontrole pristupa,
Provjerava podataka koji nedostaju i utvr ivanje svega što je oštećeno u avariji,
Oporavak podataka i uspostava normalnih aktivnosti.
1) Upravljanje rizikom
2) Analiza posljedica na poslovanje (BIA – engl. Business Impact Analysis)
3) Razvoj strategije kontinuiranog poslovanja
4) Razvoj planova
5) Testiranje planova
6) državanje planova
64
"Informacijska sigurnost se brine o povjerljivosti, integritetu i dostupnosti
(raspoloživosti) informacija u nekoj organizaciji, dok se kontinuitet poslovanja u prvom
redu brine da su informacije dostupne onima koji ih trebaju.
Kako se svaki poslovni proces bazira na protoku informacija, tako je fokus
kontinuiteta poslovanja na dostupnosti, odnosno očuvanju i oporavku vitalni poslovni
informacija." [11]
65
Slika 14. Životni ciklus plana kontinuiteta poslovanja [38]
a) analiza
b) di ajn rješenja
c) implementacija
d) testiranje i pri vaćanje od strane organi acije
e) održavanje pri vaćenog plana
66
Priručnik tre a sadržavati: [11]
Definicije:
"Računalni sigurnosni incident je ilo koja ne akonita, neautori irana ili nepri vatljiva
akcija koja uključuje računalni sustav ili režu. Takva akcija ože uključivati
ilo koji od slijedeći doga aja:
kra u ili ra jenu tajni
e- ail spa ili dosa ivanje
neautori iran ili ne akonit upad u računalni sustav
pronevjera
posjed ili širenje dječje pornografije
DoS napadi
iznuda." [26]
“Bilo koja ne akonita akcija kada se doka i a takvu akciju ogu po raniti na računalni
edij poput prevare, prijetnji i tradicionalni ločina” [26]
67
“ ncident je neplanirani i neželjeni doga aj čija je posljedica povreda (ili koji neposredno
prijeti povredo ) važeći propisa RH, politike sigurnosti infor acijskog sustava, ostali
interni akata anke ve ani u infor acijsku sigurnost kao i narušavanje te eljni
načela infor acijskog sustava, pri vaćeni praksi ve ani u infor acijsku sigurnost te
funkcionalnosti infor acijskog sustava.” [ ]
1) Pripre a prije nego što se incident dogodi – poduzeti akcije pripreme organizacije
i tima za odgovor (CERT) prije nego se incident dogodi
2) Detekcija incidenata – identificirati potencijalne računalno sigurnosne incidente
3) Inicijalni odgovor – provesti inicijalnu istragu, sni ajući glavne detalje koji
68
okružuju incident, okupljanje ti a a odgovor na incidente i o avještavanje oni
osoba koje trebaju znati o incidentu
4) Oblikovati strategiju odgovora na incidente - odrediti najbolji odgovor na temelju
re ultata svi po nati činjenica i do iti pristanak enadž enta
5) Odrediti koje civilne, kriminalne, administrativne i druge akcije je primjereno
podu eti, te eljeno na aključci a istrage
6) stražiti incident – obaviti detaljno sakupljanje podataka. Pregledati sakupljene
podatke, odrediti što se dogodilo, kada se dogodilo, tko je to učinio i kako
spriječiti da se to ne dogodi u udućnosti.
7) vještavanje – točno infor acijsko i vješće o re ultati a istrage na način da ude
korisno donositeljima odluka.
8) Donošenje odluka - mjere za sigurnost zaposlenika i proceduralne promjene,
evidentiranje naučeni lekcija, ra voj dugoročni popravaka a identificirane
probleme
Pripre a organi acije uključuje ra voj organi acijski strategija koje će o ogućiti
olji stav organi acije priliko odgovaranjana incidente. To uključuje poduzimanje
sljedeći koraka:
ncident se o ično otkrije kada netko posu nja da se dogodio neautori irani,
nepri vatljiv ili ne akonit doga aj u organi acijskoj računalnoj reži ili u opre i a
obradu podataka.
69
Slika 16. Područja i indikatori incidenata [26]
70
pripre a reže i ple entacijom sigurnosnih mjera
donijeti politike i procedure koji a će se postići ciljevi odgovaranja na incidente
kreirati programske alate za CSIRT
stvoriti CSIRT koji će se oći nositi s incidenti a
Faze:
1) priprema
2) identifikacija
3) ograničavanje
4) uklanjanje
5) oporavak
6) i vještavanje
71
Ad 4. Faza uklanjanja - odre ivanje u roka i načajka incidenta o u vaća:
po oljšanje sigurnosni postavki infor acijskog sustava
provo enje analize ranjivosti
uklanjanje uzroka incidenta
lociranje ažurni pričuvni kopija koje su napravljene prije nego što je narušena
funkcionalnost i sigurnost informacijskog sustava
LITERATURA
1. Adelsberger Z.: "Auditiranje ISMS i standardi",
72
http://www.kvalis.com/component/k2/item/711-auditiranje-isms-i-standardi-iso-
19011-iso-27007-i-iso-27008
2. Adels erger Z.: Mjerenje učinkovitosti infor acijske sigurnosti,
http://www.kvalis.com/component/k2/item/699-mjerenje-učinkovitosti-informacijske-
sigurnosti
3. Bača M.: Uvod u računalnu sigurnost, arodne novinae, 4.
4. CARNet CERT , http://www.cert.hr/onama
5. CARNet CERT: " Upravljanje kontinuitetom poslovanja",
http://www.cis.hr/files/dokumenti/CIS-DOC-2011-06-017.pdf
6. AR et ERT: „ nfor acijska sigurnost u Hrvatskoj”, La oratorij a sustave i
signale, akultet elektrote nike i računarstva, Sveučilišta u Zagre u
http://sigurnost.lss.hr/images/dokumenti/lss-pubdoc-2010-10-003.pdf
7. AR et ERT: „Pregled EU propisa na području infor acijske sigurnosti”,
La oratorij a sustave i signale, akultet elektrote nike i računarstva, Sveučilište u
Zagrebu, http://www.cis.hr/files/dokumenti/CIS-DOC-2012-04-047.pdf
8. CARNet CERT: Integralni okvir za sigurnost i pouzdanost,
http://www.cis.hr/www.edicija/LinkedDocuments/CCERT-PUBDOC-2001-03-02.pdf
9. AR et ERT: Pregled svjetski organi acija u području infor acijske sigurnosti,
http://www.cis.hr/www.edicija/LinkedDocuments/CCERT-PUBDOC-2008-08-
238.pdf
10. CARNet CERT: Sigurnosna politika informacijskih sustava a članice AR eta,
http://www.cert.hr/sites/default/files/sigurnosna_politika_ustanove.pdf
11. CARNet CERT: Upravljanje kontinuitetom poslovnih procesa,
http://www.cert.hr/sites/default/files/NCERT-PUBDOC-2010-15-307.pdf
12. Cherdantseva Y. , Hilton J.: THE EVOLUTION OF INFORMATION SECURITY
GOALS FROM THE 1960S TO TODAY; Cardiff University, Cranfield University,
2012.
13. Cingula M. : "KORPORATIVNA SIGURNOST - Pojam sigurnosti i temeljni srodni
pojmovi", http://web.efzg.hr/dok/MAR/avuletic/01_Pojam%20sigurnosti.pdf
14. Dragičević D. " K MPJUTERSK KR M AL TET RMA JSK
SUSTAVI", IBS, Zagreb, 2004.
15. Hadjina N. ,FER - Zavod za primijenjeno računarstvo, SVEUČ L TE U ZA REBU,
ZA T TA S UR ST RMA JSK H SUSTAVA (nastavni materijali sa
zbirkom zadataka),
https://www.fer.unizg.hr/_download/repository/SkriptaZaStudente2009-12[1].pdf
16. HRN ISO/IEC 27001:2005, HRN ISO/IEC 17799:2005, www.hzn.hr, www.iso.org
17. Juran A.: „Sigurnost infor acijski sustava”, Po orski fakultet u Rijeci, Sveučilište u
Rijeci, http://www.pfri.uniri.hr/knjiznica/NG-dipl.LMPP/290-2014.pdf
18. Klaić A.: „Pregled stanja i trendova u suvre enoj politici infor acijske sigurnosti i
etodologija a upravljanja infor acijsko sigurnošću”,
https://www.fer.unizg.hr/_download/repository/KvalifikacijskiDrIspit_AK_08022010.
pdf
19. Košutić D.: " Disaster recovery vs. kontinuitet poslovanja", 1 Acade y,
http://advisera.com/27001academy/hr/blog/2010/11/04/disaster-recovery-vs-
kontinuitet-poslovanja/
20. Košutić D.: "Kontinuitet poslovanja",
http://blog.iso27001standard.com/hr/tag/kontinuitet-poslovanja/
21. Kovačević D.: Sigurnosna politika, AKULTET ELEKTR TEH KE
RA U ARSTVA, SVEUČ L TE U ZAGREBU, 2008.,
http://sigurnost.zemris.fer.hr/ISMS/2008_kovacevic/docs/SigurnosnaPolitika.pdf
73
22. Krapac D. , Kompjuterski kriminalitet, Pravni fakultet Zagreb, 1992.
23. Marijanović .: " UPRAVLJA JE S UR U RMA JA", AKULTET
ELEKTROTEHNIKE I RACUNARSTVA, SVEUČ L TE U ZA REBU, .,
http://sigurnost.zemris.fer.hr/ISMS/2006_marijanovic/Marijanovic_diplomski.pdf
24. Nacionalni program informacijske sigurnosti u RH,
[http://www.cert.hr/sites/default/files/CCERT-PUBDOC-2005-04-110.pdf
25. Nastavni materijali iz kolegija S UR ST RMA JSK H SUSTAVA,
ZL P RABA RMA JSK H TEH L JA, Etički i a ovi pri jene
informacijskih tehnologija,
http://www.unizd.hr/Portals/1/Primjena_rac/Poseban_program/Predavanja/sigurnost_p
redavanje.pdf
26. Odgovaranje na incidente - Incident response PITUP - wiki stranica kolegija Sigurnost
infor acijski sustava akulteta organi acije i infor atike u Varaždinu,
http://security.foi.hr/wiki/index.php/Odgovaranje_na_incidente_-
_Incident_response_PITUP
27. Pleskonjić D., Maček ., or ević B., arić M.: "Sigurnost računarski siste a i
reža", Mikro knjiga, Beograd, .
28. Procjena rizika - wiki stranica kolegija Sigurnost informacijskih sustava Fakulteta
organi acije i infor atike u Varaždinu,
http://security.foi.hr/wiki/index.php/Procjena_rizika
29. Računalni kri inal u Hrvatskoj, ttp://www.statistika. r/index.p p/4 -racunalni-
kriminal-u-hrvatskoj-u-2013
30. Sajko M.: Mjerenje i vrednovanje učinkovitosti infor acijske sigurnosti koji se nala i
na adresi
http://www.fer.unizg.hr/_download/repository/Mario_Sajko_%5Bkvalifikacijski_rad
%5D.pdf
31. Saltzer J.H., Schroeder M. D.: "The Protection of Information in Computer Systems
Manuscript", http://www.cs.virginia.edu/~evans/cs551/saltzer/
32. egudović H.: Prednosti i nedostaci etoda a kvalitativnu procjenu ri ika, Infigo,
http://www.infigo.hr/files/INFIGO-MD-2006-06-01-RiskAsses.pdf
33. Smjernice za upravljanje informacijskim sustavom u cilju smanjenja operativnog
rizika Hrvatske narodne banke, http://old.hnb.hr/supervizija/h-smjernice-za-
upravljanje-informacijskim-sustavom.pdf
34. Stojaković-Čelustka S.: snove upravljanja ri iko , ttp://www.cis. r/files/ eluska-
Osnove_upravljanja_rizikom.pdf
35. Vojković ., ta uk-Sunjić S.: K VE JA K BER ET ČK M
KRIMINALU I KAZNENI ZAKON REPUBLIKE HRVATSKE, Pravni fakultet
Split, hrcak.srce.hr/file/59422
36. Zakon o informacijskoj sigurnosti, http://narodne
novine.nn.hr/clanci/sluzbeni/298919.html
37. Zakon o aštiti oso ni podataka, ttp://narodne-
novine.nn.hr/clanci/sluzbeni/305952.html
38. Životni ciklus plana kontinuiteta poslovanja [ ttp://www.king-
ict.hr/Default.aspx?tabid=757 ]
74