Upload
andjelko-markulin
View
175
Download
6
Embed Size (px)
Citation preview
Ranjivosti i prijetnje Ranjivosti i prijetnje informacijskog sustavainformacijskog sustava
Veleučilište Velika GoricaVeleučilište Velika GoricaOčuvanje podataka i neprekidnost poslovanjaAnđelko Markulin
Definicije pojmovaDefinicije pojmovaprijetnje◦ ljudske
namjerne slučajne
◦ prirodneranjivosti – proizlaze iz slabosti:◦ fizička sigurnost◦ organizacija◦ interni akti◦ zaposlenici◦ upravljačka struktura◦ hardver◦ softver◦ informacije
Međunarodni pravni okvirMeđunarodni pravni okvirPredsjednik SAD-a
2004.: Predsjednička direktiva o domovinskoj sigurnosti 12 (HSPD-12)
Nacionalni institut za standarde i tehnologiju SAD-a (NIST)
2005.: Državni standard za obradu informacija201-1 (FIPS 201-1)
2008.: Smjernice za akreditiranje izdavatelja osobnih identifikacijskih kartica (NIST (SP) 800-79)
Hrvatski pravni okvirHrvatski pravni okvirZakon o informacijskoj sigurnosti
"Narodne novine", broj 79/2007 članak 7. “Mjere informacijske sigurnosti propisat će se uredbom
koju donosi Vlada Republike Hrvatske...”
Uredba o mjerama informacijske sigurnosti "Narodne novine", broj 46/2008 članak 54. “Kontrola uporabe informacijskih sustava
podrazumijeva ... provođenje analiza ranjivosti informacijskog sustava”
Kontrolne listeKontrolne listeKontrolna lista za provjeru sigurnosti
konfiguracije (security configuration checklist)◦ konfiguracijske datoteke◦ dokumentacija◦ preporučeni postupci◦ pisane politike
Kontrolne listeKontrolne listePrimjer kontrolne liste za Windows Vista i XP
(prikazano samo 11 od 229 politika)
Alati za provjeru ranjivosti IS-aAlati za provjeru ranjivosti IS-aNmapMicrosoft
BaselineSecurityAnalyzer
NessusNikto
Penetracijsko testiranjePenetracijsko testiranjeCiljevi testiranjaPlan testiranja◦ naslijepo◦ specifično
Primjer testiranja (Outscan)◦ otkrivanje sjedišta◦ skeniranje portova◦ određivanje protokola◦ određivanje operativnog sustava i aplikacije
Zaključak
1. Što su ranjivosti informacijskog sustava?2. Što su kontrolne liste za provjeru sigurnosti
konfiguracije?3. Što je penetracijski test?