Sigurnost Informacijskih Sustava-skripta 2

Visoka poslovna škola Minerva

Radna verzija samo za internu upotrebu

SIGURNOST INFORMACIJSKIH

SUSTAVA

Nastavni materijali

(samo za internu upotrebu)

Mr.sc. Marija Boban, viši predavač

Dipl.ing. Ivica Smoljo

Tekst pripremila: Mirjana Perišić

2010.godina



Obavezna literatura:

– BS ISO/IEC 17799:2000 - BS 7799-1:2000 norma - Information Technology -

Security techniques -- Code of Practice for Information Security Management,

BSI, UK, 2001.

– ISO 27001:2005 - Information technology - Security techniques - Information

security management systems – Requirements, BSI, UK, 2006.

– Peltier R.T., Information Security Risk Analysis, Auerbach, CRC press, 2000.

– Tudor J.K., Information Security Architecture, CRC Press LLC, USA, 2001.

– Bača M, Uvod u računalnu sigurnost, Narodne novine, Zagreb, 2004.

– Dragičević D., Kompjutorski kriminalitet i informacijski sustavi, Informatorov

biro sustav IBS, Zagreb, 2004

– The Honeynet Project (2004) Know your enemy: learning about security threats,

2nd edition, Addison-Wesley, Boston

Dodatna literatura:

– Autorizirani nastavni materijali sa predavanja i vježbi na kolegiju Sigurnost

informacijskih sustava, Visoka poslovna škola Minerva, Split 2010.



UVOD U SIGURNOST INOFRMACIJSKIH SUSTAVA

Temelji sigurnosti informacijskih sustava

� Sigurnost informacija

� Sigurnosne prijetnje – svaki dogañaj koji može poništiti ili smanjiti učinkovitost

sustava, odnosno ograničiti ili onemogućiti ispunjenje cilja sustava ili procesa.

� Sigurnosni zahtjevi ovise o vrsti informacija koje želimo štititi.

� Razvijanje svijesti o potrebi zaštite!

Sigurnosna zaštita

1) zaštita ostvarena sučeljem prema korisniku - omogućavanje uporabe računala samo

osobama;

2) unutarnji zaštitni mehanizmi – autentifikacija korisnika i

3) komunikacijski zaštitni mehanizmi – kriptiranje poruka

4) zaštita od vanjskih utjecaja:

� mehaničko uništenje naprava,

� oštećenje nastalo elementarnim nepogodama (poplava, potres, požar...)

� krañu ureñaja i medija na kojima su pohranjene informacije

Ugrožavanje sigurnosti

� Ugrožavanje sigurnosti unutar komunikacijskih kanala

� Ispravan komunikacijski kanal



Prijetnje sigurnosti

� Prisluškivanje

� Prekidanje poruka

� Promjena sadržaja poruka

� Izmišljanje sadržaja poruka

Sigurnosni rizik

� Sigurnosni rizik - definira se kao mogućnost realizacije nekog neželjenog dogañaja.

� Neželjeni dogañaj može utjecati na:

� povjerljivost (eng. confidentiality)

� integritet (eng. integrity) i

� raspoloživost (eng. availability) informacijskih resursa.

Ad 1) Povjerljivost se odnosi na zaštitu odreñenih sadržaja, odnosno informacija od bilo

kakvog namjernog ili nenamjernog otkrivanja neovlaštenim osobama.

Ad 2) Integritet mora osigurati konzistentnost informacija i onemogućiti bilo kakve

neovlaštene promjene sadržaja.

Ad 3) Raspoloživosti podrazumijeva da su sve relevantne informacije, u za

to vremenski prihvatljivom terminu, raspoložive odgovarajućim subjektima.

Pravna osnova sigurnosti informacijskih sustava

� Zakonska regulativa

� Zakon o zaštiti osobnih podataka

� Zakon o pravu na pristup informacijama

� Zakon o informacijskoj sigurnosti

� Preporuka zemalja Europske unije – razvoj vlastite sigurnosne politike temeljem

prihvaćenih meñunarodnih standarda kao temelj sigurnosti



Meñunarodne norme

� Temelj modela zaštite prava na pristup informacijama

� U cilju kompletne zaštite informacijskih sustava definirane su različite norme kojima

se na različite načine nastoje obuhvatiti kompletni sustavi za upravljanje sigurnošću,

ili neki njegovi aspekti.

� Na meñunarodnom planu ipak se najviše prihvaća ISO/ IEC 17799/BS7799, što se

ponajviše odnosi na Europu i Japan, a donekle i Australiju.

� Najnovija norma koja se bavi sigurnošću sustava i razvojem sigurnosne politike

ISO/IEC 27001:2005.

Sigurnosna politika

� Osnovni elementi globalnog dokumenta sigurnosne politike su :

� politike,

� standardi,

� preporuke i

� procedure.

� Razvijanje sigurnosne procedure za slučaj sigurnosnog incidenta- (risk management).

Kontrola pristupa

� Identifikacija podrazumijeva predstavljanje korisnika sastoji se od tri faze :

1) Procjena rizika (eng. Risk Assessment),

2) Umanjivanje rizika (eng. Risk Mitigation) i

3) Ispitivanje i analiza (eng. Evaluation and Assessment).



TEMELJI SIGURNOSTI INFORMACIJSKIH SUSTAVA Pojam sigurnosti

� Kod sigurnosti informacijskih sustava možemo govoriti o:

� Sigurnosti podataka

� Sigurnosti pristupa podacima

� Sigurnosti informacijskih tehnologija kao podrške tim sustavima

� Sigurnosti komunikacija kao izdvojenog dijela IT – a

Sigurnost informacijskog sustava je niz mjera i postupaka koji se poduzimaju kako bi se

osiguralo normalno funkcioniranje informacijskog sustava bez narušavanja njegovog

integriteta.

� Kao što smo u prošloj temi naglasili da je nužno planirati informacijske sustave,

takoñer je neophodno predvidjeti mjere sigurnosti

� Implementirane mjere sigurnosti cjenovno ne smiju premašiti vrijednost štete koja bi

nastala gubitkom cjelokupnog ili većeg dijela sadržaja



Rizik i sigurnost

� Da bismo mogli planirati nivo sigurnosti treba biti u stanju procijeniti razinu rizika

� Cilj implementiranog sustava sigurnosti je optimiziranje rada informacijskog sutava s

obzirom na rizik kojem je izložen

�

Rizik izražava vjerojatnost gubitka, oštećenja ili povrede. Drugim riječima rizik je

stupanj opasnosti da poduzete akcije mogu završiti s negativnim ishodom –

posljedicama.

� Rizik se procjenjuje s obzirom na:

� Značaj podataka i sadržaja koji se pohranjuju ili distribuiraju

� Procjenu izvora i oblika prijetnji tim sadržajima

� Što podaci imaju veći značaj to će štete nastale od njihovog gubitka, oštećenja ili

neovlaštenog pristupa biti veće ◊ veći rizik

� Što su prijetnje tim sadržajima veće, kao i broj tih prijetnji rizik će opet rasti

Veći rizik zahtjeva i veći stupanj sigurnosti

� Kod procjene značaja podataka i sadržaja mjerodavno je:

� Način na koji je država zakonskim aktima zaštitila takve sadržaje

� Interes upravljačke strukture za promatranim sadržajem

� Originalnost i novost na lokalnom i globalnom nivou

� Važnost tih sadržaja za normalno funkcioniranje organizacije



� Izvori prijetnji informacijskom sadržaju:

� Prirodni čimbenici (potresi, poplave, požari, ekstremi u temperaturnim

rasponima itd.)

� Na njih se djeluje vrlo teško, ali koliko je moguće mjere se svode na

grañevinske, tehničke i organizacijske prevencijske mjere

� Namjera čovjeka

� Službenik banke prebacuje novac komitenata na svoj račun

� Skladištar evidentira krive podatke o škart materijalu

� Možemo ih spriječiti jedino podizanjem zadovoljstva

zaposlenika (materijalno) i dobrom radnom klimom

� Ljudski faktor (nenamjera čovjeka)

� Blagajnik slučajno zbog premorenosti krivo evidentira neku isplatu

� Tehnička pogreška

� Najlakše je predvidljiva

� Ovisi o procijeni vremenske funkcionalnosti korištenih IT – a

� S njom se lako upravlja

Oblici prijetnje informacijskom sadržaju:

� Neautorizirano služenje informacijskim sadržajem

� Uposlenik namjerno prenosi povjerljive podatke izvan organizacije u svrhu

ostvarivanje materijalne dobiti ili drugih osobnih interesa

� Nenamjerno “curenje” podataka

� Nepažnja

� Nemar



� Neznanje

� Kraña podataka iz informacijskog sustava

� Upadom u sustav

� Presretanjem poruka kroz komunikacijske kanale

� Neidentificirana promjena informacijskog sadržaja

� Ulaskom u sustav mijenjaju se izvorni podaci

� Ti promijenjeni podaci postaju temelj za donošenje poslovnih odluka

� Ovakvu promjenu podatak je teško identificirati

� Uništenje informacijskog sadržaja

� Sadržaj je postaje u potpunosti neupotrebljiv

� “Ako meni ne koristi neće ni tebi!”

� Lako se uočava ◊ podataka više nema, tj. nisu upotrebljivi

a) Sadržaj se može uništiti:

� Fizičkim uništenjem računalnih vitalnih dijelova

� Suptilnom diverzijom koja izgleda kao tehnički kvar ili programska

pogreška

� Zarazom računalnog sustava virusom ◊ destruktivno dijeluju na

sadržaje i programsku podršku

� Prisjetimo se od čega se sastoji naš Informacijski sustav:

a) Hardware (sklopovske podrške)

b) Software (programske podrške)

c) Lifeware (ljudskih resursa)



Mjere zaštite

d) Orgware (organizacije)

e) Netware (mrežene komunikacije)

f) Dataware (podataka koji opisuju stvarni svijet)

� Na svakom od nabrojenih dijelova se može primjeniti odgovarajući stupanj sigurnosne

zaštite

� Sve mjere zaštite se trebaju organizirati na način da se meñusobno nadopunjuju

� Na sljedećoj slici dat je konceptualni prikaz mjera zaštite

Slika 1 – mjere zaštite IS – a

Zaštita podataka

Programske mjere zaštite i zaštita programa

Fizičke i tehničke mjere zaštite

Organizacijskemjere zaštite

Zakonska zaštita na nivou države



Zaštita podataka

� Današnje metode zaštite podataka podrazumijevaju izradu sigurnosnih kopija

� Sadržaji se kopiraju na više lokacija

� RAID polje

� Backup server

� Prijenosni mediji velikog kapaciteta

� Princip je jednostavan ◊ podaci se pohranjuju na drugu lokaciju i u slučaju

havarije se ponovno vraćaju u sustav (sustav postaje ponovno funkcionalan)

Izrada sigurnosnih kopija podataka naziva se backup podataka.

Vraćanje podataka iz sigurnosnih kopija naziva se RESTORE podataka

Nema veze ionako imam sigurnosnu

kopiju.



Zaštita podataka

� Bilo bi nerazumno uvijek nanovo izrañivati backup svih podataka

� Dovoljno je sigurnosnu kopiju “nadopuniti” datotekama koje su nove ili izmijenjene

� Najpoznatije su tri metode izrade sigurnosnih kopija:

� Potpuni backup

� Diferencijalni backup

� Inkrementni backup

� Full Backup – pohranjuju se sve datoteke bez obzira jesu li ili ne označene za pohranu

� Ovakav način izrade sigurnosne kopije ćete primjenjivati kada prvi put

izrañujete sigurnosnu kopiju

� Differential Backup – pohranjuje nove datoteke i one koje su označene kao

nearhivirane (svojstvo Archive nije uključeno)

� Incremental Backup – pohranjuje samo izmijenjene datoteke s uključenim atributom

Archive

� U praksi se diferencijalni i inkrementni backup postavljaju na automatsko pokretanje u

točno zadanim vremenima (schedule time)

11:20 je – sad će započeti inkrementni backup

podataka.



Programske mjere zaštite

� U programske mjere zaštite spadaju:

� Zaštita na razini operacijskog sustava

� Zaštita na razini korisničke programske podrške

� Kriptiranje podataka u komunikaciji

� Antivirus alati

� Zaštitni zid (Firewall)

� Zaštita na razini operacijskog sustava

� Višekorisnički rad

� Administratori i korisnici (User)

� Administratori svakom korisniku odreñuju:

� User name – korisničko ime

� Password – lozinku

� Za svakog korisnika ili grupu korisnika mogu se odrediti različite ovlasti

� Svako računalo može imati više administratora i korisnika

� Veću razinu sigurnosti administrator postiže:

� Pravilnim definiranjem ovlasti korisnika

� Pravilnom raspodjelom korisnika u grupe

� Konfiguracijom User Security Policy

� Konfiguracijom Group Security Policy

� Svi suvremeni operacijski sustavi omogućuju ovakvu razinu zaštite ◊ Unix, Linux,

MacOS, Windows...




� Zaštita na razini korisničkih programa

� Nakon odobrenog pristupa radnoj okolini (pravilan User name i Password)

pokreće se korisnički program kojim se obavlja odreñena aktivnost u

informacijskom sustavu

� Zaštita korisničkih programa zaporkom:

� Prva razina � samo čitanje podataka iz baze

� Druga razina � promjena podataka u bazi i unos novih

� Treća razina � podaci se mogu brisati

� Postoji još jedna mjera sigurnosti za ovaj slučaj

� Obrisani podaci iz baze ne uklanjaju se direktno, fizički s diska, već u posebno

definirane mape kojima pristup imaju administratori sustava

� Administrator sustava će periodički, nakon ponovne provjere podatke fizički izbrisati s

diska � DBMS (Data Base Manager System)

� DBMS – Upravitelj bazom podataka

� Kriptiranje kao mjera zaštite u mrežnoj komunikaciji:

� Poslovni informacijski sustavi trebaju pratiti organizaciju poslovnog procesa

� Danas nailazimo na primjere distribuirane organizacije � dijelovi poslovnog

sustava su prostorno dislocirani:

� Centrala banke i poslovnice

� Upravna zgrada u jednom gradu proizvodni pogoni u drugom

� Itd.

� Potreba za distribuiranim informacijskim sustavom

� Osnovni zahtjev je razmjena informacija � umrežavanje računala

� Kako se umrežavanje vrši preko globalnog komunikacijskog sustava (Interneta),

potrebno je dodatno zaštiti sadržaj koji se prenosi

� Dva osnovna zahtjeva za zaštitu sadržaja pri prijenosu




1. Osiguravanje jednoznačnosti prijenosa

2. Onemogućavanje neautoriziranog korištenja ili promijene sadržaja u prijenosu

� Osiguravanje jednoznačnosti prijenosa na tehničkoj razini rješava se komunikacijskim

protokolima:

� TCP (Transmission Control Protocol) – vodi brigu da se podaci prilikom

prijenosa ne izgube

� IP (Internet Protocol) – pronalazi put od jednog računala do drugog

Ime mi je IP protokol i pronalazim put od jednog računala do drugog na NET - u

Moja IP adresa je 80.192.16.72

Moja IP adresa je 129.145.22.9




� Što se u komunikacijskom kanalu može dogoditi?

� Netko može prisluškivati kanal

� Netko može prekinuti komunikaciju

� Netko može presresti pakete i promijeniti im sadržaj

� Netko može generirati nepostojeći sadržaj

� Na sljedećim slajdovima su prikazane spomenute situacije

Računalo koje prisluškuje komunikacijski kanal



Računalo koje generira nepostojeći sadržaj



� Prema očekivanom obliku prijetnje u komunikacijskom kanalu postavljaju se mjere

zaštite

� Najčešće mjere zaštite od neautorizirane upotrebe su mjere kriptozaštite

� Uzmimo za primjer riječ:

Izvorni tekst

KRIPTO


� Probajmo je šifrirati po principu:

Slovo+1

� Pa naša riječ postaje:

LSJRUP

� Ovo je jednostavan primjer šifriranja i jednostavno ga je probiti

� Onaj tko primi poruku dekodira je po principu:

Slovo – 1

Kriptiranje (šifriranje – encription) �� je postupak kojim se razumljiv tekst po

odreñenom principu pretvara običnom korisniku u nerazumljiv tekst

Dekripcija (dešifriranje – decription) �� postupak pretvaranja kodiranog teksta u

razumljiv tekst

� Danas se koriste metode koje su poznate pod nazivom asimetrična enkripcija

� Prisjetite se našeg primjera šifriranja Slovo + 1

� U tom slučaju koristi se jedan te isti ključ za kodiranje i dekodiranje poruka ◊

simetrična enkripcija

� U asimetričnoj enkripciji postoje dva ključa:

� Javni ključ za kodiranje

� Privatni ključ za dekodiranje

� Princip zaštite se zasniva na izmjeni javnih ključeva



� Primjerice:

� Šaljete word datoteku važnog sadržaja osobi A

� Osobu A pitate njezin javni ključ (npr. e – mailom se pošalje)

� Word datoteku kodirate tim ključem i pošaljete je osobi A ◊ poruka se samo

može dešifrirati privatnim ključem osobe A (dobro ga čuva)

� Osoba A prima dokument i dešifrira ga svojim privatnim ključem

� Program koji se zasniva na primjeni javnih i privatnih ključeva je PGP (Pretty Good

Privacy) www.pgpi.com

� Opisani sustav zaštite predstavlja osnovu e – businessa

� Programske mjere zaštite trebaju pružiti sigurnost i od virusa, crviju, trojanaca,

spywarea i drugih tzv. malicioznih programa

� Virusi su destruktivni računalni programi koji imaju cilj uništenje podataka ili

funkcionalnosti programa na zaraženom računalu

� u nekim slučajevima samo troše resurse računala bez drugih vidljivih šteta

� Svaki virus ima tri osnovne komponente:

� Infekcija – programski dio koji omogućava širenje virusa

� Nosiva komponenta (payload) – predstavlja glavnu aktivnost virusa (brisanje

podataka ili onemogućenje programa)



� Funkcija okidanja (trigger) – definira vrijeme ili dogañaj koji će pokrenuti

izvršavanje nosive komponente virusa

� Osnova je onesposobiti kopiranje virusa na računalo

� Virus se neće pokrenuti sve dok nije zadovoljen uvjet iz treće komponente ◊ funkcije

okidanja virusa

� Virusi se najčešće aktiviraju pokretanjem zaražene datoteke

� Najveću štetu prouzrokuju tzv. boot virusi

� Ti virusi inficiraju boot sektor računala, te samim tim onemogućuju njegovo

pokretanje (onemogućavaju podizanje operacijskog sustava računala)

� Web odredište na kojem možete saznati nešto više o virusima je www.wildlist.org

� Postoje dvije vrste zaštite od djelovanja virusa:

� Preventivne mjere

� Sanacijske mjere

� Preventivne mjere zaštite:

� Organizacijske

� Nadzorne

� Sanacijske

� Organizacijske mjere zaštite ◊onemogućavanje instaliranja neautoriziranih programa,

te kopiranja sadržaja s rizičnih lokacija – medija

� Potrebno je osigurati “slobodno” računalo koje nema fizičke veze s ostalim

računalima i ne koristi se u svakodnevnom poslu ◊ na njemu se testiraju

sumnjivi programi i sadržaji

� Nadzorne mjere�Korištenje antivirusnih alata

� Potrebno je uključiti funkciju On access scanning

� Potrebno je uključiti automatsku provjeru i download definicija virusa

(ažuriranje baze virusa)

� Antivirusom skenirati sve sumnjive datoteke prije njihovog kopiranja ili

otvaranja

� Antivirusna zaštita e – mail boxa



� Nedostatak ◊ antivirusni alat nije ažuriran ili nije izbačena definicija za neki virus

(prepoznavanje po potpisu)

� Svaki virus ima dva dijela:

� Tijela virusa

� Slučajnog ključa za enkripciju – s njim je kodirano i tijelo

� U okviru zaštite od virusa u nekom IS – u svako računalo vrši update antivirusnog

alata sa odgovarajućeg servera (schedule time)

� Mjere sanacije:

� Računalo je zaraženo ◊ najčešće usporen rad; uočen nedostatak nekog sadržaja ili

smanjena funkcionalnost nekih programa

� Isključivanje zaraženih računala iz mreže

� Prikupljanje sumnjivih medija

� Uklanjanje virusa ◊ ako je moguće antivirusnim alatom ili ručno (ekspert iz

područja zaštite IS –a)

� Ponovna instalacija cijelog sustava na zaraženim računalima (krajnja, ali

najsigurnija mjera) ◊ lako ako imamo sigurnosnu kopiju sustava

Ja imam svoj potpis, a ti?



� Većina današnjih antivirusnih alata nam daje zaštitu i od:

� Trojanaca

� Crviju

� Crvi predstavljaju najveću prijetnju u današnje vrijeme

� Crv je program koji se širi preko mreže

� Koristi slabe točke umreženog računala

� Kada se pokrene potpuno automatski se širi na druga računala s istom slabom

točkom ◊ šalje pakete podataka

� Crvi se ne spajaju na druge datoteke i programe

� Nemaju svojstva virusa

� Osim klasičnih mrežnih primjeraka crviju postoje i e – mail crvi

� E – mail crvi se šire preko attachmenta mail poruka

� Ponekad ih uopće nije potrebno pokrenuti (sami se pokreću) ◊ šalju se na

mailove iz adresara zaraženog računala

� Crvi koji se šire mailom se i posebno označavaju od strane antivirusnih

kompanija

� VBS/OnTheFly@mm � mm = mass mailer



� Danas postoji čitav niz hibridnih crviju:

� Crvi koji u sebi nose i svojstva virusa

� Crvi koji sa sobom nose trojanca

� Trojanci – maliciozni programi koji nemaju mogućnost samostalnog repliciranja

� program koji izvršava drugu funkciju od one za koju je deklariran

� Koriste ga hakeri za preuzimanje nadzora na računalima

• Pokrenete neki program za

miksanje muzike koji je u stvari

trojanac

• Za vrijeme slušanja trojanac vam

instalira stražnji ulaz preko kojeg

haker može daljinski preuzeti

nadzor nad vašim računalom

Zašto pokrećeš privitak koji ima datoteke s

ekstenzijama .exe .com

.bat .vbs .pif .scr



RAT (Remote Access Tools) – alati za potpunu kontrolu računala s udaljene lokacije

Backdoor – trojanci koji omogućuju stvaranje nezaštićenih ulaza kako bi im se

pristupilo RAT alatima i to pod administratorskim ovlastima

� Ponekad trojanci mogu poslužiti i za krañu korisničkih lozinki

� Primjerice lažni klijent za upisivanje korisničkih podataka pri prijavi na pojedini servis

� primjer Login trojanac

� Login trojanac potpuno simulira izgled ekrana za korisničku prijavu na računalo

� Želite li pod Windowsima XP provjeriti koji su programi uspostavili vezu i osluškuju

veze trebate pokrenuti naredbu Netstat

1. CTRL + ALT +DEL (pokrenite Windows Task Menager)

2. Prebacite se na karticu Processes

3. Odaberite View ◊◊◊◊ Select columns…

4. Uključite PID (Process Identifier)



� Preko start ◊ Run… pokrenite komandnu liniju

� U polje Run… upišite cmd

� U otvorenoj komandnoj liniji upišite

netstat –ao

� Dobit ćete popis koje ulaze osluškuju odreñeni procesi ◊ prikazano slikom na

sljedećem slajdu



� Popis prikazuje sve procese koji su kreirali vezu na Internet

� Prvi stupac pokazuje protokole (TCP i UDP)

� Drugi stupac prikazuje ime ili IP adresu vašeg računala i potom slijedi dvotočka sa

brojem ulaza vašeg računala kojeg proces koristi

� Treći stupac prikazuje ime ili IP adresu računala s kojim proces komunicira – slijedi

dvotočka i broj ulaza

� Četvrti stupac pokazuje status veze

� Posljednji stupac pokazuje ID procesa ◊ usporedbom tog stupca s vrijednostima pod

stupcem PID u Windows Task Manageru možete pronaći koji su programi pokrenuli

navedene procese

Trojanci se najčešće distribuiraju piratskim programima i preko P2P (Peer To Peer)

alata (KaZaA, e – Mule, LimeWire itd.).

� Od trojanaca se štitimo upotrebom vatrozoida (firewall)

� Trojanac pokušava otvoriti ulaz, a vaš firewall će vas pitati treba li mu to dozvoliti ◊

ako ste dovoljno pažljivi možete otkriti trojanca prije nego što postane opasan

� Na web adresi

http://www.download.com/3000-2092-10039884.html

Možete skinuti besplatnu verziju vatrozoida ZoneAlarm



Firewall osigurava:

• da neautorizirani korisnici ne

mogu pristupiti u lokalnu

mrežu

• da se s okolinom razmjenjuju

samo protokolirani sadržaji

� Nadzor nad razmjenom poruka:

� Autorizacijski server

� Odabirom i kontrolom ulaznog sadržaja

� Autorizacijski server – provjerava ovlasti korisnika koji preko Interneta pokušavaju

pristupiti lokalnoj mreži

� Provjera u više razina

� Višerazinska ovlaštenja korisnika – posebno kod otvorenih IS - a

� Ograničena propusnost kontrole ulaznog sadržaja – u zaglavlju pristupne poruke

ugrañuju se identifikacijski elementi koji se provjeravaju

� Potom se provjeri autorizacija pristupa mreži



Krizno upravljanje (upravljanje sigurnošću informacijskih sustava)

Temelji kriznog upravljanja

� Suvremeni svijet - bremenit brojnim, dubokim i vrlo složenim krizama koje prijete

posljedicama gorim od svega što smo doživjeli tijekom dvadesetog, do sada najgoreg

stoljeća, obilježenog neviñenim tehnološkim napretkom, ali i pogubnim ratovima,

elementarnim nepogodama, tehnološkim katastrofama, i ono što posebno zabrinjava,

čestim i sve težim ekonomskim krizama.

� Na djelu je informatička revolucija, ali i demografska eksplozija, loša urbanizacija i

globalizacija na temeljima postindustrijskog kapitalizma koji produbljuje svekolike

društvene proturječnosti.

� Utemeljitelji europskog interdisciplinarnog znanstvenog istraživanja sigurnosti su u

svojim ključnim radovima podijeli sigurnost suvremenog društva na vojni, ekološki

(okoliš) gospodarski, politički i društveni aspekt.

� Ova podjela je manjkava jer su u analizi propustili navesti još četiri bitna aspekta i to:

kriminalni, teroristički, zdravstveni i informacijski.

Antivirus, Antispam, Antispyweare, Firewall – sad sam siguran � bar

tako mislim.



Globalna sigurnost

� Da li se može preventivno djelovati na pojavu ekonomske krize koja nastaje u drugim

gospodarskim sustavima i kako?

� Da li je, i koliko, globalna zajednica, na svim razinama, u uvjetima snažnog

gospodarskog razvoja bila spremna suočiti se s mogućnošću naglog izbijanja

ekonomske krize?

� Da li svi subjekti globalne zajednice imaju danas spremne ljudske potencijale

osposobljene da se nose s krizom, te da li imaju pripremljena (planirana) takva

ekonomska sredstva koja bi mogla neutralizirati ili maksimalno umanjiti moguće

štete?

Temeljni aspekti kriznog upravljanja

� Krizne situacije najčešće se rješavaju mjerama:

� proračunske,

� fiskalne i

� monetarne politike

a u skladu s važećim pozitivno-pravnim propisima.

� Preventivno djelovanje – implementacija meñunarodnih standarda

Krizno upravljanje i meñunarodni standardi

� Relevantni standardi:

� ISO 9001

� ISO/IEC 27001

� ISO/IEC 20000-1

� ISO/IEC 20000-2

� BS 25999-1

� BCM – Bussiness

Continutiy Management



BCP Upravljanje operativnim kontinuitetom

� Upravljanje operativnim kontinuitetom sastoji se od pet makro aktivnosti:

I. Analiza utjecaja incidenata na procese u poduzeću (BIA)

II. Tretman utjecaja kao rezultat analize

III. Izrada BCP-a

IV. Provjera, održavanje i periodično testiranje BCP

V. Ažuriranje planova podrške BCP-u

Temeljene definicije BCP

� Incident = Situacija koja može dovesti do prekida, degradacije, gubitka ili krize

operativnosti.

� Operational continuity (OC) = strategijska i operativna sposobnost organizacije,

odobrena od strane uprave poduzeća, za planiranje i spreman odgovor na incidente i

dogañaje koji uzokuju prekide na način da se garantira operativni kontinuitet.

� Bussiness continuity plan (BCP) = skup dokumentiranih procedura i informacija,

projektiran, razvijen te održavan na način da obezbjedi operativni kontinuitet

organizacije.

� Business Impact Analysis (BIA) = proces koji se sastoji od analize poslovnih procesa i

utjecaja koje može imati na njih incident.

� Recovery Time Objective (RTO) = maksimalno vrijeme nedostupnosti sustava, odn.

vrijeme unutar kojega operativnost procesa će biti ponovo uspostavljena.

� Recovery Point Objective (RPO) = vremenski period izmeñu zadnje sigurnosne

kopije podataka i dogañanja incidenta koji može prouzročiti zastoj procesa.

Planovi podrške BCP-u

� Plan upravljanja incidentima (IMP- Incident management plan)



� Garantira sigurnost osoba uključenih u provoñenje aktivnosti i usmjeren je na

minimiziranje gubitaka. Uobičajeno uključuje:

� Planove aktivnosti koje slijede nakon utvrñivanja problematika unutar BIA

� Strategija interne i eksterne komunikacije

� Područja primarne i sekundarne kontrole upravljanja incidentima i njihove

karakteristike (redundantna komunikacija)

� Prateći dokumenti od važnosti(npr. mape, diagrami ili foto koje mogu služiti

kao pomoć u slučaju incidenta)

� Plan za rješavanje posljedica štetnog dogañaja (Disaster recovery plan)

� Ako je incident povezan sa elementarnim nepogodama koje onemogućavaju

nastavak operativnog kontinuiteta na originalnoj lokaciji, provodi se

uspostavljeni plan nastavka poslovnih aktivnosti na drugoj lokaciji.

Upravljanje sigurnošću sustava

� Osim osnovnih zahtjeva koje proces upravljanja sigurnošću sustava mora osigurati



� Implementaciju sigurnosnih kontrola modela prava na pristup informacijama :

1) identifikacija,

2) autentifikacija,

3) autorizacija,

4) zaštita i

5) mogućnost praćenja.

Razvijanje modela prava na pristup informacijama

� Zakonska regulativa

� Zakon o zaštiti osobnih podataka

� Zakon o pravu na pristup informacijama

� Zakon o informacijskoj sigurnosti

� Preporuka zemalja Europske unije – razvoj vlastite sigurnosne politike temeljem

prihvaćenih meñunarodnih standarda kao temelj sigurnosti

Meñunarodne norme

� Temelj modela zaštite prava na pristup informacijama

� U cilju kompletne zaštite informacijskih sustava definirane su različite norme kojima

se na različite načine nastoje obuhvatiti kompletni sustavi za upravljanje sigurnošću,

ili neki njegovi aspekti.

� Na meñunarodnom planu ipak se najviše prihvaća ISO/ IEC 17799/BS7799, što se

ponajviše odnosi na Europu i Japan, a donekle i Australiju.

� Najnovija norma koja se bavi sigurnošću sustava i razvojem sigurnosne politike

ISO/IEC 27001:2005.

Usporedba ISO 17799 :2000 i ISO 17799:2005

Razlog prihvaćenosti ove norme jest što osigurava fleksibilnost, definira upravljački okvir, a

ne zadire u konkretnu tehničku implementaciju, što je čini primjenjivom u organizacijama

različitih tehničkih sustava, iz različitih sektora te različitih veličina.



Kontrola identiteta

Identifikacija podrazumijeva predstavljanje korisnika sastoji se od tri faze :

ISO/IEC 27001:2005





Usporedba ISO 17799:2000 i ISO 17799:2005 Razlog prihvaćenosti ove norme jest što osigurava fleksibilnost, definira upravljački okvir, a

ne zadire u konkretnu tehničku implementaciju, što je čini primjenjivom u organizacijama

različitih tehničkih sustava, iz različitih sektora te različitih veličina.



Model zaštite sigurnosti informacijskih sustava



Sigurnosna politika

� Osnovni elementi globalnog dokumenta sigurnosne politike su :

� politike,

� standardi,

� preporuke i

� procedure.

� Razvijanje sigurnosne procedure za slučaj sigurnosnog incidenta- (risk management).



Kontrola identiteta

Identifikacija podrazumijeva predstavljanje korisnika sastoji se od tri faze :



ISO/IEC 27001:2005

Prikaz metode evaluacije rizika



Preporuka modela

� Ove smjernice predstavlja temelj predloženog modela upravljanja sigurnosnim

rizikom.

� Svaka organizacija ima vlastiti proces i zasebnu unutarnju organizaciju što tječe na

razvoj VLASTITOG modela sigurnosne politike temeljem “snimanja” njenih potreba!



Primjena ISO 27001 u području sigurnosti informacijskih sustava



UTJECAJ NOVIH TEHNOLOGIJA NA PRIVATNOST PODATAKA

• Informacija predstavlja sredstvo neprocjenjive vrijednosti

Zaštita putem provjere:

Definicija informacijske sigurnosti



SIGURNOSNE PRIJETNJE

Ugrožavanje računalnih sustava:

Vrste napada



ISO 27001

INTERNI ISMS AUDITI

• Moraju se redovito provoditi da bi se odredilo da li ciljevi kontrola, kontrola, procesi i

procedure ISMS-a pravilno ispunjavaju

• Funkcija je da organizacija unaprijedi poslovanje

PERSPEKTIVA ISO 27001 U HRVATSKOJ

• Prve certificirane tvrke: Pliva informatika, CS computer system, Vipnet, Primorsko-

goranska županija, AKD, PBZ.

• Budućnost norme

• Prednosti certifikata

• Provoñenje sustava sigurnosti



ULOGA MENADŽMENTA U INFORMACIJSKOJ SIGURNOSTI

Odrediti što se želi postići sa upravljanjem sigurnošću

Postaviti osnovnu organizaciju i osigurati resurse

Planirati informacijsku sigurnost

Implementirati mjere zaštite

VEZA IZMEðU KONTINUITETA I INFORMACIJSKE SIGURNOSTI

• Kontinuitet poslovanje je usmjeren na dostupnost, očuvanje i oporavak poslovnih

informacija

• Veze izmeñu dokumenata i s organizacijske strane

Podaci o klijentima i zaštita identiteta potrošača (Pravo na pristup informacijama)

Činjenično stanje u RH

� Povećanje mogućnosti prikupljanja, skladištenja i upravljanja podacima o klijentima

� Virtualno okruženje – novi modaliteti pristupa klijentima

� Pristup podacima o klijentima – zaštita pristupa

Zakonska regulativa

� Zakon o zaštiti osobnih podataka (NN 103/03)

� Ime klijenta je “osobni podatak”!

� Osobni podatak je svaka informacija koja se odnosi na identificiranu fizičku

osobu ili fizičku osobu koja se može identificirati (u daljnjem tekstu: ispitanik);

osoba koja se može identificirati je osoba čiji se identitet može utvrditi izravno ili

neizravno, posebno na osnovi jednog ili više obilježja specifičnih za njezin fizički,

psihološki, mentalni, gospodarski, kulturni ili socijalni identitet. (čl. 2 st. 1.

ZZOP)

� Osobni podaci smiju se prikupljati i dalje obrañivati: uz privolu ispitanika ili u

slučajevima odreñenim zakonom. (čl.7. st. 1 .ZZOP)



Obrada podataka o klijentima

• Obrada osobnih podataka

• -svaka radnja ili skup radnji izvršenih na osobnim podacima, bilo automatskim

sredstvima ili ne, kao što je prikupljanje, snimanje, organiziranje, spremanje,

prilagodba ili izmjena, povlačenje, uvid, korištenje, otkrivanje putem prijenosa,

objavljivanje ili na drugi način učinjenih dostupnim, svrstavanje ili kombiniranje,

blokiranje, brisanje ili uništavanje , te provedba logičkih, matematičkih i drugih

operacija s tim podacima (čl. 2 st. 2. ZZOP)

� Zbirke podataka

� svaki skup osobnih podataka koji je dostupan prema posebnim kriterijima, bilo

centraliziranim, decentraliziranim, ili raspršenim na funkcionalnom ili zemljopisnom temelju i

bez obzira na to da li je sadržan u računalnim bazama osobnih podataka ili se vodi primjenom

drugih tehničkih pomagala ili ručno. (čl. 2 st. 3. ZZOP)

� Kreiranje zbirke podataka o klijentima

� Bez privole ispitanika osobni podaci smiju se prikupljati i dalje obrañivati:

– u svrhu izvršavanja zakonskih obveza voditelja zbirke osobnih podataka, ili

– u svrhu zaštite života ili tjelesnog integriteta ispitanika ili druge osobe u slučaju kada

ispitanik fizički ili pravno nije u mogućnosti dati svoj pristanak, ili

– ako je obrada podataka nužna radi ispunjenja zadataka koji se izvršavaju u javnom

interesu ili u izvršavanju javnih ovlasti koje ima voditelj zbirke osobnih podataka, ili

ako je ispitanik sam objavio te podatke.

Zaštita potrošača

� Zakon o zaštiti potrošača (NN 79/2007)

� „Trgovcu se zabranjuje davanje osobnih podataka potrošača bilo kojoj trećoj osobi

bez prethodnog izričitog i pisanog odobrenja potrošača, osim ako je na to obvezan

zakonom ili odlukom nadležnog tijela vlasti.“ (čl.7 st.3 ZZP)

� Zbog kršenja ovoga pravila, trgovcu koji je trećoj osobi neovlašteno i bez

prethodne suglasnosti dao podatke potrošača Zakonom je zapriječena prekršajna

kazna u iznosu od 15.000 do 100.000 kuna (čl. 145, st. 1 ZZP).



Kraña identiteta

� Osjetljive računalne datoteke“ - pohranjeni osobni podatci korisnika različitih vrsta

financijskih i bankarskih usluga, prije svega:

� brojevi kreditnih kartica,

� podatci o bankovnim računima

� PIN-ovi korisnika usluga kartičnoga poslovanja

� Zaporke i ostali podatci osoba koje plaćanja obavljaju modelom e-

bankarstva.

� Slučaj Njemačke – trgovina podacima o potrošačima

� oblik je kriminalne radnje lažnog predstavljanja radi stjecanja materijalne ili druge

koristi“

� pojavni oblici

� Spoofing

� Phising

� Skimming



Zaštita podataka o klijentima

� Razvijanje sigurnosne procedure za slučaj sigurnosnog incidenta- (risk management -

politike, standardi, preporuke, procedure…)

Pravni aspekti zaštite sigurnosti informacijskih sustava

Internet kao nova infrastruktura

• Razvoj informacijskih tehnologija

• Nova (informacijska ekonomija) i razvoj svjetskog globalnog tržišta

• Sigurnost podataka – osnova funkcioniranja interneta kao infrastrukture lokalne

samouprave

Opći trendovi informacijskog društva

• Tehnološki razvoj

• Globalizacija

• Konvergencija

• Digitalizacija

• Mobilnost

• Demokratizacija društva



Pretpostavke razvoja

interneta kao “svjetske infrastrukture”

– Intenzivan protok podataka mrežnim kanalima

– Cjelovitost, dostupnost i tajnost podataka

– (Ne) sigurnosti na Webu

– Nepovjerenju korisnika prema sigurnosti komunikacije i otkrivanju podataka

– Neusklañenosti zakonodavstva i nedostaci u pravnoj regulativi

Sigurnost i zaštita umreženih sustava

– Razvoj zaštite i sigurnosti podataka

• Sigurnost umreženih sustava

• Informacijska sigurnost

– Vrste zaštite i sigurnosti podataka

• Hardversko-softverska zaštita i sigurnost

• Fizička i organizacijska zaštita i sigurnost

• Administrativna kontrola zaštite i sigurnost

• Komunikacijska zaštita (kriptozaštita) i sigurnost

Računalni kriminalitet

Specifičan oblik izvora opasnosti za sigurnost umreženih sustava

– Kategorije računalnog kriminaliteta

– Vrste počinitelja

– Prijetnje sigurnosti sustava

Kriptografija kao element zaštite i sigurnosti umreženih sustava

– Osnovne vrste kriptografskih algoritama:

• Simetrični kriptografski algoritmi

• Asimetrični kriptografski algoritmi

– Kriptografski logaritmi (DES, IDEA, RSA)



• Sigurnost i zaštita prijenosa podataka na internetu (SSL, TLS, HTTPS, SET)

• Sigurnost i zaštita lokalnih mreža (“vatreni zid”)

Najvažniji aspekti zaštite osobnih podataka

– Vjerodostojnost

– Tajnost

– Provjera identiteta korisnik -autentifikacija (dokaz znanjem, dokaz

posjedovanjem i dokaz osobinom) –

• Kerberos- primjer pouzdanog autentifikacijskog protokola

– Nemogućnost izbjegavanja odgovornosti

Sigurnost u virtualnom svijetu možemo promatrati s nekoliko aspekata,

s obzirom na:

1. Rasprostranjenost informacijske tehnologije i broj korisnika Interneta,

2. Implementacija elektroničkog poslovanja u djelatnostima gospodarskih subjekata,

3. Korištenje elektroničkim poslovanjem u radu javnih vlasti,

4. Zakonodavstvo koje to područje regulira.

Privatnost u doba informatizacije

• Suvremeni koncept ljudskih prava – korijeni

– Opća deklaracija o ljudskim pravima UN (1948.g.)

– Konvencija o zaštiti ljudskih prava i temeljnih sloboda Vijeća Europe iz

1950.g.

• Utjecaj informacijskih tehnologija na privatnost

• Kršenju privatnosti pridonose:

– globalizacija,

– konvergencija,

– Multimedija

• Kibernetički terorizam

• Blokiranje i filtriranje



Sigurnosni aspekti zaštite osobnih podataka

• Digitalni potpis osnovna je metoda za provjeru porijekla informacije

– Potpisi tajnim ključem, potpisi javnim ključem, potpisi uz sažetak poruke

– Svaki korisnik u globalnom elektroničkom sustavu treba imati svoj digitalni

potpis, koji je zapravo njegov osobni identitet.

– Pomoću svog potpisa korisnik ovlašćuje neku radnju i preuzima odgovornost

za nju.

• Digitalni certifikat

– kao sredstvo autentifikacije i utvrñivanja identiteta sadrži podatke o vlasniku:

e-mail adresu, ime, datum isteka i ID institucije koja je potpisala ove

informacije.

Pravni aspekti zaštite osobnih podataka

• Tijekom vremena, u razdoblju od 1993. godine

do danas, zakonske odredbe su se razvijene prema slijedećim inicijativama:

– Smjernica o elektroničkom plaćanju

– Smjernica o elektroničkom poslovanju

– Smjernica o elektroničkom potpisu

– Smjernica o elektroničkom novcu

– Dopuna smjernice o konsolidaciji banaka

– Smjernica o autorskim i srodnim pravima u informacijskom društvu

– Smjernica o zaštiti pojedinca pogledu obrade osobnih podataka i slobodnoga

kretanja takvih podataka

– Smjernica o zaštiti baza podataka

– Smjernica o privatnosti i elektroničkim komunikacijama

Zakonske odredbe kojima se regulira elektroničko poslovanje u Republici Hrvatskoj

– Zakon o elektroničkom potpisu (NN 10/02) sa pravilnicima

– Zakon o zaštiti potrošača (NN 96/2003)

– Zakon o telekomunikacijama ( NN 122/2003) i (pravilnici nisu završeni)



– Zakon o elektroničkoj trgovini (NN 173/2003)

– Zakon o informacijskoj sigurnosti (NN 79/2003)

– Zakoni o zaštiti prava intelektualnog vlasništva-Zakon o autorskom pravu i

srodnim pravima ( NN 167/03) , Zakon o patentu (NN 173/03) , Zakon o žigu

(NN 173/03), Zakon o industrijskom dizajnu (NN 173/03) , Zakon o oznakama

zemljopisnog podrijetla i oznakama izvornosti proizvoda i usluga (NN 173/03)

, Zakon o zaštiti topografija poluvodičkih proizvoda (NN 173/03)

– Zakon o zaštiti osobnih podataka (NN 103/2003)

– Zakon o pravu na pristup informacijama (NN 172/03)

Pravni aspekti sigurnosti u virtualnom svijetu

• Razvoj informacijske i komunikacijske tehnologije donio je nove opasnosti za

privatnost, prava i slobode grañana čime se raña i svijest o potrebi zaštite istih.

• Sigurnost u pravnoj regulativi i detaljnoj razradi svih mogućnosti zlouporabe prava

grañana čini se jedini način u prevenciji i efikasnom procesuiranju kaznenih djela u

području kibernetičkog kriminaliteta.

• Konvencija o kibernetičkom kriminalu

– usvojena na konferenciji Vijeća Europe u Budimpešti, a Republika Hrvatska

potpisala 23. studenog 2001. [1]

– utječe na prevenciju oštećenja cjelovitosti i dostupnosti računalnih sustava,

mreža i računalnih podataka, kao i na odvraćanje od njihovih zloporaba,

– utvrñuje kaznena djelo na način opisan u ovoj Konvenciji i kriminalizaciju

takvog ponašanja,

– usvaja ovlaštenja dovoljna za učinkovitu borbu protiv takvih kaznenih djela,

olakšavajući time otkrivanje, istraživanje i kazneni progon tih kaznenih djela,

kako na domaćoj, tako i na meñunarodnoj razini.

– [1] Narodne novine 09/02 (23. 09. 2002.)



1. Kaznenih djela protiv tajnosti, integriteta i dostupnosti računalnih podataka i sustava,

2. Računalnih kaznenih djela,

3. Kaznenih djela sadržaja,

4. Kaznenih djela povrede autorskih i srodnih prava

• U Konvenciji o računalnom kriminalu (usvojenoj na konferenciji Vijeća Europe u

Budimpešti, a Republika Hrvatska potpisala 23. studenoga 2001.) Dio 2. odnosi se na

računalna kaznena djela [2] :

• RAČUNALNO KRIVOTVORENJE

• RAČUNALNA PRIJEVARA

[2] Narodne novine 09/02 (23. 09. 2002.)

• Nastojanje da se stvori:

– sigurno,

– pravno ureñeno

– usklañeno okruženje

za razvoj elektroničkog poslovanja i informacijskog društva.

• Proširuje se i na područje zaštite od kompjutorskog odnosno kibernetičkog

kriminala, pitanja oporezivanja elektroničkog tržišta, zaštite potrošaća te

pitanja nadležnosti.

Pravni aspekti sigurnosti u virtualnom svijetu

• Mjere zaštite koje se poduzimaju na nacionalnoj razini u pogledu zaštite procesa

elektroničkog poslovanja u okviru kazneno-pravne zaštite protiv tajnosti, integriteta i

dostupnosti računalnih podataka i sustava[3] :

– Nezakoniti pristup,

– Nezakonito presretanje,

– Ometanje podataka,



– Ometanje sustava,

– Zlouporaba naprava

[3] Narodne novine, 09/02

Privatnost u virtualnom svijetu

– Zaštita privatnosti i zakonodavstvo

– Zakonom o zaštiti osobnih podataka(Narodne novine 103/03) ureñuje se zaštita osobnih

podataka o fizičkim osobama te nadzor nad prikupljanjem, obradom i korištenjem osobnih

podataka u Republici Hrvatskoj.

– Svrha zaštite osobnih podataka je zaštita privatnog života i ostalih ljudskih prava i

temeljnih sloboda u prikupljanju, obradi i korištenju osobnih podataka.

– Zaštita osobnih podataka u Republici Hrvatskoj osigurana je svakoj fizičkoj osobi bez

obzira na državljanstvo i prebivalište te neovisno o rasi, boji kože, spolu, jeziku, vjeri,

političkom i drugom uvjerenju,nacionalnom ili socijalnom podrijetlu, imovini, roñenju,

naobrazbi, društvenom položaju ili drugim osobinama.

• omogućava pružanje tradicionalnih usluga grañanima na nov, elektronički način što

je upravo i jest njegov cilj

• korištenje novih tehnologija kako bi ljudima osigurala jednostavniji i bolji pristup

državnim i upravnim informacijama i uslugama, te time omogućila veće mogućnosti

za sudjelovanje u demokratskim institucijama i procesima.

• Jednostavno rečeno E – government predstavlja upotrebu informacijske i

komunikacijske tehnologije (poput Interneta) u poboljšanju procesa vladanja i

upravljanja.

PREDNOSTI UVOðENJA E-GOVERNMENTA:

– proširivanje i otvaranje novih mogućnosti grañanima

– postavlja ljude u centar,

– otvara korisnicima mogućnosti za pristup informacijama,

– omogućava uporabu javnih usluga

– utjecanje na političke odluke.



E – government podrazumijeva široku primjenu odgovarajućih postupaka, metoda i

tehnologija pogodnih za rad i elektroničko pružanje usluga i komunikaciju na nivou:

E – government vs. E-governance*

• E - governance se često rabi kao apstraktan pojam, odnosno sinonim za širi koncept i

shvaćanje uloge i položaja državnih vlasti i vladajućih struktura, kao i njihova odnosa

prema grañanima u društvu dok se E – government odnosi na rad odreñenih,

konkretnih struktura vlasti koje ovaj koncept provodi u stvarnosti – primjerice lokalne

samouprave!

RAZLOZI POJAVE I UVOðENJA E-GOVERNMENTA:

• sveobuhvatnost Weba,

• progresivan rast online populacije,

• potrebe za smanjivanjem troškova lokalne samouprave,

• stalni porast očekivanja javnosti,

• rastuće frustracije javnosti radom državne uprave koje se očituje čekanjem u

redovima, sporim rješavanjem predmeta i sl.

• potreba za neprekinutom 7-24 uslugom.

TVRTKE

KORISNI

CI

LOKALNA

SAMOUP

RAVA

DRŽAVA



UTJECAJ E – GOVERNMENTA NA ORGANIZACIJU LOKALNE SAMOUPRAVE

• Izvoñenje javnih poslovnih transakcija odvija se elektronički

– posredstvom Interneta, uključujući sve povezane “stvarne” (real-world)

procese.

• E-governement daje mogućnost pružanja tradicionalnih usluga grañanima na nov,

elektronički način

– što upravo i jest cilj njegove implementacije(!)

• Korištenje novih tehnologija

– kako bi ljudima osigurala jednostavniji i bolji pristup državnim i upravnim

informacijama i uslugama,

– veće mogućnosti za sudjelovanje u demokratskim institucijama i procesima.

Pojavni oblici e -Governmenta

• Vlast i gospodarski subjekti - Government to Business (G2B) ;

• Vlast i grañani - Government to Citizen (G2C);

• Vlast i lokalne i druge državni organi i institucije prema van - Government to

Government (G2G)

• Vlast i njezini službenici - Government to Employee (G2E)

• Business to Government (B2G) - elektronička nabava;

• Citizen to Governement (C2G) – kontakti, upiti, prijave, pritužbe;

• UseNet Discussion Group – komunikacija o radu državnih i lokalnih

organa vlasti o radu i eventualnim problemima

ZAKONSKA REGULATIVA

• Zakon o elektroničkom Zakon o elektroničkom potpisu (NN 10/02) sa pravilnicima:

– Pravilnik o evidenciji davatelja usluga certificiranja elektroničkih potpisa (NN

54/02)

– Pravilnik o registru davatelja usluga certificiranja elektroničkih potpisa koji

izdaju kvalificirane certifikate (NN 54/02)



– Pravilnik o mjerama i postupcima uporabe i zaštite elektroničkog potpisa i

naprednog elektroničkog potpisa, sredstava za izradu elektroničkog potpisa,

naprednog elektroničkog potpisa i sustava certificiranja i obveznog osiguranja

davatelja usluga izdavanja kvalificiranih certifikata (NN 54/02)

– Pravilnik o tehničkim pravilima i uvjetima povezivanja sustava certificiranja

elektroničkih potpisa (NN 89/02)

• Zakonom o zaštiti osobnih podataka[4] ureñuje se zaštita osobnih podataka o fizičkim

osobama te nadzor nad prikupljanjem, obradom i korištenjem osobnih podataka u

Republici Hrvatskoj. Svrha zaštite osobnih podataka je zaštita privatnog života i

ostalih ljudskih prava i temeljnih sloboda u prikupljanju, obradi i korištenju osobnih

podataka.

• Zaštita osobnih podataka u Republici Hrvatskoj osigurana je svakoj fizičkoj osobi bez

obzira na državljanstvo i prebivalište te neovisno o rasi, boji kože, spolu, jeziku, vjeri,

političkom i drugom uvjerenju,nacionalnom ili socijalnom podrijetlu, imovini,

roñenju, naobrazbi, društvenom položaju ili drugim osobinama.

[4] Narodne novine 103/03

E-Hrvatska

• Ključni ciljevi projekta e-Hrvatska koji se provodi na razini Republike Hrvatske [5]

su:

• uspostavljanje i umrežavanje sustava koji će svakom grañaninu omogućiti da putem

Interneta koristi usluge u javnoj upravi, zdravstvu, školstvu i pravosuñu.

• mogućnost grañanima da putem obavljaju komunikaciju putem Interneta javnom

upravom, traženje i primanje raznovrsnih dokumenata, potvrda i rješenja te

informacije o djelovanju vlasti.

• Preduvjet za to jest osiguranje zakonske osnove kao i koordinacija i suradnja

odgovarajućih institucija i tijela državne uprave, te suradnju privatnog i javnog

sektora.



[5] Program Vade Republike Hrvatske u mandatnom razdoblju 2003.-2007., 23.

prosinca 2003.

• Krajem 2003. Vlada RH usvaja

• Program e-Hrvatska 2007. sa svrhom:

– ubrzanja procesa informatizacije i restrukturiranja državne uprave,

– ostvarenja uvjeta za povećanje konkurentnosti hrvatskih poduzeća i podizanja

kvalitete i efikasnosti usluga grañanima.

– Program prati odrednice Akcijskog plana eEurope 2005.

• Tijekom 2005. godine provedena je studija dostupnosti javnih usluga na Internetu.

E-government primarno

• NIJE reforma procesa unutar vladinih institucija,

• NEGO

– unaprjeñivanje usluga i suradnji s grañanima,

– poslovnim ljudima i profesionalcima, neprofitnim i nevladinim

organizacijama, poput udruga, sindikata, stranaka i ostalih.

• Najpopularniji potezi internetski portali:

"one-stop shopovi", [6]

• Program e-Hrvatska 2007.

• PREDUVJET FUNKCIONIRANJA:

– PRIMJENA ZAKONA O ELEKTRONIČKOM POTPISU <-> kamen

temeljac razvoja većine zamislivih usluga putem Interneta.

FUNKCIJE

E-GOVERNMENTA NA RAZINI LOKALNE SAMOUPRAVE

• Obavljanje internih poslova (putem Intraneta)

• Pružanje usluga grañanima putem Interneta

• Poticanje sudjelovanja grañana



4 razine informatiziranosti

I. Informacija

II. Jednosmjerna komunikacija (download obrazaca)

III. Dvosmjerna komunikacija (elektronički obrasci)

IV. Transakcija (potpuna dostupnost usluge)

Prednost uvoñenja e-government portala

• Marketing

• Informiranost

• Efikasnost

• Razvoja

• eEurope

• Zatvorenost

• Neinformiranost

• Nenefikasnost

• Zaostajanje

• Suvremeno poslovanje je neracionalno bez uporabe informacijskih i komunikacijskih

tehnologija te je neosporna važnost prelaska s tradicionalnog poslovanja na

elektroničko poslovanje.

• U Hrvatskoj je nedovoljno razvijena svijest o potrebi provoñenja sigurnosnih mjera u

pogledu procesa elektroničkog poslovanja.

• Neprecizno hrvatsko zakonodavstvo jedan je od uzroka sigurnosnih problema koji se

javljaju pri obavljanju procesa elektroničkog poslovanja.

• Usklañivanje zakonodavstva Republike Hrvatske sa pravnim regulativnim okvirom

Europske Unije glede pravne zaštite procesa elektroničkog poslovanja predstavlja



nužnost s ciljem pripreme za postanak punopravnom članicom Europske Unije i

primjene pozitivnih iskustava



Documents

Sigurnost Informacijskih Sustava-skripta 2