Sis Odgovori

1

Osnovna pitanja za kolegij Sigurnost informacijskih sustava na diplomskom studiju:

1. Što je sigurnost, te koji je razlog za implementaciju sustava sigurnosti u poduzećuje niz mjera i postupaka koji se poduzimaju prilikom projektiranja inf.sus. s ciljem kako bi se osigurala funkcionalnost sustava u pretpostavljenim uvjetima, razlog je oslonjivost I.S. koja predstavlja potrebu mogućnost ili ovisnost I.S. o funkcionalnosti I.S. koja ovisi o pretpostavljanim uvjetima određenog poslovnog subjekta (ljevaonica-željezna prašina, eksplozivna atmosfera, banke, koji se moraju uzeti u obzir pri projektiranju).

2. Koji je odnos sigurnosti i zaštite informacijskog sustava Zaštita-je čitav niz mjera i postupaka koji se poduzimaju kako bi se smanjila razina rizika od pretpostavljenih dodatnih prijetnji koje nisu bile prepoznate kod izgradnje I.S. a njihovo poduzimanje podiže razinu sigurnosti

3. Što je računalni kriminal, te koje radnje se mogu opisati kao računalni kriminalsvaka ona aktivnost na računalu ili uz pomoć računala kojom se ostvaruje protupravna korist ili usporava ili onemogućava korištenje podataka odnosno I.S.

4. Navedite nekoliko primjera računalnog kriminala?Računalno prisluškivanje, krađa, neovlašteno kopiranje, izmjena, uništenje podataka, ili onemogućavanje rada

5. Što govori Hrvatski zakon o računalnom kriminalu?Hrvatska je u kazneni zakon uvela nova kaznena djela, i to nezakoniti pristup, nezakonito presretanje, ometanje podataka, ometanje sustava, zloporaba naprava, kompjutorsko krivotvorenje, kompjutorsku prijevaru, djela vezana uz dječju pornografiju i autorska prava.

6. Nabrojite i opiše nekoliko zakona RH koji se odnose na sigurnost IS?Zakon o informacijskoj sigurnosti – utvrđuje pojam I.S., mjere i standarde I.S., nadležna tijela za donošenje provođenje i nadzor mjera i standarda I.S.Zakon o elektroničkom potpisu-uređuje pravo fizičkih i pravnih osoba na upotrebu elektroničkog potpisa te prava obveze i odgovornosti prilikom korištenja E.P.Zakon o tajnosti podataka - propisuje vrste i stupnjeve tajnosti te mjere i postupke za utvrđivanje, uporabu i zaštitu tajnosti podataka Zakon o zaštiti osobnih podataka - regulira način i uvjete obrade osobnih podataka, obrade posebnih kategorija osobnih podataka, obvezu informiranja ispitanika, povjeravanje poslova obrade osobnih podataka, iznošenje osobnih podataka iz RH, zaštitu rada ispitanika, obrade podataka u novinarske svrhe, te nadzor nad djelovanjem sustava obrade osobnih podataka.

7. Što je pojam digitalnog integriteta?Digitalni podaci koji su zaštićeni od namjernih ili nenamjernih nedopuštenih promjena.Osigurava ga digitalni potpis ali to ne znači i tajnost već samo provjera da nije podatak promijenjen.

8. Što sve može imati digitalni identitet?Osobe, uređaji, dokumentiOsigurava anonimnost sigurnost i privatnost, koristimo ga u elektroničkom poslovanju

9. Što je klasifikacija i deklasifikacija sadržaja, te koje su razine tajnosti definirane prema zakonu o zaštiti tajnosti podataka

2


– klasifikacija podatka je postupak utvrđivanja jednog od stupnjeva tajnosti podatka s obzirom na stupanj ugroze i područje ovim Zakonom zaštićenih vrijednosti,– deklasifikacija podatka je postupak kojim se utvrđuje prestanak postojanja razloga zbog kojih je određeni podatak klasificiran odgovarajućim stupnjem tajnosti, nakon čega podatak postaje neklasificirani s ograničenom uporabom samo u službene svrheStupnjevi tajnosti klasificiranih podataka su:- VRLO TAJNO,- TAJNO,- POVJERLJIVO,- Ograničeno.

10. O čemu govori norma ISO 27002 i koji su koraci implementacije norme ISO 27002Govori o načinu implementiranja sigurnosnih mjera informacijske sigurnosti i njezinih okvira u organizaciji a koje su određene normom ISO 27001.{kroz 15 poglavlja nudi preporuke kako izgraditi sustav sigurnosti i 39 sigurnosnih kategorija (iz preporuke vadimo što mislimo da se odnosi na nas i rješavamo tu grupu problema –to je podsjetnik da nešto bitno ne zaboravimo)}.

-predmet -nazivi i definicije -struktura standarda -procjena i obrada rizika1-politika sigurnosti

5.1. politika I.S.2-organizacija informacijske sigurnosti

6.1. unutarnja organizacija 6.2. vanjski suradnici

3-upravljanje imovinom 7.1.odgovornost za imovinu 7.2.klasifikacija imovine

4-sigurnost ljudskog potencijala 8.1.prije zaposlenja 8.2.tijekom zaposlenja 8.3.prekidi ili promjena zaposlenja

5-fizička sigurnost i sigurnost okruženja 9.1.osigurana područja 9.2.sigurnost opreme

6-upravljanje komunikacijama i operacijama 10.1.operativne procedure i odgovornosti 10.2.upravljanje pružanjem usluge treće strane 10.3.planiranje i prihvaćanje sustava 10.4.zaštita od zloćudnog i prenosivog koda 10.5.sigurnosne kopije 10.6.upravljanje sigurnošću mreže 10.7.rukovanje medijima 10.8.razmjena informacija 10.9.usluge elektroničke trgovine 10.0.nadzor

7-kontrola pristupa 11.1.poslovni zahtjevi za kontrolu pristupa 11.2.upravljanje korisničkim pristupom

3


11.3.odgovornosti korisnika 11.4.kontrola pristupa mreži 11.5.kontrola pristupu operativnom sustavu 11.6.kontrola pristupa aplikacijama i informacijama 11.7.uporaba mobilnih računala i rad na daljinu

8-nabava razvoj i održavanje I.S. 12.1.sigurnosni zahtjevi I.S. 12.2.ispravna obrada u aplikacijama 12.3.kriptografske kontrole 12.4.sigurnost sistemskih datoteka 12.5.sigurnost u procesima razvoja i podrške 12.6.upravljanje tehničkom ranjivošću

9-upravljanje sigurnosnim incidentom 13.1.izvješčavanje o sigurnosnim događajima i slabostima 13.2.upravljanje sigurnosnim incidentima i poboljšanja

10-upravljanje kontinuitetom poslovanja 14.1.stanovišta I.Sigurnosti pri upravljanju kontinuitetom poslovanja

11-sukladnost 15.1.sukladnost sa zakonskim propisima 15.2.sukladnost sa sigurnosnom politikom i standardima tehničke sukladnosti 15.3razmatranje revizije informacijskih sustava

11. Područja regulative standarda ISO 27001 i 27002? ISO 27001 Namjena ovog standarda je kvalitetna uspostava sustava upravljanja sigurnošću informacija (ISMS), a sadrži skup zahtjeva koje organizacija mora ispuniti da bi se priznao certifikat za informacijsku sigurnost. Iako standard 27001 obuhvaća izradu sigurnosne politike, njegova prvenstvena uloga je način implementacije sigurnosnih kontrola i samim time nije prikladan kao temelj pisanja sigurnosne politike. ISO 27002 Jedna od osnovnih namjena primjene ISO/IEC 17799 norme jest pružiti efikasno upravljanje informacijskom sigurnošću, nije prvenstveno namijenjen certificiranju, već širenju svjesnosti o potrebi organizacije sustava zaštite informacija kroz opis najboljih već primijenjenih metoda i principa za uspostavu i održavanje takvih sustava. Sadrži detalje za provođenje naredbenih mjera iz aneksa A norme ISO 27001.

12. Koji su koraci izgradnje sustava sigurnosti - 4 do 6 koraka1.Izrada politike sigurnosti I.S.-mora biti dokumentirana (razvoj, granice, prijenos odgovornosti, strategija)2.Procjena rizika -identifikacija imovine „dodjela vlasništva“ -popis u računovodstvu -procjena značaja podatkovnog sadržaja -procjena izvora i oblika intenziteta prijetnji -izračun rizika3.Postupanje s rizikom -odabir mjera za smanjenje rizika4.Dogradnja sigurnosti I.S. -izgradnja sustava mjera sigurnosti, da bi mogli njime upravljati

5.Certifikacija 27001

13. Što je sigurnosna politika, na koji način je implementiramo, od kojih elementa se sastoji te kada je važeća?

4


To je dokument kojim se u velikim poslovnim sustavima definiraju odgovornosti i prenošenja odgovornosti.To je skup pravila, smjernica i postupaka koja definiraju na koji način informacijski sustav učiniti sigurnim i kako zaštititi njegove tehnološke i informacijske vrijednosti. Ona govori korisnicima što smiju raditi, što ne smiju raditi, što moraju raditi i koja je njihova odgovornostImplementiramo ju kroz izgradnju sustava sigurnosti i metode izgradnje – kod malih sustava se dokumentom definiraju i mjere za svako pojedino radno mjesto koje treba realizirati ili se politika ugrađuje u statut kao popratni odnos poslovnog sustava.Sastoji se od: - dokumenta informacijskog sadržaja - provjera i vrednovanja

14. Koje su strategije izgradnje sustava sigurnosti?Strategija

Samostalno preuzimanje rizika (opredjeljenje poslovnog sustava da samostalno brine o razini sigurnosti I.S.-a te da se brine o mjerama za smanjivanje rizika na prihvatljivu razinu

podjela rizika (strategija osiguravanja dijela rizika kod osiguravatelja, a za dio sustava samostalno gradi sustav sigurnosti. Na dijelu I.S. se ne postavlja razina zaštite ili se nedovoljno ulaže pa se rizik pokriva osiguranjem).

prijenos rizika ( prisutna kod manjih poslovnih sustava pri čemu je poslovodstvo procijenilo da destrukcija nad podacima ne povlači za sobom velike poslovne gubitke. Sav rizik se prenosi na osiguravatelja koji u slučaju velikog rizika sam ulaže u izgradnju sigurnosnog sustava kako bi smanjio vlastiti poslovni rizik).

negiranje rizika (temelji se na odluci o nepoduzimanju nikakvih aktivnosti zaštite I.S. Poslovanje nije oslonjeno na I.S. podržan računalom, ali prijetnje nisu isključene nego je samo smanjen broj izvora i oblika prijetnji).

Metoda izgradnje: sami profesionalac – ima neke prijetnje i rizike kombinirano – mi i profesionalci najbolja varijanta

15. Što sve smatramo informacijskom imovinom, i zašto je bitna inventura informacijske imovine

informacijska imovina (baze podataka i datoteke s podacima, sistemska dokumentacija, procedure za podršku, planovi oporavka, sporazumi itd)

softverska imovina (aplikacijski i sistemski softver) fizička imovina (računalna oprema, komunikacijska imovina, magnetski mediji, ostala

tehnička oprema)Po inventurnoj listi doznajemo vlasnika koji je odgovoran za imovinu u smislu sigurnosti da ne dođe do mijenjanja, otuđivanja imovine itd.

16. Što je procjena značaja podatkovnog sadržaja temeljem čega i zašto se provodi?Ako je dokument značajan onda će dobiti određenu kategorizaciju bilo da je u analognom ili digitalnom obliku. A na temeljem vanjskih i unutarnjih čimbenika,provodi se radi procjene rizika.

17. Koji su unutarnji a koji vanjski čimbenici koji utječu na procjenu značaja podatkovnog sadržaja?Procjenjujemo ga na temelju:

5


-vanjskih čimbenika {zakonski i podzakonski akti ( zakon o računovodstvu, arhivi i arhivskoj građi…) koje donosi država da bi osigurala razvojnu strukturu za realizaciju poslovnih procesa, međutim bitnu i potrebnu za nadzornu funkciju države (poslovni običaji i praksa).

unutarnjih čimbenika zakonski akti (statuti i pravilnici) poslovnog subjekta kojim se definira njihovo značenje i uloga u poslovnom procesu te odluke pojedine razine poslovodstva o značenju poslovnog sadržaja.

18. Nabrojite i opišite izvore prijetnji informacijskog sadržaja!- priroda- čovjek s atribucijom namjernosti (treba ulagat u zadovoljstvo i sigurnost

zaposlenika)- čovjek s atribucijom nenamjernosti- tehnička pogreška

Prirodni izvori Čovjek namjernim djelovanjem Čovjek nenamjernim djelovanjem Organizacijske Tehničke

19. Nabrojite i opišite oblike prijetnji informacijskom sustavu?- neautorizirano služenje informacijskim sadržajem (prenošenjem od strane

djelatnika, zbog raznih motiva ili krađa korištenjem tuđih zaporki ili presretanje poruke)

- neidentificiranu promjenu informacijskog sadržaja- uništenje informacijskog sadržaja

20. Što je procjena rizika, te koje metode procjene rizika poznajete?Procjenom rizika organizacija određuje kriterij za određivanje da li je rizik prihvatljiv ili ne.Sastoji se od: 1.Izrade bilance informacijske imovine i dodjele vlasništva 2. procjene značenja podatkovnog sadržaja 3. procjena izvora i oblika prijetnji 4. izračuna rizika

Vrlo važan dio analize rizika je procjenjivanje tj. donošenje sudova o intenzitetu i obliku promatranih pojava tj. čimbenika rizika

Procjene ili sudovi su temelj za mjerenje razina intenziteta i klasificiranje pojava. Pravilno doneseni sudovi temelj su uspješnom mjerenju rizika

Kod procjenjivanja se obično govori o dva načina donošenja sudova Numerički Opisno

Sudovi se obično lakše donose ako su razine mogućih svojstva definirane opisno Nasuprot tome opisno izražena svojstva ne mogu se matematički obraditi pa je

potrebno odrediti pravila pretvorbe Stoga se što je moguće više treba primijeniti numeričko procjenjivanje Mjerenja stavova prosuđivanjem provodi se s kompetentnim zaposlenicima, a kod

osjetljivih pitanja i sa grupom ispitanika (grupne metode procjenjivanja)

6


21. Što su sigurnosne kopije te koje strategije izrade sigurnosnih kopija poznajete?To su kopije sustava na neki materijalni nositelj da bi omogućili vračanje cijelog ili dijela sustava na stanje kada smo izradili kopiju.Strategija određuje način na koji vršimo sigurnosnu kopiju, ona ovisi o količini potrebnog prostora za spremanje i potrebnom vremenu, može biti u toku rada, u određenim vremenskim intervalima, ili u stanju mirovanja sustava; može bitiPotpuno kopiranje– metoda kojom se pohranjuju sve datoteke bez obzira na to jesu li označene za pohranu ili nisu. Pod oznakom za pohranu podrazumijevamo postavljeni atribut datoteke A (arhive). Glavna prednost je u tome što je lako pronaći datoteku i vratiti ju u računalni sustav jer su sve datoteke na jednom mediju. Nedostatak je što se svaki puta na medij kopiraju sve datoteke, bez obzira na to jesu li promijenjene ili ne.Diferencijalno kopiranje– pohranjuje nove datoteke i one datoteke koje su označene kao ne arhivirane ("spušteni arhive"), odnosno čiji je sadržaj promijenjen od zadnjeg potpunog kopiranja. Diferencijalni backup kopira arhive i ne arhivirane datoteke, te nove datoteke.Inkrementalno kopiranje pohranjuje ne arhivirane datoteke i mijenja im atribut u arhive, kako bi kod sljedećeg inkrementalnog backupiranja znao da im je sadržaj mijenjan ako im je atribut ne arhiviran.

22. Što su sigurnosne kopije te koje materijalne nositelje i sustave za izradu sigurnosnih kopija poznajete?To su kopije sustava na neki materijalni nositelj da bi omogućili vračanje cijelog ili dijela sustava na stanje kada smo izradili kopiju.To može biti čvrsti disk, flash memorija, mrežna pohrana, cd, disketa…Sustavi: Windows backup utiliti, Windows shell skripte (ručno pomoću WinRar ili nekog drugog alata)

23. U koje se sve namjene u području sigurnosti može koristiti RAID tehnologija?To je povezivanje više diskova da povećamo integritet raspoloživost i kapacitet, štiti nas od gubitka podataka u slučaju ispad ili kvara pojedinog čvrstog diska.

24. Što je to virus i od čega se on sastoji?To je dio programskog koda sa sposobnošću samo kopiranja, te dodavanja vlastitog sadržaja u druge programe ili dijelove programskog koda bez dopuštenja i znanja korisnika.

Računalni virus se obično sastoji od dva dijela. Prvi dio je samokopirajući kod koji omogućava razmnožavanje virusa Drugi dio je korisna informacija koja može biti bezopasna ili opasna.

25. Što sve podrazumijevamo pod pojmom malicioznog koda?Maliciozan kod je kombinacija virusa on zarazi jednu datoteku (izvrši se u pozadini i širi na ostale datoteke) koja kad se klikne aktivira virus koji zarazi ostala računala.

26. Koje oblike malicioznog softwarea poznajete, te na koji način vršimo detekciju i uklanjanje malicioznog softwarea?Crv, trojanski konj, rutkit, kiloger, spajver, backdor. Process exsplorer analiziramo sustav preko svojih senzora koji ne uključuju senzore operacijskog sustava, kada nam je sumnjiv neki proces onda ga skeniramo s Virus total.com, odaberemo i sumnjivi fajl i označimo pošaljemo to na skeniranje sa 43 antivirusa, možemo

7


ponoviti analizu sa rienelajz da se virus ponovo provjeri po antivirusnim firmama. Kako dalje očuvati računalo čistim prvo moramo vidjeti kako se pokreće virus svaki puta. Najsigurnije je da restartamo računalo i pokrenemo ga u save modu i pustimo antivirus da Radi. Ako ga ne možemo obrisati znači da radi pa uzmemo proces exsplorer ubijemo ga i pustimo kroz antivirusni skener.

27. Što smatramo pod pojmom kriptografija te koja je razlika između simetrične i asimetrične kriptografijeKriptografija metoda kojom skrivamo neke podatke od nepoznatih ljudi.

Simetrična enkripcija imamo jedan ključ za kriptiranje i dekriptiranje. Asimetrična kriptiramo sa javnim ključem a dekriptiramo sa tajnim.

28. Što je digitalni potpis, te kako realiziramo digitalni potpis?Dio digitalnog dokumenta, osigurava autentičnost dokumenta i potvrdu identiteta pošiljaoca. Digitalni potpis osigurava 3 osobine dokumenta: autentičnost, neoporecivost, izvornost.Digitalni potpis se stvara na slijedeći način:Na temelju poruke se izračuna sažetak poruke (engl. message digest) korištenjem nekog javno poznatog algoritma koji garantira da se isti sažetak ne može dobiti niti iz jedne druge poruke.Dobiveni sažetak se kriptira tajnim ključem pošiljatelja, a zatim se dodaje poruci kao jedinstven potpis te poruke od tog pošiljatelja.Tada se cijela poruka s potpisom kriptira tajnim ključem pošiljatelja i šalje primatelju. Primatelj poruke dekriptira dobivenu poruku koristeći javni ključ pošiljatelja, i time dobiva sadržaj poruke s potpisom. Na temelju sadržaja poruke primatelj korištenjem istog algoritma generira sažetak poruke i uspoređuje ga s potpisom koji je došao uz poruku.Ako se dva niza bitova ne razlikuju to znači da je digitalni potpis autentičan.Digitalni potpis je sažetak izračunat iz potpisanog dokumenta (pomoću jednosmjerne funkcije za izračun sažetka) koji je potom potpisan odnosno kriptiran tajnim ključem. Klijent verificira potpisani sažetak dekriptirajući ga javnim ključem poslužitelja te uspoređujući ga sa sažetkom izračunatim iz primljene poruke.

29. Što je digitalna omotnica (PGP postupak) i kako se realizira?Digitalna omotnica osigurava tajnost, ali ne i besprijekornost informacije. Poruku pošiljatelj kriptira proizvoljnim (obično slučajno generiranim) simetričnim ključem K koristeći neki od simetričnih algoritama kriptiranja. Simetrični ključ se kriptira javnim ključem primatelja PB. Kriptirana poruka i kriptirani ključ čine digitalnu omotnicu:

30. Što je firewall i zašto je bitan?Vatro zid (engl. firewall) je sustav koji nadzire promet prema i od računala ili računalnemreže propuštajući samo podatke koji ne mogu štetiti korisniku. Vatro zid može ograničitii podatke koji se iz računalne mreže šalju u okolinu, omogućuje komunikaciju samo autoriziranim korisnicima, postavlja se na odvojeno računalo.

31. Što je sigurni perimetar, te koje metode fizičke zaštite poznajete?Sigurni perimetar podrazumijeva zaštitu objekta od provale koja započinje prije nego što se pristupi štićenom objektu. Vanjske prepreke, zaštitne ograde, unutarnji sloj (uređaji za detekciju, identifikaciju, zaštita od sabotaže, čuvari i patrole), protupožarna zaštita.

32. Koje sustave za kontrolu pristupa poznajete?

8


kontaktne čip-kartice, magnetne i bar-kod kartice, složeniji sustavi kontrole pristupa služe se i naprednim biometrijskim metodama za identifikaciju osoba u cilju ostvarivanja kontrole prolaza i pristupa (prepoznavanje otiska prsta, glasa i sl.).

33. Što je biometrija i kako je koristimo za autentikaciju i identifikaciju?model identifikacije osobe, baziran na fizičkim karakteristikama ili karakteristik. ponašanja, a odnosi se na nešto što osoba posjeduje ili što osoba zna kako bi izvršila osobnu identifikaciju.Koristimo ih za autentifikaciju i identifikaciji primjenom digitalizacije i umjetne inteligencije na osnovu usporedbe i prepoznavanja uzorka: DNK, rožnjače oka, geometrije šake, lica, uha, otiska prsta, prepoznavanja rukopisa, potpisa, hoda, dinamike tipkanja itd.

34. Koje mjere sigurnosti poznajete?Programske mjere zaštite i zaštita programa, fizičke i tehničke mjere zaštite, organizacijske mjere zaštite, mjere zaštite iz oblasti prava.Ili fizičke, tehničke, administrativne

35. Materijalni nositelji kao mjera povećanja otpornosti sustava!Mjere za smanjivanje prijetnji su i odabir materijalnog nositelja

a) analogni zapis (papir, mikrofilm, filmska vrpca)b) digitalni zapis – magnetski nositelj (vrpca, disketa, disk, USB)

- optički nositelj ( CD, DVD)

36. Što sve čini programske mjere zaštite informacijskog sustava?To su mjere za smanjivanje rizikaa)zaštita na razini operacijskog sustava:

jednokorisničke višekorisničke ima ugrađene mehanizme kojima štitimo integritet i povjerljivost

podataka jednog korisnika u odnosu na podatke i resurse računala koji su stavljeni na raspolaganje drugog korisnika.Na razini aplikativnog softvera možemo imati ugrađene el. sigurnosti pri čemu sve ovlasti svakom korisniku ne dodjeljujemo. Zapisom podataka na disku upravlja DBMS preko njega se pojedine modul aplikacije mogu dati i dodijeliti pojedina ovlaštenja koja imaju ugrađene sigurnosne mehanizme.

Mrežne, softver za upravljanje mrežom dodjeljuje svakom korisniku njegove ovlasti u skladu s radnim mjestom i funkcijom koju obavlja, to se potvrđuje identifikacijom i autentifikacijom, kriptozaštita (digitalni identitet), sustav sigurnosne pohrane, zaštita od malicioznog koda

jedno zadaćne više zadaćne

Za svakog pojedinačnog korisnika može se definirati b) zaštita na razini aplikativnog softvera(programske mjere)c) zaštita na razini DBMS (deta bejs menadžer sistem) to su tri elementa koji štite korisničko okruženje zaporkom (imat čim više znakova, češće ju mijenjati, vremensko ograničenje)d) backup, antivirusi, kripto sustavi

Operacijski sustav • jednokorisnički • višekorisnički

9


2. Korisnička programska podrška • zaporka • jednokratna instalacija • nemogućnost rada s drugog računala 3. Zaštita podataka u komunikaciji • autorizacija korisnika • osiguranje točnosti prijenosa sadržaja (elektronski potpis) • onemogućavanje čitanja podataka u slučaju presretanja poruke 4. Dupliciranje sadržaja na drugimmaterijalnim nositeljima • potpuno kopiranje sadržaja • inkrementalno kopiranje 5. Virusi • preventivne mjere • mjere motrenja na pojavu virusa • uklanjanje virusa iz zaraženog računala • rekonstrukcija oštečenja na podacima

37. Koje su tehničke mjere sigurnosti?Postupci za nadziranje identificiranje otežavanje ulazak ili napuštanje štićenog prostora unutar kojeg se nalazi sadržaj ili oprema za pristup sadržaja uz primjenu nekih tehničkih sredstava.-bilo kakve mjere kojima se štiti prostor ili uređaj preko kojeg bi se moglo doći do materijalnog nositelja i podatkovnog sadržaja-ključ u bravi, politika praznog stola, ili praznog ekrana-ovisno o vrijednosti opreme postavljamo i različite vrste brava: magnetna kartica, čip ključ, nije dobro jer se indetificira materijalni nositelj a ne osoba, pasvorda, težina, šarenica oka, dnk, geometrija glave uha dlana.-nadzorni sustav (tel. kamere) ili sustav koji okidaju tihi ili glasni alarm, mogu biti kontaktni beskontaktni, kapacitativni da pokreću drugu mjeru zaštite fizičko stražarsku čuvarsku službu Zaključavanjem vrata, spuštanjem rešetki moramo kombinirati sa tehničkim to je prsten. I protupožarne mjere kako uzbunjivati i kako gasiti osjetljivu informatičku opremu

38. Koje su fizičke mjere sigurnosti IS?Fizičke mjere zaštite obuhvaćaju zaštitu računalne opreme, zgrade gdje je smještena,program medija za pohranu podataka, i komunikacijske opreme od uništenja, kontrolu pristupa, neovlaštenog mijenjanja sadržaja, požara, poplava, oluja, krađe itd.

10


Spada stražarsko čuvarska služba s jedne strane koja ima funkciju i nadzora kretanja osoba u štićenom prostoru njihove identifikacije i autentikacije. Drugo nakon detektiranja nedozvoljenog prisutnosti tehničkim sredstvima u štićenom prostoru eliminiraju tu prijetnju. Moramo kombinirati sa tehničkim to je prsten organizacijskih mjera zaštite i onda je zaštita iz oblasti prava.Spada i arhiktetonski smještaj važne informatičke opreme i materijalnih nositelja

39. Što podrazumijevamo pod organizacijskim mjerama sigurnosti IS?Organizacijske mjere poduzima poslovni sustav da bi osigurao željenu razinu funkcionalnosti sustava i integriteta podataka u uvjetima pretpostavljenih oblika prijetnji.

40. Navedite barem 4 klasa norme ISO 27002 i objasnite jednu po izboru! Politika sigurnosti ;

Sigurnosna politika je skup pravila, smjernica i postupaka koja definiraju na koji način informacijski sustav učiniti sigurnim i kako zaštititi njegove tehnološke i informacijske vrijednosti. Ona govori korisnicima što smiju raditi, što ne smiju raditi, što moraju raditi i koja je njihova odgovornost (određuje sankcije ukoliko se korisnik ne pridržava pravila određenih sigurnosnom politikom). Politikom ne određujemo na koji način zaštiti informacijski sustav već samo što zaštititi.

Organizacija informacijske sigurnosti; Upravljanje sigurnosnim incidentima ; Upravljanje kontinuitetom poslovanja;

41. Što sve smatramo pod pojmom „politika sigurnosti“ISpodrazumijevamo dokument kojim se u velikim poslovnim sustavima definiraju odgovornosti i prenošenja odgovornosti i nadalje izgradnje sustava sigurnosti i metode izgradnje/kod malih poslovnih sustava se dokumentom definiraju i mjere za svako pojedino radno mjesto koje treba realizirati ili se politika ugrađuje u statut kao popratni odnos poslovnog sustava prema sigurnosti informacijskog sustava.

Sigurnosnom politikom definirana su pravila koja se odnose na:· svu računalnu opremu institucije (hardver i softver),· osobe odgovorne za administraciju informacijskog sustava,· sve zaposlenike i korisnike sustava, odnosno osobe koje imaju pravo pristupa,· vanjske suradnike (npr. ovlaštene djelatnike zadužene za održavanje sustava).

42. Što su kontrole u okviru normi ISO 27002?Kontrola je sredstvo upravljanja rizikom, uključujući politike, procedure, smjernice, praksu ili organizacijske strukture, koje mogu biti administrativne, tehničke, upravne ili zakonodavne naravi. Kontrola se također koristi kao sinonim za zaštitu ili protumjeru.

43. Zašto je danas potrebna informacijska sigurnost?Zato što podrazumijeva osiguravanje povjerljivosti, dostupnosti (raspoloživosti) i cjelovitosti (integriteta) informacija. Dodatno mogu biti uključena i slijedeća svojstva: neporecivost, dokazivost, autentičnost i pouzdanost.

44. Koje su obveza uprave prema informacijskoj sigurnosti (6.1.1.)Obaveza uprave je da aktivno podržava sigurnost unutar organizacije pomoću jasnih uputa, obveza,izričitih imenovanja i prihvaćanja sigurnosnih odgovornosti.

a) definirat ciljeve I.S.

11


b) formulirat pregledat i odobrit politiku I.S.c) provjeriti učinkovitost i primjenu politike I.S.d) osigurat vođenje i podršku uprave sigurnosnim inicijativamae) osigurat potrebna sredstva I.S.f) odobrit i dodijelit određene zadatke i odgovornosti za I.S. u organizacijig) pokrenuti planove i programe za održavanje svijesti o I.S.h) osigurati koordinaciju primjene kontrola I.S. unutar organizacije

45. Što je to sporazumi o povjerljivosti i s kim se sve mora potpisati? (6.1.5.)Treba osigurati tajnost i povjerljivost informacija u pravnom smislu, zaposlenicima koji im imaju pristup i organizacijama sa kojima imamo dogovorenu suradnju.

46. Kada i zašto se mora provoditi nezavisna provjera informacijske sigurnosti? (6.1.8.)U planiranim intervalima i onda kada se dogode značajne promjene za primjenu sigurnosti. Pokreće ju uprava radi osiguranja kontinuirane prikladnosti, primjerenosti i učinkovitosti pristupa organizacije upravljanja I.S. ona treba procijeniti mogućnosti za poboljšanje i potrbu za promjenama u pristupu sigurnosti

47. Što sve čini rizike koji se odnose na vanjske suradnike? (6.2.1.)1. Oprema za obradu informacija kojoj trebaju pristupiti vanjski suradnici.2. Vrsta pristupa informaciji i opremi za obradu informacija koju će vanjski suradnici

imati, npr.a) Fizički pristup – uredima, računalnom odjelu , dokumentaciji;b) Logički pristup, bazi podataka org., informacijskim sustavima,c) Mrežno povezivanje između mreže organizacije i vanjskih suradnika (trajno

povezivanje ili udaljeni pristup)d) Pristup u samoj organizaciji ili izvana

48. Što je to vlasnik informacijske imovine i kako ga definirati?Vlasnik označava pojedinca ili grupu kojima je dodijeljena upravljačka odgovornost za kontrolu proizvodnje, razvoj, uporabu i sigurnost imovine, ali ne znači da ta osoba stvarno ima bilo kakva vlasnička prava nad imovinom, (7.1.2.)

49. Kako se osigurava sigurnost ljudskog potencijala?Tako da provjerimo sve kandidate za posao, ugovorne suradnike i korisnike treće strane u skladu sa važećim zakonima propisima i etikom, u skladu sa zahtjevima posla klasifikacijom informacijama kojima će se pristupati i mogućim rizicima. (8.1.1.)

50. Kako definirati granice fizičkog sigurnosnog prostora?Granice fizičkog sigurnosnog prostora trebaju biti jasno određene a položaji i snaga svake granice ovise o sigurnosnim zahtjevima imovine unutar granica i rezultatima procjene rizika i podrazumijeva se da budu fizički ispravne. (9.1.1.)

51. Na koje se sve načine može ostvariti kontrole fizičkog pristupa?(9.1.2)1. Evidentirati datum i vrijeme ulaska i izlaska posjetitelja, nadzirati ih, ako im pristup

nije prethodno odobren dozvolit im pristup samo za određene ovlaštene namjene i informirati ih o sigurnosnim zahtjevima područja i proceduri u slučaju nužde.

2. Pristup području se obrađuju i pohranjuju osjetljive informacije treba kontrolirati i ograničiti na ovlaštene osobe

3. Zaposlenici, suradnici i korisnici treće strane trebaju nositi vidljive identifikacije

12


4. Usluge osoba treće strane dozvoliti pristup samo kada je potrebno uz odobrenje i nadzor

5. Prava na pristup sigurnim područjima treba redovito provjeravat, obnavljat ili ako je potrebno ukinuti

52. Kako odabrati i osigurati smještaj opreme? (9.2.1.)Tako da ju zaštitimo od prijetnji okruženja i neovlaštenog pristupa

1. Smještajem na neupadljivo mjesto2. Radi smanjenja rizika od fizičkih prijetnji osiguramo kontrolu i fizičko osiguranje3. Reguliramo piće jelo i pušenje u blizini opreme4. Pratimo uvjete u okruženju radi njihovog utjecaja na rad opreme5. Primijenimo na objekt sa opremom zaštitu od groma i filtre za zaštitu od groma

53. Kako ostvariti sigurno odbacivanje ili ponovno korištenje opreme? (9.2.6.)Prije odbacivanja provjeriti i uvjeriti se da su dijelovi opreme koji sadrže medije za pohranu podataka uklonjeni ili obrisani svi osjetljivi podaci i softver ili fizički uništeni.Oštećeni uređaji sa osjetljivim podacima moraju proći procjenu rizika koja će odrediti da li je potrebno uređaje fizički uništiti umjesto slanja na popravak ili odbacivanje. 54. Koje su mjere kontrole za zaštitu od zloćudnog koda? (10.4.1.)Potrebno je primijeniti kontrole za otkrivanje, sprječavanje i oporavak od zloćudnog koda i procedure upozoravanja korisnika. Pritom softver koji koristimo mora biti licenciran provjeravan i redovito obnavljan. Isto tako treba provjeriti sve datoteke ili optičke medije i datoteke primljene preko mreže prije njihove upotrebe. Provjeriti dodatke elektroničkoj pošti i datoteke preuzete s drugih računala prije uporabe, kao i web stranice. Isto tako treba se informirat o novim zloćudnim kodovima. Svi djelatnici moraju biti svjesni problema koje donosi zloćudni kodovi i što učiniti kada ih prime.

55. Koje su smjernice norme ISO27002 u odnosu na elektroničku trgovinu?(10.9.1.)Trebaju sadržavat

1. razinu povjerenja koju zahtjeva svaka strana2. procese ovlaštenja tko što može raditi na dokumentu3. osiguranje informiranosti partnera o njihovim ovlaštenjima4. uskladit se sa zahtjevima za povjerljivošću, cjelovitošću, dokazom isporuke i prijema

dokumenta te nepovredivost ugovora5. vjerodostojnost istaknutih cijena6. povjerljivost osjetljivih podataka ili informacija7. povjerljivost i vjerodostojnost narudžbe, informacija o plaćanju,8. stupanj provjere informacija o plaćanju od strane kupca9. povjerljivost i vjerodostojnost informacija o naručivanju10. izbjegavanje gubitka ili umnožavanja informacija o transakciji 11. odgovornost za bilo kakve lažne transakcije12. zahtjeve police osiguranja

Aktivnosti elektroničke trgovine između partnera trebaju biti dokumentirane sporazumom koji obvezuje obje strane na dogovorene uvjete.

56. Koje su smjernice norme on-line transakcije? (10.9.2) upotreba elektroničkog potpisa strana uključenih u transakciju transakcija treba osigurati – valjane i provjerene podatke svih strana, povjerljivost

transakcije i očuvanje privatnosti svih uključenih

13


kriptiranje komunikacijskih putova svih strana sigurnost protokola koji se koristi u komunikaciji detalji o transakciji trebaju biti pohranjeni izvan javno dostupnog okruženja

57. Koje su politika kontrole pristupa?(11.1.1.)Trebaju biti jasno određena i trebaju uključivati sljedeće:

sigurnosne zahtjeve pojedinih poslovnih aplikacija određivanje svih informacija vezanih uz aplikacije i rizike kojima su informacije

izložene politike pružanja informacija i ovlaštenja (7.2.) dosljednost između politike kontrole pristupa i politike klasifikacije informacija

različitih sustava i mreža odgovarajuće zakonske i ugovorne obveze u vezi zaštite pristupa podacima ili

uslugama (15.1)

58. Kako se provodi upravljanje korisničkim zaporkama? (11.2.3.)Kontroliranim dodjeljivanjem zaporki, proces treba sadržavati sljedeće zahtjeve:

od korisnika se može zahtijevat potpisivanje izjave o čuvanju zaporki održavanje zaporke tako što će privremenu odmah promijeniti odredit proceduru za potvrdu identiteta prije izdavanja nove zamjenske ili privremene

zaporke privremene zaporke izdavat na siguran način, izbjegavat treću stranu i nezaštićenu e-

poštu privremene zaporke moraju biti jedinstvene za svakog pojedinca korisnik treba potvrditi prijem zaporke zaporku ne pohranjivati u računalni sustav nezaštićene početne zaporke isporučitelja promijeniti nakon instalacije sustava ili softvera

59. Što su politike praznog stola i praznog zaslona? (11.3.3.) osjetljive poslovne informacije na papiru ili e-medijima za pohranjivanje trebaju biti

pod ključem, naročito kad je uredu nema nikoga računala i terminali bez nadzora moraju biti odjavljeni ili zaštićeni mehanizmom za

blokiranje zaslona i tipkovnice zaporkama ili drugim kontrolama mjesta prijema i slanja e-pošte i faksimil aparati bez operatera trebaju biti zaštićeni spriječiti neovlaštenu upotrebu fotokopirnih uređaja i ostale tehnologija reprodukcije potrebno je sa pisaća odmah ukloniti dokumente koji sadrže osjetljive ili klasificirane

informacije

60. Koje su politike uporabe kriptografskih kontrola? (12.3.1.)Potrebno je razviti i primijeniti upotrebe kriptografskih metoda radi zaštite informacija

pristup uprave uporabi kriptografskih u organizaciji kontrola uključuje opća načela za zaštitu poslovnih informacija (5.1.1.)

na osnovi procjene rizika treba odrediti razinu zaštite uporabu kriptiranja za zaštitu osjetljivih informacija koje se prenose pomoću medija,

uređaja ili komunikacijskih linija pristup upravljanu ključevima, uključujući metode zaštite kriptografskih ključeva i

obnove kriptiranih informacija ključeva funkcije i odgovornosti za primjenu ključeva i primjenu politike (12.3.2.) prihvaćanje standarda za učinkovitu primjenu u cijeloj organizaciji

14


utjecaj uporabe kriptiranih informacija na kontrole koje se oslanjaju na ispitivanje sadržaja

61. Kako se ostvaruje upravljanje ključevima? (12.3.2.)Upravljanje ključevima se zasniva na utvrđenoj grupi standarda procedura i sigurnih metoda:

generiranje ključeva za različite kriptografske sustave i različite aplikacije generiranje i ovjeravanje javnog ključa distribucija ključeva korisnicima, uključujući način aktiviranja ključeva nakon prijema pohranjivanje ključeva, i način na koji ovlašteni korisnici mogu pristupiti ključevima promjena ili obnavljanje ključeva, i pravila kada i na koji način treba promijeniti ključ postupak s otkrivenim ključevima, poništenje ključeva, njihovo povlačenje deaktiviranje

62. Procedure za kontrolu promjene elemenata IS! (12.5.1.)Potrebno je dokumentirati i primijeniti formalne procedure za kontrolu promjene radi smanjenja mogućnosti ugrožavanja I.S., nove sustave i veće promjene popratiti dokumentima specifikacija, ispitivanja, kontrole kvalitete i kontrolirane primjene.

63. Kako organizirati izvješćivanje o sigurnosnim događajima i slabostima? (13.1)Tako da sve zaposlene, ugovorne suradnike i korisnike treće strane upoznamo sa njihovom odgovornošću da izvijeste o sigurnosnom događaju što prije moguće i upoznamo sa procedurama za izvješćivanje o različitim vrstama događaja i slabostima koje mogu utjecat na sigurnost organizacijske imovine

64. Kako ostvariti upravljanje sigurnosnim incidentima i poboljšanjima? (13.2.)Moramo osigurat dosljedno i učinkovito pristupanje upravljanju sigurnosnim incidentima, potrebno je usvojiti određene odgovornosti i procedure, primijeniti proces neprestanog poboljšavanja na odgovor, nadzor, vrednovanje i ukupno upravljanje sigurnosnim incidentima. Kad je potreban dokaz treba ga prikupit u skladu sa zakonskim propisima.

65. Kako se ostvaruje prikupljanje dokaza o sigurnosnom incidentu? (13.2.3.)Kod prikupljanja i predstavljanja dokaza potrebno je razviti proceduru i pridržavati se istih radi postizanja prihvatljivosti dokaza, organizacija treba osigurat usklađenost svojih informacijskih sustava sa standardima i kodeksima postupaka za generiranje prihvatljivih dokaza.Pravila za dokaz uključuju :

a) prihvatljivost dokaza ( da li se može koristiti u sudnici)b) težina dokaza (kvaliteta i cjelovitost dokaza)

66. Što je to kontinuitet poslovanja i procjena rizika u odnosu na ostvarivanje kontinuiteta poslovanja? (14.1.2.)Kontinuitet poslovanja je kad ne dolazi do prekida poslovnog procesa i poslovanja. Procjena rizika se obavlja uz suradnju s vlasnicima sredstva i procesa, treba razmotriti sve procese i uključiti rezultate koji se odnose na iformacijsku sigurnost. Procjena treba prepoznati i vrednovati i odrediti prioritete rizika prema kriterijima i ciljevima organizacije uključujući ključna sredstva, utjecaje prekida, dozvoljeno vrijeme ispada i prioritete oporavka.

67. Što podrazumijevamo pod pojmom sukladnost sa zakonskim propisima? (15.1.) To znači da moramo odrediti i primjenjivat zakone u postupku projektiranja funkcije uporabe i upravljanja I.S.

15


prava intelektualnog vlasništva zaštitu organizacijskih zapisa zaštitu podataka i privatnosti osobnih informacija sprječavanje zlouporabe opreme za obradu informacija odredbe o kriptografskim kontrolama

To je metoda evaluacije sigurnosti računalnih sustava simuliranjem napada zlonamjernog korisnika, pritom se traže mogući propusti u dizajnu implementaciji i održavanju, te izrada izvještaja uz ocjenu vjerojatnosti i mogućih posljedica te prijedloga za smanjivanje rizika.

69. Što je SSL i zašto nam je potreban?SSL je višenamjenski protokol za slanje kriptiranih informacija preko Interneta. To je zapravo sloj dodan između TCP/IP protokola i aplikacijskog sloja.Potrban nam je za zaštitu komunikacija preko Internet-a gdje osigurava privatnost, autentičnost i integritet poruka koje se prenose između dvije strane

SSL se koristi pri prijenosu osjetljivih informacija ( e-mail poruke, privatneinformacije ), ali i za obavljanje sigurnih transakcija preko Internet-a ( prijenosbrojeva kreditnih kartica, elektroničkog novca - elektroničko plaćanje )

SSL - Secure Socket Layer ili SET-Secure Electronic Transaction -sigurnosni protokol koji omogućava enkripciju i provjeru digitalnih isprava.

70. Koji su zahtjevi vezani uz sigurnost radne stanice na razini operacijskog sustavaOsim fizičke sigurnosti računalne imovine imamo:

autentifikacija kriptografija sustav vlasništva nad datotekama u datotečnom sustavu sigurna komunikacija anti virusni alati vatrozid sustav detekcije upada

71. Što je Phishing? Kako možemo otkriti Phishing?Phishing je tehnika internetske prijevare koju kriminalci koriste kako bi korisnika interneta namamili na otkrivanje osobnih informacija.

72. Što je DDoS, te kako se štitimo od njega?Distributed Denial of Service DDos -distribuirano uskraćivanje usluga je napad koji se izvodi istodobnim slanjem velike količine podataka ili upita, najčešće s većeg broja računala, nekom udaljenom računalnom sustavu (hostu ili serveru)kako bi se otežalo ili onemogućilo njegovo normalno korištenje).

73. Što je LDAP i zašto je bitanStandard na internetu koji računalu klijentu ili radnoj stanici, preko TCP/IP mreže omogućuje pregledavanje i uporabu elektroničke pošte na LDAP računalu poslužitelju. 74. Zašto nam je potrebna računalna forenzika, te koji su glavni postupci prilikom forenzičkog rada?

16


Računalna forenzika bavi se pronalaženjem dokaza i oporavkom podataka, istraživanjem i analizom korisnikovih radnji na računalu koje uključuju korištenje web preglednika. Potrebna nam je za sakupljanje dokaza u nekom slučaju koko bi dokazi otkriveni tijekom istrage bili prihvaćeni na sudu.Postupci:

priprema alata i opreme za forenzički postupak kopiranje podataka na drugu lokaciju i pohrana orginalnih izdvajanje dokaza analiza i ispitivanje dokaza izrada izvještaja o nalazima

http://security.lss.hr/documents/Forenzika.html

http://security.lss.hr/documents/Forenzika.html

Documents

Sis Odgovori