Implementirati stroge mjere kontrole pristupa

Izvor: SIS Wiki
Skoči na: orijentacija, traži

PCI-DSS Norma, sukladnost sa PCI-DSS normom

Područje, koje se bavi implementacijom mjera kontrole pristupa ima tri zahtjeva.


Sadržaj

7. zahtjev: Ograničiti pristup kartičnim podacima po principu „onoliko koliko moraju znati“

Kako bi osigurali da pristup osjetljivim podacima ima samo autorizirano osoblje sustavi i procesi moraju biti postavljeni tako da ograničavaju pristup po principu onoliko koliko moraju znati te ovisno o osobinama i funkcijama posla koji obavljaju. Onoliko koliko moraju znati je princip odobravanja pristupa samo u onoj mjeri u kojoj je dovoljno da se posao uspješno obavi.Detaljno opisan zahtjev je u tablici 7.

Tablica 7. Detaljni opis 7. zahtjeva (prema PCI Security Standards Council LLC, 2010a, str. 44 - 45)

PCI DSS zahtjevi

Procedure testiranja

7.1. Ograničiti pristup sustavskim komponentama i korisničkim podacima samo onim osobama čiji posao zahtjeva takvu vrstu pristupa. Ograničenja pristupa moraju uključivati sljedeće:

7.1 Primiti i ispitati pisanu policu o kontroli podataka te provjeriti dali polica podliježe sljedećim stavkama:

7.1.1 Ograničavanje prava pristupa za privilegirane korisničke ID-ove tako da im se dodjele minimalna prava pristupa dovoljna da uspješno izvrše svoju zadaću

7.1.1 Potvrditi da su prava pristupa za privilegirane korisničke ID-ove ograničena na minimalna dovoljna za uspješno obavljanje poslovnih obaveza

7.1.2 Dodjela privilegija osobama bazira se na osobinama i funkcijama posla koji obavljaju.

7.1.2 Potvrditi da su privilegije dodjeljene individualcima po osobinama i funkcijama posla koji obavljaju. (još zvano: „role-based acces control“ ili RBAC)

7.1.3 Zahtjev za dokumentirano odobrenje od strane zadužene za specificiranje potrebnih privilegija.

7.1.3 Potvrditi da je dokumentirano odobrenje od strane zadužene za specificiranje potrebnih privilegija neophodno za sve vrste pristupa, i da mora specificirati potrebne privilegije.

7.1.4 Implementacija automatiziranog sustava kontrole pristupa

7.1.4 Potvrditi da je kontrola pristupa implementirana putem sustava za kontrolu pristupa

7.2 Formirati sustav kontrole pristupa za sustavske komponente sa više korisnika koji ograničava pristup po pravilu koliko korisnik mora znati, te je postaljen na onemogući sve osim ukoliko nije drugačije naznačeno. Sustav kontrole pristupa mora sadržavati:

7.2 Provjeriti postavke sustava i dokumentaciju trgovca kako bi verificirali da je sustav kontrole pristupa implementiran na sljedeći način:

7.2.1 Pokrivenost svih sustavskih komponenti

7.2.1 Potvrditi da je sustav kontrole pristupa određen za sve komponente sustava.

7.2.2 Dodjela privilegija individualcima na temelju osobina i funkcija posla koji obavljaju

7.2.2 Potvrditi da je sustav kontrole pristupa konfiguriran tako da se primjenjuje pri dodjeli privilegija pristupa individualcima na temelju osobina i funkcija posla koji obavljaju.

7.2.3 Zadane  „onemogući sve“ (deny-all) postavke

7.2.3 Potvrditi da je sustav kontrole pristupa zadano postavljen na onemogući sve postavke.


8. zahtjev: Dodjela jedinstvenog ID-a svakoj osobi koja ima pristup računalu

Dodjela jedinstvenog identifikatora (ID) svakoj osobi koja ima pristup računalu omogućava da svaka osoba odgovara za postupke i akcije koje napravi. Takva odgovornost omogućava da se poduzete akcije na podacima i sustavu mogu pratiti i nadgledati te u svakom trenutku znati koji je korisni što radio nad podacima.

Tablica 8. Detaljni opis 8. zahtjeva (prema PCI Security Standards Council LLC, 2010a, str. 46 - 50)

PCI DSS zahtjevi

Procedure testiranja

8.1 Svim korisnicima dodjeli jedinstveni identifikator (ID) prije nego im se dodjeli pristup sustavskim komponentama i kartičnim podacima.

8.1 Verificirati da svi korisnici imaju dodjeljen jedinstven identifikator (ID) kako bi pristupili sustavskim komponentama i kartičnim podacima.

8.2 Prilikom dodjeljivanja jedinstvenog identifikatora (ID) treba koristiti barem jednu od navedenih metoda kako bi identificirali sve korisnike:

  • nešto što znaš, npr. lozinka
  • nešto što posjeduješ, token uređaj ili pristupna kartica
  • nešto što te opisuje, biometrija

8.2 Verificirati da su korisnici identificirani putem jedinstvenog identifikatora (ID) i dodatne autorizacije npr. lozinka, za pristup okolini kartičnih podataka provedeni na sljedeći način:

  • Usvojiti ispitati dokumentaciju koja opisuje metode korištene za autorizaciju.
  • Za svaku metodu autentikacije i za svaku komponentu sustava podržavati autentikaciju kako bi provjerili dali je  autentikacija funkcijski konzistentna sa metodoma autentikacije koja je navedena u dokumentaciji.

8.3 Uključiti dvo-faktornu autentikaciju za pristup mreži od strane korisnika, administratora i trećih strana. Dvo-faktorna autentikacija zahtjeva korištenje dvije različite metode prilikom autentikacije npr. (dial-in servis) RADIUS, (terminal access controller access control system) TACACS...

8.3 Da bi provjerili dali je dvo-faktorna autentikacija implementirana prilikom pristupa preko mreže promatramo/testiramo nekog zaposlenika npr. administratora tako da se spaja na mrežu i provjeravamo da se prilikom autentikacije mora koristiti sa dvije različite metode autentikacije.

8.4 Učiniti sve lozinke ne čitljivim tijekom prijenosa i pohrane na svim komponentama sustava koristeći jaku kriptografiju.

8.4 .a Na uzorku sustavskih komponenti ispitati datoteke koje sadrže lozinke kako bi se verificirala ne čitljivost lozinki tijekom prijenosa i pohrane.

8.4.b Samo za davatelje usluga provjeravaju se datoteke sa lozinkama kako bi se provjerilo dali su korisničke lozinke kriptirane.

8.5 Omogučiti odgovarajuću identifikaciju i autorizacijski menadžment za osobe koje nisu korisnici te administratore za sve komponente sustava na sljedeći način:

8.5 Pregledati procedure i ispitati osoblje kako bi verificirali da su implementirane procedure za korisničku identifikaciju i autentikacijski menadžment na sljedeći način:

8.5.1 Kontrola dodavanja, brisanja i modificiranja korisničkih jedinstvenih identifikatora (ID), njihovih akreditiva i ostalih identifikatorskih objekata

8.5.1 Odabrati uzorak korisničkih identifikatora (ID) tako da uzorak uključuje i administratore i „obične“ korisnike. Provjeriti da je svaki korisnik ovlašten koristit sustav prema politici koja podliježe sljedećem:

  • Primiti i provjeriti autorizacijsku formu za svaki jedinstveni identifikator (ID)
  • Provjeriti dali su identifikatori (ID) iz uzorka implementirani po uzoru na autorizacijsku formu. Praćenjem informacija iz autorizacijske forme sve do sustava.

8.5.2 Provjeriti korisnički identitet prije provođenja resetiranja lozinke.

8.5.2 Provjeriti procedure autentikacije/lozinki te dodijeliti osoblje koje će kontrolirati i provjeravati korisnikov identitet  ukoliko korisnički zahtjev za promjenom lozinke dođe putem telefona, e-maila,web-a ili neke druge metode koja ne uključuje korisnikovu osobnu pojavu.

8.5.3 Postavi jednokratne jedinstvene lozinke za prvo korištenje koje će se izmjeniti odmah nakon njihove prve upotrebe.

8.5.3 Provjeriti procedure lozinke te zadužiti sigurnosno osoblje koje će provjeravati jednokratne lozinke za nove korisnike te vršiti izmjenu i resetiranje lozinki za postojeće korisnike da bi svi korisnici imali jedinstvene lozinke i da budu promjenjene nakon prvog korištenja.

8.5.4 Za bilo kojeg terminiranog/obrisanog korisnika odmah treba ukinuti pristup

8.5.4 Odabrati uzorak korisnika koji su terminirani u posljednjih 6 mjeseci te pregledati trenutnu listu korisnika kako bi utvrdili dali su njihovi identifikatori obrisani ili deaktivirani.

8.5.5 Obriši ili deaktiviraj neaktivne korisničke račune barem svakih 90 dana.

8.5.5 Provjeriti da svi korisnički računi  koji su neaktivni više od 90 dana budu izbrisani ili deaktivirani.

8.5.6 Omogući korisničke račune trgovcima samo u vremenu kada je to potrebno. Nadgledaj korisničke račune dodjeljene trgovcima kada su u uporabi.

8.5.6.a Provjeriti da korisničkim računima koji su dodjeljeni trgovcima bude onemogućen pristup, podrška i pružanje komponenti sustava te da im se to omogući samo onda kada se stvori potreba od strane trgovca.

8.5.7 Predočiti procedure autentikacije i politike svim korisnicima koji imaju pristup kartičnim podacima.

8.5.7 Ispitati određen uzorak korisnika koji imaju jedinstveni identifikator (ID) kako bi se utvrdilo da su upoznati sa procedurama autentikacije i politike.

8.5.8 Ne koristiti grupe, dijeljenje ili generičke korisničke račune i lozinke ili bilo koje druge autentikacijske metode

8.5.8.a Na uzorku komponenti sustava ispitati listu korisničkih jedinstvenih identifikatora (ID) da bi utvrdili sljedeće:

  • Generički korisnički identifikatori i korisnički računi su deaktivirani ili obrisani
  • Grupni identifikatori za aktivnosti sustavskog administriranja i ostalih kritičnih funkcija ne postoje.
  • Grupni i generički korisnički identifikatori se ne koriste za administriranje sustavskih komponenti.

8.5.8.b Provjeriti politiku i procedure autentikacije kako bi provjerili da su grupa i dijeljene lozinke ili druge autentikacijske metode izričito zabranjene.

8.5.8.c Ispitati sustavskog administratora kako bi utvrdili da grupa i dijeljene lozinke ili druge autentikacijske metode ne budu distribuirane čak i ako su zatražene.

8.5.9 Promijeniti korisničke lozinke barem svakih 90 dana.

8.5.9.a Na uzorku sustavskih komponenti treba provjeriti konfiguraciju sustavskih postavki kako bi verificirali da se zahtjeva promjena lozinke svakih 90 dana.

8.5.9.b Za pružatelje usluga pregledati interne procese i korisničku dokumentaciju kako bi verificirali da se lozinke moraju mijenjati periodično te da su korisnicima dane upute kada i kako te pod kojim okolnostima lozinke treba mijenjati.

8.5.10 Zahtjevati minimalnu duljinu lozinke od barem 7 znakova.

8.5.10.a Na uzorku sustavskih komponenti treba provjeriti konfiguraciju sustavskih postavki kako bi verificirali da se zahtjeva minimalno 7 znakova za duljinu lozinke.

8.5.10.b Za pružatelje usluga, pregledati interne procese i dokumentaciju kako bi verificirali da lozinke podliježu zahtjevu o minimalnom broju znakova.

8.5.11 Koristiti lozinke koje sadrže slova i brojke.

8.5.11.a Na uzorku sustavskih komponenti treba provjeriti konfiguraciju sustavskih postavki kako bi verificirali da se zahtjeva da lozinka sadrži slova i brojke.

8.5.11.b b Za pružatelje usluga, pregledati interne procese i dokumentaciju kako bi verificirali da lozinke podliježu zahtjevu o sadržavanju slova i brojki.

8.5.12 Ne dozvoliti korisniku da prilikom izmjene opet postavi istu lozinku koju trenutno ima ili bilo koju od zadnje 4 koje je koristio ranije.

8.5.12.a Na uzorku sustavskih komponenti treba provjeriti konfiguraciju sustavskih postavki kako bi verificirali da se zahtjeva da se prilikom izmjene lozinke ne može postaviti jedna od zadnje 4 lozinke koje je korisnik koristio ranije.

8.5.12.b  Za pružatelje usluga, pregledati interne procese i dokumentaciju kako bi verificirali da lozinke podliježu zahtjevu da se prilikom izmjene lozinke ne može postaviti jedna od zadnje 4 lozinke koje je korisnik koristio ranije.

8.5.13 Limitirati uzastopni broj pokušaja ostvarivanja pristupa blokiranjem korisničkog identifikatora nakon više od 6 pokušaja.

8.5.13.a Na uzorku sustavskih komponenti treba provjeriti konfiguraciju sustavskih postavki kako bi verificirali da se nakon 6 uzastopnih ne uspjelih pokušaja ostvarivanja pristupa korisnički račun blokira.

8.5.13.b Za pružatelje usluga, pregledati interne procese i dokumentaciju kako bi verificirali da lozinke podliježu zahtjevu da se nakon 6 uzastopnih ne uspjelih pokušaja ostvarivanja pristupa korisnički račun blokira.

8.5.14 Postaviti blokiranje korisničkog računa u trajanju od minimalno 30 minuta ili dok administrator ne omogući ponovno korištenje korisničkog identifikatora.

8.5.14.a Na uzorku sustavskih komponenti treba provjeriti konfiguraciju sustavskih postavki kako bi verificirali da nakon blokiranja korisničkor računa on ostaje blokiran minimalno 30 minuta ili dok sustavski administrator ne omogući korištenje korisničkog računa.

8.5.15 Ako je sesija neaktivna više od 15 minuta zahtjevati korisnikovu ponovnu autentikaciju kako bi obnovio sesiju ili terminal.

8.5.15 Na uzorku sustavskih komponenti treba provjeriti konfiguraciju sustavskih postavki kako bi verificirali da je neaktivno vrijeme sesije postavljano na 15 minuta ili manje.

8.5.16 Autentificirati sve pristupe bazi podataka koja sadrži kartične podatke. To uključuje pristupe aplikacija, administratora i svih drugih korisnika. Ograničiti direktan pristup korisnicima ili izvršavanje upita na bazi podataka administratorima baze podataka.

8.5.16.a Pregledati konfiguracijske postavke baze podataka i aplikacije i verificirati da su svi korisnici autentificirani prije omogućavanja pristupa.

8.5.16.b Pregledati konfiguracijske postavke baze podataka i aplikacije kako bi omogućili svim korisnicima pristup bazi te upite i akcije nad njom samo preko programskih metoda.

8.5.16.c Pregledati konfiguracijske postavke baze podataka i aplikacije kako bi ograničili/onemogučili direktan pristup bazi ili postavljanje upita nad njom.

8.5.16.d Pregledati identifikatore aplikacija zadužene za bazu podataka i ostale identifikatore bliskih aplikacija kako bi utvrdili da samo aplikacije mogu koristit njima pridjeljene identifikatore, te da ne postoji mogućnost da budu korištene od strane individualnih korisnika ili procesa.

 


9. zahtjev: Ograničiti fizički pristup kartičnim podacima

Bilo kakav fizički pristup podacima ili sustavu koji sadrži kartične podatke omogućava individualnim osobama pristup uređajima ili podacima te im omogućava njihovo brisanje što treba strogo zabraniti. Detaljni opis zahtjeva s procedurama za testiranje je u tablici 9.

Tablica 9. Detaljni opis 9. zahtjeva (prema PCI Security Standards Council LLC, 2010a, str. 51 - 54)

PCI DSS zahtjevi

Procedure testiranja

9.1 Koristiti odgovarajuću kontrolu ulaza da bi se ograničio i nadgledao fizički pristup sustavu i okolini kartičnih podataka.

9.1 Verificirati postojanost sigurnosnih fizičkih kontrola za svaku računalnu sobu, podatkovne centre ili druge fizičke prostore koji sadrže sustavsku ili kartičnu okolinu.

  • Provjeriti da je pristup kontroliran čitačima iskaznica ili drugim uređajima uključujući autorizirane iskaznice te brave i ključeve.
  • Nadgledati pokušaj pristupa sustavskog administratora konzoli za nasumično odabrane sustave u kartičnom okruženju i verificirati da je sve zaključano kako bi sprečili ne autorizirano korištenje.

9.1.1 Koristiti video kamere i/ili mehanizmi za kontrolu pristupa kako bi nadgledali osjetljiva područja (podatkovni centri, server centri...). Pregledati prikupljene podatke i usporediti sa ostalim ulazima. Sačuvati prikupljene podatke barem 3 mjeseca osim ukoliko drugačije nije ograničeno zakonom.

9.1.1.a Provjeriti da su video kamere i/ili mehanizmi za kontrolu pristupa na odgovarajućem mjestu kako bi nadgledali ulazne/izlazne točke osjetljivog područja.

9.1.1.b Provjeriti da su video kamere i/ili mehanizmi za kontrolu pristupa zaštićeni od oštečivanja ili isključivanja.

9.1.1.c Provjeriti da se video kamere i/ili mehanizmi za kontrolu pristupa nadziru te da se podaci sa kamera i drugih meganizama čuvaju barem 3 mjeseca.

9.1.2 Ograničiti fizički pristup priključcima koji su dostupni javnosti.

Npr. područja kojima posjetitelji imaju pristup nebi smjela imati omogućen mrežni priključak osim ukoliko mrežni pristup nije autoriziran.

9.1.2 Ispitivanjem mrežnog administratora provjeriti dali su mrežni priključci omogućeni samo internom osoblju (zaposlenicima) kada im je to potrebno. Te verificirati da se ostali korisnici koji imaju pristup aktivnim mrežnim priključcima nadziru.

9.1.3 Ograničiti fizički pristup bežičnim pristupnim točkama, pristupnicima, i mrežnim uređajima i telekomunikacijskim linijama

9.1.3 Ispitati dali je fizički pristup bežičnim pristupnim točkama, pristupnicima, mrežnim uređajima i telekomunikacijskim linijama prikladno ograničen.

9.2 Raziviti procedure za lako prepoznavanje ovlaštenog i neovlaštenog osoblja, posebno u okruženjima gdje postoji pristup kartičnim podacima.

9.2.a Pregledati procese i procedure za dodjeljivanje propusnica za ovlašteno osoblje i posjetioce, te provjeriti dali su podržane sljedeće točke:

  • dodjeljivanje novih propusnica
  • mjenjanje pristupnih zahtjeva
  • odbiti terminirano ovlašteno osoblje i posjetioce sa propusnicom koja nije aktivna

9.2.b Provjeriti da je sustav propusnica dostupan samo autoriziranom osoblju.

9.2.c Ispitati funkcionalnost propusnica/iskaznica kako bi utvrdili da se lako može prepoznati ovlašteno osoblje i posjetioci.

9.3 Osigurati da svi posjetioci budu tretirani na sljedeći način:

9.3 Provjeriti dali su kontrole posjetitelja postavljene na sljedeći način:

9.3.1 Autorizirani prije ulaska u okruženje gdje se kartični podaci skladište ili obrađuju.

9.3.1 Provjeriti korisnikov identifikator (ID) sa iskaznice kako bi utvrdili dali njegov identifikator ima ograničenje fizičkog  pristupa okolini u kojoj se nalaze kartični podaci.

9.3.2 Dodjeljena fizička oznaka (kartica/propusnica/iskaznica) sa određenim vremenom djelovanja kako bi mogli identificirati posjetioca kao ne ovlašteno osoblje.

9.3.2.a Provjeriti osoblje unutar objekta kako bi utvrdili da koriste svoje identifikacijske oznake, te da se posjetioci mogu jednostavno raspoznati od ovlaštenog osoblja.

9.3.2.b Provjeriti dali je identifikacijska oznaka posjetioca istekla

9.3.3 Zahtjevati predaju fizičke identifikacijske oznake prije napuštanja objekta ili na dan kada oznaka prestaje biti aktivna.

9.3.3 Provjeriti da posjetioci koji napuštaju objekt budu zatraženi da predaju svoju identifikacijsku oznaku zbog odlaska ili zbog isteka aktivnosti oznake.

9.4 Napraviti zapisnik o posjetiocu kako bi imali fizički zapis o aktivnostima posjetioca. Dokumentirati ime posjetioca, poduzeće koje zastupa te ovlašteno osoblje koje je izdalo autorizirani fizički pristup posjetitelju. Sačuvati zapisnik minimalno 3 mjeseca osim ukoliko drugačije nije određeno zakonom.

9.4.a Provjeriti da se zapisnik o posjetiocu koristi kako kod ulaska u objekt tako i kod fizičkog pristupa računalnim sobama i podatkovnim centrima gdje se kartični podaci obrađuju i spremaju.

9.4.b Provjeriti da zapisnik sadrži ime posjetitelja, ime tvrtke koju zastupa i ime ovlaštene osobe koja je posjetiocu dodjelila autorizirani fizički pristup, zapisnik treba čuvati minimalno 3 mjeseca.

9.5 Skladištiti sigurnosne kopije na osiguranu lokaciju, poželjno izvan objekta u kojem su podaci nastali, kao npr. posebni objekti za skladištenje podataka. Provjeravati sigurnost lokacije minimalno jednom godišnje.

9.5.a Provjeriti da je fizička lokacija spremišta sigurna kako bi verificirali da je osigurana sigurnost podataka.

9.5.b Provjeriti da se sigurnost fizičke lokacije provjerava barem jednom godišnje.

9.6 Fizički zaštititi sve medije

9.6 Provjeriti da procedure zaštite kartičnih podataka uključuju i kontrolu fizičke sigurnosti svih medija, uključujući računala, prijenosne memorije, papire i sva ostala sredstva za prijenos i pohranu podataka.

9.7 Održavati strogu kontrolu unutarnje i vanjske distribucije medija uključujući sljedeće:

9.7 Provjeriti postojanje politike o kontroli distribucije medija te da politika pokriva sve distribuirane medije uključujući i one distribuirane od strane individualaca.

9.7.1 Klasificirati podatke kako bi mogli odrediti razinu tajnosti podataka.

9.7.1 Provjeriti da su svi podaci klasificirani kako bi se mogla odrediti razina tajnosti podataka.

9.7.2 Slanje medija treba vršiti preko sigurnog dostavljača ili neke druge dostavljačke metode koja se može sa preciznošću pratiti.

9.7.2 Provjeriti da su svi mediji koji se šalju izvan objekta uvedeni u zapisnik i autorizirani od strane menadžmenda te poslani preko sigurnog dostavljača ili druge dostavljačke metoda koja se može sa preciznošću pratiti.

9.8 Utvrditi da je menadžment odobrio premještanje medija iz sigurnog okruženja, pogotovo kada se podaci distribuiraju preko individualaca.

9.8 Uzeti uzorak nedavnih zapisnika o pračenju medija izvan ojekta te provjeriti dali zapisnik sadrži sve potrebne detalje praćenja kao i odgovarajuću autorizaciju menadžmenta.

9.9 Održavati strogu kontrolu nad spremištem podataka i pristupačnosti medija

9.9 Ispitati politiku kontrole spremišta i održavanja medija te provjeriti da politika zahtjeva periodičnu inventuru medija.

9.9.1 Održavati odgovarajuću provjeru zapisnika o medijima te provoditi provjere minimalno jednom godišnje.

9.9.1 Prikupiti i provjeriti zapisnike o medijima kako bi utvrdili da se provjere provode periodično barem jednom godišnje.

9.10 Uništiti medije koji više nisu potrebni za poslovanje ili pravne regulative na sljedeći način:

9.10 Provjeriti da politika periodičnog uništavanja medija pokriva sve medije na sljedeći način:

9.10.1 Izrezati, spaliti ili samljeti sve fizičke materijale tako da se kartični podaci ne mogu ponovno rekonstruirati.

9.10.1.a Provjeriti da su fizički materijali uništeni toliko da sa razumnom sigurnošću možemo zaključiti da se podaci ne mogu ponovno rekonstruirati.

9.10.1.b Provjeriti da kontejneri u kojima se skladište materijali za uništenje budu osigurani tako da nitko ne može doći do materijala koji se nalaze unutar kontejnera.

9.10.2 Nepovratno uništiti podatke sa elektroničkih medija kako ih nebi bilo moguće rekonstruirati.

9.10.2 Provjeriti da su podaci sa elektroničkih medija nepovratno uništeni pomoću odgovarajućeg sigurnosnog programa za brisanje podataka koji podliježe standardima o sigurnosnom brisanju podataka. U suprotnom treba fizički uništiti medij, npr. demagnetiziranjem.

PCI-DSS Norma, sukladnost sa PCI-DSS normom

obradio Marbaresi 11:44, 5. siječnja 2012. (CET)

Osobni alati
Imenski prostori
Inačice
Radnje
Orijentacija
Traka s alatima