SIS Baza znanja
Baza znanja je kolaborativna skripta za kolegij SIS. Sadržaj na ovoj stranici nije dovoljan za pripremanje ispita ili kolokvija
Baza znanja se čita od strane asistenta i na njoj se mogu ispraviti uočene nepravilnosti i krive informacije
Osnove:
1. Što je sigurnost?
Sigurnost je niz mjera i postupaka koji se poduzimaju u cilju osiguranja funkcionalnosti poslovnog sustava u produkcijskim uvjetima.
Informacijska sigurnost je zaštita informacija od velikog broja prijetnji radi osiguranja kontinuiteta poslovanja, smanjenja poslovnog rizika i povećanja prihoda od investicija i poslovnih prilika.
2. Koji je odnos sigurnosti i zaštite informacijskog sustava?
Zaštita informacijskog sustava dopunjuje sigurnost kao niz mjera i postupaka kojima se smanjuje razlika rizika od dodatnih uočenih ili pretpostavljenih izvora i oblika prijetnje. Ona zavisi od procjene značaja podatkovnog sadržaja, koja je podložna promjenama u zavisnosti od stava okruženja (zakonski i podzakonski akti), odnosno vlastite procjene u odnosu na promjenu značaja pojedinog sadržaja.
3. Razlozi za implementaciju sustava sigurnosti u poduzeću?
Informacija je imovina koja je bitna za poslovanje i zato zahtjeva i odgovarajuću zaštitu, budući da je izložena velikom broju različitih prijetnji i ranjivosti.
Zakonska osnovica:
4. Što je računalni kriminal, te koje radnje se mogu opisati kao računalni kriminal?
Računalni kriminal (cyber kriminal, e-kriminal...) općenito se odnosi na kriminalnu aktivnost u kojoj su računalo ili računalna mreža izvor, alat, meta ili mjesto za izvođenje kriminala. Pojam računalnog kriminala također se odnosi na klasični kriminal kod kojeg je računalo samo pomoćno sredstvo koje olakšava izvođenje kriminalne radnje. Primjer takvih radnji su prijevare, krađa, ucjene, krivotvorenje i pronevjere. Računalni kriminal odnosi se na sve oblike i načine kriminala povezanog uz zlouporabu računala i informacijskih sustava u cjelini.
5. Što govori kazneni zakon o računalnom kriminalu?
Oštećenje i upotreba tuđih podataka, koji pokriva kaznena djela neovlaštenog pristupa i oštećenja, izmjene i uništenja podataka, kazneno djelo neovlaštenog presretanja. Nedozvoljena upotreba osobnih podataka, čime se pokriva kako prikupljanje, obrađivanje i korištenje osobnih podataka građana, tako i njihovo korištenje suprotno zakonom dozvoljenoj svrsi njihovog prikupljanja. Naravno, i glava kaznenih djela protiv imovine nadopunjena je inkriminacijama koje mogu poslužiti i za sankcioniranje nekih zloporaba Interneta. Tako su tu navedena kao inkriminacije sljedeća djela:
- Povreda prava autora ili umjetnika izvođača,
- Neovlaštena upotreba autorskog djela ili izvedbe umjetnika izvođača i
- Oštećenje i upotreba tuđih podataka.
6. Kada je neovlašteni pristup kazneno dijelo?
U Kaznenom zakonu stoji da tko god unatoč zaštitnim mjerama neovlašteno pristupi računalnom sustavu, kaznit će se novčanom kaznom ili kaznom zatvora od 1 god, dok u Konvenciji o kibernetičkom kriminalu stoji da bilo koji neovlašteni pristup će biti kažnjen.
Računalno prisluškivanje, krađa, neovlašteno kopiranje, izmjena, uništenje podataka, ili onemogućavanje rada.
8. Što govori Hrvatski zakon o računalnom kriminalu?
Zakon o računalnom kriminalu u RH još uvijek ne postoji niti ima kakvih naznaka da će uskoro biti donesen. Odredbe koje su vezane za računalni kriminal disperzirane su u različitim zakonima. Te odrebe su: oštećenje i upotreba tuđih podataka (pokriva kaznena djela neovlaštenog pristupa i oštećenja), izmjene i uništenja podataka, kazneno djelo neovlaštenog presretanja, nedozvoljena upotreba osobnih podataka, sankcioniranje zloporabe interneta, neovlaštena upotreba autorskog djela.
9. Nabrojite i opiše nekoliko zakona RH koji se odnose na sigurnost IS?
Zakon o zaštiti tajnosti podataka: ovim se Zakonom propisuje pojam, vrste i stupnjevi tajnosti te mjere i postupci za utvrđivanje, uporabu i zaštitu tajnih podataka.
Zakon o tajnosti podataka (vrijedi od 2007.): ovim se Zakonom utvrđuju pojam klasificiranih i neklasificiranih podataka, stupnjevi tajnosti, postupak klasifikacije i deklasifikacije, pristup klasificiranim i neklasificiranim podacima, njihova zaštita i nadzor nad provedbom ovoga Zakona. Stupanjem na snagu ovoga Zakona prestaju važiti odredbe Zakona o zaštiti tajnosti podataka.
Zakon o zaštiti osobnih podataka: ovim se Zakonom uređuje zaštita osobnih podataka o fizičkim osobama te nadzor nad prikupljanjem, obradom i korištenjem osobnih podataka u RH. Svrha zaštite osobnih podataka je zaštita privatnog života i ostalih ljudskih prava i temeljnih sloboda u prikupljanju, obradi i korištenju osobnih podataka.
Zakon o elektroničkom potpisu: ovim se Zakonom uređuje pravo fizičkih i pravnih osoba na uprabu elektroničkog potpisa u upravnim, sudskim i drugim postupcima, poslovnim i drugim radnjama, te prava, obveze i odgovornosti fizičkih i pravnih osoba u svezi s davanjem usluga certificiranja elektroničkog potpisa, ako posebnim zakonom nije drukčije određeno.
Zakon o informacijskoj sigurnosti: ovim se Zakonom utvrđuje pojam informacijske sigurnosti, mjere i standardi informacijske sigurnosti, područja informacijske sigurnosti, te nadležna tijela za donošenje, provođenje i nadzor mjera i standarda informacijske sigurnosti.
Zakon o arhivskom gradivu i arhivima: ovim se Zakonom uređuju zaštita i uvjeti korištenja, čuvanje, uporaba i obrada arhivskoga gradiva, javna arhivska služba, te nadležnosti i zadaće arhiva.
10. Što govori zakon o informacijskoj sigurnosti?
Zakonom o informacijskoj sigurnosti se utvrđuje pojam informacijske sigurnosti, mjere i standardi informacijske sigurnosti, područja informacijske sigurnosti, te nadležna tijela za donošenje, provođenje i nadzor mjera i standarda informacijske sigurnosti.
11. Koje su specifičnosti novih zakona izdanih 2011 godine vezanih uz informacijsku sigurnost, privatnost i anonimnost?
Specifičnosti su u Zakonu o telekomunikacijama te Zakonu o kaznenom postupku. Prema Zakonu o telekomunikacijama, od lipnja ove godine se prisluškuju svi telefonski pozivi, prate svi mailovi, sms poruke, pa čak i Web stranice koje korisnici posjećuju te se isti sadržaj o komunikaciji korisnika čuva čak dvije godine. Što se tiče Zakona o kaznenom postupku, ako na određenog korisnika pada sumnja kako se bavi piratstvom, umnožavanjem i sličnim računalnim kriminalom, postoji mogućnost da će se u domu istog postaviti određeni uređaji za prisluškivanje poput kamera i slično, te će se pratiti njegove radnje, njegovi razgovori i ostali oblici komunikacije, a kasnije se dobiveni sadržaj može upotrijebiti protiv njega.
12. Što su to zbirke osobnih podataka i koji zakon regulira njihovo sakupljanje i obradu?
Zbirka osobnih podataka je svaki strukturirani skup osobnih podataka koji je dostupan prema posebnim kriterijima, bilo centraliziranim, decentraliziranim, ili raspršenim na funkcionalnom ili zemljopisnom temelju i bez obzira na to da li je sadržan u računalnim bazama osobnih podataka ili se vodi primjenom drugih tehničkih pomagala ili ručno. (Izvor: Zakon o zaštiti osobnih podataka)
Zakon o zaštiti osobnih podataka uređuje zaštitu osobnih podataka fizičkih osoba te nadzor nad prikupljanjem, obradom i korištenjem osobnih podataka u Republici Hrvatskoj. Svrha Zakona je zaštita privatnosti pojedinaca, kao i ljudskih prava i temeljnih sloboda u prikupljanju, obradi i korištenju osobnih podataka. Zaštita osobnih podataka zajamčena je svim fizičkim osobama bez obzira na njihovo državljanstvo ili prebivalište, te neovisno o rasi, boji kože, spolu, jeziku, vjeri, političkom ili drugom uvjerenju, nacionalnom ili socijalnom podrijetlu, imovini, rođenju, naobrazbi, društvenom položaju ili drugim osobinama.
13. Kome prijavljujemo naše zbirke osobnih podataka?
Postoji obveza evidentiranja zbirki osobnih podataka Agenciji za zaštitu osobnih podataka.
14. Što je klasifikacija sadržaja, koji je najdulji rok klasifikacije sadržaja?
Klasifikacija podatka je postupak utvrđivanja jednog od stupnjeva tajnosti podatka s obzirom na stupanj ugroze i područje Zakonom zaštićenih vrijednosti. Najdulji rok klasifikacije sadržaja je pet godina i to za podatke stupnja tajnosti "VRLO TAJNO". Izvor: http://www.zakon.hr/z/217/Zakon-o-tajnosti-podataka
15. Što je sigurnosna provjera, tko je provodi i kada je potrebna?
Sigurnosna provjera je postupak kojim nadležna tijela utvrđuju postojanje sigurnosnih zapreka za fizičke i pravne osobe.
Sigurnosnu provjeru provodi nadležna sigurnosno-obavještajna agencija.
Sigurnosna provjera za pristup klasificiranim podacima provodi se za:
- fizičke osobe kojima je, u obavljanju poslova iz djelokruga ili dodijeljenih ovlasti, nužan pristup klasificiranim podacima stupnja tajnosti »Vrlo tajno«, »Tajno« i »Povjerljivo«,
- pravne osobe koje s državnim tijelima, tijelima jedinica lokalne i regionalne samouprave te pravnim osobama s javnim ovlastima sklapaju klasificirane ugovore stupnjeva tajnosti »Vrlo tajno«, »Tajno« i »Povjerljivo«.
Sigurnosna provjera fizičke osobe provodi se okviru dužnosti i poslova:
- u državnim tijelima,
- pravnih i fizičkih osoba koje obavljaju poslove za državna tijela,
- na temelju međunarodnih ugovora i sporazuma koje je Republika Hrvatska zaključila s drugim državama ili organizacijama.
16. Što je to ugovor o tajnosti (NDA), za što služi i kada se sklapa?
Non-Disclosure Agreements - NDA (ugovor o neotkrivanju) koji za stranke donose vrlo rigorozne financijske kazne u slučaju odavanja tajni. Takvi se ugovori često primjenjuju i tokom pregovora prije zaključenja neke poslovne transakcije, pogotovo ako ugovorne strane ne dođu do sporazuma. Isto tako, NDA ugovori su i instrument za prenošenje tajnih znanja i informacija, kako bi se kontroliralo njihovo daljnje stavljanje u promet.
17. Što je klasifikacija i deklasifikacija sadržaja, te koje su razine tajnosti definirane prema zakonu o tajnosti podataka?
Klasifikacija podatka je postupak utvrđivanja jednog od stupnjeva tajnosti podatka s obzirom na stupanj ugroze i područje Zakonom zaštićenih vrijednosti.
Deklasifikacija podatka je postupak kojim se utvrđuje prestanak postojanja razloga zbog kojih je određeni podatak klasificiran odgovarajućim stupnjem tajnosti, nakon čega podatak postaje neklasificirani s ograničenom uporabom samo u službene svrhe.
Stupnjevi tajnosti klasificiranih podataka su:
- VRLO TAJNO,
- TAJNO,
- POVJERLJIVO,
- OGRANIČENO.
izvor: Zakon o tajnosti podataka
ISMS / Rizici:
18. Koji su koraci izgradnje sustava sigurnosti?
- Politika sigurnosti
- procjena rizika
- odabir mjera za smanjivanje rizika (kontrola)
- izgradnja ISMS (= Information Security Management System)
- certifikacija
19. Što je sigurnosna politika, na koji način je implementiramo, od kojih elementa se sastoji te kada je važeća?
Sigurnost je čitav niz mjera i postupaka koje se poduzimaju kako bi se osigurala funkcionalnost informacijskog sustava u pretpostavljenim uvjetima, koji mogu biti tehničko-tehnološki ili sigurnosni uvjeti, uvjeti povjerljivosti i drugi.
Sigurnosna politika je skup pravila, smjernica i postupaka koja definiraju na koji način informacijski sustav učiniti sigurnim i kako zaštititi njegove tehnološke i informacijske vrijednosti. Ona govori korisnicima što smiju raditi, što ne smiju raditi, što moraju raditi i koja je njihova odgovornost. Politikom ne određujemo na koji način zaštiti informacijski sustav već samo što zaštititi.
20. Što sve smatramo pod pojmom „politika sigurnosti“ IS?
- Dokument o uvođenju sustava sigurnosti te načinom (obvezom) financiranja (odluka o izgradnji sustava sigurnosti)
- Dokument o granicama funkcionalnosti sigurnosti informacijskog sustava
- Dokument o prijenosu odgovornosti za sigurnost informacijskog sustava (s direktora na grupu/tim/osobu)
- Dokument o strategiji razvoja/uvođenja sigurnosti informacijskog sustava
- Dokument o organizacijskom ustroju sigurnosti informacijskog sustava
21. Što sve smatramo informacijskom imovinom, i zašto je bitna inventura informacijske imovine?
Pod informacijsku imovinu spada: baze podataka i datoteke, ugovori i sporazumi, dokumentacija sustava, informacije o istraživanju, korisnički priručnici, materijali za obučavanje, operativne procedure ili procedure podrške, planovi kontinuiteta poslovanja, alternativni planovi, kontrole knjiženja i arhivirane informacije. Popisi imovine pomažu u osiguravanju učinkovite zaštite imovine i također mogu biti neophodni za ostale poslovne namjene, primjerice zdravlje i sigurnost, osiguranje ili financijske razloge.
22. Što je procjena značaja podatkovnog sadržaja temeljem čega i zašto se provodi?
Procjenom značaja podatkovnog sadržaja utvrđuje se s kojim sve podacima raspolaže poslovni sustav i koji je značaj tih podataka za njegovu funkcionalnost. U tu svrhu se radi inventura informacijske imovine.
23. Koje su strategije izgradnje sustava sigurnosti?
- Preuzimanje odgovornosti (rizika) – opredjeljenje poslovnog sustava da samostalno brine o razini sigurnosti IS-a te da se brine o mjerama za smanjivanje rizika na prihvatljivu razinu
- Podjela rizika – strategija osiguravanja dijela rizika kod osiguravatelja, a za dio sustava se samostalno gradi sustav sigurnosti. Na dijelu IS-a se ne postavlja razina zaštite (ili se dovoljno ne ulaže u nju) pa se rizik pokriva osiguranjem.
- Prijenos rizika – strategija koja je prisutna kod manjih poslovnih sustava pri čemu je poslovodstvo procijenilo da destrukcija nad podacima ne povlači za sobom velike poslovne gubitke. Sav se rizik prenosi na osiguravatelja koji u slučaju velikog rizika sam ulaže u izgradnju sigurnosnog sustava kako bi smanjio vlastiti poslovni rizik.
- Negiranje rizika – temelji se na odluci o nepoduzimanju nikakvih aktivnosti zaštite IS-a. Poslovanje nije oslonjeno na IS podržan računalom
24. Koji su unutarnji, a koji vanjski čimbenici koji utječu na procjenu značaja podatkovnog sadržaja?
Unutarnji čimbenici:
- Statut poslovnog sustava i drugi akti na nižim razinama
- Procjena poslovodstva o važnosti pojedinog sadržaja za funkcionalnost sustava
- Poslovni običaji
- Stanje u poslovnom okruţenju
Vanjski čimbenici:
- Zakonski i podzakonski akti država u kojoj djeluje poslovni sustav
- Zakonski i podzakonski akti država u kojima djeluju poslovni sustavi s kojima se ostvaruje poslovna komunikacija
- Poslovni običaji i norme koji se odnose na granu djelatnosti
- Trenutna situacija u okruženju u odnosu na stabilnost djelovanja poslovnog sustava sukladno izvorima i oblicima prijetnji.
25. Nabrojite i opišite izvore prijetnji informacijskog sadržaja.
Priroda - poplava, potres, oluja, požar, zagađenje... Ljudi namjerno - uništenje, promjena sadržaja, sabotaža, diverzija, špijunaža, krađa, neautorizirani pristup, virusi... Ljudi nenamjerno - napažnja, nedisciplina, nemar, neznanje, neodgovarajući programi, neodgovarajuća organizacija... Tehnička greška - pogreška opreme, ispad opreme, prekidi komunikacije...
26. Nabrojite i opišite oblike prijetnji informacijskom sustavu.
Neautorizirano korištenje, uništenje, neidentificirano korištenje i neregistrirana promjena sadržaja.
27. Što je procjena rizika, te koje metode procjene rizika poznajete?
Procjena rizika je jedna od faza procesa upravljanja sigurnosnim rizicima i predstavlja njegovu okosnicu. Možemo reći da se njome dobiva cjelovita slika sigurnosnih rizika kojima je izložena pojedina informacijska imovina. Omogućuje organizaciji da uoči veličinu svih potencijalnih opasnosti, odnosno prijetnji informacijskoj imovini te temeljem njihove analize poduzme određene zaštitne mjere s ciljem smanjenja ili eliminiranja rizika. Na taj način organizacija identificira i uključuje rizik u svoj informacijski sustav ne bi li upravljala potencijalnim gubitcima na informacijskoj imovini, ali i na razini cjelokupne organizacije. U tome zapravo leži suština i cilj procjene rizika.
Skupine metoda za procjenu rizika: kvantitativne (numeričke), kvalitativne (opisne) i kombinirane.
Kvantitativna metoda procjene određuje rizik numerički tj. novčano i objektivno budući da su svi parametri potrebni za izračun rizika određeni numeričkim vrijednostima. To zahtijeva poznavanje svih rizika koji prijete organizaciji. Najčešće se izrađuje na godišnjoj razini.
Kvalitativni pristup se razlikuje od kvantitativnoga po tome što on ne koristi apsolutne vrijednosti parametra, već kvalitativno uzima njihov utjecaj na rizik. Ovaj pristup zahtjeva stručnost, znanje i sposobnost osobe koja ga provodi. Zbog lakšeg razumijevanja rezultata, parametri koji se dobiju se kvantificiraju. Razlika između kvantitativnog i kvalitativnog pristupa je u tome što takve dobivene numeričke vrijednosti ne predstavljaju apsolutne, nego relativne vrijednosti. Nedostatak procjene rizika tom metodom leži u subjektivnosti, stoga bi osobe koje provode procjenu trebale biti kompetentne za taj zadatak, da bi dobiveni parametri bili jednaki stvarnim vrijednostima.
28. Kako se vrši procjena rizika, po kojim smjernicama te kako obrađujemo rizike?
Prije razmatranja obrade rizika, organizacija treba odrediti kriterij za određivanje da li je rizik prihvatljiv ili ne. Za svaki rizik prepoznat u procjeni potrebno je donijeti odluku o načinu obrade rizika. Moguće opcije za obradu rizika uključuju:
1. Primjenu odgovarajućih kontrola za smanjenje rizika,
2. Svjesno i objektivno prihvaćanje rizika, uz uvjet da rizik zadovoljava politiku organizacije i kriterije za prihvaćanje rizika,
3. Izbjegavanje rizika tako da se ne dozvoljavaju akcije koje bi izazvale rizik,
4. Prijenos pridruženih rizika na druge strane, primjerice osiguravatelja ili dobavljače.
Za one rizike kod kojih je odlučeno da obrada rizika obuhvaća primjenu odgovarajućih kontrola, potrebno je odabrati ove kontrole i primijeniti ih prema zahtjevima nastalima pri procjeni rizika. Kontrole trebaju osigurati smanjenje rizika na prihvatljivu razinu tako što će uzeti u obzir:
a) Zahtjeve i ograničenja nacionalnih i međunarodnih zakona i propisa,
b) Organizacijske ciljeve,
c) Operativne zahtjeve i ograničenja,
d) Troškove primjene i operativne troškove u odnosu na rizike koji se smanjuju, s tim da troškovi ostaju proporcionalni organizacijskim zahtjevima i ograničenjima,
e) Potrebu za usklađivanjem investiranja u primjeni kontrola u odnosu na moguću štetu nastalu uslijed sigurnosnog neuspjeha.
29. Što je „obrana u dubinu“ i zašto je bitna kod izgradnje sustava sigurnosti?
„Obrana u dubinu“ (Defence in depth) je strategija otežavanja napadaču da dođe do željenih podataka kroz više stupnjeva obrane (zaštite). Znači, ukoliko probije jednu da naiđe na iduću i onda ili odustane ili uspije, ali se uspiju prikupiti dovoljno materijalnih dokaza za osudu na sudu.
30. Koje su obveza uprave prema informacijskoj sigurnosti?
Uprava treba aktivno podržavati sigurnost unutar organizacije pomoću jasnih uputa, obaveza, izričitih imenovanja i prihvaćanja sigurnosnih odgovornosti. Uprava treba odrediti potrebe za unutarnjim ili vanjskim savjetovanjem na području informacijske sigurnosti i pregledati i koordinirati rezultate savjetovanja u organizaciji. Ovisno o veličini organizacije, ovakve odgovornosti može preuzeti posebno određena uprava ili postojeća uprava, npr. odbor direktora. Uprava treba:
1. Osigurati da su ciljevi informacijske sigurnosti definirani, da zadovoljavaju organizacijske zahtjeve i da su integrirani u odgovarajuće procese,
2. Formulirati, pregledati i odobriti politiku informacijske sigurnosti,
3. Provjeriti učinkovitost primjene politike informacijske sigurnosti,
4. Osigurati javno vođenje i podršku uprave sigurnosnim inicijativama,
5. Osigurati potrebna sredstva informacijske sigurnosti,
6. Odobriti dodjeljivanje određenih zadataka i odgovornosti za informacijsku sigurnost u organizaciji,
7. Pokrenuti planove i programe za održavanje svijesti o informacijskoj sigurnosti,
8. Osigurati koordinaciju primjene kontrole informacijske sigurnosti unutar organizacije.
31. Koje su tehničke mjere sigurnosti?
Protupožarni detektor - služi za automatsko aktiviranje raspršivača vode ili sustava za primjenu plinova, mogu biti detektori topline ili detektori dima.
Detektori prekida strujnog kruga - štite prostore od neautoriziranog pristupa.
Laseri i senzori - koriste ultraljubičasto ili infracrveno svjetlo čije su frekvencije iznad ili ispod vidljivog spektra.
Unutrašnja televizija i kamera - postavljaju se na važnim mjestima i prenose sliku do kontrolne ploče s čuvarima.
Detektori zvuka i vibracije - služe za otkrivanje zvukova u nekom području u vrijeme kada oni nisu uobičajeni, zato se koriste vrlo osjetljivi mikrofoni.
32. Koje su fizičke mjere sigurnosti IS?
Fizička zaštita podatkovnog sadržaja obuhvaća zaštitu računalne opreme, programa i datoteka od uništenja, neovlaštenog mijenjanja sadržaja, požara, poplave, potresa, eksplozije, krađe i divljaštva. U programu fizičkih sigurnosti koriste se mnoga tehnička sredstva (brave, čuvari, sefovi, trezori,...). Ove mjere sigurnosti dopunjuju jedna drugu i rijetko djeluju odvojeno.
33. Što podrazumijevamo pod organizacijskim mjerama sigurnosti IS?
Organizacijske su mjere one koje poduzima poslovni sustav da bi se osigurala željena razina funkcionalnosti sustava i integriteta podataka u uvjetima djelovanja pretpostavljenih oblika prijetnja. Tim mjerama ne degradira se rad sustava, već se doprinosi raspoloživosti i djelotvornosti čitavog sustava. Drugim riječima, to je donošenje svih mjera i postupaka iz oblasti sigurnosti, izrada potrebnih dokumenata koji omogućuju i osiguravaju njihovu primjenu, te izrada i donošenje organizacijskih uputa o njihovu provođenju na svakom radnom mjestu. Da bi se osigurala zadovoljavajuća razina sigurnosti sustava, prvi i najvažniji korak treba biti oblikovanje dobre sigurnosne politike organizacije, definiranje standarda zaštite za pojedinu sredinu, te izrada opisane procjene značaja podatkovnog sadržaja i procjena oblika prijetnji.
Šehanović J., Hutinski Ž., Žugaj M., (2002.): Informatika za ekonomiste, Tiskara "Varteks", str. 237.
34. Kada i zašto se mora provoditi nezavisna provjera informacijske sigurnosti?
Pristup organizacije upravaljanju informacijskom sigurnošću i njenom primjenom zahtjeva nezavisnu provjeru u planiranim intervalima ili kada se dogode značajne promjene za primjenu sigurnosti. Nezavisnu provjeru pokreće uprava. Ovakva nezavisna provjera je potrebna radi osiguranja kontinuirane prikladnosti, primjerenosti i učinkovitosti pristupa organizacije upravljanja informacijskom sigurnošću. Provjera treba sadržavati procjenjivanje mogućnosti za poboljšanje i potrebu za poboljšanje i upotrebu za promjenama u pristupu sigurnosti, uključujući politiku i cljeve kontrole. Ovakvu provjeru trebaju izvesti pojedinci nezavisni od područja koje se provjerava, primjerice funkcija unutarnje revizije, nezavisni rukovoditelj ili organizacija treće strane koja je specijalizirana za takve provjere. Pojedinci koji izvode ovakve provjere trebaju posjedovati odgovarajuće vještine i iskustvo. Rezultati nezavisne provjere trebaju se u pisanom obliku predati upravi koja je pokrenula provjeru. Ovi zapisi se trebaju održavati. Ako nezavisna provjera otkrije da pristup i primjena upravljanja informacijskom sigurnošću organizacije nije odgovarajuća ili nije u skladu sa smjernicama navedenim u dokumentu politike informacijske sigurnosti, uprava treba razmotriti korektivne aktivnosti.
ISO 27000:
35. O čemu govori norma ISO 27002 i koji su koraci implementacije norme ISO 27002?
Norma ISO 27002 je međunarodni standard koji postavlja smjernice i opća načela za pokretanje, primjenu, održavanje i poboljšanje upravljanja informacijskom sigurnošću organizacije. Ciljevi istaknuti u ovom standardu pružaju opću smjernicu za postizanje uobičajeno prihvaćenih ciljeva u upravljanju informacijskom sigurnošću. Ciljevi kontrole i kontrole ovog standarda namijenjeni su primjeni koja će zadovoljiti zahtjeve koji proizlaze iz procjene rizika. Međunarodni standard može se koristiti kao praktična smjernica za razvoj sigurnosnih standarda organizacije, učinkovito upravljanje sigurnošću i kao pomoć u izgradnji povjerenja unutar organizacije.
Koraci implementacije:
1. Administrativna faza - menadžment ili uprava donosi stratešku odluku da se pokrene projekt. Ukoliko već nije uspostavljena politika sigurnosti, potrebno ju je uspostaviti.
2. Definiranje ISMS-a - određuje se opseg upravljanja informacijskom sigurnošću, opseg može biti cijela organizacija ili samo neki njeni dijelovi.
3. Procjena rizika.
4. Upravljanje rizikom - rezultate iz procjene rizika se uspoređuje sa prihvatljivom razinom rizika te se poduzimaju određene mjere za smanjenje prekomjernog rizika na prihvatljivu razinu.
5. Obuka i informiranje kadrova - potpisuje se ugovor sa svim zaposlenicima u kojemu izjavljuju da su upoznati sa odgovornošću koju imaju vezano za sigurnost. Potrebno je osigurati da svi zaposlenici koji imaju određenu odgovornost u ISMS-u posjeduju odgovarajuće kvalifikacije za izvršavanje njihovih zadataka.
6. Priprema za reviziju - potrebno je izraditi Izjavu o primjenjivosti (engl. Statement Of Applicability) prije same revizije.
7. Revizija - može biti revizija dokumentacije, implementacije i treće strane.
8. Periodičke provjere - bilo da smo uspješno prošli postupak certifikacije ili ne, važno je redovito provjeravati i poboljšavati sustav upravljanja sigurnošću. Inspekcije i ažuriranja sustava su vrlo važni, jer područje sigurnosti je vrlo promjenjivo.
36. Područja regulative standarda ISO 27001 i 27002.
ISO 27001 znači za informacijsku sigurnost isto ono što ISO 9001 za kvalitetu - to je norma koju su pisali najbolji svjetski stručnjaci u polju informacijske sigurnosti, a svrha joj je da pruži metodologiju na koji način uvesti informacijsku sigurnost u neku organizaciju. Ona isto tako pruža mogućnost da organizacija dobije certifikat što znači da je nezavisni auditor potvrdio da je informacijska sigurnost na najbolji način provedena u dotičnoj organizaciji. Norma ISO 27001 je zapravo postavila temelj za informacijsku sigurnost, pa su tako razni propisi pisani na osnovu iste - Odluka o primjerenom upravljanju informacijskim sustavom, Uredba o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka, kao i provedbeni akti Zakona o informacijskoj sigurnosti. Drugim riječima, ova norma daje idealnu metodologiju kako provesti sve navedene propise.
Politika sigurnosti, Organizacija informacijske sigurnosti, Upravljanje imovinom, Sigurnost ljudskog potencijala, Fizička sigurnost i sigurnost okruženja, Upravljanje komunikacijama i operacijama, Kontrola pristupa, Nabava, razvoj i održavanje informacijskih sustava, Upravljanje sigurnosnim incidentima, Upravljanje kontinuitetom poslovanja, Sukladnost
38. Što su Kontrole u okviru normi ISO 27002 i ISO 27001?
Sigurnosne kontrole su mjere koje morate poduzeti kako biste rizike u e-poslovanju snizili na prihvatljivu razinu i na taj način zaštitili svoju informacijsku imovinu od mogućih prijetnji. Odabir sigurnosnih kontrola provodi se nakon procjene rizika, kad se zna koju je informacijsku imovinu potrebno štititi. Kontrola je sredstvo upravljanja rizikom, uključujući politike, procedure, smjernice, praksu ili organizacijske strukture, koje mogu biti administrativne, tehničke, upravne ili zakonodavne naravi. Kontrola se također koristi kao sinonim za zaštitu ili protumjeru.
39. Što je to Sporazumi o povjerljivosti i s kim se sve mora potpisati?
Oni se koriste kako bi se dalo do znanja da je neka informacija povjerljiva ili tajna. Zaposlenici bi trebali potpisati takav sporazum kao dio ugovora o radu. Povremeno osoblje i korisnici s treće strane koji nisu obuhvaćeni takvim ugovorom, moraju potpisati sporazum o povjerljivosti prije nego što dobiju pristup računalnoj tehnologiji. Sporazume o povjerljivosti treba pregledavati kada nastupe promjene u uvjetima zapošljavanja ili sklapanja ugovora, naročito kada radnici napuštaju organizaciju ili kada ugovori ističu.
40. Koje mjere sigurnosti poznajete?
Programske mjere, tehničke mjere, fizičke mjere, organizacijske mjere, mjere zaštite u oblasti prava.
41. Materijalni nositelji kao mjera povećanja otpornosti sustava.
Mikrofilm predstavlja najbolji način dugoročne pohrane podataka, podaci se mogu pohranjivati i na magnetski disk, optički disk i orginalni dokument. Za svaki materijalni nositelj se propisuje u kojim uvjetima ga treba čuvati kako bi podaci bili sačuvani.
42. Što sve čini programske mjere zaštite informacijskog sustava?
Programske mjere zaštite su na razini OS-a i na razini korisničkih programa. Višekorisnički OS-i koordiniraju radom sustava s većim brojem korisnika. Radi odjeljivanja područja jednog korisnika, korisnička okolina se zaštićuje zaporkom. Ponekad se pojedina zaporka može autorizirati samo s uvjetovanih računala. Programske mjere zaštite na razini korisničkih programa su sigurnosna pohrana podataka, zaštita od malicioznog softvera i sustavi kriptozaštite.
43. Što sve čini rizike koji se odnose na vanjske suradnike?
Iako mnoge kompanije imaju svoje interno odjeljenje za održavanje opreme, postoje situacije kada se pristup sustavu mora dopustiti osobama iz drugih tvrtki zbog servisiranja, održavanja, konzultacija ili obuke. Bitno je da u tom slučaju u ugovorima s vanjskim tvrtkama donesemo odredbe kojima se vanjski partneri obvezuju na poštivanje sigurnosnih pravila. Ako se podaci mogu klasificirati kao tajna, potrebno ih je privremeno ukloniti sa sustava prije nego osoblje koje nije zaposleno u kompaniji dobije pristup sustavu za obavljanje posla. Ukoliko se pokaže potreba za suradnjom s osobama koje nisu zaposlenici ustanove, administrator je dužan poduzeti sve potrebne mjere sigurnosti kako bi IS ostao zaštićen
44. Što je to vlasnik informacijske imovine i kako ga definirati?
Vlasnik je odgovorna osoba koja se mora ponašati prema opremi na propisani način. Vlasnik ima zadatak da kontrolira i održava imovinu koja mu je dodijeljena, a ukoliko trenutno prenese kontrolu na suradnika, mora mu u potpunosti vjerovati jer su i dalje oni odgovorni za tu imovinu. Vlasnik imovine se određuje nakon popisa imovine iz procesa i zaposlenika koji koriste tu imovinu kako bi obavili zadatke.
45. Kako se osigurava sigurnost ljudskog potencijala?
Potencijalne zaposlenike treba pažljivo provjeriti, naročito ako kandidiraju za osjetljive poslove. Svi radnici i treće stranke koje koriste informatičku opremu trebaju potpisati sporazum o čuvanju povjerljivosti informacija. Provjeru stalnog osoblja treba načiniti već kod prijave za posao. U taj postupak treba uključiti sljedeće kontrole:
1. dostupnost zadovoljavajućih preporuka, poslovnih i osobnih
2. provjera životopisa kandidata,
3. potvrda stečenih akademskih i profesionalnih kvalifikacija,
4. neovisna provjera identiteta (putovnica ili sličan dokument).
Organizacija treba istražiti i kreditnu sposobnost kandidata, ukoliko posao za kojeg se kandidira uključuje pristup računalnoj tehnologiji pomoću koje se rukuje osjetljivim informacijama. Tu vrstu provjere treba za osoblje na visokim pozicijama ponavljati u određenim razmacima.
46. Kako definirati granice fizičkog sigurnosnog prostora?
Fizička zaštita se može ostvariti stvaranjem nekoliko fizičkih barijera oko poslovnog prostora i jedinica za obradu informacija. Poslovni sustavi trebaju koristiti područja fizičke sigurnosti kako bi zaštitili područja koja sadrže računalnu tehnologiju. Potrebno je razmotriti sljedeće smjernice i kontrolne mehanizme, te ih implementirati prema potrebi:
1. područje fizičke sigurnosti treba biti jasno definirano,
2. područje fizičke sigurnosti zgrade mora biti čvrsto i kontinuirano, tj. bez prekida u barijeri, gdje su moguće lake provale (npr. kontrolnim mehanizmima, alarmima),
3. potrebno je imati područje recepcije ili neki drugi način fizičke kontrole pristupa zgradi. Pristup zgradama i lokacijama treba biti ograničen samo na ovlaštene osobe,
4. fizičke barijere se trebaju, u slučaju potrebe, protezati od poda do stropa, kako bi se spriječilo neovlašteno ulaženje i kontaminacija iz okoline, kao u slučaju požara ili poplave,
5. sva požarna vrata u području fizičke sigurnosti moraju biti opremljena alarmima i moraju se čvrsto zatvarati.
47. Na koje se sve načine može ostvariti kontrole fizičkog pristupa?
Fizička zaštita podatkovnog sadržaja obuhvaća zaštitu računalne opreme, programa i datoteka od uništenja, neovlaštenog mijenjanja sadržaja, požara, poplave, potresa, eksplozije, krađe i divljaštva. U programu fizičkih sigurnosti koriste se mnoga tehnička sredstva (brave, čuvari, sefovi, trezori). Ove mjere sigurnosti dopunjuju jedna drugu i rijetko djeluju odvojeno. Iz područja građevinarstva moguće je napraviti 3 sloja fizičke zaštite:
1. građevinske prepreke kao što su zid ili ograde,
2. zidovi, prozori i vrata same građevine,
3. odgovarajuće vitrine i trezori u koje se odlažu potrebni sadržaji ili materijalni nositelji.
48. Koje su smjernice za upravljanje korisnicima, povlasticama i sustavima za upravljanje zaporki?
Korisniku treba dozvoliti minimalne povlastice i pristupe koji su mu potrebni (tako da u slučaju probijanja sigurnosti štete budu što manje), a sukladno s time na zaporke postaviti maksimalnu zaštitu.
Kontrola: Pomoću formalnog procesa upravljanja potrebno je kontrolirati dodjeljivanje zaporki.
Smjernice za primjenu: Proces treba sadržavati sljedeće zahtjeve:
a) od korisnika se može zahtijevati potpisivanje izjave kojom će čuvati povjerljivost osobnih zaporki i grupnih zaporki samo unutar članova grupe; ova potpisana izjava može se uključiti u načine i uvjete zaposlenja,
b) kad se od korisnika zahtijeva održavanje svojih vlastitih zaporki, potrebno im je osigurati početnu sigurnu privremenu zaporku koju trebaju odmah promijeniti,
c) određivanje procedura za potrvrdu identiteta korisnika prije izdavanja nove, zamjenske ili privremene zaporke,
d) privremene zaporke treba dati korisnicima na siguran način; potrebno je izbjegavati uporabu trećih strana ili nezaštićenih (čisti tekst) elektroničkih poruka,
e) privremene zaporke trebaju biti jedinstvene za svakog pojedinca i ne bi se trebale moći pogoditi,
f) korisnik treba potvrditi prijem zaporki,
g) zaporke se nikada ne bi trebale pohranjivati na računalnim sustavima u nezaštićenom obliku,
h) početne zaporke isporučitelja treba promijeniti nakon instalacije sustava ili softvera.
Ostale informacije: Zaporke predstavljaju uobičajeni način provjere identiteta korisnika prije dozvole pristupa informacijskom sustavu ili usluzi u skladu s korisničkim ovlaštenjem. Ostale tehnologije za identifikaciju korisnika i provjeru vjerodostojnosti, kao što je biometrika, primjerice provjera otiska prsta, provjera potpisa i uporaba hardverskih ključeva, primjerice pametnih kartica, također su dostupni i treba ih razmotriti ako je potrebno.
49. Koje su smjernice norme ISO27002 u odnosu na elektroničku trgovinu?
Kontrola: Potrebno je zaštititi informacije uključene u elektroničku trgovinu javnih mreža od prijevara, osporavanja ugovora, neovlaštenog otkrivanja i promjene.
Smjernice za primjenu: Sigurnosna pitanja elektroničke trgovine trebaju sadržavati sljedeće:
a) razinu povjerenja koju zahtijeva svaka strana u međusobnom prepoznavanju, primjerice putem provjere vjerodostojnosti,
b) procese ovlaštenja vezane uz to tko može odrediti cijene, izdati ili potpisati ključne prodajne dokumente,
c) osiguranje potpune informiranosti partnera o njihovim ovlaštenjima,
d) određivanje i sukladnost sa zahtjevima za povjerljivošću, cjelovitošću, dokazom isporuke i prijema ključnih dokumenata te nepovredivost ugovora, primjerice vezanih uz procese ponude i ugovaranja,
e) potrebnu razinu povjerenja u vjerodostojnost istaknutih cjenika,
f) povjerljivost osjetljivih podataka ili informacija,
g) povjerljivost i vjerodostajnost narudžbe, informacija o plaćanju, pojedinosti o adresi isporuke i potvrdu prijema,
h) odgovarajući stupanj provjere informacija o plaćanju od strane kupca,
i) odabir najpovoljnijeg oblika plaćanja radi zaštite od prijevare,
j) potrebnu razinu zaštite za održavanje povjerljivosti i vjerodostojnosti informacija o naručivanju,
k) izbjegavanje gubitka ili umnožavanja informacija o transakciji,
l) odgovornost za bilo kakve lažne transakcije,
m) zahtjeve police osiguranja.
50. Koje su smjernice norme on- line transakcije?
51. Koje su politika kontrole pristupa?
52. Kako se provodi upravljanje korisničkim zaporkama?
Prema International Standard ISO/IEC 27002:
Kontrola: Pomoću formalnog procesa upravljanja potrebno je kontrolirati dodjeljivanje zaporki.
Smjernice za primjenu:
Proces treba sadržavati sljedeće zahtjeve:
a) od korisnika se može zahtijevati potpisivanje izjave kojom će čuvati povjerljivost osobnih zaporki i grupnih zaporki samo unutar članova grupe;
b) kad se od korisnika zahtijeva održavanje svojih vlastitih zaporki, potrebno im je osigurati početnu sigurnu privremenu zaporku koju trebaju odmah promijeniti;
c) određivanje procedura za potvrdu identiteta korisnika prije izdavanja nove, zamjenske ili privremene zaporke;
d) privremene zaporke treba dati korisnicima na siguran način; potrebno je izbjegavati uporabu trećih strana ili nezaštićenih (čisti tekst) elektroničkih poruka;
e) privremene zaporke trebaju biti jedinstvene za svakog pojedinca i ne bi se trebale moći pogoditi;
f) korisnik treba potvrditi prijem zaporki;
g) zaporke se nikada ne bi trebale pohranjivati na računalnim sustavima u nezaštićenom obliku;
h) početne zaporke isporučitelja treba promijeniti nakon instalacije sustava ili softvera.
53. Što su politike praznog stola i praznog zaslona?
Prema International Standard ISO/IEC 27002:
Kontrola: Potrebno je usvojiti politiku praznog stola za papire i uklonjive medije i politiku praznog zaslona za opremu za obradu informacija.
Smjernice za primjenu: Politike praznog stola i praznog zaslona trebaju voditi računa o klasifikaciji informacija, pravnim i ugovornim zahtjevima, odgovarajućim rizicima i kulturnom okruženju organizacije. Potrebno je razmotriti sljedeće smjernice:
a) osjetljive ili ključne poslovne informacije, primjerice na papiru ili elektroničkim medijima za pohranjivanje, trebaju biti pod ključem kad nisu potrebne, posebice kad u uredu nema nikoga;
b) kad su bez nadzora, računala i terminali trebaju biti odjavljeni ili zaštićeni mehanizmom za blokiranje zaslona i tipkovnice koji je pod kontrolom zaporke, hardverskog ključa ili sličnog mehanizma ovlaštenja korisnika, te zaštićena ključevima, zaporkama ili drugim kontrolama kad se ne koriste;
c) mjesta prijema i slanja elektroničke pošte i faksimil aparati bez operatera trebaju biti zaštićena;
d) potrebno je spriječiti neovlaštenu uporabu fotokopirnih uređaja i ostalih tehnologija reprodukcije(primjerice skenera, digitalnih kamera);
e) potrebno je sa pisača odmah ukloniti dokumente koji sadrže osjetljive ili klasificirane informacije.
54. Koje su procedure sigurnog prijavljivanja?
55. Koje su smjernice norme ISO 27002 u odnosu na uporabu mobilnih računala i rad na daljinu?
56. Koje su politike uporabe kriptografskih kontrola?
Organizacija treba razviti politiku o korištenju kriptografskih kontrola za zaštitu svojih informacija. Takva je politika potrebna zbog maksimizacije koristi i minimizacije rizika korištenja kriptografskih tehnika, te zbog izbjegavanja neprikladne i pogrešne uporabe iste. Prilikom razvoja politike treba razmotriti:
a) managerski pristup prema korištenju kriptografskih kontrola kroz cijelu organizaciju, uključujući opće principe za zaštitu poslovnih informacija,
b) pristup upravljanju ključevima, uključujući metode za postupanje pri oporavku enkriptiranih informacija u slučaju gubitka, oštećenja ili kompromitacije ključeva,
c) uloge i odgovornosti, npr. tko je odgovoran za: implementaciju politike, upravljanje ključevima i određivanje prikladne razine kriptografske zaštite,
d) standarde za efektivnu implementaciju kroz cijelu organizaciju (koje se rješenje koristi za koji poslovni proces).
57. Kako se ostvaruje upravljanje ključevima?
58. Zašto i kako se provodi zaštita ispitnih podataka sustava?
59. Koje su procedure za kontrolu promjene elemenata IS?
Sigurnosno kopiranje:
60. Što su to SAN i NAS uređaji? Za što služe i koje su sličnosti i razlike između njih.
SAN (storage area network) je namjenska mreža koja pruža pristup do spremišta podataka koji su na razini bloka. Prvenstveno se koriste za izradu uređaja za pohranu dostupnim serverima kako bi se uređaji činili kao da su lokalno priključeni operacijskom sustavu. NAS (network-attached storage) je skladište za pohranu podataka na razini datoteke povezano u računalnu mrežu koja pruža pristup heterogenim klijentima. NAS je specijaliziran da radi kao podatkovni server
NAS je uređaj za pohranu podataka koji radi s datotekama, dok je SAN lokalna mreža više uređaja koji rade s blokovima diska. SAN koristi Fibre channel tehnologiju, dok NAS koristi Ethernet i TCP/IP. NAS je pogodan za rad s količinom podataka do par terabajta, pa ga se koristi za kućnu upotrebu ili u manjim poslovnim mrežama. NAS se spoji na LAN i ima svoju IP adresu. SAN pruža mogućnost rada s većom količinom podataka i bržim prijenosom istih. Umjesto instalacije velikog broja NAS uređaja, organizacija može instalirati jedan SAN koji sadrži niz diskova visokih performansi. Podešavanje i održavanje SAN uređaja zahtjeva posebnu stručnost.
61. Što su sigurnosne kopije te koje strategije izrade sigurnosnih kopija poznajete?
Potpuna slika (full image):
- cjelovita kopija svih potrebnih podataka
- najveća brzina vraćanja sigurnosnih kopija na izvorni
- cijena je veličina kopije koja je identična veličini kopiranih podatka
- ušteda se postiže pomoću kompresije
- najlakša metoda za implementirati
Potpuna slika + inkrementalna kopija (incremental backup):
- prvo kreiramo potpunu sliku, pa samo dopunjavamo promijenjenim podacima
- za povratak koristimo potpunu sliku i sve inkrementalne kopije
- prednost: brzina izrade sigurnosne kopije
- nedostatak: posjedovanje potpune slike i svih inkrementalnih kopija
Potpuna slika + diferencijalna kopija (differential backup):
- prvo kreiramo potpunu sliku, a svaka sljedeća iteracija radi kopiju datoteka koje su različite u odnosu na originalnu potpunu sliku
- za povratak potrebna samo potpuna slika i zadnja diferencijalna kopija
- nedostatak: kroz vrijeme diferencijalna kopija može postati velika kao i originalna slika
- tada se ponovno kreira potpuna slika
- prednost: brzina povratka sustava nakon pada
62. Objasnite strategije potpune slike, inkrementalne kopije i diferencijalne kopije.
Vidi prošlo pitanje i odgovor.
63. Objasnite pojam „online“ i „offline“ backupa.
Online: realno vrijme, u toku rada sustava. Offline: u diskretnim vremenskim intervalima, kad je sustav u mirovanju
64. Zašto je rsync algoritam/alat koristan?
rsync je alat i mrežni protokol koji sinkronizira datoteke i direktorije iz jedne lokacije u drugu, minimizirajući podatkovni promet koristeći delta kodiranje kad je to potrebno. Važna mogućnost rsync-a je da se mirroring odvija sa samo jednom transmisijom u svakom smjeru.
65. Što su sigurnosne kopije te koje materijalne nositelje i sustave za izradu sigurnosnih kopija poznajete?
Sigurnosna kopija je kopija podataka pohranjena na sigurno mjesto, sigurnim načinom, koja služi za obnavljanje podataka, ukoliko dođe do gubitka istih. Materijalni nositelji: čvrsti diskovi, flash memorija (USB stick), mrežna pohrana (NAS), kontinuirana zaštita (RAID)
66. Što je to RAID?
Pomoću RAID (Redundant Array of Independent/Inexpensive Disks) tehnologije koristimo više diskova da bismo povećali integritet, raspoloživost i kapacitet. Ovo nije metoda pohrane sigurnosne kopije, već nas štiti od gubitka podataka zbog ispada jednog čvrstog diska. Postoji 15 RAID shema, koje se nazivaju RAID razine/nivoi/leveli.
67. Objasnite RAID nivoe 0,1,5 i 10.
RAID 0: ravnomjerno zapisuje datoteku na onoliko diskova koliko smo spojili u RAID 0, djeleći ju među njima. Povećava brzinu pisanja i čitanja, ali ako ispadne jedan disk, datoteka je izgubljena. RAID 1: stvara identičnu kopiju podataka na diskovima. Povećava se brzina čitanja, ali se smanjuje brzina pisanja i gubi se dodatan prostor dobiven nabavkom dodatnih diskova, tj. veličina prostora za pohranu je velika kao najmanji disk među onima spojenim u RAID 1. RAID 5 razlaže datoteku na blokove između više diskova, spremajući i podatke o paritetu. Treba minimalno 3 diska za postići RAID 5. Performanse ovise o količini podataka koji se spremaju na diskove. RAID 10 spada u ugniježđene RAID-ove gdje je RAID 0 izveden nad dva ili više RAID 1.
68. Što su to „hot-spare“ diskovi? Zašto se koriste?
"Hot spare" diskovi su diskovi koji se koriste za automatsku ili ručnu zamjenu pokvarenih diskova u RAID-u. Oni smanjuju vrijeme do oporavka RAID-a, tako smanjujući vjerojatnost da će i drugi disk ispasti iz rada.
69. Što je to S.M.A.R.T. sustav kod čvrstih diskova? Za što služi?
S.M.A.R.T. = Self-Monitoring, Analysis and Reporting Technology: sustav praćenja tvrdih diskova da prate i izvješćuju o raznim indikatorima pouzdanosti, kako bi predvidjeli pogreške.
70. Za što nam služi mehanizam LVM-a?
LVM = Logical Volume Management: metoda alociranja prostora u uređajima za masovnu pohranu koji je fleksibilniji nego uobičajene metode particioniranja. LVM može spajati particije u virtualne, tako da im administrator može promijeniti veličinu ili ih micati, bez prekidanja rada sustava.
71. Međuodnos RAID-a i LVM-a.
LVM se kreira na RAID-om kako bi se lakše upravljalo prostorom.
72. Što je znači da neki datotečni sustav podržava „Copy-On-Write“?
"Copy-On-Write" je strategija optimizacije koja se koristi u programiranju. Ideja je da ako više pozivatelja traže resurse koji su nedjeljivi, svi dobiju pokazivače na iste resurse. Kad pozivatelj pokuša modificirati resurs, stvara se privatna kopija, kako se promjene ne bi odrazile na ostale pozivatelje.
73. Zašto su značajni datotečni sustavi ZFS i BTRFS?
ZFS (Zettabyte file system) je datotečni sustav kombiniran s LVM-om, dizajniran od strane Sun Microsystems. Mogućnosti ZFS-a uključuju verifikaciju integriteta podataka, podršku za velike kapacitete pohrane, integraciju koncepta datotečnog sustava i upravljanja diskom, snimke (snapshot) i copy-on-write klonove, stalno provjeravanje integriteta i automatske popravke, RAID-Z i ugrađene NFSv4 ACL-ove.
Btrfs (B-tree file system) bi trebao podržavati udruživanje, snimke, provjerne zbrojeve i još neke mogućnosti za Linux datotečne sustave.
Oba su open source.
74. Što to znači kad neki datotečni sustav podržava „snapshot“ mehanizam?
Mehanizam snimki sprema trenutno stanje sustava kao doslovnu kopiju nad kojom se dalje može raditi bez utjecaja na originalni sustav ili samo kao nepromjenjivu sliku.
75. Što nam omogućava alat clonezilla i drbl?
Clonezilla je beplatan alat za oporavak od katastrofe, za kloniranje diska, te za izrađivanje slike diska. drbl (Diskless Remote Boot in Linux) nam pruža mogućnost okružja bez sustava ili bez diska za klijentska računala. Može ga se koristiti za kloniranje računala koje imaju ugrađenu Clonezillu, mrežnu instalaciju Linux distribucija, PXE podizanje računala sa operacijskim sustavima manjih veličina.
76. Što je to PXE tehnologija i zašto je korisna?
PXE (Preboot Execution Environment, pixie) je okružje za pokretanje računala koristeći mrežno sučelje neovisno o uređajima pohrane podataka ili instaliranog operativnog sustava.
77. U koje se sve namjene u području sigurnosti može koristiti RAID tehnologija?
Ovisno koju RAID shemu koristimo, možemo podatke sačuvati na više od jednog diska, te tako uvijek imati spremnu kopiju, u slučaju da jedan od diskova ispadne iz rada.
Maliciozni kod:
78. Koje oblike malicioznog softwarea poznajete, te na koji način vršimo detekciju i uklanjanje malicioznog softwarea?
Oblici malicioznog softwarea:
- infekciozni malware: virus, crv
- prikrivanje: trojanac, rootkit, backdoor
- profitni malware: spyware, adware, botnet, keylogger, dialer
Detekciju i uklanjanje malicioznog softwarea vršimo pomoću antivirusnih programa koji raznim identifikacijskim metodama (usporedba sumnjivih datoteka s bazom potpisa, korištenje heuristike, detekcija rootkita) identificiraju, pa zatim uklanjaju maliciozni software, pomoću vatrozida (firewall), ali i pomoću vlastitog pretraživanja koristeći programe koji nam identificiraju procese u računalu.
79. Što sve podrazumijevamo pod pojmom malicioznog koda?
Maliciozni kod je program dizajniran tako da ima štetno djelovanje za korisnika, a to može uključivati remećenje ili ukidanje operacija, skupljanje informacija koje dovode do gubitka privatnosti, dobijanje neovlaštenog pristupa sistemskim resursima i slično.
80. Što je to virus i od čega se on sastoji?
Virus je program koji se replicira i širi s jednog kompjutera na drugi kad je njegov domaćin prenesen na ciljano računalo, putem Interneta, USB sticka, DVD-a ili drugog prijenosnog medija.
Sastoji se od koda koji služi širenju samog virusa i "korisnog tereta" (PayLoad). Korisni teret predstavlja dio koda koji obavlja samu radnju koju virus vrši na zaraženom računalu.
81. Što je botnet i kako funkcioniraju botneti?
Botnet je kolekcija ugroženih računala spojenih na Internet, koja se koriste u maliciozne svrhe. Botneti se uobičajeno kontroliraju preko standardnih mrežnih protokola, poput IRC i http.
82. Što je rootkit? Kakve oblike rootkita poznajete?
Rootkit je program koji omogućuje kontinuiran pristup računalu, skrivajući svoju prisutnost od administratora imitirajući standardne funkcionalnosti operacijskog sustava ili drugih aplikacija. Postoje korisnička i jezgrena metoda rootkita.
83. Što je to cyber-ratovanje?
Cyber-ratovanje su politički motivirane računalne akcije, čiji je cilj počiniti sabotažu ili špijunirati.
Kriptografija:
84. Što smatramo pod pojmom kriptografija te koja je razlika između simetrične i asimetrične kriptografije?
Kriptografija je praksa i učenje tehnika za sigurnu komunikaciju u prisutnosti treće strane, konstrukcijom i analizom protokola koji će nadjačati utjecaj treće strane, te koji su povezani s raznim aspektima informacijske sigurnosti, poput povjerljivosti i integriteta podataka, te autentikacije. U simetričnog kriptografiji, poruka se kriptira i dektriptira jednim tajnim ključem. U asimetričnoj kriptografiji se izbjegava očita mana posjedovanja samo jednog ključa posjedovanjem ključnog para, od kojih je jedan privatni, a drugi javni. Poruka koja se šalje se kriptira javnim ključem osobe kojoj šaljemo, a ona ga dekriptira koristeći svoj privatni ključ.
85. Što su hash funkcije i zašto se koriste?
Kriptografske hash funkcije su determinističke procedure koje uzimaju proizvoljan blok podataka i vraćaju hash vrijednost, što je niz fiksne duljine takav da slučajna ili namjerna promjena podataka mjenja hash vrijednost. Kriptografske hash funkcije se koriste kao indikator integriteta podatkovnog sadržaja koji se prenosi nesigurnim komunikacijskim kanalima.
86. Što je digitalni potpis, te koji je postupak realizacije digitalnog potpisa?
Digitalni potpis je matematička shema koja dokazuje autentičnost digitalne poruke ili dokumenta. Postupak realizacije digitalnog potpisa sastoji se od tri algoritma.
- Algoritam generiranja ključa koji bira privatni ključ ravnomjerno nasumično iz seta mogućih privatnih ključeva. Algoritam daje privatni i odgovarajući javni ključ.
- Potpisni algoritam koji za danu poruku i privatni ključ proizvodi potpis.
- Alogritam potvrđivanja potpisa koji za danu poruku, javni ključ i potpis potvrđuje ili odbacuje autentičnost poruke.
87. Što je digitalna omotnica (PGP postupak) i kako se realizira?
PGP (Pretty Good Privacy) je program za kriptiranje i dekriptiranje podataka koji pruža kriptografsku privatnost i autentikaciju za komuniciranje podacima. Često se koristi za potpisivanje, kriptiranje i dekriptiranje tekstova, elektroničke pošte, datoteka, direktorija i cijelih particija dikova kako bi se povećala sigurnost e-mail komunikacije. PGP koristi kombinirani niz hash funkcija, kompresije podataka, simetrične kriptografije i kriptografije javnog ključa, pri čemu svaki korak koristi jedan od nekoliko podržanih algoritama. Svaki javni ključ je vezan uz korisničko ime ili uz e-mail adresu.
88. Zašto se digitalno potpisuju javni ključevi?
Kako bi se potvrdilo da taj javni ključ zaista pripada toj osobi.
89. Što smatramo pod pojmom „Mreža povjerenja“ (Web of Trust), i zašto je bitna?
Mreža povjerenja je koncept koji se koristi za utvrđivanje autentičnosti veze između javnog ključa i njegovog vlasnika.
90. Koje posebne mjere sigurnosti moramo koristiti ukoliko implementiramo bežične mreže?
Potrebno je promijeniti zadanu lozinku za račun administratora, uključiti WEP ili WPA enkripciju, promijeniti ime mreže (SSID), uključiti MAC filtriranje.
91. Što je SSL i zašto nam je potreban?
SSL (Secure Sockets Layer) je kriptografski protokol koji pruža sigurnu komunikaciju putem Interneta, kriptirajući segmente mrežne veze iznad transportnog sloja, koristeći asimetričnu kriptografiju za razmjenu ključeva, simetričnu kriptografiju za privatnost i kodove za autentikaciju poruka za integritet poruka.
92. Sigurnosni aspekti WEP, WPA i WPA2 mehanizama zaštita bežične mreže?
WEP (Wired Equivalent Privacy) je slab algoritam koji koristi od 10 (40 bita) do 26 (128 bita) hexadecimalnih znamenaka. WPA (Wi-Fi Protected Access) i WPA2 (Wi-Fi Protected Access II) su noviji i snažniji algoritmi. WPA koristi TKIP (Temporal Key Integrity Protocol) koji dinamički kreira 128 bitni ključ za svaki paket. U WPA2, TKIP je zamijenjen CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol), mehanizmom kriptiranja temeljenom na AES-u (Advanced Encryption Standard).
93. Što je pojam digitalnog integriteta?
94. Što sve može imati digitalni identitet?
Digitalni identitet predstavlja set atributa kojim se opisuje pojedini digitalni subjekt. Digitalni subjekt je svaki ljudski ili materijalni (tehnički) sudionik u digitalnoj komunikaciji (ili u ovom kontekstu u informacijskom sustavu).
Digitalni subjekt može biti:
Osoba, Uređaji i računala (Routeri, Serveri...), Digitalni resursi, Politike i odnosi između drugih subjekata.
Problem digitalnog identiteta je: Autentifikacija, autorizacija i identifikacija.