sigurnost informacijskih sustava-skripta 2
Post on 03-Jan-2016
357 Views
Preview:
TRANSCRIPT
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
SIGURNOST INFORMACIJSKIH
SUSTAVA
Nastavni materijali
(samo za internu upotrebu)
Mr.sc. Marija Boban, viši predavač
Dipl.ing. Ivica Smoljo
Tekst pripremila: Mirjana Perišić
2010.godina
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
Obavezna literatura:
– BS ISO/IEC 17799:2000 - BS 7799-1:2000 norma - Information Technology -
Security techniques -- Code of Practice for Information Security Management,
BSI, UK, 2001.
– ISO 27001:2005 - Information technology - Security techniques - Information
security management systems – Requirements, BSI, UK, 2006.
– Peltier R.T., Information Security Risk Analysis, Auerbach, CRC press, 2000.
– Tudor J.K., Information Security Architecture, CRC Press LLC, USA, 2001.
– Bača M, Uvod u računalnu sigurnost, Narodne novine, Zagreb, 2004.
– Dragičević D., Kompjutorski kriminalitet i informacijski sustavi, Informatorov
biro sustav IBS, Zagreb, 2004
– The Honeynet Project (2004) Know your enemy: learning about security threats,
2nd edition, Addison-Wesley, Boston
Dodatna literatura:
– Autorizirani nastavni materijali sa predavanja i vježbi na kolegiju Sigurnost
informacijskih sustava, Visoka poslovna škola Minerva, Split 2010.
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
UVOD U SIGURNOST INOFRMACIJSKIH SUSTAVA
Temelji sigurnosti informacijskih sustava
� Sigurnost informacija
� Sigurnosne prijetnje – svaki dogañaj koji može poništiti ili smanjiti učinkovitost
sustava, odnosno ograničiti ili onemogućiti ispunjenje cilja sustava ili procesa.
� Sigurnosni zahtjevi ovise o vrsti informacija koje želimo štititi.
� Razvijanje svijesti o potrebi zaštite!
Sigurnosna zaštita
1) zaštita ostvarena sučeljem prema korisniku - omogućavanje uporabe računala samo
osobama;
2) unutarnji zaštitni mehanizmi – autentifikacija korisnika i
3) komunikacijski zaštitni mehanizmi – kriptiranje poruka
4) zaštita od vanjskih utjecaja:
� mehaničko uništenje naprava,
� oštećenje nastalo elementarnim nepogodama (poplava, potres, požar...)
� krañu ureñaja i medija na kojima su pohranjene informacije
Ugrožavanje sigurnosti
� Ugrožavanje sigurnosti unutar komunikacijskih kanala
� Ispravan komunikacijski kanal
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
Prijetnje sigurnosti
� Prisluškivanje
� Prekidanje poruka
� Promjena sadržaja poruka
� Izmišljanje sadržaja poruka
Sigurnosni rizik
� Sigurnosni rizik - definira se kao mogućnost realizacije nekog neželjenog dogañaja.
� Neželjeni dogañaj može utjecati na:
� povjerljivost (eng. confidentiality)
� integritet (eng. integrity) i
� raspoloživost (eng. availability) informacijskih resursa.
Ad 1) Povjerljivost se odnosi na zaštitu odreñenih sadržaja, odnosno informacija od bilo
kakvog namjernog ili nenamjernog otkrivanja neovlaštenim osobama.
Ad 2) Integritet mora osigurati konzistentnost informacija i onemogućiti bilo kakve
neovlaštene promjene sadržaja.
Ad 3) Raspoloživosti podrazumijeva da su sve relevantne informacije, u za
to vremenski prihvatljivom terminu, raspoložive odgovarajućim subjektima.
Pravna osnova sigurnosti informacijskih sustava
� Zakonska regulativa
� Zakon o zaštiti osobnih podataka
� Zakon o pravu na pristup informacijama
� Zakon o informacijskoj sigurnosti
� Preporuka zemalja Europske unije – razvoj vlastite sigurnosne politike temeljem
prihvaćenih meñunarodnih standarda kao temelj sigurnosti
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
Meñunarodne norme
� Temelj modela zaštite prava na pristup informacijama
� U cilju kompletne zaštite informacijskih sustava definirane su različite norme kojima
se na različite načine nastoje obuhvatiti kompletni sustavi za upravljanje sigurnošću,
ili neki njegovi aspekti.
� Na meñunarodnom planu ipak se najviše prihvaća ISO/ IEC 17799/BS7799, što se
ponajviše odnosi na Europu i Japan, a donekle i Australiju.
� Najnovija norma koja se bavi sigurnošću sustava i razvojem sigurnosne politike
ISO/IEC 27001:2005.
Sigurnosna politika
� Osnovni elementi globalnog dokumenta sigurnosne politike su :
� politike,
� standardi,
� preporuke i
� procedure.
� Razvijanje sigurnosne procedure za slučaj sigurnosnog incidenta- (risk management).
Kontrola pristupa
� Identifikacija podrazumijeva predstavljanje korisnika sastoji se od tri faze :
1) Procjena rizika (eng. Risk Assessment),
2) Umanjivanje rizika (eng. Risk Mitigation) i
3) Ispitivanje i analiza (eng. Evaluation and Assessment).
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
TEMELJI SIGURNOSTI INFORMACIJSKIH SUSTAVA Pojam sigurnosti
� Kod sigurnosti informacijskih sustava možemo govoriti o:
� Sigurnosti podataka
� Sigurnosti pristupa podacima
� Sigurnosti informacijskih tehnologija kao podrške tim sustavima
� Sigurnosti komunikacija kao izdvojenog dijela IT – a
Sigurnost informacijskog sustava je niz mjera i postupaka koji se poduzimaju kako bi se
osiguralo normalno funkcioniranje informacijskog sustava bez narušavanja njegovog
integriteta.
� Kao što smo u prošloj temi naglasili da je nužno planirati informacijske sustave,
takoñer je neophodno predvidjeti mjere sigurnosti
� Implementirane mjere sigurnosti cjenovno ne smiju premašiti vrijednost štete koja bi
nastala gubitkom cjelokupnog ili većeg dijela sadržaja
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
Rizik i sigurnost
� Da bismo mogli planirati nivo sigurnosti treba biti u stanju procijeniti razinu rizika
� Cilj implementiranog sustava sigurnosti je optimiziranje rada informacijskog sutava s
obzirom na rizik kojem je izložen
�
Rizik izražava vjerojatnost gubitka, oštećenja ili povrede. Drugim riječima rizik je
stupanj opasnosti da poduzete akcije mogu završiti s negativnim ishodom –
posljedicama.
� Rizik se procjenjuje s obzirom na:
� Značaj podataka i sadržaja koji se pohranjuju ili distribuiraju
� Procjenu izvora i oblika prijetnji tim sadržajima
� Što podaci imaju veći značaj to će štete nastale od njihovog gubitka, oštećenja ili
neovlaštenog pristupa biti veće ◊ veći rizik
� Što su prijetnje tim sadržajima veće, kao i broj tih prijetnji rizik će opet rasti
Veći rizik zahtjeva i veći stupanj sigurnosti
� Kod procjene značaja podataka i sadržaja mjerodavno je:
� Način na koji je država zakonskim aktima zaštitila takve sadržaje
� Interes upravljačke strukture za promatranim sadržajem
� Originalnost i novost na lokalnom i globalnom nivou
� Važnost tih sadržaja za normalno funkcioniranje organizacije
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
� Izvori prijetnji informacijskom sadržaju:
� Prirodni čimbenici (potresi, poplave, požari, ekstremi u temperaturnim
rasponima itd.)
� Na njih se djeluje vrlo teško, ali koliko je moguće mjere se svode na
grañevinske, tehničke i organizacijske prevencijske mjere
� Namjera čovjeka
� Službenik banke prebacuje novac komitenata na svoj račun
� Skladištar evidentira krive podatke o škart materijalu
� Možemo ih spriječiti jedino podizanjem zadovoljstva
zaposlenika (materijalno) i dobrom radnom klimom
� Ljudski faktor (nenamjera čovjeka)
� Blagajnik slučajno zbog premorenosti krivo evidentira neku isplatu
� Tehnička pogreška
� Najlakše je predvidljiva
� Ovisi o procijeni vremenske funkcionalnosti korištenih IT – a
� S njom se lako upravlja
Oblici prijetnje informacijskom sadržaju:
� Neautorizirano služenje informacijskim sadržajem
� Uposlenik namjerno prenosi povjerljive podatke izvan organizacije u svrhu
ostvarivanje materijalne dobiti ili drugih osobnih interesa
� Nenamjerno “curenje” podataka
� Nepažnja
� Nemar
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
� Neznanje
� Kraña podataka iz informacijskog sustava
� Upadom u sustav
� Presretanjem poruka kroz komunikacijske kanale
� Neidentificirana promjena informacijskog sadržaja
� Ulaskom u sustav mijenjaju se izvorni podaci
� Ti promijenjeni podaci postaju temelj za donošenje poslovnih odluka
� Ovakvu promjenu podatak je teško identificirati
� Uništenje informacijskog sadržaja
� Sadržaj je postaje u potpunosti neupotrebljiv
� “Ako meni ne koristi neće ni tebi!”
� Lako se uočava ◊ podataka više nema, tj. nisu upotrebljivi
a) Sadržaj se može uništiti:
� Fizičkim uništenjem računalnih vitalnih dijelova
� Suptilnom diverzijom koja izgleda kao tehnički kvar ili programska
pogreška
� Zarazom računalnog sustava virusom ◊ destruktivno dijeluju na
sadržaje i programsku podršku
� Prisjetimo se od čega se sastoji naš Informacijski sustav:
a) Hardware (sklopovske podrške)
b) Software (programske podrške)
c) Lifeware (ljudskih resursa)
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
Mjere zaštite
d) Orgware (organizacije)
e) Netware (mrežene komunikacije)
f) Dataware (podataka koji opisuju stvarni svijet)
� Na svakom od nabrojenih dijelova se može primjeniti odgovarajući stupanj sigurnosne
zaštite
� Sve mjere zaštite se trebaju organizirati na način da se meñusobno nadopunjuju
� Na sljedećoj slici dat je konceptualni prikaz mjera zaštite
Slika 1 – mjere zaštite IS – a
Zaštita podataka
Programske mjere zaštite i zaštita programa
Fizičke i tehničke mjere zaštite
Organizacijskemjere zaštite
Zakonska zaštita na nivou države
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
Zaštita podataka
� Današnje metode zaštite podataka podrazumijevaju izradu sigurnosnih kopija
� Sadržaji se kopiraju na više lokacija
� RAID polje
� Backup server
� Prijenosni mediji velikog kapaciteta
� Princip je jednostavan ◊ podaci se pohranjuju na drugu lokaciju i u slučaju
havarije se ponovno vraćaju u sustav (sustav postaje ponovno funkcionalan)
Izrada sigurnosnih kopija podataka naziva se backup podataka.
Vraćanje podataka iz sigurnosnih kopija naziva se RESTORE podataka
Nema veze ionako imam sigurnosnu
kopiju.
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
Zaštita podataka
� Bilo bi nerazumno uvijek nanovo izrañivati backup svih podataka
� Dovoljno je sigurnosnu kopiju “nadopuniti” datotekama koje su nove ili izmijenjene
� Najpoznatije su tri metode izrade sigurnosnih kopija:
� Potpuni backup
� Diferencijalni backup
� Inkrementni backup
� Full Backup – pohranjuju se sve datoteke bez obzira jesu li ili ne označene za pohranu
� Ovakav način izrade sigurnosne kopije ćete primjenjivati kada prvi put
izrañujete sigurnosnu kopiju
� Differential Backup – pohranjuje nove datoteke i one koje su označene kao
nearhivirane (svojstvo Archive nije uključeno)
� Incremental Backup – pohranjuje samo izmijenjene datoteke s uključenim atributom
Archive
� U praksi se diferencijalni i inkrementni backup postavljaju na automatsko pokretanje u
točno zadanim vremenima (schedule time)
11:20 je – sad će započeti inkrementni backup
podataka.
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
Programske mjere zaštite
� U programske mjere zaštite spadaju:
� Zaštita na razini operacijskog sustava
� Zaštita na razini korisničke programske podrške
� Kriptiranje podataka u komunikaciji
� Antivirus alati
� Zaštitni zid (Firewall)
� Zaštita na razini operacijskog sustava
� Višekorisnički rad
� Administratori i korisnici (User)
� Administratori svakom korisniku odreñuju:
� User name – korisničko ime
� Password – lozinku
� Za svakog korisnika ili grupu korisnika mogu se odrediti različite ovlasti
� Svako računalo može imati više administratora i korisnika
� Veću razinu sigurnosti administrator postiže:
� Pravilnim definiranjem ovlasti korisnika
� Pravilnom raspodjelom korisnika u grupe
� Konfiguracijom User Security Policy
� Konfiguracijom Group Security Policy
� Svi suvremeni operacijski sustavi omogućuju ovakvu razinu zaštite ◊ Unix, Linux,
MacOS, Windows...
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
Programske mjere zaštite
� Zaštita na razini korisničkih programa
� Nakon odobrenog pristupa radnoj okolini (pravilan User name i Password)
pokreće se korisnički program kojim se obavlja odreñena aktivnost u
informacijskom sustavu
� Zaštita korisničkih programa zaporkom:
� Prva razina � samo čitanje podataka iz baze
� Druga razina � promjena podataka u bazi i unos novih
� Treća razina � podaci se mogu brisati
� Postoji još jedna mjera sigurnosti za ovaj slučaj
� Obrisani podaci iz baze ne uklanjaju se direktno, fizički s diska, već u posebno
definirane mape kojima pristup imaju administratori sustava
� Administrator sustava će periodički, nakon ponovne provjere podatke fizički izbrisati s
diska � DBMS (Data Base Manager System)
� DBMS – Upravitelj bazom podataka
� Kriptiranje kao mjera zaštite u mrežnoj komunikaciji:
� Poslovni informacijski sustavi trebaju pratiti organizaciju poslovnog procesa
� Danas nailazimo na primjere distribuirane organizacije � dijelovi poslovnog
sustava su prostorno dislocirani:
� Centrala banke i poslovnice
� Upravna zgrada u jednom gradu proizvodni pogoni u drugom
� Itd.
� Potreba za distribuiranim informacijskim sustavom
� Osnovni zahtjev je razmjena informacija � umrežavanje računala
� Kako se umrežavanje vrši preko globalnog komunikacijskog sustava (Interneta),
potrebno je dodatno zaštiti sadržaj koji se prenosi
� Dva osnovna zahtjeva za zaštitu sadržaja pri prijenosu
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
Programske mjere zaštite
1. Osiguravanje jednoznačnosti prijenosa
2. Onemogućavanje neautoriziranog korištenja ili promijene sadržaja u prijenosu
� Osiguravanje jednoznačnosti prijenosa na tehničkoj razini rješava se komunikacijskim
protokolima:
� TCP (Transmission Control Protocol) – vodi brigu da se podaci prilikom
prijenosa ne izgube
� IP (Internet Protocol) – pronalazi put od jednog računala do drugog
Ime mi je IP protokol i pronalazim put od jednog računala do drugog na NET - u
Moja IP adresa je 80.192.16.72
Moja IP adresa je 129.145.22.9
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
Programske mjere zaštite
� Što se u komunikacijskom kanalu može dogoditi?
� Netko može prisluškivati kanal
� Netko može prekinuti komunikaciju
� Netko može presresti pakete i promijeniti im sadržaj
� Netko može generirati nepostojeći sadržaj
� Na sljedećim slajdovima su prikazane spomenute situacije
Računalo koje prisluškuje komunikacijski kanal
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
Računalo koje generira nepostojeći sadržaj
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
� Prema očekivanom obliku prijetnje u komunikacijskom kanalu postavljaju se mjere
zaštite
� Najčešće mjere zaštite od neautorizirane upotrebe su mjere kriptozaštite
� Uzmimo za primjer riječ:
Izvorni tekst
KRIPTO
Programske mjere zaštite
� Probajmo je šifrirati po principu:
Slovo+1
� Pa naša riječ postaje:
LSJRUP
� Ovo je jednostavan primjer šifriranja i jednostavno ga je probiti
� Onaj tko primi poruku dekodira je po principu:
Slovo – 1
Kriptiranje (šifriranje – encription) ���� je postupak kojim se razumljiv tekst po
odreñenom principu pretvara običnom korisniku u nerazumljiv tekst
Dekripcija (dešifriranje – decription) ���� postupak pretvaranja kodiranog teksta u
razumljiv tekst
� Danas se koriste metode koje su poznate pod nazivom asimetrična enkripcija
� Prisjetite se našeg primjera šifriranja Slovo + 1
� U tom slučaju koristi se jedan te isti ključ za kodiranje i dekodiranje poruka ◊
simetrična enkripcija
� U asimetričnoj enkripciji postoje dva ključa:
� Javni ključ za kodiranje
� Privatni ključ za dekodiranje
� Princip zaštite se zasniva na izmjeni javnih ključeva
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
� Primjerice:
� Šaljete word datoteku važnog sadržaja osobi A
� Osobu A pitate njezin javni ključ (npr. e – mailom se pošalje)
� Word datoteku kodirate tim ključem i pošaljete je osobi A ◊ poruka se samo
može dešifrirati privatnim ključem osobe A (dobro ga čuva)
� Osoba A prima dokument i dešifrira ga svojim privatnim ključem
� Program koji se zasniva na primjeni javnih i privatnih ključeva je PGP (Pretty Good
Privacy) www.pgpi.com
� Opisani sustav zaštite predstavlja osnovu e – businessa
� Programske mjere zaštite trebaju pružiti sigurnost i od virusa, crviju, trojanaca,
spywarea i drugih tzv. malicioznih programa
� Virusi su destruktivni računalni programi koji imaju cilj uništenje podataka ili
funkcionalnosti programa na zaraženom računalu
� u nekim slučajevima samo troše resurse računala bez drugih vidljivih šteta
� Svaki virus ima tri osnovne komponente:
� Infekcija – programski dio koji omogućava širenje virusa
� Nosiva komponenta (payload) – predstavlja glavnu aktivnost virusa (brisanje
podataka ili onemogućenje programa)
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
� Funkcija okidanja (trigger) – definira vrijeme ili dogañaj koji će pokrenuti
izvršavanje nosive komponente virusa
� Osnova je onesposobiti kopiranje virusa na računalo
� Virus se neće pokrenuti sve dok nije zadovoljen uvjet iz treće komponente ◊ funkcije
okidanja virusa
� Virusi se najčešće aktiviraju pokretanjem zaražene datoteke
� Najveću štetu prouzrokuju tzv. boot virusi
� Ti virusi inficiraju boot sektor računala, te samim tim onemogućuju njegovo
pokretanje (onemogućavaju podizanje operacijskog sustava računala)
� Web odredište na kojem možete saznati nešto više o virusima je www.wildlist.org
� Postoje dvije vrste zaštite od djelovanja virusa:
� Preventivne mjere
� Sanacijske mjere
� Preventivne mjere zaštite:
� Organizacijske
� Nadzorne
� Sanacijske
� Organizacijske mjere zaštite ◊onemogućavanje instaliranja neautoriziranih programa,
te kopiranja sadržaja s rizičnih lokacija – medija
� Potrebno je osigurati “slobodno” računalo koje nema fizičke veze s ostalim
računalima i ne koristi se u svakodnevnom poslu ◊ na njemu se testiraju
sumnjivi programi i sadržaji
� Nadzorne mjere�Korištenje antivirusnih alata
� Potrebno je uključiti funkciju On access scanning
� Potrebno je uključiti automatsku provjeru i download definicija virusa
(ažuriranje baze virusa)
� Antivirusom skenirati sve sumnjive datoteke prije njihovog kopiranja ili
otvaranja
� Antivirusna zaštita e – mail boxa
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
� Nedostatak ◊ antivirusni alat nije ažuriran ili nije izbačena definicija za neki virus
(prepoznavanje po potpisu)
� Svaki virus ima dva dijela:
� Tijela virusa
� Slučajnog ključa za enkripciju – s njim je kodirano i tijelo
� U okviru zaštite od virusa u nekom IS – u svako računalo vrši update antivirusnog
alata sa odgovarajućeg servera (schedule time)
� Mjere sanacije:
� Računalo je zaraženo ◊ najčešće usporen rad; uočen nedostatak nekog sadržaja ili
smanjena funkcionalnost nekih programa
� Isključivanje zaraženih računala iz mreže
� Prikupljanje sumnjivih medija
� Uklanjanje virusa ◊ ako je moguće antivirusnim alatom ili ručno (ekspert iz
područja zaštite IS –a)
� Ponovna instalacija cijelog sustava na zaraženim računalima (krajnja, ali
najsigurnija mjera) ◊ lako ako imamo sigurnosnu kopiju sustava
Ja imam svoj potpis, a ti?
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
� Većina današnjih antivirusnih alata nam daje zaštitu i od:
� Trojanaca
� Crviju
� Crvi predstavljaju najveću prijetnju u današnje vrijeme
� Crv je program koji se širi preko mreže
� Koristi slabe točke umreženog računala
� Kada se pokrene potpuno automatski se širi na druga računala s istom slabom
točkom ◊ šalje pakete podataka
� Crvi se ne spajaju na druge datoteke i programe
� Nemaju svojstva virusa
� Osim klasičnih mrežnih primjeraka crviju postoje i e – mail crvi
� E – mail crvi se šire preko attachmenta mail poruka
� Ponekad ih uopće nije potrebno pokrenuti (sami se pokreću) ◊ šalju se na
mailove iz adresara zaraženog računala
� Crvi koji se šire mailom se i posebno označavaju od strane antivirusnih
kompanija
� VBS/OnTheFly@mm � mm = mass mailer
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
� Danas postoji čitav niz hibridnih crviju:
� Crvi koji u sebi nose i svojstva virusa
� Crvi koji sa sobom nose trojanca
� Trojanci – maliciozni programi koji nemaju mogućnost samostalnog repliciranja
� program koji izvršava drugu funkciju od one za koju je deklariran
� Koriste ga hakeri za preuzimanje nadzora na računalima
• Pokrenete neki program za
miksanje muzike koji je u stvari
trojanac
• Za vrijeme slušanja trojanac vam
instalira stražnji ulaz preko kojeg
haker može daljinski preuzeti
nadzor nad vašim računalom
Zašto pokrećeš privitak koji ima datoteke s
ekstenzijama .exe .com
.bat .vbs .pif .scr
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
RAT (Remote Access Tools) – alati za potpunu kontrolu računala s udaljene lokacije
Backdoor – trojanci koji omogućuju stvaranje nezaštićenih ulaza kako bi im se
pristupilo RAT alatima i to pod administratorskim ovlastima
� Ponekad trojanci mogu poslužiti i za krañu korisničkih lozinki
� Primjerice lažni klijent za upisivanje korisničkih podataka pri prijavi na pojedini servis
� primjer Login trojanac
� Login trojanac potpuno simulira izgled ekrana za korisničku prijavu na računalo
� Želite li pod Windowsima XP provjeriti koji su programi uspostavili vezu i osluškuju
veze trebate pokrenuti naredbu Netstat
1. CTRL + ALT +DEL (pokrenite Windows Task Menager)
2. Prebacite se na karticu Processes
3. Odaberite View ◊◊◊◊ Select columns…
4. Uključite PID (Process Identifier)
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
� Preko start ◊ Run… pokrenite komandnu liniju
� U polje Run… upišite cmd
� U otvorenoj komandnoj liniji upišite
netstat –ao
� Dobit ćete popis koje ulaze osluškuju odreñeni procesi ◊ prikazano slikom na
sljedećem slajdu
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
� Popis prikazuje sve procese koji su kreirali vezu na Internet
� Prvi stupac pokazuje protokole (TCP i UDP)
� Drugi stupac prikazuje ime ili IP adresu vašeg računala i potom slijedi dvotočka sa
brojem ulaza vašeg računala kojeg proces koristi
� Treći stupac prikazuje ime ili IP adresu računala s kojim proces komunicira – slijedi
dvotočka i broj ulaza
� Četvrti stupac pokazuje status veze
� Posljednji stupac pokazuje ID procesa ◊ usporedbom tog stupca s vrijednostima pod
stupcem PID u Windows Task Manageru možete pronaći koji su programi pokrenuli
navedene procese
Trojanci se najčešće distribuiraju piratskim programima i preko P2P (Peer To Peer)
alata (KaZaA, e – Mule, LimeWire itd.).
� Od trojanaca se štitimo upotrebom vatrozoida (firewall)
� Trojanac pokušava otvoriti ulaz, a vaš firewall će vas pitati treba li mu to dozvoliti ◊
ako ste dovoljno pažljivi možete otkriti trojanca prije nego što postane opasan
� Na web adresi
http://www.download.com/3000-2092-10039884.html
Možete skinuti besplatnu verziju vatrozoida ZoneAlarm
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
Firewall osigurava:
• da neautorizirani korisnici ne
mogu pristupiti u lokalnu
mrežu
• da se s okolinom razmjenjuju
samo protokolirani sadržaji
� Nadzor nad razmjenom poruka:
� Autorizacijski server
� Odabirom i kontrolom ulaznog sadržaja
� Autorizacijski server – provjerava ovlasti korisnika koji preko Interneta pokušavaju
pristupiti lokalnoj mreži
� Provjera u više razina
� Višerazinska ovlaštenja korisnika – posebno kod otvorenih IS - a
� Ograničena propusnost kontrole ulaznog sadržaja – u zaglavlju pristupne poruke
ugrañuju se identifikacijski elementi koji se provjeravaju
� Potom se provjeri autorizacija pristupa mreži
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
Krizno upravljanje (upravljanje sigurnošću informacijskih sustava)
Temelji kriznog upravljanja
� Suvremeni svijet - bremenit brojnim, dubokim i vrlo složenim krizama koje prijete
posljedicama gorim od svega što smo doživjeli tijekom dvadesetog, do sada najgoreg
stoljeća, obilježenog neviñenim tehnološkim napretkom, ali i pogubnim ratovima,
elementarnim nepogodama, tehnološkim katastrofama, i ono što posebno zabrinjava,
čestim i sve težim ekonomskim krizama.
� Na djelu je informatička revolucija, ali i demografska eksplozija, loša urbanizacija i
globalizacija na temeljima postindustrijskog kapitalizma koji produbljuje svekolike
društvene proturječnosti.
� Utemeljitelji europskog interdisciplinarnog znanstvenog istraživanja sigurnosti su u
svojim ključnim radovima podijeli sigurnost suvremenog društva na vojni, ekološki
(okoliš) gospodarski, politički i društveni aspekt.
� Ova podjela je manjkava jer su u analizi propustili navesti još četiri bitna aspekta i to:
kriminalni, teroristički, zdravstveni i informacijski.
Antivirus, Antispam, Antispyweare, Firewall – sad sam siguran � bar
tako mislim.
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
Globalna sigurnost
� Da li se može preventivno djelovati na pojavu ekonomske krize koja nastaje u drugim
gospodarskim sustavima i kako?
� Da li je, i koliko, globalna zajednica, na svim razinama, u uvjetima snažnog
gospodarskog razvoja bila spremna suočiti se s mogućnošću naglog izbijanja
ekonomske krize?
� Da li svi subjekti globalne zajednice imaju danas spremne ljudske potencijale
osposobljene da se nose s krizom, te da li imaju pripremljena (planirana) takva
ekonomska sredstva koja bi mogla neutralizirati ili maksimalno umanjiti moguće
štete?
Temeljni aspekti kriznog upravljanja
� Krizne situacije najčešće se rješavaju mjerama:
� proračunske,
� fiskalne i
� monetarne politike
a u skladu s važećim pozitivno-pravnim propisima.
� Preventivno djelovanje – implementacija meñunarodnih standarda
Krizno upravljanje i meñunarodni standardi
� Relevantni standardi:
� ISO 9001
� ISO/IEC 27001
� ISO/IEC 20000-1
� ISO/IEC 20000-2
� BS 25999-1
� BCM – Bussiness
Continutiy Management
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
BCP Upravljanje operativnim kontinuitetom
� Upravljanje operativnim kontinuitetom sastoji se od pet makro aktivnosti:
I. Analiza utjecaja incidenata na procese u poduzeću (BIA)
II. Tretman utjecaja kao rezultat analize
III. Izrada BCP-a
IV. Provjera, održavanje i periodično testiranje BCP
V. Ažuriranje planova podrške BCP-u
Temeljene definicije BCP
� Incident = Situacija koja može dovesti do prekida, degradacije, gubitka ili krize
operativnosti.
� Operational continuity (OC) = strategijska i operativna sposobnost organizacije,
odobrena od strane uprave poduzeća, za planiranje i spreman odgovor na incidente i
dogañaje koji uzokuju prekide na način da se garantira operativni kontinuitet.
� Bussiness continuity plan (BCP) = skup dokumentiranih procedura i informacija,
projektiran, razvijen te održavan na način da obezbjedi operativni kontinuitet
organizacije.
� Business Impact Analysis (BIA) = proces koji se sastoji od analize poslovnih procesa i
utjecaja koje može imati na njih incident.
� Recovery Time Objective (RTO) = maksimalno vrijeme nedostupnosti sustava, odn.
vrijeme unutar kojega operativnost procesa će biti ponovo uspostavljena.
� Recovery Point Objective (RPO) = vremenski period izmeñu zadnje sigurnosne
kopije podataka i dogañanja incidenta koji može prouzročiti zastoj procesa.
Planovi podrške BCP-u
� Plan upravljanja incidentima (IMP- Incident management plan)
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
� Garantira sigurnost osoba uključenih u provoñenje aktivnosti i usmjeren je na
minimiziranje gubitaka. Uobičajeno uključuje:
� Planove aktivnosti koje slijede nakon utvrñivanja problematika unutar BIA
� Strategija interne i eksterne komunikacije
� Područja primarne i sekundarne kontrole upravljanja incidentima i njihove
karakteristike (redundantna komunikacija)
� Prateći dokumenti od važnosti(npr. mape, diagrami ili foto koje mogu služiti
kao pomoć u slučaju incidenta)
� Plan za rješavanje posljedica štetnog dogañaja (Disaster recovery plan)
� Ako je incident povezan sa elementarnim nepogodama koje onemogućavaju
nastavak operativnog kontinuiteta na originalnoj lokaciji, provodi se
uspostavljeni plan nastavka poslovnih aktivnosti na drugoj lokaciji.
Upravljanje sigurnošću sustava
� Osim osnovnih zahtjeva koje proces upravljanja sigurnošću sustava mora osigurati
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
� Implementaciju sigurnosnih kontrola modela prava na pristup informacijama :
1) identifikacija,
2) autentifikacija,
3) autorizacija,
4) zaštita i
5) mogućnost praćenja.
Razvijanje modela prava na pristup informacijama
� Zakonska regulativa
� Zakon o zaštiti osobnih podataka
� Zakon o pravu na pristup informacijama
� Zakon o informacijskoj sigurnosti
� Preporuka zemalja Europske unije – razvoj vlastite sigurnosne politike temeljem
prihvaćenih meñunarodnih standarda kao temelj sigurnosti
Meñunarodne norme
� Temelj modela zaštite prava na pristup informacijama
� U cilju kompletne zaštite informacijskih sustava definirane su različite norme kojima
se na različite načine nastoje obuhvatiti kompletni sustavi za upravljanje sigurnošću,
ili neki njegovi aspekti.
� Na meñunarodnom planu ipak se najviše prihvaća ISO/ IEC 17799/BS7799, što se
ponajviše odnosi na Europu i Japan, a donekle i Australiju.
� Najnovija norma koja se bavi sigurnošću sustava i razvojem sigurnosne politike
ISO/IEC 27001:2005.
Usporedba ISO 17799 :2000 i ISO 17799:2005
Razlog prihvaćenosti ove norme jest što osigurava fleksibilnost, definira upravljački okvir, a
ne zadire u konkretnu tehničku implementaciju, što je čini primjenjivom u organizacijama
različitih tehničkih sustava, iz različitih sektora te različitih veličina.
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
Kontrola identiteta
Identifikacija podrazumijeva predstavljanje korisnika sastoji se od tri faze :
ISO/IEC 27001:2005
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
Usporedba ISO 17799:2000 i ISO 17799:2005 Razlog prihvaćenosti ove norme jest što osigurava fleksibilnost, definira upravljački okvir, a
ne zadire u konkretnu tehničku implementaciju, što je čini primjenjivom u organizacijama
različitih tehničkih sustava, iz različitih sektora te različitih veličina.
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
Model zaštite sigurnosti informacijskih sustava
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
Sigurnosna politika
� Osnovni elementi globalnog dokumenta sigurnosne politike su :
� politike,
� standardi,
� preporuke i
� procedure.
� Razvijanje sigurnosne procedure za slučaj sigurnosnog incidenta- (risk management).
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
Kontrola identiteta
Identifikacija podrazumijeva predstavljanje korisnika sastoji se od tri faze :
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
ISO/IEC 27001:2005
Prikaz metode evaluacije rizika
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
Preporuka modela
� Ove smjernice predstavlja temelj predloženog modela upravljanja sigurnosnim
rizikom.
� Svaka organizacija ima vlastiti proces i zasebnu unutarnju organizaciju što tječe na
razvoj VLASTITOG modela sigurnosne politike temeljem “snimanja” njenih potreba!
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
Primjena ISO 27001 u području sigurnosti informacijskih sustava
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
UTJECAJ NOVIH TEHNOLOGIJA NA PRIVATNOST PODATAKA
• Informacija predstavlja sredstvo neprocjenjive vrijednosti
Zaštita putem provjere:
Definicija informacijske sigurnosti
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
SIGURNOSNE PRIJETNJE
Ugrožavanje računalnih sustava:
Vrste napada
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
ISO 27001
INTERNI ISMS AUDITI
• Moraju se redovito provoditi da bi se odredilo da li ciljevi kontrola, kontrola, procesi i
procedure ISMS-a pravilno ispunjavaju
• Funkcija je da organizacija unaprijedi poslovanje
PERSPEKTIVA ISO 27001 U HRVATSKOJ
• Prve certificirane tvrke: Pliva informatika, CS computer system, Vipnet, Primorsko-
goranska županija, AKD, PBZ.
• Budućnost norme
• Prednosti certifikata
• Provoñenje sustava sigurnosti
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
ULOGA MENADŽMENTA U INFORMACIJSKOJ SIGURNOSTI
Odrediti što se želi postići sa upravljanjem sigurnošću
Postaviti osnovnu organizaciju i osigurati resurse
Planirati informacijsku sigurnost
Implementirati mjere zaštite
VEZA IZMEðU KONTINUITETA I INFORMACIJSKE SIGURNOSTI
• Kontinuitet poslovanje je usmjeren na dostupnost, očuvanje i oporavak poslovnih
informacija
• Veze izmeñu dokumenata i s organizacijske strane
Podaci o klijentima i zaštita identiteta potrošača (Pravo na pristup informacijama)
Činjenično stanje u RH
� Povećanje mogućnosti prikupljanja, skladištenja i upravljanja podacima o klijentima
� Virtualno okruženje – novi modaliteti pristupa klijentima
� Pristup podacima o klijentima – zaštita pristupa
Zakonska regulativa
� Zakon o zaštiti osobnih podataka (NN 103/03)
� Ime klijenta je “osobni podatak”!
� Osobni podatak je svaka informacija koja se odnosi na identificiranu fizičku
osobu ili fizičku osobu koja se može identificirati (u daljnjem tekstu: ispitanik);
osoba koja se može identificirati je osoba čiji se identitet može utvrditi izravno ili
neizravno, posebno na osnovi jednog ili više obilježja specifičnih za njezin fizički,
psihološki, mentalni, gospodarski, kulturni ili socijalni identitet. (čl. 2 st. 1.
ZZOP)
� Osobni podaci smiju se prikupljati i dalje obrañivati: uz privolu ispitanika ili u
slučajevima odreñenim zakonom. (čl.7. st. 1 .ZZOP)
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
Obrada podataka o klijentima
• Obrada osobnih podataka
• -svaka radnja ili skup radnji izvršenih na osobnim podacima, bilo automatskim
sredstvima ili ne, kao što je prikupljanje, snimanje, organiziranje, spremanje,
prilagodba ili izmjena, povlačenje, uvid, korištenje, otkrivanje putem prijenosa,
objavljivanje ili na drugi način učinjenih dostupnim, svrstavanje ili kombiniranje,
blokiranje, brisanje ili uništavanje , te provedba logičkih, matematičkih i drugih
operacija s tim podacima (čl. 2 st. 2. ZZOP)
� Zbirke podataka
� svaki skup osobnih podataka koji je dostupan prema posebnim kriterijima, bilo
centraliziranim, decentraliziranim, ili raspršenim na funkcionalnom ili zemljopisnom temelju i
bez obzira na to da li je sadržan u računalnim bazama osobnih podataka ili se vodi primjenom
drugih tehničkih pomagala ili ručno. (čl. 2 st. 3. ZZOP)
� Kreiranje zbirke podataka o klijentima
� Bez privole ispitanika osobni podaci smiju se prikupljati i dalje obrañivati:
– u svrhu izvršavanja zakonskih obveza voditelja zbirke osobnih podataka, ili
– u svrhu zaštite života ili tjelesnog integriteta ispitanika ili druge osobe u slučaju kada
ispitanik fizički ili pravno nije u mogućnosti dati svoj pristanak, ili
– ako je obrada podataka nužna radi ispunjenja zadataka koji se izvršavaju u javnom
interesu ili u izvršavanju javnih ovlasti koje ima voditelj zbirke osobnih podataka, ili
ako je ispitanik sam objavio te podatke.
Zaštita potrošača
� Zakon o zaštiti potrošača (NN 79/2007)
� „Trgovcu se zabranjuje davanje osobnih podataka potrošača bilo kojoj trećoj osobi
bez prethodnog izričitog i pisanog odobrenja potrošača, osim ako je na to obvezan
zakonom ili odlukom nadležnog tijela vlasti.“ (čl.7 st.3 ZZP)
� Zbog kršenja ovoga pravila, trgovcu koji je trećoj osobi neovlašteno i bez
prethodne suglasnosti dao podatke potrošača Zakonom je zapriječena prekršajna
kazna u iznosu od 15.000 do 100.000 kuna (čl. 145, st. 1 ZZP).
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
Kraña identiteta
� Osjetljive računalne datoteke“ - pohranjeni osobni podatci korisnika različitih vrsta
financijskih i bankarskih usluga, prije svega:
� brojevi kreditnih kartica,
� podatci o bankovnim računima
� PIN-ovi korisnika usluga kartičnoga poslovanja
� Zaporke i ostali podatci osoba koje plaćanja obavljaju modelom e-
bankarstva.
� Slučaj Njemačke – trgovina podacima o potrošačima
� oblik je kriminalne radnje lažnog predstavljanja radi stjecanja materijalne ili druge
koristi“
� pojavni oblici
� Spoofing
� Phising
� Skimming
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
Zaštita podataka o klijentima
� Razvijanje sigurnosne procedure za slučaj sigurnosnog incidenta- (risk management -
politike, standardi, preporuke, procedure…)
Pravni aspekti zaštite sigurnosti informacijskih sustava
Internet kao nova infrastruktura
• Razvoj informacijskih tehnologija
• Nova (informacijska ekonomija) i razvoj svjetskog globalnog tržišta
• Sigurnost podataka – osnova funkcioniranja interneta kao infrastrukture lokalne
samouprave
Opći trendovi informacijskog društva
• Tehnološki razvoj
• Globalizacija
• Konvergencija
• Digitalizacija
• Mobilnost
• Demokratizacija društva
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
Pretpostavke razvoja
interneta kao “svjetske infrastrukture”
– Intenzivan protok podataka mrežnim kanalima
– Cjelovitost, dostupnost i tajnost podataka
– (Ne) sigurnosti na Webu
– Nepovjerenju korisnika prema sigurnosti komunikacije i otkrivanju podataka
– Neusklañenosti zakonodavstva i nedostaci u pravnoj regulativi
Sigurnost i zaštita umreženih sustava
– Razvoj zaštite i sigurnosti podataka
• Sigurnost umreženih sustava
• Informacijska sigurnost
– Vrste zaštite i sigurnosti podataka
• Hardversko-softverska zaštita i sigurnost
• Fizička i organizacijska zaštita i sigurnost
• Administrativna kontrola zaštite i sigurnost
• Komunikacijska zaštita (kriptozaštita) i sigurnost
Računalni kriminalitet
Specifičan oblik izvora opasnosti za sigurnost umreženih sustava
– Kategorije računalnog kriminaliteta
– Vrste počinitelja
– Prijetnje sigurnosti sustava
Kriptografija kao element zaštite i sigurnosti umreženih sustava
– Osnovne vrste kriptografskih algoritama:
• Simetrični kriptografski algoritmi
• Asimetrični kriptografski algoritmi
– Kriptografski logaritmi (DES, IDEA, RSA)
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
• Sigurnost i zaštita prijenosa podataka na internetu (SSL, TLS, HTTPS, SET)
• Sigurnost i zaštita lokalnih mreža (“vatreni zid”)
Najvažniji aspekti zaštite osobnih podataka
– Vjerodostojnost
– Tajnost
– Provjera identiteta korisnik -autentifikacija (dokaz znanjem, dokaz
posjedovanjem i dokaz osobinom) –
• Kerberos- primjer pouzdanog autentifikacijskog protokola
– Nemogućnost izbjegavanja odgovornosti
Sigurnost u virtualnom svijetu možemo promatrati s nekoliko aspekata,
s obzirom na:
1. Rasprostranjenost informacijske tehnologije i broj korisnika Interneta,
2. Implementacija elektroničkog poslovanja u djelatnostima gospodarskih subjekata,
3. Korištenje elektroničkim poslovanjem u radu javnih vlasti,
4. Zakonodavstvo koje to područje regulira.
Privatnost u doba informatizacije
• Suvremeni koncept ljudskih prava – korijeni
– Opća deklaracija o ljudskim pravima UN (1948.g.)
– Konvencija o zaštiti ljudskih prava i temeljnih sloboda Vijeća Europe iz
1950.g.
• Utjecaj informacijskih tehnologija na privatnost
• Kršenju privatnosti pridonose:
– globalizacija,
– konvergencija,
– Multimedija
• Kibernetički terorizam
• Blokiranje i filtriranje
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
Sigurnosni aspekti zaštite osobnih podataka
• Digitalni potpis osnovna je metoda za provjeru porijekla informacije
– Potpisi tajnim ključem, potpisi javnim ključem, potpisi uz sažetak poruke
– Svaki korisnik u globalnom elektroničkom sustavu treba imati svoj digitalni
potpis, koji je zapravo njegov osobni identitet.
– Pomoću svog potpisa korisnik ovlašćuje neku radnju i preuzima odgovornost
za nju.
• Digitalni certifikat
– kao sredstvo autentifikacije i utvrñivanja identiteta sadrži podatke o vlasniku:
e-mail adresu, ime, datum isteka i ID institucije koja je potpisala ove
informacije.
Pravni aspekti zaštite osobnih podataka
• Tijekom vremena, u razdoblju od 1993. godine
do danas, zakonske odredbe su se razvijene prema slijedećim inicijativama:
– Smjernica o elektroničkom plaćanju
– Smjernica o elektroničkom poslovanju
– Smjernica o elektroničkom potpisu
– Smjernica o elektroničkom novcu
– Dopuna smjernice o konsolidaciji banaka
– Smjernica o autorskim i srodnim pravima u informacijskom društvu
– Smjernica o zaštiti pojedinca pogledu obrade osobnih podataka i slobodnoga
kretanja takvih podataka
– Smjernica o zaštiti baza podataka
– Smjernica o privatnosti i elektroničkim komunikacijama
Zakonske odredbe kojima se regulira elektroničko poslovanje u Republici Hrvatskoj
– Zakon o elektroničkom potpisu (NN 10/02) sa pravilnicima
– Zakon o zaštiti potrošača (NN 96/2003)
– Zakon o telekomunikacijama ( NN 122/2003) i (pravilnici nisu završeni)
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
– Zakon o elektroničkoj trgovini (NN 173/2003)
– Zakon o informacijskoj sigurnosti (NN 79/2003)
– Zakoni o zaštiti prava intelektualnog vlasništva-Zakon o autorskom pravu i
srodnim pravima ( NN 167/03) , Zakon o patentu (NN 173/03) , Zakon o žigu
(NN 173/03), Zakon o industrijskom dizajnu (NN 173/03) , Zakon o oznakama
zemljopisnog podrijetla i oznakama izvornosti proizvoda i usluga (NN 173/03)
, Zakon o zaštiti topografija poluvodičkih proizvoda (NN 173/03)
– Zakon o zaštiti osobnih podataka (NN 103/2003)
– Zakon o pravu na pristup informacijama (NN 172/03)
Pravni aspekti sigurnosti u virtualnom svijetu
• Razvoj informacijske i komunikacijske tehnologije donio je nove opasnosti za
privatnost, prava i slobode grañana čime se raña i svijest o potrebi zaštite istih.
• Sigurnost u pravnoj regulativi i detaljnoj razradi svih mogućnosti zlouporabe prava
grañana čini se jedini način u prevenciji i efikasnom procesuiranju kaznenih djela u
području kibernetičkog kriminaliteta.
• Konvencija o kibernetičkom kriminalu
– usvojena na konferenciji Vijeća Europe u Budimpešti, a Republika Hrvatska
potpisala 23. studenog 2001. [1]
– utječe na prevenciju oštećenja cjelovitosti i dostupnosti računalnih sustava,
mreža i računalnih podataka, kao i na odvraćanje od njihovih zloporaba,
– utvrñuje kaznena djelo na način opisan u ovoj Konvenciji i kriminalizaciju
takvog ponašanja,
– usvaja ovlaštenja dovoljna za učinkovitu borbu protiv takvih kaznenih djela,
olakšavajući time otkrivanje, istraživanje i kazneni progon tih kaznenih djela,
kako na domaćoj, tako i na meñunarodnoj razini.
– [1] Narodne novine 09/02 (23. 09. 2002.)
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
1. Kaznenih djela protiv tajnosti, integriteta i dostupnosti računalnih podataka i sustava,
2. Računalnih kaznenih djela,
3. Kaznenih djela sadržaja,
4. Kaznenih djela povrede autorskih i srodnih prava
• U Konvenciji o računalnom kriminalu (usvojenoj na konferenciji Vijeća Europe u
Budimpešti, a Republika Hrvatska potpisala 23. studenoga 2001.) Dio 2. odnosi se na
računalna kaznena djela [2] :
• RAČUNALNO KRIVOTVORENJE
• RAČUNALNA PRIJEVARA
[2] Narodne novine 09/02 (23. 09. 2002.)
• Nastojanje da se stvori:
– sigurno,
– pravno ureñeno
– usklañeno okruženje
za razvoj elektroničkog poslovanja i informacijskog društva.
• Proširuje se i na područje zaštite od kompjutorskog odnosno kibernetičkog
kriminala, pitanja oporezivanja elektroničkog tržišta, zaštite potrošaća te
pitanja nadležnosti.
Pravni aspekti sigurnosti u virtualnom svijetu
• Mjere zaštite koje se poduzimaju na nacionalnoj razini u pogledu zaštite procesa
elektroničkog poslovanja u okviru kazneno-pravne zaštite protiv tajnosti, integriteta i
dostupnosti računalnih podataka i sustava[3] :
– Nezakoniti pristup,
– Nezakonito presretanje,
– Ometanje podataka,
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
– Ometanje sustava,
– Zlouporaba naprava
[3] Narodne novine, 09/02
Privatnost u virtualnom svijetu
– Zaštita privatnosti i zakonodavstvo
– Zakonom o zaštiti osobnih podataka(Narodne novine 103/03) ureñuje se zaštita osobnih
podataka o fizičkim osobama te nadzor nad prikupljanjem, obradom i korištenjem osobnih
podataka u Republici Hrvatskoj.
– Svrha zaštite osobnih podataka je zaštita privatnog života i ostalih ljudskih prava i
temeljnih sloboda u prikupljanju, obradi i korištenju osobnih podataka.
– Zaštita osobnih podataka u Republici Hrvatskoj osigurana je svakoj fizičkoj osobi bez
obzira na državljanstvo i prebivalište te neovisno o rasi, boji kože, spolu, jeziku, vjeri,
političkom i drugom uvjerenju,nacionalnom ili socijalnom podrijetlu, imovini, roñenju,
naobrazbi, društvenom položaju ili drugim osobinama.
• omogućava pružanje tradicionalnih usluga grañanima na nov, elektronički način što
je upravo i jest njegov cilj
• korištenje novih tehnologija kako bi ljudima osigurala jednostavniji i bolji pristup
državnim i upravnim informacijama i uslugama, te time omogućila veće mogućnosti
za sudjelovanje u demokratskim institucijama i procesima.
• Jednostavno rečeno E – government predstavlja upotrebu informacijske i
komunikacijske tehnologije (poput Interneta) u poboljšanju procesa vladanja i
upravljanja.
PREDNOSTI UVOðENJA E-GOVERNMENTA:
– proširivanje i otvaranje novih mogućnosti grañanima
– postavlja ljude u centar,
– otvara korisnicima mogućnosti za pristup informacijama,
– omogućava uporabu javnih usluga
– utjecanje na političke odluke.
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
E – government podrazumijeva široku primjenu odgovarajućih postupaka, metoda i
tehnologija pogodnih za rad i elektroničko pružanje usluga i komunikaciju na nivou:
E – government vs. E-governance*
• E - governance se često rabi kao apstraktan pojam, odnosno sinonim za širi koncept i
shvaćanje uloge i položaja državnih vlasti i vladajućih struktura, kao i njihova odnosa
prema grañanima u društvu dok se E – government odnosi na rad odreñenih,
konkretnih struktura vlasti koje ovaj koncept provodi u stvarnosti – primjerice lokalne
samouprave!
RAZLOZI POJAVE I UVOðENJA E-GOVERNMENTA:
• sveobuhvatnost Weba,
• progresivan rast online populacije,
• potrebe za smanjivanjem troškova lokalne samouprave,
• stalni porast očekivanja javnosti,
• rastuće frustracije javnosti radom državne uprave koje se očituje čekanjem u
redovima, sporim rješavanjem predmeta i sl.
• potreba za neprekinutom 7-24 uslugom.
TVRTKE
KORISNI
CI
LOKALNA
SAMOUP
RAVA
DRŽAVA
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
UTJECAJ E – GOVERNMENTA NA ORGANIZACIJU LOKALNE SAMOUPRAVE
• Izvoñenje javnih poslovnih transakcija odvija se elektronički
– posredstvom Interneta, uključujući sve povezane “stvarne” (real-world)
procese.
• E-governement daje mogućnost pružanja tradicionalnih usluga grañanima na nov,
elektronički način
– što upravo i jest cilj njegove implementacije(!)
• Korištenje novih tehnologija
– kako bi ljudima osigurala jednostavniji i bolji pristup državnim i upravnim
informacijama i uslugama,
– veće mogućnosti za sudjelovanje u demokratskim institucijama i procesima.
Pojavni oblici e -Governmenta
• Vlast i gospodarski subjekti - Government to Business (G2B) ;
• Vlast i grañani - Government to Citizen (G2C);
• Vlast i lokalne i druge državni organi i institucije prema van - Government to
Government (G2G)
• Vlast i njezini službenici - Government to Employee (G2E)
• Business to Government (B2G) - elektronička nabava;
• Citizen to Governement (C2G) – kontakti, upiti, prijave, pritužbe;
• UseNet Discussion Group – komunikacija o radu državnih i lokalnih
organa vlasti o radu i eventualnim problemima
ZAKONSKA REGULATIVA
• Zakon o elektroničkom Zakon o elektroničkom potpisu (NN 10/02) sa pravilnicima:
– Pravilnik o evidenciji davatelja usluga certificiranja elektroničkih potpisa (NN
54/02)
– Pravilnik o registru davatelja usluga certificiranja elektroničkih potpisa koji
izdaju kvalificirane certifikate (NN 54/02)
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
– Pravilnik o mjerama i postupcima uporabe i zaštite elektroničkog potpisa i
naprednog elektroničkog potpisa, sredstava za izradu elektroničkog potpisa,
naprednog elektroničkog potpisa i sustava certificiranja i obveznog osiguranja
davatelja usluga izdavanja kvalificiranih certifikata (NN 54/02)
– Pravilnik o tehničkim pravilima i uvjetima povezivanja sustava certificiranja
elektroničkih potpisa (NN 89/02)
• Zakonom o zaštiti osobnih podataka[4] ureñuje se zaštita osobnih podataka o fizičkim
osobama te nadzor nad prikupljanjem, obradom i korištenjem osobnih podataka u
Republici Hrvatskoj. Svrha zaštite osobnih podataka je zaštita privatnog života i
ostalih ljudskih prava i temeljnih sloboda u prikupljanju, obradi i korištenju osobnih
podataka.
• Zaštita osobnih podataka u Republici Hrvatskoj osigurana je svakoj fizičkoj osobi bez
obzira na državljanstvo i prebivalište te neovisno o rasi, boji kože, spolu, jeziku, vjeri,
političkom i drugom uvjerenju,nacionalnom ili socijalnom podrijetlu, imovini,
roñenju, naobrazbi, društvenom položaju ili drugim osobinama.
[4] Narodne novine 103/03
E-Hrvatska
• Ključni ciljevi projekta e-Hrvatska koji se provodi na razini Republike Hrvatske [5]
su:
• uspostavljanje i umrežavanje sustava koji će svakom grañaninu omogućiti da putem
Interneta koristi usluge u javnoj upravi, zdravstvu, školstvu i pravosuñu.
• mogućnost grañanima da putem obavljaju komunikaciju putem Interneta javnom
upravom, traženje i primanje raznovrsnih dokumenata, potvrda i rješenja te
informacije o djelovanju vlasti.
• Preduvjet za to jest osiguranje zakonske osnove kao i koordinacija i suradnja
odgovarajućih institucija i tijela državne uprave, te suradnju privatnog i javnog
sektora.
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
[5] Program Vade Republike Hrvatske u mandatnom razdoblju 2003.-2007., 23.
prosinca 2003.
• Krajem 2003. Vlada RH usvaja
• Program e-Hrvatska 2007. sa svrhom:
– ubrzanja procesa informatizacije i restrukturiranja državne uprave,
– ostvarenja uvjeta za povećanje konkurentnosti hrvatskih poduzeća i podizanja
kvalitete i efikasnosti usluga grañanima.
– Program prati odrednice Akcijskog plana eEurope 2005.
• Tijekom 2005. godine provedena je studija dostupnosti javnih usluga na Internetu.
E-government primarno
• NIJE reforma procesa unutar vladinih institucija,
• NEGO
– unaprjeñivanje usluga i suradnji s grañanima,
– poslovnim ljudima i profesionalcima, neprofitnim i nevladinim
organizacijama, poput udruga, sindikata, stranaka i ostalih.
• Najpopularniji potezi internetski portali:
"one-stop shopovi", [6]
• Program e-Hrvatska 2007.
• PREDUVJET FUNKCIONIRANJA:
– PRIMJENA ZAKONA O ELEKTRONIČKOM POTPISU <-> kamen
temeljac razvoja većine zamislivih usluga putem Interneta.
FUNKCIJE
E-GOVERNMENTA NA RAZINI LOKALNE SAMOUPRAVE
• Obavljanje internih poslova (putem Intraneta)
• Pružanje usluga grañanima putem Interneta
• Poticanje sudjelovanja grañana
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
4 razine informatiziranosti
I. Informacija
II. Jednosmjerna komunikacija (download obrazaca)
III. Dvosmjerna komunikacija (elektronički obrasci)
IV. Transakcija (potpuna dostupnost usluge)
Prednost uvoñenja e-government portala
• Marketing
• Informiranost
• Efikasnost
• Razvoja
• eEurope
• Zatvorenost
• Neinformiranost
• Nenefikasnost
• Zaostajanje
• Suvremeno poslovanje je neracionalno bez uporabe informacijskih i komunikacijskih
tehnologija te je neosporna važnost prelaska s tradicionalnog poslovanja na
elektroničko poslovanje.
• U Hrvatskoj je nedovoljno razvijena svijest o potrebi provoñenja sigurnosnih mjera u
pogledu procesa elektroničkog poslovanja.
• Neprecizno hrvatsko zakonodavstvo jedan je od uzroka sigurnosnih problema koji se
javljaju pri obavljanju procesa elektroničkog poslovanja.
• Usklañivanje zakonodavstva Republike Hrvatske sa pravnim regulativnim okvirom
Europske Unije glede pravne zaštite procesa elektroničkog poslovanja predstavlja
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
nužnost s ciljem pripreme za postanak punopravnom članicom Europske Unije i
primjene pozitivnih iskustava
Visoka poslovna škola Minerva
Radna verzija samo za internu upotrebu
top related