1 / 35

Sigurnost informacionih sistema

Sigurnost informacionih sistema. 10. poglavlje. Uvod. Informacije su važan resurs od kojega zavisi opstanak i razvoj organizacije i moraju biti adekvatno zaštićene

dean-jordan
Download Presentation

Sigurnost informacionih sistema

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Sigurnost informacionih sistema 10. poglavlje

  2. Uvod • Informacijesuvažanresursodkojegazavisiopstanakirazvojorganizacije i moraju biti adekvatno zaštićene • Informacijskasigurnost se bavizaštitominformacijabezobzira u kojemobliku one postojale; dakle, to uključujeinformacijei u digitalnomi u papirnomobliku • Unutrašnje i vanjske prijetnje informacijskoj sigurnosti

  3. Situacija u BiH • Da li se u BiH informacije smatrajuosobitomvrijednošću? • Da li imaju statusimovineilikapitala? • Koliko kompanije pridaju pažnje sigurnosti u zaštiti informacijskih resursa?

  4. Informacijska sigurnost • Povjerljivosti – informacija jedostupnasamoonimakojisuovlaštenida je koriste • Integritet – osiguravatačnostikompletnostinformacijaimetodazanjihovoprocesiranje • Dostupnosti – samo ovlaštenoosobljeimapristupinformacijama

  5. Prijetnjeinformacionimresursima • Zaposleni • Niska svijest o potrebi i načinima zaštite informacija • Porastumreženostiidistribuiraneobradepodataka • Porast složenosti, efektivnosti i dostupnosti hakerskih alata i virusa • E-mail i Internet • Elementarnenepogodeinesreće

  6. Kompjuterskivirusiidrugimalicioznisoftver • Najčešći tip ugrožavanja informacionih sistema • Kompjuterski virus je program koji je napisan sa ciljem da prilikom izvršavanja napravi štetu na inficiranom kompjuteru • Crv (eng. worm) je program koji se brzo multiplicira kroz kompjutersku mrežu, ali ne poduzima nikakve druge akcije na inficiranim kompjuterima • “Trojanski konj" je program koji se ne multiplicira, ugrađen je u neki drugi program i obično "krade" korisne i važne informacije

  7. Hakerski upadi i greške • Haker je osobakojaneovlaštenoupada u telekomunikacionumrežukako bi ostvarila profit, krivičnodjeloili, jednostavno, ličnozadovoljstvo • Greške se mogu desiti bilo gdje u sistemu obrade informacija: kroz unošenje podataka, kroz greške u programu, kompjuterskim operacijama i hardveru i mogu imati katastrofalne poslijedice

  8. Katastrofe • Kompjuterski program, bazepodatakaiopremamogubitiuništeni u slučajupožara, prekida u napajanjuelektričnomenergijomidrugihkatastrofa • Oporavak sistema nakon katastrofe je jako težak i zahtjevan posao, koji se u poslijednje vrijeme često obavlja korištenjem outsourcinga

  9. Fault-tolerant kompjuterskisistemi • Sadržedodatnehardverske, softverske, kaoikomponentenapajanjastrujomkojeosiguravajusistemiomogućavajunjegovnesmetanrad • Dijelovi ovih kompjuterskih sistema se mogu odstraniti i popraviti bez utjecaja na normalan rad sistema

  10. Kakoprovestiinformacijskusigurnost • Procjena rizika – da bi se zaštitili, morateznatiodčega se štitite • Prilikom projene rizika potrebno je uzeti u obzirsveinformacijske resurse kojekompanija posjeduje • Nakon procjene rizika identifikuju se i provode mjere zaštite kako bi se rizici umanjili

  11. Mjere zaštite • Jasnoograničavanjepravapristupa • Stroga kontrola cirkulacije informacija • Nivo tajnosti svake informacije treba biti jasno obilježen • Definiranje procedura za manipulaciju informacijama

  12. Mjere zaštite • Potpisivanjeizjaveo upoznatostisasvimproceduramavezanimazainformacijskusigurnost, i svjestanosti o materijalnojikaznenojodgovornosti u slučajukršenjaistih • Disciplinskipostupcinaddjelatnicimakojisuprekršilipravilainformacijskesigurnosti

  13. Antivirusnisoftver • Softverdizajnirantakodazaštitikompjutereodprisustvaraznihkompjuterskihvirusa • Antivirusni softver mora da bude redovno ažuriran • U sprezi sa antivirusnim programima potrebno je provoditi i preventivnemjere (izbjegavanje sumnjivih web stranica, oprez pri otvaranju maila...)

  14. Zaštitaod Internet hakera • IT Security Policy - potrebno je osigurati kontrolu pravila o korištenju informacionog sistema, informacija i IT tehnologije u firmi • Instaliranje zaštitnih uređaja na komunikacijskim kanalima koji vode izvan firme - vatreni zidovi(firewalls)

  15. Plan oporavka sistema u slučaju katastrofe • Da li se oslonitinauslugedrugihfirmi u ilirazvitivlastitisistemiplanoveoporavka • Analizom svog posla kompanije trebaju da odrede koje podatke treba posebno osigurati od gubitaka u slučaju katastrofa i koji administratori su od velikog značaja za brzi oporavak od kriza • Važno održavati barem minimalan broj radnika od kojih zavisi oporavak

  16. Revizija IS-a • Obuhvaća ispitivanje i vrednovanje informacionog sistema i korištenje softvera za direktno ispitivanje i analizu kompjuterski proizvedenih podataka • Obezbjeđuje pouzdanosti prezentovanih informacija u određenom poslovnom sistemu i definira smjernice za sigurnost i zaštitu ključne infrastrukture na globalnoj osnovi

  17. Revizija IS-a • Osnovnarevizorskapitanja: • Kontrolanepravilnosti • Efektivnostpraktičneprimjeneširokorasprostranjenihmetodazaevaluacijusvihvrstarizikaposlovanja • Efektivnostprimjenerevizorskihpostupakanaprimjerukonkretnoginformacionogsistema • Svakaozbiljnarevizorskakuća je razvilavlastitumetodologijurevizijeinformacionihsistema

  18. Kontrola IS-a • Opća kontrola - nadgledadizajn, sigurnostikorištenjekompjuterskihprogramaiuopćesigurnostbazapodataka u cijelojorganizaciji • Primijenjenakontrola - specifičnazasvakukompjuteriziranuaplikaciju • Kontrolainformacionogsistemamorabitisastavnidionjegovogdizajna

  19. Opće menadžment kontrole • Općemenadžmentkontroleodnose se naokruženje u kojeminformacionisistemifunkcionišu • Sastoji se od opće kontrole i administrativne kontrole

  20. Opća kontrola • Kontrola organizacije i rukovođenja instalacijom • Kontrola politika zaštite instalacije • Kontrola kontinuiteta rada instalacije • Kontrola upravljanja imovinom IT-a • Kontrola korištenja tuđih usluga IT-a

  21. Administrativna kontrola • Set formaliziranih standarda, pravila, procedura kojima se osigurava ispravna provedba općih i primijenjenih kontrola, uključuje: • odvajanje funkcija • pisane politike i procedure • nadgledanje

  22. Kontrola IS-a • Svakainstitucija bi trebalaimatirazvijenesopstvene procedure zakorištenjeinformacionogsistema • Procedure korištenjainformacionogsistema bi trebalebitiprimjenjivenapostojećiinformacionisistem • Kvalitetakontrolabitnoutječena funkcionisanje IS-a

  23. Razvoj kontrolne strukture • Koristi se cost-benefitkako bi se odredilokojisu to optimalni mehanizmi • Bitna pitanja prilikom razvoja kontrolne strukture: • Zaštita stajaćih podataka • Kontrolaučinkovitosti • Nivorizikakojinastajekaorezultatnepravilnekontrole

  24. Aplikativne (primjenjene) kontrole • Jedinstvenazasvakukompjuteriziranuaplikaciju • Sastoji se odtehnikakojeprimjenjujukorisnici, teodprogramiranihprocedura • Mogubitiručneiprogramske

  25. Revizija aplikacije • Vrednuje interne kontroleposebnoza: • unos podataka (u kompjuter) • obradu podataka • datoteke i rezultate obrade podataka • Može ali ne mora biti visokotehničkeprirode

  26. Vrednovanjekontrolaaplikacije • Vrednovanje kontrola aplikacijeobuhvata: • Kontrola organizacije i dokumentacije aplikacije • Kontrola ulaznih podataka • Kontrola izvođenja aplikacije • Kontrola prijenosa podataka • Kontrola matičnih podataka • Kontrola rezultata aplikacije

  27. Kontrola procesa implementacije • Vršiprovjerurazvojasistemadužrazličitihnivoakako bi se osiguralapotpunakontrolanadtimprocesom • Važnastavkarazvojasistemajesteodgovarajućadokumentacijabezkoje bi biloteško, pa čakinemoguće, kontrolirati, održavatiikoristitiinformacionisistem

  28. Kontrola hardvera i softvera • Softverskakontrolanadgledaupotrebusistemskogsoftveraisprječavaneovlaštenoubacivanjedodatnogsistemskogsoftvera, tekompjuterskihprograma • Kontrolahardverafizičkiosiguravasigurnosthardverainepostojanjegrešaka u funkcioniranjuopreme

  29. Kontrola kompjuterskih operacija • Primjenjuje se naradkompjuterskogodjelaiosiguravakonstantnuiispravnuprimjenuprogramskihproceduranaprocesepohranjivanjaiobradepodataka • Uključuje kontrolu: • Poslovaobrade • Softverskihikompjuterskihoperacija • Povrati procedure oporavka u slučajuda se obradazavršilaneispravno

  30. Kontrola sigurnosti podataka • Omogućujesigurnostvrijednihpodatakaodneovlaštenogupada, promjeneiliuništenja • Onlineireal-timesistemisuvrloranjivi, jerim se možepristupitiprekoterminalaiprekooperatora

  31. Kontrola sigurnosti podataka • Pristup terminalima može biti fizički ograničen na samo nekoliko ovlaštenih osoba • Softvermožezahtijevatilozinkukoja je poznatasamoovlaštenimosobama • Dodjela različitih privilegija za korištenje

  32. Provjere kvalitete podataka • Ostvaruje se slijedećim metodama: • ispitivanje krajnjih korisnika i njihovih ocjena kvalitete podataka • ispitivanje cijelih baza podataka • ispitivanjeprimjerkasabazapodataka • Informacionisistemkrim-evidencije FBI-a pokazao je da je čak 54,1% podataka kojima raspolažunetačno, nepotpunoidvosmisleno

  33. Socijalni inžinjering • Temelji na iskorištavanju ljudskog faktora u organizacijama • Neoprezni korisnici IS-a mogu da otkriju povjerljive informacije (npr. password) • Za menadžment veći izazov predstavlja zaštita od netehničkih napada nego od tehničkih • Kontinuirana edukacija je jedini odgovor

  34. Tehnike socijalnog inžinjeringa • Phishing - navođenje korisnika na određenu, napadaču korisnu radnju, predočenjem lažne obavijesti, odnosno postavljanjem mamca • Vishing - VoIPa korištenjem principa phishing tehnike napada • Pharming – manipulaciju DNS zapisima • Spear phishing – metode ciljanih napada, i • Smishing – zlouporaba SMS servisa na mobitelima

  35. Sigurnost informacionih sistema 10. poglavlje

More Related