380 likes | 596 Vues
Sigurnost informacionih sistema. 10. poglavlje. Uvod. Informacije su važan resurs od kojega zavisi opstanak i razvoj organizacije i moraju biti adekvatno zaštićene
E N D
Sigurnost informacionih sistema 10. poglavlje
Uvod • Informacijesuvažanresursodkojegazavisiopstanakirazvojorganizacije i moraju biti adekvatno zaštićene • Informacijskasigurnost se bavizaštitominformacijabezobzira u kojemobliku one postojale; dakle, to uključujeinformacijei u digitalnomi u papirnomobliku • Unutrašnje i vanjske prijetnje informacijskoj sigurnosti
Situacija u BiH • Da li se u BiH informacije smatrajuosobitomvrijednošću? • Da li imaju statusimovineilikapitala? • Koliko kompanije pridaju pažnje sigurnosti u zaštiti informacijskih resursa?
Informacijska sigurnost • Povjerljivosti – informacija jedostupnasamoonimakojisuovlaštenida je koriste • Integritet – osiguravatačnostikompletnostinformacijaimetodazanjihovoprocesiranje • Dostupnosti – samo ovlaštenoosobljeimapristupinformacijama
Prijetnjeinformacionimresursima • Zaposleni • Niska svijest o potrebi i načinima zaštite informacija • Porastumreženostiidistribuiraneobradepodataka • Porast složenosti, efektivnosti i dostupnosti hakerskih alata i virusa • E-mail i Internet • Elementarnenepogodeinesreće
Kompjuterskivirusiidrugimalicioznisoftver • Najčešći tip ugrožavanja informacionih sistema • Kompjuterski virus je program koji je napisan sa ciljem da prilikom izvršavanja napravi štetu na inficiranom kompjuteru • Crv (eng. worm) je program koji se brzo multiplicira kroz kompjutersku mrežu, ali ne poduzima nikakve druge akcije na inficiranim kompjuterima • “Trojanski konj" je program koji se ne multiplicira, ugrađen je u neki drugi program i obično "krade" korisne i važne informacije
Hakerski upadi i greške • Haker je osobakojaneovlaštenoupada u telekomunikacionumrežukako bi ostvarila profit, krivičnodjeloili, jednostavno, ličnozadovoljstvo • Greške se mogu desiti bilo gdje u sistemu obrade informacija: kroz unošenje podataka, kroz greške u programu, kompjuterskim operacijama i hardveru i mogu imati katastrofalne poslijedice
Katastrofe • Kompjuterski program, bazepodatakaiopremamogubitiuništeni u slučajupožara, prekida u napajanjuelektričnomenergijomidrugihkatastrofa • Oporavak sistema nakon katastrofe je jako težak i zahtjevan posao, koji se u poslijednje vrijeme često obavlja korištenjem outsourcinga
Fault-tolerant kompjuterskisistemi • Sadržedodatnehardverske, softverske, kaoikomponentenapajanjastrujomkojeosiguravajusistemiomogućavajunjegovnesmetanrad • Dijelovi ovih kompjuterskih sistema se mogu odstraniti i popraviti bez utjecaja na normalan rad sistema
Kakoprovestiinformacijskusigurnost • Procjena rizika – da bi se zaštitili, morateznatiodčega se štitite • Prilikom projene rizika potrebno je uzeti u obzirsveinformacijske resurse kojekompanija posjeduje • Nakon procjene rizika identifikuju se i provode mjere zaštite kako bi se rizici umanjili
Mjere zaštite • Jasnoograničavanjepravapristupa • Stroga kontrola cirkulacije informacija • Nivo tajnosti svake informacije treba biti jasno obilježen • Definiranje procedura za manipulaciju informacijama
Mjere zaštite • Potpisivanjeizjaveo upoznatostisasvimproceduramavezanimazainformacijskusigurnost, i svjestanosti o materijalnojikaznenojodgovornosti u slučajukršenjaistih • Disciplinskipostupcinaddjelatnicimakojisuprekršilipravilainformacijskesigurnosti
Antivirusnisoftver • Softverdizajnirantakodazaštitikompjutereodprisustvaraznihkompjuterskihvirusa • Antivirusni softver mora da bude redovno ažuriran • U sprezi sa antivirusnim programima potrebno je provoditi i preventivnemjere (izbjegavanje sumnjivih web stranica, oprez pri otvaranju maila...)
Zaštitaod Internet hakera • IT Security Policy - potrebno je osigurati kontrolu pravila o korištenju informacionog sistema, informacija i IT tehnologije u firmi • Instaliranje zaštitnih uređaja na komunikacijskim kanalima koji vode izvan firme - vatreni zidovi(firewalls)
Plan oporavka sistema u slučaju katastrofe • Da li se oslonitinauslugedrugihfirmi u ilirazvitivlastitisistemiplanoveoporavka • Analizom svog posla kompanije trebaju da odrede koje podatke treba posebno osigurati od gubitaka u slučaju katastrofa i koji administratori su od velikog značaja za brzi oporavak od kriza • Važno održavati barem minimalan broj radnika od kojih zavisi oporavak
Revizija IS-a • Obuhvaća ispitivanje i vrednovanje informacionog sistema i korištenje softvera za direktno ispitivanje i analizu kompjuterski proizvedenih podataka • Obezbjeđuje pouzdanosti prezentovanih informacija u određenom poslovnom sistemu i definira smjernice za sigurnost i zaštitu ključne infrastrukture na globalnoj osnovi
Revizija IS-a • Osnovnarevizorskapitanja: • Kontrolanepravilnosti • Efektivnostpraktičneprimjeneširokorasprostranjenihmetodazaevaluacijusvihvrstarizikaposlovanja • Efektivnostprimjenerevizorskihpostupakanaprimjerukonkretnoginformacionogsistema • Svakaozbiljnarevizorskakuća je razvilavlastitumetodologijurevizijeinformacionihsistema
Kontrola IS-a • Opća kontrola - nadgledadizajn, sigurnostikorištenjekompjuterskihprogramaiuopćesigurnostbazapodataka u cijelojorganizaciji • Primijenjenakontrola - specifičnazasvakukompjuteriziranuaplikaciju • Kontrolainformacionogsistemamorabitisastavnidionjegovogdizajna
Opće menadžment kontrole • Općemenadžmentkontroleodnose se naokruženje u kojeminformacionisistemifunkcionišu • Sastoji se od opće kontrole i administrativne kontrole
Opća kontrola • Kontrola organizacije i rukovođenja instalacijom • Kontrola politika zaštite instalacije • Kontrola kontinuiteta rada instalacije • Kontrola upravljanja imovinom IT-a • Kontrola korištenja tuđih usluga IT-a
Administrativna kontrola • Set formaliziranih standarda, pravila, procedura kojima se osigurava ispravna provedba općih i primijenjenih kontrola, uključuje: • odvajanje funkcija • pisane politike i procedure • nadgledanje
Kontrola IS-a • Svakainstitucija bi trebalaimatirazvijenesopstvene procedure zakorištenjeinformacionogsistema • Procedure korištenjainformacionogsistema bi trebalebitiprimjenjivenapostojećiinformacionisistem • Kvalitetakontrolabitnoutječena funkcionisanje IS-a
Razvoj kontrolne strukture • Koristi se cost-benefitkako bi se odredilokojisu to optimalni mehanizmi • Bitna pitanja prilikom razvoja kontrolne strukture: • Zaštita stajaćih podataka • Kontrolaučinkovitosti • Nivorizikakojinastajekaorezultatnepravilnekontrole
Aplikativne (primjenjene) kontrole • Jedinstvenazasvakukompjuteriziranuaplikaciju • Sastoji se odtehnikakojeprimjenjujukorisnici, teodprogramiranihprocedura • Mogubitiručneiprogramske
Revizija aplikacije • Vrednuje interne kontroleposebnoza: • unos podataka (u kompjuter) • obradu podataka • datoteke i rezultate obrade podataka • Može ali ne mora biti visokotehničkeprirode
Vrednovanjekontrolaaplikacije • Vrednovanje kontrola aplikacijeobuhvata: • Kontrola organizacije i dokumentacije aplikacije • Kontrola ulaznih podataka • Kontrola izvođenja aplikacije • Kontrola prijenosa podataka • Kontrola matičnih podataka • Kontrola rezultata aplikacije
Kontrola procesa implementacije • Vršiprovjerurazvojasistemadužrazličitihnivoakako bi se osiguralapotpunakontrolanadtimprocesom • Važnastavkarazvojasistemajesteodgovarajućadokumentacijabezkoje bi biloteško, pa čakinemoguće, kontrolirati, održavatiikoristitiinformacionisistem
Kontrola hardvera i softvera • Softverskakontrolanadgledaupotrebusistemskogsoftveraisprječavaneovlaštenoubacivanjedodatnogsistemskogsoftvera, tekompjuterskihprograma • Kontrolahardverafizičkiosiguravasigurnosthardverainepostojanjegrešaka u funkcioniranjuopreme
Kontrola kompjuterskih operacija • Primjenjuje se naradkompjuterskogodjelaiosiguravakonstantnuiispravnuprimjenuprogramskihproceduranaprocesepohranjivanjaiobradepodataka • Uključuje kontrolu: • Poslovaobrade • Softverskihikompjuterskihoperacija • Povrati procedure oporavka u slučajuda se obradazavršilaneispravno
Kontrola sigurnosti podataka • Omogućujesigurnostvrijednihpodatakaodneovlaštenogupada, promjeneiliuništenja • Onlineireal-timesistemisuvrloranjivi, jerim se možepristupitiprekoterminalaiprekooperatora
Kontrola sigurnosti podataka • Pristup terminalima može biti fizički ograničen na samo nekoliko ovlaštenih osoba • Softvermožezahtijevatilozinkukoja je poznatasamoovlaštenimosobama • Dodjela različitih privilegija za korištenje
Provjere kvalitete podataka • Ostvaruje se slijedećim metodama: • ispitivanje krajnjih korisnika i njihovih ocjena kvalitete podataka • ispitivanje cijelih baza podataka • ispitivanjeprimjerkasabazapodataka • Informacionisistemkrim-evidencije FBI-a pokazao je da je čak 54,1% podataka kojima raspolažunetačno, nepotpunoidvosmisleno
Socijalni inžinjering • Temelji na iskorištavanju ljudskog faktora u organizacijama • Neoprezni korisnici IS-a mogu da otkriju povjerljive informacije (npr. password) • Za menadžment veći izazov predstavlja zaštita od netehničkih napada nego od tehničkih • Kontinuirana edukacija je jedini odgovor
Tehnike socijalnog inžinjeringa • Phishing - navođenje korisnika na određenu, napadaču korisnu radnju, predočenjem lažne obavijesti, odnosno postavljanjem mamca • Vishing - VoIPa korištenjem principa phishing tehnike napada • Pharming – manipulaciju DNS zapisima • Spear phishing – metode ciljanih napada, i • Smishing – zlouporaba SMS servisa na mobitelima
Sigurnost informacionih sistema 10. poglavlje