svojstva i vrijednost informacije informacijska sigurnost n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Svojstva i vrijednost informacije Informacijska sigurnost PowerPoint Presentation
Download Presentation
Svojstva i vrijednost informacije Informacijska sigurnost

Loading in 2 Seconds...

play fullscreen
1 / 30

Svojstva i vrijednost informacije Informacijska sigurnost - PowerPoint PPT Presentation


  • 210 Views
  • Uploaded on

Svojstva i vrijednost informacije Informacijska sigurnost. SVOJSTVA INFORMACIJE • OČEKIVANA VRIJEDNOST INFORMACIJE PROCIJENJENA VRIJEDNOST INFORMACIJE INFORMACIJSKA SIGURNOST KVALITETA INFORMACIJA. Svojstva informacije. SVOJSTVA INFORMACIJA U ODNOSU NA SVOJSTVA FIZIČKIH ROBA

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Svojstva i vrijednost informacije Informacijska sigurnost' - georgia-becker


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
svojstva i vrijednost informacije informacijska sigurnost

Svojstva i vrijednost informacijeInformacijska sigurnost

SVOJSTVA INFORMACIJE

• OČEKIVANA VRIJEDNOST INFORMACIJE

PROCIJENJENA VRIJEDNOST INFORMACIJE

INFORMACIJSKA SIGURNOST

KVALITETA INFORMACIJA

Upravljanje informacijskim resursima 2008/09

svojstva informacije
Svojstva informacije
  • SVOJSTVA INFORMACIJA U ODNOSU NA SVOJSTVA FIZIČKIH ROBA
  • Informacija nije nužno proizvod proizvodnje
  • Informacija se može proizvesti uz malo ili bez ikakvih troškova
  • Svaka se informacija razlikuje od bilo koje druge informacije; ako nije tako onda nema za korisnika karakter novosti
  • Informacija se može razmjenjivati; prihvaćanje informacije u potpunosti je osobno iskustvo
  • Informacija nije nužno rijetka (oskudna) premda dobra informacija nije uvijek i raspoloživa
  • Informacija može imati višestruke efekte i pozitivne i negativne
  • Informacija je djeljiva (nerivalitetna) – nepotrošna; ako ju koristi jedna osoba ne znači da ju ne može koristiti istovremeno i druga
  • Informacija može postojati u dijelovima
  • Informacija može biti potpuno lažna, potpuno istinita, djelomično lažna i djelomično istinita ili niti lažna niti istinita
  • Informacija ne može postojati razdvojena od svoje vrijednosti (koju za primatelja ima)

Izvor: Audrey Fenner, Placing Value on Information, Library Philosophy and Practice Vol. 4, No. 2 (Spring 2002), http://www.webpages.uidaho.edu/~mbolin/fenner.html

Upravljanje informacijskim resursima 2008/09

funkcije informacije
Funkcije informacije
  • Kao resurs
  • Osnova za odlučivanje
  • Za stvaranje dodane vrijednosti
  • Kao imovina
    • Zapisi o proizvodnim procedurama (Patenti, licence i druga intelektualna imovina)
    • Softverska rješenja
  • Kao potrošna roba
    • Komercijalni informacijski servisi

Upravljanje informacijskim resursima 2008/09

teorija odlu ivanja i problem vrednovanja informacije
Teorija odlučivanja i problem vrednovanja informacije
  • Teorija odlučivanja bavi se problemom izbora odluka u danom kontekstu odlučivanja (vrijednosti izbora, neizvjesnosti odlučivanja, ograničenja koja se prilikom izbora postavljaju pred donositelja odluke, utjecaja vremenskog horizonta za koji se odluke donose, preferencija donositelja odluka i slično i obuhvaća više različitih modela i metoda)
  • Odluka se temelji na informacijama i ovisi o
    • (mentalnom) modelu za odlučivanje
    • Svojstvima informacije

Upravljanje informacijskim resursima 2008/09

potrebna i po eljna svojstva informacije
Potrebna i poželjna svojstvainformacije
  • Pravodobnost – da ju korisnik može dobiti onda kad mu treba
  • Točnost – da je provjerljiva i dokaziva i da nema za korisnika protuslovno značenje
  • Potpunost – da obuhvaća sve potrebne aspekte onoga o čemu govori
  • Pouzdanost – da korisnik ima povjerenja u izvor i sadržaj bez provjeravanja
  • Efektivnost: informacija je relevantna za sustav i može se isporučiti pravovremeno, da je ispravna, konzistentna, upotrebljiva i cjelovita
  • Efikasnost: informacija se može iskoristiti uz optimalno iskorištenje resursa
  • Povjerljivost: informacija je zaštićena od neautoriziranog pristupa
  • Integritet: odnosi se na točnost i cjelovitost informacije i njezinu ispravnost u odnosu na sustav vrijednosti i očekivanja
  • Raspoloživost: informacija je raspoloživa u momentu kad je potrebna (implicira njezino zbrinjavanje)
  • Usuglašenost: informacija je u suglasju sa zakonskom regulativom i ugovornim obvezama korisnika

Izvor: Gellinas, Suton: Accounting information Systems, str. 33

Upravljanje informacijskim resursima 2008/09

vrijednost informacije
Vrijednost informacije
  • Vrijednost informacije (VoI) predstavlja iznos koji je donosilac odluke voljan platiti za informaciju prije donošenja odluke.
    • (wiki: Expected value of perfect information/Decisiontheory/Applied InformationEconomics/Informationeconomics
  • To je maksimalna cijena koju je netko voljan platiti znajući aktualnu vrijednost neizvjesnosti prije odluke o planiranim akcijama
    • http://www.businessdictionary.com/definition/value-of-information.html

Upravljanje informacijskim resursima 2008/09

vrijednost informacije formalni aspekt
Vrijednost informacije – formalni aspekt
  • Vrijednost (savršene) informacije u teoriji odlučivanja (VoI) predstavlja iznos (cijenu) koji je donosilac odluke voljan platiti za informaciju prije donošenja odluke.
  • Model: Postoji matrica Rij u kojoj redak i opisuje moguće izbore donositelja odluke a stupac opisuje slučajne varijable o kojima donositelj odluke nema dostatna znanja i koje imaju vjerojatnost pj za stanje j. Ako donositelj izabare j bez da znade vrijednost j najbolji izbor je onaj koji maksimiziraočekivanu monetarnu vrijednost

Gdje je

očekivana vrijednost (dobitak) za akciju i tj. vrijednost koju očekuje donositelj odluke i ona je:

izbor maksimuma ovih očekivanja za sve raspoložive akcije (oduke).

Upravljanje informacijskim resursima 2008/09

Izvor: Prevedeno:

vrijednost informacije1
Vrijednost informacije
  • S druge strane, sa savršenim znanjem o j, igrač može izabrati vrijednost od i tako da optimizira očekivanja za specifičan j. Iz toga je očekivana vrijednost savršene informacije
  • Gdje je pj vjerojatnost da će sustav biti u stanju j a Rij je vrijednost (dobitak, korist) za donositelja odluke ako izabere akciju i dok je sustav u stanju j. Ovdje

predstavlja najbolji izbor akcije (odluke) i za svako stanje j

  • Očekivana vrijednost savršene informacije je razlika između ovih dviju vrijednosti
  • Ova razlika opisuje koliko velikoj vrijednosti se donositelj odluke može u svojim očekivanjima nadati ako znade j i izabere najbolji i za taj j u usporedbi sa slučajem da je izabrao i a da prethodno nije znao j. EV|PI je nužno veće ili jednako EMV tj. EVPI je uvijek nenegativno.
  • EVPI se može koristiti ako želimo odbiti skupu ponudu za znanje čija je cijena veća od EVPI. (Manje je korisna ako moramo odlučiti da li da prihvatimo ponudu za predviđanje, zato jer bismo trebali znati kvalitetu informacije koju ćemo prihvatiti.)

Upravljanje informacijskim resursima 2008/09

vrijednost informacije prakti ni aspekt
Vrijednost informacije – praktični aspekt
  • Vrijednost u upotrebi:
    • Za korisnika u situacijama kad za njom postoji potreba (rješavanju domenskog problema)
    • Vrijednost se ne može definirati unaprijed već već procijeniti unazad tek kad je iskorištena (za stvaranje novog znanja op. JM)
      • Dobitak zbog posjedovanja informacije
      • Gubitak zbog neposjedovanja informacije
    • Nema istu vrijednost za dva korisnika
  • Vrijednost u razmjeni:
    • na organizacijskoj razini kada je informacija predmet trgovine – predmet ponude i potražnje kao i druga roba sa svojim elementima kvalitete
  • Izvor: W, Engelsman, Information Assets and their Value, w.engelsman@student.utwente.nl (Repo, A.J. The dual approach to the value ofinformation – an appraisal of use and exchangevalues, Informationprocessing & management, 22 (5): 373-383, 1986
  • [Rep89] Repo, A.J. The Value of Information: Approaches inEconomics, Accounting, and Management Science.Journal of the American society for informationScience,40(2):68-85,1989

Upravljanje informacijskim resursima 2008/09

mjerila kvalitete inforamcije
Mjerila kvalitete inforamcije

Kvaliteta informacije mjeri se sintaksom, semantikom i pragmatikom.

  • Sintaksa: zahtijeva strogo poštivanje pravila pri prijenosu poruke, koja se odnose na strukturu serije primljenih signala.
  • Semantika: ocjenjuje ekonomičnost (sažetost) informacije, njezinu jasnoću i korektnost.
  • Pragmatika: odnosi na pravovremenost prenesene i priopćene informacije.
  • Sve tri komponente kojima se mjeri kvaliteta informacije važne su i za kvalitetu informacije potrebne za odlučivanje u poslovnom procesu, kao agregat njezinog naturalnog i vrijednosnog izraza.
    • Izvor: http://www.uqmbih.org/iso/info_zahtjevi.pdf

Upravljanje informacijskim resursima 2008/09

dimenzije kvalitete informacije
Dimenzije kvalitete informacije

Subjektivna vrijednost informacije:

  • Korisniku svojstvena vrijednost (Intrinzična): točnost, objektivnost, povjerljivost, reputacija izvora
  • Kontekstualna vrijednost: relevantnost, dodana vrijednost, pravovremenost
  • Reprezentacijska vrijednost: lakoća razumijevanja, interpretabilnost, konciznost reprezentacije, konzistentnost reprezentacije
  • Pristupna vrijednost: pristup i sigurnost pristupa
  • Izvor: Wang, R. & Strong, D. (1996) "Beyond Accuracy: What Data Quality Means to Data Consumers". Journal of Management Information Systems, 1996. 12(4): p. 5-34.

Upravljanje informacijskim resursima 2008/09

metrike kvalitete informacije
Metrike kvalitete informacije
  • Autoritet izvora (informacija je prošla ekspertizu ili priznati status izvora)
  • Obuhvat koji pokriva – širina i dubina u kojima izvor obuhvaća područje
  • Kompozicija i organizacija – informacija je predstavljena na logičan i dosljedan (usklađen s pravilima) način
  • Objektivnost – nepostojanje pristranosti u interpretaciji
  • Integritet - privrženost moralnim i etičkim principima, cjelovitost
  • Opsežnost – doseg koji pokriva informacija; sadržajnost
  • Pravovaljanost (nepobitnost, validnost) - stupanj očevidne istinitosti koju informacija ima
  • Jedinstvenost – priroda izvora i način na koji je informacija predstavljena
  • Pravovremenost – aktualnost, svježina, koliko je važeća
  • Reproduktivnost – koliko je ako se odnosi na neki skup podataka u mogućnosti biti iskorištena na drugi skup a da daje konzistentne rezultate
    • http://en.wikipedia.org/wiki/Information_quality

Upravljanje informacijskim resursima 2008/09

informacijska sigurnost i kontrola
Informacijska sigurnost i kontrola
  • Problem – postoji mnoštvo podataka (informacija) osobnih ili organizacijskih (poslovnih, institucionalnih, vojnih…) čija se kvaliteta i upotrebna vrijednost mogu na različite načine umanjiti ili potpuno uništiti ili zloupotrijebiti u različite svrhe
  • Rješenje: zaštita i osiguranje uvjeta u kojima će se zloupotrebe spriječiti i dovesti na najmanju moguću mjeru.

Upravljanje informacijskim resursima 2008/09

sigurnost rizici ranjivost i prijetnje
Sigurnost, rizici, ranjivost i prijetnje
  • Sigurnost - vjerojatnost da će sustav u nekom vremenu raditi ispravno
  • Rizik – vjerojatnost da sustav neće raditi kako treba i/ili da će se ostvariti neka prijetnja
  • Prijetnja – nešto što može izazvati štetu
  • Ranjivost – slabost sustava koja može pogodovati nastanku štete

RIZIK=PRIJETNJAxRANJIVOSTxVRIJEDNOST_IMOVINE

Upravljanje informacijskim resursima 2008/09

informacijska sigurnost i kontrola1
Informacijska sigurnost i kontrola

Stvari (fizička sigurnost)

Informacijska sigurnost –triada

  • Zaštita informacija i informacijskog sustava od neautoriziranog pristupa, upotrebe, otkrivanja, remećenja, modifikacije ili oštećenja. Zaštita se sprovodi s ciljem osiguranja
    • Integriteta – što znači zaštite točnosti i cjelovitosti - zaštite od od neprimjerene modifikacije ili uništenja a uključuje i povrede prijema i odašiljanja podataka i informacija i autentičnosti (vjerodostojnosti)
    • Povjerljivosti – što znači očuvanje autoriziranih ograničenja na pristup, otkrivanje (objavu) , privatnost i vlasništvo nad podatcima i informacijama
    • Raspoloživosti – što znači osiguranja pravovremenosti i pouzdanosti pristupa i korištenja informacija
  • Izvor: http://www.law.cornell.edu/uscode/html/uscode44/usc_sec_44_00003542----000-.html

Postupci (organizacijska sigurnost)

KOMUNIKACIJA

Raspoloživost

Integritet

Ljudi (osobna sigurnost)

INFORMACIJA

HARDVER

SOFTVER

Povjerljivost

Triada informacijske sigurnosti

Sigurnost stvari i osoba i postupaka

Upravljanje informacijskim resursima 2008/09

informacijska sigurnost i kontrola2
Informacijska sigurnost i kontrola
  • Informacijska sigurnost – heksada
  • Atributi informacijske sigurnosti su nedjeljivi i ne rastavljaju se na druge sastavnice
  • Ne preklapaju u sadržaju
  • Odražavaju jedinstveni aspekt informacije
  • Bilo koja zloupotreba reflektira se na barem jedan od šest atributa
    • Izvor: Parker, Donn B. “"Toward a New Framework for Information Security", in The Computer Security Handbook, 4th ed., edited by Seymour Bosworth and M. E. Kabay • New York, NY: John Wiley & Sons, 2002 • ISBN 0471412589

Informacija

Fizička i osobna sigurnost

6 atributa sigurnosti

Upravljanje informacijskim resursima 2008/09

informacijska sigurnost odgovornost svakog pojedinca
Informacijska sigurnost – odgovornost svakog pojedinca
  • Ovo je priča o četvoro ljudi koji su se zvali Svatko, Netko, Bilotko i Nitko. Trebalo je uraditi važan posao i Svatko je bio siguran da Netko mogao uraditi taj posao. Bilotko je mogao obaviti taj posao ali Nitko nije. Sada kada je Netko postao ljut zato što je to trebao uraditi Svatko a Svatko je mislio da će to uraditi Bilotko, ali je Nitko shvatio da to neće uraditi Svatko. Završilo je tako da je Svatko krivio Ne(t)kog dok Nitko nije uradio što je Bilotko mogao uraditi.
  • (prevedeno iz:http://en.wikipedia.org/wiki/Information_security
  • United Statesgovernmentimages, File:Cx-26146-003.jpg)

http://en.wikipedia.org/wiki/Information_security

Upravljanje informacijskim resursima 2008/09

rizici i informacijska sigurnost
Rizici i informacijska sigurnost

Povreda bilo kojeg aspekta (atributa) sigurnosti donosi sa sobom određene rizike. Menadžment rizika sastoji se od:

  • Procjene sveukupne imovine i njezine vrijednosti: zgrade, hardvera, softvera, podataka
  • Procjena ljudi (radne snage)
  • Procjena prijetnji koja uključuje djelovanje prirodnih sila, ratova, nesreća, zlonamjernih aktivnosti unutar i van organizacije
  • Procjena ranjivosti a za svaku ranjivost izračun vjerojatnosti koja će koristiti. Uz to nužno je vrednovati politike, procedure, standarde, obuku, fizičku sigurnost, kontrolu kvalitete, tehničku sigurnost
  • Izračunati utjecaj svake prijetnje na pojedinačni dio imovine i ljude (kvantitativni i kvalitativni
  • Identificirati, odabrati i implementirati primjerenu kontrolu. Razmotriti produktivnost, troškovnu efektivnost i vrijednost imovine,
  • Procijeniti efektivnost kontrolnih mjera.

Upravljanje informacijskim resursima 2008/09

upravljanje informacijskim rizicima
Upravljanje informacijskim rizicima

ISO/IEC 27002; PREPORUKE ZA INFORMACIJSKLU SIGURNOST – Menadžment informacijskih rizika

  • Osigurati konzistentnu sigurnosnu politiku
  • Organizirati informacijsku sigurnost
  • Definirati sredstva i način upravljanja tim sredstvima
  • Definirati sva pitanja osobne sigurnosti
  • Definirati pitanja fizičke sigurnosti i sigurnosti okruženja
  • Definirati pitanja sigurnosti komunikacija i operacijskog menadžmenta
  • Definirati način upravljanja incidentima u slučaju narušavanja informacijske sigurnosti
  • Osigurati kontinuitet rada u upravljanje kontinuitetom i regulatorne mjere za sukladnost metoda i postupaka
  • Identificirati, izabrati i implementirati primjerenu kontrolu, njezinu efektivnost i mjere sprovođenja
  • Razraditi elemente produktivnosti, troškova i vrijednosti sredstava

Upravljanje informacijskim resursima 2008/09

kontrole sigurnosti
Kontrole sigurnosti
  • Administrativne kontrole
  • Pisane politike, procedure, standardi i uputstva iz poslovnog sustava
  • Politika korisničkih imena i zaporki, pravila korištenja
  • Zakonske kontrole
  • Standardi informacijske sigurnosti za pojedine vrste poslovanja (kartice, tokeni...)
  • Logičke kontrole
  • Koriste softverska rješenja i podatke za nadzor i kontrolu pristupa informacijama u računalnom sustavu (zaporke, vatrozidi, sustavi za detekciju upada, kontrolne liste za pristup pojedinim resursima, kriptiranje podataka)
  • Princip najnižih privilegija – zahtjeva da se pojedincu daju one privilegije koje su dostatne za izvršenje njegovih zadataka (npr. za operacijski sustav samo korisnička zaporka ali ne i administratorska)
  • Fizičke kontrole
  • Obuhvaćaju nadzor i kontrolu radnog okruženja i računalne opreme (vrata, brave, sustave za grijanje i hlađenje, alarmne sustave za atrodojavu i dim, kamere, prozore, kablove za zaključavanje itd.)
  • Razdvajanje dužnosti i dozvola za kritične situacije nositelja pojedinih aktivnosti (blagajna, primjenski programi, administriranje baze, programiranje)

Upravljanje informacijskim resursima 2008/09

kontrola pristupa
Kontrola pristupa
  • Kontrola pristupa
  • Autorizacija (identifikacija i autentifikacija) korisnika računalnog sustava
  • Autorizacija (identifikacija i autentifikacija) pristupa podatcima
  • Autorizacija (identifikacija i autentifikacija) pristupa programima
  • Identifikacija je dokaz o tome tko je što ili što je što
  • Autentifikacija – je čin verifikacije zahtjeva za identifikacijom. Provodi se kroz tri tipa informacije (ili njihovom kombinacijom)
    • Nešto što onaj koji se identificirao znade (PIN, zaporka, korisničko_ime)
    • Nešto što onaj koji se identificirao znade ima (magnetna kartica, čip kartica, iskaznica...)
    • Nešto što onaj koji se identificirao znade jest (otisak prsta, glas, rožnica oka...)
  • Nakon autorizacije otvaraju se opcije dozvola za korištenje resursa (pokretanje programa i datoteka, pregled, kreiranje, brisanje, izmjene)

Upravljanje informacijskim resursima 2008/09

kontrola pristupa mehanizmi
Kontrola pristupa - mehanizmi

Pistupni mehanizmi (temeljeni na administrativnim politikama i procedurama)

  • Ne –diskrecijski pristup: sve pristupne kontrole se administriraju u centraliziranom sustavu. Kontrole se temelje na funkcijama (ulogama ) koje pojedinci izvršavaju
  • Diskrecijski pristup: vlasnik ili kreator informacijskog resursa određuje prava pristupa tom resursu
  • Mandatni pristup: pristup je dozvoljen ili nije dozvoljen ovisno o tipu informacijskog resursa
  • (Današnji računalni sustavi i metode: sustavi temeljeni na ulogama, Grupne politike – postavke omogućuju mrežni operacijski sustavi (Kerberos, RADIUS, pristupne liste na vatrozidima i ruterima
  • Kontrole moraju biti podržane, moraju omogućiti registiranje i prebrojavanje aktivnosti, (log datoteke) i sve aktivnosti moraju ostaviti neki registirirani trag (putanju)

Upravljanje informacijskim resursima 2008/09

klasifikacija informacija s aspekta sigurnosti
Klasifikacija informacija s aspekta sigurnosti
  • Kriteriji klasifikacije (određuje ih uprava i menadžment na temelju sigurnosne politike).
  • Vrijednost informacije za organizaciju,
    • Aktualnost informacije i brzina zastarjevanja
    • Zakonska regulativa za pojedine informacije
    • Svakoj se kategoriji informacija dodjeljuje klasifikacijska oznaka i potrebne kontrole
  • Klasifikacija
    • Javne
    • Osjetljive
    • Privatne
    • Povjerljive
    • Tajne
    • Vrhunski tajne

KRIPTOGRAFIJA – prevođenje iskoristive

informacije u oblik (formu) koja je

neiskoristiva bilo kome drugom osim

autoriziranom korisniku – onome koji

znade ključ za prevođenje.

Proces se naziva kriptiranje (enkripcija)

Upravljanje informacijskim resursima 2008/09

rizici i ulaganja u za titu nala enje optimuma
Rizici i ulaganja u zaštitu – nalaženje optimuma

Ulaganja u

zaštitu/Štete

Max

Ulaganja

Rizici

optimum

Min

Veličina

rizika

Min

Max

Upravljanje informacijskim resursima 2008/09

standardi informacijske sigurnosti
Standardi informacijske sigurnosti

ISO/IEC 27002 - dio je ISO 27000 serije standarda o informacijskoj sigurnosti i sigurnosti informacijske tehnologije. Temelji se na rezultatima i preporukama najbolje prakse. Temelji se na triadiinformcijske sigurnosti.

  • Prema preporukama ISO/IEC 27002:2005 za ISMS nužno je:
  • Definirati sigurnosnu politiku
  • Organizirati informacijsku sigurnost
  • Definirati upravljanje imovinom
  • Definirati sigurnost ljudskih resursa
  • Definirati fizičku sigurnost
  • Definirati sigurnost okruženja
  • Definirati upravljanje komunikacijama i operacijama te kontrolu pristupa informacijama
  • Definirati način prikupljanja, razvoja i održavanja podataka i informacija
  • Upravljanje u incidentnim slučajevima narušavanja informacijske sigurnosti
  • Upravljanje kontinuitetom poslovanja i usklađenost regulatornih mjera

Upravljanje informacijskim resursima 2008/09

upravljanje rizicima prema iso iec 27002
Upravljanje rizicima prema ISO/IEC 27002
  • UPRAVLJANJE RIZICIMA (RISK MANAGEMENT) se sastoji od:
  • Identifikacije imovine i procjene njezine vrijednosti (ljudi, zgrade, hardver, softver, podatci)
  • Procjene prijetnji (djelovanja prirode, ratova, nesreća, zlonamjernog djelovanja unutar i van organizacije)
  • Procjene ranjivosti a za svaku vrstu ranjivosti izračunati vjerojatnost. Vrednovati politike, postupke, standarde, obuku, fizičku sigurnost, kontrolu kvalitete, tehničku sigurnost
  • Izračunati utjecaj svake prijetnje na pojedinu vrstu imovine- kvantitativne i kvalitativne analize
  • Identificirati, izabrati i implementirati odgovarajuće kontrole. Razmotriti pitanja produktivnosti, troškovne efektivnosti i vrijednost sredstava (imovine)
  • Procijeniti efektivnost kontrolnih mjera i utjecaj na produktivnost

Upravljanje informacijskim resursima 2008/09

izvori i oblici prijetnji
Izvori i oblici prijetnji

Upravljanje informacijskim resursima 2008/09

prijetnje ra unalnoj sigurnosti nist klasifikacija
Prijetnje računalnoj sigurnosti – NIST klasifikacija

NIST (National Institute of Standards and Technology , SAD)–klasifikacija

  • Pogreške i propusti
    • Pogreške u unosu podataka
    • Pogreške u programiranju
  • Prevare i krađe – upotreba prava koja ne pripadaju korisniku na neku vrstu podataka (pristup bankovnim računima i skidanje malih iznosa)
  • Sabotaže zaposlenika
    • Uništenje hardverskih komponenata
    • Postavljanje “logičkih bombi” – programskih rješenja koja mogu uništiti ostale programe ili podatke
    • Pogrešan (namjerni) unos podataka
    • Unos programa koji ruše sustav
    • Brisanje podataka
    • Uzimanje podataka za ucjene
    • Promjene podataka
  • Gubitak fizičke i infrastrukturne potpore izazvan vanjskim utjecajima (gubitak napajanja, potres, poplava)
  • Hakerski napadi –vanjski napadi- krađa podataka, neautorizirani pristup podatcima i njihovo brisanje, unošenje bagova
  • Malware (maliciozni napadi)
    • Virusi – dijelovi programskog koda koji se mogu sami replicirati i dodaju se izvršnim datotekama (od slanja poruka, usporavanja rada do formatiranja diska)
    • Trojanski konji – programi koji se sami instaliraju i izvode različite neželjene aktivnosti
    • Crvi (warms) – programi koji se automatski izvršavaju i izazivaju značajno smanjenje performansi računalnog sustava.
  • Prijetnje osobnoj sigurnosti – krađa privatnih podataka iz različitih privatnih baza podataka
  • Onemogućavanje usluga (pristup mrežnim servisima)

Upravljanje informacijskim resursima 2008/09

prijetnje ra unalnoj sigurnosti klasifikacija europske komisije
Prijetnje računalnoj sigurnosti – klasifikacija Europske komisije

Recommendation (89)9 of European Council

  • Računalne zloupotrebe
  • Računalno krivotvorenje
  • Oštećivanje podataka i programa
  • Računalna sabotaža i neautorizirani pristup
  • Neautorizirano osluškivanje
  • Neautorizirana reprodukcija zaštićenih računalnih programa
  • Neautorizirano kopiranje topografije poluvodičkih elemenata
  • Neautorizirana promjena podataka i/ili programa i dodatne sigurnosne prijetnje
  • Računalna špijunaža
  • Neautorizirana upotreba računalnih sustava
  • Neautorizirano kopiranje zaštićenih računalnih programa

Upravljanje informacijskim resursima 2008/09

na ini rje avanja informacijskih prijetnji
Načini rješavanja informacijskih prijetnji
  • Pogreške i propusti
    • Pogreške u unosu podataka
    • Pogreške u programiranju
  • Prevare i krađe
  • Sabotaže
  • Gubitak fizičke i infrastrukturne potpore
  • Hakerski napadi i malware
  • Prevencija pogrešaka i propusta
    • Izrada sučelja za unos podataka s javljanjem pogreške o tipu podataka
    • Testiranje programa na dovoljno velikom skupu podataka
  • Autentifikacija, identifikacija, autorizacija, kriptiranje podataka
  • Onemogućavanje fizičkog pristupa, softverska i hardverska zaštita uređaja i datoteka
  • Čuvanje rezervnih kopija podataka na posebno zaštićenim mjestima, UPS i rezervna napajanja
  • Softverska zaštita – specijalizirani programi (protiv advera, spyvera, antivirusna zaštita, protiv pishinga-a, pharming-a, podešavanje i filtriranje prometa – vatrozid (firewall ) – osobni i mrežni

Prijetnje

Zaštita

Upravljanje informacijskim resursima 2008/09