Bezbednost i zaštita informacionih sistema

Слични документи
Универзитет у Београду Факултет организационих наука Распоред испита за предмете мастер академских студија Испитни рок: Јун Предмет Датум Време

Универзитет у Београду Факултет организационих наука Коначан распоред испита за предмете Мастер академских студија Испитни рок: ОКТОБАР Предмет

ASAS AS ASAS

ASAS AS ASAS

Na osnovu člana 7. stav 4. Zakona o informacionoj bezbednosti ( Službeni glasnik RS, broj 6/16) i člana 42. stav 1. Zakona o Vladi ( Službeni glasnik

Microsoft Word - ????????? ? ??????????? ????????????-?????????????? ??????? ??????????? ????????? ? ?????.docx

Odluka o oglasavanju

ASAS AS ASAS

ASAS AS ASAS

ASAS AS ASAS

ASAS AS ASAS

PowerPoint-Präsentation

ИНTEРНA РEВИЗИJA

ASAS AS ASAS

CENOVNIK USLUGA maj godine

Контрола ризика на радном месту – успостављањем система менаџмента у складу са захтевима спецификације ИСО 18001/2007

Microsoft Word - Pravilnik o bezbednosti IKT sistema Grada Pirota.doc

AKCIONI PLAN ZA SPROVOĐENjE STRATEGIJE ZA BORBU PRTOIV VISOKOTEHNOTLOŠKOG KRIMINALA ZA PERIOD GODINE OPŠTI CILj 1. CILj 1.1. Mer

ASAS AS ASAS

Microsoft Word - Master 2013

Microsoft Word - Master 2013

Microsoft PowerPoint - Topic02 - Serbian.ppt

На основу члана 15. и члана 59. став 2. Закона о Агенцији за борбу против корупције ( Службени гласник РС, бр. 97/08, 53/10, 66/11 - одлука УС, 67/13

СЛУЖБЕНИ ГЛАСНИК ОПШТИНЕ ЛАЈКОВАЦ Број 9 Службени гласник општине Лајковац ГОДИНА XVIII БРОЈ ГОДИНЕ ИЗЛАЗИ ПО ПОТРЕБИ Републи

Microsoft PowerPoint - Topic02 - Serbian.ppt

Microsoft Word - Raspored ispita Jun.doc

На основу члана 8. Закона о информационој безбедности ( Службени гласник РС, број 6/16), члана 2. Уредбе о ближем садржају Правилника о безбедности ин

ZIS

Broj: 01-12/2014 Datum: Direktor preduzeća Phoneco doo, Marko Burgić dipl. Oecc., objavljuje OPŠTE USLOVE USTUPANJA PRAVA NA KORIŠĆENJE POS

CRNA GORA ZAVOD ZA STATISTIKU S A O P Š T E NJ E Broj: 282 Podgorica, 1 novembar god. Prilikom korišćenja ovih podataka navesti izvor Upotreba i

GODIŠNJI KALENDAR ISPITA Inženjerski menadžment (OSNOVNE AKADEMSKE STUDIJE) ŠKOLSKA 2018/2019. GODINA Rbr

Структура модула студијског програма МЕНАЏМЕТ И ОРГАНИЗАЦИЈА

FAKULTET ORGANIZACIONIH NAUKA

Projektovanje informacionih sistema i baze podataka

Prezentacija / Ostoja Travar

I година Назив предмета I термин Вријеме II термин Вријеме Сала Математика : :00 све Основи електротехнике

I година Назив предмета I термин Вријеме II термин Вријеме Сала Математика : :00 све Основи електротехнике

I година Назив предмета I термин Вријеме II термин Вријеме Сала Математика : :00 све Основи електротехнике

I година Назив предмета I термин Вријеме Сала Математика :00 све Основи електротехнике :00 све Програмирање

АКЦИОНИ ПЛАН ЗА СПРОВОЂЕЊЕ СТРАТЕГИЈЕ ЗА БОРБУ ПРОТИВ КОРУПЦИЈЕ У БРЧКО ДИСТРИКТУ БиХ

Microsoft PowerPoint - SEP-2013-CAS02

Upravljanje kvalitetom Osnove za izradu projektnog zadatka

CRNA GORA ZAVOD ZA STATISTIKU S A O P Š T E NJ E Broj: 281 Podgorica, 31. oktobar god. Prilikom korišćenja ovih podataka navesti izvor Upotreba

PowerPoint Presentation

Microsoft Word - SYLLABUS -Bezbednost na IT mrezama

KATALOG ZNANJA IZ INFORMATIKE

Microsoft PowerPoint - UNSA HRS4R i Akcioni plan seminar.pptx

АНКЕТА О ИЗБОРУ СТУДИЈСКИХ ГРУПА И МОДУЛА СТУДИЈСКИ ПРОГРАМИ МАСТЕР АКАДЕМСКИХ СТУДИЈА (МАС): А) РАЧУНАРСТВО И АУТОМАТИКА (РиА) и Б) СОФТВЕРСКО ИНЖЕЊЕ

Implementacija

РНИДС Систематизација радних места

Бања Лука, 31.октобар и 01.новембар године КОМПАРАТИВНИ ПРИСТУП МОДЕЛИМА НАЦИОНАЛНИХ АГЕНЦИЈА ЗА БЕЗБЕДНОСТ САОБРАЋАЈА

CRNA GORA ZAVOD ZA STATISTIKU S A O P Š T E NJ E Broj: 229 Podgorica, 30. oktobar god. Prilikom korišćenja ovih podataka navesti izvor Upotreba

Slide 1

Microsoft PowerPoint - 06 Uvod u racunarske mreze.ppt

Microsoft Word - Smerovi 1996

FAKULTET ORGANIZACIONIH NAUKA

CRNA GORA ZAVOD ZA STATISTIKU S A O P Š T E NJ E Broj: 295 Podgorica, 31. oktobar godine Prilikom korišćenja ovih podataka navesti izvor Upotreb

НАЗИВ ЗАПИСА

ПЛАН ИНТЕГРИТЕТА ФАКУЛТЕТА ПЕДАГОШКИХ НАУКА УНИВЕРЗИТЕТА У КРАГУЈЕВЦУ (други циклус ) Јагодина, 2017.

Структура инкубаторских станица Референтни метаподаци према Euro SDMX структури метаподатака (ESMS) Републички завод за статистику Републике Српске 1.

СЛУЖБЕНИ ЛИСТ ОПШТИНЕ ВАРВАРИН ГОДИНА XXХV БРОЈ године В А Р В А Р И Н Лист излази према потреби Годишња претплата 300 дин. Цена овог бро

Microsoft PowerPoint - MNE EBRD RES Montengro workshop~Task 6~v2a.ppt

Microsoft Word - RSC doc

______________________ sudu u ___________________

program rada 2017.god.[285]

C E N O V N I K OSNOVNE AKADEMSKE STUDIJE: PRVA GODINA Ekonomija Engleski jezik 1 - Organize Your English Francuski jezik 1 i 2 Lexique Des Affairs pr

Studijski primer - Dijagrami toka podataka Softverski inženjering 1

program rada 2016.god.[283]

Република Српска Град Бања Лука Градоначелник Трг српских владара 1, Бања Лука ГОДИШЊИ ПЛАН РЕВИЗИЈЕ Јединице за интерну ревизију Града Бања Лука за 2

FAKULTET ORGANIZACIONIH NAUKA

Microsoft Word - INDEKS REGISTAR PRAVOSUDNE KOMISIJE ćir.doc

Predmet: Marketing

Microsoft Word - ????????? ? ???????? ?? ?????????? ?????????.doc

Питања за електронски тест: Ванредне ситуације у Републици Србији законска регулатива и институционални оквири 1.Шта је ванредна ситуација? а) стање к

06 Poverljivost simetricnih algoritama1

PowerPoint Presentation

Agencija za zaštitu tržišnog natjecanja na temelju Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja o zaštiti pojedinaca u vezi

Folie 1

ЗАКОН О ИЗМЕНАМА ЗАКОНА О ИНФОРМАЦИОНОЈ БЕЗБЕДНОСТИ Члан 1. П Р Е Д Л О Г У Закону о информационој безбедности ( Службени гласник РС, број 6/16), у чл

BOSNA I HERCEGOVINA

e-bank pristup najnovija mart 2011.xls

На основу члана 33. став 1. Закона о тајности података ( Службени гласник РС, број 104/09) и члана 42. став 1. Закона о Влади ( Службени гласник РС, б

FAKULTET INFORMACIONIH TEHNOLOGIJA R A S P O R E D Studijska grupa: POSLOVNA INFORMATIKA Školska godina: REDOVNI STUDIJ I godina II semesta

Generated by Foxit PDF Creator Foxit Software For evaluation only. Operativni sistem U računarstvu, operativni sistem (OS

(Microsoft Word - ZAKLJUCAK O USVAJANJU AKCIONOG PLANA ZA SPROVO\320ENJE STRATEGIJE ZA STALNO UNAPRE\320ENJE KVALITETA ZDRAVSTVENE ZA\212)

Microsoft Word - IzvjestajPlakalovic

Satnica.xlsx

NA VISINI ZADATKA Modernizacija IT sistema jednog od vodećih medijskih portala u Srbiji

USLOVI DIREKTNIH KANALA ZA PRAVNA LICA I PREDUZETNIKE poslovanja uslovi) je internet stranica: ni broj ,

KAKO BRŽE DO POSLA ZA StrukovnOG inženjerA zaštite životne sredine

ГЛОБАЛНА СТУДИЈА О ПРЕВАРАМА (2016)

Satnica.xlsx

РЕПУБЛИКА СРПСКА МИНИСТАРСТВО УНУТРАШЊИХ ПОСЛОВА Е НАЦРТ ЗАКОН О БЕЗБЈЕДНОСТИ КРИТИЧНИХ ИНФРАСТРУКТУРА У РЕПУБЛИЦИ СРПСКОЈ Бања Лука, март годин

06.ЈУЛ 2016 СЛУЖБЕНИ ЛИСТ општине Књажевац ГОДИНА X БРОЈ МАРТ 2017 БЕСПЛАТАН ПРИМЕРАК 1 На основу члана 81. Закона о буџетском систему ("Сл. гла

З А К О Н О ИЗМЕНАМА И ДОПУНАМА ЗАКОНИКА О КРИВИЧНОМ ПОСТУПКУ Члан 1. П Р Е Д Л О Г У Законику о кривичном поступку ( Службени гласник РС, бр. 72/11,

ULOGA KONTROLE KVALITETE U STVARANJU INFRASTRUKTURE PROSTORNIH PODATAKA Vladimir Baričević, dipl.ing.geod. Dragan Divjak, dipl.ing.geod.

Microsoft Word - Document1

Opsta nacela nepristrasnosti

Транскрипт:

Fakultet organizacionih nauka Uvod u informacione sisteme Doc. Dr Ognjen Pantelić Bezbednost i zaštita informacionih sistema

Opasnosti po IS prema uzroku nastanka Prirodne opasnosti (elementarne nepogode, prirodna zračenja) Čovek sa aspekta nenamernosti (loša organizacija, nedisciplina, nemar, nehat, zamor i dr.). Čovek sa atributom namernosti (diverzija, sabotaža, zlonamernost, kriminal, špijunaža) 2

Ranjivost sistema Drastično je povećana rasprostranjivanjem umrežavanja i pojavom wireless tehnologija. Klasifikacija namernih pretnji: Krađa podataka Neovlašćeno korišćenje podataka Krađa računarskog vremena Krađa opreme i / ili programa Svesne manipulacije pri rukovanju Unos, obrada i transfer podataka Opstrukcije i štrajk Sabotaže Namerno oštećenje opreme Destrukcija virusima Teroristički napadi 3

Komponente integralne zaštite IS Fizička zaštita računarske opreme i resursa Zaštita pristupa zabrana pristupa računarskim resursima neautorizovanim korisnicima Zaštita komunikacija kontrola kretanja podataka kroz mrežu Zaštita aplikacija 4

Mere bezbednosti pri nabavci, instalaciji, korišćenju i održavanju hardvera Nabavka kvalitetnog hardvera od kvalitetnih dobavljača Evidencija računarske opreme Instalacija hardvera od strane kompetentnih lica Korišćenje uređaja za neprekidno napajanje - UPS Korišćenje hardvera uz: mere tehničke zaštite, zaključavanje prostorija, plombiranje računara i ostale opreme. Izbegavati premeštanje, pozajmljivanje i iznošenje računarske opreme Održavanje hardvera poveriti stručnoj organizaciji 5

Mere bezbednosti pri nabavci, instalaciji, korišćenju i održavanju softvera Nabavka licencnog softvera Stručna instalacija samo službeno potrebnog softvera Korišćenje softvera bez eskperimenata uz kopiju na rezervnom medijumu bez razmene softvera sa drugim korisnicima Održavanje softvera od strane stručnog lica 6

Mere bezbednosti u fazi eksploatacije IS Definisati procedure rada i vršiti kontrolu njihovog poštovanja Vršiti kontorlu ovlašćenja izmena u aplikacijama Definisati postupke u slučaju vanrednih situacija Koristiti računar samo za izvršavanje službenih zadataka Pristup sistemu pomoću lozinke Računar sa najvažnijim podacima ne povezivati na Internet Svi medijumi sa podacima treba da budu evidentirani 7

Strategija zaštite Glavni zadaci strategije zaštite: 1. Prevencija i zastrašivanje 2. Detekcija 3. Lokalizacja oštećenja 4. Oporavak 5. Korekcije 6. Opreznost i disciplina 8

Strategija zaštite na Internetu 1. zaštita pristupa. 2. kontrola autentičnosti. 3. kontrola ovlašćenja 1. zaštita pristupa skeniranje na viruse Fierwalls privatne meže 2. kontrola autentičnosti Korisnićko ime/lozinka Javni ključ Biomertija 3. kontrola ovlašćenja Ovlašćenja grupe Dodela uloga 9

Lokacije zaštitnih mehanizama 10

Kontrola Vrste kontrole: Operaciona kontrola da li sistem radi korektno? Kontrola podobnosti da li su sistemi zaštite odgovarajući i adekvatno ugrađeni? Tipovi kontrolora: Interni iz preduzeća, ali ne iz strukture ICT Eksterni iz nezavisne firme 11

Upravljanje rizikom Nije ekonomično uvođenje zaštite od svih mogućih pretnji. Program zaštite treba da obuhvati očekivane pretnje. korak 1. Procena vrednosti sistema korak 2. Procena ranjivosti sistema korak 3. Analiza štete korak 4. Analiza zaštite korak 5. Cost-Benefit analiza 12

Optimizacija rizika Linija optimizacije rizika Trošak programa zaštite Troškovi Optimalna cena programa zaštite Potencijalni gubitak Ranjivost sistema 13

HAVARIJA 14

Plan oporavka - važan elemenat zaštite Cilj plana je održanje kontinuiteta poslovanja. Plan mora biti čuvan na sigurnom mestu, njegove kopije kod svih menadžera, raspoloživ i na Intranetu i periodično ažuriran. Plan mora biti napisan jasno i nedvosmisleno, da bi bio upotrebljiv u trenutku nezgode. Sve kritične aplikacije moraju imati jasne procedure za oporavak. Ispitivanje plana podrazumeva korišćrenje what-if analize. Plan mora sadržati opciju i za slučaj potpunog uništenja kapaciteta. 15

Elementi Plana oporavka Analiza uticaja na poslovanje Organizaciona odgovornost pre i posle havarije Strategija oporavka Data centara, file servera po sektorima, mrežnih srevera, desktop računara ( in office i "at home"), laptopa i PDA. Procedure za oporavak u formi ček-lista Plan procesa administracije Tehnički dodatak koji uključuje neophodne brojeve telefona i tačke za kontakt Opis posla menadžera za oporavak (na max 3 strane) uključuje i opise poslova članova tima za oporavak. Plan rada sa šablonima za modifikacije i implementacije. Sadrži listu rezultata za svaki zadatak. 16

Elementi za test Plana oporavka Odgovornosti menadžera za oporavak Distribucija Plana oporavka Ažuriranje Analize uticaja na poslovanje Trening tima za oporavak Evaluacija testa Plana oporavka Održavanje Plana opopravka Usklađenost sa standardom ISO 27000 (ranije ISO 17799) 17

Stanje u Srbiji: svest o informacionoj bezbednosti je nedovoljno razvijena UZROCI: još uvek mali obim primene IKT i relativno mali obim ugrožavanja bezbednosti, odsustvo šire stručne analize i kritike stanja bezbednosti, malo javnih e-servisa (e-uprava, e-trgovina, e-plaćanje, e-zdravstvo) slaba informisanost građana o pravu na zaštitu podataka o ličnosti i pravu na privatnost, nepoznavanje i potcenjivanje potencijalnih opasnosti, neangažovanost države u razvoju normativnog okvira za informacionu bezbednost i primenu postojećih propisa, mali broj kompanija ima internu regulativu o informacionoj bezbednosti, skrivanje informacija o gubljenju, uništavanju i zloupotrebi podataka. 18

Cyber kriminal i Cyber forenzika

Cyber kriminal Korišćenje ICT i računarskih mreža u cilju realizacije kriminalnih aktivnosti. Cyber forenzika Prepoznavanje situacija u kojima se primena ICT i računarskih mreža transformiše u kriminalne aktivnosti. Obezbeđivanje dokaza neophodnih za krivično gonjenje počinilaca cyber kriminala. 20

Aktivnosti FORENZIČKE PRAKSE Sprovođenje forenzičke istrage u okviru slučajeva kompjuterskog kriminala, veštačenja i super veštačenja Identifikacija, analiza, obezbeđenje i prezentacija digitalnih i cyber kompjuterskih dokaza Data mining-a u oblasti cyber forenzike E-mail forenzika, povraćaj obrisanih podataka, Disk imageing. Implementacija oblika auditinga Izrada softverskih forenzičkih alata Pružanja stručne pomoći u monitoringu i zaštiti informacionih sistema i kompjuterskih mreža Uvođenje cyber forenzike u sistem unutrašnje kontrole poslovanja 21

Metodologija upravljanja kompjuterskom forenzikom Identifikacija: izvori digitalnih dokaza Prikupljanje: snimanje uređaja na mestu zločina Čuvanje: Lanac staranja i očuvanja integriteta podataka u cilju obezbeđenja da se nijedna informacija ne izgubi ili izmeni. Izveštavanje: izveštavanje o svim zaključcima i korišćenim procesima PROBLEMI : Nedostatak ažurnih smernica Nedostatak odgovarajućih trening programa Nedostatak finansijskih sredstava 22

Prinicipi Asocijacije policijskih inspektora (Association of Chief Police Officers ACPO Princip 1: Nikakva aktivnost od strane istražnih organa i njihovih agenata ne sme da bude usmerena u pravcu izmene podataka koji se čuvaju na računaru ili nekom drugom skladištu, ako postoji mogućnost da će se ti podaci koristiti tokom sudskog procesa. Princip 2: U izuzetnim slučajevima, kada pojedinac smatra da je neophodan pristup originalnim podacima na računaru ili nekom drugom skladištu, taj pojedinac mora da bude stručan da to i uradi, kao i da pruži razloge i implikacije ovakvog čina. Princip 3: Mora de se napravi i sačuva zapis svih realizovanih aktivnosti nad elektronskim dokazima. Nezavisno treće lice treba da bude u mogućnosti da ispita te aktivnosti i ostvari isti rezultat. Princip 4: Pojedinac zadužen za istragu (istražitelj slučaja) snosi svu odgovornost za sprovođenje zakona i ovih principa. Smernice su javne i moguć je njihov download sa sajta http://www.7safe.com/electronic_evidence 23

Trendovi u razvoju sigurnosti Informacionih sistema

Trendovi u razvoju IT sigurnosti Povećanje pouzdanosti sistema Računari sa sposobnošću samoozdravljenja Inteligentni sistemi za rano otkrivanje upada Inteligentni sistemi za praćenje i rano otkrivanje prevara Veštačka inteligencija u biometrici Ekspertni sistemi za predviđanje i dijagnozu nezgoda Smart kartce 25

Sledeća tema: Etički, socijalni i globalni aspekti IS 26

2024 © DocPlayer.rs Правила о приватности | Правила коришћења | Фидбек