|
Dodatak A - Osnovni pojmoviInformacija (eng. information)
– podatak o nekoj činjenici, izvještaj o čemu; Informacijski
sustav (eng. information
system) – organizacijski adekvatno i funkcionalno usmjeren sustav djelovanja sa
zadatkom da prikuplja, memorira, obrađuje i distribuira podatke i informacije
korisnicima; Imovina
(eng. asset) – sve što ima vrijednost za organizaciju; Prijetnja
(eng. threat) – ono što može izazvati štetu; Napad
(eng. attack) – pokušaj iskorištenja ranjivosti informacijskog sustava; Ranjivost
(eng. vulnerability) – slabost sustava koja se može iskoristiti za
izazivanje štete; Nezgoda
(eng. accident) – neplanirani događaj koji direktno ugrožava ljude i
imovinu; Šteta
(eng. damage) – mjera gubitka nastalog kao posljedica napada/nezgode; Žestina
opasnosti (eng. hazard severity) – procjena moguće štete
koja može nastati kao posljedica opasnosti; Rizik (eng. risk)
– vjerojatnost da će se dogoditi nezgoda, napad; Sigurnost (eng. safety)
– vjerojatno da će sustav raditi ispravno u nekom vremenu; Zaštita (eng. security)
– sposobnost sustava da se zaštiti od napada; Pouzdanost (eng. reliability)
– vjerojatnost da će sustav u zadanom vremenu i zadanim uvjetima raditi
ispravno; Pogreška
(eng. error) – ponašanje sustava koje nije u skladu sa specifikacijama i
sigurnosti; Odgovornost
(eng. responsibility) – savjesno, valjano obavljanje dužnosti u skladu s
određenim pravilima; Spam
– internacionalni pojam
koji označava neželjenu elektroničku poštu; Phising
- skup aktivnosti kojima
neovlašteni korisnici korištenjem lažnih poruka elektroničke pošte i lažnih web
stranica financijskih organizacija pokušavaju korisnika navesti na otkrivanje
povjerljivih osobnih podataka kao što su korisnička imena i zaporke, PIN
brojevi, brojevi kreditnih kartica i sl. ; Socijalni
inženjering (eng. social engineering) – metoda napada u
kojem napadač nagovara ili uvjerava korisnika da postupi na određeni način; Haker
(eng. hacker) – hakeri su osobe koje posjeduju veliko znanje o računalnim
i telekomunikacijskih tehnologijama koje ponekad mogu koristiti u ilegalne
svrhe; izraz haker najčešće se spominje u negativnom kontekstu za osobe koje se
bave ilegalnim radnjama; Virus (eng. virus) - zlonamjeran kôd koji se širi
dodavanjem svog koda drugim aplikacijama, a ima mogućnost samoumnažanja; Crv - (engl. worm) zlonamjeran kod koji se,
kopiranjem cjelokupnog sadržaja, širi kroz neki medij komunikacije, npr. e-mail
ili servis vašeg operativnog sustava, a kojem je namjena učiniti štetu na
računalu, koristiti zaraženo računalo za svoje daljnje širenje ili pak preuzeti
kontrolu nad računalom; Trojanski
konj – (engl. trojan horse) zlonamjerni kôd koji se
predstavlja kao bezazlena aplikacija i zahtijeva korisničku akciju za
instaliranje; DDoS – (eng. Distributed
Denial of Service) oblik napada uskraćivanjem usluga u kojem su izvori
zagušujućeg mrežnog prometa distribuirani na više mjesta po Internetu; najčešće
se radi o računalima na koja je prethodno provaljeno kako bi ih se iskoristilo
za napad na druge mreže ili računala na Internetu; Ovjera
vjerodostojnosti (eng. authentication) - utvrđivanje
istinitosti deklariranog identiteta odnosno izvornosti; ostvaruje se tehnikama
poput digitalnog potpisa Autorizacija (eng. authorisation)
– postupak odobravanja pristupa pojedinim informacijama; Stražnja
vrata (eng. backdoor) – naziv za zlonamjerne programe koji
omogućavaju udaljeni pristup vašem računalu; najčešće rade nezamjetno
prikriveni iza ostalih programa primajući vanjske konekcije; Sigurnosna
kopija (eng. backup)
– sigurnosna kopija datoteka ili programa koja služi za brzu sanaciju i
oporavak u slučaju nenadanog gubitka podataka uzrokovanog nestankom struje,
kvara računala, napada malicioznih programa itd; Imovina – sve što je vezi s informacijama a ima vrijednost za organizaciju:
Odnos
razine i mjere sigurnosti 
Slika A.1 – Grafički prikaz odnosa razine i mjera sigurnosti Na slici A.1. je grafički prikazan odnos razine
sigurnosti i mjera sigurnosti (razina sigurnosti proporcionalna je s mjerama
sigurnosti). Ukoliko su mjere sigurnosti male, razina sigurnosti je također
mala i samim time je ranjivost velika. Povećanjem mjera sigurnosti raste i
razina sigurnosti, a važno je primijetiti da koliko god ulagali sredstava i
pažnje u mjere sigurnosti sustav nikada ne može biti potpuno siguran. Činjenica
da se ne može postići potpuna sigurnost informacijskih sustava vrlo je važna i
bitno ju je naglasiti. Ukoliko su korisnici sustava uvjereni u njegovu potpunu
sigurnost uspostavom sigurnosnih mjera briga o sigurnosti prestaje. To uvelike
olakšava napade na sustav, a ranjivost sustava se povećava. Budući je nemoguće
postići potpunu sigurnost, veliko je pitanje koliko uložiti u sigurnost sustava
i koje sve mjere poduzeti kako bi funkcionalnost bila zadovoljena, troškovi
uspostave i održavanja sigurnosti bili prihvatljivi, a sustav bio relativno
siguran. Iz tih razloga nužno je odrediti prihvatljiv rizik, a jedna od metoda
određivanja prihvatljivog rizika prikazana je slikom A.1. Naravno da ova metoda
ne odgovara svim organizacijama, npr. bankama, vojsci ili državnim
informacijskim sustavima. Njihova sigurnost zasigurno neće biti uvjetovana
novčanim sredstvima, dok će veličina rizika zasigurno biti svedena na minimum. 
Slika A.2 - Graf procjene prihvatljivog rizika Slikom A.2. prikazan je graf procjene prihvatljivog
rizika. Krivulja investicije u ovom slučaju predstavlja ulaganje u zaštitu, a
rizici rizik informacijskog sustava. Što je ulaganje veće i troškovi
organizacije su veći, ali se proporcionalno tome smanjuje rizik. Budući da se
teži minimalnim rashodima (troškovi) i maksimalna sigurnost sustava potrebno je
odrediti kompromis kako bi oba zahtjeva bila zadovoljena. 
|
