Utorak 29 Ruj 2020
Ispis

Provjera informacijskih tehnologija (3/8) - Imaju li korisnici aplikacija stvarno pristup svojim podatcima?

siq sig 2Sigurnosni pregled aplikacija namijenjen je otkrivanju mogućih sigurnosnih prijetnji i manjkavosti pojedinih aplikacija.

To kod zlonamjernog napada može omogućiti provedbu neovlaštenih promjena koje mogu utjecati na povjerljivost, raspoloživost i cjelovitost podataka u samoj aplikaciji (npr. neovlašten pristup, mijenjanje podataka, nedjelovanje aplikacije).

U pozadini djelovanja aplikacija mogu biti različite tehnologije (internetske, mobilne, klasične). Bez obzira na njihovu njihovo vrstu moguće su prijetnje na strani:
• korisnika
• mreže odnosno transportnog kanala
• infrastrukture poslužitelja

Cjelovit sigurnosni pregled aplikacija zato se provodi u više faza unutar kojih detaljno proučimo arhitekturu aplikacije, elemente i samo djelovanje aplikacije. Tipične manjkavosti aplikacija jesu:
• pristup podatcima bez prijave
• neodgovarajuće lokalno spremanje podataka
• provedba akcija u ime drugog korisnika, kao što je provedba transakcija, uključivanje/isključivanje usluga itd.
• promjena lozinke drugog korisnika i time preuzimanje njegova korisničkog računa
• eskalacija privilegija korisničkih prava koja korisniku omogućuje više mogućih aktivnosti, npr. promjenu cijena itd.
• pristup podatcima odnosno mijenjanje podataka drugog korisnika

siqletak

Detaljnim sigurnosnim pregledom, koji uključuje i korisničku prijavu, dobivate nedvojbeni odgovor jesu li sigurnosne kontrole u aplikaciji odgovarajuće.

Najdetaljnije sigurnosne nedostatke možemo otkriti pregledom izvornog koda aplikacija, jer su upravo greške u kodiranju primarni izvor problema. Pritom je važno da izvorni kod provjere neovisni stručnjaci za aplikacijsku sigurnost, koji nisu sudjelovali u razvoju aplikacije. Pregled izvornog koda aplikacije provodi se u više koraka, pri čemu naručitelj osigurava sve raspoložive informacije (princip »bijele kutije«). U prvom koraku primjenjuje se namjenski programski alat koji prepoznaje sigurnosno problematična mjesta u programskom kodu. On se nakon toga ručno detaljno provjerava u suradnji s razvojnim stručnjakom programske opreme na strani naručitelja te savjetnikom za sigurnost i razvojnim specijalistom na strani izvođača. U zadnjem koraku još se penetracijskim testom nedvojbeno potvrđuju utvrđeni sigurnosni nedostaci.

Provjera informacijskih tehnologija (1/8) - Sigurnosni pregled informacijskog sustava
Provjera informacijskih tehnologija (2/8) - Znaju li Vaši zaposlenici pravila informacijske sigurnosti?


Informacije
SIQ Croatia d.o.o.
Provjera informacijskih tehnologija
T: +385 1 65 51 305
E: Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.

www.siq.hr

siqcrta

1
22
17
10
2
16 1
5
9
8
4
Crolablogo
11
13
HGK Grb
21
24 M
15
Adria Logo
Icr M

PREVODITELJ

Croatian English French German Italian Slovenian Spanish

BVC

SEMINARI

SGS

KONFERENCIJE

SUSTAVI UPRAVLJANJA

TCG

METROTEKA

NAJČITANIJE

Ishikawa dijagram

n ishiIshikawa dijagram (dijagram uzroka i posljedica, C&E dijagram, “riblja kost”) počeo je razvijati prof. Kaoru Ishikawa na Sveučilištu u Tokiju 1943. godine. Ishikawa dijagram predstavlja jednostavnu i vrlo korisnu metodu za sagledavanje što više mogućih uzroka koji dovode do posljedice/problema koji se analizira

 

Izdanja norme ISO 9001

n rev9001Norma ISO 9001 određuje zahtjeve sustava upravljanja kvalitetom koji su primjenjivi za sve organizacije bez obzira na njihovu vrstu i veličinu. Ova norma promiče prihvaćanje procesnog pristupa. Norma propisuje kako organizacija mora uspostaviti, dokumentirati, primijeniti i održavati sustav upravljanja kvalitetom

 

Kako provesti unutrašnji audit

n audUnutrašnji audit (interni audit) se provodi zbog toga što se pomoću njega želi ocijeniti vlastiti sustav upravljanja, pronaći nedostatke u tom sustavu i što prije ih ispraviti. Kako najbolje provesti unutrašnji audit muči mnoge organizacije.

 

Zadovoljstvo kupca

n kupKupac je osoba ili organizacija koja prima proizvod, a zadovoljstvo kupca je predodžba kupca o razini do koje su ispunjeni njegovi zahtjevi. Svaka organizacija živi od svojih kupaca koji su manje ili više zadovoljni. Mnoge norme za sustave upravljanja propisuju zahtjeve u kojima se mora pratiti i poboljšavati zadovoljstvo kupaca.

 

Novo izdanje norme ISO 9001:2015

n 9001Radna grupa naziva TC 176/SC 2 Quality systems ISO tehničkog odbora Technical Committee ISO/TC 176 - Quality management and quality assurance koji je odgovoran za donošenje norma iz područja upravljanja i osiguravanja kvalitete izrađuje novo izdanje norme ISO 9001 koja se planira objaviti krajem 2015. godine.

 

Razlike između pritužbi i žalbi

n pizZahtjevi mnogih norma propisuju da organizacije moraju rješavati pristigle pritužbe ili žalbe. Riječ pritužba je isto što i prigovor, a riječ žalba je isto što i priziv. Ovdje ćemo objasniti koje su razlike između pritužbi/prigovora i žalbi/priziva kroz pregled zahtjeva triju norma u kojima se propisuje rješavanje pritužbi i žalbi.

 

Dobra laboratorijska praksa

n dlpDLP - Dobra laboratorijska praksa (GLP - Good Laboratory Practice) je sustav upravljanja laboratorijima koji osigurava pouzdanost rezultata ispitivanja koja provode laboratoriji. Dobra laboratorijska praksa se primjenjuje u laboratorijima radi poboljšavanja rada laboratorija.

 

Zbog čega je važna dobra poslovna komunikacija?

n komPoslovna komunikacija pomaže organizacijama u boljem funkcioniranju i ostvarivanju uspjeha na poslovnom planu. Dobro komuniciranje među osobljem, ali i prema javnosti organizacije dovodi do njenog uspješnijeg rada, a tako i do postizanja željenog profita i zarade što je cilj većine organizacija u svijetu.

 

Politika i ciljevi upravljanja okolišem prema ISO 14001:2004

n 14001Norma ISO 14001:2004 Sustavi upravljanja okolišem – Zahtjevi s uputama za uporabu navodi zahtjeve za sustav upravljanja okolišem koji će organizaciji omogućiti razvoj i primjenu politike i ciljeva koji uzimaju u obzir zakonske zahtjeve i informacije o značajnim aspektima okoliša.

 

Što je ''calibration''?

n umjEngleska riječ ''calibration'' ponekad zadaje izvjesne glavobolje budući da se ne može jednoznačno prevesti na hrvatski jezik. Iako joj je osnovno značenje 'umjeravanje', ipak ponekad označava i druge aktivnosti koje nisu umjeravanje. U ovom članku ukratko je opisano koje su osnovne situacije u kojima se susrećemo s riječi 'calibration' i što one znače u tehničkom smislu.

 

Izrada priručnika kvalitete

n pkPriručnik kvalitete opisuje sustav upravljanja kvalitetom u skladu s uspostavljenom politikom kvalitete i ciljevima kvalitete. On može sadržavati cjelokupni sustav upravljanja kvalitetom, uključujući i sve potrebne dokumentirane postupke.

 

Postupak akreditacije laboratorija

n akrOpisujemo faze kroz koje treba proći laboratorij koji se želi akreditirati. Faze postupka akreditacije su opisane na temelju HAA Pravila za akreditaciju koja je objavila Hrvatska akreditacijska agencija (HAA). Opisujemo postupak akreditacije od upita za akreditaciju do dobivanja Potvrde o akreditaciji na osnovu vlastitog iskustva akreditiranog laboratorija.

 

PDCA krug (Demingov krug)

n pdcaProcesni pristup je jedno od osnovnih načela upravljanja kvalitetom u skladu s normom ISO 9001, a bazira se na postavci da je za učinkovito funkcioniranje organizacije nužno utvrditi njene međusobno povezane radnje (procese) te njima upravljati na jednostavan, učinkovit i efikasan način.

 

ZNAKOVI KVALITETE

LITERATURA

EG

LINKOVI

Portal Svijet kvalitete koristi kolačiće (cookies) zbog pružanja bolje funkcionalnosti portala. Nastavkom pregleda portala slažete se s korištenjem kolačića. Postavke kolačića možete podesiti u svojem internetskom pregledniku. Više podataka o kolačićima i vašoj privatnosti možete saznati na Privatnost korisnika.

Prihvaćam kolačiće