202132073 politici de securitate
DESCRIPTION
kTRANSCRIPT
Politici de securitate
Capitolul1. Politici de securitate a sistemelor informatice.
1.1. Noţiuni de securitatea informaţiilor
Securitatea electronică este definită ca fiind acele politici, recomandări şi
acţiuni necesare minimizării riscului de a compromite integritatea sistemelor
informatice şi a informaţiilor stocate şi prelucrate cu ajutorul mijloacelor
electronice.
Nici o măsură de securitate nu garantează eliminarea completă a oricărui
risc, dar poate să-l reducă la un nivel acceptabil. Securitatea IT se concentrează
pe crearea unei platforme de calcul unde persoane sau programe să nu poată
desfăşura acţiuni pentru care nu au drepturi alocate.
Cerinţele de securitate pe care trebuie să le îndeplinească un sistem
informatic sunt:
a) Identificarea – reprezintă procesele şi procedurile necesare pentru stabilirea
unei identităţi unice pentru un utilizator sau o entitate în cadrul unui sistem
informatic. Identificarea permite contabilizarea tuturor operaţiunilor individuale şi
previne accesul neautorizat.
b) Autentificarea – este procedura pentru verificarea identităţii entităţii care
solicită acces la un sistem, procesul prin care sistemul validează informaţiile de
conectare oferite de entitatea utilizatoare.
c) Controlul accesului – determină ce anume poate face o anumită entitate
autentificată în sistem, având în vedere: controlul accesului la sistem, controlul
accesului la reţea, clasificarea informaţiei, privilegiile.
1
d) Responsabilitatea – este strâns legată de măsurile de securitate impuse
utilizatorilor sistemului, care vor fi răspunzători pentru acţiunile întreprinse după
conectarea la sistem.
e) Auditul de securitate – se ocupă cu analiza înregistrărilor activităţilor
executate, pentru a determina dacă sistemul de protecţie este în concordanţă cu
politicile şi procedurile de securitate stabilite. Scopul unui audit este de a
identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate
sau controlate.
f) Integritatea sistemului – pentru a se menţine integritatea sistemului se iau
următoarele măsuri:
-separarea proceselor şi datelor utilizatorilor;
-separarea proceselor şi datelor sistemului;
-protejarea software-ului, datelor şi hardware-ului de modificări, fie că
acestea sunt voite sau accidentale;
-controlul acţiunilor şi operaţiilor de întreţinere.
g) Integritatea informaţiilor – presupune mecanisme de protecţie a datelor
împotriva distrugerii sau accesului neautorizat şi mecanisme de înregistrare a
modificărilor survenite.
h) Fiabilitatea serviciilor – se referă la cât de uşor şi sigur un utilizator
autentificat poate accesa şi utiliza resursele unui sistem.
i) Documentarea privind securitatea – este vitală pentru menţinerea unui
anumit sistem de securitate operaţional şi eficient.
Politicile de securitate formale vor dicta cerintele de bază şi obiectivele pe
care trebuie să le îndeplinească o tehnologie. Politica de securitate este o
componentă a politicilor de dezvoltare a companiei prin care se garantează
continuitatea funcţională a proceselor de afacere şi se asigură protecţia
informaţiilor confidenţiale.
Pentru a realiza un sistem de protecţie eficient este necesar să se
parcurgă următoarele cinci etape:
-evaluarea riscurilor;
-definirea politicii de securitate;
2
-implementarea politicii de securitate;
-administrarea;
-auditul.
Politica de securitate la nivelul unei organizaţii joacă un rol esenţial fiind
responsabilă chiar de managementul afacerilor. Pentru stabilirea politicii de
securitate vor fi parcurse etapele:
-se analizează riscurile majore ale organizaţiei (pentru definirea
procedurilor prin intermediul cărora vor fi prevenite riscurile, ca urmare a apariţiei
unor evenimente nedorite);
-se defineşte politica de securitate (pentru tratarea componentelor la care
nu pot fi prevenite anumite acţiuni fără a impune măsuri de protecţie);
-stabilirea unui plan de urgenţă care se va aplica în cazul în care măsurile
de protecţie sunt învinse;
-deoarece aceste probleme nu pot fi rezolvate numai prin definirea unei
politici de securitate şi prin investirea de bani pentru anumite activităti, în final se
cere acordul şefului departamentului de management pentru acceptarea unor
riscuri.
Există mai multe motive pentru care trebuie să concepem o politică de
securitate pentru sisteme şi reţeaua din care ele fac parte.
O politică solidă ne permite să conturăm securitatea ca un “sistem” decât
doar un set de diferite caracteristici. Fără o politică, un administrator poate
decide să închidă accesul telnet, pentru că transmite parole necriptate, dar să
lase deschis accesul ftp, menţinâdu-se aceeaşi slăbiciune.
O politică bună de securitate ne permite să identificăm măsurile ce merită
aplicate şi cele care nu.
Pentru a diagnostica problemele, conduce audituri sau depista intruşii,
este posibil să trebuiască să interceptăm traficul prin reţea, să inspectăm istoricul
autentificărilor şi comenzilor utilizatorilor şi să analizăm directoarele home
(Linux). Utilizatorii trebuie înştiintati de aceste acţiuni, pentru că altfel ele pot
deveni ilegale.
O politică de securitate ar trebui să conţină, cel putin, următoarele subiecte:
3
-Utilizare acceptabilă;
-Aplicatii Screen saver;
-Manipularea parolei;
-Descărcarea şi instalarea aplicaţiilor;
-Informaţii ce menţionează că utilizatorii sunt monitorizati;
-Utilizarea de aplicaţii antivirus;
-Manipularea informaţiei sensibile (în orice formă scrisă, hârtie sau format
digital) ;
-Curăţarea biroului şi încuierea informaţiilor confidenţiale;
-Oprirea sistemului PC înainte de a părăsi spaţiul;
-Utilizarea encriptării;
-Manipularea cheilor colegilor de încredere;
-Manipularea materialului confidenţial în călătorii;
-Manipularea sistemului laptop în călătorii şi staţionările la hoteluri.
Două lucruri sunt foarte importante atunci când dorim să asigurăm un
nivel de securitate de bază pentru toate sistemele din reţea:
-sistemele trebuie să fie menţinute la zi din punct de vedere al patchurilor
şi fixurilor de securitate;
-trebuie să aplicăm un set de configurări de securitate de bază pe toate
sistemele din reţea, adică să facem întărirea securităţii sistemelor (hardening).
Sarcina de bază în etapa de exploatare a oricărui sistem informatic este
asigurarea unui nivel viabil de securitate. Particularitatea de bază a unui sistem
de securitate constă în faptul că sistemul informatic care este protejat astăzi,
mâine poate deveni vulnerabil. În acelaşi timp, sistemul de securitate care nu
este exploatat în concordanţă cu cerinţele contemporane sau nu se ia în
consideraţie apariţia unor noi pericole, peste câteva luni îşi va pierde
actualitatea.
Astfel, asigurarea securităţii este posibilă prin exploatarea corectă a
sistemului şi prin susţinerea politicii de securitate. Aceasta presupune
desfăşurarea unui şir de măsuri permanente şi periodice de susţinere tehnică a
mijloacelor de protecţie, monitorizarea şi analiza evenimentelor de securitate ce
4
se derulează în sistem, verificarea periodică a nivelului de protecţie a resurselor
protejate, aplanarea situaţiilor nefaste şi lichidarea consecinţelor. De asemenea,
administrarea sistemelor de securitate trebuie să fie înzestrată cu un anumit grad
de automatizare a funcţiilor de administrare şi a altor funcţii de exploatare, de
aceea, elaborarea unui sistem solid, bine securizat, cu proceduri de acces atât
din exterior, cât şi din interior, bine puse la punct, conferă activităţii sistemului
informatic multiple avantaje.
Astfel, oricât de mică este instituţia, existenta unei politici de securitate
este necesară pentru desfăşurarea eficientă a activităţii propriu-zise. Pe lângă
diferite acte normative interne, e necesar de implementat şi recomandările de
ordin internaţional, în unele cazuri adaptând metodele naţionale la standardele
internaţionale gen: ISO 17799 „Dirijarea cu securitatea informaţională”, ISO
15408 „Tehnologia informaţională – metode de protecţie – criteriile de analiză a
securităţii informaţionale” etc.
5
Fig.1.1 Interacţiunea politicii de Securitate IT şi managementului IT
Pentru elaborarea politicii de securitate şi a planurilor de perfecţionare a
acesteia este necesar:
-argumentarea şi realizarea calculului investiţiilor financiare în asigurarea
securităţii în baza tehnologiilor de analiză a pericolelor, co-raportarea cheltuielilor
pentru asigurarea securităţii cu dauna potenţială şi probabilitatea survenirii ei;
-descoperirea şi scoaterea la iveală, precum şi blocarea celor mai
periculoase lacune până la sesizarea şi atacarea lor de către agresor;
-determinarea relaţiilor funcţionale şi a zonelor de responsabilitate a
subdiviziunilor şi persoanelor cu privire la asigurarea securităţii informaţionale a
instituţiei, crearea pachetului necesar de documentaţie cu privire la organizarea
şi dirijarea activităţii în domeniul respectiv;
-elaborarea şi coordonarea cu serviciile şi subdiviziunile instituţiei,
serviciile de supraveghere, proiectul de introducere a complexelor necesare de
protecţie, care se vor elabora în legătură cu nivelul modern şi tendinţele de
dezvoltare a tehnologiilor informaţionale;
-asigurarea susţinerii complexului introdus de securitate în conformitate cu
condiţiile dinamice de activitate a instituţiei, perfecţionarea dinamică a setului de
documentaţie de organizare şi dirijare cu procesul în cauză, modificarea
procesului tehnologic şi a mijloacelor tehnice de asigurare a protecţiei.
Politica de securitate trebuie să conţină şi să prevadă în special: ordinea
de oferire şi folosire a drepturilor de acces de către utilizatori, de asemenea,
darea de seamă a utilizatorilor pentru acţiunile întreprinse în problemele ce ţin de
sfera de securitate.
1.2. Analiza riscurilor în securitatea IT
Riscul este evenimentul capabil să exercite o influenţă asupra desfăşurării
proiectului. Riscurile există în toate proiectele, dar nu neapărat se şi produc.
Majoritatea experţilor sunt de părerea: cu cât mai degrabă va fi stabilit pericolul
6
potenţial, cu atât mai mult timp va rămâne ca echipa de proiectanţi să-l
neutralizeze sau să minimizeze pierderile.
Putem considera risc ca fiind probabilitatea de realizare a unei situatii
nedorite, ce poate genera pierderi sau inconvenienţe. Analiza riscurilor este
procesul de identificare a riscurilor şi determinare a soluţiei optime de gestiune a
lor.
În procesul de analiză a riscurilor trebuie pornit de la lucrurile elementare:
uniformitatea infrastructurii din punct de vedere al sistemelor folosite,
administrarea centralizată, menţinerea la zi a sistemelor, aplicarea unor
configurări standard de securitate pe toate serverele şi staţiile de lucru în funcţie
de rolul funcţional al acestora, proceduri standard de utilizare şi administrare, etc.
Procesul de analiză a riscurilor se poate derula în următoarele faze:
-identificarea resurselor informaţionale;
-gruparea şi ierarhizarea resurselor informaţionale;
-identificarea riscurilor;
-identificarea mijloacelor de protecţie;
-evaluarea riscurilor;
-întocmirea recomandărilor;
La faza de identificare a resurselor informaţionale urmează să se creeze
un tablou de ansamblu al infrastructurii informaţionale. Resursele informaţionale
sunt considerate aici ca fiind: datele, aplicaţiile, tehnologiile, încăperile, resursele
umane, etc. O informaţie indispensabilă analizei de mai departe este
interdependenţa resurselor (ex.: ce sistem, cu ce date gestionează, ce tehnologii
utilizează, unde este amplasat şi cine administrează). Rezultatul acestei faze
poate fi o listă cu toate resursele informaţionale identificate în cadrul organizaţiei.
Gruparea şi ierarhizarea resurselor informaţionale este necesară pentru
determinarea priorităţilor de protejare a lor.
Clasificarea resurselor trebuie să ţină cont de interdependenţele dintre
ele. Numărul de resurse în fiecare categorie este arbitrar, însă totuşi e preferabil
limitarea numărului de resurse critice pentru a evita confuzia. Rezultatul acestei
7
faze este o listă de resurse informaţionale prioritare din punct de vedere al
nivelului de criticitate a lor, dupa cum urmează:
-Resurse critice – sistemele nu pot să-şi continue activitatea în lipsa
resursei respective;
-Resurse esenţiale – sistemele resursei pot să-şi continue activitatea, însă
pentru o perioadă determinată de timp (câteva ore sau zile), însă resursa trebuie
neapărat restabilită;
-Resurse normale – resursa poate fi folosită pe o perioadă îndelungată de
timp, totuşi anumite aplicatii vor fi parţial afectate, este nevoie să se găsească
alternative.
Fig. 1.2 Modelul relaţional: obiective de business – riscuri TI
Identificarea riscurilor presupune selectarea dintr-o listă cu riscuri comune
aferente tehnologiilor informaţionale. Riscurile care se vor considera că nu merită
atenţie sunt înlăturate din listă. Riscurile trebuie să fie explicit identificate în
raport cu una sau mai multe resurse.
La faza de asociere a riscurilor la resurse are loc o particularizare a
riscurilor pentru fiecare resursă critică în parte.
8
Identificare mijloacelor de protecţie presupune completarea listei rezultate
cu descrierea mijloacelor de protecţie în prezent utilizate pentru înlăturarea sau
atenuarea riscului abordat.
Faza de evaluare a riscurilor este foarte importantă, iar succesul ei
depinde în mare parte de competenţele profesionale ale membrilor echipei, care
efectuează analiza riscurilor. Pentru fiecare resursă critică, în ordinea importanţei
lor, se face o ierarhizare a riscurilor aferente în dependentă de impactul ce l-ar
putea avea.
La faza de întocmire a recomandărilor se analizează informaţia acumulată
la fazele precedente şi se iau decizii asupra soluţiilor existente (dacă există) ce
ar permite atenuarea, redirecţionarea sau înlăturarea riscurilor identificate.
Se poate afirma ca există foarte multe riscuri care necesită atenţie atunci
cand folosim sisteme IT. O etapă foarte importantă în procesul de rezolvare a
unui risc o constituie etapa de analiză a riscurilor.
O altă variantă de clasificare a riscurilor este categorisirea lor în cele
interne şi externe. Această modalitate este utilizată pentru definirea simplificată a
pericolelor potenţiale şi a măsurilor de contracarare a acestora. Pe de o parte,
sunt formate riscurile ce ţin de activitatea firmei-proiectante, iar, pe de altă parte,
riscurile la care este supus beneficiarul.
1.3. Evaluarea şi managementul riscurilor de securitate în IT
Pentru asigurarea functionării în parametri optimi al oricărui sistem
informatic unul dintre paşii care trebuie parcurşi îl reprezintă managementul
riscurilor. Managementul riscurilor constă în identificarea riscurilor, evaluarea
acestora şi luarea unor măsuri pentru a reduce expunerea la riscuri la un nivel
acceptabil.
Evaluarea riscurilor reprezintă primul pas în metodologia managementului
riscurilor. Rezultatul acestui proces constă în identificarea unor mecanisme ce
pot fi folosite pentru a reduce sau elimina riscurile.
9
Pentru fiecare din riscurile identificate se poate calcula expunerea la acest
risc ca fiind produsul dintre probabilitatea producerii riscului şi impactul acestuia.
Pentru a determina probabilitatea producerii riscului trebuie analizate
posibilele vulnerabilităţi care pot conduce la producerea acestuia şi mecanismele
de control a acestor vulnerabilităţi. Impactul reprezintă dimensiunea daunelor
cauzate, deci în general impactul este estimat prin costuri.
Evaluarea riscurilor se realizează parcurgând urmatorii paşi:
-Caracterizarea sistemului: Se analizează componentele hardware,
software, interfeţele de sistem, datele şi informaţiile din sistem, oamenii care au
acces la sistem şi menirea sistemului, pentru a ajunge la concluzii referitoare la
perimetrul sistemului, funcţiile sistemului, punctele critice şi sensibile ale
sistemului şi ale datelor din sistem.
-Identificarea ameninţărilor: Luând în considerare istoria atacurilor asupra
sistemului şi a datelor despre posibile atacuri, se specifică ameninţările.
-Identificarea vulnerabilităţilor: Analizând rapoarte anterioare de evaluare
a riscurilor, observaţii ale auditului, necesităţi de securitate şi rezultate ale
testelor de securitate se realizează o listă cu potentiale vulnerabilităţi.
-Analiza mecanismelor de control a vulnerabilităţilor: Se realizează o listă
cu mecanismele curente şi cele planificate de control a vulnerabilităţilor.
-Determinarea probabilităţii: Se analizează motivaţia care stă la baza
ameninţării, cât de puternică este ameninţarea, natura vulnerabiliţătii şi
mecanismele actuale de control a vulnerabiliţătii pentru a determina o estimare a
probabilităţii exploatării riscului.
-Analiza impactului: Se analizează impactul asupra scopului sistemului,
punctele critice şi sensibile create în ceea ce priveşte datele din sistem pentru a
determina o estimare a impactului.
-Determinarea riscurilor: Analizând probabilitatea exploatării ameninţărilor,
mărimea impactului şi caracterul adecvat al mecanismelor actuale de reducere a
vulnerabilităţilor se realizează o listă cu riscurile şi nivelul fiecărui risc.
10
Procesul de reducere a expunerii la riscuri reprezintă un pas al
metodologiei de management al riscurilor. Acest proces implică evaluarea şi
implementarea mecanismelor corespunzătoare de reducere a expunerii la riscuri,
mecanisme recomandate în cadrul procesului de evaluare a riscurilor.
Eliminarea completă a expunerii la riscuri este în cele mai multe cazuri
nepractică sau aproape imposibilă, din aceasta cauză este de datoria
managementului de a alege o abordare cât mai ieftină de implementare a unor
mecanisme de reducere a expunerii la riscuri la un nivel acceptabil.
Opţiuni de reducere a expunerii la riscuri:
-asumarea riscului: este acceptată expunerea la risc;
-evitarea riscului: se elimină cauza şi/sau consecinţa riscului;
-limitarea riscului: se iau măsuri de reducere a riscului;
-transferarea riscului: se încearcă compensarea pierderilor.
Reguli referitoare la acţiunile de reducere a expunerii la riscuri:
-dacă există vulnerabilităti trebuie implementate mecanisme care să
reducă probabilitatea ca aceste vulnerabiltăţi să poată fi folosite pentru un atac
asupra sistemului;
-dacă există vulnerabilităţi care pot fi folosite pentru un atac asupra
sistemului trebuie aplicate măsuri de securitate stratificate pentru a minimiza sau
preveni posibilitatea producerii atacului;
-dacă costurile coordonatorului atacului sunt mai mari decât câştigurile
acestuia: se iau măsuri de securitate prin care cresc costurile unui atac;
-dacă pierderile în cazul unui atac ar fi prea mari trebuie luate măsuri
tehnice şi non-tehnice de securitate pentru a reduce posibilitatea pierderilor;
Managementul riscului poate fi definit ca totalitatea metodelor de
identificare, control, eliminare sau minimizare a evenimentelor care pot afecta
resursele sistemului.
Acesta include:
-analiza riscurilor;
-analiza costului beneficiilor;
11
-determinarea celor mai potrivite mecanisme;
-evaluarea securităţii măsurilor adoptate;
-analiza securităţii în plan general.
Analiza riscului trebuie efectuată din mai multe raţiuni, şi anume:
-identificarea ierarhică a activelor organizaţiei respective şi pârghiile care
asigură securitatea asupra acestora;
-constituirea unor etape succesive de eliminare a condiţiilor care pot
favoriza realizarea riscurilor atunci când contextul este complex iar o modificare
a funcţionării sale nu se poate introduce decât prin politica paşilor mărunţi.
-stabileşte obligativitatea unor acţiuni şi a unor termene de realizare în
vederea constituirii unor obiective care ţin de implementarea securităţii
organizaţiei;
-constituirea unei perspective de ansamblu a achiziţionării de resurse şi
servicii în acest sens astfel încât, să se ţină seama de efortul financiar în
contextul găsirii celor mai eficiente soluţii.
-aliniază programul de control cu misiunea organizaţiei;
-oferă criterii pentru proiectarea şi evaluarea planurilor de avarie;
Analiza riscurilor urmăreşte să pună acest proces pe baze teoretice şi practice
solide.
12