cap4 securitatea si
Post on 09-Jun-2015
94 Views
Preview:
TRANSCRIPT
Modul 4
Managementul securitatii sistemelor informatice
Continut:
4.1 Managementul securitatii informatiei.
4.2 Gestiunea riscurilor in domeniul informatic.
4.3 Politica de securitate informatica a organizatiei.
4.1 Managementul securitatii informatiei
Scopul fundamental al securitatii informatiei:
Crearea unui anumit nivel de non-vulnerabilitate a
organizatiei, in fata atacurilor voluntare/involuntare care au loc asupra:
informatiilor; sistemelor si retelelor informatice; sistemelor si instrumentelor de comunicatie electronica.
Ce cuprinde securitatea in sfera informatica?
Securitatea sistemelor informatice
si a TIC
Securitatea IC&T
Securitatea informatiei
Securitatea comunicatiilor
Mizele securitatii in domeniul informatic
Protejarea patrimoniului informational al organizatiei. Lupta impotriva actelor de rea-vointa de natura informatica
(fenomenul de criminalitate informatica) Asigurarea conformitatii cu reglementarile si normele in
vigoare din domeniul securitatii informatice (normele ISO 27000)
Identificarea si gestionarea riscurilor informationale, informatice si de comunicatie.
ISO 27001 – Sisteme de management a securităţii informaţiei.ISO 27002 – Ghid de bune practici -măsuri de securitate.ISO 27003 – Implementare.ISO 27005 - Analiza şi gestiunea riscului.ISO 27006 – Auditul SMSI (sisteme de management a securitatiiinformatiei).
Securitatea in domeniul IC&T
Conceptul de securitate aplicat informaţiei ia în considerare protecţia activelor informaţionale – stocate, tratate, partajate, transmise sau extrase de pe un suport electronic - în faţa ameninţărilor care conduc la distrugere, divulgare, sau inaccesibilitate.
Noţiunea de securitate informatică se refera la diversele mecanisme, instrumente, proceduri sau tehnici care asigură protecţia sistemelor, a reţelelor informatice si de comunicatie.
Parametrii de securitate a informatiei
Disponibilitatea - garantarea accesului la informaţie a utilizatorilor abilitaţi, în condiţii bine determinate de timp şi performanţă.
Integritatea – garantarea exactitudinii şi a exhaustivităţii informaţiei, sub aspectul nealterării ei voluntare sau involuntare, de către persoane neautorizate.
Confidenţialitatea – garanteaza că informaţia este redată doar utilizatorilor autorizaţi, accesarea acesteia fiind efectuată în baza unor reguli predefinite.
Controlul (trasabilitatea) – asigurarea atributului de non-repudiere al informaţiei
(imposibilitatea utilizatorului de a nega recepţionarea/transmiterea informaţiei);
garantarea trasabilităţii - posibilitatea de a controla traseul informaţiei, prin amprentele lăsate de aceasta in sistem.
Elemente vizate de securitatea IC&T
activele informaţionale – baze şi bănci de date, documentaţii de sisteme, proceduri de fabricaţie, planuri, programe, arhive, brevete de invenţii, drepturi de autor, marcă, imagine etc;
programe informatice – software de bază, aplicaţii, programe utilitare, instrumente de dezvoltare software etc;
materiale informatice – calculatoare, echipamente de comunicaţie, suporturi de memorare etc;
servicii electronice – telecomunicaţii, servicii de interes public, servicii bancare etc.
Managementul securitatii informatiei
Managementul securităţii informaţiei – proces prin care se asigura pilotajul activitatilor referitoare la gestionarea informatiei si a sistemelor informatice într-o manieră care să garanteze un nivel adecvat de protecţie a acestora, în timp şi spaţiu.
Obiectivul fundamental - prevenirea producerii riscurilor in domeniul IC&T care pot compromite patrimoniul organizaţiei, precum şi recuperarea rapidă a pierderilor survenite în urma manifestării acestora.
4.2 Gestiunea riscurilor in domeniul informatic
Definitie:
Coordonarea într-o manieră continuă, a activităţilor de identificare,
evaluare, control si eliminare a riscurilor specifice infrastructurii IC&T
a organizaţiei, precum şi operaţionalizarea unor sisteme corespunzătoare
de supraveghere şi de alertă.
Riscurile din sfera informatica
Riscul = un pericol dovedit sau potential, previzibil sau nu,
care are un impact nefavorabil asupra capacitatii organizatiei
de a-si atinge obiectivele, precum si asupra nivelului sau
de performanta.
Delimitarea terminologica a riscurilor in domeniul IC&T
Riscul informaţional reprezintă un pericol dovedit sau potenţial, mai mult sau mai puţin previzibil, care se manifestă asupra caracteristicilor, a conţinutului, a operaţiilor la care este supusa informaţia, precum şi asupra circuitului sau fluxului informaţional.
Riscul informatic reprezintă un pericol dovedit sau potenţial, mai mult sau mai puţin previzibil, care se manifestă asupra sistemelor software de exploatare şi al programelor informatice.
Riscul tehnologic reprezintă un pericol dovedit sau potenţial, mai mult sau mai puţin previzibil, care se manifestă asupra echipamentelor hardware, al instrumentelor şi sistemelor de comunicaţie electronică, precum şi asupra tehnologiilor funcţionale pe platforme Internet.
Componentele riscului
Probabilitatea de aparitie Variaza de la imposibilitate la certitudine si se exprima pe o
scara de valori pe trei niveluri: mica – medie – mare. Nivelul de vulnerabilitate
Exprima gradul de expunere la risc si se exprima pe trei niveluri: redusa – medie – mare.
Nivelul impactului Reprezinta efectele riscului in cazul producerii lui, scara
valorica pe trei niveluri: scazut – moderat – ridicat.
Masurarea riscului
Aria de manifestare a riscului informatic
Aria de risc in sfera informatica
Externa
Interna
Mixta
• grupuri de presiune• piratare site• intruziunea
informatica (hacking)
• echipamente neperformante
• produse informatice contrafacute• gestiune defectuoasa a
inform. uzurparea
identitatii atacuri virale deturnarea
informatiei
Tipuri de vulnerabilitati
Vulnerabilitati
Organizationale
Tehnice
Umane
Externe
- Arhitecturi informatice, de comunicatie permisive- Administrare nesecurizata aaplicatiilor
- Deficiente de conceptie- Conexiuni nesigure pt. comunicatii
- Necunoasterea/ignorarea amenintarilor- Lipsa de implicare a cond.
- Defaimarea, decredibilizarea imaginii si a notorietatii
4.3 Politica de securitate informatica
Concept:Componentă cu rol complementar şi de suport în cadrul celorlalte politici existente în organizaţie, concepută pentru a asigura cadrul formal de aplicare a măsurilor de securitate, destinate reducerii riscurilor IC&T şi a pierderilor generate de acestea .
Obiectiv urmarit prin PSI Asigurarea protecţiei activelor informaţionale ale organizatiei, în scopul garantării continuităţii în funcţionare a propriului sistem.
Elemente generale ale politicii de securitate informatica
Elemente ale PSI Intrebari asociate
Organizarea securităţii Ce anume trebuie protejat? De ce?
Atribuirea rolurilor şi a responsabilităţilor
Cine asigură protecţia? Care sunt nivelurile de protecţie pentru fiecare actor implicat?
Identificarea ţintelor de securitate pentru fiecare domeniu din organizaţie
Care sunt riscurile potenţiale, cauzele lor ? Ce riscuri pot fi asumate?
Definirea ameninţărilor, identificarea
vulnerabilităţilor Care este nivelul actual de securitate informatică? Care este gradul de vulnerabilitate, pe domenii?
Definirea măsurilor de securitate Care sunt practicile, soluţiile, procedurile ce vor fi operaţionalizate în planul informaţional, informatic şi al comunicaţiilor?
Oportunitatea politici de securitate informatica
Perceptia manageriala Asigurarea securitatii in domeniul informatic este hotaritoare pentru
castigarea increderii din partea partenerilor organizatiei. Abordarea securitatii informatice din perspectiva tehnologica este o
conditie necesara (nu si suficienta) pentru protejarea patrimoniului organizatiei.
Abordarea securitatii informatice din perspectiva manageriala (conditia de suficienta) este in masura sa asigure o coerenta a scopurilor PSI cu obiectivele strategice generale.
Perceptia economica (eficienta si eficacitate) Asigurarea securitatii informatice nu sporeste in mod direct si vizibil
resursele financiare ale organizatiei, dar in mod sigur, evita sa le piarda!!!
Securitatea in domeniul informatic poseda o eficacitate “pasiva”, reflectata prin efecte care ar apare ca urmare a insecuritatii informatice!
Securitatea informatica este o calatorie permanenta
si nu doar o destinatie.
(Club de la Securite de l’Information Francais)
top related