politici de securitate

Upload: liviuilas

Post on 04-Jun-2018

216 views

Category:

Documents


0 download

TRANSCRIPT

  • 8/13/2019 Politici de Securitate

    1/12

    Politici de securitate

    Capitolul1. Politici de securitate a sistemelorinformatice.

    1.1. Noiuni de securitatea informaiilor

    Securitatea electronic este definit ca fiind acele politici, recomandri i

    aciuni necesare minimizrii riscului de a compromite integritatea sistemelor

    informatice i a informaiilor stocate i prelucrate cu ajutorul mijloacelor

    electronice.

    Nici o msur de securitate nu garanteaz eliminarea complet a oricrui

    risc, dar poate s-l reduc la un nivel acceptabil. Securitatea IT se concentreaz

    pe crearea unei platforme de calcul unde persoane sau programe s nu poat

    desfura aciuni pentru care nu au drepturi alocate.

    erinele de securitate pe care trebuie s le !ndeplineasc un sistem

    informatic sunt"

    a# Identificarea$ reprezint procesele i procedurile necesare pentru stabilirea

    unei identiti unice pentru un utilizator sau o entitate !n cadrul unui sistem

    informatic. Identificarea permite contabilizarea tuturor operaiunilor individuale i

    previne accesul neautorizat.

    b# Autentificarea $ este procedura pentru verificarea identitii entitii caresolicit acces la un sistem, procesul prin care sistemul valideaz informaiile de

    conectare oferite de entitatea utilizatoare.

    c# Controlul accesului$ determin ce anume poate face o anumit entitate

    autentificat !n sistem, av%nd !n vedere" controlul accesului la sistem, controlul

    accesului la reea, clasificarea informaiei, privilegiile.

    1

  • 8/13/2019 Politici de Securitate

    2/12

    d# Responsabilitatea$ este str%ns legat de msurile de securitate impuse

    utilizatorilor sistemului, care vor fi rspunztori pentru aciunile !ntreprinse dup

    conectarea la sistem.

    e# Auditul de securitate $ se ocup cu analiza !nregistrrilor activitilor

    e&ecutate, pentru a determina dac sistemul de protecie este !n concordan cu

    politicile i procedurile de securitate stabilite. Scopul unui audit este de a

    identifica slbiciunile legate de securitate sau a eecurilor care pot fi corectate

    sau controlate.

    f# Integritatea sistemului$ pentru a se menine integritatea sistemului se iau

    urmtoarele msuri"

    -separarea proceselor i datelor utilizatorilor'

    -separarea proceselor i datelor sistemului'-protejarea soft(are-ului, datelor i )ard(are-ului de modificri, fie c

    acestea sunt voite sau accidentale'

    -controlul aciunilor i operaiilor de !ntreinere.

    g# Integritatea informaiilor $ presupune mecanisme de protecie a datelor

    !mpotriva distrugerii sau accesului neautorizat i mecanisme de !nregistrare a

    modificrilor survenite.

    )# Fiabilitatea serviciilor $ se refer la c%t de uor i sigur un utilizator

    autentificat poate accesa i utiliza resursele unui sistem.

    i# Documentarea privind securitatea $ este vital pentru meninerea unui

    anumit sistem de securitate operaional i eficient.

    *oliticile de securitate formale vor dicta cerintele de baz i obiectivele pe

    care trebuie s le !ndeplineasc o te)nologie. *olitica de securitate este o

    component a politicilor de dezvoltare a companiei prin care se garanteaz

    continuitatea funcional a proceselor de afacere i se asigur protecia

    informaiilor confideniale.

    *entru a realiza un sistem de protecie eficient este necesar s se

    parcurg urmtoarele cinci etape"

    -evaluarea riscurilor'

    -definirea politicii de securitate'

    2

  • 8/13/2019 Politici de Securitate

    3/12

    -implementarea politicii de securitate'

    -administrarea'

    -auditul.

    *olitica de securitate la nivelul unei organizaii joac un rol esenial fiind

    responsabil c)iar de managementul afacerilor. *entru stabilirea politicii de

    securitate vor fi parcurse etapele"

    -se analizeaz riscurile majore ale organizaiei +pentru definirea

    procedurilor prin intermediul crora vor fi prevenite riscurile, ca urmare a apariiei

    unor evenimente nedorite#'

    -se definete politica de securitate +pentru tratarea componentelor la care

    nu pot fi prevenite anumite aciuni fr a impune msuri de protecie#'

    -stabilirea unui plan de urgen care se va aplica !n cazul !n care msurilede protecie sunt !nvinse'

    -deoarece aceste probleme nu pot fi rezolvate numai prin definirea unei

    politici de securitate i prin investirea de bani pentru anumite activitti, !n final se

    cere acordul efului departamentului de management pentru acceptarea unor

    riscuri.

    &ist mai multe motive pentru care trebuie s concepem o politic de

    securitate pentru sisteme i reeaua din care ele fac parte.

    politic solid ne permite s conturm securitatea ca un sistem/ dec%t

    doar un set de diferite caracteristici. 0r o politic, un administrator poate

    decide s !nc)id accesul telnet, pentru c transmite parole necriptate, dar s

    lase desc)is accesul ftp, menin%du-se aceeai slbiciune.

    politic bun de securitate ne permite s identificm msurile ce merit

    aplicate i cele care nu.

    *entru a diagnostica problemele, conduce audituri sau depista intruii,

    este posibil s trebuiasc s interceptm traficul prin reea, s inspectm istoricul

    autentificrilor i comenzilor utilizatorilor i s analizm directoarele )ome

    +1inu. 2tilizatorii trebuie !ntiintati de aceste aciuni, pentru c altfel ele pot

    deveni ilegale.

    politic de securitate ar trebui s conin, cel putin, urmtoarelesubiecte"

    3

  • 8/13/2019 Politici de Securitate

    4/12

    -2tilizare acceptabil'

    -3plicatii Screen saver'

    -4anipularea parolei'

    -5escrcarea i instalarea aplicaiilor'

    -Informaii ce menioneaz c utilizatorii sunt monitorizati'

    -2tilizarea de aplicaii antivirus'

    -4anipularea informaiei sensibile +!n orice form scris, )%rtie sau format

    digital# '

    -urarea biroului i !ncuierea informaiilor confideniale'

    -prirea sistemului * !nainte de a prsi spaiul'

    -2tilizarea encriptrii'

    -4anipularea c)eilor colegilor de !ncredere'-4anipularea materialului confidenial !n cltorii'

    -4anipularea sistemului laptop !n cltorii i staionrile la )oteluri.

    5ou lucruri sunt foarte importante atunci c%nd dorim s asigurm un

    nivel de securitate de baz pentru toate sistemele din reea"

    -sistemele trebuie s fie meninute la zi din punct de vedere al patc)urilor

    i fi&urilor de securitate'

    -trebuie s aplicm un set de configurri de securitate de baz pe toate

    sistemele din reea, adic s facem !ntrirea securitii sistemelor +)ardening#.

    Sarcina de baz !n etapa de e&ploatare a oricrui sistem informatic este

    asigurarea unui nivel viabil de securitate. *articularitatea de baz a unui sistem

    de securitate const !n faptul c sistemul informatic care este protejat astzi,

    m%ine poate deveni vulnerabil. 6n acelai timp, sistemul de securitate care nu

    este e&ploatat !n concordan cu cerinele contemporane sau nu se ia !n

    consideraie apariia unor noi pericole, peste c%teva luni !i va pierde

    actualitatea.

    3stfel, asigurarea securitii este posibil prin e&ploatarea corect a

    sistemului i prin susinerea politicii de securitate. 3ceasta presupune

    desfurarea unui ir de msuri permanente i periodice de susinere te)nic a

    mijloacelor de protecie, monitorizarea i analiza evenimentelor de securitate ce

    4

  • 8/13/2019 Politici de Securitate

    5/12

    se deruleaz !n sistem, verificarea periodic a nivelului de protecie a resurselor

    protejate, aplanarea situaiilor nefaste i lic)idarea consecinelor. 5e asemenea,

    administrarea sistemelor de securitate trebuie s fie !nzestrat cu un anumit grad

    de automatizare a funciilor de administrare i a altor funcii de e&ploatare, de

    aceea, elaborarea unui sistem solid, bine securizat, cu proceduri de acces at%t

    din e&terior, c%t i din interior, bine puse la punct, confer activitii sistemului

    informatic multiple avantaje.

    3stfel, oric%t de mic este instituia, e&istenta unei politici de securitate

    este necesar pentru desfurarea eficient a activitii propriu-zise. *e l%ng

    diferite acte normative interne, e necesar de implementat i recomandrile de

    ordin internaional, !n unele cazuri adapt%nd metodele naionale la standardele

    internaionale gen" IS 78899 :5irijarea cu securitatea informaional/, IS7; :Te)nologia informaional $ metode de protecie $ criteriile de analiz a

    securitii informaionale/ etc.

    5

  • 8/13/2019 Politici de Securitate

    6/12

    Fig.1.1 Interaciunea politicii de Securitate IT i managementului IT

    *entru elaborarea politicii de securitate i a planurilor de perfecionare a

    acesteia este necesar"

    -argumentarea i realizarea calculului investiiilor financiare !n asigurarea

    securitii !n baza te)nologiilor de analiz a pericolelor, co-raportarea c)eltuielilor

    pentru asigurarea securitii cu dauna potenial i probabilitatea survenirii ei'

    -descoperirea i scoaterea la iveal, precum i blocarea celor mai

    periculoase lacune p%n la sesizarea i atacarea lor de ctre agresor'

    -determinarea relaiilor funcionale i a zonelor de responsabilitate a

    subdiviziunilor i persoanelor cu privire la asigurarea securitii informaionale ainstituiei, crearea pac)etului necesar de documentaie cu privire la organizarea

    i dirijarea activitii !n domeniul respectiv'

    -elaborarea i coordonarea cu serviciile i subdiviziunile instituiei,

    serviciile de supraveg)ere, proiectul de introducere a comple&elor necesare de

    protecie, care se vor elabora !n legtur cu nivelul modern i tendinele de

    dezvoltare a te)nologiilor informaionale'

    -asigurarea susinerii comple&ului introdus de securitate !n conformitate cu

    condiiile dinamice de activitate a instituiei, perfecionarea dinamic a setului de

    documentaie de organizare i dirijare cu procesul !n cauz, modificarea

    procesului te)nologic i a mijloacelor te)nice de asigurare a proteciei.

    *olitica de securitate trebuie s conin i s prevad !n special" ordinea

    de oferire i folosire a drepturilor de acces de ctre utilizatori, de asemenea,

    darea de seam a utilizatorilor pentru aciunile !ntreprinse !n problemele ce in de

    sfera de securitate.

    1.2. Analia riscurilor !n securitatea I"

    ?iscul este evenimentul capabil s e&ercite o influen asupra desfurrii

    proiectului. ?iscurile e&ist !n toate proiectele, dar nu neaprat se i produc.

    4ajoritatea e&perilor sunt de prerea" cu c%t mai degrab va fi stabilit pericolul

    6

  • 8/13/2019 Politici de Securitate

    7/12

    potenial, cu at%t mai mult timp va rm%ne ca ec)ipa de proiectani s-l

    neutralizeze sau s minimizeze pierderile.

    *utem considera risc ca fiind probabilitatea de realizare a unei situatii

    nedorite, ce poate genera pierderi sau inconveniene. 3naliza riscurilor este

    procesul de identificare a riscurilor i determinare a soluiei optime de gestiune a

    lor.

    6n procesul de analiz a riscurilor trebuie pornit de la lucrurile elementare"

    uniformitatea infrastructurii din punct de vedere al sistemelor folosite,

    administrarea centralizat, meninerea la zi a sistemelor, aplicarea unor

    configurri standard de securitate pe toate serverele i staiile de lucru !n funcie

    de rolul funcional al acestora, proceduri standard de utilizare i administrare, etc.

    *rocesul de analiz a riscurilor se poate derula !n urmtoarele faze"-identificarea resurselor informaionale'

    -gruparea i ierar)izarea resurselor informaionale'

    -identificarea riscurilor'

    -identificarea mijloacelor de protecie'

    -evaluarea riscurilor'

    -!ntocmirea recomandrilor'

    1a faza de identificare a resurselor informaionale urmeaz s se creeze

    un tablou de ansamblu al infrastructurii informaionale. ?esursele informaionale

    sunt considerate aici ca fiind" datele, aplicaiile, te)nologiile, !ncperile, resursele

    umane, etc. informaie indispensabil analizei de mai departe este

    interdependena resurselor +e&." ce sistem, cu ce date gestioneaz, ce te)nologii

    utilizeaz, unde este amplasat i cine administreaz#. ?ezultatul acestei faze

    poate fi o list cu toate resursele informaionale identificate !n cadrul organizaiei.

    @ruparea i ierar)izarea resurselor informaionale este necesar pentru

    determinarea prioritilor de protejare a lor.

    lasificarea resurselor trebuie s in cont de interdependenele dintre

    ele. Numrul de resurse !n fiecare categorie este arbitrar, !ns totui e preferabil

    limitarea numrului de resurse critice pentru a evita confuzia. ?ezultatul acestei

    7

  • 8/13/2019 Politici de Securitate

    8/12

    faze este o list de resurse informaionale prioritare din punct de vedere al

    nivelului de criticitate a lor, dupa cum urmeaz"

    -Resurse critice $ sistemele nu pot s-i continue activitatea !n lipsa

    resursei respective'

    -Resurse eseniale$ sistemele resursei pot s-i continue activitatea, !ns

    pentru o perioad determinat de timp +c%teva ore sau zile#, !ns resursa trebuie

    neaprat restabilit'

    -Resurse normale$ resursa poate fi folosit pe o perioad !ndelungat de

    timp, totui anumite aplicatii vor fi parial afectate, este nevoie s se gseasc

    alternative.

    Fig. 1.2 Modelul relaional: obiective de business riscuri TI

    Identificarea riscurilor presupune selectarea dintr-o list cu riscuri comune

    aferente te)nologiilor informaionale. ?iscurile care se vor considera c nu merit

    atenie sunt !nlturate din list. ?iscurile trebuie s fie e&plicit identificate !n

    raport cu una sau mai multe resurse.

    1a faza de asociere a riscurilor la resurse are loc o particularizare a

    riscurilor pentru fiecare resurs critic !n parte.

    8

  • 8/13/2019 Politici de Securitate

    9/12

    Identificare mijloacelor de protecie presupune completarea listei rezultate

    cu descrierea mijloacelor de protecie !n prezent utilizate pentru !nlturarea sau

    atenuarea riscului abordat.

    0aza de evaluare a riscurilor este foarte important, iar succesul ei

    depinde !n mare parte de competenele profesionale ale membrilor ec)ipei, care

    efectueaz analiza riscurilor. *entru fiecare resurs critic, !n ordinea importanei

    lor, se face o ierar)izare a riscurilor aferente !n dependent de impactul ce l-ar

    putea avea.

    1a faza de !ntocmire a recomandrilor se analizeaz informaia acumulat

    la fazele precedente i se iau decizii asupra soluiilor e&istente +dac e&ist# ce

    ar permite atenuarea, redirecionarea sau !nlturarea riscurilor identificate.

    Se poate afirma ca e&ist foarte multe riscuri care necesit atenie atuncicand folosim sisteme IT. etap foarte important !n procesul de rezolvare a

    unui risc o constituie etapa de analiz a riscurilor.

    alt variant de clasificare a riscurilor este categorisirea lor !n cele

    interne i e&terne. 3ceast modalitate este utilizat pentru definirea simplificat a

    pericolelor poteniale i a msurilor de contracarare a acestora. *e de o parte,

    sunt formate riscurile ce in de activitatea firmei-proiectante, iar, pe de alt parte,

    riscurile la care este supus beneficiarul.

    1.#. $valuarea %i managementul riscurilor de securitate!n I"

    *entru asigurarea functionrii !n parametri optimi al oricrui sistem

    informatic unul dintre paii care trebuie parcuri !l reprezint managementul

    riscurilor. 4anagementul riscurilor const !n identificarea riscurilor, evaluarea

    acestora i luarea unor msuri pentru a reduce e&punerea la riscuri la un nivel

    acceptabil.

    valuarea riscurilor reprezint primul pas !n metodologia managementului

    riscurilor. ?ezultatul acestui proces const !n identificarea unor mecanisme ce

    pot fi folosite pentru a reduce sau elimina riscurile.

    9

  • 8/13/2019 Politici de Securitate

    10/12

    *entru fiecare din riscurile identificate se poate calcula e&punerea la acest

    risc ca fiind produsul dintre probabilitatea producerii riscului i impactul acestuia.

    *entru a determina probabilitatea producerii riscului trebuie analizate

    posibilele vulnerabiliti care pot conduce la producerea acestuia i mecanismele

    de control a acestor vulnerabiliti. Impactul reprezint dimensiunea daunelor

    cauzate, deci !n general impactul este estimat prin costuri.

    valuarea riscurilor se realizeaz parcurg%nd urmatorii pai"

    -!aracteri"area sistemului: Se analizeaz componentele )ard(are,

    soft(are, interfeele de sistem, datele i informaiile din sistem, oamenii care au

    acces la sistem i menirea sistemului, pentru a ajunge la concluzii referitoare laperimetrul sistemului, funciile sistemului, punctele critice i sensibile ale

    sistemului i ale datelor din sistem.

    -Identi#icarea amenin$rilor:1u%nd !n considerare istoria atacurilor asupra

    sistemului i a datelor despre posibile atacuri, se specific ameninrile.

    -Identi#icarea vulnerabilit$ilor:3naliz%nd rapoarte anterioare de evaluare

    a riscurilor, observaii ale auditului, necesiti de securitate i rezultate ale

    testelor de securitate se realizeaz o list cu potentiale vulnerabiliti.

    -%nali"a mecanismelor de control a vulnerabilit$ilor" Se realizeaz o list

    cu mecanismele curente i cele planificate de control a vulnerabilitilor.

    -&eterminarea probabilit$ii: Se analizeaz motivaia care st la baza

    ameninrii, c%t de puternic este ameninarea, natura vulnerabilitii i

    mecanismele actuale de control a vulnerabilitii pentru a determina o estimare a

    probabilitii e&ploatrii riscului.

    -%nali"a impactului:Se analizeaz impactul asupra scopului sistemului,

    punctele critice i sensibile create !n ceea ce privete datele din sistem pentru a

    determina o estimare a impactului.

    -&eterminarea riscurilor:3naliz%nd probabilitatea e&ploatrii ameninrilor,

    mrimea impactului i caracterul adecvat al mecanismelor actuale de reducere a

    vulnerabilitilor se realizeaz o list cu riscurile i nivelul fiecrui risc.

    10

  • 8/13/2019 Politici de Securitate

    11/12

    *rocesul de reducere a e&punerii la riscuri reprezint un pas al

    metodologiei de management al riscurilor. 3cest proces implic evaluarea i

    implementarea mecanismelor corespunztoare de reducere a e&punerii la riscuri,

    mecanisme recomandate !n cadrul procesului de evaluare a riscurilor.

    liminarea complet a e&punerii la riscuri este !n cele mai multe cazuri

    nepractic sau aproape imposibil, din aceasta cauz este de datoria

    managementului de a alege o abordare c%t mai ieftin de implementare a unor

    mecanisme de reducere a e&punerii la riscuri la un nivel acceptabil.

    piuni de reducere a e&punerii la riscuri"

    -asumarea riscului:este acceptat e&punerea la risc'

    -evitarea riscului: se elimin cauza iAsau consecina riscului'

    -limitarea riscului:se iau msuri de reducere a riscului'-trans#erarea riscului:se !ncearc compensarea pierderilor.

    ?eguli referitoare la aciunile de reducere a e&punerii la riscuri"

    -dac e&ist vulnerabilitti trebuie implementate mecanisme care s

    reduc probabilitatea ca aceste vulnerabilti s poat fi folosite pentru un atac

    asupra sistemului'

    -dac e&ist vulnerabiliti care pot fi folosite pentru un atac asupra

    sistemului trebuie aplicate msuri de securitate stratificate pentru a minimiza sau

    preveni posibilitatea producerii atacului'

    -dac costurile coordonatorului atacului sunt mai mari dec%t c%tigurile

    acestuia" se iau msuri de securitate prin care cresc costurile unui atac'

    -dac pierderile !n cazul unui atac ar fi prea mari trebuie luate msuri

    te)nice i non-te)nice de securitate pentru a reduce posibilitatea pierderilor'

    4anagementul riscului poate fi definit ca totalitatea metodelor de

    identificare, control, eliminare sau minimizare a evenimentelor care pot afecta

    resursele sistemului.

    3cesta include"

    -anali"a riscurilor'

    -anali"a costului bene#iciilor'

    11

  • 8/13/2019 Politici de Securitate

    12/12

    -determinarea celor mai potrivite mecanisme'

    -evaluarea securit$ii m$surilor adoptate'

    -anali"a securit$ii (n plan general.

    3naliza riscului trebuie efectuat din mai multe raiuni, i anume"

    -identificarea ierar)ic a activelor organizaiei respective i p%rg)iile care

    asigur securitatea asupra acestora'

    -constituirea unor etape succesive de eliminare a condiiilor care pot

    favoriza realizarea riscurilor atunci c%nd conte&tul este comple& iar o modificare

    a funcionrii sale nu se poate introduce dec%t prin politica pailor mruni.

    -stabilete obligativitatea unor aciuni i a unor termene de realizare !n

    vederea constituirii unor obiective care in de implementarea securitii

    organizaiei'-constituirea unei perspective de ansamblu a ac)iziionrii de resurse i

    servicii !n acest sens astfel !nc%t, s se in seama de efortul financiar !n

    conte&tul gsirii celor mai eficiente soluii.

    -aliniaz programul de control cu misiunea organizaiei'

    -ofer criterii pentru proiectarea i evaluarea planurilor de avarie'

    3naliza riscurilor urmrete s pun acest proces pe baze teoretice i practice

    solide.

    12