politici de securitate
TRANSCRIPT
-
8/13/2019 Politici de Securitate
1/12
Politici de securitate
Capitolul1. Politici de securitate a sistemelorinformatice.
1.1. Noiuni de securitatea informaiilor
Securitatea electronic este definit ca fiind acele politici, recomandri i
aciuni necesare minimizrii riscului de a compromite integritatea sistemelor
informatice i a informaiilor stocate i prelucrate cu ajutorul mijloacelor
electronice.
Nici o msur de securitate nu garanteaz eliminarea complet a oricrui
risc, dar poate s-l reduc la un nivel acceptabil. Securitatea IT se concentreaz
pe crearea unei platforme de calcul unde persoane sau programe s nu poat
desfura aciuni pentru care nu au drepturi alocate.
erinele de securitate pe care trebuie s le !ndeplineasc un sistem
informatic sunt"
a# Identificarea$ reprezint procesele i procedurile necesare pentru stabilirea
unei identiti unice pentru un utilizator sau o entitate !n cadrul unui sistem
informatic. Identificarea permite contabilizarea tuturor operaiunilor individuale i
previne accesul neautorizat.
b# Autentificarea $ este procedura pentru verificarea identitii entitii caresolicit acces la un sistem, procesul prin care sistemul valideaz informaiile de
conectare oferite de entitatea utilizatoare.
c# Controlul accesului$ determin ce anume poate face o anumit entitate
autentificat !n sistem, av%nd !n vedere" controlul accesului la sistem, controlul
accesului la reea, clasificarea informaiei, privilegiile.
1
-
8/13/2019 Politici de Securitate
2/12
d# Responsabilitatea$ este str%ns legat de msurile de securitate impuse
utilizatorilor sistemului, care vor fi rspunztori pentru aciunile !ntreprinse dup
conectarea la sistem.
e# Auditul de securitate $ se ocup cu analiza !nregistrrilor activitilor
e&ecutate, pentru a determina dac sistemul de protecie este !n concordan cu
politicile i procedurile de securitate stabilite. Scopul unui audit este de a
identifica slbiciunile legate de securitate sau a eecurilor care pot fi corectate
sau controlate.
f# Integritatea sistemului$ pentru a se menine integritatea sistemului se iau
urmtoarele msuri"
-separarea proceselor i datelor utilizatorilor'
-separarea proceselor i datelor sistemului'-protejarea soft(are-ului, datelor i )ard(are-ului de modificri, fie c
acestea sunt voite sau accidentale'
-controlul aciunilor i operaiilor de !ntreinere.
g# Integritatea informaiilor $ presupune mecanisme de protecie a datelor
!mpotriva distrugerii sau accesului neautorizat i mecanisme de !nregistrare a
modificrilor survenite.
)# Fiabilitatea serviciilor $ se refer la c%t de uor i sigur un utilizator
autentificat poate accesa i utiliza resursele unui sistem.
i# Documentarea privind securitatea $ este vital pentru meninerea unui
anumit sistem de securitate operaional i eficient.
*oliticile de securitate formale vor dicta cerintele de baz i obiectivele pe
care trebuie s le !ndeplineasc o te)nologie. *olitica de securitate este o
component a politicilor de dezvoltare a companiei prin care se garanteaz
continuitatea funcional a proceselor de afacere i se asigur protecia
informaiilor confideniale.
*entru a realiza un sistem de protecie eficient este necesar s se
parcurg urmtoarele cinci etape"
-evaluarea riscurilor'
-definirea politicii de securitate'
2
-
8/13/2019 Politici de Securitate
3/12
-implementarea politicii de securitate'
-administrarea'
-auditul.
*olitica de securitate la nivelul unei organizaii joac un rol esenial fiind
responsabil c)iar de managementul afacerilor. *entru stabilirea politicii de
securitate vor fi parcurse etapele"
-se analizeaz riscurile majore ale organizaiei +pentru definirea
procedurilor prin intermediul crora vor fi prevenite riscurile, ca urmare a apariiei
unor evenimente nedorite#'
-se definete politica de securitate +pentru tratarea componentelor la care
nu pot fi prevenite anumite aciuni fr a impune msuri de protecie#'
-stabilirea unui plan de urgen care se va aplica !n cazul !n care msurilede protecie sunt !nvinse'
-deoarece aceste probleme nu pot fi rezolvate numai prin definirea unei
politici de securitate i prin investirea de bani pentru anumite activitti, !n final se
cere acordul efului departamentului de management pentru acceptarea unor
riscuri.
&ist mai multe motive pentru care trebuie s concepem o politic de
securitate pentru sisteme i reeaua din care ele fac parte.
politic solid ne permite s conturm securitatea ca un sistem/ dec%t
doar un set de diferite caracteristici. 0r o politic, un administrator poate
decide s !nc)id accesul telnet, pentru c transmite parole necriptate, dar s
lase desc)is accesul ftp, menin%du-se aceeai slbiciune.
politic bun de securitate ne permite s identificm msurile ce merit
aplicate i cele care nu.
*entru a diagnostica problemele, conduce audituri sau depista intruii,
este posibil s trebuiasc s interceptm traficul prin reea, s inspectm istoricul
autentificrilor i comenzilor utilizatorilor i s analizm directoarele )ome
+1inu. 2tilizatorii trebuie !ntiintati de aceste aciuni, pentru c altfel ele pot
deveni ilegale.
politic de securitate ar trebui s conin, cel putin, urmtoarelesubiecte"
3
-
8/13/2019 Politici de Securitate
4/12
-2tilizare acceptabil'
-3plicatii Screen saver'
-4anipularea parolei'
-5escrcarea i instalarea aplicaiilor'
-Informaii ce menioneaz c utilizatorii sunt monitorizati'
-2tilizarea de aplicaii antivirus'
-4anipularea informaiei sensibile +!n orice form scris, )%rtie sau format
digital# '
-urarea biroului i !ncuierea informaiilor confideniale'
-prirea sistemului * !nainte de a prsi spaiul'
-2tilizarea encriptrii'
-4anipularea c)eilor colegilor de !ncredere'-4anipularea materialului confidenial !n cltorii'
-4anipularea sistemului laptop !n cltorii i staionrile la )oteluri.
5ou lucruri sunt foarte importante atunci c%nd dorim s asigurm un
nivel de securitate de baz pentru toate sistemele din reea"
-sistemele trebuie s fie meninute la zi din punct de vedere al patc)urilor
i fi&urilor de securitate'
-trebuie s aplicm un set de configurri de securitate de baz pe toate
sistemele din reea, adic s facem !ntrirea securitii sistemelor +)ardening#.
Sarcina de baz !n etapa de e&ploatare a oricrui sistem informatic este
asigurarea unui nivel viabil de securitate. *articularitatea de baz a unui sistem
de securitate const !n faptul c sistemul informatic care este protejat astzi,
m%ine poate deveni vulnerabil. 6n acelai timp, sistemul de securitate care nu
este e&ploatat !n concordan cu cerinele contemporane sau nu se ia !n
consideraie apariia unor noi pericole, peste c%teva luni !i va pierde
actualitatea.
3stfel, asigurarea securitii este posibil prin e&ploatarea corect a
sistemului i prin susinerea politicii de securitate. 3ceasta presupune
desfurarea unui ir de msuri permanente i periodice de susinere te)nic a
mijloacelor de protecie, monitorizarea i analiza evenimentelor de securitate ce
4
-
8/13/2019 Politici de Securitate
5/12
se deruleaz !n sistem, verificarea periodic a nivelului de protecie a resurselor
protejate, aplanarea situaiilor nefaste i lic)idarea consecinelor. 5e asemenea,
administrarea sistemelor de securitate trebuie s fie !nzestrat cu un anumit grad
de automatizare a funciilor de administrare i a altor funcii de e&ploatare, de
aceea, elaborarea unui sistem solid, bine securizat, cu proceduri de acces at%t
din e&terior, c%t i din interior, bine puse la punct, confer activitii sistemului
informatic multiple avantaje.
3stfel, oric%t de mic este instituia, e&istenta unei politici de securitate
este necesar pentru desfurarea eficient a activitii propriu-zise. *e l%ng
diferite acte normative interne, e necesar de implementat i recomandrile de
ordin internaional, !n unele cazuri adapt%nd metodele naionale la standardele
internaionale gen" IS 78899 :5irijarea cu securitatea informaional/, IS7; :Te)nologia informaional $ metode de protecie $ criteriile de analiz a
securitii informaionale/ etc.
5
-
8/13/2019 Politici de Securitate
6/12
Fig.1.1 Interaciunea politicii de Securitate IT i managementului IT
*entru elaborarea politicii de securitate i a planurilor de perfecionare a
acesteia este necesar"
-argumentarea i realizarea calculului investiiilor financiare !n asigurarea
securitii !n baza te)nologiilor de analiz a pericolelor, co-raportarea c)eltuielilor
pentru asigurarea securitii cu dauna potenial i probabilitatea survenirii ei'
-descoperirea i scoaterea la iveal, precum i blocarea celor mai
periculoase lacune p%n la sesizarea i atacarea lor de ctre agresor'
-determinarea relaiilor funcionale i a zonelor de responsabilitate a
subdiviziunilor i persoanelor cu privire la asigurarea securitii informaionale ainstituiei, crearea pac)etului necesar de documentaie cu privire la organizarea
i dirijarea activitii !n domeniul respectiv'
-elaborarea i coordonarea cu serviciile i subdiviziunile instituiei,
serviciile de supraveg)ere, proiectul de introducere a comple&elor necesare de
protecie, care se vor elabora !n legtur cu nivelul modern i tendinele de
dezvoltare a te)nologiilor informaionale'
-asigurarea susinerii comple&ului introdus de securitate !n conformitate cu
condiiile dinamice de activitate a instituiei, perfecionarea dinamic a setului de
documentaie de organizare i dirijare cu procesul !n cauz, modificarea
procesului te)nologic i a mijloacelor te)nice de asigurare a proteciei.
*olitica de securitate trebuie s conin i s prevad !n special" ordinea
de oferire i folosire a drepturilor de acces de ctre utilizatori, de asemenea,
darea de seam a utilizatorilor pentru aciunile !ntreprinse !n problemele ce in de
sfera de securitate.
1.2. Analia riscurilor !n securitatea I"
?iscul este evenimentul capabil s e&ercite o influen asupra desfurrii
proiectului. ?iscurile e&ist !n toate proiectele, dar nu neaprat se i produc.
4ajoritatea e&perilor sunt de prerea" cu c%t mai degrab va fi stabilit pericolul
6
-
8/13/2019 Politici de Securitate
7/12
potenial, cu at%t mai mult timp va rm%ne ca ec)ipa de proiectani s-l
neutralizeze sau s minimizeze pierderile.
*utem considera risc ca fiind probabilitatea de realizare a unei situatii
nedorite, ce poate genera pierderi sau inconveniene. 3naliza riscurilor este
procesul de identificare a riscurilor i determinare a soluiei optime de gestiune a
lor.
6n procesul de analiz a riscurilor trebuie pornit de la lucrurile elementare"
uniformitatea infrastructurii din punct de vedere al sistemelor folosite,
administrarea centralizat, meninerea la zi a sistemelor, aplicarea unor
configurri standard de securitate pe toate serverele i staiile de lucru !n funcie
de rolul funcional al acestora, proceduri standard de utilizare i administrare, etc.
*rocesul de analiz a riscurilor se poate derula !n urmtoarele faze"-identificarea resurselor informaionale'
-gruparea i ierar)izarea resurselor informaionale'
-identificarea riscurilor'
-identificarea mijloacelor de protecie'
-evaluarea riscurilor'
-!ntocmirea recomandrilor'
1a faza de identificare a resurselor informaionale urmeaz s se creeze
un tablou de ansamblu al infrastructurii informaionale. ?esursele informaionale
sunt considerate aici ca fiind" datele, aplicaiile, te)nologiile, !ncperile, resursele
umane, etc. informaie indispensabil analizei de mai departe este
interdependena resurselor +e&." ce sistem, cu ce date gestioneaz, ce te)nologii
utilizeaz, unde este amplasat i cine administreaz#. ?ezultatul acestei faze
poate fi o list cu toate resursele informaionale identificate !n cadrul organizaiei.
@ruparea i ierar)izarea resurselor informaionale este necesar pentru
determinarea prioritilor de protejare a lor.
lasificarea resurselor trebuie s in cont de interdependenele dintre
ele. Numrul de resurse !n fiecare categorie este arbitrar, !ns totui e preferabil
limitarea numrului de resurse critice pentru a evita confuzia. ?ezultatul acestei
7
-
8/13/2019 Politici de Securitate
8/12
faze este o list de resurse informaionale prioritare din punct de vedere al
nivelului de criticitate a lor, dupa cum urmeaz"
-Resurse critice $ sistemele nu pot s-i continue activitatea !n lipsa
resursei respective'
-Resurse eseniale$ sistemele resursei pot s-i continue activitatea, !ns
pentru o perioad determinat de timp +c%teva ore sau zile#, !ns resursa trebuie
neaprat restabilit'
-Resurse normale$ resursa poate fi folosit pe o perioad !ndelungat de
timp, totui anumite aplicatii vor fi parial afectate, este nevoie s se gseasc
alternative.
Fig. 1.2 Modelul relaional: obiective de business riscuri TI
Identificarea riscurilor presupune selectarea dintr-o list cu riscuri comune
aferente te)nologiilor informaionale. ?iscurile care se vor considera c nu merit
atenie sunt !nlturate din list. ?iscurile trebuie s fie e&plicit identificate !n
raport cu una sau mai multe resurse.
1a faza de asociere a riscurilor la resurse are loc o particularizare a
riscurilor pentru fiecare resurs critic !n parte.
8
-
8/13/2019 Politici de Securitate
9/12
Identificare mijloacelor de protecie presupune completarea listei rezultate
cu descrierea mijloacelor de protecie !n prezent utilizate pentru !nlturarea sau
atenuarea riscului abordat.
0aza de evaluare a riscurilor este foarte important, iar succesul ei
depinde !n mare parte de competenele profesionale ale membrilor ec)ipei, care
efectueaz analiza riscurilor. *entru fiecare resurs critic, !n ordinea importanei
lor, se face o ierar)izare a riscurilor aferente !n dependent de impactul ce l-ar
putea avea.
1a faza de !ntocmire a recomandrilor se analizeaz informaia acumulat
la fazele precedente i se iau decizii asupra soluiilor e&istente +dac e&ist# ce
ar permite atenuarea, redirecionarea sau !nlturarea riscurilor identificate.
Se poate afirma ca e&ist foarte multe riscuri care necesit atenie atuncicand folosim sisteme IT. etap foarte important !n procesul de rezolvare a
unui risc o constituie etapa de analiz a riscurilor.
alt variant de clasificare a riscurilor este categorisirea lor !n cele
interne i e&terne. 3ceast modalitate este utilizat pentru definirea simplificat a
pericolelor poteniale i a msurilor de contracarare a acestora. *e de o parte,
sunt formate riscurile ce in de activitatea firmei-proiectante, iar, pe de alt parte,
riscurile la care este supus beneficiarul.
1.#. $valuarea %i managementul riscurilor de securitate!n I"
*entru asigurarea functionrii !n parametri optimi al oricrui sistem
informatic unul dintre paii care trebuie parcuri !l reprezint managementul
riscurilor. 4anagementul riscurilor const !n identificarea riscurilor, evaluarea
acestora i luarea unor msuri pentru a reduce e&punerea la riscuri la un nivel
acceptabil.
valuarea riscurilor reprezint primul pas !n metodologia managementului
riscurilor. ?ezultatul acestui proces const !n identificarea unor mecanisme ce
pot fi folosite pentru a reduce sau elimina riscurile.
9
-
8/13/2019 Politici de Securitate
10/12
*entru fiecare din riscurile identificate se poate calcula e&punerea la acest
risc ca fiind produsul dintre probabilitatea producerii riscului i impactul acestuia.
*entru a determina probabilitatea producerii riscului trebuie analizate
posibilele vulnerabiliti care pot conduce la producerea acestuia i mecanismele
de control a acestor vulnerabiliti. Impactul reprezint dimensiunea daunelor
cauzate, deci !n general impactul este estimat prin costuri.
valuarea riscurilor se realizeaz parcurg%nd urmatorii pai"
-!aracteri"area sistemului: Se analizeaz componentele )ard(are,
soft(are, interfeele de sistem, datele i informaiile din sistem, oamenii care au
acces la sistem i menirea sistemului, pentru a ajunge la concluzii referitoare laperimetrul sistemului, funciile sistemului, punctele critice i sensibile ale
sistemului i ale datelor din sistem.
-Identi#icarea amenin$rilor:1u%nd !n considerare istoria atacurilor asupra
sistemului i a datelor despre posibile atacuri, se specific ameninrile.
-Identi#icarea vulnerabilit$ilor:3naliz%nd rapoarte anterioare de evaluare
a riscurilor, observaii ale auditului, necesiti de securitate i rezultate ale
testelor de securitate se realizeaz o list cu potentiale vulnerabiliti.
-%nali"a mecanismelor de control a vulnerabilit$ilor" Se realizeaz o list
cu mecanismele curente i cele planificate de control a vulnerabilitilor.
-&eterminarea probabilit$ii: Se analizeaz motivaia care st la baza
ameninrii, c%t de puternic este ameninarea, natura vulnerabilitii i
mecanismele actuale de control a vulnerabilitii pentru a determina o estimare a
probabilitii e&ploatrii riscului.
-%nali"a impactului:Se analizeaz impactul asupra scopului sistemului,
punctele critice i sensibile create !n ceea ce privete datele din sistem pentru a
determina o estimare a impactului.
-&eterminarea riscurilor:3naliz%nd probabilitatea e&ploatrii ameninrilor,
mrimea impactului i caracterul adecvat al mecanismelor actuale de reducere a
vulnerabilitilor se realizeaz o list cu riscurile i nivelul fiecrui risc.
10
-
8/13/2019 Politici de Securitate
11/12
*rocesul de reducere a e&punerii la riscuri reprezint un pas al
metodologiei de management al riscurilor. 3cest proces implic evaluarea i
implementarea mecanismelor corespunztoare de reducere a e&punerii la riscuri,
mecanisme recomandate !n cadrul procesului de evaluare a riscurilor.
liminarea complet a e&punerii la riscuri este !n cele mai multe cazuri
nepractic sau aproape imposibil, din aceasta cauz este de datoria
managementului de a alege o abordare c%t mai ieftin de implementare a unor
mecanisme de reducere a e&punerii la riscuri la un nivel acceptabil.
piuni de reducere a e&punerii la riscuri"
-asumarea riscului:este acceptat e&punerea la risc'
-evitarea riscului: se elimin cauza iAsau consecina riscului'
-limitarea riscului:se iau msuri de reducere a riscului'-trans#erarea riscului:se !ncearc compensarea pierderilor.
?eguli referitoare la aciunile de reducere a e&punerii la riscuri"
-dac e&ist vulnerabilitti trebuie implementate mecanisme care s
reduc probabilitatea ca aceste vulnerabilti s poat fi folosite pentru un atac
asupra sistemului'
-dac e&ist vulnerabiliti care pot fi folosite pentru un atac asupra
sistemului trebuie aplicate msuri de securitate stratificate pentru a minimiza sau
preveni posibilitatea producerii atacului'
-dac costurile coordonatorului atacului sunt mai mari dec%t c%tigurile
acestuia" se iau msuri de securitate prin care cresc costurile unui atac'
-dac pierderile !n cazul unui atac ar fi prea mari trebuie luate msuri
te)nice i non-te)nice de securitate pentru a reduce posibilitatea pierderilor'
4anagementul riscului poate fi definit ca totalitatea metodelor de
identificare, control, eliminare sau minimizare a evenimentelor care pot afecta
resursele sistemului.
3cesta include"
-anali"a riscurilor'
-anali"a costului bene#iciilor'
11
-
8/13/2019 Politici de Securitate
12/12
-determinarea celor mai potrivite mecanisme'
-evaluarea securit$ii m$surilor adoptate'
-anali"a securit$ii (n plan general.
3naliza riscului trebuie efectuat din mai multe raiuni, i anume"
-identificarea ierar)ic a activelor organizaiei respective i p%rg)iile care
asigur securitatea asupra acestora'
-constituirea unor etape succesive de eliminare a condiiilor care pot
favoriza realizarea riscurilor atunci c%nd conte&tul este comple& iar o modificare
a funcionrii sale nu se poate introduce dec%t prin politica pailor mruni.
-stabilete obligativitatea unor aciuni i a unor termene de realizare !n
vederea constituirii unor obiective care in de implementarea securitii
organizaiei'-constituirea unei perspective de ansamblu a ac)iziionrii de resurse i
servicii !n acest sens astfel !nc%t, s se in seama de efortul financiar !n
conte&tul gsirii celor mai eficiente soluii.
-aliniaz programul de control cu misiunea organizaiei'
-ofer criterii pentru proiectarea i evaluarea planurilor de avarie'
3naliza riscurilor urmrete s pun acest proces pe baze teoretice i practice
solide.
12