politici de securitate

8/13/2019 Politici de Securitate

1/12

Politici de securitate

Capitolul1. Politici de securitate a sistemelorinformatice.

1.1. Noiuni de securitatea informaiilor

Securitatea electronic este definit ca fiind acele politici, recomandri i

aciuni necesare minimizrii riscului de a compromite integritatea sistemelor

informatice i a informaiilor stocate i prelucrate cu ajutorul mijloacelor

electronice.

Nici o msur de securitate nu garanteaz eliminarea complet a oricrui

risc, dar poate s-l reduc la un nivel acceptabil. Securitatea IT se concentreaz

pe crearea unei platforme de calcul unde persoane sau programe s nu poat

desfura aciuni pentru care nu au drepturi alocate.

erinele de securitate pe care trebuie s le !ndeplineasc un sistem

informatic sunt"

a# Identificarea$ reprezint procesele i procedurile necesare pentru stabilirea

unei identiti unice pentru un utilizator sau o entitate !n cadrul unui sistem

informatic. Identificarea permite contabilizarea tuturor operaiunilor individuale i

previne accesul neautorizat.

b# Autentificarea $ este procedura pentru verificarea identitii entitii caresolicit acces la un sistem, procesul prin care sistemul valideaz informaiile de

conectare oferite de entitatea utilizatoare.

c# Controlul accesului$ determin ce anume poate face o anumit entitate

autentificat !n sistem, av%nd !n vedere" controlul accesului la sistem, controlul

accesului la reea, clasificarea informaiei, privilegiile.

1


2/12

d# Responsabilitatea$ este str%ns legat de msurile de securitate impuse

utilizatorilor sistemului, care vor fi rspunztori pentru aciunile !ntreprinse dup

conectarea la sistem.

e# Auditul de securitate $ se ocup cu analiza !nregistrrilor activitilor

e&ecutate, pentru a determina dac sistemul de protecie este !n concordan cu

politicile i procedurile de securitate stabilite. Scopul unui audit este de a

identifica slbiciunile legate de securitate sau a eecurilor care pot fi corectate

sau controlate.

f# Integritatea sistemului$ pentru a se menine integritatea sistemului se iau

urmtoarele msuri"

-separarea proceselor i datelor utilizatorilor'

-separarea proceselor i datelor sistemului'-protejarea soft(are-ului, datelor i )ard(are-ului de modificri, fie c

acestea sunt voite sau accidentale'

-controlul aciunilor i operaiilor de !ntreinere.

g# Integritatea informaiilor $ presupune mecanisme de protecie a datelor

!mpotriva distrugerii sau accesului neautorizat i mecanisme de !nregistrare a

modificrilor survenite.

)# Fiabilitatea serviciilor $ se refer la c%t de uor i sigur un utilizator

autentificat poate accesa i utiliza resursele unui sistem.

i# Documentarea privind securitatea $ este vital pentru meninerea unui

anumit sistem de securitate operaional i eficient.

*oliticile de securitate formale vor dicta cerintele de baz i obiectivele pe

care trebuie s le !ndeplineasc o te)nologie. *olitica de securitate este o

component a politicilor de dezvoltare a companiei prin care se garanteaz

continuitatea funcional a proceselor de afacere i se asigur protecia

informaiilor confideniale.

*entru a realiza un sistem de protecie eficient este necesar s se

parcurg urmtoarele cinci etape"

-evaluarea riscurilor'

-definirea politicii de securitate'

2


3/12

-implementarea politicii de securitate'

-administrarea'

-auditul.

*olitica de securitate la nivelul unei organizaii joac un rol esenial fiind

responsabil c)iar de managementul afacerilor. *entru stabilirea politicii de

securitate vor fi parcurse etapele"

-se analizeaz riscurile majore ale organizaiei +pentru definirea

procedurilor prin intermediul crora vor fi prevenite riscurile, ca urmare a apariiei

unor evenimente nedorite#'

-se definete politica de securitate +pentru tratarea componentelor la care

nu pot fi prevenite anumite aciuni fr a impune msuri de protecie#'

-stabilirea unui plan de urgen care se va aplica !n cazul !n care msurilede protecie sunt !nvinse'

-deoarece aceste probleme nu pot fi rezolvate numai prin definirea unei

politici de securitate i prin investirea de bani pentru anumite activitti, !n final se

cere acordul efului departamentului de management pentru acceptarea unor

riscuri.

&ist mai multe motive pentru care trebuie s concepem o politic de

securitate pentru sisteme i reeaua din care ele fac parte.

politic solid ne permite s conturm securitatea ca un sistem/ dec%t

doar un set de diferite caracteristici. 0r o politic, un administrator poate

decide s !nc)id accesul telnet, pentru c transmite parole necriptate, dar s

lase desc)is accesul ftp, menin%du-se aceeai slbiciune.

politic bun de securitate ne permite s identificm msurile ce merit

aplicate i cele care nu.

*entru a diagnostica problemele, conduce audituri sau depista intruii,

este posibil s trebuiasc s interceptm traficul prin reea, s inspectm istoricul

autentificrilor i comenzilor utilizatorilor i s analizm directoarele )ome

+1inu. 2tilizatorii trebuie !ntiintati de aceste aciuni, pentru c altfel ele pot

deveni ilegale.

politic de securitate ar trebui s conin, cel putin, urmtoarelesubiecte"

3


4/12

-2tilizare acceptabil'

-3plicatii Screen saver'

-4anipularea parolei'

-5escrcarea i instalarea aplicaiilor'

-Informaii ce menioneaz c utilizatorii sunt monitorizati'

-2tilizarea de aplicaii antivirus'

-4anipularea informaiei sensibile +!n orice form scris, )%rtie sau format

digital# '

-urarea biroului i !ncuierea informaiilor confideniale'

-prirea sistemului * !nainte de a prsi spaiul'

-2tilizarea encriptrii'

-4anipularea c)eilor colegilor de !ncredere'-4anipularea materialului confidenial !n cltorii'

-4anipularea sistemului laptop !n cltorii i staionrile la )oteluri.

5ou lucruri sunt foarte importante atunci c%nd dorim s asigurm un

nivel de securitate de baz pentru toate sistemele din reea"

-sistemele trebuie s fie meninute la zi din punct de vedere al patc)urilor

i fi&urilor de securitate'

-trebuie s aplicm un set de configurri de securitate de baz pe toate

sistemele din reea, adic s facem !ntrirea securitii sistemelor +)ardening#.

Sarcina de baz !n etapa de e&ploatare a oricrui sistem informatic este

asigurarea unui nivel viabil de securitate. *articularitatea de baz a unui sistem

de securitate const !n faptul c sistemul informatic care este protejat astzi,

m%ine poate deveni vulnerabil. 6n acelai timp, sistemul de securitate care nu

este e&ploatat !n concordan cu cerinele contemporane sau nu se ia !n

consideraie apariia unor noi pericole, peste c%teva luni !i va pierde

actualitatea.

3stfel, asigurarea securitii este posibil prin e&ploatarea corect a

sistemului i prin susinerea politicii de securitate. 3ceasta presupune

desfurarea unui ir de msuri permanente i periodice de susinere te)nic a

mijloacelor de protecie, monitorizarea i analiza evenimentelor de securitate ce

4


5/12

se deruleaz !n sistem, verificarea periodic a nivelului de protecie a resurselor

protejate, aplanarea situaiilor nefaste i lic)idarea consecinelor. 5e asemenea,

administrarea sistemelor de securitate trebuie s fie !nzestrat cu un anumit grad

de automatizare a funciilor de administrare i a altor funcii de e&ploatare, de

aceea, elaborarea unui sistem solid, bine securizat, cu proceduri de acces at%t

din e&terior, c%t i din interior, bine puse la punct, confer activitii sistemului

informatic multiple avantaje.

3stfel, oric%t de mic este instituia, e&istenta unei politici de securitate

este necesar pentru desfurarea eficient a activitii propriu-zise. *e l%ng

diferite acte normative interne, e necesar de implementat i recomandrile de

ordin internaional, !n unele cazuri adapt%nd metodele naionale la standardele

internaionale gen" IS 78899 :5irijarea cu securitatea informaional/, IS7; :Te)nologia informaional $ metode de protecie $ criteriile de analiz a

securitii informaionale/ etc.

5


6/12

Fig.1.1 Interaciunea politicii de Securitate IT i managementului IT

*entru elaborarea politicii de securitate i a planurilor de perfecionare a

acesteia este necesar"

-argumentarea i realizarea calculului investiiilor financiare !n asigurarea

securitii !n baza te)nologiilor de analiz a pericolelor, co-raportarea c)eltuielilor

pentru asigurarea securitii cu dauna potenial i probabilitatea survenirii ei'

-descoperirea i scoaterea la iveal, precum i blocarea celor mai

periculoase lacune p%n la sesizarea i atacarea lor de ctre agresor'

-determinarea relaiilor funcionale i a zonelor de responsabilitate a

subdiviziunilor i persoanelor cu privire la asigurarea securitii informaionale ainstituiei, crearea pac)etului necesar de documentaie cu privire la organizarea

i dirijarea activitii !n domeniul respectiv'

-elaborarea i coordonarea cu serviciile i subdiviziunile instituiei,

serviciile de supraveg)ere, proiectul de introducere a comple&elor necesare de

protecie, care se vor elabora !n legtur cu nivelul modern i tendinele de

dezvoltare a te)nologiilor informaionale'

-asigurarea susinerii comple&ului introdus de securitate !n conformitate cu

condiiile dinamice de activitate a instituiei, perfecionarea dinamic a setului de

documentaie de organizare i dirijare cu procesul !n cauz, modificarea

procesului te)nologic i a mijloacelor te)nice de asigurare a proteciei.

*olitica de securitate trebuie s conin i s prevad !n special" ordinea

de oferire i folosire a drepturilor de acces de ctre utilizatori, de asemenea,

darea de seam a utilizatorilor pentru aciunile !ntreprinse !n problemele ce in de

sfera de securitate.

1.2. Analia riscurilor !n securitatea I"

?iscul este evenimentul capabil s e&ercite o influen asupra desfurrii

proiectului. ?iscurile e&ist !n toate proiectele, dar nu neaprat se i produc.

4ajoritatea e&perilor sunt de prerea" cu c%t mai degrab va fi stabilit pericolul

6


7/12

potenial, cu at%t mai mult timp va rm%ne ca ec)ipa de proiectani s-l

neutralizeze sau s minimizeze pierderile.

*utem considera risc ca fiind probabilitatea de realizare a unei situatii

nedorite, ce poate genera pierderi sau inconveniene. 3naliza riscurilor este

procesul de identificare a riscurilor i determinare a soluiei optime de gestiune a

lor.

6n procesul de analiz a riscurilor trebuie pornit de la lucrurile elementare"

uniformitatea infrastructurii din punct de vedere al sistemelor folosite,

administrarea centralizat, meninerea la zi a sistemelor, aplicarea unor

configurri standard de securitate pe toate serverele i staiile de lucru !n funcie

de rolul funcional al acestora, proceduri standard de utilizare i administrare, etc.

*rocesul de analiz a riscurilor se poate derula !n urmtoarele faze"-identificarea resurselor informaionale'

-gruparea i ierar)izarea resurselor informaionale'

-identificarea riscurilor'

-identificarea mijloacelor de protecie'

-evaluarea riscurilor'

-!ntocmirea recomandrilor'

1a faza de identificare a resurselor informaionale urmeaz s se creeze

un tablou de ansamblu al infrastructurii informaionale. ?esursele informaionale

sunt considerate aici ca fiind" datele, aplicaiile, te)nologiile, !ncperile, resursele

umane, etc. informaie indispensabil analizei de mai departe este

interdependena resurselor +e&." ce sistem, cu ce date gestioneaz, ce te)nologii

utilizeaz, unde este amplasat i cine administreaz#. ?ezultatul acestei faze

poate fi o list cu toate resursele informaionale identificate !n cadrul organizaiei.

@ruparea i ierar)izarea resurselor informaionale este necesar pentru

determinarea prioritilor de protejare a lor.

lasificarea resurselor trebuie s in cont de interdependenele dintre

ele. Numrul de resurse !n fiecare categorie este arbitrar, !ns totui e preferabil

limitarea numrului de resurse critice pentru a evita confuzia. ?ezultatul acestei

7


8/12

faze este o list de resurse informaionale prioritare din punct de vedere al

nivelului de criticitate a lor, dupa cum urmeaz"

-Resurse critice $ sistemele nu pot s-i continue activitatea !n lipsa

resursei respective'

-Resurse eseniale$ sistemele resursei pot s-i continue activitatea, !ns

pentru o perioad determinat de timp +c%teva ore sau zile#, !ns resursa trebuie

neaprat restabilit'

-Resurse normale$ resursa poate fi folosit pe o perioad !ndelungat de

timp, totui anumite aplicatii vor fi parial afectate, este nevoie s se gseasc

alternative.

Fig. 1.2 Modelul relaional: obiective de business riscuri TI

Identificarea riscurilor presupune selectarea dintr-o list cu riscuri comune

aferente te)nologiilor informaionale. ?iscurile care se vor considera c nu merit

atenie sunt !nlturate din list. ?iscurile trebuie s fie e&plicit identificate !n

raport cu una sau mai multe resurse.

1a faza de asociere a riscurilor la resurse are loc o particularizare a

riscurilor pentru fiecare resurs critic !n parte.

8


9/12

Identificare mijloacelor de protecie presupune completarea listei rezultate

cu descrierea mijloacelor de protecie !n prezent utilizate pentru !nlturarea sau

atenuarea riscului abordat.

0aza de evaluare a riscurilor este foarte important, iar succesul ei

depinde !n mare parte de competenele profesionale ale membrilor ec)ipei, care

efectueaz analiza riscurilor. *entru fiecare resurs critic, !n ordinea importanei

lor, se face o ierar)izare a riscurilor aferente !n dependent de impactul ce l-ar

putea avea.

1a faza de !ntocmire a recomandrilor se analizeaz informaia acumulat

la fazele precedente i se iau decizii asupra soluiilor e&istente +dac e&ist# ce

ar permite atenuarea, redirecionarea sau !nlturarea riscurilor identificate.

Se poate afirma ca e&ist foarte multe riscuri care necesit atenie atuncicand folosim sisteme IT. etap foarte important !n procesul de rezolvare a

unui risc o constituie etapa de analiz a riscurilor.

alt variant de clasificare a riscurilor este categorisirea lor !n cele

interne i e&terne. 3ceast modalitate este utilizat pentru definirea simplificat a

pericolelor poteniale i a msurilor de contracarare a acestora. *e de o parte,

sunt formate riscurile ce in de activitatea firmei-proiectante, iar, pe de alt parte,

riscurile la care este supus beneficiarul.

1.#. $valuarea %i managementul riscurilor de securitate!n I"

*entru asigurarea functionrii !n parametri optimi al oricrui sistem

informatic unul dintre paii care trebuie parcuri !l reprezint managementul

riscurilor. 4anagementul riscurilor const !n identificarea riscurilor, evaluarea

acestora i luarea unor msuri pentru a reduce e&punerea la riscuri la un nivel

acceptabil.

valuarea riscurilor reprezint primul pas !n metodologia managementului

riscurilor. ?ezultatul acestui proces const !n identificarea unor mecanisme ce

pot fi folosite pentru a reduce sau elimina riscurile.

9


10/12

*entru fiecare din riscurile identificate se poate calcula e&punerea la acest

risc ca fiind produsul dintre probabilitatea producerii riscului i impactul acestuia.

*entru a determina probabilitatea producerii riscului trebuie analizate

posibilele vulnerabiliti care pot conduce la producerea acestuia i mecanismele

de control a acestor vulnerabiliti. Impactul reprezint dimensiunea daunelor

cauzate, deci !n general impactul este estimat prin costuri.

valuarea riscurilor se realizeaz parcurg%nd urmatorii pai"

-!aracteri"area sistemului: Se analizeaz componentele )ard(are,

soft(are, interfeele de sistem, datele i informaiile din sistem, oamenii care au

acces la sistem i menirea sistemului, pentru a ajunge la concluzii referitoare laperimetrul sistemului, funciile sistemului, punctele critice i sensibile ale

sistemului i ale datelor din sistem.

-Identi#icarea amenin$rilor:1u%nd !n considerare istoria atacurilor asupra

sistemului i a datelor despre posibile atacuri, se specific ameninrile.

-Identi#icarea vulnerabilit$ilor:3naliz%nd rapoarte anterioare de evaluare

a riscurilor, observaii ale auditului, necesiti de securitate i rezultate ale

testelor de securitate se realizeaz o list cu potentiale vulnerabiliti.

-%nali"a mecanismelor de control a vulnerabilit$ilor" Se realizeaz o list

cu mecanismele curente i cele planificate de control a vulnerabilitilor.

-&eterminarea probabilit$ii: Se analizeaz motivaia care st la baza

ameninrii, c%t de puternic este ameninarea, natura vulnerabilitii i

mecanismele actuale de control a vulnerabilitii pentru a determina o estimare a

probabilitii e&ploatrii riscului.

-%nali"a impactului:Se analizeaz impactul asupra scopului sistemului,

punctele critice i sensibile create !n ceea ce privete datele din sistem pentru a

determina o estimare a impactului.

-&eterminarea riscurilor:3naliz%nd probabilitatea e&ploatrii ameninrilor,

mrimea impactului i caracterul adecvat al mecanismelor actuale de reducere a

vulnerabilitilor se realizeaz o list cu riscurile i nivelul fiecrui risc.

10


11/12

*rocesul de reducere a e&punerii la riscuri reprezint un pas al

metodologiei de management al riscurilor. 3cest proces implic evaluarea i

implementarea mecanismelor corespunztoare de reducere a e&punerii la riscuri,

mecanisme recomandate !n cadrul procesului de evaluare a riscurilor.

liminarea complet a e&punerii la riscuri este !n cele mai multe cazuri

nepractic sau aproape imposibil, din aceasta cauz este de datoria

managementului de a alege o abordare c%t mai ieftin de implementare a unor

mecanisme de reducere a e&punerii la riscuri la un nivel acceptabil.

piuni de reducere a e&punerii la riscuri"

-asumarea riscului:este acceptat e&punerea la risc'

-evitarea riscului: se elimin cauza iAsau consecina riscului'

-limitarea riscului:se iau msuri de reducere a riscului'-trans#erarea riscului:se !ncearc compensarea pierderilor.

?eguli referitoare la aciunile de reducere a e&punerii la riscuri"

-dac e&ist vulnerabilitti trebuie implementate mecanisme care s

reduc probabilitatea ca aceste vulnerabilti s poat fi folosite pentru un atac

asupra sistemului'

-dac e&ist vulnerabiliti care pot fi folosite pentru un atac asupra

sistemului trebuie aplicate msuri de securitate stratificate pentru a minimiza sau

preveni posibilitatea producerii atacului'

-dac costurile coordonatorului atacului sunt mai mari dec%t c%tigurile

acestuia" se iau msuri de securitate prin care cresc costurile unui atac'

-dac pierderile !n cazul unui atac ar fi prea mari trebuie luate msuri

te)nice i non-te)nice de securitate pentru a reduce posibilitatea pierderilor'

4anagementul riscului poate fi definit ca totalitatea metodelor de

identificare, control, eliminare sau minimizare a evenimentelor care pot afecta

resursele sistemului.

3cesta include"

-anali"a riscurilor'

-anali"a costului bene#iciilor'

11


12/12

-determinarea celor mai potrivite mecanisme'

-evaluarea securit$ii m$surilor adoptate'

-anali"a securit$ii (n plan general.

3naliza riscului trebuie efectuat din mai multe raiuni, i anume"

-identificarea ierar)ic a activelor organizaiei respective i p%rg)iile care

asigur securitatea asupra acestora'

-constituirea unor etape succesive de eliminare a condiiilor care pot

favoriza realizarea riscurilor atunci c%nd conte&tul este comple& iar o modificare

a funcionrii sale nu se poate introduce dec%t prin politica pailor mruni.

-stabilete obligativitatea unor aciuni i a unor termene de realizare !n

vederea constituirii unor obiective care in de implementarea securitii

organizaiei'-constituirea unei perspective de ansamblu a ac)iziionrii de resurse i

servicii !n acest sens astfel !nc%t, s se in seama de efortul financiar !n

conte&tul gsirii celor mai eficiente soluii.

-aliniaz programul de control cu misiunea organizaiei'

-ofer criterii pentru proiectarea i evaluarea planurilor de avarie'

3naliza riscurilor urmrete s pun acest proces pe baze teoretice i practice

solide.

12

politici de securitate

Documents