Sunteți pe pagina 1din 26

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Politica de Securitate Interactive SBC

18.03.2013

MCSI

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Background
Firma Interactive SBC Dezvolta solutii de comunicatii militare Organigrama
Director executiv 7 departamente, fiecare departament cu manager propriu Departament de securitate

Sediul firmei este in parcul Electromagnetica si ocupa partial un etaj

18.03.2013

MCSI

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Securitatea organizarii informatiei


Organizare interna
Acorduri de confidentialitate (firma-angajat, firma-client) Contacte cu autoritati (potentiali clienti)

Servicii publice (politie, pompieri, etc.)


Departament de securitate propriu, responsabil pentru: definirea, implementarea si monitorizarea politicii de securitate Observatii: nu se realizeaza revizuiri independente/periodice

18.03.2013

Protocoale de comunicaie Prezentri Laborator

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Furnizori
Politici pentru alegerea furnizorilor (pret, recomandari, calitate) Acorduri de confidentialitate pentru achizitiile de echipamente militare Teste de acceptanta definite de personal specializat

Observatii: nu se redacteaza review-uri si nu este monitorizata intr-un mod centralizat calitatea serviciilor oferite

18.03.2013

Protocoale de comunicaie Prezentri Laborator

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

18.03.2013

Protocoale de comunicaie Prezentri Laborator

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Management-ul resurselor
Inventarierea resurselor firmei Asignarea echipamentelor catre persoane responsabile Etichetarea resurselor Obligativitatea respectarii specificatiilor din manualul echipamentelor

Observatii:
Etichetarea nu este realizata 100% Nu se face definirea formala a modului de utilizare acceptabila pentru toate resursele firmei

18.03.2013

MCSI

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Resurse Umane
Ar trebui monitorizate:
Certificari dobandite de la ultima inventariere, relevante pentru locul de munca Experienta dobandita in ultima perioada Alte skill-uri acumulate, fie prin experienta, fie prin intermediul training-urilor de catre companie

Observatii: nu se realizeaza la nivel centralizat, doar in cadrul anumitor departamente

18.03.2013

Protocoale de comunicaie Prezentri Laborator

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Securitatea fizica
Controlul dreptului de acces
Controlul accesului la nivel de incapere Legitimatii de acces/cartele Paza la intrarea in cladire Paza la nivelul etajului firmei Accesul controlat al vizitatorilor Zone securizate etichetate (repartizate pe clase: incaperea cu arhiva, magazia, etc.) Monitorizarea sosire-plecare (notarea orelor de intrare/iesire din cladire)

Observatii:
Protectie minimala impotriva incendiilor si cutremurelor Control limitat asupra capturilor foto/video
18.03.2013

Protocoale de comunicaie Prezentri Laborator

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Change management
Fiecare manager este responsabil pentru propriul departament Solutii software pentru monitorizarea schimbarilor Review-uri interne la nivel de departament Observatii: se respecta specificatiile standard

18.03.2013

Protocoale de comunicaie Prezentri Laborator

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Asignarea sarcinilor de lucru


Separarea activitatilor in cadrul firmei
Development Testing Administrativ Operational

Observatii: in urma unor procese de restructurare nu se mai respecta complet acest principiu

18.03.2013

Protocoale de comunicaie Prezentri Laborator

10

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Clasificarea si manipularea informatiei


Mai multe clase de confidentialitate Secret (informatii clasificate ale statului roman, NATO, etc)
Proceduri speciale pentru accesul la aceste informatii (SIE, SRI)

Nesecret
Pot fi confidentiale

18.03.2013

Protocoale de comunicaie Prezentri Laborator

11

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Securitatea legata de resursele umane


Securitatea inainte de angajare Securitatea pe parcursul contractului de munca Securitatea la terminarea contractului de munca

18.03.2013

Protocoale de comunicaie Prezentri Laborator

12

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Securitatea inainte de angajare


Este important ca noii angajati/contractori sa cunoasca responsabilitatile postului inainte de angajare. Inaintea angajarii, procesul de filtrare (eng: Screening) va elimina candidatii nepotriviti, pe baza competentelor din CV. Acest proces va fi efectuat de catre unul din team leaderi. Verificari asupra potentialelor riscuri de securitate prezentate de un candidat

18.03.2013

Protocoale de comunicaie Prezentri Laborator

13

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Securitatea pe parcursul contractului de munca


Toti angajatii, sau subcontractorii care vor avea acces la informatii confidentiale vor trebui sa semneze acorduri de confidentialitate inainte de acest lucru. In cazul actualizarii politicii de securitate pe parcursul job-ului angajatii vor fi instiintati de acest lucru, iar managementul va asigura training-uri in caz de necesitate. In caz de incalcare a confidentialitatii muncii, sunt prevazute sanctiuni, in functie de gravitatea acestui lucru. Daca este necesar accesul la informatii clasificate ale unor institutii, acestea pot efectua verificari
18.03.2013

Protocoale de comunicaie Prezentri Laborator

14

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Securitatea la terminarea contractului de munca


Odata ce contractul dintre angajat si firma inceteaza, angajatul va trebui sa returneze bunurile de care a beneficiat pe durata angajarii. Conturile pe care firma le-a creat in momentul angajarii vor fi dezactivate O persoana care isi va inceta durata contractuala cu firma, are in continuare obligatia de a nu divulga informatii importante din cadrul firmei.

18.03.2013

Protocoale de comunicaie Prezentri Laborator

15

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Managementul comunicatiilor si a operatiilor


Protectia echipamentelor Protectia impotriva codului mobil si malitios Back-up informatiilor Management-ul securitatii retelei Tratarea mediilor portabile Management-ul schimbului de informatii Monitorizare

18.03.2013

Protocoale de comunicaie Prezentri Laborator

16

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Protectia echipamentelor
Asigurarea securitatii de nivel fizic:
Acces Alimentare energie electrica (utilizare UPS)

Observatii: unele sisteme de protectie sunt rudimentare (lacate)

18.03.2013

Protocoale de comunicaie Prezentri Laborator

17

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Protectia impotriva codului mobil si malitios


Prin cod malitios ne referim la virusi, worms, Troieni Protectia impotriva codului malitios se realizeaza prin:
Interzicerea folosirii de programe neautorizate Instalarea pe tote statiile de lucru din companie a programului antivirus licentiat de catre companie. Scanarea periodica, cel putin o data pe saptamana, a statiilor de lucru pentru a verifica daca au fost infectate. Scanarea fisierelor primite peste retea si a atasamentelor primite impreuna cu e-mail-urile.

Echipamente dedicate (firewall, IPS)

18.03.2013

Protocoale de comunicaie Prezentri Laborator

18

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Back-up-ul informatiilor
Planificare back-up-uri (full, incrementale) Identificarea informatiilor importante Stocarea back-up-urilor pe medii magnetice performante, garantate cel putin 5 ani

Observatii:
Nu sunt impuse operatiuni de back-up periodice pentru angajati Nu sunt definite formal procedurile pentru testarea back-up-urilor

18.03.2013

Protocoale de comunicaie Prezentri Laborator

19

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Management-ul securitatii retelei


Politici privind accesul echipamentelor la retea
Sistem de operare actualizat Antivirus functional Autentificarea utiliatorilor

Instalarea de Access Point-uri este interzisa Inspectarea traficului de date si monitorizare per utilizator, folosind infrastructura de Active Directory Sincronizarea ceasurilor sistemelor prin NTP Securizarea log-urilor si tranzactiilor efectuate Laptop-urile vor fi conectate la reteaua firmei numai prin conexiunea cablata

18.03.2013

Protocoale de comunicaie Prezentri Laborator

20

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Tratarea mediilor portabile


Porturile USB sunt dezactivate Este permisa utilizarea dispozitivelor de stocare mobile doar in cadrul retelelor de test

18.03.2013

Protocoale de comunicaie Prezentri Laborator

21

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Management-ul schimbului de informatii


Existenta unui server de mail in cadrul firmei, care sa se ocupe de primirea si trimiterea de e-mail-uri. Accesul la serviciul de e-mail de pe dispozitivele mobile se poate face numai prin BIS (Blackberry Information Service) Folosirea de PGP (Pretty Good Privacy) pentru a asigura securitatea mail-urilor trimise. Semnarea e-mail-urilor prin certificate digitale, pentru non-repudiere

18.03.2013

Protocoale de comunicaie Prezentri Laborator

22

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Monitorizare
Monitorizarea echipamentelor de retea prin protocoale securizate Salvarea log-urilor pe sisteme sigure Back-up-ul log-urilor

18.03.2013

Protocoale de comunicaie Prezentri Laborator

23

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Administrarea utilizatorilor
Utilizarea parolelor care respecte anumite criterii Schimbarea acestora la 30 de zile Administratorul sistemului poate oferi privilegii, dar numai cu acordul manager-ilor implicati Observatii:
Privilegiile asignate nu sunt verificate periodic Nu exista o politica pentru clear screen/clear desk

18.03.2013

Protocoale de comunicaie Prezentri Laborator

24

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Accesul de la distanta
Solutie de Remote access prin VPN Utilizarea de certificate emise per utilizator Salvarea sesiunilor de VPN Acces limitat la reteaua companiei prin VPN

Observatii:
Nu se specifica clientul/versiunea necesara pentru clientul de VPN

18.03.2013

Protocoale de comunicaie Prezentri Laborator

25

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Management-ul vulnerabilitatilor tehnice


Orice vulnerabilitate descoperita public la unul din programele folosite trebuie sa fie adresata. Daca acest timp nu poate fi respectat, atunci sistemul vulnerabil trebuie izolat de restul retelei. Patch-urile trebuiesc testate inainte de a fi aplicate. Orice vulnerabilitate trebuie inregistrata pentru a putea fi verificata ulterior. Orice vulnerabilitate care afecteaza gateway-ul de iesire catre internet implica inchiderea gateway-ului si izolarea retelei unitatii. Un audit al retelei interne are loc in fiecare an, in luna aprilie. Toate sistemele trebuiesc monitorizate permanent in vederea detectarii de vulnerabilitati dupa instalarea unui patch.
18.03.2013

Protocoale de comunicaie Prezentri Laborator

26