Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Interactive SBC: - Politica de Securitate - SOA

BELE Teodor (EGOV) BEA Robert (EGOV) BUJOR Alexandru (SRIC) CAVAL Elena (EGOV) RADU Alexandru (AAC)

18.03.2013

MCSI

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Descrierea firmei
Domeniu de activitate Interactive SBC : Dezvoltarea de soluii de comunicaii militare Organigrama
Director executiv 7 departamente, fiecare departament cu manager propriu Departament de securitate

Sediul firmei este n parcul Electromagnetica i ocup parial un etaj

18.03.2013

MCSI

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Resurse ce trebuie protejate (asset-uri)

Organizare intern:
Acorduri de confidenialitate (firm-angajat, firm-client) Contacte cu autoriti (poteniali clieni)

Servicii publice (poliie, pompieri, etc.)

Departament de securitate propriu, responsabil pentru: definirea, implementarea i monitorizarea politicii de securitate Observaii: nu se realizeaz revizuiri independente/periodice

18.03.2013

MCSI

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Asset-uri (II)
Furnizori
Politici pentru alegerea furnizorilor (pre, recomandri, calitate) Acorduri de confidenialitate pentru achiziiile de echipamente militare Teste de acceptan definite de personal specializat Observaii: nu se redacteaz review-uri i nu este monitorizat ntr-un mod centralizat calitatea serviciilor oferite

18.03.2013

MCSI

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Management-ul asset-urilor
Inventarierea asset-urilor firmei Asignarea echipamentelor ctre persoane responsabile Etichetarea asset-urilor Obligativitatea respectrii specificaiilor din manualul echipamentelor

Observaii:
Etichetarea nu este realizat 100% Nu se face definirea formal a modului de utilizare acceptabil pentru toate resursele firmei

18.03.2013

MCSI

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Resurse Umane
Ar trebui monitorizate:
Certificri dobndite de la ultima inventariere, relevante pentru locul de munc Experiena dobandit n ultima perioad Alte aptitudini acumulate, fie prin experien, fie prin intermediul cursurilor de pregtire de ctre companie

Ar trebui securizate informaii privind:

Salariile angajailor Angajai subcontractai Angajai ce asigur securitatea mpotriva spionajului industrial

Observaii: nu se realizeaz la nivel centralizat, doar n cadrul anumitor departamente

18.03.2013

MCSI

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Securitatea fizic
Controlul dreptului de acces
Controlul accesului la nivel de ncpere Legitimaii de acces/cartele Paz la intrarea n cldire Paz la nivelul etajului firmei Accesul controlat al vizitatorilor Zone securizate etichetate (repartizate pe clase de acces: ncperea cu arhiva, magazia, etc.) Monitorizarea sosire-plecare (notarea orelor de intrare/ieire din cldire)

Observaii:
Protecie minimal mpotriva incendiilor i cutremurelor Control limitat asupra capturilor foto/video
18.03.2013

MCSI

Managementul dezvoltrii (Change management)

Fiecare manager este responsabil pentru propriul departament Solutii software pentru monitorizarea schimbrilor Review-uri interne la nivel de departament Observaii: se respect specificaiile standard

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

18.03.2013

MCSI

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Asignarea sarcinilor de lucru

Separarea activitilor n cadrul firmei
Dezvoltare Testare Administrativ Operaional

Observaii: n urma unor procese de restructurare nu se mai respect complet acest principiu

18.03.2013

MCSI

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Clasificarea i manipularea informaiei

Mai multe clase de confidenialitate Secret (informaii clasificate ale Statului Romn, NATO, etc)
Proceduri speciale pentru accesul la aceste informaii (SIE, SRI)

Nesecret
Pot fi confideniale

18.03.2013

MCSI

10

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Securitatea resurselor umane

Securitatea pre-angajare Securitatea pe parcursul contractului de munc (angajai efectivi ai firmei, colaboratori i detaai) Securitatea dup terminarea contractului de munc (foti angajai ai firmei, colaboratori i detaai)

18.03.2013

MCSI

11

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Securitatea pre-angajare
Este important contientizarea responsabilitilor postului nainte de angajare a candidailor, a contractorilor i a partenerilor(detaai sau a colaboratorilor). Pentru proiecte n colaborare cu pri tere(Statul Roman, ali parteneri economici) se vor foloi suplinentar i alte proceduri la cererea/sugerarea acestor parteneri. naintea angajarii, procesul de filtrare va elimina candidaii nepotrivii, pe baza competenelor din CV. Acest proces va fi efectuat de ctre unul din team leaderi.
Pentru proiecte n colaborare cu pri tere, pot fi folosite teste psihologice iar procesul va fi supravegheat de specialiti desemnai n cooperare cu partenerii de proiect

Verificri asupra potenialelor riscuri de securitate prezentate de un candidat prin teste psihologice, verificri de background(doar pe baza unui act legal i depinznd de funcie/proiect vizat)
18.03.2013

MCSI

12

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Securitatea pe parcursul contractului de munc

Toi angajaii, colaboratorii, detaaii altor firme, sau subcontractorii care vor avea acces la informaii confideniale vor trebui s semneze acorduri de confidenialitate nainte de acest lucru. In cazul actualizrii/schimbrii politicii de securitate pe parcursul job-ului angajaii vor fi ntiinati de acest lucru, iar managementul va asigura training-uri n caz de necesitate. De asemenea, vor trebui semnate amendamente sau noi acorduri de confidenialitate. n caz de nclcare a confidenialitii muncii, sunt prevzute sanciuni, n funcie de gravitatea actului. Dac este necesar accesul la informaii clasificate din partea unor instituii de stat, acestea pot efectua verificri dar numai pe baza unor decizii i acte legale
18.03.2013

MCSI

13

Securitatea dup terminarea contractului de munc

Odat ce contractul dintre angajat i firm este ncetat, angajatul va trebui s returneze bunurile de care a beneficiat pe durata angajrii. Conturile pe care firma le-a creat n momentul angajrii vor fi dezactivate. Se vor arhiva log-uri i istorice al aciunilor angajatului de pe conturile sale. O persoan care i va nceta durata contractual cu firma, are n continuare obligaia de a nu divulga informaii importante din cadrul firmei. n unele cazuri se poate impune sau activa o clauz ce interzice fostului angajat s se angajeze la firme competitoare sau la parteneri i foti parteneri pe perioade determinate.

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

18.03.2013

MCSI

14

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Managementul echipamentelor, informaiilor i a comunicaiilor

Protecia fizic a echipamentelor Protecia mpotriva codului mobil i maliios (protecia informatic) Redundana i integritatea informaiilor Management-ul securitii reelei Politica mediilor portabile Management-ul schimbului de informaii Monitorizare

18.03.2013

MCSI

15

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Protecia fizic a echipamentelor

Asigurarea securitii de nivel fizic:
Acces i limitare acces n caz de urgen Alimentare energie electric (utilizare UPS)

Observaii: unele sisteme de protecie sunt rudimentare (lacte)

18.03.2013

MCSI

16

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Protecia informatic
Prin cod maliios se nelege: virui, worms, Troieni Protecia mpotriva codului maliios se realizeaz prin:
Interzicerea folosirii de programe neautorizate. Instalarea soft-urilor se face doar de ctre echipa de IT pe baza licenelor i deciziilor companiei. Instalarea pe tote staiile de lucru din companie de programe antivirus liceniate de ctre companie. Scanarea periodic, cel puin o dat pe saptaman, a staiilor de lucru. Scanarea fiierelor primite peste reea i a ataamentelor primite mpreun cu pota electronic.

Echipamente dedicate (firewall, IPS)

18.03.2013

MCSI

17

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Reduntana i integritatea informaiilor

Planificare back-up-uri (n ntregime, incrementale) Identificarea informaiilor importante Stocarea back-up-urilor pe medii magnetice performante, garantate cel puin 5 ani securizarea fizic i de acces a acestora

Observaii:
Nu sunt impuse operaiuni de back-up periodice pentru angajai Nu sunt definite formal procedurile pentru testarea back-up-urilor

18.03.2013

MCSI

18

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Management-ul securitii reelei

Politici privind accesul echipamentelor la reea
Sistem de operare actualizat Antivirus funcional Autentificarea utilizatorilor

Instalarea de Access Point-uri este interzis Inspectarea traficului de date i monitorizare per utilizator, folosind infrastructura de Active Directory Sincronizarea ceasurilor sistemelor prin NTP Securizarea log-urilor si tranzaciilor efectuate Laptop-urile vor fi conectate la reeaua firmei numai prin conexiunea cablat

18.03.2013

MCSI

19

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Politica mediilor portabile

Porturile USB sunt dezactivate Este permis utilizarea dispozitivelor de stocare mobile doar n cadrul reelelor de test Drepturile de acces asigura nesalvarea datelor confideniale pe laptop-uri

18.03.2013

MCSI

20

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Management-ul schimbului de informaii

Existena unui server de mail n cadrul firmei, care s se ocupe de primirea i trimiterea de e-mail-uri. Accesul la serviciul de e-mail de pe dispozitivele mobile se poate face numai prin BIS (Blackberry Information Service)(dispozitive de serviciu) Folosirea de PGP (Pretty Good Privacy) pentru a asigura securitatea mail-urilor trimise. Semnarea e-mail-urilor prin certificate digitale, pentru non-repudiere

18.03.2013

MCSI

21

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Monitorizare
Monitorizarea echipamentelor de reea prin protocoale securizate Salvarea log-urilor pe sisteme sigure Back-up-ul log-urilor

18.03.2013

MCSI

22

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Administrarea utilizatorilor
Utilizarea parolelor care respect anumite criterii Schimbarea acestora la 30 de zile Administratorul sistemului poate oferi privilegii, dar numai cu acordul manager-ilor implicai Observaii:
Privilegiile asignate nu sunt verificate periodic Nu exist o politic pentru clear screen/clear desk n funcie de proiect, unii angajai vor fi obligai s blocheze calculatoarele cnd nu se afla la birou chiar i pentru cele mai scurte perioade de timp

18.03.2013

MCSI

23

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Accesul de la distan
Solutie de Remote access prin VPN Utilizarea de certificate emise per utilizator Salvarea sesiunilor de VPN Acces limitat la reeaua companiei prin VPN

Observaii:
Nu se specific clientul/versiunea necesar pentru clientul de VPN Doar echipa de IT are dreptul de a configura accesul prin VPN pe calculatoarele angajailor

18.03.2013

MCSI

24

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

Management-ul vulnerabilitilor tehnice

Orice vulnerabilitate descoperit public la unul din programele folosite trebuie s fie adresat. Dac acest timp nu poate fi respectat, atunci sistemul vulnerabil trebuie izolat de restul reelei. Patch-urile trebuiesc testate nainte de a fi aplicate. Orice vulnerabilitate trebuie nregistrat pentru a putea fi verificat ulterior. Orice vulnerabilitate care afecteaz gateway-ul de ieire ctre internet implic nchiderea gateway-ului i izolarea reelei unitii. Un audit al reelei interne are loc n fiecare an, n luna august. Toate sistemele trebuiesc monitorizate permanent n vederea detectrii de vulnerabiliti dup instalarea unui patch.
18.03.2013

MCSI

25

Universitatea Politehnica Bucureti - Facultatea de Automatica si Calculatoare

SOA (1)
Seciune A.3.1 A.3.1.2 A.4.1.1 A.4.1.2 A.4.1.3 A.4.1.4 Msuri specifice Incus n Observaii

18.03.2013

MCSI

26