Rolul i coninutul politicilor de securitate privind sistemul informatic dintr-o organizaie

Cuprins
Capitolul 1. Noiuni privind securitatea informaiilor ............................................................................. 3 1.1. Introducere.................................................................................................................................... 3 1.2. Definirea noiunii de securitate a Informaiilor ............................................................................ 4 1.3. Seciunile standardului de securitate ISO / IEC 17799 ................................................................ 6 1.3.1. Politica de securitate .............................................................................................................. 6 1.3.2. Organizarea securitii ........................................................................................................... 7 1.3.3. Clasificarea i controlul activelor .......................................................................................... 7 1.3.4. Securitatea personalului......................................................................................................... 8 1.3.5. Securitatea fizic ................................................................................................................... 9 1.3.6. Managementul comunicaiilor i al operrii .......................................................................... 9 1.3.7. Controlul accesului .............................................................................................................. 11 Capitolul 2. Programul de securitate ..................................................................................................... 13 2.1. Politicile de securitate ................................................................................................................ 13 2.2. Standardele, normele i procedurile de securitate ...................................................................... 14 2.2.1.Standardele ........................................................................................................................... 15 2.2.2.Normele ................................................................................................................................ 15 2.2.3.Procedurile............................................................................................................................ 15 2.3. Aspecte practice ale politicii de securitate informaional ......................................................... 16 2.4. Exemple de politici de securitate................................................................................................ 18 2.4.1.Politica utilizrii adecvate .................................................................................................... 18 2.4.2.Politica privind conturile utilizatorilor ................................................................................. 19 2.4.3.Politica accesului de la distan ............................................................................................ 19 2.4.4.Politica proteciei informaiilor ............................................................................................ 19 2.4.5.Politica gestionrii firewall-urilor ........................................................................................ 20 2.4.6.Politica accesului special ...................................................................................................... 20 2.4.7.Politica de conectare la o reea local ................................................................................... 20 2.4.8.Politica partenerului de afaceri ............................................................................................. 21 2.4.9.Politica managementului parolelor ....................................................................................... 21 2.4.10.Politica folosirii Internetului............................................................................................... 21 Capitolul 3.Concluzii............................................................................................................................. 23 Bibliografie............................................................................................................................................ 25

Capitolul 1. Noiuni privind securitatea informaiilor

1.1. Introducere Societatea mbrieaz din ce n ce mai mult tehnologia informaiei. Informaia care pn nu de mult avea la baz hrtia, mbrac acum forma electronic. Informaia pe suport de hrtie mai este nc rezervat documentelor oficiale, acolo unde este necesar o semntur sau o stampil. Adoptarea semnturii electronice deschide ns perspectiva digitizrii complete a documentelor, cel puin din punct de vedere funcional. Acest nou mod de lucru, n care calculatorul a devenit un instrument indispensabil i un mijloc de comunicare prin tehnologii precum pota electronic sau Internetul, atrage dup sine riscuri specifice. O gestiune corespunztoare a documentelor n format electronic face necesar implementarea unor msuri specifice. Msurile ar trebui s asigure protecia informaiilor mpotriva pierderii, distrugerii sau divulgrii neautorizate. Cel mai sensibil aspect este acela de a asigura securitatea informaiei gestionat de sistemele informatice n noul context tehnologic. Securitatea informaiei este un concept mai larg care se refer la asigurarea integritii, confidenialitii i disponibilitii informaiei. Dinamica tehnologiei informaiei induce noi riscuri pentru care organizaiile trebuie s implementeze noi msuri de control. De exemplu, popularizarea unitilor de inscripionat CD-uri sau a memoriilor portabile de capacitate mare, induce riscuri de copiere neautorizat sau furt de date. Lucrul n reea i conectarea la Internet induc i ele riscuri suplimentare, de acces neautorizat la date sau chiar frauda. Dezvoltarea tehnologic a fost acompaniat i de soluii de securitate, productorii de echipamente i aplicaii incluznd metode tehnice de protecie din ce n ce mai performante. Totui, n timp ce n domeniul tehnologiilor informaionale schimbarea este exponenial, componenta uman rmne neschimbat. Asigurarea securitii informaiilor nu se poate realiza exclusiv prin msuri tehnice, fiind n principal o problem uman. Majoritatea incidentelor de securitate sunt generate de o gestiune i organizare necorespunztoare, i mai puin din cauza unei deficiene a mecanismelor de securitate. Este important ca organizaiile s contientizeze riscurile asociate cu utilizarea tehnologiei i gestionarea informaiilor i s abordeze pozitiv acest subiect printr-o contientizare n rndul angajailor a importanei securitii informaiilor, nelegerea tipologiei ameninrilor, riscurilor i vulnerabilitilor specifice mediilor informatizate i aplicarea practicilor de control. Organizaia Internaionala pentru Standardizare (ISO) mpreuna cu Comisia Internaional Electrotehnic (IEC) alctuiesc un forum specializat pentru standardizare. Organismele naionale care sunt membre ale ISO i IEC particip la dezvoltarea standardelor
3

internaionale prin intermediul comitetelor tehnice. Statele Unite ale Americii, prin Institutul Naional de Standardizare, ocup poziia de Secretar, 24 de ri au statut de Participani (Brazilia, Frana, Regatul Unit al Marii Britanii, Coreea, Cehia, Germania, Danemarca, Belgia, Portugalia, Japonia, Olanda, Irlanda, Norvegia, Africa de Sud, Australia, Canada, Finlanda, Suedia, Slovenia, Elveia, Noua Zeeland i Italia) i alte 40 de ri au statut de Observatori. Prin activitatea susinuta de Ministerul Comunicaiilor i Tehnologiei Informaiei (MCTI) de adoptare la nivel naional a standardelor europene i internaionale recunoscute, standardul ISO/IEC 17799 - Tehnologia Informaiei Cod de bun practic pentru managementul securitii informaiei a fost adoptat i n Romnia de ctre Asociaia de Standardizare din Romnia (ASRO), din toamna anului 2004. Standardul este recunoscut n rezoluiile Consiliului Europei, implementarea acestuia la nivelul organizaiilor fiind opional.

1.2. Definirea noiunii de securitate a Informaiilor Ca i aciunile prin care o organizaie i apr angajaii i bunurile, securitatea informaiilor este folosit n primul rnd pentru a oferi asigurri c drepturile care deriv din proprietatea intelectual sunt protejate n mod corespunztor. Obiectivul principal al unui program pentru protecia informaiilor l reprezint asigurarea ncrederii partenerilor de afaceri, avantajul competitiv, conformitatea cu cerinele legale i maximizarea investiiilor. Indiferent de forma pe care o mbrac, mijloacele prin care este memorat, transmis sau distribuit, informaia trebuie protejat. ISO/IEC 17799 trateaz securitatea informaiilor prin prisma a trei elemente principale: Confidenialitatea informaiile sunt accesibile doar persoanelor autorizate; Integritatea asigurarea acurateei i completitudinii metodelor prin care se realizeaz prelucrarea informaiilor; Disponibilitatea utilizatorii autorizai au acces la informaii i la activele asociate n momente oportune.

Pentru a putea realiza un program de securitate eficient este nevoie de politici, proceduri, practici, standarde, descrieri ale sarcinilor i responsabilitilor de serviciu, precum i de o arhitectur general a securitii. Aceste controale trebuie implementate pentru a se atinge obiectivele specifice ale securitii i pe cele generale ale organizaiei. Dependena din ce n ce mai mare de sistemele informaionale conduce la creterea tipologiei vulnerabilitilor crora organizaiile trebuie s le fac fa. Mai mult, problema protecie trebuie s aib n vedere de multe ori interconectarea reelelor private cu serviciile publice. Dac la acest aspect mai adugam i problema partajrii informaiilor se
4

contureaz un tablou destul de complicat n care implementarea unor controale eficiente devine o sarcin dificil pentru specialistul IT&C. Multe din sistemele existente pe pia au fost proiectate dup metodologia structurat dar nu au avut ca principal obiectiv i asigurarea unui anumit grad de securitate pentru c la momentul respectiv tehnologia nu era att de dezvoltat i nici att de accesibil neiniiailor. Odat ns cu proliferarea Internetului ca i mijloc important al comunicrii moderne nevoia unor mecanisme de securitate proactiv a devenit o certitudine. n practic remarcm c multe instituii apeleaz la soluii tehnice externe care s le rezolve problemele de securitate fr a cuta s-i identifice nevoile i cerinele specifice. Identificarea controalelor interne care s asigure un grad corespunztor de securitate activelor informaionale ale unei instituii presupune o planificare riguroas i identificarea exact a obiectivelor respectivei instituii. Pentru a fi ns eficiente aceste controale trebuie s aib n vedere pe toi angajaii i nu doar pe cei din compartimentul IT sau care au legtur direct cu acest domeniu. Securitatea informaiilor nu este doar o problem tehnic. Ea este n primul rnd o problem managerial. Standardul de securitate ISO/IEC 17799 rspunde nevoilor organizaiilor de orice tip, publice sau private, printr-o serie de practici de gestiune a securitii informaiilor. Standardul poate fi folosit n funcie de gradul de expunere a fiecrei organizaii n parte, pentru a contientiza la nivelul conducerii aspectele legate de securitatea informaiei, sau pentru a crea o cultur organizaional n ceea ce privete securitatea informaiilor, sau pentru a obine certificarea sistemului de securitate. Gradul de expunere a sistemelor informaionale variaz cu industria n care activeaz fiecare organizaie. Cu ct acest risc este mai mare, atenia care trebuie acordat securitii datelor ar trebui s fie mai mare. Instituiile financiare, industria aprrii, aerospaial, industria tehnologiei informaiei, industria electronic sunt sectoarele cu cel mai mare grad de risc n ceea ce privete securitatea informaiilor. Tot n aceast categorie de risc ridicat intr i instituiile guvernamentale, motiv pentru care adoptarea unei culturi organizaionale pe baza standardului ISO/IEC 17799 are un rol fundamental. Stabilirea cerinelor Este important ca fiecare organizaie s poat s-i identifice propriile cerine de securitate. Pentru aceasta ea trebuie sa fac apel la trei surse principale: analiza riscurilor; legislaia existent; standardele i procedurile interne.
5

Folosind o metodologie corespunztoare pentru a analiza riscurile organizaia i poate identifica propriile cerine legate de securitate. Un astfel de proces presupune n general patru etape principale: identificare activelor care trebuie protejate; identificarea riscurilor/ameninrilor specifice fiecrui activ; ierarhizarea riscurilor; identificarea controalelor prin care vor fi eliminate/diminuate riscurile.

Nu trebuie ns trecute cu vederea nici aspectele financiare. Fiind un obiectiv comun, dictat de cerinele de afacere, pentru c pn la urm orice activitate derulat de o organizaie are o raiune economica, n implementarea unei arhitecturi de securitate trebuie puse n balan costurile i beneficiile. Un mecanism de control nu trebuie s coste organizaia mai mult dect bunul ce trebuie protejat. Stabilirea cerinelor de securitate, a msurilor necesare pentru a asigura nivelul de control dorit, are o component deseori subiectiv, fiind dificil de cuantificat n temeni monetari pierderea suferit n cazul unui incident de securitate. Aspectele intangibile precum alterarea imaginii organizaiei pe pia, credibilitatea n faa clienilor sau efectele indirecte ale unui incident de securitate major, sunt cel mai greu de apreciat. Aceasta este raiunea i pentru care adoptarea unor standarde i practici general acceptate, susinute de evaluri periodice independente este de recomandat. Acest proces nu este unul static, altfel spus trebuie avute n permanenta n vedere schimbrile care intervin n viata organizaiei pentru a fi reflectate corespunztor n planul de securitate. Dac spre exemplu apare o modificare legislativ cu impact asupra instituiei, trebuie avut n vedere din nou modelul folosit pentru evaluarea riscurilor pentru a vedea dac acesta reflect riscurile aprute ca urmare a acestei modificri. n acest sens, ISO/IEC 17799 propune o serie de obiective de securitate i controale din rndul crora profesionitii le pot selecta pe acelea care corespund afacerii n care funcioneaz. Pe de alt parte acest standard nu trebuie considerat un panaceu al securitii informaiilor att timp ct el ofer doar recomandri celor care rspund de implementarea i managementul unui sistem de securitate n cadrul unei organizaii. 1.3. Seciunile standardului de securitate ISO / IEC 17799 1.3.1. Politica de securitate Obiectivul politicii de securitate este s ofere managementului instituiei sprijinul necesar asigurrii securitii informaiilor din cadrul organizaiei. Conducerea oricrei instituii trebuie s ofere suportul necesar prin elaborarea unui document intitulat Politica de Securitate, document care trebuie adus la cunotin tuturor angajailor.
6

Fr un astfel de document exist riscul ca rolurile i responsabilitile relative la asigurarea securitii informaionale s fie greit nelese. Nedezvoltarea unui astfel de document i neaducerea la cunotina angajailor a politicii de securitate a companiei induce de cele mai multe ori o stare de superficialitate n tratarea acestor aspecte. Existenta unei viziuni clare a conducerii i o comunicare efectiv a acesteia ctre angajai este fundamental pentru asigurarea eficienei oricror proceduri i msuri de securitate specifice. 1.3.2. Organizarea securitii Organizarea securitii are ca obiectiv asigurarea unei administrri unitare n cadrul organizaiei. Fiecare utilizator al sistemului informaional este responsabil cu asigurarea securitii datelor pe care le manipuleaz. Existena unei structuri organizatorice unitare care s iniieze i s controleze implementarea mecanismelor de securitate n cadrul organizaiei, presupune un punct central de coordonare responsabil cu securitatea. Rolul i atribuiile persoanei care ocup poziia de responsabil cu securitatea informaiilor se refer la coordonarea i urmrirea respectrii procedurilor i politicilor de securitate. Organizarea securitii nu se limiteaz doar la personalul intern, trebuie avute n vedere i riscurile induse de teri sau subcontractori care au acces la sistemul informaional. Acest risc nu este deloc de neglijat, ultimele tendine ale pieei globale ne arat o reconsiderare a poziiei companiilor fa de externalizarea funciilor IT, tocmai datorit riscului mare indus de subcontractarea acestora. Obiectivul organizrii securitii, aa cum este documentat n standard este i meninerea securitii tuturor facilitilor IT i activelor informaionale accesate de ctre tere persoane, fiind recomandat stabilirea unui proces prin care accesul terilor s fie controlat. 1.3.3. Clasificarea i controlul activelor Msurile de protecie sunt proiectate n funcie de gradul de senzitivitate, i de semnificaia economic a resurselor vizate. Perimetrele n care sunt amplasate echipamentele de procesare, vor fi protejate cu bariere de acces suplimentare. La fel i telecomunicaiile cu un nivel ridicat de confidenialitate ar trebui criptate. Pentru a avea totui o abordare coerent asupra msurilor specifice de protecie, n funcie de gradul de senzitivitate al fiecrei resurse n parte se practic o clasificare a informaiilor.

Clasificarea informaiilor este necesar att pentru a permite alocarea resurselor necesare protejrii acestora, ct i pentru a determina pierderile poteniale care pot s apar ca urmare a modificrilor, pierderii/distrugerii sau divulgrii acestora. Obiectivul clasificrii este crearea premizelor necesare asigurrii unei protecii corespunztoare valorii activelor instituiei. Toate activele organizaiei trebuie s aib asociat un proprietar. Politica de securitate trebuie s identifice angajaii cu rol de proprietar, custode, client, utilizator. 1.3.4. Securitatea personalului Cele mai multe incidente de securitate sunt generate de personal din interiorul organizaiei, prin aciuni ru intenionate sau chiar erori sau neglijen n utilizarea resurselor informaionale. Standardul ISO/IEC 17799 trateaz riscurile de natur uman ce pot fi induse din interiorul organizaiei prin msuri specifice precum includerea responsabilitilor legate de securitatea informaiilor n descrierea i sarcinile de serviciu ale postului, implementarea unor politici de verificare a angajailor, ncheierea unor acorduri de confidenialitate i prin clauze specifice n contractele de munc. Securitatea informaiilor este un aspect ce trebuie avut n vedere nc din etapa de selecie a angajailor. Angajaii trebuie monitorizai pe ntreaga perioad de valabilitate a contractului de munc i trebuie s aib cunotin de prevederile politicilor de securitate. Clauzele de confidenialitate, definirea conflictelor de interese, distribuirea i divulgarea informaiilor trebuie avute n vedere pentru fiecare post n parte. Pentru a evita neglijena sau greelile de operare, utilizatorii ar trebui informai cu privire la ameninrile la care sunt supuse informaiile manipulate. Instruirea ar trebui s ofere cunotinele necesare asigurrii securitii acestora n timpul programului normal de lucru. Utilizatorii trebuie instruii cu privire la procedurile de securitate ce trebuie urmate i utilizarea facilitilor IT n conformitate cu politica organizaiei. Ar trebui s existe un program coerent de instruire a angajailor pe diverse niveluri de interes, pe lng o instruire general n gestiunea securitii fiind necesare i specializri pentru administratorii sistemului informatic n tehnologii de securitate specifice. Chiar dac securitatea unei anumite zone IT, cum ar fi securitatea reelei revine unei entiti externe, este o practic bun ca i n interiorul organizaiei s existe competenele i abilitatea de a evalua cum sunt satisfcute cerinele de securitate. Instruirea este necesar i pentru a crea abilitatea de reacie la apariia unor incidente de securitate.

Raportarea incidentelor de securitate are ca obiectiv minimizarea efectelor negative sau a incorectei funcionri a echipamentelor. Monitorizarea unor astfel de incidente permite determinarea performantei sistemelor de securitate i mbuntirea continu. Politicile i procedurile de securitate trebuie implementate astfel nct s asigure un rspuns consistent la astfel de incidente. 1.3.5. Securitatea fizic Delimitarea zonelor securizate are ca obiectiv prevenirea accesului neautorizat sau afectarea facilitilor oferite de sistemul informaional. Aceasta seciune vizeaz mecanismele prin care se asigur securitatea fizic a imobilului n care organizaia i desfoar activitatea. Alt aspect important al securitii fizice este cel legat de protecia echipamentelor, prin prevenirea pierderii, distrugerii sau compromiterii funcionrii echipamentelor care pot afecta funcionarea organizaiei. Echipamentele de calcul trebuie s fie protejate fizic mpotriva ameninrilor voite sau accidentale. n acest sens trebuie dezvoltate standarde i proceduri pentru securizarea att a serverelor, ct i a staiilor de lucru ale utilizatorilor. Msurile de control al accesului, implementate la nivelul aplicaiei, bazelor de date sau reelei pot deveni inutile dac exist i o protecie fizic corespunztoare. 1.3.6. Managementul comunicaiilor i al operrii Operarea calculatoarelor trebuie s asigure funcionarea fr riscuri i n bune condiii a resurselor organizaiei. Aceast funcie vizeaz att echipamentele i aplicaiile software, ct i celelalte elemente necesare procesrii informaiei i susinerii funciilor de afacere. Practicile de control recomandate pentru asigurarea operrii de o manier corect i sigur, constau n documentarea procedurilor de operare, controlul modificrilor aduse sistemului informatic, att la nivel hardware ct i software, formalizarea tratrii incidentelor de securitate i separarea responsabilitilor. Dinamica mediului informaional dat de schimbrile tehnologice continue ct i de apariia de noi cerine din partea afacerii supune sistemul informatic la noi dezvoltri. Dezvoltarea i testarea modificrilor aduse sistemului existent pot cauza probleme serioase operrii curente. Pentru a controla aceste riscuri sunt recomandate separri clare ale responsabilitilor ntre dezvoltare, testare i exploatare susinute i de o separare a mediilor folosite pentru aceste activiti. Accesul programatorilor pe mediul de producie nu ar trebui permis, iar dac anumite situaii excepionale o cer, atunci ar trebui controlat ndeaproape.
9

Planificarea capacitii sistemului este un alt obiectiv al operrii calculatoarelor care are ca obiectiv minimizarea riscurilor ntreruperii sistemului ca urmare a atingerii capacitii maxime de procesare. Asigurarea unei capaciti corespunztoare de procesare implic o planificare riguroas a activitilor sprijinite de sistemul informaional. Trebuie dezvoltate proceduri i mecanisme de raportare care s identifice utilizarea necorespunztoare a resurselor precum i perioadele de utilizare. Protecia mpotriva software-ului maliios este un aspect important ntruct cea mai mare ameninare a activelor informatice este dat de pierderea sau indisponibilitatea datelor ca urmare a infestrii cu virui informatici. n toate sondajele, viruii se afl printre primele locuri ca surs a incidentelor de securitate. Milioane de virui informatici sunt raportai anual. Protecia mpotriva viruilor nu o asigur doar administratorul sistemului, ci i utilizatorul. Asigurarea integritii datelor i a aplicaiilor software necesit msuri de protecie prin care s se previn i s se detecteze introducerea unor aplicaii ilegale n sistemul organizaiei. Aplicaiile tip antivirus trebuie instalate pe toate calculatoarele din sistem iar utilizatorii trebuie instruii cu privire la folosirea acestora. Alte aspecte ce fac obiectul managementului operrii i comunicaiilor vizeaz: ntreinerea sistemului, incluznd realizarea copiilor de siguran, ntreinerea jurnalelor de operare, meninerea nregistrrilor cu erori de operare i execuie. managementul reelei, necesar asigurrii reelelor de calculatoare. manipularea i securitatea mediilor de stocare, pentru a preveni ntreruperea activitilor afacerii. schimbul de aplicaii i date ntre organizaii, pentru a preveni pierderea, alterarea sau utilizarea improprie a informaiei.

ntreinerea sistemului are ca obiectiv meninerea disponibilitii i integritii serviciilor IT. Trebuie dezvoltate proceduri specifice care s descrie aciunile prin care se realizeaz ntreinerea serviciilor i echipamentelor IT. ntreinerea sistemului trebuie s fie un proces continuu care s includ obligatoriu instalarea coreciilor de securitate a aplicaiilor, sistemelor de operare i sistemelor de gestiune a bazelor de date, realizarea copiilor de siguran, jurnalizarea activitilor realizate n i de ctre sistem. Managementul reelei are ca obiectiv asigurarea proteciei datelor transmise prin reea i a infrastructurii fizice a reelei.
10

Pentru protecia reelei sunt disponibile tehnologii specializate ce pot fi folosite n implementarea msurilor de securitate i atingerea obiectivelor de control: filtru set de reguli implementate la nivelul unui router sau firewall prin care acesta permite tranzitarea sau nu a traficului ctre i dinspre reeaua unei companii; firewall dispozitiv prin care este controlat traficul dintre reeaua companiei i reelele externe acesteia; Sistem pentru Detectarea Intruziunilor (IDS Intrusion Detection System), dispozitiv (hardware sau software) dedicat inspectrii traficului unei reele cu scopul identificrii automate a activitilor ilicite; criptare comunicaii procesul prin care datele sunt aduse ntr-o form neinteligibil persoanelor neautorizate; Reea Virtual Privat (VPN Virtual Private Network) - o reea care permite comunicarea ntre dou dispozitive prin intermediul unei infrastructuri publice (nesigure) zona demilitarizat (DMZ) este o parte a reelei care permite accesul controlat din reeaua Internet. Mainile dependente de accesul direct la reeaua Internet, cum ar fi serverele de email i cele de web sunt adesea plasate n astfel de zone, izolate de reeaua intern a organizaiei.

Msurile tehnice singure nu pot asigura nivelul de protecie necesar, fr un management corespunztor. Standardul ISO/IEC 17799 prezint controalele necesare gestiunii corespunztoare a securitii comunicaiilor. Prevenirea distrugerii mediilor de stocare al crei efect s-ar concretiza n ntreruperea serviciilor sistemului informatic s-ar putea asigura prin controlarea i protejarea mediilor de stocare. Trebuie dezvoltate proceduri prin care este controlat accesul la orice mediu de stocare i la documentaia sistemului. 1.3.7. Controlul accesului Confidenialitatea vizeaz protejarea informaiilor mpotriva oricrui acces neautorizat. Uneori este interpretat n mod greit ca aceast cerin este specific domeniului militar i serviciilor de informaii care trebuie s-i protejeze planurile de lupt, amplasamentul depozitelor de muniie sau al rachetelor strategice, notele informative. Este ns la fel de important pentru o organizaie care dorete s-i apere proprietatea intelectual, reetele de producie, datele despre personalul angajat, etc. Pentru o instituie public, datorit caracterului informaiei pe care o gestioneaz este important s asigure n primul rnd integritatea i disponibilitatea datelor. Controlul accesului ncepe cu stabilirea cerinelor de acordare a drepturilor de utilizare a informaiilor.

11

Accesul la facilitile i serviciile oferite de sistemul informaional trebuie controlat n funcie de specificul i cerinele mediului n care i desfoar activitatea organizaia. Pentru a rspunde acestor cerine sunt n general definite o serie de reguli de acces corelate cu atribuiile fiecrui utilizator al sistemului informatic. Meninerea acestor reguli n linie cu cerinele organizaiei implic un proces de gestiune a accesului utilizatorilor sistemului. Obiectivul acestui proces este s previn utilizarea neautorizat a calculatoarelor. Trebuie s existe proceduri formale prin care s se controleze alocarea drepturilor de acces la serviciile i resursele IT. Utilizatorii autorizai trebuie instruii cu privire la maniera n care trebuie raportate activitile sau aciunile considerate suspecte. Fiecare component a sistemului informaional trebuie s fac obiectul msurilor de control al accesului, datele trebuie protejate indiferent de forma sau starea care le caracterizeaz, fie c este vorba de aplicaii software, sisteme de operare, baze de date sau reele de comunicaii. Tehnologiile mai vechi de gestiune a bazelor de date precum Fox Pro, de exemplu, nu pot asigura o protecie a informaiilor la nivelul bazei de date, acestea fiind stocate n fiiere necriptate, accesibile oricrui utilizator, indiferent de drepturile de acces care i-au fost atribuite la nivelul aplicaiei. Sistemele de operare precum DOS sau Windows 95/98 nu au mecanisme de control al accesului, nefiind posibil restricionarea drepturilor de utilizare a datelor la acest nivel. Standardul prevede ns msuri de control pentru fiecare nivel al sistemului informaional: controlul accesului la serviciile reelei - conexiunile la serviciile reelei trebuie controlate iar pentru obinerea accesului la astfel de servicii este recomandat implementarea unei proceduri formale. controlul accesului la nivelul sistemului de operare sistemul de operare trebuie s prevad msuri de restricionare a accesului la date existente pe calculatore. controlul accesului la aplicaii - prevenirea accesului neautorizat la informaiile gestionate de aplicaiile software.

Orict de elaborate ar fi msurile de control al accesului exist totdeauna posibilitatea unei intruziuni, sau utilizarea inadecvat a resurselor existente. Pentru a detecta potenialele activiti neautorizate este necesar monitorizarea accesului i utilizrii sistemului informatic. Monitorizarea are un caracter continuu i implic pstrarea i revizuirea periodic a nregistrrilor cu evenimentele de sistem, i a activitii utilizatorilor.

12

Capitolul 2. Programul de securitate

Programul de securitate al unei companii trebuie s se supun unor elemente constitutive, i anume: efectuarea structurrii programului de securitate, definirea politicilor de securitate, a standardelor, normelor i a procedurilor. Fr politici riguroase, programele de securitate vor fi aproape fr suport, ineficiente i nu se vor alinia strategiei i obiectivelor organizaiei. Politicile, standardele, normele i procedurile constituie fundaia programului de securitate al organizaiei. Politicile eficiente, clar formulate, vor servi proceselor de auditare i eventualelor litigii. Combinnd elementele specificate, o entitate poate implementa controale specifice, procese, programe de contientizare i multe altele, tocmai pentru ai aduce un plus de linite. Spune romnul: paza bun trece primejdia rea. 2.1. Politicile de securitate Atunci cnd ne referim la securitate informaional, noiunea de politic de securitate poate avea mai multe nelesuri, iat cteva dintre ele: politica de firewall-uri, utilizate pentru controlarea accesului i a traseelor pe care circul informaiile; lactele, cardurile de acces, camerele de luat vederi ce nregistreaz totul din perimetrele controlate.

La implementarea politicilor de securitate, trebuie pornit de la vrful piramidei manageriale, unde se afl top managerii. Acetia au misiunea de a formula Declaraia politicii organizaiei. Aceasta este o formulare general, o declaraie din care s reias: importana resurselor informaionale pentru atingerea obiectivelor strategice ale organizaiei; formularea clar a sprijinului acordat tehnologiilor informaionale n unitate; angajamentul top managerilor de a autoriza sau coordona activitile de definire a standardelor, procedurilor i normelor de securitate de pe nivelurile inferioare.

n afara declaraiei politicii de securitate la nivelul top managerilor, exist i politici obligatorii, politici recomandate i politici informative. Politicile obligatorii sunt politici de securitate pe care organizaiile sunt obligate s le implementeze ca efect al acordurilor, regulamentelor sau al altor prevederi legale. De regul, aici se ncadreaz instituiile financiare, serviciile publice sau orice alt tip de organizaie care servete interesului public. Aceste politici sunt foarte detaliate i au elemente specifice, n funcie de domeniul de aplicare.
13

De regul, politicile obligatorii au dou scopuri de baz: asigurarea c o organizaie urmeaz procedurile standard sau politicile de baz din domeniul ei de activitate; de a oferi ncredere organizaiilor c ele urmeaz standardele i politicile de securitate din domeniul de activitate.

Politicile recomandate, prin definiie, nu sunt obligatorii, dar sunt puternic susinute, cu prezentarea consecinelor foarte dure n cazul nregistrrii eecurilor. O organizaie este direct interesat ca toi angajaii ei s considere aceste politici ca fiind obligatorii. Cele mai multe politici se ncadreaz n aceast categorie. Ele sunt foarte clar formulate la toate nivelurile. Cei mai muli angajai vor fi riguros controlai prin astfel de politici, definindu-le rolurile i responsabilitile n organizaie. Politicile informative au scopul de a informa cititorii. Nu poate fi vorba de cerine specifice, iar interesaii de aceste politici pot s se afle n interiorul organizaiei sau printre partenerii ei. Elementelor comune tuturor politicilor de securitate, astfel: domeniul de aplicare: declararea domeniului de aplicare nseamn prezentarea inteniei vizate de politic i ea va scoate n relief i legturile existente cu ntreaga documentaie a organizaiei. Formularea trebuie s fie scurt i se plaseaz la nceputul documentului; declararea politicii top managerilor se include la nceputul documentului i are dimensiunea unui singur paragraf, specificnd scopul global al politicii; responsabilitile constituie coninutul unei seciuni distincte i cuprind persoanele implicate n asigurarea bunei funcionri a politicii; consecinele: printr-o astfel de formulare se prezint pierderile posibile dac politica nu va fi respectat; monitorizarea: se specific modul n care se monitorizeaz respectarea i actualizarea continu a politicii; excepiile: se menioneaz cazurile n care apar excepii i modalitile de tratare a lor; de regul, au o durat limitat de aplicare, de la un caz la altul. 2.2. Standardele, normele i procedurile de securitate Pe nivelul inferior politicilor se afl trei elemente de implementare a politicii: standardele, normele i procedurile. Ele conin detaliile politicii, cum ar fi posibilitile de implementare, ce standarde i proceduri s fie ntrebuinate. Ele sunt fcute publice la nivel de organizaie, prin manuale, Intranet, cri, cursuri .a. De cele mai multe ori, standardele, normele i procedurile sunt tratate laolalt, dar nu este cea mai inspirat idee, fiindc tratarea separat a lor este justificat de urmtoarele argumente:

14

fiecare dintre ele servete unei funcii diferite i are propria audien; chiar i distribuia lor fizic este mai lejer; controalele securitii pe linia confidenialitii sunt diferite pentru fiecare tip de politic; actualizarea i ntreinerea politicii ar deveni mai anevoioase, prin prisma volumului documentaiei, dac s-ar trata nedifereniat. 2.2.1.Standardele

Standardele specific utilizarea anumitor tehnologii, ntr-o viziune uniform. De regul, standardele sunt obligatorii i sunt implementate la nivel de unitate, tocmai pentru asigurarea uniformitii. Elementele principale ale unui standard de securitate informaional sunt: scopul i aria de aplicare, prin care se ofer o descriere a inteniei standardului (realizarea unui tip de server pe o anumit platform); roluri i responsabiliti la nivel de corporaie pe linia definirii, execuiei i promovrii standardului; standardele cadrului de baz, prin care sunt prezentate declaraiile de pe cel mai nalt nivel, aplicabile platformelor i aplicaiilor; standardele tehnologiei conin declaraiile i descrierile aferente (configuraia sistemului sau serviciile nesolicitate de sistem); standardele administrrii reglementeaz administrarea iniial i n timpul exploatrii platformei i aplicaiilor. 2.2.2.Normele Normele sunt oarecum asemntoare standardelor, referindu-se la metodologiile sistemelor securizate, numai c ele sunt aciuni recomandate, nu obligatorii. Sunt mult mai flexibile dect standardele i iau n considerare naturile diverse ale sistemelor informaionale. Ele specific modalitile de dezvoltare a standardelor sau garanteaz aderena la principiile generale ale securitii. Elementele principale ale unei norme de securitate informaional sunt: scopul i aria de aplicare, descriindu-se intenia urmrit prin regula respectiv; roluri i responsabiliti pe linia definirii, execuiei i promovrii normei; declaraii de orientare: este un proces pas-cu-pas de promovare a tehnologiilor respective; declaraii de exploatare: se definesc obligaiile zilnice, sptmnale sau lunare pentru o corect exploatare a tehnologiei respective. 2.2.3.Procedurile Procedurile prezint paii detaliai ce trebuie s fie parcuri pentru execuia unei activiti. Se descriu aciunile concrete pe care trebuie s le efectueze personalul. Prin ele se
15

ofer cele mai mici detalii pentru implementarea politicilor, standardelor i normelor. Uneori se folosete n locul acestui concept cel de practici. 2.3. Aspecte practice ale politicii de securitate informaional Realizarea propriei politici de securitate presupune acoperirea mai multor domenii diferite, iar conform standardului internaional de definire a politicii de securitate, ISO 17799, acestea sunt: 1. Planificarea funcionrii nentrerupte a unitii, cu obiectivul contracarrii ntreruperilor de activitate ale unitii i ale proceselor principale ca efect al unor accidente majore sau dezastre. 2. Controlul accesului n sistem, cu obiectivele: a. b. c. d. e. f. controlarea accesului la informaii; prevenirea accesului neautorizat n sistemul informaional; asigurarea proteciei serviciilor prestate n reea; prevenirea accesului neautorizat la calculatoare; detectarea activitilor neautorizate; asigurarea securitii informaiilor cnd se folosesc comunicaiile mobile i teleactivitile.

3. Dezvoltarea i ntreinerea sistemului, cu obiectivele: a. asigurarea securitii prin sistemul operaional; b. prevenirea pierderilor, modificrilor sau folosirii inadecvate a datelor din aplicaiile sistemului; c. protejarea confidenialitii, integritii i autenticitii informaiilor; d. asigurarea c proiectele informatice i activitile colaterale se deruleaz dup proceduri sigure; e. meninerea securitii softului i datelor din aplicaiile sistemului. 4. Securitatea fizic i a mediului, cu obiectivele: a. prevenirea accesului neautorizat, a distrugerilor i interferenelor cu informaiile i celelalte componente ale sistemului; b. prevenirea pierderilor, distrugerilor sau compromiterilor valorilor patrimoniale, precum i stoparea ntreruperilor de activitate; c. prevenirea compromiterii sau furtului de informaii i al altor resurse informaionale. 5. Maleabilitatea, cu obiectivele: a. prentmpinarea nclcrii cadrului juridic, a celui statutar, regulamentar sau a oricrei obligaii contractuale, precum i a cerinelor pe linia securitii;
16

b. asigurarea maleabilitii sistemului la politicile i standardele organizaionale pe linia securitii; c. maximizarea eficienei procesului de auditare a sistemului i minimizarea interferenelor cu acesta. 6. Securitatea personalului, cu obiectivele: a. diminuarea riscurilor provocate de factorul uman, fraud sau folosirea ilegal a componentelor sistemului; b. asigurarea c utilizatorii sunt contieni i preocupai de prentmpinarea sau diminuarea ameninrilor asupra securitii informaiilor, susinnd politica de securitate a organizaiei prin tot ceea ce fac zi de zi; c. minimizarea pagubelor provocate de incidentele aprute n sistem sau de proasta funcionare a acestuia, precum i reinerea incidentelor ca lecii pentru viitor. 7. Organizarea securitii, cu obiectivele: a. asigurarea managementului securitii informaionale n cadrul organizaiei; b. asigurarea securitii componentelor folosite n prelucrarea informaiilor organizaiei accesate de ctre teri; c. asigurarea securitii informaiilor cnd responsabilitatea prelucrrii acestora revine unei alte organizaii, ca serviciu externalizat. 8. Managementul resurselor informatice i al exploatrii lor, cu obiectivele: asigurarea funcionrii corecte i sigure a componentelor sistemului informatic; minimizarea riscului cderii sistemului; protejarea integritii softului i a informaiilor; asigurarea integritii i disponibilitii informaiilor prelucrate i comunicate; asigurarea ncrederii n informaiile din reele i protejarea infrastructurii corespunztoare; f. prevenirea pierderilor de valori patrimoniale i a ntreruperilor de activitate; g. prevenirea pierderilor, modificrilor sau utilizrilor ilegale n schimburile de informaii cu alte organizaii. 9. Clasificarea i controlarea valorilor patrimoniale, cu obiectivele: a. meninerea unei protecii corespunztoare a valorilor patrimoniale ale organizaiei; b. oferirea ncrederii c valorile patrimoniale informaionale au asigurat un nivel de protecie corespunztor . 10. Politica de securitate, cu obiectivele: a. oferirea de direcii manageriale; b. sprijinirea aciunilor ntreprinse pe planul securitii informaionale. Fiecare dintre cele zece seciuni are n structur descrieri detaliate prin care se definete standardul ISO 17799.
17

a. b. c. d. e.

2.4. Exemple de politici de securitate De remarcat c nu exist dou organizaii care s aib politici de securitate identice. Din analizarea mai multor politici de securitate se poate realiza o structur general a acestora, care va fi prezentat n continuare. Astfel, se ncepe cu un program de securizare a sistemelor informaionale, situaie n care se folosete conceptul de politica programului de securitate informaional. Ea este acoperiul sub care se vor realiza politici tehnice de securitate, standarde i norme de aplicare. ntr-o unitate sunt necesare politici speciale pentru utilizarea Internetului i a e-mailului, pentru accesarea de la distan a sistemului, pentru modurile de utilizare a unui sistem informatic, pentru protecia informaiilor .a. Aadar, se poate spune c printr-o politic a programului de securitate informaional se definete politica de ansamblu a organizaiei n acest domeniu, precum i responsabilitile din sistem. n aceste condiii, politicile ce se vor emite sunt componente eseniale ale programului i ele trebuie s rspund la cinci obiective majore: prevenire: abilitatea de prevenire a accesului neautorizat la valorile patrimoniale ale organizaiei; asigurare: asigurarea c politicile, standardele i normele sunt n concordan cu Securitatea sistemelor informatice inteniile organizaiei pe linia protejrii valorilor patrimoniale informaionale; detectare: abilitatea de a detecta intruii din sistem i de a lansa arsenalul de contramsuri corespunztoare; investigare: capacitatea de a folosi tehnici adecvate pentru obinerea informaiilor despre posibilii intrui din sistem; continuitate: posibilitatea de a garanta funcionarea nentrerupt prin existena unui plan de aciune n cazul dezastrelor, dezvoltat i testat n organizaie. n continuare, vom face o descriere succint a ctorva politici: 2.4.1.Politica utilizrii adecvate O astfel de politic trebuie s analizeze i s defineasc utilizarea corespunztoare a resurselor informatice din organizaie. Utilizatorii trebuie s o citeasc i semneze atunci cnd i exprim intenia de deschidere a unui cont de utilizator. Responsabilitile utilizatorului pentru protejarea informaiilor, memorate n conturile lor, trebuie s fie formulate explicit, ca i nivelurile de utilizare a Internetului i e-mail-ului. Politica, de asemenea, trebuie s rspund urmtoarelor ntrebri: Trebuie ca utilizatorii s citeasc i copieze fiiere care nu sunt ale lor, dar la care au acces? Trebuie ca utilizatorii s modifice fiierele la care au drept de scriere, dar nu sunt ale lor? Trebuie ca utilizatorii s fac copii ale fiierelor de configurare a sistemului, n scopul folosirii personale sau s le dea altora?
18

Trebuie ca utilizatorii s foloseasc n comun conturile deschise? Trebuie ca utilizatorii s aib dreptul de a face oricte copii de pe softul care e procurat cu licen de utilizare? 2.4.2.Politica privind conturile utilizatorilor

Politica vizeaz normele dup care se formuleaz cererile de deschidere a conturilor din sistem i cum se efectueaz ntreinerea lor. Este foarte util n organizaiile mari, n care utilizatorii au conturi n mai multe sisteme. Este recomandat modalitatea de citire i semnare a politicii de ctre utilizator. O astfel de politic trebuie s ofere rspunsuri la ntrebri de genul: Cine are autoritatea aprobrii cererilor de noi conturi-utilizator? Cui (angajailor, soiilor/soilor, rudelor, copiilor, vizitatorilor .a.) i este permis s foloseasc resursele informatice ale organizaiei? Poate un utilizator s aib mai multe conturi n acelai sistem? Pot folosi utilizatorii n comun aceleai conturi? Care sunt drepturile i obligaiile utilizatorilor? Cnd va fi dezactivat i arhivat un cont? 2.4.3.Politica accesului de la distan Prin ea se definesc modalitile de conectare de la distan la reeaua intern a organizaiei. Ea este necesar n organizaiile care au utilizatori i reele dispersate geografic. Politica trebuie s rspund urmtoarelor ntrebri: Cine poate s aib dreptul accesrii de la distan? Ce metode sunt acceptate de organizaie (dial-up, modem)? Este permis accesul din afar la reeaua intern prin modem? Se impun anumite condiii, cum ar fi soft anti-virus i de securitate, pentru accesarea de la distan? Pot ali membri ai familiei s acceseze reeaua? Sunt restricii privind tipul datelor ce pot fi accesate de la distan? 2.4.4.Politica proteciei informaiilor Printr-o astfel de politic se aduc la cunotina utilizatorilor condiiile prelucrrii, stocrii i transmiterii informaiilor sensibile. Scopul principal al acestei politici este asigurarea c informaiile sunt protejate, n mod corespunztor, mpotriva modificrilor sau dezvluirii neautorizate. O astfel de politic trebuie semnat de toi angajaii. Ea trebuie s dea rspuns cel puin la urmtoarele ntrebri: Care sunt nivelurile de sensibilitate ale informaiilor? Cine poate s aib acces la informaiile sensibile? Cum sunt stocate i transmise informaiile sensibile?
19

Ce niveluri de informaii sensibile pot fi listate pe imprimante publice? Cum trebuie s fie terse informaiile sensibile de pe suporturi (tocarea i arderea hrtiilor, curirea discurilor .a.)? 2.4.5.Politica gestionrii firewall-urilor

Politica gestionrii firewall-urilor descrie modul n care sunt gestionate hardul i softul i cum sunt formulate i aprobate cererile de schimbare din sistem. O astfel de politic trebuie s dea rspuns la urmtoarele ntrebri: Cine are acces la sistemele firewall? Cine trebuie s primeasc solicitrile de efectuare a schimbrilor n configuraia firewall-urilor? Cine trebuie s aprobe efectuarea schimbrilor n configuraia firewall-urilor? Cine poate s vad normele i listele de acces la configuraia firewall-ului? Ct de des trebuie efectuat revizia firewall-urilor? 2.4.6.Politica accesului special Prin ea se definesc condiiile formulrii cererilor de obinere a dreptului de utilizare a unor conturi speciale din sistem (root, Administrator .a.). Ea trebuie s ofere rspunsurile la urmtoarele ntrebri: Cine trebuie s primeasc cererile pentru acces special? Cine trebuie s aprobe cererile pentru acces special? Care sunt regulile parolelor pentru conturile cu acces special? Ct de des se schimb parolele? Care sunt motivele sau situaiile ce vor conduce la revocarea privilegiului de a avea acces special? 2.4.7.Politica de conectare la o reea local Prin ea se definesc condiiile adugrii de noi echipamente la reea i trebuie s rspund la ntrebrile: Cine poate instala o resurs nou n reea? Cine trebuie s aprobe instalarea de noi echipamente? Cui trebuie s i se aduc la cunotin faptul c au fost adugate noi echipamente n reea? Sunt unele restricii pe linia securitii n legtur cu echipamentele adugate n reea?

20

2.4.8.Politica partenerului de afaceri O astfel de politic stabilete ce msuri de securitate trebuie s respecte fiecare companie partener. Ea este o politic cu att mai necesar acum cnd organizaiile ofer reeaua lor intern partenerilor, clienilor, furnizorilor. Dei o astfel de politic este diferit de la o organizaie la alta, ea, totui, trebuie s ofere rspunsuri la urmtoarele ntrebri: I se cere fiecrei organizaii s aib scris o politic de securitate? Trebuie ca fiecare organizaie s aib un firewall sau alte echipamente de securitate a perimetrului? Cum se vor realiza comunicaiile (linie nchiriat, VPN prin Internet .a.)? Cum se vor formula cererile pentru accesarea resurselor partenerului? 2.4.9.Politica managementului parolelor Deseori este inima politicilor de securitate dintr-o organizaie. De regul, ea reglementeaz problemele expirrii parolelor, ale lungimii lor i altor verificri necesare. Iat cteva recomandri de surprins printr-o astfel de politic: lungimea minim a unei parole trebuie s fie de cel puin opt caractere; parola nu trebuie s fie un cuvnt din dicionar; ea trebuie s fie o combinaie de litere i simboluri speciale; parola trebuie s expire dup o anumit perioad de timp predeterminat; parolele administratorilor de reele trebuie s expire mult mai repede i trebuie fie mai lungi; parolele din organizaie trebuie s difere de cele folosite n alte sisteme; trebuie s fie pstrat o list cu vechile parole pentru a preveni reutilizarea (ultimele ase parole nu trebuie s se repete); parolele utilizatorilor noi trebuie s fie unice i greu de ghicit. 2.4.10.Politica folosirii Internetului Politica utilizrii Internetului, referit deseori prin acronimul I-AUP (Internet Acceptable Use Policy), este documentul prin care se detaliaz modurile n care utilizatorii unei reele a organizaiei trebuie s foloseasc serviciul public Internet. Politica va descrie softul folosit pentru filtrare i blocare, cu scopul protejrii organizaiei, dar i activitile specifice permise, precum i cine sunt beneficiarii acestor drepturi de acces i cui i se interzic. Ea este bine s se refere i la metodele de autentificare naintea accesrii Internetului n afara organizaiei/rii pentru a preveni personalul c folosete reeaua organizaiei n scopuri ilegale. Protocoalele specifice acoperite printr-o politic de utilizare a Internetului sunt urmtoarele: Pota electronic. Aceasta vizeaz toate formele de e-mail utilizate de o organizaie, definindu-se ceea ce se accept a se folosi, declarndu-se softul utilizat pentru filtrare
21

i scanare. Ea trebuie s sublinieze cerinele specifice referitoare la datele ce nu pot fi transmise prin e-mail i procedurile de urmat n cazul n care un utilizator primete mesaje cu date de acest gen. Prin aceast politic trebuie prevzute i msurile luate n cazul nerespectrii condiiilor de utilizare a e-mail-ului; Web. Politica va prevedea condiiile specifice de realizare a traficului Web. Ct timp WWW (World Wide Web) folosete HTTP-ul (HyperText Transport Protocol) pentru transferarea informaiilor, prin politica de fa vor fi definite clar tipurile de site-uri Web care sunt strict interzise, de genul celor porno, jocurilor de noroc .a.; FTP. Permind utilizatorilor accesul la FTP (File Transfer Protocol), se deschide calea descrcrii cu uurin n sistemul organizaiei a viruilor, dar i transmiterea pe serverele din afara organizaiei a unor informaii confideniale. Pentru specialitii organizaiei trebuie s se asigure un nivel de acces FTP pentru efectuarea unor descrcri de fiiere n vederea actualizrii softului existent, dar politica de fa trebuie s stabileasc autorizrile de utilizare FTP; Chat/IRC. IRC-ul (Internet Relay Chat) este mai puin folosit n mediul organizaional fa de alte programe de chat (dialoguri Internet), cum sunt Yahoo, ICQ i AOL Instant Messenger (AIM). Astfel de programe sunt foarte riscante pentru organizaie deoarece informaiile sunt transmise unor servere externe fr o protecie corespunztoare. Politica de fa trebuie s stabileasc n ce msur produsele de tip chat servesc intereselor organizaiei. n general, prin politica Internet se face referire la urmtoarele aspecte: acceptarea folosirii i condiiile de accept pentru: descrcrile de fiiere; newsgroup-uri; comunicarea datelor sensibile; tipurile de fiiere ataate; dimensiunea mesajelor; softul fr licen; pachete de aplicaii soft neaprobate; exportul informaiilor sensibile; protecia fiierelor; protecia mpotriva viruilor; managementul schimbrilor din sistem; practicile de stocare a datelor; siguran i disponibilitate; protecia informaiilor prin clasificarea lor; controlul accesului; e-mail-ul i datele ce pot fi reinute/stocate n unitate; monitorizarea; excepiile i amendamentele politicii Internet.

22

Capitolul 3.Concluzii

Pentru a reduce riscurile de securitate n utilizarea i administrarea sistemelor IT, cea mai bun strategie este cea pe ansamblu (security in depth). Aceasta presupune evaluarea pe ansamblu a infrastructurii IT i clasificarea expunerii la riscuri de securitate. Pentru fiecare dintre riscurile identificate trebuie realizate planuri de msuri, fie pentru reducerea expunerii la acele riscuri (mitigation), fie pentru reducerea impactului odat ce riscul s-a produs (contingency). La polul opus se afl abordarea punctual, a implementrii unui sistem specific de securitate, de exemplu antivirus sau intrusion detection. Dei aceste sisteme sunt foarte utile n cadrul ariei specifice de aplicabilitate, aceast abordare las descoperite alte zone cu posibile bree de securitate. Foarte multe companii cad n greeala de a investi mult n astfel de sisteme, fr ns a avea o strategie de securitate cap-coad. Pentru a avea o abordare de ansamblu, trebuie pornit de la lucrurile elementare: uniformitatea infrastructurii din punct de vedere al sistemelor folosite, administrarea centralizat, meninerea la zi a sistemelor din punct de vedere al patch-urilor i fix-urilor, aplicarea unor configurri standard de securitate pe toate serverele i staiile de lucru, n funcie de rolul funcional al acestora, proceduri standard de utilizare i administrare. Mai toate discuiile despre securitate se rezum la problemele identificate la diverse sisteme. Ceea ce se uit ns este faptul ca pentru a avea un sistem sigur nu e suficient s avem tehnologia corespunztoare. Studiile arat c n medie 90% din breele de securitate identificate nu sunt datorate problemelor tehnologice ci instalrii i configurrii necorespunztoare sau datorit nerespectrii unor proceduri de utilizare i administrare a sistemului. n multe cazuri, aceste proceduri nici nu exist. Trebuie deci s privim problema pe ansamblu, adresnd tehnologia, oamenii i procedurile interne ale companiei. A privi deci securitatea doar prin prisma problemelor tehnologice este un punct de vedere ngust. Nu ne putem atepta ca un sistem care nu a fost instalat i configurat corespunztor, care nu e meninut la zi cu patch-urile sau pentru care nu se respect nite proceduri simple de utilizare i administrare, s fie un sistem sigur. Securitatea trebuie s fie o caracteristic intrinsec a sistemului. Un sistem sigur este unul bine proiectat, implementat, utilizat i administrat. Pe msura ce organizaiile devin din ce in ce mai dependente de buna funcionare a sistemelor informaionale, problema securitii acestor sisteme devine din ce in ce mai important. Doar investind n securitate cap-coad vom putea avea sisteme IT mai sigure.
23

De multe ori vom constata c beneficiile vor fi mai mari, iar investiiile i eforturile fcute vor fi mai mici daca vom avea o abordare pe ansamblu, dect dac am trata problema punctual, sau, mai ru, vom aciona pentru a nltura efectele abia dup producerea unui incident de securitate.

24

Bibliografie

1. Dumitru Oprea, Sisteme Informationale pentru manageri, Editura Teora,2003 2. www.securitatea-informatica.ro 3. www.datasecurity.ro 4. Thomas T., Primii pai n securitatea reelelor, Corint, Bucureti, 2005. 5. Coroescu T, Informationale pentru management, Editura Lumina Lex,

25