Managementul securitatii informatiilor

Drd. ing. Gh. Muresanu

ghemuresanu@rdslink.ro

Managementul securitii informaiei

Obiectivele cursului

Caracterizarea informatiilor in format electronic din punct de vedere al securitatii acestora; Definirea principalelor caracteristici ale mediului virtual; Principiile care stau la baza realizrii unei securiti moderne a informaiilor integrate n mediul de lucru; Managementul securitatii informatiilor pe baza analizei de rsicuri; Prezentarea cadrului de reglementare si autoritatile competente; Necesitatea unei comunitati a specilaistilor in domeniul securitatii informatiilor.

Managementul securitii informaiei

Prezentarea cursului (1)

Notiuni introductive caracterizarea mediului virtual

Caractristicile informatiilor in format electronic; Atributele de securitate a informatiilor; Clasificarea informatiilor; Sistemul National de interventii in caz de urgenta; Infrastructurile critice.

Criminalitatea informatica

Limitele sistemului judiciar; Necesitatea unor puteri speciale pentru cercetarea infractionalitatii informatice; Necesitatea unei culturi de securitate.

Managementul securitii informaiei

Prezentarea cursului (2)

Abordarea sistemica a securitatii informatiilor;

Principiul supravietuirii sistemelor; Imaginea holistica asecuritatii sistemelor; Subsistemele de securitate a informatiilor;

Reglementarile mecanismelor de securitate;

Reglelementari adminstrative acorduri, legi etc.; Reglementari locale; Ghiduri de bune practici; Standarde tehnice; Autoritati de reglementare, certificare, impunere a legii.

Managementul securitii informaiei

Prezentarea cursului (3)

Mecanismele de securitate
Politici formale de securitate; Sisteme de incredere; Sisteme practice de securitate; Strategii si politici de securitate; Mecanisme de secuirtate protective si reactive.

Evaluarea sistemelor de securitate

Certificarea, evaluarea si acreditarea; Standarde de evaluare; Autoritati de certificare, evaluare si acreditare.

Managementul securitii informaiei

Prezentarea cursului (4)

Managementul securitatii informatiilor

Mecanismul de formare a riscurilor; Analiza de riscuri - erintele de securitate; Politica de securitate; Procedurile operationale de securitate fisa postului; Planurile de securitate, BCP, DRP; Structura de securitate. Practica managementului bugetarea activitatii;

Notiuni introductive privind protectia informatiei Obiectivele temei:

TEMA 1:

Definirea si intelegerea caracteristicilor informatiei (obiectului muncii specific sistemul de securitate); Locul si rolul informatiilor in format electronic in societatea moderna necesitatea protectiei lor; Clasificarea informatiilor; Caracteristicile mediului de evolutie a informatiilor (CYBERSPATIUL);

Informatia si informatia in format electronic

Ce este informatia ? De ce este importanta informatia in societatea moderna ? Cui foloseste informatia ? Ce se intelege prin securitatea informatiei ? Dar prin protectia ei ?

Informatia si informatia in format electronic 1. Definirea informatiei 1

Categorii filozofice: materie, energie i informaie; Caracterul imaterial independenta de suport; Informaia exprimat prin forme; Legatura cu suportul material sau energetic; Definirea prin exemple; Informaia ca form de percepie a lumii nconjurtoare contiina;

Introducere in Securitatea Informatiei

Obiectivitatea si subiectivitatea informatiilor;

Informatiile din surse umane interpretari ale realitatii, ex: procesele verbale de sedinta; Informatiile de la senzori obiective dar mai sarace in informatii neglijeaza contextul uman;

Informatia si informatia in format electronic 1.1 Definirea informatiei 2

Unitati de msur a informaiiei bitul, baytul, cuvntul;

Introducere in Securitatea Informatiei

Canale de comunicatii capacitatea canalului; Tipuri de informatii (date si informatii):

Date informatii prelucrate fara sa conteze semnificatiile; Mesaje informatii prelucrare in scopul obtineii semnificatiei; Informatie - semnificaia mesajelor corelate; Cunotiine Informatii agregate baze de date construite pe baze relationale;
Castig; Valoare prin prejudiciu posibil; Valoarea prin incredere;

Informaia ca valoare (bun):

Necesitatea protectiei informatiilor - 1

Mecanismele de putere (conducere) - locul si rolul informatiilor in procesul de decizie; Necesitatea informatiilor complete si credibile; Raportul informatie interese, complexitatea sferelor de interese; Interese divergente necesitatea confidentialitatii; Razboiul informational;
Lupta pentru imagine - propaganda; Reclama; Legatura INTERNET MASSMEDIA;

Necesitatea protectiei informatiilor - 2

Interdependentele economice fenomenul de globalizare; Dezvoltarea comertului migrarea fortei de munca - permeabilizarea granitelor; Magistrala informationala globala: Integrarea retelelor de comunicatii; Integrarea serviciilor de comunicatii; Desfiintarea granitelor pentru informatii; Socializarea serviciilor de comunicatii scaderea costurilor; Dezvoltarea tehnologiilor informatice - de regula in avantajul atacatorului;

Necesitatea protectiei informatiilor - 3

Societatea informationala:

Informatia ca valoare materiala (bani)

Software; Jocuri; Proiecte; Reclame on line; Licente drepturi de autor;

Intreprinderi virtuale:

Bazele de date publice motoare de cautare; Programe de tip: e-guv, e-administration, e-banking; e-tax, e-Europe, e-ten etc.

Magazine on line; Firme de productie on line; Notari electronici; Semnaturi electronice;

Informatia in format electronic (IFE) - 1

Informatia in format clasic (IFC) documentul scris:

Informatia in format electronic - IFE:

Identificarea cu suportul; Protectia se refera la suport informatia nu are semnificatie; Suportul poarta o multitudine de informatii colaterale despre autor, momentul generarii informatiei si traseul acesteia si chiar despre cititor; Modificarea informatiei de pe document se face relativ greu si lasa urme identifica falsificarea; Generarea, sustragerea sau distrugerea lasa urme materiale detectabile; Senzitivitatea - documentelor olografe, documente batute la masina, copii xerox etc;

Informatia se identifica prin ea insasi; Suportul nu are o semnificatie pentru protectie sau are una secundara;

Informatia in format electronic (IFE) - 2

Copiatul si modificatul se face foarte usor, nu lasa urme asupra originalului si implica costuri nule; In comparatie cu informatia in format clasic, informatia in format electronic poate fi usor manipulata in scopuri obscure; Constatarea unei infractiuni privind informatia nu se poate face examinand documentul original ci examinand activitatile din sistem care sunt in legatura cu informatia; Un utilizator poate folosi abuziv informatiile pastrandu-si anonimatul; Controlul accesului la informatiile in format electronic ( in SIC) se face mult mai dificil decat in cazul accesului persoanelor fizice la documente scrise; Informatiile pot fi accesate si utilizate abuziv de la distanta;

Informatia in format electronic (IFE) - 3

Este sarcina sistemului de protectie de a crea urme prin care sa documenteze activitatile din sistem si eventual si sa probeze folosirea abuziva a informatiilor; Imaginati-va efortul pe care ar trebui sa-l faca un hot hotarat sa fure 10000 de volume a cate 200 de pagini din biblioteca institutiei si riscurile la care se expune comparativ cu efortul riscurile de a sustrage aceleasi carti de pe serverul institutiei la care au acces toti angajatii;

Informatia si informatia in format electronic 2. Protectia informatiei

Introducere in Securitatea Informatiei

Atributele de securitate a sistemelor referitoare la informatii:

Functii de utilitate:

Disponibilitatea; Integritatea; Confidentialitatea; Autenticitatea; Nerepudierea;

Functii de credibilitate (acoperirea prejudiciului):

Manipularea rau voitoare a sistemelor si informatiilor criminalitatea electronica;

Disponibilitatea 1

Disponibilitatea este acea functie de securitate sistemelor a sistemelor de a pune informatiile la dispozitia utilizatorilor legali atunci cand acestia au nevoie; Disponibilitatea desi este o functie intrinseca a informatiei, se manifesta prin intermediul suportului ei si in consecinta este un rezultat al mediului de prelucrare transmisie (retea, echipamente, proceduri etc.) Disponibilitatea este cea mai importanta functie a informatiei (SIC-ului); Informatia, in general, este cu atat mai utila (mai productiva) cu cat este folosita mai mult.

Disponibilitatea 2

De retinut: informatia in mod natural este facuta sa se multiplice si sa se transmita cu costuri aproape nule este predestinata proliferarii; Informatia produce, creaza valoare cu cat este folosita de mai multi si mai des restrangerea accesului este o pierdere; In general disponibilitatea este asigurata prin redundanta se def. infrastructura critica; Informatiile de interes public LEGEA 544/2002 obligatia de a asigura disponibilitatea informatiilor de interes public pentru toti utilizatorii;

Disponibilitatea 3

Traditional, disponibilitatea in SIC uri este tratata ca o problema de fiabilitate si calitate a serviciilor (QoS) caracteristic acestei abordari este cauza aleatorie, necorelarea acesteia cu activitatea sistemului, cu alte inputuri sau continuari ale cauzei; In contextul actual, datorita accentuarii factorului intentional, este mai util sa fie tratata ca o problema de securitate si inclusa in analiza de riscuri factorul intentional implica o inteligenta care are cunostiinte si capacitati de inteventie pe care le foloseste in scopul atingerii obiectivelor sale; Mijloace de protectie asigurarea redundantei;

Confidentialitatea - 1

Confidentialitatea este acea functie de securitate prin care se blocheaza accesul utilizatorilor nelegitimi la anumite informatii; Confidentialitatea este definita ca o interdictie si in general este o exceptie de la utilizarea normala a informatiei; Confidentialitatea este o consecinta a existentei unor interese contrare in societate si in consecinta folosirea informatiilor despre aceste interese pot aduce prejudicii uneia din parti; Acceptarea dreptului partilor de a-si proteja interesele implica acceptarea confidentialitatii (apararea secretului);

Confidentialitatea - 2

Interesele statului, interese de grup, interese particulare restrangerea dreptului la confidentialitate; Asigurarea confidentialitatii se poate face prin controlul accesului la suportul de informatie (masuri de protectie fizica) si/sau controlul accesului la semnificatia datelor (criptare); Exista perceptia (falsa) ca prin protectia informatiilor se intelege numai asigurarea confidentialitatii; Tehnicile de asigurare a confidentialitatii au aparut primele ca necesitati si s-au dezvoltat in mediul militar si diplomaticau inceput sa treaca in mediul civil pe la mijlocul anilor 80 ca urmare a utilizatii pe scara larga a informatiilor in format electronic in economie;

Confidentialitatea - 3

Asigurarea confidentialitatii implica costuri semnificative pentru utilizarea informatiilor in conditii de siguranta (sa ajunga numai la un grup bine definit de persoane); Confidentialitatea implica o ierarhizare a nivelurilor de clasificare a informatiilor; Implica o ierarhie a drepturilor de acces niveluri diferite de incredere (verificare) in personalul care utilizeaza informatiile; Principiul need to know dreptul de a accesa o informatie clasificata il au toate presoanele care au nevoie de ea in exercitarea atributiilor de serviciu si dispun de nivelul corespunzator de verificare. (nu este legata de functie sau de dreptul de acces la informatii clasificate).

Confidentialitatea - 4

Privire generala asupra cadrului de reglementare al confidentialitatii;

Informatiile secrete de stat (clasificate); Informatiile firmelor (clasificate secrete de serviciu); Informatiile firmelor in care este interesat statul (de interes strategic); Clase de informatii neprotejate;

Reglementarile privind protectia informatiilor UE; Informatii clasificate NATO interferente cu informatiile clasificate nationale; Intelegeri bilaterale cu state partenere intelegeri locale; Asigurarea confidentialitatii se face in principiu prin controlul accesului la echipamente, informatii, suporti de memorie si prin criptare.

Confidentialitatea - 5

Cadrul legslativ care protejeaza confidentialitatea; Legea 182/2002- privind protectia informatiilor clasificate; H.G. 585/2002 privind standardele nationale de protectie a informatiilor clasificate; H.G. 781/2002 privind protectia informatiilor secrete de serviciu; H.G. 353/2002 privind aprobarea normelor privind protectia informatiilor NATO in Romania; Legea 676/2002 privind protectia datelor cu caracter personal in retelele de comunicatii; Legea 677/2002 privind protectia datelor cu caracter personal ;

Integritatea - 1

Integritatea este acea functie de securitate a sistemului de a proteja informatia de modificarile neautorizate sau accidentale; Prin modificare se intelege: stergere, adaugare sau inlocuire a unei parti sau a intregii informatii; Integritatea a aparut ca o problema de securitate in activitatile comerciale si este legata de functionarea bazelor de date; Asigurarea integritatii informatiilor stocate are importanta majora in organizarea bazelor de date deoarece in absenta mecanismelor de asigurare a integritatii, baza de date acumuleaza erori si chiar daca acestea afecteaza o mica parte din informatii se pierde increderea in intreaga baza de date si trebuie refacuta in intregime. Asigurarea integritatii informatiilor se face prin:
Adaugarea la aceasta a unui rezumat al informatiei facut cu o functie tip paritate, CRC sau hash coduri detectoare de erori; Folosirea semnaturii digitale; Constituirea unor mecanisme de securitate a tranzactiilor pornind de la ipoteza implicita ca informatiile sunt veridice (consistente);

Integritatea - 2

Producerea unor prejudicii prin manipularea frauduloasa a informatiilor si/sau a sistemului prin afectarea integritatii informatiilor in SIC-uri este reglemetata direct prin lege C.P./2006 - Titlul X Alterarea datelor. In general, fara mijloace specifice, este dificil de departajat o modificare neintentionata sau accidentala de una intentionata si cu atat mai mult de identificat autorul si probat fapta. Un avocat bun va gasi intodeuna o cale care sa disculpe un inculpat. Este sarcina sistemului de securitate sa creeze urme cu valoare de probe pentru a se instrumenta asfel de cazuri;

Autenticitatea - 1

Autenticitatea este acea functie de securitate a sistemului de a permite asocierea informatiei cu autorul ei. Prin autorul unei informatii se intelege generatorul ei sau cel care a introdus-o in sistem. Autorul poate fi persoana sau echipament. Informatia de autenticitate are rolul de a da credibilitate in corectitudinea informatiei prin responsabilzarea creatorului si posibilitatea utilizatorilor de a verifica autenticitatea la sursa pe alta cale. Autentificarea informatiei este necesara pentru a crea posibilitatea de a recupera eventualele prejudicii ce ar putea rezulta prin folosirea informatiei obtinuta din sistem cu buna credinta;

Autenticitatea - 2

Autentificarea prin semnatura electronica are regim juridic echivalent cu semnatura olografa; Documentul autentificat cu semnatura electronica certificata are acelasi regim juridic cu documentul autentificat sub semnatura privata; Anonimitatea:
Efectul anonimitatii asupra comportamentului uman; Cadrul de reglementare Statele Unite; Anonimitatea in INTERNET;

Autenticitatea - 3

Autentificarea informatiei se poate face prin:

Controlul accesului la sistem si activarea unui sistem adecvat de fisiere de log rolul timpului; Folosirea semnaturilor electronice pentru generarea si transmisia informatiilor;

Cadrul legal de utilizare a semnaturii electronice este stabilit de:

Legea 455/2001 privind regimul juridic al semnaturii electronice; Hotararea 1259/2001 norme tehnice si metodologice de aplicare a legii 455/2001;

Stampila de timp indicatie a momentului de timp asociata documentului electronic autentificat cu semnatura certificata care se aplica in momentul semnarii documentului. Stampila de timp este necesara pentru a stabili cronologia unor documente si are valoare juridica;

Nerepudierea - 1

Nerepudierea este functia de securitate a sistemului de a asocia unei informatii dovada ca o informatie a fost trimisa de catre expeditor catre destinatarul legal iar acesta a primit-o, fara ca acestia sa poata contesta acest fapt; Proprietatea de nerepudiere confera informatiei acelasi regim ca o scrisoare recomandata; Nu sunt cunoscute reglementari cu referire directa la informatiile in format electronic din SIC-uri; Producerea dovezilor de nerepudiere este sarcina sistemului de securitate care trebuie sa instituie si sa conserve urme ale activitatii din sistem suficient de veridice pentru a fi acceptate de autoritati; Prin autoritati se intelege justitia sau administratia organizatiei in functie de natura prejudiciului si consistenta probelor;

Informatia si informatia in format electronic 2. Protectia informatiei

Introducere in Securitatea Informatiei

Protectia informatiilor (notiunea de sistem):

Sistem complex, de granita, la intersectia mai multor discipline: (calculatoare, electronica, mecanica, TV, optica, matemantica, fizica, sociologie, psihologie, drept ) Sistemul de protectie obiective: descurajare, detectare, interventie, limitare a pierderilor, recuperare; Protectia oferita prin lege definire infractiune, documentare, probare, judecata - efectul retroactiv, nu acopera cauzele naturale (intamplarea) Protectia informatiilor subsistem al protectiei bunurilor; Protectia suportului informatiei protectie fizica; Protectia mediului informatiei (retele, echipamente) protectie fizica si procedurala; Protectia criptografica protectie informationala

Protectia informatiilor pe durata ciclului de viata al acestora

Generarea informatiilor:
Informatii din surse umane gradul de subiectivism, nivel de incredere; Informatii de la senzori obiectivitatea datelor subiectivismul interpretarii; Clasificarea informatiilor (drepturile de acces) cnf. Legii 182/2002 si HG 585/2002 Asocierea informatiilor despre autor, timp, conditii de generare, la informatia de baza;

Prelucrarea informatilor si functiile de securitate (confidentialitatea, integritatea, autenticitatea, nerepudierea):

Dezasamblarea (implica reclasificare prin declasificare); Asamblarea (poate creste nivelul de clasificare); Analize (implica reclasificare); Sinteze (implica reclasificare sinteze din informatii publice pot fi strict secrete);

Protectia informatiilor pe durata ciclului de viata al acestora

Stocarea informatiilor:
Copii de siguranta; Rezerva calda, retele RAID; Clustering Arhive;

Medii de stocare (durata de stocare, densitate, conditii de stocare etc. ):

Hartie; Hartie termica; Suport magnetic;

CD; Stick; Harddisk-uri;

Protectia informatiilor pe durata ciclului de viata al acestora

Suport optic:
CD-uri timp de viata limitat la aproximativ 10 ani; DVD-uri proiectat pentru fluxuri mari de date;

Memorii semiconductoare:
RAM, (statice, dinamice); ROM (Read Only Memory), EPROM; EEROM memorii flash -sticuri;

Seifuri pentru suporti de memorie;

Rezistenta la incendiu; Amplasare;

Protectia informatiilor pe durata ciclului de viata al acestora

Declasificarea informatiilor
Perisabilitatea informatiilor secrete in timp toate devin publice;

Informatii strategice protectie pe termen lung (ani, zeci de ani); Informatii tactice protectie pe termen mediu (zile, luni); Informatii operationale protectie pe termen scurt (ore, zile);

Transmisia informatiilor (mediul cel mai periculos):

Medii private definit juridic, - aflat sub responsabilitatea si controlul unei entitati private accesul restrictionat de lege; Medii publice - definit juridic, - aflat sub responsabilitatea si controlul public; - Transmisii on line transmisie pe masura ce se genereaza; - Transmisii off line transmisie dupa generare si o prelucrare (criptare)

Protectia informatiilor pe durata ciclului de viata al acestora

Retele de comunicatii (vulnerabilitati specifice privind disponibilitatea, confidentialitatea, integritatea, nerepudierea informatiilor):

Receptia si utilizarea informatiei;

Radio; Radiorelee; Sateliti; Cabluri telecomunicatii, cabluri electrice, conducte apa, gaze etc.); Fibra optica; Retele Wireless INTERNET;

Cadrul de reglementare privind protectia informatiilor in prelucrare si transport;

Legea 676/2002 si legea 677/2002 privind prelucrarea datelor cu caracter personal in retelele de comunicatii si de calculatoare; Codul Penal interceptare neautorizata, interceptare in baza legii; Normele interne de protectie;

Informatie destinata utilizarii umane supusa interpretarii; Comenzi pentru echipamente executabila imediat;

Costurile de protectie

Costurile care trebuie platite pentru securitate sunt relativ mari si uneori depasesc costurile sistemului functional;
Necesitatea analizei cost beneficii de securitate;

Principalele tipuri de costuri pt. securitate:

Creste complexitatea sistemului; Scade functionalitatea; Cresc cheltuielile (investitiile, intretinerea) Resurse umane suplimentare + sarcini suplimentare pt. personalul existent;

Tipuri de informatii Clasificarea informatiilor

Informatii clasificate - conf. Lege 182/2002 si H.G. 585/2002;

Informatii secrete de serviciu;

Informatii privind intimitatea persoanelor; Proprietatea intelectuala brevete, licente etc.; Informatii publice; Tipuri de informatii nereglementate:
Informatiile proprietare (unei entitati, institutii); Informatii neclasificate sensibile pentru organizatie;

Tipuri de informatii Informatii clasificate

Sensurile notiunii de informatii clasificate:

Criterii de clasificare:

Sensul general informatii care pot fi incadrate in niste clase de informatii definite de o autoritate (ex.: informatii neclasificate, informatii publice, brevete etc.) In sensul asigurarii confidentialitatii conf. legislatiei in vigoare (legea 183/2002 si HG 585/2002: SSID, SS, S, SdS) Insensul asiguratii integritatii (informatii certificate, informatii necertificate) Ex. Clasa informatiilor secrete de serviciu clasificarea locala; Dupa afectarea confidentialitatii (in sensul legii)
Stict secret de importanta deosebita; Strict secret; Secret; Secret de serviciu;

Clasificarea informatiilor (sens general)

Dupa tipul de functie de securitate si nivelul de prejudiciu;

Disponibilitate, integritate, autenticitate, nerepudiere; Confidentialitate; Utila in analiza de riscuri

Dupa nivelul prejudiciului produs prin afectarea functiilor de securitate;

Estimarea prejudiciului determina nivelul de clasificare al informatiei si deci nivelul necesar de protectie (costurile de protectie); Nivelul prejudiciului se apreciaza prin prejudiciul maxim ce se poate produce afectand in orice fel functiile de securitate; Aceasta abordare are avantajul utilizarii unei singure scari de valori pentru fiecare informatie si a determina nivelul de securitate ce se impune; Abordarea este utila in sistemele integrate baze de date si servicii de comunicatii;

Informatii clasificate Informatii clasificate NATO si UE

Definire informatiile care prin diseminare pot produce prejudicii semnificative organizatiei; Clasele de secret: Top Secret Secret; Confidential; Resticted; Informatii neclasificate; Unclasified reguli de diseminare relaxate, nu pot fi facute publice ; Public informatii care pot iesi in afara NATO; Etichetare (clasificare, domeniu, need to know): Relatia de ordine (sisteme multinivel)

Informatii clasificate

Echivalarea nivelelor de clasificare NATO si UE cu cele nationale;

Top Secret -------- SSID; Secret -------- Strict Secret; Confidential -------- Secret; Restricted -------- Secret de Serviciu;

Raportul dintre informatiile clasificate national si cele NATO /UE

Exista o delimitare clara intre informatiile clasificate national, cele NATO si UE. Echivalenta nivelelor de clasificare nu implica posibilitatea trecerii unei informatii dintr-o parte in alta. Informatiile elaborate de structurile nationale despre NATO si UE sunt considerate informatii nationale; Folosirea informatiilor clasificate NATO in realizarea unor documente nationale trebuie facuta cu atentie, clasificata corespunzator si pot fi utilizate numai cu avizul ORNISS (Ex: directivele de securitate). Echivalarea clasificarilor are rol numai pentru a stabili un nivel de securitate asemanator prin sistemul de securitate

Autoritati responsabile

Oficiul Registrului National pentru Informatii Secrete de Stat (ORNISS); Serviciul Roman de Informatii; Ministerul Comunicaiilor si Tehnologiilor Informatice -; Autoriti departamentale ADS uri (MApN, MAI, STS, SRI, SIE, SPP) cu aribuii n domeniul aprrii i ordinii publice.

Atributiile ORNISS

Punct national de contact al NOS; Responsabil pentru implementarea politicii NATO in Romania privind securitatea informatiilor; Elaboreaza politica NATO de protectie a informatiilor in Romania; Realizeaz politica nationala pentru sistemele de protectie a informatiilor in forma electronica; Coordonarea politicilor de protectie a informatiilor in forma electonica la nivel national; Elibereaza avizele de securitate pentru lucrul cu informatii clasificate pentru persoane si firme;

Lucrul firmelor private cu informatii clasificate

Evaluarea sistemului de protectie fizica; Evaluarea sistemului de management al documentelor clasificate; Evaluarea si avizul de securitate pentru persoane fizice; Evaluarea si acreditarea sistemului de securitate al informatiilor in format electronic INFOSEC; Avizul de securitate industriala.

Departamentul INFOSEC

Autoritatea de Acreditari de Securitate (A.A.S.);

Are ca sarcina auditul si acreditarea SIC-urilor NATO din Romania si a SIC-urilor care lucreaza cu informatii clasificate;

Autoritatea de Securitate pentru Informatica si Comunicatii (A.S.I.C.);

Autoritate de reglementare a securitatii in sistemele informatice si de comunicatii la nivel national;

Autoritatea pentru Distributia Materialului Criptografic (A.D.M.C.);

Autoritatea care se ocupa cu managementul cheilor de criptare in retelele NATO din Romania si cu distributia echipamentelor de criptare;

Fluxurile de informatii intr-o firma/institutie

Necesitatea evidentierii fluxurilor de informatii; Organizarea fluxurilor de informatii componenta principala a managementului institutiei; Din punct de vedere al securitatii informatiei organizarea fluxurilor trebuie sa sprijine obtinerea: disponibilitatii, confidentialitatii, integritatii autenticitatii si nerepudierii informatiilor; Practica fluxurilor de informatii:

Factorii de influenta ai fluxurilor de informatii:

Structura institutiei (organigrama); Nivelele si centrele de decizie; Nivele si centrele de executie; Cultura institutiei;

Documente pe hartie (scrisori, faxuri); Comunicatii de date (accese la baze de date interne si externe, e-mail); Comunicatii telefonice;

Fluxurile de informatii intr-o firma/institutie

Punctele de intrare; Punctele de iesire; Etichetarea informatiilor formatul documentelor; Traseabilitatea informatiilor inregistrarea documentelor; Instrumente de management al informatiilor;
Registre de predare primire; Programe pentru managementul informatiilor;

Fisierele de audit (log).

Infrastructurile critice

Interdependentele activitatile sociale caracteristici al activitatilor moderne; Activitati vitale pentru viata si sanatatea oamenilor; Efectele de avalansa ale afectarii unor activitati; Necesitatea reglementarii de catre stat a acestor activitati practica reglementarilor (SUA, UE);

Infrastructuri critice tipice

Retelele de comunicatii, de baze de date si prelucrare; Retelele de producere si distributie a energiei electrice; Reteaua de transporturi (aerian, naval, terestru drumuri, poduri, parc auto); Retelele financiare; Distributia de gaze, combustibil; Retelele sanitare; Retelele de interventie in caz de urgenta (pompieri, politie, smurd, energie, comunicatii etc.) Retelele guvernamentale ( de decizie).

COMPONENTELE SISTEMULUI NAIONAL DE MANAGEMENT AL SITUAIILOR DE URGEN

COMITETUL NAIONAL PENTRU SITUAII DE URGEN

Ministerul Internelor i Reformei Administrative

COMITETE MINISTERIALE
PENTRU SITUAII DE URGEN Centre Operative

Secretariat Permanent

Centre Operaionale

COMITETE JUDEENE PENTRU SITUAII DE URGEN (42)

Cu activitate permanent

Cu activitate temporar

Organizaii internaionale (NATO-EADRCC, UN-OCHA, EU-MIC, CMEPC-SEE etc.)

Secretariat Permanent

INSPECTORATUL GENERAL PENTRU SITUAII DE URGEN

COMITETE LOCALE PENTRU SITUAII DE URGEN

Secretariat Permanent

Secretariat Permanent

SERVICII VOLUNTARE PENTRU SITUAII DE URGEN

CENTRULOPERAIONAL NAIONAL PUNCT NAIONAL DE CONTACT

INSPECIA DE PREVENIRE

ALTE STRUCTURI

SERVICII DE URGEN PROFESIONISTE

Rezumat

Caracteristicile speciale ale IFE:

Independenta de suport caracterul nematerial; Inexistenta informatiei fara suport material sau energetic; Virtualitatea prelucrarilor in sistemele de calcul si comunicatii;

Atributele de securitate ale informatiei; Clasificarea informatiilor; Caracteristicile mediului de evolutie al IFE (CYBERSPATIUL):
Evolutia tehnologica dezvoltare exploziva creste diversitatea si complexitatea SIC urilor tehnologia avansata avantajeaza atacatorii; Socializarea retelelor magistrala informationala globala scaderea preturilor serviciilor si integrarea lor; Caracterul pronuntat transfrontalier problemele juridice; Cresterea sferei de cuprindere, a profunzimii si a complexitatii intereselor economice datorita fenomenului de globalizare;

Concluzii privind securitatea

Cerinte pentru sistemul de securitate al IFE:

Trebuie sa inregistreze urme credibile ale tuturor activitatilor relevante pentru documentarea folosirii abuzive a informatiilor si a sistemelor; Trebuie sa autentifice (legalizeze) o serie de urme care sa devina probe pentru justitie, pentru a putea recupera prejudiciile; Sa completeze sistemul juridic fara sa se substituie acestuia; Sa se adapteze rapid mediului de lucru (conflictelor de interese) si evolutiei tehnologice; Educatia mediului de lucru si cooperarea cu autoritatile ;