Sunteți pe pagina 1din 19

Securitatea sistemelor

informaionale:
Managementul securitii SI,
Controlul accesului logic,
Securitatea reelelor locale i a
aplicaiilor client-server.
Managementul securitii SI
Managementul securitii informaiei se
definete ca fiind ansamblul proceselor de
stabilire i meninere a unui cadru de lucru i a
unei structuri de administrare care ofer
garania c strategiile de securitate a
informaiei sunt aliniate i susinute prin
obiectivele afacerii, sunt n concordan cu
legile i reglementrile aplicabile pentru
administrarea ct mai adecvat a riscurilor.
n conformitate cu seria de standarde 27000, sunt
identificate 36 de obiective de control importante i
127 de elemente de control, grupate n zece categorii:
politica de securitate;
planificarea continurii afacerii;
controlul accesului la sistem;
dezvoltarea i ntreinerea sistemului;
securitatea fizic i a mediului;
conformitatea;
securitatea personalului;
securitatea organizaiei;
managementul calculatoarelor i al reelei;
clasificarea i controlul resurselor informatice.
COBIT structureaz procesele IT n patru domenii:
planificare i organizare;
achiziionare i implementare;
funcionare i suport;
monitorizare i evaluare.
Cele patru domenii enumerate includ 220 de
controale, clasificate n 34 de obiective de nivel
nalt.
Obiectivele fundamentale de securitate, care se
regsesc printre cerinele unui mediu de afacere, sunt:
confidenialitatea prevenirea accesului neautorizat la
informaii; garantarea procedurilor i metodelor ca
informaia, care se afl n tranzit sau stocat, s fie
accesibil numai entitilor autorizate s acceseze
respectivele resurse;
integritatea informaia este protejat de pierderi sau
modificarea neautorizat; garantarea procedurilor i
metodelor ca informaia, care se afl n tranzit sau
stocat, s nu poat fi modificat;
disponibilitatea garantarea c entitile autorizate au
acces la resursele informaionale atunci cnd au nevoie
de ele; de exemplu, prevenirea atacurilor de tip DoS
(Denial of Service);
conformitatea cu legile, reglementrile i standardele
aplicabile.
Implementarea unui sistem de management al securitii informaiei
ofer o serie de avantaje:
ctigarea ncrederii partenerilor de afaceri (furnizori, clieni);
continuitatea afacerii;
mbuntirea sistemelor de prevenire i rspuns n caz de
incidente;
minimizarea riscurilor pentru furtul, coruperea sau pierderea
informaiei;
accesarea n siguran a informaiei (de ctre angajai i clieni);
justificarea i optimizarea costurilor necesare implementrii
controalelor de securitate;
demonstrarea implicrii i angajamentul managementului pentru
securitatea informaiei;
demonstrarea conformitii propriilor practici de securitate cu
standarde recunoscute;
conformitatea cu cerinele legale, cu regulile i regulamentele
locale;
asigurarea faptului c riscurile i controalele sunt permanent
revizuite.
Controalele de securitate sunt de trei tipuri:
controlul fizic asigur protecia mediului IT i se
realizeaz prin personal de securitate, camere
video, lacte, sisteme de alarm, surse de
alimentare nentreruptibile;
controlul tehnic se refer la controlul accesului i
include: autorizarea accesului la activele
companiei, criptarea;
controlul administrativ se refer la politica de
securitate i procedurile de implementare, ca
parte a planului de securitate. De exemplu, un
control administrativ poate include: politica,
ghidurile de securitate, procedurile de securitate,
instruirea n domeniul securitii.
Pentru identificarea configuraiei sistemului de
securitate propriu este necesar s se proiecteze i
s se implementeze un plan de securitate, care
va fi parte a planului strategic de dezvoltare a
afacerii organizaiei.
Politica de securitate este componenta central a
planului de securitate, fiind necesar o
documentare i informare serioase nainte ca
propriile controale s fie aplicate mediului IT. O
politic de securitate conine precizarea
scopurilor i a inteniilor.
O politic de securitate trebuie s specifice n mod clar
urmtoarele aspecte:
obiectivele organizaiei privind securitatea: asigurarea
proteciei datelor mpotriva scurgerilor de informaii ctre
entiti externe, protejarea datelor fa de calamitile
naturale, asigurarea integritii datelor sau asigurarea
continuitii afacerii;
personalul rspunztor pentru asigurarea securitii care
poate fi: un grup restrns de lucru, un grup de conducere
sau fiecare angajat;
implicarea organizaiei n ansamblu la asigurarea securitii:
cine va asigura instruirea n domeniul securitii, cum va fi
integrat partea de securitate n structura organizaiei.
Pentru atingerea obiectivelor de securitate i realizarea unui nivel nalt de
protecie, planul de securitate va fi dezvoltat i implementat pe niveluri. n
acest fel modelul conceptual al unui sistem de securitate va include
urmtoarele niveluri:
securitatea aplicaiei se refer n primul rnd la securitatea produselor
software care pot fi utilizate pentru dezvoltarea aplicaiilor de afaceri, ca
de exemplu servere web, SSL (Secure Sockets Layer) etc.;
securitatea sistemului este implementat la nivelul comenzilor de sistem i
controleaz toate funciile software ale sistemului. Utilizatorii sunt
identificai i autentificai la nivel de sistem printr-un singur mecanism de
securitate, pentru toate operaiile pe care le vor executa pe sistem;
securitatea reelei face parte din proiectarea acesteia i include
controalele prin firewall-uri, VPN (Virtual Private Network) i gateways;
securitatea fizic se ocup de protecia sistemelor, dispozitivelor i
mediilor pentru backup i include controalele de acces, sursele de
tensiune nentreruptibile, liniile de comunicaie redundante;
securitatea organizaiei este responsabil pentru toate aspectele planului
de securitate a organizaiei, incluznd politicile de securitate, instruirea n
domeniul securitii, sistemele de afaceri ale organizaiei i planificarea
pentru recuperare n caz de dezastru.
Roluri i responsabiliti privind securitatea SI
Planul de securitate al unei organizaiei cuprinde urmtoarele roluri i responsabiliti:
comitetul de coordonare a securitii stabilete i aprob practicile de securitate.
managementul de execuie are responsabilitatea pentru protecia general a activelor
informaionale i rspunde de implementarea planului de securitate;
grupul consultant pentru securitate are responsabilitatea revizuirii planului de securitate al
organizaiei;
ofierul ef de securitate (Chief Security Officer CSO) are un rol-cheie n securitatea sistemului
informatic al organizaiei.
ofierul ef pentru confidenialitate (Chief Privacy Officer CPO) aplic politicile prin care compania
asigur drepturile de confidenialitate pentru informaiile angajailor i clienilor;
proprietarii de procese/active informaionale i date garanteaz aplicarea msurilor de securitate n
concordan cu politica organizaiei.
custodele se ocup de protecia activelor informaionale sau datelor organizaiei. Aceast
responsabilitate este alocat pentru controlul accesului logic. Persoana care ndeplinete acest rol
se mai numete administrator cu securitatea sistemului;
specialistul/consultantul n securitate i aduce contribuia la proiectarea, implementarea,
managementul i revizuirea politicilor, standardelor i procedurilor de securitate ale organizaiei.
administratorul cu securitatea sistemului este responsabil cu implementarea i ntreinerea
controalelor de securitate cerute prin politica de securitate.
utilizator: orice persoan care are dreptul s utilizeze resursele sistemului. Drepturile alocate unui
utilizator vor fi n concordan cu responsabilitatea pe care o ndeplinete;
partenerii externi se refer la furnizori i partenerii de afaceri care se ocup cu activele
informaionale;
dezvoltatorii IT au responsabilitatea s implementeze securitatea informaiei n aplicaiile lor;
auditorul de securitate poate fi un membru intern al organizaiei sau un membru al unei firme de
audit. Un auditor de securitate inspecteaz n mod regulat procedurile de securitate ale organizaiei
i controleaz, pentru a fi sigur c sunt ndeplinite, cerinele din politica, procesele, procedurile i
ghidurile de securitate.
Controlul accesului logic
Controalele accesului logic sunt utilizate
pentru a gestiona i proteja informaiile.
Descoperirea vulnerabilitii unui control al
accesului logic, care poate fi accidental sau
intenionat, include o parte de natur
tehnic i una de natur organizaional.
Strategia de implementare a
programelor antivirus
Cea mai important problem n implementarea unui program antivirus
este stabilirea cilor de intrare a viruilor. Odat ce au fost depistate i
catalogate ca fiind vulnerabiliti maxime, cile de intrare a viruilor sunt
comparate cu modulele de scanare ale programului antivirus ce urmeaz a
fi implementat. Fiecare utilizator va putea avea acces la un program
antivirus.
De asemenea, este recomandat s se implementeze un singur program
antivirus, deoarece, la un moment dat, codurile de cutare ar putea fi
catalogate ca fiind virus de ctre cellalt program antivirus.
Se recomand ca la instalarea programului antivirus s se creeze un orar
de scanare a sistemului. Antivirusul va trebui s porneasc automat i va
raporta administratorului de sistem dac au fost identificate amprente de
virui i dac au putut fi ndeprtate cu succes din sistem.
Actualizarea programelor antivirus este obligatorie, fiind necesar
actualizarea bazei de date cu amprente de virui noi, ori de cte ori este
nevoie.
Securitatea reelelor locale i a
aplicaiilor client-server
Primul element i cel mai important n
securizarea reelelor LAN l reprezint filtrarea
traficului la nivelul unei reele ce se poate face
cu programe de tip firewall sau cu servere
Proxy. Acestea permit sau nu, n funcie de
configuraie, accesul unui proces n internet.
Un firewall este un sistem sau un grup de
sisteme care gestioneaz controlul accesului
ntre dou reele.
Comunicarea n reea include, de regul, instalarea i utilizarea
echipamentelor de reea (PC-uri, imprimante, rutere, repertoare etc.). Pentru
aceasta, se impune stabilirea unor principii privind controalele securitii,
cum sunt:
funciile de control ale unei reele trebuie s fie executate de
operatori/tehnicieni calificai;
funciile de control ale unei reele trebuie separate, iar sarcinile se execut
prin rotaie;
software-ul care realizeaz controlul reelei trebuie s aib acces
restricionat la funcii de tergere sau modificare i s ntocmeasc un
jurnal al tuturor activitilor;
auditul funciilor de control trebuie s fie verificat n permanen pentru a
detecta operaii neautorizate;
standardele i protocoalele trebuie s fie documentate i puse la dispoziia
operatorilor;
accesul la reea trebuie monitorizat n permanen de ctre inginerii de
sistem pentru a detecta accesul neautorizat;
trebuie ntocmite analize ale reelei pentru a se verifica, din timp n timp,
dac s-a modificat eficiena reelei i timpul de rspuns al unor procese;
trebuie utilizat un sistem de criptare a datelor n reea pentru a proteja
mesajele n timpul transmiterii.
Din cele prezentate mai sus, desprindem o
concluzie esenial, i anume c la configurarea
unui firewall va trebui s avem n vedere
urmtoarele reguli:
politica global de securitate va fi aleas de
organizaie;
niveluri de control vor stabili cine este autorizat
i cine are interdicie;
din punct de vedere financiar, trebuie ales un
firewall care s ndeplineasc o bun parte din
cerinele politicii de securitate (un cost mic al
firewall-ului poate duce la o configurare i
administrare anevoioas).
Controlul accesului la sistemul informatic presupune
stabilirea urmtoarelor reguli:
staiile de lucru trebuie s fie accesate, n mod unic, de
utilizatorii acestora (filtrarea utilizatorilor);
una dintre sursele de risc al vulnerabilitii unei staii de
lucru este instalarea suplimentar de aplicaii
neautorizate;
utilizatorii nu-i vor ine parolele scrise pe hrtii lsate pe
birou la ndemna oricui.
staiile de lucru trebuie s fie sigilate fizic pentru a evita
accesul la hard disc i/sau componente eseniale;
serverul trebuie protejat, n mod particular, prin
interzicerea accesului persoanelor n ncperea unde se afl
acesta;
accesul liber la BIOS-ul calculatorului poate duce la
schimbri de configurare i deci la nefuncionarea staiei de
lucru;
strategiile sistemelor de operare permit limitarea
posibilitii utilizatorilor sau staiilor de lucru.
Securitarea aplicaiilor client - server
O aplicaie client-server presupune existena mai multor puncte de acces. Procedurile de securitate
pentru mediul unui astfel de server nu sunt de regul bine nelese sau protejate. Sistemele client-
server utilizeaz tehnici distribuite, ceea ce conduce la creterea riscului de acces neautorizat la datele
i procesele acestuia. Astfel, securizarea unui sistem client-server presupune identificarea tuturor
punctelor de acces. Tehnicile de control pentru un sistem client-server sunt:
securizarea accesului la date sau aplicaii poate fi asigurat prin dezactivarea unitilor floppy;
instrumentele de monitorizare a reelei sunt utilizate pentru a urmri activitatea de la un utilizator
cunoscut la un altul necunoscut;
utilizarea tehnicilor de criptare a datelor;
sistemele de autentificare furnizeaz faciliti logice care difereniaz utilizatorii;
utilizarea unor programe de control al accesului la nivel de aplicaie i organizarea utilizatorilor
finali reprezint controale de gestionare care restricioneaz accesul, limitnd utilizatorii la acele
funcii necesare pentru ndeplinirea strict a ndatoririlor.
Riscurile ce apar la nivelul arhitecturii client-server sunt:
controalele de acces sunt mai puin performante pentru mediul client-server;
schimbarea controlului i a gestionrii procedurilor se poate face automat sau manual, ceea ce
duce la un prim motiv de vulnerabilitate a sistemului;
pierderea disponibilitii reelei poate avea un impact puternic asupra afacerii;
utilizarea unor modemuri sincronizate i nesicronizate pentru conectarea reelei la alte reele poate
fi neautorizat;
conexiunea la reele publice prin reeaua de telefonie poate fi o vulnerabilitate;
schimbrile de sisteme sau date neautorizate;
accesul la date confideniale;
codurile i datele ce nu se gsesc pe aceeai main, ntr-o incint securizat.
Securizarea serverului
Securizarea serverului presupune controlarea
cererilor care i-au fost adresate i securizarea
sistemului informatic cu care colaboreaz pentru
a napoia serviciul solicitat de clieni. Plecnd de
la stricta configurare a sistemului, protejarea
acestuia de exterior se face de obicei printr-un
firewall. Configurarea unui firewall se face dup
criteriile de securitate determinate pentru
filtrarea traficului parcurs i astfel se aplic o
politic de control al accesului la sistem.
Protejarea datelor const, deci, n limitarea
accesului la acestea, precum i punerea lor la
dispoziia clienilor autorizai.