Sunteți pe pagina 1din 54

Managementul securitatii

informatiilor

Drd. ing. Gh. Muresanu

ghemuresanu@rdslink.ro

Managementul securitii informaiei

Obiectivele cursului

Caracterizarea informatiilor in format electronic din


punct de vedere al securitatii acestora;
Definirea principalelor caracteristici ale mediului
virtual;
Principiile care stau la baza realizrii unei securiti
moderne a informaiilor integrate n mediul de lucru;
Managementul securitatii informatiilor pe baza
analizei de rsicuri;
Prezentarea cadrului de reglementare si autoritatile
competente;
Necesitatea unei comunitati a specilaistilor in
domeniul securitatii informatiilor.

Managementul securitii informaiei

Prezentarea cursului (1)

Notiuni introductive caracterizarea mediului virtual

Caractristicile informatiilor in format electronic;


Atributele de securitate a informatiilor;
Clasificarea informatiilor;
Sistemul National de interventii in caz de urgenta;
Infrastructurile critice.

Criminalitatea informatica

Limitele sistemului judiciar;


Necesitatea unor puteri speciale pentru cercetarea
infractionalitatii informatice;
Necesitatea unei culturi de securitate.

Managementul securitii informaiei

Prezentarea cursului (2)

Abordarea sistemica a securitatii informatiilor;


Principiul supravietuirii sistemelor;
Imaginea holistica asecuritatii sistemelor;
Subsistemele de securitate a informatiilor;

Reglementarile mecanismelor de securitate;

Reglelementari adminstrative acorduri, legi etc.;


Reglementari locale;
Ghiduri de bune practici;
Standarde tehnice;
Autoritati de reglementare, certificare, impunere a legii.

Managementul securitii informaiei

Prezentarea cursului (3)

Mecanismele de securitate
Politici formale de securitate;
Sisteme de incredere;
Sisteme practice de securitate;
Strategii si politici de securitate;
Mecanisme de secuirtate protective si reactive.

Evaluarea sistemelor de securitate


Certificarea, evaluarea si acreditarea;
Standarde de evaluare;
Autoritati de certificare, evaluare si acreditare.

Managementul securitii informaiei

Prezentarea cursului (4)

Managementul securitatii informatiilor


Mecanismul de formare a riscurilor;
Analiza de riscuri - erintele de securitate;
Politica de securitate;
Procedurile operationale de securitate fisa
postului;
Planurile de securitate, BCP, DRP;
Structura de securitate.
Practica managementului bugetarea activitatii;

TEMA 1:

Notiuni introductive privind protectia informatiei


Obiectivele temei:

Definirea si intelegerea caracteristicilor informatiei


(obiectului muncii specific sistemul de securitate);
Locul si rolul informatiilor in format electronic in
societatea moderna necesitatea protectiei lor;
Clasificarea informatiilor;
Caracteristicile mediului de evolutie a informatiilor
(CYBERSPATIUL);

Informatia si informatia in format


electronic

Ce este informatia ?
De ce este importanta informatia in societatea
moderna ?
Cui foloseste informatia ?
Ce se intelege prin securitatea informatiei ?
Dar prin protectia ei ?

Introducere in Securitatea Informatiei

Informatia si informatia in format electronic


1. Definirea informatiei 1
Categorii filozofice: materie, energie i informaie;
Caracterul imaterial independenta de suport;
Informaia exprimat prin forme;
Legatura cu suportul material sau energetic;
Definirea prin exemple;
Informaia ca form de percepie a lumii
nconjurtoare contiina;

Obiectivitatea si subiectivitatea informatiilor;


Informatiile din surse umane interpretari ale realitatii, ex:
procesele verbale de sedinta;
Informatiile de la senzori obiective dar mai sarace in informatii
neglijeaza contextul uman;

Introducere in Securitatea Informatiei

Informatia si informatia in format electronic


1.1 Definirea informatiei 2
Unitati de msur a informaiiei bitul, baytul, cuvntul;

Canale de comunicatii capacitatea canalului;


Tipuri de informatii (date si informatii):

Date informatii prelucrate fara sa conteze semnificatiile;


Mesaje informatii prelucrare in scopul obtineii semnificatiei;
Informatie - semnificaia mesajelor corelate;
Cunotiine Informatii agregate baze de date construite pe baze
relationale;

Informaia ca valoare (bun):

Castig;
Valoare prin prejudiciu posibil;
Valoarea prin incredere;

Necesitatea protectiei
informatiilor - 1

Mecanismele de putere (conducere) - locul si rolul


informatiilor in procesul de decizie;
Necesitatea informatiilor complete si credibile;
Raportul informatie interese, complexitatea
sferelor de interese;
Interese divergente necesitatea confidentialitatii;
Razboiul informational;
Lupta pentru imagine - propaganda;
Reclama;
Legatura INTERNET MASSMEDIA;

Necesitatea protectiei
informatiilor - 2

Interdependentele economice fenomenul de


globalizare;
Dezvoltarea comertului migrarea fortei de munca
- permeabilizarea granitelor;
Magistrala informationala globala:
Integrarea retelelor de comunicatii;
Integrarea serviciilor de comunicatii;
Desfiintarea granitelor pentru informatii;
Socializarea serviciilor de comunicatii scaderea
costurilor;
Dezvoltarea tehnologiilor informatice - de regula in
avantajul atacatorului;

Necesitatea protectiei
informatiilor - 3

Societatea informationala:

Informatia ca valoare materiala (bani)

Software;
Jocuri;
Proiecte;
Reclame on line;
Licente drepturi de autor;

Intreprinderi virtuale:

Magazine on line;
Firme de productie on line;
Notari electronici;
Semnaturi electronice;

Bazele de date publice motoare de cautare;


Programe de tip: e-guv, e-administration, e-banking;
e-tax, e-Europe, e-ten etc.

Informatia in format electronic


(IFE) - 1

Informatia in format clasic (IFC) documentul scris:

Identificarea cu suportul;
Protectia se refera la suport informatia nu are semnificatie;
Suportul poarta o multitudine de informatii colaterale despre
autor, momentul generarii informatiei si traseul acesteia si chiar
despre cititor;
Modificarea informatiei de pe document se face relativ greu si lasa
urme identifica falsificarea;
Generarea, sustragerea sau distrugerea lasa urme materiale
detectabile;
Senzitivitatea - documentelor olografe, documente batute la
masina, copii xerox etc;

Informatia in format electronic - IFE:

Informatia se identifica prin ea insasi;


Suportul nu are o semnificatie pentru protectie sau are una
secundara;

Informatia in format electronic


(IFE) - 2

Copiatul si modificatul se face foarte usor, nu lasa urme


asupra originalului si implica costuri nule;
In comparatie cu informatia in format clasic, informatia in
format electronic poate fi usor manipulata in scopuri obscure;
Constatarea unei infractiuni privind informatia nu se poate
face examinand documentul original ci examinand activitatile
din sistem care sunt in legatura cu informatia;
Un utilizator poate folosi abuziv informatiile pastrandu-si
anonimatul;
Controlul accesului la informatiile in format electronic ( in
SIC) se face mult mai dificil decat in cazul accesului
persoanelor fizice la documente scrise;
Informatiile pot fi accesate si utilizate abuziv de la distanta;

Informatia in format electronic


(IFE) - 3

Este sarcina sistemului de protectie de a crea


urme prin care sa documenteze activitatile din
sistem si eventual si sa probeze folosirea abuziva a
informatiilor;
Imaginati-va efortul pe care ar trebui sa-l faca un
hot hotarat sa fure 10000 de volume a cate 200 de
pagini din biblioteca institutiei si riscurile la care se
expune comparativ cu efortul riscurile de a
sustrage aceleasi carti de pe serverul institutiei la
care au acces toti angajatii;

Introducere in Securitatea Informatiei

Informatia si informatia in format electronic


2. Protectia informatiei

Atributele de securitate a sistemelor referitoare la


informatii:
Functii de utilitate:

Disponibilitatea;
Integritatea;
Confidentialitatea;

Functii de credibilitate (acoperirea prejudiciului):

Autenticitatea;
Nerepudierea;

Manipularea rau voitoare a sistemelor si informatiilor


criminalitatea electronica;

Disponibilitatea 1

Disponibilitatea este acea functie de securitate


sistemelor a sistemelor de a pune informatiile la
dispozitia utilizatorilor legali atunci cand acestia au
nevoie;
Disponibilitatea desi este o functie intrinseca a
informatiei, se manifesta prin intermediul suportului ei
si in consecinta este un rezultat al mediului de
prelucrare transmisie (retea, echipamente, proceduri
etc.)
Disponibilitatea este cea mai importanta functie a
informatiei (SIC-ului);
Informatia, in general, este cu atat mai utila (mai
productiva) cu cat este folosita mai mult.

Disponibilitatea 2

De retinut: informatia in mod natural este facuta sa


se multiplice si sa se transmita cu costuri aproape
nule este predestinata proliferarii;
Informatia produce, creaza valoare cu cat este
folosita de mai multi si mai des restrangerea
accesului este o pierdere;
In general disponibilitatea este asigurata prin
redundanta se def. infrastructura critica;
Informatiile de interes public LEGEA 544/2002 obligatia de a asigura disponibilitatea informatiilor de
interes public pentru toti utilizatorii;

Disponibilitatea 3

Traditional, disponibilitatea in SIC uri este tratata ca


o problema de fiabilitate si calitate a serviciilor (QoS)
caracteristic acestei abordari este cauza aleatorie,
necorelarea acesteia cu activitatea sistemului, cu alte
inputuri sau continuari ale cauzei;
In contextul actual, datorita accentuarii factorului
intentional, este mai util sa fie tratata ca o problema
de securitate si inclusa in analiza de riscuri factorul
intentional implica o inteligenta care are cunostiinte si
capacitati de inteventie pe care le foloseste in scopul
atingerii obiectivelor sale;
Mijloace de protectie asigurarea redundantei;

Confidentialitatea - 1

Confidentialitatea este acea functie de securitate prin


care se blocheaza accesul utilizatorilor nelegitimi la
anumite informatii;
Confidentialitatea este definita ca o interdictie si in
general este o exceptie de la utilizarea normala a
informatiei;
Confidentialitatea este o consecinta a existentei unor
interese contrare in societate si in consecinta folosirea
informatiilor despre aceste interese pot aduce
prejudicii uneia din parti;
Acceptarea dreptului partilor de a-si proteja interesele
implica acceptarea confidentialitatii (apararea
secretului);

Confidentialitatea - 2

Interesele statului, interese de grup, interese particulare


restrangerea dreptului la confidentialitate;
Asigurarea confidentialitatii se poate face prin controlul
accesului la suportul de informatie (masuri de protectie
fizica) si/sau controlul accesului la semnificatia datelor
(criptare);
Exista perceptia (falsa) ca prin protectia informatiilor se
intelege numai asigurarea confidentialitatii;
Tehnicile de asigurare a confidentialitatii au aparut primele
ca necesitati si s-au dezvoltat in mediul militar si diplomaticau inceput sa treaca in mediul civil pe la mijlocul anilor 80 ca
urmare a utilizatii pe scara larga a informatiilor in format
electronic in economie;

Confidentialitatea - 3

Asigurarea confidentialitatii implica costuri


semnificative pentru utilizarea informatiilor in conditii
de siguranta (sa ajunga numai la un grup bine definit
de persoane);
Confidentialitatea implica o ierarhizare a nivelurilor de
clasificare a informatiilor;
Implica o ierarhie a drepturilor de acces niveluri
diferite de incredere (verificare) in personalul care
utilizeaza informatiile;
Principiul need to know dreptul de a accesa o
informatie clasificata il au toate presoanele care au
nevoie de ea in exercitarea atributiilor de serviciu si
dispun de nivelul corespunzator de verificare. (nu este
legata de functie sau de dreptul de acces la informatii
clasificate).

Confidentialitatea - 4

Privire generala asupra cadrului de reglementare al


confidentialitatii;

Informatiile secrete de stat (clasificate);


Informatiile firmelor (clasificate secrete de serviciu);
Informatiile firmelor in care este interesat statul (de interes strategic);
Clase de informatii neprotejate;

Reglementarile privind protectia informatiilor UE;


Informatii clasificate NATO interferente cu informatiile
clasificate nationale;
Intelegeri bilaterale cu state partenere intelegeri locale;
Asigurarea confidentialitatii se face in principiu prin controlul
accesului la echipamente, informatii, suporti de memorie si prin
criptare.

Confidentialitatea - 5

Cadrul legslativ care protejeaza confidentialitatea;


Legea 182/2002- privind protectia informatiilor
clasificate;
H.G. 585/2002 privind standardele nationale de
protectie a informatiilor clasificate;
H.G. 781/2002 privind protectia informatiilor secrete
de serviciu;
H.G. 353/2002 privind aprobarea normelor privind
protectia informatiilor NATO in Romania;
Legea 676/2002 privind protectia datelor cu caracter
personal in retelele de comunicatii;
Legea 677/2002 privind protectia datelor cu caracter
personal ;

Integritatea - 1

Integritatea este acea functie de securitate a sistemului de a


proteja informatia de modificarile neautorizate sau accidentale;
Prin modificare se intelege: stergere, adaugare sau inlocuire a
unei parti sau a intregii informatii;
Integritatea a aparut ca o problema de securitate in activitatile
comerciale si este legata de functionarea bazelor de date;
Asigurarea integritatii informatiilor stocate are importanta
majora in organizarea bazelor de date deoarece in absenta
mecanismelor de asigurare a integritatii, baza de date
acumuleaza erori si chiar daca acestea afecteaza o mica parte
din informatii se pierde increderea in intreaga baza de date si
trebuie refacuta in intregime.
Asigurarea integritatii informatiilor se face prin:
Adaugarea la aceasta a unui rezumat al informatiei facut cu o functie
tip paritate, CRC sau hash coduri detectoare de erori;
Folosirea semnaturii digitale;
Constituirea unor mecanisme de securitate a tranzactiilor pornind de la
ipoteza implicita ca informatiile sunt veridice (consistente);

Integritatea - 2

Producerea unor prejudicii prin manipularea


frauduloasa a informatiilor si/sau a sistemului prin
afectarea integritatii informatiilor in SIC-uri este
reglemetata direct prin lege C.P./2006 - Titlul X Alterarea datelor.
In general, fara mijloace specifice, este dificil de
departajat o modificare neintentionata sau
accidentala de una intentionata si cu atat mai mult de
identificat autorul si probat fapta. Un avocat bun va
gasi intodeuna o cale care sa disculpe un inculpat.
Este sarcina sistemului de securitate sa creeze urme
cu valoare de probe pentru a se instrumenta asfel de
cazuri;

Autenticitatea - 1

Autenticitatea este acea functie de securitate a


sistemului de a permite asocierea informatiei cu
autorul ei.
Prin autorul unei informatii se intelege generatorul ei
sau cel care a introdus-o in sistem. Autorul poate fi
persoana sau echipament.
Informatia de autenticitate are rolul de a da
credibilitate in corectitudinea informatiei prin
responsabilzarea creatorului si posibilitatea
utilizatorilor de a verifica autenticitatea la sursa pe alta
cale.
Autentificarea informatiei este necesara pentru a crea
posibilitatea de a recupera eventualele prejudicii ce ar
putea rezulta prin folosirea informatiei obtinuta din
sistem cu buna credinta;

Autenticitatea - 2

Autentificarea prin semnatura electronica are regim


juridic echivalent cu semnatura olografa;
Documentul autentificat cu semnatura electronica
certificata are acelasi regim juridic cu documentul
autentificat sub semnatura privata;
Anonimitatea:
Efectul anonimitatii asupra comportamentului uman;
Cadrul de reglementare Statele Unite;
Anonimitatea in INTERNET;

Autenticitatea - 3

Autentificarea informatiei se poate face prin:


Controlul accesului la sistem si activarea unui sistem adecvat de fisiere
de log rolul timpului;
Folosirea semnaturilor electronice pentru generarea si transmisia
informatiilor;

Cadrul legal de utilizare a semnaturii electronice este stabilit de:


Legea 455/2001 privind regimul juridic al semnaturii electronice;
Hotararea 1259/2001 norme tehnice si metodologice de aplicare a legii
455/2001;

Stampila de timp indicatie a momentului de timp asociata


documentului electronic autentificat cu semnatura certificata
care se aplica in momentul semnarii documentului.
Stampila de timp este necesara pentru a stabili cronologia unor
documente si are valoare juridica;

Nerepudierea - 1

Nerepudierea este functia de securitate a sistemului de a asocia


unei informatii dovada ca o informatie a fost trimisa de catre
expeditor catre destinatarul legal iar acesta a primit-o, fara ca
acestia sa poata contesta acest fapt;
Proprietatea de nerepudiere confera informatiei acelasi regim
ca o scrisoare recomandata;
Nu sunt cunoscute reglementari cu referire directa la
informatiile in format electronic din SIC-uri;
Producerea dovezilor de nerepudiere este sarcina sistemului de
securitate care trebuie sa instituie si sa conserve urme ale
activitatii din sistem suficient de veridice pentru a fi acceptate
de autoritati;
Prin autoritati se intelege justitia sau administratia organizatiei
in functie de natura prejudiciului si consistenta probelor;

Introducere in Securitatea Informatiei

Informatia si informatia in format electronic


2. Protectia informatiei

Protectia informatiilor (notiunea de sistem):

Sistem complex, de granita, la intersectia mai multor


discipline: (calculatoare, electronica, mecanica, TV, optica,
matemantica, fizica, sociologie, psihologie, drept )
Sistemul de protectie obiective: descurajare, detectare,
interventie, limitare a pierderilor, recuperare;
Protectia oferita prin lege definire infractiune,
documentare, probare, judecata - efectul retroactiv, nu
acopera cauzele naturale (intamplarea)
Protectia informatiilor subsistem al protectiei bunurilor;
Protectia suportului informatiei protectie fizica;
Protectia mediului informatiei (retele, echipamente)
protectie fizica si procedurala;
Protectia criptografica protectie informationala

Protectia informatiilor pe durata


ciclului de viata al acestora

Generarea informatiilor:
Informatii din surse umane gradul de subiectivism, nivel de incredere;
Informatii de la senzori obiectivitatea datelor subiectivismul
interpretarii;
Clasificarea informatiilor (drepturile de acces) cnf. Legii 182/2002 si HG
585/2002
Asocierea informatiilor despre autor, timp, conditii de generare, la
informatia de baza;

Prelucrarea informatilor si functiile de securitate


(confidentialitatea, integritatea, autenticitatea, nerepudierea):

Dezasamblarea (implica reclasificare prin declasificare);


Asamblarea (poate creste nivelul de clasificare);
Analize (implica reclasificare);
Sinteze (implica reclasificare sinteze din informatii publice pot fi strict
secrete);

Protectia informatiilor pe durata


ciclului de viata al acestora

Stocarea informatiilor:

Copii de siguranta;
Rezerva calda, retele RAID;
Clustering
Arhive;

Medii de stocare (durata de stocare, densitate, conditii


de stocare etc. ):
Hartie;
Hartie termica;
Suport magnetic;

CD;
Stick;
Harddisk-uri;

Protectia informatiilor pe durata


ciclului de viata al acestora

Suport optic:
CD-uri timp de viata limitat la aproximativ 10 ani;
DVD-uri proiectat pentru fluxuri mari de date;

Memorii semiconductoare:
RAM, (statice, dinamice);
ROM (Read Only Memory), EPROM;
EEROM memorii flash -sticuri;

Seifuri pentru suporti de memorie;


Rezistenta la incendiu;
Amplasare;

Protectia informatiilor pe durata


ciclului de viata al acestora

Declasificarea informatiilor
Perisabilitatea informatiilor secrete in timp toate devin
publice;

Informatii strategice protectie pe termen lung (ani, zeci de ani);


Informatii tactice protectie pe termen mediu (zile, luni);
Informatii operationale protectie pe termen scurt (ore, zile);

Transmisia informatiilor (mediul cel mai periculos):


Medii private definit juridic, - aflat sub responsabilitatea si
controlul unei entitati private accesul restrictionat de lege;
Medii publice - definit juridic, - aflat sub responsabilitatea si
controlul public;
- Transmisii on line transmisie pe masura ce se genereaza;
- Transmisii off line transmisie dupa generare si o
prelucrare (criptare)

Protectia informatiilor pe durata


ciclului de viata al acestora

Retele de comunicatii (vulnerabilitati specifice privind


disponibilitatea, confidentialitatea, integritatea, nerepudierea
informatiilor):

Radio;
Radiorelee;
Sateliti;
Cabluri telecomunicatii, cabluri electrice, conducte apa, gaze etc.);
Fibra optica;
Retele Wireless
INTERNET;

Receptia si utilizarea informatiei;

Informatie destinata utilizarii umane supusa interpretarii;


Comenzi pentru echipamente executabila imediat;

Cadrul de reglementare privind protectia informatiilor in prelucrare


si transport;
Legea 676/2002 si legea 677/2002 privind prelucrarea datelor cu
caracter personal in retelele de comunicatii si de calculatoare;
Codul Penal interceptare neautorizata, interceptare in baza legii;
Normele interne de protectie;

Costurile de protectie

Costurile care trebuie platite pentru securitate


sunt relativ mari si uneori depasesc costurile
sistemului functional;
Necesitatea analizei cost beneficii de securitate;

Principalele tipuri de costuri pt. securitate:


Creste complexitatea sistemului;
Scade functionalitatea;
Cresc cheltuielile (investitiile, intretinerea)
Resurse umane suplimentare + sarcini suplimentare
pt. personalul existent;

Tipuri de informatii
Clasificarea informatiilor

Informatii clasificate - conf. Lege 182/2002 si


H.G. 585/2002;
Informatii secrete de serviciu;

Informatii privind intimitatea persoanelor;


Proprietatea intelectuala brevete, licente etc.;
Informatii publice;
Tipuri de informatii nereglementate:
Informatiile proprietare (unei entitati, institutii);
Informatii neclasificate sensibile pentru
organizatie;

Tipuri de informatii
Informatii clasificate

Sensurile notiunii de informatii clasificate:

Sensul general informatii care pot fi incadrate in niste


clase de informatii definite de o autoritate (ex.: informatii
neclasificate, informatii publice, brevete etc.)
In sensul asigurarii confidentialitatii conf. legislatiei in
vigoare (legea 183/2002 si HG 585/2002: SSID, SS, S, SdS)
Insensul asiguratii integritatii (informatii certificate,
informatii necertificate)
Ex. Clasa informatiilor secrete de serviciu clasificarea
locala;

Criterii de clasificare:

Dupa afectarea confidentialitatii (in sensul legii)

Stict secret de importanta deosebita;


Strict secret;
Secret;
Secret de serviciu;

Clasificarea informatiilor
(sens general)
Dupa tipul de functie de securitate si nivelul de prejudiciu;

Disponibilitate, integritate, autenticitate, nerepudiere;


Confidentialitate;
Utila in analiza de riscuri

Dupa nivelul prejudiciului produs prin afectarea functiilor de


securitate;

Estimarea prejudiciului determina nivelul de clasificare al informatiei


si deci nivelul necesar de protectie (costurile de protectie);
Nivelul prejudiciului se apreciaza prin prejudiciul maxim ce se poate
produce afectand in orice fel functiile de securitate;
Aceasta abordare are avantajul utilizarii unei singure scari de valori
pentru fiecare informatie si a determina nivelul de securitate ce se
impune;
Abordarea este utila in sistemele integrate baze de date si servicii de
comunicatii;

Informatii clasificate
Informatii clasificate NATO si UE
Definire informatiile care prin diseminare pot
produce prejudicii semnificative organizatiei;
Clasele de secret:
Top Secret
Secret;
Confidential;
Resticted;
Informatii neclasificate;
Unclasified reguli de diseminare relaxate, nu
pot fi facute publice ;
Public informatii care pot iesi in afara NATO;
Etichetare (clasificare, domeniu, need to know):
Relatia de ordine (sisteme multinivel)

Informatii clasificate

Echivalarea nivelelor de clasificare NATO si UE cu cele


nationale;
Top Secret -------- SSID;
Secret
-------- Strict Secret;
Confidential -------- Secret;
Restricted -------- Secret de Serviciu;

Raportul dintre informatiile clasificate national si cele NATO /UE


Exista o delimitare clara intre informatiile clasificate national, cele NATO
si UE. Echivalenta nivelelor de clasificare nu implica posibilitatea trecerii
unei informatii dintr-o parte in alta.
Informatiile elaborate de structurile nationale despre NATO si UE sunt
considerate informatii nationale;
Folosirea informatiilor clasificate NATO in realizarea unor documente
nationale trebuie facuta cu atentie, clasificata corespunzator si pot fi
utilizate numai cu avizul ORNISS (Ex: directivele de securitate).
Echivalarea clasificarilor are rol numai pentru a stabili un nivel de
securitate asemanator prin sistemul de securitate

Autoritati responsabile

Oficiul Registrului National pentru


Informatii Secrete de Stat (ORNISS);
Serviciul Roman de Informatii;
Ministerul Comunicaiilor si Tehnologiilor
Informatice -;
Autoriti departamentale ADS uri
(MApN, MAI, STS, SRI, SIE, SPP) cu
aribuii n domeniul aprrii i ordinii
publice.

Atributiile ORNISS

Punct national de contact al NOS;


Responsabil pentru implementarea politicii NATO in
Romania privind securitatea informatiilor;
Elaboreaza politica NATO de protectie a informatiilor in
Romania;
Realizeaz politica nationala pentru sistemele de
protectie a informatiilor in forma electronica;
Coordonarea politicilor de protectie a informatiilor in
forma electonica la nivel national;
Elibereaza avizele de securitate pentru lucrul cu
informatii clasificate pentru persoane si firme;

Lucrul firmelor private cu


informatii clasificate

Evaluarea sistemului de protectie fizica;


Evaluarea sistemului de management al
documentelor clasificate;
Evaluarea si avizul de securitate pentru persoane
fizice;
Evaluarea si acreditarea sistemului de securitate al
informatiilor in format electronic INFOSEC;
Avizul de securitate industriala.

Departamentul INFOSEC

Autoritatea de Acreditari de Securitate (A.A.S.);


Are ca sarcina auditul si acreditarea SIC-urilor NATO din
Romania si a SIC-urilor care lucreaza cu informatii
clasificate;

Autoritatea de Securitate pentru Informatica si


Comunicatii (A.S.I.C.);
Autoritate de reglementare a securitatii in sistemele
informatice si de comunicatii la nivel national;

Autoritatea pentru Distributia Materialului


Criptografic (A.D.M.C.);
Autoritatea care se ocupa cu managementul cheilor de
criptare in retelele NATO din Romania si cu distributia
echipamentelor de criptare;

Fluxurile de informatii intr-o


firma/institutie

Necesitatea evidentierii fluxurilor de informatii;


Organizarea fluxurilor de informatii componenta principala a
managementului institutiei;
Din punct de vedere al securitatii informatiei organizarea
fluxurilor trebuie sa sprijine obtinerea: disponibilitatii,
confidentialitatii, integritatii autenticitatii si nerepudierii
informatiilor;
Practica fluxurilor de informatii:

Documente pe hartie (scrisori, faxuri);


Comunicatii de date (accese la baze de date interne si externe, e-mail);
Comunicatii telefonice;

Factorii de influenta ai fluxurilor de informatii:

Structura institutiei (organigrama);


Nivelele si centrele de decizie;
Nivele si centrele de executie;
Cultura institutiei;

Fluxurile de informatii intr-o


firma/institutie

Punctele de intrare;
Punctele de iesire;
Etichetarea informatiilor formatul
documentelor;
Traseabilitatea informatiilor inregistrarea
documentelor;
Instrumente de management al informatiilor;
Registre de predare primire;
Programe pentru managementul informatiilor;

Fisierele de audit (log).

Infrastructurile critice

Interdependentele activitatile sociale


caracteristici al activitatilor moderne;
Activitati vitale pentru viata si sanatatea
oamenilor;
Efectele de avalansa ale afectarii unor activitati;
Necesitatea reglementarii de catre stat a
acestor activitati practica reglementarilor
(SUA, UE);

Infrastructuri critice tipice

Retelele de comunicatii, de baze de date si


prelucrare;
Retelele de producere si distributie a energiei
electrice;
Reteaua de transporturi (aerian, naval, terestru
drumuri, poduri, parc auto);
Retelele financiare;
Distributia de gaze, combustibil;
Retelele sanitare;
Retelele de interventie in caz de urgenta (pompieri,
politie, smurd, energie, comunicatii etc.)
Retelele guvernamentale ( de decizie).

COMPONENTELE SISTEMULUI NAIONAL DE


MANAGEMENT AL SITUAIILOR DE URGEN

COMITETUL NAIONAL PENTRU


SITUAII DE URGEN
Secretariat
Permanent

Ministerul Internelor i
Reformei Administrative
COMITETE MINISTERIALE
PENTRU
SITUAII DE URGEN

Centre
Operative

Cu activitate
permanent

Organizaii
internaionale
(NATO-EADRCC,
UN-OCHA,
EU-MIC,
CMEPC-SEE etc.)

Secretariat
Permanent

Cu activitate
temporar

INSPECTORATUL GENERAL
PENTRU SITUAII DE URGEN

CENTRULOPERAIONAL
NAIONAL
PUNCT NAIONAL DE CONTACT

COMITETE JUDEENE
PENTRU
SITUAII DE URGEN (42)

Centre
Operaionale

COMITETE LOCALE
PENTRU SITUAII DE URGEN

Secretariat
Permanent

INSPECIA DE
PREVENIRE

Secretariat
Permanent

SERVICII VOLUNTARE PENTRU


SITUAII DE URGEN

ALTE STRUCTURI

SERVICII DE URGEN
PROFESIONISTE

Rezumat

Caracteristicile speciale ale IFE:


Independenta de suport caracterul nematerial;
Inexistenta informatiei fara suport material sau energetic;
Virtualitatea prelucrarilor in sistemele de calcul si comunicatii;

Atributele de securitate ale informatiei;


Clasificarea informatiilor;
Caracteristicile mediului de evolutie al IFE (CYBERSPATIUL):
Evolutia tehnologica dezvoltare exploziva creste diversitatea si
complexitatea SIC urilor tehnologia avansata avantajeaza atacatorii;
Socializarea retelelor magistrala informationala globala scaderea
preturilor serviciilor si integrarea lor;
Caracterul pronuntat transfrontalier problemele juridice;
Cresterea sferei de cuprindere, a profunzimii si a complexitatii intereselor
economice datorita fenomenului de globalizare;

Concluzii privind securitatea

Cerinte pentru sistemul de securitate al IFE:


Trebuie sa inregistreze urme credibile ale tuturor
activitatilor relevante pentru documentarea folosirii abuzive
a informatiilor si a sistemelor;
Trebuie sa autentifice (legalizeze) o serie de urme care sa
devina probe pentru justitie, pentru a putea recupera
prejudiciile;
Sa completeze sistemul juridic fara sa se substituie
acestuia;
Sa se adapteze rapid mediului de lucru (conflictelor de
interese) si evolutiei tehnologice;
Educatia mediului de lucru si cooperarea cu autoritatile ;