10.

ADMINISTRAREA MSURILOR DE SECURITATE I CONFIDENIALITATE A

DATELOR
10.1. Obiectele bazelor de date, tipurile de risc i vulnerabilitile principale ale bazelor de
date
BD reprezint totalitatea datelor combinate, organizate conform anumitor reguli, care prevd
principii generale de descriere, stocare i procesare a datelor cu ajutorul diferitor obiecte.
Obiectele sunt elemente ale BD dotate cu anumite caracteristici, care execut anumite operaiuni
i funcii.
Pentru a asigura securitatea informaiei BD trebuie s fie identificate i evaluate n mod
obligatoriu riscurile legate cu date i operaii n BD:
- riscuri operaionale;
- riscuri ale tehnologiilor informaiei;
- riscuri ale mediului de control neadecvat realizat;
- riscuri legate de criteriile integritii, accesibilitii, confidenialitii i corectitudinii
informaiei coninute n BD;
- riscuri de for major.
Riscurile operaionale sunt riscuri ale pierderilor directe sau indirecte (utilizarea ineficient sau
fr rezultate a resurselor), condiionate de erorile sau imperfeciunea proceselor de administrare
din cadrul unei autoriti concrete a administraiei publice, precum i de erorile sau de calificarea
insuficient a personalului organizaiei.
Riscurile tehnologiilor informaiei sunt riscuri ale pierderilor, legate de aplicarea incorect sau
de imperfeciunea proceselor de administrare a tehnologiilor informaiei sau a componentelor
infrastructurii i activelor informaionale utilizate n cadrul autoritilor administraiei publice.
Riscurile tehnologiilor informaiei sunt condiionate de deranjamentele n funcionarea
sistemelor sau de defectarea acestora i de capacitatea insuficient a sistemelor, canalelor de
comunicaii.
Riscurile mediului de control neadecvat realizat sunt riscuri legate de sistemul controlului
intern incapabil s depisteze i s corecteze la timp aciunile cu caracter nesancionat sau de

fraud, semnificative att individual ct i colectiv, i/sau s mpiedice survenirea acestui tip de
nclcri.
Riscurile legate de criteriile integritii, accesibilitii, confidenialitii i corectitudinii
informaiei coninute n BD sunt riscuri ce survin n rezultatul prelucrrii i furnizrii unei
informaii incorecte sau denaturate, i sunt legate de divulgarea, modificarea informaiei i
defectarea capacitii de lucru a BD n procesul de accesare a datelor ce se conin n BD
respective.
Riscurile de for major sunt riscuri legate de evenimentele nemijlocite legate de natur,
precum i de cele cu caracter tehnogen i social.
Vulnerabilitile principale care permit realizarea pericolelor securitii ce vizeaz BD trebuie
s fie analizate n conformitate cu urmtoarele criterii:
- procesele organizate incorect: delimitarea imprecis a obligaiilor privind asigurarea
securitii BD, testarea insuficient a mijloacelor software ale BD, realizarea insuficient sau
elaborarea incorect a politicii de securitate a BD, complexitatea structurii BD;
- absena controalelor: insider-ii, evidena necorespunztoare a utilizatorilor care dispun de
acces liber la resursele de reea, controlul insuficient asupra parolelor, dificultile sau
absena monitorizrii activitii utilizatorilor i administratorilor BD, nivelul insuficient de
verificare a participanilor i aplicaiilor conexiunii la BD, absena controlului asupra
copierii de rezerv a BD;
- nivelul insuficient al profesionalismului colaboratorilor: utilizarea automat a nregistrrilor
de eviden i a parolelor nesigure, insuficiena resurselor, utilizarea necorespunztoare a
configuraiilor, organizarea incorect a schimbului de date ale utilizatorilor cu BD,
administrarea neprofesional sau nesatisfctoare a SGBD, utilizarea insuficient sau
incorect a mijloacelor standard de asigurare a securitii informaiei BD;
- insuficiena mijloacelor hardware i software pentru realizarea securitii informaiei BD:
utilizarea datelor de autentificare utilizate n cadrul sistemelor operaionale, abuzul de
mputerniciri, erorile din componentele software-ului BD (de exemplu, suprancrcarea
clipboard-ului), izolarea insuficient (intern i extern) de reea, absena sau insuficiena
nivelului de protecie mpotriva accesului nesancionat, metoda sau mijlocul necalitativ de
pstrare a informaiei n BD, absena garaniei confidenialitii i integritii datelor
transmise, existena unor vulnerabiliti ale sistemelor operaionale i protocoalelor de reea
utilizate.

10.2. Concepia de asigurare a securitii informaiei bazelor de date

BD reprezint nite componente importante ale infrastructurii informaionale a autoritilor
administraiei publice, cu ajutorul crora se execut funciile de prelucrare, pstrare i
manipulare a informaiei. ntruct BD conin informaii preioase, este necesar de a asigura
securitatea informaiei acestora, i anume confidenialitatea, integritatea, accesibilitatea i
sigurana.
10.2.1. Obiectivele asigurrii securitii informaiei bazelor de date
Asigurarea securitii informaiei BD trebuie s fie orientat spre realizarea urmtoarelor
obiective:
- protecia informaiei preioase din BD mpotriva divulgrii, pierderii, denaturrii i
distrugerii, reieind din confidenialitatea, integritatea, accesibilitatea informaiei i sigurana
(corectitudinea);
- protecia structurii BD mpotriva violrii;
- asigurarea monitorizrii orientate spre asigurarea posibilitii de a fixa cu ajutorul sistemului
de securitate a informaiei orice activitate, utilizatorii i procesele legate de operaiile BD,
precum i utilizarea obiectelor pasive n scopul comiterii unor fraude;
- asigurarea caracterului secret, anonim i a controlului (posibilitatea de a controla utilizarea
corect a informaiei i a eficienei msurilor de securitate a BD).
10.2.2. Sarcinile asigurrii securitii informaiei bazelor de date
Pentru realizarea scopurilor fixate n privina asigurrii securitii informaiei BD este necesar de
ndeplinit urmtoarele sarcini:
- identificarea i prognozarea surselor de pericole, vulnerabilitilor i riscurilor
corespunztoare, care survin n rezultatul modificrilor efectuate n mediul informaional i
de control;
- evaluarea riscurilor securitii informaiei BD;
- elaborarea unei politici unitare i a planului de asigurare a securitii BD, precum i a
mecanismelor de realizare a acestora;
- coordonarea reciproc a msurilor de asigurare a securitii informaiei BD, care cuprind
toate componentele infrastructurii informaionale, i a proceselor de management al
tehnologiilor informaiei;
- asigurarea conformitii mijloacelor hardware i software cu cerinele securitii BD;

utilizarea mijloacelor hardware i software ce corespund cerinelor securitii BD;

managementul incidentelor legate de violarea securitii informaiei BD;
asigurarea informrii privind violrile securitii BD i realizarea msurilor coordonate
pentru lichidarea consecinelor n caz de violare a securitii.

10.2.3. Metodele de abordare i principiile de baz privind asigurarea securitii informaiei

bazelor de date
Pentru atingerea scopurilor asigurrii securitii informaiei BD este necesar de aplicat
urmtoarele metode de abordare:
- metoda procesual;
- metoda structural;
- metodele selectiv i obligatorie;
- metodele sistemic i complex,
precum i de adoptat o poziie flexibil n procesul de selectare i mentenan a msurilor tehnice
i de software de asigurare a securitii.
Metoda procesual. Pentru a identifica cerinele privind securitatea informaiei BD i pentru
prevenirea nclcrii regulilor de securitate este necesar de aplicat metoda procesual de
abordare.
Aceast metod de abordare privind asigurarea securitii BD include urmtoarele:
- realizarea descrierii proceselor de planificare, proiectare, realizare, mentenan i
administrare a BD;
- identificarea obiectelor critice ale BD, care conin sau prelucreaz informaii de valoare
sporit;
- analiza n vederea identificrii riscurilor aferente nclcrii criteriilor integritii,
accesibilitii, confidenialitii, siguranei (corectitudinii) informaiei.
Metoda structural. Este necesar de aplicat metoda structural de abordare n privina tuturor
proceselor i procedurilor de asigurare a securitii informaiei BD. Esena acestei metode const
n parcurgerea urmtoarelor patru etape de ctre toate procesele i procedurile de protecie a BD:
- planificarea se stabilesc procesele i procedurile aferente analizei de riscuri i proteciei
BD;
- realizarea se implementeaz i se exploateaz procesele, procedurile i mijloacele de
asigurare a securitii BD;

evaluarea se efectueaz controlul permanent i analiza strii de maturitate a proceselor, a

caracterului adecvat al procedurilor, a mijloacelor i msurilor de asigurare a securitii BD
n contextul obiectivelor, sarcinilor i cerinelor unei autoriti concrete a administraiei
publice;
mentenana se realizeaz meninerea n stare de lucru i perfecionarea proceselor,
procedurilor i a mijloacelor de asigurare a securitii BD n baza rezultatelor evalurii i
auditului.

Metodele selectiv i obligatorie. n privina aspectului ce ine de asigurarea securitii datelor

n cadrul BD este necesar de aplicat dou metode generale de abordare: metoda selectiv i
metoda obligatorie. Esena acestor metode const n crearea unui sistem de securitate pentru
obiectele BD. n plus, n calitate de obiecte ale BD pot aprea fie baza de date n ntregime, fie
orice obiect din cadrul BD.
Metodele sistemic i complex. Pentru a asigura securitatea deplin i absolut a acestora este
necesar de dat dovad de flexibilitate n procesul de selectare i mentenan a msurilor i
mijloacelor de securitate. Aceste metode de abordare permit:
identificarea soluiilor tehnice i de software lesne de gestionat i de administrat pentru
protecia BD, soluii ce corespund cerinelor unei autoriti concrete a administraiei publice,
evitndu-se astfel excesul de ataare la o singur platfom de software sau la un singur
furnizor;
aplicarea unor msuri de securitate a BD ce sunt caracterizate printr-un grad mai sporit de
eficien i siguran, prin costuri minimizate, precum i controlul i managementul acestora.
10.3 Etapele crerii sistemului de asigurare a securiti informaiei bazelor de date
10.3.1. Asigurarea securitii informaiei
Concepia asigurrii securitii informaiei BD trebuie s includ un set de procese consecutive:
- determinarea obiectelor de protecie a BD;
- determinarea i analiza pericolelor;
- evaluarea vulnerabilitilor;
- evaluarea riscurilor;
- determinarea cerinelor privind protecia BD;
- determinarea msurilor i mijloacelor de asigurare a securitii BD;
- implementarea msurilor i mijloacelor de asigurare a securitii informaiei BD;

monitorizarea sistemului de asigurare a securitii BD i perfecionarea acestuia.

Determinarea obiectelor de protecie a bazelor de date. Pentru a asigura securitatea

informaiei BD, acest proces trebuie s fie ndreptat spre identificarea obiectelor coninute n BD,
care necesit protecie mpotriva influenelor nedorite, sau spre neadmiterea scurgerii
informaiilor ce se conin n obiectele identificate.
n cadrul acestei etape este necesar de ntreprins un ir de activiti, dup cum urmeaz:
- localizarea, alctuirea listelor i determinarea caracteristicilor datelor i obiectelor BD;
- stabilirea limitelor i a sferelor ce urmeaz a fi supuse analizei riscurilor pentru BD;
- determinarea nivelului de criticitate a datelor i obiectelor BD n baza criteriilor
confidenialitii, integritii i accesibilitii.
Dup identificarea tuturor obiectelor BD, este necesar de efectuat categorizarea acestora n baza
urmtoarelor criterii:
- confidenialitatea informaiei: strict confideniale la aceast categorie urmeaz s fie
atribuite obiectele BD care conin date confideniale n conformitate cu cerinele legislaiei
n vigoare, precum i date a cror divulgare poate determina consecine financiar-economice
grave pentru autoritile administraiei publice; confideniale la aceast categorie
urmeaz s fie atribuite obiectele BD care nu fac parte din categoria strict confideniale, a
cror divulgare poate genera pierderi i prejudicii considerabile autoritilor administraiei
publice; deschise la aceast categorie urmeaz s fie atribuite obiectele BD a cror
confidenialitate nu este necesar de asigurat.
- integritatea informaiei: cu cerine nalte la aceast categorie urmeaz s fie atribuite
obiectele BD, a cror modificare nesancionat poate duce la cauzarea unui prejudiciu direct
considerabil autoritilor administraiei publice, i a cror integritate trebuie s fie asigurat
prin metode garantate n conformitate cu cerinele obligatorii stabilite de legislaia n
vigoare; cu cerine reduse la aceast categorie urmeaz s fie atribuite obiectele BD, a
cror modificare sau eliminare nesancionat poate duce la cauzarea unui prejudiciu direct
nesemnificativ sau indirect autoritilor administraiei publice sau colaboratorilor; fr
cerine la aceast categorie urmeaz s fie atribuite obiectele BD pentru a cror integritate
nu sunt stabilite cerine.
- accesibilitatea informaiei: accesibilitate nelimitat accesul la obiectele BD urmeaz s
fie asigurat n orice timp; obiectul urmeaz s fie pus la dispoziie permanent, reinerea la
obinerea rezultatului nu trebuie s depeasc cteva secunde sau minute; accesibilitate
nalt accesul la obiectele BD urmeaz s fie asigurat fr reineri substaniale n timp
(intervalul de timp n decursul cruia informaia poate fi inaccesibil nu trebuie s

depeasc 2-4 ore); accesibilitate medie accesul la obiectele BD poate fi asigurat cu

reineri substaniale n timp (o dat la cteva zile), reinerea la obinerea rezultatului nu
trebuie s depeasc cteva zile i aceasta nu implic nclcarea regimului normal de
activitate a autoritilor administraiei publice; accesibilitate redus reinerile n timp la
accesarea obiectelor BD sunt practic nelimitate; reinerea admisibil la obinerea rezultatului
este de cteva sptmni i aceasta nu implic nclcarea regimului normal de activitate a
autoritilor administraiei publice.
10.3.2 Identificarea i analiza pericolelor
Pentru a asigura securitatea informaiei BD este necesar de efectuat analiza riscurilor, adic de
identificat pericolele poteniale ce vizeaz BD examinat. Stabilirea pericolelor poteniale ce
vizeaz BD i a surselor acestor pericole constituie sarcina principal a activitii de identificare
i analiz a pericolelor.
n cadrul acestui proces este necesar de ntreprins un ir de activiti, dup cum urmeaz:
- de stabilit lista colaboratorilor care dispun de acces la resursele vulnerabile ale BD;
- de desemnat personale care poart rspundere pentru modificarea informaiei din BD;
- de verificat existena proceselor formalizate de efectuare a controlului colaboratorilor care
dispun de acces la BD;
- de stabilit nivelul de abordare, n cadrul politicii autoritii concrete a administraiei publice,
a aspectului ce ine de asigurarea caracterului secret al datelor ce se conin n BD;
- de verificat nivelul de documentare i implementare a procedurilor;
- de verificat existena programului de pregtire i instruire a personalului care dispune de
acces la resursele BD.
Riscurile care trebuie s fie identificate n mod obligatoriu i n privina crora este necesar de
ntreprins msuri n vederea reducerii lor includ urmtoarele:
- absena controlului asupra accesului la informaia vulnerabil sau secret ce se conine n
BD;
- absena urmtoarelor profiluri de acces secret la BD: profilul accesului gestionat
formalizeaz metodele de organizare a securitii BD, precum sunt metoda discret de acces,
metoda de autentificare prin parole; profilul meniunilor de acces extinde profilul accesului
gestionat, prin adugarea accesului n baz de mandat, securitii cu mai multe nivele;
-

absena unei atitudini contiente fa de caracterul secret al BD la nivelul ntregii organizaii;

absena sau elaborarea insuficient a politicii i procedurilor de securitate a BD;

implementarea ineficient a programului de instruire n sfera proteciei BD.

10.3.3 Evaluarea vulnerabilitilor

n cadrul acestui proces se efectueaz evaluarea vulnerabilitilor n condiii de multiple pericole
i canale de scurgere a datelor din BD, n vederea identificrii situaiilor de pericol, a punctelor
vulnerabile specifice ale BD i a resurselor ce interacioneaz cu BD, prin intermediul crora se
pot realiza pericolele.
Este necesar de efectuat urmtoarele activiti:
- de alctuit lista vulnerabilitilor BD i a resurselor care interacioneaz cu BD, prin
intermediul crora se pot realiza pericolele;
- de identificat vulnerabilitile pentru fiecare pericol potenial;
- de utilizat rezultatele analizei conformitii msurilor i mijloacelor aplicate de asigurare a
securitii BD cu cerinele stabilite ale securitii;
- de utilizat surse de imprimare i electronice ce conin vulnerabiliti cunoscute ale
mijloacelor de asigurare a securitii BD;
- de utilizat rezultatele testrii mijloacelor de asigurare a securitii BD.
Riscurile care trebuie s fie identificate n mod obligatoriu i n privina crora este necesar de
ntreprins msuri n vederea reducerii lor includ urmtoarele:
- absena documentaiei privind rezultatele analizei efectuate asupra conformitii msurilor i
mijloacelor aplicate de asigurare a securitii BD cu cerinele stabilite ale securitii;
- absena surselor ce conin vulnerabiliti cunoscute ale mijloacelor de asigurare a securitii
BD;
- absena sau caracterul incomplet al rezultatelor testrii mijloacelor de asigurare a securitii
BD;
- implementarea ineficient a programului de instruire n sfera proteciei BD.
10.3.4 Evaluarea riscurilor
Procesul de evaluare a riscurilor are menirea de a identifica sursele de riscuri i de a determina
nivelul de importan cuantificat al acestora.
Evaluarea riscurilor permite executarea urmtoarelor aciuni:
- evaluarea probabilitii realizrii reuite a pericolelor i a consecinelor posibile pentru o
autoritate concret administraiei publice;

atribuirea unei valori cuantificate pentru riscuri i clasificarea acestora;

stabilirea corect a prioritilor la aplicarea msurilor i mijloacelor de asigurare a
securitii.

Evaluarea riscurilor se efectueaz prin identificarea i compararea lor cu scara prestabilit.

Metoda de identificare a riscurilor trebuie s fie definit de fiecare autoritate a administraiei
publice conform cerinelor legislative i interne. Este posibil efectuarea evalurii att calitative
ct i cantitative a riscurilor.
Dup efectuarea evalurii riscurilor este necesar de adoptat o decizie n privina prelucrrii
riscurilor respective. Este necesar de aplicat urmtoarele patru msuri de prelucrare a riscului:
- diminuarea riscului riscul se consider inadmisibil i pentru minimizarea acestuia este
necesar de selectat i de realizat msurile i mijloacele corespunztoare de asigurare a
securitii;
- transmiterea riscului riscul se consider inadmisibil i n anumite condiii se transmite
ctre o organizaie ter (de exemplu, n cazul serviciilor de externalizare);
- acceptarea riscului riscul se consider admisibil n mod contient atunci cnd costul
msurilor i mijloacelor de asigurare a securitii depete n mod considerabil pierderile
financiare n caz de realizare a pericolului;
- neacceptarea riscului respingerea de ctre o autoritate concret a administraiei publice a
proceselor ce au cauzat riscul.
Dup prelucrarea riscurilor rmne aa-numitul risc rezidual, n privina cruia conducerea
trebuie s adopte i s aprobe o decizie privind acceptabilitatea acestuia.
Riscurile care trebuie s fie identificate n mod obligatoriu i n privina crora este necesar de
ntreprins msuri n vederea reducerii lor includ urmtoarele:
- absena clasificrii obiectelor BD;
- absena unor prioriti ce urmau a fi stabilite n privina obiectelor de protecie n baza
analizei i evalurii riscurilor;
- repartizarea ineficient a mijloacelor de asigurare a securitii pentru obiectele datelor din
BD ce necesit protecie;
- absena documentaiei privind vulnerabilitile BD;
- absena metodelor de evaluare a riscurilor i de evaluare documentat a riscurilor.

10.3.5. Determinarea msurilor i mijloacelor de asigurare a securitii bazelor de date

La selectarea msurilor i mijloacelor de asigurare a securitii BD i a caracteristicilor acestora
este necesar de determinat riscurile cele mai critice ale BD i de selectat msurile i mijloacele
corespunztoare de asigurare a securitii n vederea diminurii acestor riscuri.
n procesul de selectare a msurilor i mijloacelor de asigurare a securitii BD este necesar de
ntreprins urmtoarele activiti:
- de identificat pericolele prioritare, pentru care este necesar de stabilit n primul rnd msuri
de asigurare a securitii;
- de stabilit msuri i mijloace cu ajutorul crora trebuie s fie realizat protecia BD;
- de stabilit costul realizrii msurilor i mijloacelor selectate pentru asigurarea securitii BD;
- de stabilit nivelul necesar de calificare a personalului pentru executarea obligaiilor privind
protecia BD.
Riscurile care trebuie s fie identificate n mod obligatoriu i n privina crora este necesar de
ntreprins msuri n vederea reducerii lor includ urmtoarele:
- desfurarea ineficient a activitii organizaionale n vederea sporirii eficienei capacitii
de lucru a sistemelor realizate de protecie i a funcionrii acestora;
- absena schemelor organizaionale i a regulilor de executare a lucrrilor privind asigurarea
securitii BD.
10.3.6 Implementarea msurilor i mijloacelor de asigurare a securitii bazelor de date
n cadrul asigurrii securitii informaiei BD acestui proces este necesar de asigurat realizarea i
organizarea utilizrii msurilor i mijloacelor selectate de asigurare a securitii BD.
La implementarea msurilor i mijloacelor selectate de asigurare a securitii BD este necesar de
stabilit urmtoarele:
- nivelul de prioritate a obiectelor secrete ale BD;
- gradul de influen exercitat de realizarea programului de asigurare a securitii BD asupra
planurilor utilizatorilor pentru dezvoltarea sistemului informaional;
- necesitatea unor resurse suplimentare pentru asigurarea securitii BD.
Riscurile care trebuie s fie identificate n mod obligatoriu i n privina crora este necesar de
ntreprins msuri n vederea reducerii lor includ urmtoarele:
- incompatibilitatea platformelor mijloace aplicate de asigurare a securitii;
- absena sau descrierea incomplet a planurilor de implementare a msurilor i mijloacelor
selectate de asigurare a securitii BD.

10.4. Rezultatele asigurrii securitii informaiei a bazelor de date

Realizarea unei securiti a informaiei durabile a BD n procesul de prestare a serviciilor publice
electronice trebuie s asigure obinerea urmtoarelor rezultate:
- stabilirea corespunztoare a responsabilitilor privind protecia BD, inclusiv repartizarea
obligaiilor;
- acordarea accesului doar persoanelor abilitate;
- confidenialitatea, plenitudinea i exactitatea datelor ce se conin n BD;
- confirmarea executrii i documentrii corecte a operaiilor;
- caracterul adecvat al registrelor de audit al operaiilor/accesului;
- nivelul necesar de deservire a utilizatorilor BD;
- evidena i analiza eficient a depistrii atacurilor asupra BD.
10.5. Msurile i mijloacele de asigurare a securitii bazelor de date
BD reprezint o component esenial a infrastructurii informaionale a autoritilor
administraiei publice, care trebuie s fie protejat n modul corespunztor.
Pentru a asigura o securitate deplin i absolut informaiei este necesar de aplicat msuri i
mijloace de asigurare a securitii BD la toate nivelurile, inclusiv:
nivelul legislativ cel mai important nivel de asigurare a securitii informaiei a BD, n
cadrul cruia este necesar de creat un mecanism care s permit coordonarea procesului de
elaborare a actelor legislative i a regulamentelor ce stipuleaz procesul de asigurare a
securitii cu realitile mediului informaional i inovaiile din sfera tehnologiilor
informaiei aplicate la toate etapele ciclului de via al BD.
nivelul administrativ - include aciuni cu caracter general, ntreprinse de conducerea
organizaiei i ndreptate spre formarea programului de lucrri n domeniul asigurrii
securitii BD i spre asigurarea realizrii acestui program, precum i planificarea i alocarea
resurselor necesare, i controlul strii i statutului funciei de asigurare a securitii BD.
nivelul procedural - include msuri de securitate ce vizeaz personalul.
nivelul tehnic i de software - include msuri orientate spre controlul echipamentului,
programelor i/sau al datelor:
Pentru a asigura securitatea informaiei BD este necesar de creat astfel de documente, cum sunt
politica de securitate i planul de asigurare a securitii, precum i organizarea mediului intern de
controale pentru managementul riscurilor specifice BD, n calitate de componente ale
infrastructurii informaionale.

10.6. Cerinele securitii informaiei bazelor de date

10.6.1. Cerine de baz a securitii informaiei bazelor de date
n funcie de atributele menionate ale securitii BD, cerinele de baz ale securitii BD trebuie
s cuprind totalitatea de aciuni obligatorii pentru toate autoritile administraiei publice:
- cerinele privind arhitectura i structura BD, care includ urmtoarele: aplicarea unei
arhitecturi cu multe niveluri a BD; actualizarea arhitecturii BD trebuie s fie realizat
inndu-se cont de modelele aplicate de date i sistemele informaionale conexe; structura
BD trebuie s fie protejat conform criteriilor confidenialitii, integritii i accesibilitii
datelor i obiectelor BD; este interzis distribuirea informaiei despre structura BD;
- cerinele privind protecia de reea a BD includ urmtoarele: BD trebuie s fie protejate cu
ajutorul fire-wall-urilor i sistemelor de depistare a interferenelor n reea; este necesar de
utilizat protocoale protejate pentru criptarea i asigurarea autenticitii conexiunilor de reea
dintre clieni i serverul BD, precum i mecanisme de autentificare; este necesar de asigurat
imposibilitatea de refuz n procesul de transmitere a datelor critice din BD; este necesar de
aplicat criptarea n procesul de transmitere a datelor din BD; este necesar de efectuat
segmentarea reelei i de protejat, cu ajutorul host-urilor (host), BD i aplicaiile conexe;
- cerinele privind identificarea i autentificarea utilizatorilor BD includ urmtoarele: este
necesar de identificat utilizatorii i de aplicat profiluri de autentificare; este interzis de a
utiliza datele de identificare i de autentificare ale sistemului operaional pentru BD; este
necesar de efectuat revizuiri periodice ale intrrilor n BD; BD are un singur proprietar, care
a creat-o i care o doteaz cu alte drepturi de acces; aplicaiile nu trebuie s fie conectate la
BD n calitate de proprietar al acesteia pentru a se evita modificarea schemei (de exemplu,
eliminarea tabelelor) sau eliminarea ntregului coninut al acesteia; parolele pentru
nregistrrile privilegiate de eviden trebuie s fie schimbate cel puin o dat n dou luni;
este necesar de utilizat ntotdeauna parole sigure; intrarea n BD fr parol trebuie s fie
interzis; doar administratorii BD trebuie s cunoasc parolele nregistrrilor privilegiate de
eviden.
- cerinele privind managementul i controlul accesului includ urmtoarele: accesul la datele
de pe serverul BD trebuie s fie acordat doar prin intermediul unor proceduri speciale
prescrise, n logica crora trebuie s fie introdus modelul elaborat de securitate; accesul
direct la serverul BD trebuie s fie blocat; este necesar de exclus accesul manual neautorizat
la BD; este necesar de garantat sigurana BD prin acordarea autorizaiilor i drepturilor
corespunztoare de acces la obiecte i resurse; grupurile de utilizatori trebuie s dispun de
autorizaia de operare cu cataloagele BD; este necesar de efectuat controlul asupra

modificrilor drepturilor din tabelele de sistem ale BD i asupra autorizaiilor pentru

funciile privilegiate; accesul la obiectele BD nu trebuie s fie permis utilizatorului cu
privilegii limitate; nu trebuie s existe forma de aplicaii pentru vizitatori; datele legate de
operaiile BD nu trebuie s fie pstrate la nivel local;
cerinele privind rezervare i restabilirea BD includ urmtoarele: este necesar de a crea
periodic copii de rezerv ale BD; intrarea restabilit n BD trebuie s fie configurat i
utilizat corect; cataloagele i intrrile critice n configuraia BD trebuie s fie copiate; BD
trebuie s fie supus unei arhivri periodice pentru a se asigura posibilitatea restabilirii
acesteia; este interzis pstrarea informaiei BD n cadrul unor uniti/dispozitive
nerecomandate;
cerinele privind auditul i monitorizarea BD includ urmtoarele: este necesar de gestionat
aciunile tuturor utilizatorilor n cadrul BD; controlul asupra BD trebuie s fie realizat n
cazul anumitor evenimente; este necesar de urmrit anumite evenimente legate de crearea
tabelei; este necesar de asigurat posibilitatea de a crea rapoarte privind evenimentele de
audit; este necesar de inut evidena protocolrii aciunilor utilizatorilor legate de datele
critice ale BD; este necesar de monitorizat traficul de solicitri adresate BD; este necesar de
efectuat controlul asupra interaciunii dintre aplicaiile web i BD cel puin o dat n trei
luni; este necesar de monitorizat implementarea planurilor de securitate a BD; toate
rapoartele de audit i de monitorizare, inclusiv rapoartele electronice ce conin concluzii,
opinii, cercetri legate de audit, trebuie s fie pstrate n decurs de apte ani;
cerinele privind externalizarea serviciilor din domeniul tehnologiilor informaiei, legate de
BD, includ urmtoarele: este necesar de identificat riscurile legate de BD, mijloacele de
securitate pentru sistemele informaionale i reele care interacioneaz cu prile care
presteaz servicii de externalizare; n cazul efecturii controlului de ctre autoritile
abilitate sau n caz de prestare a altor servicii de externalizare de ctre alte persoane, toate
acordurile de confidenialitate trebuie s stabileasc rspunderea prilor, s se bazeze i s
corespund cerinelor securitii, precum i cerinelor stabilite de legislaia n vigoare;
cerinele privind securitatea fizic includ urmtoarele: este necesar de asigurat securitatea
fizic nu doar a ncperilor n care se afl serverele BD, dar i a locaiilor elementelor de
conexiune i susinere a BD (de exemplu, generatoarele de energie electric); dac aceste
elemente se afl n zone publice, este necesar de asigurat protecia corespunztoare
mpotriva pierderilor i deteriorrilor.

10.6.2. Managementul accesului la bazele de date

n cadrul asigurrii securitii informaiei BD, managementul accesului asigur protecia i
delimitarea accesului la datele critice i la aplicaiile BD. Managementul accesului permite de
asemenea de a reduce riscul erorilor, fraudelor, utilizrii incorecte i modificrii neautorizate.
Este necesar de respectat cerinele privind managementul i delimitarea accesului la BD:
- este necesar de stabilit lista utilizatorilor i operaiilor care necesit utilizarea obiectelor BD
n vederea prevenirii fraudelor i incidentelor de securitate;
- managementul accesului trebuie s fie realizat pentru subiecii, obiectele i operaiilor BD;
- managementul accesului trebuie s se bazeze pe separarea mputernicirilor conform
aciunilor;
- accesul la date trebuie s fie obinut doar de utilizatorul care a susinut procedura de
identificare i autentificare;
- utilizatorul, inclusiv administratorii, trebuie s dispun doar de accesul la obiectele i
resursele necesare n conformitate cu funcia deinut;
- este necesar de utilizat mijloacele i metodele speciale care asigur delimitarea sigur a
accesului;
- este necesar de prevenit manipularea BD i apelarea la alte aplicaii ale administratorului
aplicaiilor;
- este necesar de efectuat verificarea i ajustarea drepturilor de acces ale utilizatorilor n
conformitate cu responsabilitile acestora;
- este necesar de aplicat mijloace de protecie discret, care asigur delimitarea accesului ntre
subiecii nominalizai i obiectele nominalizate;
- este necesar de aplicat mijloace de protecie n baz de mandat, care asigur delimitarea
accesului subiectelor la obiectele datelor, bazat pe meniunea privind confidenialitatea
informaiei coninute n obiecte.
10.6.3 Copierea de rezerv i restabilirea bazelor de date
ncetarea funcionrii BD n rezultatul survenirii unui deranjament violeaz integritatea acestora.
Din acest motiv, este necesar de efectuat copierea de rezerv i restabilirea BD.
Este necesar de efectuat copierea de rezerv a BD nemijlocit nainte i dup introducerea
urmtoarelor modificri n BD:
- crearea i eliminarea spaiului tabelar;
- adugarea sau permutarea fiierului cu date n spaiul tabelar existent;

- adugarea, permutarea sau eliminarea grupului de date.

Copierea de rezerv a BD trebuie s fie efectuat n urmtoarele formate:
- copierea de rezerv doar a fiierului de administrare a BD;
- copierea de rezerv total a BD.
Pentru copierea de rezerv a BD i restabilirea integritii este necesar de respectat urmtoarele
cerine:
- toate bazele de date i informaia critic legat de acestea trebuie s fie supuse periodic
copierii de rezerv;
- este necesar de asigurat integritatea, autenticitatea i controlul asupra copiilor BD de rezerv
i de asigurat accesul la acestea doar pentru personalul abilitat;
- copiile de rezerv trebuie s fie supuse criptrii;
- este necesar de verificat, o dat n trei luni, listele de acces la copiile de rezerv ale BD;
- pentru a asigura posibilitatea de restabilire a BD, este necesar ca operaiile legate de BD s
fie executate n ntregime sau s nu mai fie executate;
- este necesar de stabilit termenul necesar pentru restabilirea informaiei critice i a obiectelor
BD i de elaborat planurile de restabilire;
- operaiile trebuie s permit posibilitatea readucerii la starea iniial;
- este necesar de asigurat posibilitatea copierii procesului de executare a operaiilor legate de
BD;
- rezultatele copierii operaiilor trebuie s fie nregistrate n registrul de sistem;
- n caz de survenire a unei defeciuni este necesar de a dispune de posibilitatea de a efectua
restabilirea ntr-o anumit poziie temporar (punct de control);
- este necesar de a efectua operaia de derulare (reproducerea rezultatelor efecturii tranzaciei
cu ajutorul registrului de sistem) pentru restabilirea BD.
Restabilirea BD trebuie s fie efectuat la trei niveluri diferite:
- restabilirea operativ restabilirea la nivelul anumitor operaii n condiiile terminrii
anormale a situaiei de manipulare a datelor (de exemplu, n caz de eroare n software);
- restabilirea temporar restabilirea situaiei tuturor operaiilor efectuate la momentul
survenirii deranjamentelor (de exemplu, erorile de sistem i de program, erorile de software,
care nu sunt legate de distrugerea BD);
- restabilirea de lung durat restabilirea cu ajutorul copiilor de pe BD n caz de distrugere a
acestora i readucerea sistemului la situaia de pn la distrugere.

10.6.4 Criptarea datelor

n cadrul asigurrii securitii informaiei BD criptarea datelor n BD asigur protecia mpotriva
accesului nesancionat i violarea integritii datelor, precum i n procesul de transmitere a
datelor prin reele de comunicaii electronice.
Criptarea datelor n BD trebuie s corespund urmtoarelor cerine:
- este necesar de determinat poriunile de date din BD a cror criptare este rezonabil;
- este necesar de aplicat diferite algoritme simetrice i asimetrice de criptare;
- lungimea textului criptat trebuie s fie egal cu lungimea textului iniial;
- elementele de structur ale algoritmului de criptare trebuie s fie invariabile;
- este necesar de asigurat corectarea necesar a tipurilor i dimensiunilor cmpurilor tabelelor
din BD n procesul criptrii;
- este necesar de asigurat integritatea i controlul strict asupra distribuirii cheilor criptografice;
- pentru datele din BD cu grad nalt de securitate este necesar de efectuat schimbarea cheilor
pn la expirarea termenului lor de aciune, dup care este necesar de efectuat criptarea
repetat a datelor din BD cu ajutorul cheilor noi. n funcie de volumul BD criptarea repetat
a datelor BD ar putea afecta disponibilitatea acestora pentru o perioad mare de timp;
- este necesar de asigurat posibilitatea de a efectua criptarea selectiv a spaiului tabelar al
BD;
- criptarea datelor trebuie s se efectueze pe serverul BD sau pe un server separat pentru
criptare, i nici ntr-un caz la client.

Contents
10. ADMINISTRAREA MSURILOR DE SECURITATE I CONFIDENIALITATE A DATELOR ................................... 1
10.1. Obiectele bazelor de date, tipurile de risc i vulnerabilitile principale ale bazelor de date ........ 1
10.2. Concepia de asigurare a securitii informaiei bazelor de date.................................................... 3
10.2.1. Obiectivele asigurrii securitii informaiei bazelor de date................................................... 3
10.2.2. Sarcinile asigurrii securitii informaiei bazelor de date ....................................................... 3
10.2.3. Metodele de abordare i principiile de baz privind asigurarea securitii informaiei bazelor
de date .................................................................................................................................................. 4
10.3 Etapele crerii sistemului de asigurare a securiti informaiei bazelor de date ............................. 5
10.3.1. Asigurarea securitii informaiei ............................................................................................. 5
10.3.2 Identificarea i analiza pericolelor ............................................................................................. 7
10.3.3 Evaluarea vulnerabilitilor ........................................................................................................ 8
10.3.4 Evaluarea riscurilor .................................................................................................................... 8
10.3.5. Determinarea msurilor i mijloacelor de asigurare a securitii bazelor de date................. 10
10.3.6 Implementarea msurilor i mijloacelor de asigurare a securitii bazelor de date ............... 10
10.4. Rezultatele asigurrii securitii informaiei a bazelor de date ..................................................... 11
10.5. Msurile i mijloacele de asigurare a securitii bazelor de date .................................................. 11
10.6. Cerinele securitii informaiei bazelor de date ........................................................................... 12
10.6.1. Cerine de baz a securitii informaiei bazelor de date....................................................... 12
10.6.2. Managementul accesului la bazele de date ............................................................................ 14
10.6.3 Copierea de rezerv i restabilirea bazelor de date ................................................................ 14
10.6.4 Criptarea datelor ...................................................................................................................... 16