Standardele de securitate a sistemelor informatice reprezint cerine minime,

reguli i proceduri stabilite de manageri destinate asigurrii securitii sistemelor

informatice. Acestea sunt implementate de personalul responsabil (administratorii de
securitate i utilizatori).
Standardele trebuie s menioneze detaliat cerinele pentru realizarea securitii
i controlului, dar fr a fi dependente de anumite platforme de lucru (de exemplu,
sistemul de operare sau modele utilizate) ci s aib un caracter general astfel nct s se
poat aplica pe diverse tipuri de sisteme.
n cazul n care managerii consider c trebuie operate anumite modificri n
standardele de securitate, acestea sunt fcute fr a necesita aprobarea consiliului
director, acest fapt permind agenilor economici s reacioneze mult mai rapid la
anumite cerine de securitate.
n realizarea standardelor se are n vedere faptul c sistemele dezvoltate n afara
agenilor economici, achiziionate de la diferii furnizori trebuie s respecte cerinele
impuse de aceste standarde i care se vor prevede n contractele de achiziie. In cazul
apariiei unor situaii excepionale, devierile de la standardardele interne trebuie aprobate
i reglemantate de managerii responsabili de securitatea sistemelor.
Se pot identifica o serie de standarde minime de securitate pentru afacerile
electronice ale agenilor economici aplicabile n orice organizaie:
1.
Securitatea parolelor: acestea trebuie schimbate dup instalarea i configurarea
sistemelor, trebuie s aib minim 8 caractere, s fie CASE-SENSITIVE, s fie mascate n
momentul introducerii, s expire dup o perioad limitat (de exemplu 60 de zile), iar
fiierele de parole s fie criptate.
2.
Modul de acces al utilizatorilor: n cazul existenei unor ncercri repetate de
conectri euate, se suspend contul utilizatorului respectiv, iar sesiunile de conectare au
timp limitat. Nu se permite accesul concurent al aceluiai utilizator, sesiunile de conectare
trebuie pstrate n fiiere speciale (fiiere de log-on), iar n cazul n care utilizatorul nu
mai este angajatul agentului economic se suspend imediat contul acestuia. O alt cerin
este aceea c utilizatorii trebuie instruii s nu divulge conturile altor persoane.
3.
Procedurile de salvare i restaurare a datelor: trebuie s se deruleze periodic, la
intervale stabilite de managerii responsabili, pe diferite medii de stocare, trebuie s fie
testate i documentate i pentru fiecare caz n parte trebuie ntocmit un plan de urgen;
4.
Pentru echipamentele hardware trebuie ncheiate polie de asigurare n cazul
diferitelor tipuri de accidente;
5.
Sistemele dezvoltate n afara agenilor economici vor respecta aceleai standarde
cu cele interne, iar cerinele vor fi menionate n contractele cu furnizorii respectivi. De
asemenea se precizeaz condiiile de liceniere, de acordare a asistenei i clauze pentru
securizarea codului surs i pstrarea acestuia la o companie ter n cazul dispariiei
furnizorului de pe pia;
6.
O alt cerin este dat de modul de instalare i configurare a aplicaiilor de
protecie a sistemelor informatice: antivirui, programe de tipul firewall, de monitorizare
a accesului utilizatorilor.
La aceste standarde minime se vor aduga i cele impuse de activitatea i profilul
agenilor economici respectivi.

Recomandrile privind securitatea sunt stabilite de managerii de pe nivelele

superioare ale agentului economic i sunt realizate pentru a asigura succesul politicilor de
securitate.
Sunt asemntoare n format cu standardele de securitate n sensul c specific detaliat
anumite cerine, ns spre deosebire de acestea, recomandrile nu au caracter obligatoriu
i se implementeaz doar n anumite cazuri sau de ctre departamentele n care
standardele de securitate sunt insuficiente.
n unele situaii n care standardele sunt definite minimal sau chiar lipsesc, se
aplic recomandrile de securitate n funcie de cerinele fiecrui departament sau
activitate. In acest caz. recomandrile au caracter obligatoriu i se aplic de ctre
personalul responsabil cu securitatea.
Politicile, standardele i recomandrile privind securitatea nu ar trebui s fie doar
o enumerare de reguli i proceduri, ci ar trebui s in cont de profilul activitii agentului
economic i s fie realizate i implementate astfel nct s poat susine i eficientiza
activitatea i succesul agentului economic respectiv.
3.1 Securitatea conectrii la Internet criptografie i securitatea reelelor
3.1.1. Atacuri asupra reelelor. Atacuri pasive, atacuri active, programe
distructive
Atacurile informatice asupra reelelor de calculatoare i de comunicaii pot avea
ca origini: dezastre sau calamiti naturale, defectri ale echipamentelor, erori umane de
operare sau manipulare, fraude.
n funcie de tipurile de atacuri informatice, sunt definite ase niveluri de
vulnerabilitate a sistemelor informatice bazate pe reele de calculatoare i de comunicaii
(Indexul Sams)*:
nivelul 1 semnific atacurile de refuz al servicului, DoS (Denial-of-Service) n
cadrul reelei;
nivelurile 2 i 1 nseamn atacuri iniiate de utilizatori locali ce posed parol de
acces n reea, urmrind obinerea accesului neautorizat la citire sau scriere n fiiere;
nivelul 4 are semnificaia de atac informatic cu acces neautorizat la citire i
scriere n fiiere, precum i de execuie pe servere a unor comenzi;
nivelurile 5 i 6 semnific atacuri de la distan ale utilizatorilor neautorizai, cu
citire i scriere n fiierele din reeaua local.
Studii de securitate au demonstrat c jumtate din costurile determinate de
incidente se datoreaz aciunilor voit distructive, un sfert dezastrelor accidentale i un
sfert greelilor umane. Ultimele pot fi reperate printr-o mai atent aplicare a regulilor de
securitate ca: salvri regulate de date, limitarea drepturilor de acces.
n atacurile voit distructive distingem dou categorii:
1. Atacuri pasive sunt acelea n care cel intrus observ informaia care trece pe
canal fr s interfazeze cu fluxul sau coninutul mesajelor. Ca atare el nu face dect o
analiz a traficului. Din acest motiv aceste atacuri nu cauzeaz pagube, nu ncalc
regulile de confidenialitate.

Ali Eden, Victoria Stanciu, Auditul sistemelor informatice, Dual Tech 2004,p.121-126.

2. Atacuri active sunt acele atacuri n care cel intrus n reea sustrage mesajele
fie pentru a le modifica sau pentru a insera altele false. Acestea sunt atacuri grave ntruct
ele pot modifica starea sistemelor de calcul, starea datelor sau a sistemelor de
comunicaie. Tipuri de atacturi active sunt:
- mascarada, adic o entitate se substituie altora;
- reluarea se produce atunci cnd un mesaj sau o parte a acestuia se repet cu
intenia de a produce un efect neautorizat. De exemplu n domeniul bancar o reluare
poate crea modificri nereale ale valorilor conturilor;
- modificarea mesajelor presupune c datele acestora sunt alterate prin modificare,
inserare sau tergere. Acest tip de atac poate fi folosit pentru schimbarea beneficiarului
unui credit n transferul electronic de fonduri sau pentru modificarea valorii creditului. Se
mai poate ntlni i la modificarea cmpului destinatar/expeditor n pota electronic;
- repudierea serviciului se produce atunci cnd o entitate refuz recunoaterea
unui serviciu efectuat i este adesea ntlnit n aplicaiile de transfer electronic de fonduri.
Tot n cadrul atacurilor active se includ i unele programe distructive care uneori
pot afecta n mod esenial securitatea calculatoarelor.
- refuzul serviciului se produce atunci cnd o entitate nu este capabil s-i
ndeplineasc propria funcie sau cnd mpiedic o alt entitate s-i ndeplineasc
atribuiile.
De obicei cei care sunt implicai n astfel de atacuri se numesc ,,hackeri, iar
atacurile pe care le comit se refer fie la citirea neautorizat a informaiilor, fie n
distrugerea parial sau total a datelor sau chiar a calculatoarelor.
Cea mai grav problem este infestarea potenial a unui numr mare de
calculatoare. Programele distructive utilizate de hackeri se pot ncadra n urmtoarele
categorii:
- Viruii sunt programe care se insereaz n aplicaii i care au posibilitatea de a se
multiplica singure n alte programe rezidente n memorie sau discuri i apoi ori satureaz
complet spaiul memorie/disc i blocheaz sistemul, ori dup un numr finit (de obicei
fixat) de multiplicri devin activi i intr n faza distructiv;
- Bomba software este o procedur de obicei introdus ntr-un program obinut
i care se activeaz n condiiile producerii unui eveniment predefinit;
- Viermii au efecte similare cu cele dou categorii tratate anterior dar principala
diferen este aceea c nu rezid la o locaie fix sau nu se duplic singuri, mutndu-se
permanent, ceea ce i face greu de depistat;
- Trapele sunt accese speciale la sistem, care sunt destinate pentru proceduri de
ncrcare la distan, ntreinere sau dezvoltare de aplicaii. Ele fac facil permisiunea n
sistem fr a mai fi consultate procedurile de identificare uzuale;
Calul Troian este de fapt o aplicaie cu o utilizare cunoscut, care ndeplinete ascuns i
o alt funcie, dar nu creaz copii. Un exemplu poate fi un program de ,,login, care este
nlocuit de hacker cu un altul asemntor care pe lng funcia de baz, copiaz ntr-un
fiier numele i parola pe care utilizatorul le tasteaz n procesul de autentificare.
Utiliznd acest fiier hacker-ul va ptrunde relativ facil n sistem.