Curs 2 SIM

Rodica ROHAN

2. Protecia i securitatea sistemelor informaionale

Implementarea unui Sistem de Management al securitii informaionale
Informaia este o resurs critic pentru orice companie care lucreaz cu date confideniale.
Securizarea informaiilor lor este vital pentru continuitatea afacerii atat pentru marile companii intre
care se duc lupte acerbe pentru cota de piata si notorietate, ct si pt. intreprinderile mici si mijlocii.
Securitatea informatiei este decisiv pentru distanarea de concuren, pentru asigurarea rentabilitii, pentru
construirea unei imagini publice favorabile.
Dac o informaie important apare pe pia cnd nu ar trebui, dac o baz de date este fcut public sau
dac insecuritatea infrastucturii informatice permite atacarea reelei, atunci compania pierde din
credibilitatea clienilor i a partenerilor de afaceri i poate ajunge la faliment
2.1 Atribute de securitate a informaiei:

Functii de utilitate:
Disponibilitatea informaiei este acea
proprietate a sistemului sau reelei de a
asigura utilizatorilor legali informaia
complet atunci cnd acetia au nevoie.
Confidenialitatea este acea proprietate a
sistemului sau a reelei de a permite
accesul la informaii numai utilizatorilor
crora le este destinat i s ofere garanii
suficiente pentru a interzice accesul
celorlali utilizatorilor.
Integritatea
informaiei
este
acea
proprietate a sistemului sau a reelei de a
asigura livrarea informaiei fr modificri
accidentale sau neautorizate.

Functii de credibilitate (acoperirea prejudiciului):
Autenticitatea;
Nerepudierea (rspunderea legal a semnatarului)
Nerepudierea este functia de securitate a sistemului de a asocia unei informatii dovada ca o
informatie a fost trimisa de catre expeditor catre destinatarul legal iar acesta a primit-o, fara ca
acestia sa poata contesta acest fapt
2.2 Forme de reprezentare ale informaiei
Informaia este de esen volatil i poate fi materializat n diferite forme:
Exprimat prin vorbire
Scris sau tiprit pe hrtie
Stocat electronic
Transmis prin diferite mijloace de comunicaie
nregistrat pe suporturi n format audio/video, etc.
2.3 Forme de manifestare a pericolelor n sistemele informaionale
Acestea pot fi sintetizate pe trei mari categorii de pericole:
1

Curs 2 SIM

Rodica ROHAN

Ameninri datorate unor incidente ivite n sistem: apariia unor defeciuni datorate sistemului,
inevitabilele erori umane, funcionarea defectuoas a softului i ntreruperea sistemului de alimentare
cu energie sau funcionarea lui n afara parametrilor tehnici admii, incendii;

Factori naturali, bazai pe hazard. Funcionarea calculatoarelor poate fi afectat de excesul de

umiditate, de cldur, praf, scrum de igar, insecte, cataclisme naturale (cutremure, inundaii,
furtuni,) etc.;

Ameninarea sistemelor prin aciunea voit a omului. Atacurile pot fi deliberate sau accidentale,
deschise sau mascate (ascunse) i pot veni din partea: spionajului i serviciilor secrete; dumanilor,
nedreptiilor i neloialilor dintre angajaii firmei; vandalilor i utilizatorilor; organizaiilor
subversive i teroriste; adolescenii curioi; criminalii informatici etc.
O ameninare este eventualitatea unei surse particulare de ameninare de a folosi cu succes o
vulnerabilitate.
O vulnerabilitate reprezint o slbiciune care poate accidental declana un eveniment sau poate fi
exploatat intenionat.
O surs de ameninare nu reprezint un risc atunci cnd nu exist o vulnerabilitate care s poat fi folosit.
In determinarea probabilitii de apariiei a unei ameninri trebuie luate n considerare sursele ameninrii i
controalele existente.
2.4 Asigurarea proteciei informaiei in condiiile informatizrii societii
Securitatea informaional reprezint starea de protejare a sistemului n toate etapele proceselor de
creare, prelucrare, pstrare i transmitere a datelor fa de aciuni accidentale sau premeditate cu caracter
natural sau artificial, care au ca rezultat prejudiciul posesorilor i utilizatorilor resurselor i infrastructurii
informaionale. Securitatea informaiei se realizeaz prin implementarea unui set de msuri integrat ntr-o
strategie la nivelul organizaiei, care asigur c obiectivele de securitate ale organizaiei sunt atinse si sunt
concretizate n:
Structuri organizaionale
Politici
Practici
Proceduri
Sisteme informatice
Pentru a-si defini politica de securitate organizatia trebuie sa se decida:
 care amenintari trebuie eliminate si care tolerate;
 care resurse trebuie protejate si la ce nivel;
 cu ce mijloace poate fi implementata securitatea ;
 care este pretul masurilor de securitate care poate fi acceptat.
 un aspect important in stabilirea mecanismelor de securitate o constituie partea financiara.
Un mecanism de control nu trebuie sa depaseasca valoare bunului bunului ce trebuie protejat.
Securitatea informatiei constituie o investitie, si nu un cost in plus.
2.4.1 Mijloace prin care se poate asigura protectia informatiei:
msuri organizatorice, contra distrugerii datorate catastrofelor naturale, referitoare la selecia
profesional a personalului, organizarea unui sistem de control a accesului, organizarea pstrrii i
utilizrii suporturilor de informaii;
msuri juridice, care cuprind documente normative care controleaz i reglementeaz procesul
prelucrrii i folosirii informaiei;
2

Curs 2 SIM

Rodica ROHAN

mijloace informatice, constituite din echipamente, programe i tehnici de protecie.

Metodele de protecie depind de tipul de vulnerabiliti pe care le protejeaz.
Soluiile date de programele antivirus, antispam, antispyware, echipamentele sau programele de tip
firewall, VPN, programele de detecie i prevenire a intruziunii (IDS, IPS) sau criptarea informaiei sunt
metode folosite pe scar larg de toi cei care sunt contieni de riscurile comunicaiilor n era
Internetului.
2.4.2 Mecanismele principale de asigurare a securitii informaiei sunt:
a) autentificarea i autorizarea (metode centralizate);
b) gestiunea accesului;
c) auditul i logarea aciunilor;
d) criptarea informaiei etc.
2.4.3 Principalele etape ale unui proiect de asigurare a securitii informaiei in cadrul unei
organizatii
 Evaluarea infrastructurii existente
Structura Organizatorica
Modelul Proceselor de Business
Evaluarea valorii informatiei detinute si clasificarea datelor
 Identificarea amenintarilor
Analiza cantitativa si calitativa a riscurilor
Politici de securitate, proceduri, standarde, cerinte de baza
Crearea politicilor necesare continuarii activitatii (business continuity) si disaster recovery
Analiza post- incident
 Evaluarea ameninrilor, vulnerabilitilor i consecintelor lor pentru sistemul informatic al
unei organizaii.
 Documentarea rezultatelor evalurii
Odat ce evaluarea a fost realizat (sursele ameninrilor i vulnerabilitile identificate, riscurile
evaluate i formulate recomandrile privind controalele), rezultatele trebuie s fie documentate ntrun raport oficial, care ajut managementul s ia decizii privind politica, procedurile, bugetul si
sistemul operaional i schimbrile de management.
 Elaborarea, implementarea si intretinerea politicilor si procedurilor de securitate
Securitatea informatiilor nu este doar o problema tehnic. Ea este n primul rnd o problem
managerial.

2.5 Implementarea Sitemului de Management al securitii informaionale

Un Sistem de Management al Securitatii Informatiilor (SMSI) este o abordare sistematica a
gestionarii informatiilor sensibile ale organizatiei n scopul protejarii acestora, ce implica oameni,
procese si sisteme IT&C.
Implementarea i certificarea unui SMSI este o decizie strategic pentru orice organizaie, deoarece
garanteaza securitatea informatiilor societatii certificate dar si a informatiilor clientilor si partenerilor de
afaceri.
Conceptul ce sta la baza oricarei implementari a SMSI este prevenirea incidentelor de securitate IT prin
controlul activ al resurselor.
3

Curs 2 SIM

Rodica ROHAN

Implementarea unui SMSI inseamna, de cele mai multe ori i obtinerea unei certificari ISO-270012005.
Aceasta certificare atesta intrinsec un set de calitati ale organizatiei certificate si poate fi vazuta ca un
insemn de prestigiu. Un sistem de management al securitatii informatiilor certificat demonstreaza
angajamentul si capacitatea in detinerea controlului tuturor informatiilor si datelor pe care organizatia le
gestioneaza.
Implementarea SMSI este un proces complex, etapizat, realizabil cu interventia managementului, a
departamentelor IT si telecomunicatii si a personalului ce utilizeaza resurse informationale in desfasurarea
activitatii. Principalele etape ale acestui demers sunt:
1. Inventarierea tuturor bunurilor si a serviciilor IT&C crearea unui registru al bunurilor si
serviciilor existente in companie, desemnarea unui Proprietar fie un departament ce utilizeaza resursa,
care isi va asuma responsabilitatea pentru functionarea si controlul resursei respective.
2. Indexarea riscului pentru fiecare dintre bunurile si serviciile IT&C tabel ce va contine un index
de risc pentru fiecare dintre resursele inventariate, in conformitate cu un set de politici directive, ce va fi
elaborat in paralel si va fi diferit pentru fiecare organizatie
3. Numirea unei persoane Responsabile cu Securitatea Informationala dintre angajatii existenti sau
printr-o noua colaborare cu un tert. Va superviza implementarea SMSI si va raspunde, unde este cazul, de
buna functionare a sistemului implementat.
4. Crearea unei Diagrame de Procese un document cuprinzator pentru fiecare proces intern din cadrul
departamentelor companiei. Vor fi marcate toate activitatile departamentelor, circuitul documentelor
interne precum si orice alte documente si informatii ce circula prin departamentele respective.
5. Elaborarea unui Manual de Politici si Proceduri Operationale crearea unor documente directive
Politici si a conexelor acestora, documente operationale Proceduri, conforme cu cerintele
Standardului ISO 27001.Un manual complet va include un set de minim 10 Politici ce trateaza aspecte
privitoare la securitatea comunicatiilor, reguli de acces la servicii de tip e-mail, Internet si Intranet, reguli
ref. la procesele de recuperare a informatiilor in caz de dezastru.
6. Crearea de documente conexe Manualului de Politici ce vizeaza Asumarea Responsabilitatii
Managementului Organizatiei pentru implementarea SMSI
7. Revizuirea documentelor
8. Auditul (de tre parte) pentru obtinerea certificarii ISO-27001.

2.6 Reglementri in domeniu

ISO /CEI 27001:2005 Tehnologia informatiei Tenici de securitate sisteme de management al

securitatii informatiei- Cerinte. Acest standard specifica procesele care permit unei organizaii, sa
stabileasca, implementeze, analizeze, monitorizeze, gestioneze si actualizeze un sistem de
management al securitii informaiei eficace n contextul proceselor de business.
ISO /CEI 27001:2005 este aplicabil unei game variate de organizaii: mici, mijlocii, mari din
majoritatea domeniilor: finante, administratie, asigurari, telecomunicatii, industrii,servicii,distributie,
transporturi, guvernamental, sanatate etc.
El integreaza abordarea bazata pe proces a standardelor ISO referitoare la sisteme de management,
inclusiv ciclul PDCA si cerinta imbunatatirii continue.
ISO/IEC 17799 - "Tehnologia Informaiei - Cod de bun practic pentru managementul securitii
informaiei". - ghid pentru implementarea unui set de msuri, care pot fi politici, practici, proceduri,
4

Curs 2 SIM

Rodica ROHAN

structuri organizaionale i funcii software, n vederea consolidrii securitii informaiei gestionate

de ctre o organizaie, subliniindu-se importana evalurii riscurilor n implementare.
ISO/IEC 17799:2005 - cod de buna practica, nu un standard pentru certificare, fiind folosit n
conjunctie cu standardul international ISO/IEC 27001:2005.
SR EN ISO 12207:2000 Procesele ciclului de via al softwarelui
Legea nr. 455 din 18 iulie 2001. - organizeaz modalitile de acceptare n justiie a documentelor
electronice (recunoaterea valorii juridice a semnturii electronice).

2.7 Beneficiile unei certificari a SMSI

Indicarea in mod clar a indeplinirii de catre organizatie a conditiilor ISO 27001

Ofera clientilor si partenerilor de afaceri incredere
Reduce necesitatea unei posibile evaluari a sistemului de securitate din partea clientilor sau
partenerilor care cer acest lucru;
Ofera managerilor un control mai bun asupra fluxurilor de informatii ;
Sunt identificate si tinute sub control riscurile care pot afecta activitatea;
Posibilitatatea de a intruni toate conditiile de eligibilitate la licitatii acolo unde certificarea
SMSI este un criteriu ;
O pozitie si imagine mai buna pe piata, in fata societatilor concurente care au doar un singur
sistem certificat (ex : ISO 9001)
credibilitatea, integritatea si increderea conferita clientilor, angajatilor, partenerilor
contractuali si proprietarilor c informatiile si sistemele informatice ale companiei sunt
protejate
conferirea dovezii pentru autoriti ca sunt respectate legile si reglementarile in vigoare
asigurarea unui plan de continuitate al afacerii si de recuperare din dezastru, adecvat
organizatiei
cresterea productivitatii prin reducerea riscurilor operationale si o mai mare disponibilitate in
exploatarea sistemelor informatice
diferentierea fata de alti competitori in cadrul licitatiilor organizate in cadrul sectorului public
sau la incheierea unor contracte comerciale, care implica accesul la informatii sau chiar secrete
de stat.