PSSI bb15

UNIVERSITATEA Al.I.
Cuza IAI
FACULTATEA DE ECONOMIE I ADMINISTRAREA AFACERILOR
DEPARTAMENTUL PENTRU NVAMNT LA DISTAN I
NVMNT CU FRECVEN REDUS
DUMITRU OPREA
PROTECIA I SECURITATEA SISTEMELOR

INFORMAIONALE
Material de studiu pentru nvmntul la distan/ nvmntul cu frecven
redus
Iai, 2015
Cuprins
Cuprins .................................................................................................................................................. 2
Prefa ................................................................................................................................................... 6
Unitatea de studiu I Cadrul general al proteciei i securitii sistemelor
informaionale
7
1.1 Scurt istorie modern a (in)securitii informaiilor .............................................................. 7
1.2. Particulariti ale securitii sistemelor informaionale ........................................................ 11
1.2.1 Vulnerabilitatea microcalculatoarelor .......................................................................................... 14
1.2.2 Forme de manifestare a pericolelor n sistemele informaionale ................................................. 17
1.2.3 Asigurarea securitii sistemelor informaionale pai de urmat i reguli generale ................ 21
1.3 Mecanisme de aprare prezentare general ......................................................................... 22

Rezumat .................................................................................................................................................... 24
Bibliografie disponibil n biblioteca FEAA .......................................................................................... 24
Unitatea de studiu II Protecia informaiilor prin clasificarea lor

25
2.1 Forme embrionare de protejare a informaiilor...................................................................... 25
2.2 nceputurile clasificrii moderne a informaiilor .................................................................... 26
2.3 Clasificarea informaiilor .......................................................................................................... 28
2.3.1 Informaii subiective ....................................................................................................................... 29
2.3.2 Informaii obiective ......................................................................................................................... 29
2.3.3 Secrete subiective, secrete obiective i secrete comerciale ........................................................... 30
2.3.4 Determinarea necesitii clasificrii informaiilor ....................................................................... 31
2.4 Declasificarea i degradarea informaiilor clasificate ............................................................. 33

2.5 Principiile protejrii informaiilor speciale ............................................................................. 34
2.6 Protejarea suporturilor informaionale ................................................................................... 35
2.6.1 Marcarea materialelor cu regim special ....................................................................................... 36
2.6.2 Pstrarea i distrugerea materialelor speciale .............................................................................. 36
2.7 Clasificarea informaiilor organizaiilor .................................................................................. 37

Rezumat .................................................................................................................................................... 38
Unitatea de studiu III Controlul accesului n sistemele informaionale

40
3.1 Tipuri de control al accesului n sistem .................................................................................... 40
3.2 Identificarea i autentificarea .................................................................................................... 43
3.2.1 Principii de baz ale controlului accesului .................................................................................... 44
3.2.2 Controlul accesului prin obiecte .................................................................................................... 45
3.2.3 Controlul accesului prin biometrie ................................................................................................ 47
3.2.4 Controlul accesului prin parole ..................................................................................................... 49
3.2.5 Controlul geografic al accesului n sistem ..................................................................................... 52
Rezumat .................................................................................................................................................... 53
Unitatea de studiu IV Politici, standarde, norme i proceduri de securitate

54
4.1 Modele de politici de securitate ................................................................................................. 54
4.1.1 Modele de securitate multinivel ..................................................................................................... 55
4.1.2 Modele ale securitii multilaterale ............................................................................................... 58
4.2 Programul de securitate ............................................................................................................. 60

4.2.1 Politicile............................................................................................................................................ 61
4.2.2 Standardele, normele i procedurile de securitate ....................................................................... 62
4.2.3 Exemple de politici de securitate .................................................................................................... 63
Rezumat .................................................................................................................................................... 68
Unitatea de studiu V Criptografia

69
5.1 Concepte de baz ........................................................................................................................ 69
5.2 Scurt istoric al criptografiei ....................................................................................................... 70
5.3 Tehnologii criptografice ............................................................................................................. 71
5.3.1 Substituia ........................................................................................................................................ 72

5.3.2 Transpoziia (permutarea) ............................................................................................................. 72
5.3.3 Cifrul lui Vernam ............................................................................................................................ 73
5.3.4 Cifrul carte ...................................................................................................................................... 73
5.3.5 Codurile ........................................................................................................................................... 74
5.3.6 Ascunderea informaiilor ............................................................................................................... 74
5.4 Sisteme de criptare prin chei secrete (simetrice) ..................................................................... 81

5.5 Sisteme de criptare prin chei publice (asimetrice) .................................................................. 82
5.6 Semntura digital...................................................................................................................... 83
Rezumat .................................................................................................................................................... 84
Unitatea de studiu VI Securitatea la nivelul centrelor de prelucrare a datelor
85
6.1 Alegerea amplasamentului centrelor de calcul ................................................................................ 85

6.2 Proiectarea centrului de calcul ......................................................................................................... 86
6.3 Protecia i securitatea mediului de lucru al calculatoarelor ......................................................... 88
Rezumat .................................................................................................................................................... 90
Unitatea de studiu VII Securitatea echipamentelor de prelucrare a datelor
91
7.1 Vulnerabilitatea echipamentelor de prelucrare a datelor .............................................................. 91

7.2 Asigurarea echipamentelor mpotriva inteniilor de modificare a lor ........................................... 92
7.3 Controlul integritii echipamentelor ............................................................................................... 92
7.4 Proceduri de ntreinere a echipamentelor ...................................................................................... 93
7.5 Tolerana la cdere a echipamentelor .............................................................................................. 94
7.6 Contractele ncheiate cu furnizorii de echipamente ........................................................................ 95
Rezumat .................................................................................................................................................... 96
Unitatea de studiu VIII Securitatea software-ului ................................................................... 97

8.1 Obiectivele securitii prin software ................................................................................................. 97
8.2 Limitele softului pentru asigurarea securitii ................................................................................ 97
8.3 Msuri generale de asigurare a securitii softului ......................................................................... 98
Rezumat .................................................................................................................................................. 100
Bibliografie disponibil n biblioteca FEAA ........................................................................................ 100
Unitatea de studiu IX Securitatea personalului..................................................................... 101

9.1 Ameninri de securitate asociate personalului ............................................................................. 101
9.2 Principii manageriale de securitate a personalului ....................................................................... 102
9.3 Msuri pe linia securitii din punct de vedere al personalului ................................................... 102
Rezumat .................................................................................................................................................. 108
Unitatea de studiu X Securitatea comunicaiilor

109
10.1 Interceptarea conversaiilor .................................................................................................. 109
10.2 Securitatea telefoanelor standard ......................................................................................... 110
10.3 Securitatea telefoniei mobile .................................................................................................. 113
Rezumat .................................................................................................................................................. 120
Unitatea de studiu XI Aspecte juridice privind protecia i securitatea sistemelor

informaionale
121
11.1 Legislaia n Romnia ............................................................................................................. 121
11.2 Protecia prin patente, copyright, licene i mrci nregistrate ......................................... 134
11.2.1 Patentele la nivelul Oficiului European de Patente (EPO European Patent Office) .......... 135
11.2.2 Copyright-ul ................................................................................................................................ 136
11.2.3 Protejarea mrcilor nregistrate ................................................................................................ 141
11.2.4 Licenele ....................................................................................................................................... 141
Rezumat .................................................................................................................................................. 142
Bibliografie general
Referine Internet
Bibliografie disponibil n biblioteca FEAA
143
144
145
Unitatea de studiu I
Cadrul general al proteciei

i securitii sistemelor informaionale
Unitatea de studiu 1 dorete s-i conving cititorii c:

averile informaionale sunt foarte importante n activitatea organizaiilor mai mici i
mai mari, iar preocuprile pe linia asigurrii securitii lor, dei exist din cele mai
vechi timpuri, s-au intensificat o dat cu dezvoltarea tehnicii de calcul;
exist o gam larg de pericole i vulnerabiliti asociate acestor averi, iar ea se
extinde simultan cu dezvoltarea tot mai rapid a tehnologiilor informaionale i de
comunicaii;
securitatea averilor informaionale este o component de baz a ecuaiei succesului
organizaional i o problem mai degrab uman dect tehnic, posibil de rezolvat
cu mijloace ieftine.
Unitatea de studiu trateaz:
o scurt istorie modern a (in)securitii informaiilor;
particularitile securitii sistemelor informaionale;
elementele de vulnerabilitate a microcalculatoarelor;
formele de manifestare a pericolelor n sistemele informaionale;
regulile generale de asigurare a securitii sistemelor infomaionale;
mecanismele de aprare a averilor informaionale.
Timpul de lucru necesar:
pentru parcurgerea unitii: 4 h;
pentru rezolvarea temelor individuale: 4 h.
1.1 Scurt istorie modern a (in)securitii informaiilor

Investind n tehnic sume colosale, firesc, oamenii au nceput s foloseasc metode
adecvate de pstrare a ei n camere speciale, cu ui ncuiate prin sisteme sofisticate, bazate pe
cifru, ferind, ca i pn acum, noua avere de privirile curioilor. S-a tratat, deci, tehnica de
calcul ca i seifurile ce pstrau banii i bijuteriile de familie, uitndu-se un amnunt foarte
important, i anume c noile averi sunt nu cele materiale, ci imateriale, cu forme speciale de
utilizare, i cu valori intrinseci, invizibile de cele mai multe ori, iar cile de protejare folosite
pn acum devin ineficiente sau insuficiente. Mai clar, informaia, cci ea reprezint noua
avere, devine o resurs de nebnuit a organismelor economico-sociale. Alturi de capital i
oameni, informaia este una dintre averile deosebite ale firmei.
Insecuritatea, amintit anterior, rezid i din faptul c orice persoan care dialogheaz cu
calculatorul unei firme, fie prin multitudinea tipurilor de reele, fie prin sistemele de pot
electronic (e-mail) sau prin intermediul dischetelor, CD-urilor, DVD-urilor, USB-urilor, al
benzilor magnetice sau al altor suporturi de informaii, aduse din afara unitii, sau prin
scrierea unor programe cu rol special, poate s fac urmtoarele lucruri: s copieze fiierele
importante ale altor firme, s influeneze evidenele altora pentru a le cauza pierderi, s
reprogrameze calculatoarele incluse n configuraia sistemelor de producie pentru a provoca
avarierea utilajelor sau pentru producerea accidentelor umane (inclusiv uciderea lor), s
tearg programe sau fiiere i multe altele.
PROTECIA I SECURITATEA SISTEMELOR INFORMAIONALE
Dac ne raportm la dinamica fantastic din domeniu, ne dm seama de creterea

constant a riscului la care se expun beneficiarii noilor tehnologii informaionale, platformele
de lucru genernd, la rndul lor, noi medii de utilizare. Se pot puncta cteva momente
eseniale, pe planul evoluiei tehnologiilor folosite, cu impact asupra sistemelor de securitate,
i ncercm s efectum o grupare a lor pe generaii, astfel:
generaia I, securitatea sistemelor bazate pe calculatoare mari, de sine stttoare;
generaia a II-a, securitatea sistemelor distribuite;
generaia a III-a, securitatea microcalculatoarelor, inclusiv a reelelor locale;
generaia a IV-a, securitatea Internetului;
generaia a V-a, securitatea comerului i afacerilor electronice;
generaia a VI-a, securitatea comerului i afacerilor mobile;
generaia a VII-a, securitatea global a lumii virtuale, a ntregului spaiu cibernetic.
Dintr-un alt punct de vedere, al elementelor prelucrate i al produselor oferite
utilizatorilor, am putea vorbi de o alt sistematizare evolutiv, dup cum urmeaz:
securitatea datelor;
securitatea datelor i informaiilor;
securitatea datelor, informaiilor i cunotinelor.
Prin aceast ultim prezentare, am intenionat s suprindem trecerea de la societatea
preocupat de creterea performanelor prin colectarea mai rapid a datelor, la societatea
informaional a zilelor noastre, pn la societatea ce se contureaz n mileniul III, a
cunoaterii.
Analiza locurilor de amplasare a echipamentelor folosite pentru atingerea scopurilor
prelucrrii, implicit ale securizrii, ne va conduce, n timp, spre spaii tot mai extinse: centre
de prelucrare automat a datelor, puncte de amplasare a terminalelor clasice, birouri i case
ale utilizatorilor, cldiri izolate i/sau grupate componente ale reelelor locale, metropole,
ari, grupuri de ri, ajungnd, prin world-wide-web (www), la ntreaga planet.
Dac, din curiozitate, vei accesa www.attrition.org, vei afla ct de vulnerabile sunt pn
i site-urile marilor corporaii. n fiecare an, site-uri ale unor companii celebre (Pepsi Cola
UK, Egypt Air, U.S.A. Government National Oceanic and Atmospheric Administration,
McDonalds etc.) sufer atacuri de diverse naturi.
Soluia? Msuri dure de securitate luate pe cont propriu sau prin apelarea la firme care v
asigur mpotriva unor astfel de incidente. Liderul mondial absolut l vei gsi la adresa
www.counterpane.com. El v protejeaz mpotriva pierderilor din cauza hackerilor de pn la
1 milion dolari, cu o asigurare de 20.000 dolari anual; cu 75.000 dolari v asigur anual
pierderile de pn la 10 milioane dolari; pierderile pn la o sut de milioane dolari pot fi
asigurate prin sume negociabile.
Oricum, calculatoarele, pe zi ce trece, devin o parte tot mai intim a vieii noastre, a
tuturor. Despre aspectele securitii sistemelor informaionale, pe plan mondial, s-au scris o
mulime de cri, s-au inut conferine sau seminarii internaionale, dar s-a fcut nc puin
pentru transpunerea lor n practic. Muli cred c n-au nevoie de ea sau consider c
necazurile se pot ine doar de alii.
Soluia problemei nu este de natur tehnic, att timp ct cu mijloace tehnice reduse ca
performan se pot efectua pagube imense. n mod asemntor, trebuie pus i problema
securitii, ea fiind uor de realizat cu mijloace ieftine. Securitatea sistemelor informaionale
este, n primul rnd, o problem uman, nu tehnic, i se impune a fi tratat ca atare. Trebuie
s se neleag faptul c securitatea sistemelor informaionale este o component de baz a
ecuaiei succesului firmelor. De multe ori, conducerea se intereseaz doar de reducerea
CADRUL GENERAL AL PROTECIEI I SECURITII SISTEMELOR INFORMAIONALE
cheltuielilor generale, neglijnd aspectele att de importante ale protejrii averii

informaionale. Totui, n ultimul timp, se constat o schimbare a opticii manageriale.
Preocupri deosebite pe linia securitii datelor, ndeosebi a celor prelucrate automat, sau
a sistemelor electronice de calcul, n toat complexitatea lor, au aprut nc din anii 1960.
ntre timp, s-au creat organisme naionale i internaionale, cu un astfel de obiectiv. Au aprut
numeroase cri, inclusiv cursuri universitare, cu teme apropiate, cum ar fi Criptografia i
securitatea datelor, curs predat din anii 1970 la Universitatea George Washington,
Securitatea datelor i informaiilor i contabilitatea analitic, la universitile din Delaware
i Ohio. Rezultate remarcabile a nregistrat i Universitatea din Ontario de Vest, din Canada.
Ulterior, n Europa, reeaua specialitilor n securitatea sistemelor informaionale s-a extins
din Anglia n Olanda, Belgia, Suedia, Germania, cuprinznd ntreaga arie a rilor puternic
dezvoltate. n numeroase ri se predau cursuri universitare care conin tematici apropiate ca
formulare, dar toate au un obiectiv comun: securitatea informaiilor n sistemele de prelucrare
automat a datelor. Ca efect, n universiti se creeaz diverse grupuri de iniiai n domeniu,
cei mai reprezentativi fiind experii sau realizatorii de sisteme expert pentru verificarea
securitii, analiza riscului i evaluarea potenialelor pagube, sau productorii de software
specializat n auditarea sistemelor informaionale.
Din anul universitar 1999/2000, la Georgetown University, se pred cursul Rzboiul
informaional i securitatea pentru studenii din diverse domenii, cum ar fi cei de la politici
internaionale, de la administraie public, administrarea afacerilor, comunicare, tiine exacte
i n toate domeniile socio-umane.
n ultimul timp, se poate vorbi de o mare gam a specializrilor n foarte complexa
problem a securitii sistemelor.
La nivel internaional, semnificativ este constituirea, nc din 1960, a IFIP
(International Federation for Information Processing = Federaia Internaional pentru
Prelucrarea Informaiilor), creat sub auspiciile UNESCO, care reunete cadrele didactice i
ali specialiti preocupai de prelucrarea informaiilor, n numr de peste 3500. Din ea fac
parte organizaii din 58 de ri sau regiuni. Activitatea tehnic a IFIP este coordonat prin 14
comisii tehnice, fiecare dintre ele avnd un numr diferit de grupuri de lucru, care se ocup cu
aspecte concrete ale unui anumit domeniu de activitate.1 Comisia TC11 Protecia i
securitatea n sistemele de prelucrare a informaiilor are urmtoarele grupuri de lucru:
WG11.1 Managementul securitii informaiilor;
WG11.2 Securitatea sistemelor omniprezente (Pervasive Systems Security);
WG11.3 Securitatea datelor i aplicaiilor;
WG11.4 Securitatea reelelor i sistemelor distribuite;
WG11.5 Integritatea i controlul sistemelor dizolvat n 2007;
WG11.6 Managementul identitii;
WG11.7 Tehnologii informaionale: Abuzurile i cadrul legal;
WG11.8 Educaia n domeniul securitii informaiilor;
WG11.9 Criminalistic n mediul digital (Digital Forensics);
WG11.10 Protecia infrastructurilor critice;
WG11.11 Managementul ncrederii (Trust Management);
WG11.12 Aspecte umane ale securitii i asigurrii informaionale;
WG11.13 Cercetri n domeniul securitii sistemelor informaionale.
Potrivit www.ifip.org, ianuarie 2011.
10
Pentru a v edifica asupra rolului unor astfel de organizaii, putei lectura scopul nfiinrii i a
obiectivele urmrite de fiecare dintre grupurile de lucru menionate la adresa de Internet www.ifip.org.
De asemenea, recomandm site-ul pentru informarea privind domeniile actuale de interes,
principalele evenimente profesional-academice i personalitile din zona IT.
n 1974, s-a nfiinat Institutul pentru Securitatea Calculatoarelor (Computer Security

Institute CSI , cu site-ul www.gocsi.com) pentru formarea i perfecionarea continu a
specialitilor n securitatea informaiilor, a calculatoarelor i a reelelor.
n anul 1990, Comitetul pentru Informaii, Calculatoare i Politici de Comunicaie ale
Organizaiei pentru Cooperare i Dezvoltare Economic (OECD) a constituit un grup de
experi pentru a pregti ghidul securitii sistemelor informaionale. n octombrie 1992, s-a
realizat Ghidul pentru securitatea sistemelor informaionale, iar, n noiembrie 1992, cele 24
de ri membre ale OECD l-au aprobat. Obiectivul de baz l-a constituit crearea unui cadru de
baz care s nlesneasc dezvoltarea i introducerea mecanismelor, practicilor i a
procedurilor pentru asigurarea securitii sistemelor informaionale. Ghidul se adresa tuturor
sistemelor informaionale din sectorul public i privat, supuse jurisdiciei naionale, prin
enunarea a nou principii de baz: responsabilitate, contientizare, etic,
multidisciplinaritate, proporionalitate, integrare, oportunitate, reevaluare periodic,
democraie.
De asemenea, la nivelul anului 1990, Consiliul Cercetrii Naionale al SUA, printr-un
raport special, Computer at Risk (CAR), prezenta starea securitii sistemelor informaionale
din SUA i recomanda ase seturi de aciuni. Prima recomandare se referea la crearea i
promulgarea principiilor general acceptate de securitate a sistemelor (Generally Accepted
System Security Principles, GASSP). Recomandarea pentru crearea GASSP a condus la
nfiinarea, la sfritul anului 1992, a Fundaiei Internaionale pentru Securitatea
Informaiilor.
n 1997, comitetul GASSP, care era format din experi n securitatea informaiilor din
zece ri, inclusiv SUA, a lansat GASSP, versiunea 1.0, care conine nou principii de baz,
referite ca principii universale, bazate pe principiile OECD. n acelai timp, Institutul
Naional de Standarde i Tehnologie din SUA a emis un raport cu aceleai nou principii,
aplicabile la nivelul organismelor guvernamentale federale.
Menionm i faptul c, pn n anul 1994, a existat Comitetul Coordonator pentru
Controlul Multilateral al Exporturilor (Coordinating Committee for Multilateral Export
Controls, COCOM), cu scopul instituirii unui regim comun de control al exporturilor la
nivelul celor 17 ri membre. Acestea erau Australia, Belgia, Canada, Danemarca, Frana,
Germania, Grecia, Italia, Japonia, Luxemburg, Marea Britanie, Norvegia, Olanda, Portugalia,
Spania, Statele Unite ale Americii, Turcia. Ca membri asociai erau Austria, Coreea de Sud,
Elveia, Finlanda, Irlanda, Noua Zeeland, Polonia, Singapore, Slovacia, Suedia, Taiwan i
Ungaria n total 12 ri. Scopul principal l constituie restricionarea exporturilor spre
anumite ri, cum ar fi Libia, Irak, Iran, Coreea de Nord considerate a fi ri ce sprijin
micrile teroriste. Exporturile spre alte ri erau permise, ns pe baz de licene.
n 1991, COCOM a adoptat Nota General privind Software-ul (General Software Note,
GSN), prin care s-a permis exportul de mas al softului criptografiat, inclusiv cel din
domeniul public, la nivelul rilor membre. De asemenea, erau acceptate exporturile
criptografice folosite pentru autentificare, inclusiv produsele folosite pentru criptarea
parolelor. Toate rile membre au respectat Nota, cu excepia SUA, Marea Britanie i Frana.
n iulie 1996, 31 de ri au semnat Acordul Wassenaar privind Controlul Exporturilor de
Arme Convenionale, Bunuri i Tehnologii cu Dubl ntrebuinare. Acesta a fost semnat i de
11
Romnia, Rusia, Republica Ceh, iar ulterior, de Bulgaria i Ucraina. Prevederile privind
criptografia au fost preluate de la COCOM.
Deci, dac de peste patru decenii sunt preocupri pe linia securitii informaiilor
prelucrate n sistemele de prelucrare automat, prin cursuri universitare, cri, simpozioane
.a., dac pe plan internaional exist attea organisme care se ocup de problematica
menionat, considerm fireasc abordarea i la noi, cu mai mult seriozitate, a Proteciei i
securitii informaiilor.
Identificai cteva repere istorice (la nivel statal, academic sau organizaional) privind protecia i securitatea
informaiilor n Romnia.
1.2. Particulariti ale securitii sistemelor informaionale

Odat cu trecerea spre prelucrarea masiv a datelor cu ajutorul calculatoarelor
electronice, ca urmare a volumului mare al investiiilor i a transferrii grijii informaiei
ctre sistemele electronice de calcul, s-a pus ntr-un alt context problema protejrii noilor
averi, fizice i informaionale. Totul trebuie pornit de la schimbarea opticii privind gestiunea
fizic a noilor averi, dar i de la valorificarea pe multiple planuri a datelor memorate,
ncercndu-se s se obin alte dimensiuni ale funciei de informare a conducerii, prin
utilizarea informaiilor arhivate i pstrate n alte condiii.
n vederea obinerii noilor performane, datele prelucrate sunt supuse unor operaiuni
suplimentare n faza de culegere, astfel nct s poat fi valorificate ulterior pe mai multe
planuri. Preluarea datelor din dou sau mai multe documente operative n unul sau mai multe
fiiere, avnd suportul de nregistrare specific noii variante de prelucrare, constituie o
12
ndeprtare vizibil de modul tradiional de pstrare a documentelor primare, de gestionare a

lor, i duce la apariia mai multor persoane care pot accesa aceleai date. Mai mult, prin
agregarea nregistrrilor anterioare, pot rezulta chiar noi informaii.
Cum noile resurse fizice ale sistemelor de calcul sunt destul de scumpe, se constat o
tendin de centralizare a prelucrrilor de date, din motive de economie, dar, n acelai timp,
sporete grija asigurrii securitii lor, ntruct riscul pierderii lor sau al consultrii
neautorizate este i mai mare. ntr-un astfel de caz, nu trebuie uitat principiul dominant al
prelucrrii automate a datelor, GIGI (Gunoi la Intrare, Gunoi la Ieire), conform cruia o
eroare strecurat ntr-un sistem integrat se propag cu o vitez inimaginabil, n zeci sau sute
de locuri din sistem, genernd, la rndul ei, o multitudine de erori n rapoartele ce se vor
obine ulterior.
Alt element, deosebit de important, l constituie factorul uman. Dac n vechile sisteme
erau uor de controlat locurile de pstrare a informaiei, acum, ntr-un mediu puternic
informatizat, persoanele cu atribuii de urmrire a modului de realizare a securitii datelor au
o misiune mult mai dificil. Se pot nregistra dou cazuri: fie c nu pot intui cile prin care
datele pot fi accesate pe ascuns, n vederea sustragerii sau modificrii lor, fie c nu reuesc s
descopere de unde i cine, cu ajutorul unui calculator aflat la distan de locul pstrrii
datelor, are acces neautorizat n sistem. Surpriza poate veni tocmai de la persoanele care
lucreaz cu cea mai mare asiduitate la anumite aplicaii. Loialitatea excesiv, n acest caz,
poate da de gndit.
Prin trecerea la prelucrarea automat a datelor (p.a.d.) s-au schimbat i suporturile
informaiei, precum i mijloacele de lucru, situaie n care apar noi aspecte, i anume:
Densitatea informaiei este mult mai mare n mediul informatic dect n sistemele
clasice, bazate pe hrtie. Prin utilizarea discurilor optice sau a stick-urilor USB, zeci de
volume, nsumnd zeci de mii de pagini de hrtie, pot fi introduse cu mult uurin ntr-un
buzunar. CD-urile, DVD-urile, cardurile, memoriile flash, hard-discurile portabile i alte
suporturi moderne pot fi astfel subtilizate discret, cu eforturi minime dar cu efecte distructive
majore.
Obscuritatea sau invizibilitatea constituie o alt problem, ntruct coninutul
documentelor electronice i al rapoartelor derivate stocate pe suporturile enumerate mai sus
nu poate fi sesizat pe cale vizual la un control de rutin. De multe ori, cei pui s controleze
nu au pregtirea informatic i nici echipamentele necesare pentru a observa o eventual
sustragere de fiiere.
Accesibilitatea datelor din sistemele de calcul este mai mare, cel puin pentru o nou
categorie de infractori, catalogai hoi cu gulere albe, fcndu-se trimitere vdit la nivelul
de cultur, n primul rnd informatic, al acestora.
Lipsa urmelor eventualelor atacuri criminale constituie un alt element ngrijortor al
noului mediu de lucru. tersturile din vechile documente pentru schimbarea sumelor,
precum i adugrile de noi nregistrri cu creionul nu mai exist, modificrile n fiierele
electronice sunt efectuate cu mult lejeritate i foarte greu de depistat ulterior.
Remanena suporturilor, dup ce au fost terse, poate constitui o cale sigur de intrare n
posesia informaiilor memorate anterior. Se cunosc numeroase programe de restaurare a
fiierelor terse.
Agregarea datelor. Puse laolalt, datele capt alt valoare dect cea avut prin pstrarea
lor n mai multe locuri separate unele de altele. Uneori, informaiile de sintez sunt
valorificate prin programe speciale n vederea obinerii, tot cu ajutorul calculatorului, a
strategiei i tacticii firmei ntr-un anumit domeniu. Edificator este cazul benzilor magnetice
13
ale firmei IBM, care conineau direciile de cercetare pe urmtorii 15 ani, intrate n posesia
unei firme dintr-o ar concurent.
Necunoaterea calculatoarelor. Pentru foarte multe persoane, ndeosebi de vrst
naintat, calculatorul este investit cu fore supraomeneti, ceea ce le confer o ncredere
oarb n datele obinute prin intermediul lui. De asemenea, din motive de nepricepere, aceti
anagajai pot fi victime uoare ale coruptorilor ... informatizai.
Progresul tehnologic. Rezultatele cercetrilor tehnico-tiinifice se transform zi de zi n
tehnologii din ce n ce mai performante de accesare a datelor. Nu acelai lucru se poate spune
i despre progresele nregistrate n domeniul securitii datelor.
Comunicaiile i reelele, devenind tot mai performante, au extins aria utilizatorilor, att
din punct de vedere numeric, ct i al dispersiei n teritoriu, ntregul spaiu terestru fiind
accesibil reelelor foarte mari. Odat cu noile progrese, i aria utilizatorilor ru intenionai s-a
mrit, precum i variantele de furt informatizat.
Integrarea puternic a sistemelor apare ca o consecin a mbuntirii formelor de
comunicaie i a proliferrii reelelor de calculatoare. Pe acelai canal de comunicaie sunt
transmise tot felul de date. n plus, introducnd o dat eronat n sistem, de la un banal punct
de vnzare, ea ptrunde cu rapiditate n zeci de fiiere i, implicit, aplicaii ale firmei.
Comerul i afacerile electronice au deschis i mai mult apetitul specialitilor n fraud.
Apariia utilizatorilor finali informatizai constituie un veritabil succes, dar sporete i
riscul pierderii datelor importante din calculatorul principal al companiilor.
Standardele de securitate, n pofida attor altor domenii n care se nregistreaz mutaii
vizibile n intervale scurte de timp, nu se concretizeaz n forme general valabile i, ct timp
un lucru nu este interzis prin reguli scrise, el ori se consider c nu exist, ori se trage
concluzia c este permis.
Totui, efortul uman pentru protejarea, asigurarea sau securizarea sistemelor s-a
accentuat n mod vizibil. n tabelul 1.1 am redat numrul de site-uri care trateaz concepte
specifice temei discutate, la nivelul lunilor aprilie 2002 i ianuarie 2011, folosind motorul de
cutare Google. Dup cum se observ, se detaeaz net conceptele: internet security, network
security, information security, computer security, data protection, digital signature, esecurity n ordinea numrului de apariii n site-uri.
n concluzie, odat cu dezvoltarea noilor sisteme informaionale i cu transferarea ctre
acestea a secretelor firmelor, trebuie vzut n ele, n acelai timp, ajutorul numrul unu, dar i
elementele cele mai tentante pentru noii criminali. Hardul i softul pot fi manevrate cu mult
uurin de ctre om. n acest caz, ca i n altele intrate n obinuina cotidian, inteligena
calculatorului las de dorit, putndu-se spune c tot omul (a)sfinete ... calculatorul, motiv
esenial pentru sporirea preocuprilor tuturor specialitilor din domeniul securitii sistemelor
informaionale.
Tabel nr. 1.1 Numrul site-urilor ce trateaz concepte specifice
proteciei i securitii sistemelor informaionale
Nr. crt.
1.
2.
3.
4.
5.
6.
7.
8.
Conceptul cutat cu Google

computer security
information security
data security
data protection
information protection
information assurance
data assurance
computer protection
2002
534.000
439.000
305.000
495.000
36.700
36.500
569
7.720
2012
8.890.000
13.600.000
2.860.000
12.700.000
714.000
839.000
90.900
2.160.000
14
Nr. crt.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.

computer data protection
computer assurance
network assurance
network protection
network security
internet security
internet protection
internet assurance
computer vulnerability
data vulnerability
information vulnerability
network vulnerability
internet vulnerability
digital signature
digital protection
e-signature
e-security
e-protection
2002
171
1.820
590
12.800
615.000
758.000
19.100
169
1.140
908
713
6.910
1.320
217.000
1.790
11.800
140.000
5.600
2012
39.900
11.800
181.000
253.000
14.700.000
82.200.000
284.000
36.600
34.600
9.230
22.100
408.000
48.000
1.940.000
42.500
600.000
1.490.000
349.000
Propunei alte concepte relevante pentru domeniul proteciei i securitii informaionale i completai
tabelul de mai sus cu numrul paginilor oferite ca rspuns de motorul de cutare Google pentru ele.
Numrul de pagini returnate, 2013
1.2.1 Vulnerabilitatea microcalculatoarelor

Odat cu lansarea IBM-ului n producia de microcalculatoare, n 1981, acest domeniu a
nregistrat progrese uluitoare. Dac la nceput nu au fost luate n seam, acum s-a ajuns ca un
microcalculator de cteva sute de dolari s efectueze ceea ce, cu doar cteva zeci de ani n
urm, efectuau doar calculatoarele mari, de milioane de dolari.
Apariia milioanelor de utilizatori a dus la constituirea unei adevrate bresle de specialiti
n butonat a se citi apsarea tastelor , cu destul de puine cunotine despre teoria
sistemelor informaionale i cu nici o team de implicaiile posibile ale unui sistem fr
securitate. De la utilizatorii izolai s-a trecut la constituirea de reele puternice, care au
mpnzit orice col al organizaiilor. Urmtoarele trepte au constat n depirea granielor
firmei, ale oraului, respectiv ale rii. S-a creat, astfel, posibilitatea ca sistemele bazate pe
calculatoare mari s fie accesate din sute sau mii de locuri, afectnd substanial integritatea,
confidenialitatea i accesibilitatea datelor.
Datorit microcalculatoarelor, se poate spune c s-a nregistrat un progres colosal pe linia
domeniilor de aplicabilitate ale informaticii. Ele rezolv rapid i ieftin o mulime de probleme
de planificare tehnico-economic, de exploatare, de administrare, procesare de texte,
comunicaii i alte faciliti de lucru n reea. n aceste condiii, microcalculatoarele aduc i
noi forme de manifestare a slbiciunii sistemelor electronice de calcul i a vulnerabilitii lor.
Hazardul joac un rol din ce n ce mai mare, astfel:
1. De la bun nceput ele au fost concepute mult mai prietenoase dect vechile sisteme, deci
destul de tentante n a fi utilizate i de copiii i de funcionarii fr prea multe cunotine
tehnice, aceasta concretizndu-se n:
15
a) apariia numeroaselor eecuri sau erori n operaiunea de creare a copiilor de

siguran de exemplu, realizarea lor pe suportul intern de memorare al aceluiai
microcalculator, chiar pe aceeai partiie de disc;
b) eecuri n controlul accesului sistemului. Sistemele de protecie prin parole nu se
folosesc la toate microcalculatoarele, iar cnd exist nu sunt folosite corespunztor,
parolele fiind cunoscute de mai muli utilizatori, i nu numai att, ele aflndu-se scrise
pe o bucat de hrtie, lipit pe colul monitorului sau pe masa de lucru;
c) tratarea tuturor datelor la fel, omindu-se cele de o importan deosebit, care ar
trebui s aib cu totul alt regim;
d) greeli n pstrarea i utilizarea resurselor sistemului. Discurile de orice tip, casetele,
benzile sunt mpnzite prin toat unitatea, prin toate birourile, putnd fi folosite sau
sustrase cu mult uurin de alte persoane. Un suport din afar poate fi introdus
printre cele deja existente, strecurndu-se astfel i viruii distructivi. Hrtia de
imprimant (de regul cea care conine mici greeli sau a doua copie a unei lucrri
efectuate n dou exemplare), benzile tuate ale acesteia (riboanele), celelalte resturi
sunt accesibile noilor scormonitori n gunoaie informatice, cu scopul de a gsi un
col de pine printre informaiile coninute de aceste materiale;
e) scrutarea cu uurin a sistemului. Deseori, din pur curiozitate, un coleg, un prieten,
un copil venit n vizit la biroul prinilor, avnd cunotine limitate despre
calculatoare, ncep s se joace cu tastele unui microcalculator pornit, situaie n care
se pot distruge date foarte importante. Mai periculos este cazul n care joaca are un
scop anume;
2. Calculatoarele nu mai sunt doar la dispoziia specialitilor, ci i a altor persoane, care nu
cunosc prea multe lucruri despre alte tipuri de sisteme. Odat cu apariia
microcalculatoarelor, problemele de instruire informatic se pun ntr-un alt mod;
3. Prin politica de instaurare a unor restricii n utilizare, apelndu-se la sistemul parolelor
multiple, din faza de iniializare a sistemului pn la accesul la ci i fiiere, se reduce
dramatic viteza de prelucrare, deci scade productivitatea sistemului;
4. Fiind plasate n aproape toate birourile, iar condiiile de pstrare puternic diversificate,
riscul defectrii este diferit de la un birou la altul;
5. Resursele ntregului sistem fiind mprtiate prin toate colurile unitii, securitatea
tradiional a slii calculatorului unic dispare, aceasta avnd ca rezultat:
a) documentaia sistemului, softul, manualele de utilizare sunt ineficient folosite sau n
condiii de risc sporit;
b) pierderea cheilor de deschidere a PC-urilor le poate face inutilizabile o perioad de
timp;
c) softul de aplicaii se realizeaz n mod haotic, ducnd uneori la lucrul n paralel la
aceeai problem, neexistnd o eviden centralizat a preocuprilor;
d) parolele nu se nregistreaz, deci nu poate fi vorba de un control al lor;
e) manualele de utilizare sunt pstrate neglijent, iar cnd sunt necesare nu mai sunt de
gsit;
6. Actele cu scop de fraud pot fi svrite cu mai mult uurin i de ctre mai multe
persoane, ceea ce diminueaz eficiena controlului;
7. Prin preluarea de ctre calculator a activitilor prestate anterior de mai multe persoane,
posibilitatea de furt, fr complotul mai multor angajai, devine mult mai lejer;
8. Persoanele care n condiiile prelucrrii clasice aveau grija i posibilitatea de a lucra doar
ntr-un domeniu, destul de limitat, pot s-i extind aria cunoaterii asupra ntregii baze
de date a unitii;
16
9. Pe suporturile cu capacitate de memorare foarte mare, fiind ascunse datele deosebit de

importante, acestea erau mai greu de gsit, n schimb, pe un disc optic sau video disc
operaiunea este mult mai uoar;
10. Sistemele de operare ale microcalculatoarelor nu dispun de aceleai performane de
protecie precum sistemele mari;
11. Slaba securitate, nsoit de facilitile de lucru n reea, conduce la sporirea posibilitilor
de accesare neautorizat a sistemului;
12. Datele pot fi preluate pe un PC fie din reea, fie din calculatorul mare i tiprite sau
transferate pe diverse tipuri de discuri, cu scopul sustragerii lor;
13. Resursele locale ale unui PC pot fi folosite de ctre utilizatorii lor pentru a ataca reeaua
sau calculatorul central;
14. Prin dimensiunile lor reduse i greutatea mic, PC-urile sunt uor de mutat dintr-un loc n
altul, ceea ce sporete riscul defectrii lor;
15. Posibilitatea defectrii sau ntreruperii temporare a sursei de alimentare cu energie
electric este mult mai mare dect n cazul unei singure sli a calculatoarelor.
Pornind de la elementele de vulnerabilitate a microcalculatoarelor prezentate mai sus, identificai cte 3
elemente similare de vulnerabilitate a calculatoarelor portabile i, respectiv, a telefoanelor mobile
folosite n organizaii.
3 elemente de vulnerabilitate a calculatoarelor portabile:
3 elemente de vulnerabilitate a telefoanelor mobile:
17
1.2.2 Forme de manifestare a pericolelor n sistemele informaionale

Cnd se proiecteaz noi aplicaii informatice, grija principal a realizatorilor trebuie s o
constituie protejarea datelor prelucrate. n orice mediu de lucru, datele trebuie s respecte
principiile C.I.A.:
Confidenialitatea se concretizeaz n oferirea condiiilor de pstrare n conformitate
cu restriciile legale descrise de utilizatori i proiectani. Numai persoanele autorizate
pot accesa datele sistemului, lundu-se msuri de prevenire a accesului neautorizat;
Integritatea, ceea ce nseamn c ele trebuie s fie pstrate n forma original. Datele
nu trebuie s fie modificate prin consultare sau pe ci ilegale, nici accidental. De
asemenea, ele nu trebuie s fie expuse pericolului distrugerii involuntare. Integritatea
este o msur a corectitudinii datelor i a asigurrii ncrederii n ele;
Accesibilitatea se refer la asigurarea accesului la date, pentru cei autorizai, n orice
moment.
Pentru o organizaie cunoscut de dvs., realizai un clasament al celor mai importante 3 averi
informaionale, preciznd pentru fiecare dintre ele dac este important asigurarea confidenialitii i/sau
integritii i/sau accesibilitii. Justificai.
Locu
Avere informaional
Importana C
Importana I
Importana A
l
Datelor supuse prelucrrii automate trebuie s li se asigure cel puin aceleai condiii de
protecie ca i celor prelucrate manual. Totui, din cauza creterii riscului prin informatizare,
aa cum rezult din descrierea sumar a vulnerabilitii noilor sisteme, se impun i unele
msuri suplimentare de realizare a proteciei, situaie n care utilizatorii trebuie s cunoasc n
detaliu natura noilor ameninri. Literatura de specialitate le grupeaz n diverse moduri.
Oricum, ele pot fi sintetizate n trei mari categorii:
ameninri cauzate de incidente ivite n sistem;
factori naturali, bazai pe hazard;
ameninarea sistemelor prin aciunea voit a omului.
1.2.2.1 Ameninri cauzate de incidente ivite n sistem
Realitatea a demonstrat c exist urmtoarele cauze care pot afecta securitatea sistemelor:
1. Apariia unor defeciuni la echipamentele sistemului. De multe ori micile defeciuni, n
special cele cu o perioad de manifestare foarte scurt, sunt mai greu de detectat i
18
2.
3.
4.
reparat dect cele catastrofale. Avnd un caracter imprevizibil, pentru ele nu se pot
stabili anumite msuri de prevenire. Mai grav este atunci cnd ele nu au forme sesizabile
n momentul producerii, iar datele eronate apar mult mai trziu, fcnd reconstituirea
celor originale foarte anevoioas sau chiar imposibil;
Apariia inevitabilelor erori umane, conform dictonului errare humanum est, conduce
la luarea elementarei msuri preventive de reducere substanial a interveniei umane n
procesul de prelucrare a datelor cu ajutorul calculatorului electronic. Cauzele erorilor pot
fi: indiferena cu care se exercit o anumit operaiune, slaba instruire, entuziasmul
excesiv, nelegerea greit a modului de funcionare a sistemului. Erorile pot s aparin
operatorilor, dar, i mai grav, programatorilor. Riscul cel mai mare provine din
posibilitatea perpeturii modului eronat de exercitare a operaiunilor sau a programrii.
Soluiile constau n introducerea n soft a mai multor teste de validare a introducerilor de
date, iar, pe linia programrii, apelarea la standardizare sau la utilizarea sistemelor
CASE (Computer Aided Software Engineering);
Funcionarea defectuoas a softului. Chiar i atunci cnd se apeleaz la un ntreg
arsenal de metode de testare a lui, softul poate pstra anumite vicii ascunse, care s
produc erori inimaginabile. Este cazul programelor foarte mari, de milioane de linii
surs, care, practic, sunt tot mai greu de controlat. Edificator este cazul unui
academician rus care a demisionat dintr-o important funcie informatic din ministerul
aprrii, ntruct spunea c pericolul producerii unor grave incidente, cu efecte nebnuite
asupra securitii omenirii, devine tot mai mare, din cauza imposibilitii controlrii
programelor. Multitudinea ramificaiilor din program poate s duc la scurt-circuitarea
lor, genernd ci imprevizibile de execuie, concretizate n luarea unor decizii
surprinztoare;
ntreruperea sistemului de alimentare cu energie sau funcionarea lui n afara
parametrilor tehnici admii. n aceast categorie intr i cderea legturilor de
comunicaie, precum i a altor utiliti necesare sistemului.
Care este cel mai distructiv incident care a afectat securitatea informaional a unei organizaii cunoscute de
dvs.? Motivai.
19
1.2.2.2 Factorii naturali, bazai pe hazard

Calculatoarele sunt sisteme deosebit de sensibile. Deseori sunt comparate cu creierele
umane, deci asemnarea poate continua. Dac pe creier se depun mici cheaguri de snge, el
funcioneaz eronat sau poate s-i nceteze exercitarea funciilor sale. Cheagurile
calculatoarelor pot fi: exces de umiditate, exces de cldur, praf, fire de pr, scrum de igar
.a. Nu sunt de neglijat diversele insecte, ndeosebi mute, nari, pianjeni, gndaci, viespi,
viermi. Cel mai mare pericol l reprezint mouse-ul, dar de data aceasta cel adevrat, adic
micuul oricel.
Tot n aceast categorie intr cutremurele, vijeliile, furtunile, inundaiile i alte forme de
dezlnuire a naturii.
1.2.2.3 Ameninarea sistemelor prin aciunea voit a omului
Ca orice avere, i cea informaional strnete tentaii umane, iar regula decalogului, care
ndeamn s nu furi, nici n acest caz nu este respectat. S-au constituit, n timp, grupuri de
specialiti care exploateaz slbiciunile sistemelor. Cel mai grav este faptul c unii
realizatori de sisteme sunt i cei mai periculoi dumani ai propriilor creaii, fiind un fel de
Kronoi ai vremurilor noastre, devorndu-i propriii lor copii, adic sistemele. Motivele
atacurilor pot fi destul de variate: de la spionajul industrial, militar, pn la cele mai meschine
interese. Atacurile pot fi deliberate sau accidentale, deschise sau mascate (ascunse).
1. Spionajul i serviciile secrete acioneaz, de regul, n domeniul militar, dar i fac
simit prezena i n industrie, comer, nvmnt, cercetare .a. Cile de obinere a
informaiilor variaz de la banalele apeluri telefonice, pn la sofisticatele metode
tehnice de captare a datelor. Microfonul ascuns ntr-o camer este deja o form de
primitivism, ntruct au proliferat tehnici de-a dreptul miraculoase de captare.
2. Dumanii, nedreptiii i neloialii dintre angajaii firmei. Aceast categorie nu
apeleaz la tehnici prea performante, deoarece, desfurndu-i activitatea n
interiorul sistemului, pot nfptui acte criminale cu mijloace mult mai simple.
Motivaia lor poate s fie un ctig personal sau o rzbunare. Mai grav este cazul
cnd o ter persoan din sistem, investit cu autorizarea unor operaiuni, n mod
involuntar, contribuie la nfptuirea atacului.
Trecerea spre PC-uri, culturalizarea informatic a utilizatorilor constituie reale
ameninri pentru sistemele informaionale. Cu banii pltii de firm, ntruct
efectueaz atacul n timpul programului de lucru din birou, angajaii devin dumanii
cei mai periculoi ai unitii. Tot n aceast categorie sunt ncadrai i grevitii.
3. Vandalii i huliganii au la dispoziie forme noi de manifestare, renunnd la bte i
pietre, dar apelnd la spargeri informatice, la virui .a. Mai periculoi sunt cei
strecurai n unitate pe principiul calului troian. Zicala Doamne, spune-mi dumanul
care mi-e prieten, cci pe cellalt l tiu eu trebuie s devin un adevrat crez pentru
conducerea unitilor.
4. Utilizatorii pot s contribuie substanial la pierderile informatizate, ndeosebi
prestnd activiti nestandardizate i neautorizate. Pe primul loc se afl jocurile pe
calculator, care, pe lng faptul c nseamn folosirea resurselor firmei n scop
personal i irosirea timpului de lucru, chiar dac este o simpl distracie, devin cea
mai sigur surs de importare a viruilor. Pe locul doi se afl softul tentant, de
ultim or, necumprat de firm, dar aflat n posesia unui prieten. Dei este
procurat cu intenii vdit benefice firmei, se transform n altceva.
20
5.
6.
7.
8.
9.
Pentru evitarea acestor cazuri, se impun: instruirea personalului, controlarea i

supravegherea permanent a lui, precum i interzicerea utilizrii altor materiale dect
a celor aflate n posesia legal a unitii.
Organizaiile subversive i teroriste i-au gsit noi ci de nfptuire a obiectivelor.
Exist chiar organizaii care i propun, n mod declarat, abolirea calculatoarelor. Din
nou, cei mai periculoi sunt angajaii unitii care aparin acestor grupuri. Formele lor
de manifestare pot fi foarte inteligente, dar i foarte violente. Se pare c viruii cei
mai periculoi sunt realizai de astfel de grupri.
Ziaritii, n intenia de a realiza articole de senzaie, pe principiul scopul scuz
mijloacele, scurm n Berevoietiul informatic sau chiar n locurile, aparent, bine
tinuite.
Publicul larg, din pur curiozitate informaional sau din dorina de a-i verifica
aptitudinile informatice, atenteaz la integritatea multor sisteme.
Adolescenii, dei fac parte din categoria anterioar, au forme specifice i rezultate
deosebite n atacarea sistemelor. De cele mai multe ori, dispun de cunotine
informatice impresionante, care, dac se cupleaz cu accesul la datele folosite de
prinii lor n sistemele informaionale, devin extrem de periculoi. Printre ei se afl
cei mai mptimii hackeri, phrackeri i alte categorii descrise ulterior.
Criminalii devin noii bogai ai zilelor noastre. Unele firme nu raporteaz pierderile
cauzate de atacurile informatice, fie pentru a nu da curaj i altora s ncerce, fiind
deja un precedent, fie de teama de a nu fi trase la rspundere c nu au luat cele mai
bune msuri de asigurare a securitii, fie pentru a nu face un nume prost aplicaiilor
folosite. Cu calculatorul s-au nfptuit cele mai multe crime perfecte. Cum motivaia
lor este evident, furtul, investiiile fcute de organizaiile care se ocup cu o astfel de
activitate sunt mult mai mari pe linia cercetrii tiinifice dect ale oricrei firme
n parte pe linia asigurrii securitii sistemului.
Care este cel mai periculos atacator (potenial sau nu) al unui sistem informatic din cadrul unei organizaii
cunoscute de dvs.? Motivai.
21
1.2.3 Asigurarea securitii sistemelor informaionale pai de urmat i

reguli generale
Dup prezentarea elementelor vulnerabile din diversele medii informatizate de lucru,
putem spune c securitatea, n astfel de sisteme, se refer la:
1. identificarea i evaluarea elementelor patrimoniale de protejat, astfel nct nimic s
nu fie omis, iar valorile deosebite s aib un tratament special;
2. recunoaterea de la bun nceput a vulnerabilitii i slbiciunii sistemelor
informaionale;
3. specificarea tuturor atentatelor posibile asupra sistemelor electronice de calcul, n
general, i asupra unei aplicaii informaionale anume, n special;
4. evaluarea potenialelor pierderi sau riscuri generate de un anumit incident, cu toate
consecinele care decurg de aici;
5. realizarea, implementarea i consolidarea unor metode de asigurare a securitii, cu
costuri rezonabile, pentru reducerea riscurilor de deteriorare a sistemelor, inclusiv a
bazelor de date, la valori minime, asigurndu-se obiectivele pentru care au fost
realizate sistemele;
6. pregtirea planurilor de reconstituire a datelor pierdute din cauza dezastrelor;
7. controlul i auditarea periodic a eficienei msurilor de asigurare a securitii
sistemului.
Regulile generale, aplicabile tuturor sistemelor de securitate, concretizate n 20 de msuri
preventive, sunt urmtoarele:
1. Stabilirea autorizrilor;
2. Asigurarea loialitii i ncrederii personalului;
3. Stabilirea modalitilor prin care aciunile de autorizare s fie eficiente;
4. Identificarea mijloacelor materiale prin care s se realizeze protecia;
5. Inventarierea elementelor de protejat;
6. Gruparea valorilor importante pentru o mai bun protecie;
7. Stabilirea zonelor de amplasare a valorilor protejate;
8. Aprarea valorilor protejate;
9. Asigurarea verificrii bunurilor protejate;
10. Restricii privind utilizarea bunurilor protejate i a mecanismelor de protecie;
11. Controlul accesului la bunurile protejate;
12. Expunerea redus a bunurilor protejate;
13. Privilegii limitate privind bunurile protejate;
14. Responsabiliti clare pe linia bunurilor protejate;
15. Consemnarea, n scris, a faptelor care au afectat valorile patrimoniale;
16. Verificarea dubl a tuturor operaiunilor referitoare la valorile patrimoniale;
17. Elaborarea documentaiilor de analiz a operaiunilor cu valori patrimoniale;
18. Cercetarea tuturor neregulilor;
19. Sancionarea abaterilor;
20. Crearea posibilitii de redresare, n orice moment, dup unele aciuni care au euat.
Care este, n opinia dvs., cea mai important regul general de securitate pentru o organizaie? Argumentai.
22
1.3 Mecanisme de aprare prezentare general

Literatura de specialitate consemneaz apte mecanisme de asigurare a eficienei
securitii sistemelor informaionale:
1. Securitatea fizic se refer la controlul accesului fizic n sistem i se va concretiza
sub diverse moduri: de la mprejmuiri ale amplasamentelor i ui, la lacte i sisteme
de alarm, inclusiv crearea cadrului de intervenie n cazuri de urgen.
2. Securitatea personalului presupune selecia, urmrirea, autorizarea i supravegherea
angajailor.
3. Criptarea informaiilor importante nseamn protejarea datelor comunicate la
distan, fcndu-le neinteligibile pentru orice alte persoane dect cele autorizate a le
recepiona.
4. Studierea tehnicilor specializate ale intruilor astfel nct echipamentele acestora s
nu poat ptrunde n configuraia sistemului.
5. Suprimarea radiaiilor compromitoare este o operaiune necesar pentru c
echipamentele folosite n centrele de prelucrare automat a datelor produc radiaii
acustice i electromagnetice, care pot fi interceptate i analizate. Este cazul
consolelor, imprimantelor, cablurilor de legtur, al echipamentelor de vizualizare
.a.
6. Securitatea liniilor de comunicaie se refer la garantarea comunicrii corecte pe
liniile care interconecteaz componentele sistemului, astfel nct intruii s nu le
poat penetra.
7. Securitatea sistemelor de prelucrare automat a datelor se ocup de protejarea
datelor din sistem mpotriva accesului neautorizat, prin prisma autorizrii
utilizatorilor i a protejrii datelor, stabilindu-se reguli foarte precise de folosire a lor.
Fiecare mecanism de protecie trebuie s realizeze obiectivele pentru care a fost
conceput. Eficiena lui nu trebuie s depind de prezumii false privind imposibilitatea
atacrii sistemului. El trebuie s demonstreze completitudine, ceea ce se va concretiza printr-o
funcionare normal la orice eventual ameninare, corectitudine, prin oferirea rspunsurilor
anticipate, ndeosebi atunci cnd s-ar nregistra intenii frauduloase sau s-ar produce erori n
utilizare. Mecanismul perfect trebuie s fie ct mai simplu posibil, precum i uor de
ntrebuinat i s ofere un numr ct mai mic de erori sau alarme false.
Supravieuirea lui este o alt proprietate, stabilindu-se cu o precizie ct mai mare
perioada de funcionare la un anumit nivel asigurat al proteciei, n condiii optime de
utilizare. Nu trebuie uitat raportul cost sistem - eficien.
23
Gradul de confidenialitate a informaiei protejate va determina ce mecanisme de aprare

s fie folosite, conform figurii 1.1.
Fig. 1.1 Protecia informaiei prin mecanisme specializate
Modul n care mecanismele generale de mai sus sunt tratate n prezentul manual este
vizibil n diagrama din figura 1.2.
US11 Aspectejuridice privind protecia i securitatea sistemelor informaionale
Fig. 1.2 Sinteza coninutului manualului pe mecanisme de securitate

Din ce motiv credei c nu au fost bifate cu X csuele cu fundal mai nchis din Figura 1.1?
24
Care este, n opinia dvs., cel mai important mecanism de securitate pentru o organizaie cunoscut de dvs.?
Justificai, cu exemple.
Rezumat
Alturi de capital i oameni, informaia este una dintre averile deosebite ale firmei. Pentru a periclita
aceast resurs important, orice persoan care dialogheaz cu calculatorul unei organizaii poate s fac
(cel puin) urmtoarele lucruri: s copieze fiierele importante ale altor firme, s influeneze evidenele
altora pentru a le cauza pierderi, s reprogrameze calculatoarele incluse n configuraia sistemelor de
producie pentru a provoca avarierea utilajelor sau pentru producerea accidentelor umane, s tearg
programe sau fiiere. Din acest motiv, considerm absolut necesar tratarea cu prioritate de ctre manageri
a problemelor de securitate informaional.
n funcie de tehnologiile folosite i de evoluia n timp a preocuprilor ce o privesc, securitatea
informaional poate fi abordat prin prisma unui numr mai mare sau mai mic de generaii. Capitolul 1
prezint i cteva repere din istoria modern a preocuprilor internaionale pe linia proteciei i securitii
informaionale, cu dorina de a contientiza cititorii de necesitatea unei discipline de profil n cadrul
Facultii de Economie i Administrarea Afacerilor.
n orice mediu de lucru, datele trebuie s respecte principiile C.I.A Confidenialitate, Integritate,
Accesibilitate. Urmrind acesast triad, particularitile proteciei unui sistem informaional se refer la
luarea unor msuri speciale de aprare a datelor, prin intermediul echipamentelor de prelucrare automat a
datelor, softului de sistem sau de aplicaii, precum i al comunicaiilor, dac se lucreaz ntr-un astfel de
mod. Msurile de aprare sunt necesare pentru a contra-pondera pericolele care vizeaz informaiile dintr-o
organizaie: incidentele, factorii naturali, bazai pe hazard, atacurile.
Literatura de specialitate consemneaz apte mecanisme de asigurare a eficienei securitii sistemelor
informaionale: securitatea fizic, securitatea personalului, criptarea informaiilor importante, studierea
tehnicilor specializate ale intruilor, suprimarea radiaiilor compromitoare, securitatea liniilor de
comunicaii, securitatea sistemelor de prelucrare automat a datelor, care vor fi tratate pe parcursul
capitolelor urmtoare.

1.
2.
Bigdoli, H. - Handbook of Information Security, vol.1- 3, John Wiley - Sons, 2006

De Leeuw, K., Bergstra, J. - The History of Information Security. A Comprehensive Handbook,
Elsevier, Amsterdam, 2007
3. Davis, C., Cowen, D., Philipp, A. - Hacking Exposed. Computer Forensics Secrets & Solutions,
McGraw Hill/Osborne, New York, 2005
4. McClure, S., Scambray, J., Kurtz, G. - Hacking Exposed Fifth Edition: Network Security
Secrets & Solutions, McGraw Hill/Osborne, New York, 2005
5. Mitnick, K., Simon, W. - Arta de a stoarce informaii, Ed. Teora, Bucureti, 2005
6. Taylor, P. - Hackers, Routledge, London, 1999
Unitatea de studiu II
Protecia informaiilor prin clasificarea lor
Printre obiectivele unitii de studiu se numr:

(re)cunoaterea necesitii de clasificare a informaiilor i a principalelor criterii
folosite pentru aceasta;
familiarizarea cu tipurile de informaii ce sunt supuse clasificrii;
identificarea principalelor roluri i responsabiliti n procesul de clasificare a
datelor;
cunoaterea modalitilor de marcare i distrugere a materialelor cu regim special
dintr-o organizaie.
formele embrionare de protejare a informaiilor;
nceputurile clasificrii moderne a informaiilor;
clasificarea informaiilor;
declasificarea i degradarea informaiilor clasificate;
principiile protejrii informaiilor speciale;
protejarea suporturilor informaionale;
clasificarea informaiilor organizaiilor.
2.1 Forme embrionare de protejare a informaiilor

Dac n urm cu peste 10.000 de ani s-au realizat primele forme de inere a evidenei
produselor necesare hranei unei comuniti umane, fcndu-se trimitere la perioada neolitic a
Orientului Mijlociu cam n anii 8500 .C. , tot atunci s-au nregistrat i primele preocupri
pe linia securizrii informaiilor pstrate. Produsele obinute erau evideniate prin mici forme
realizate din lut, difereniate dup proprietar, dar, cum recolta se inea n comun, n hambarele
comunitii, i obiectele se pstrau n vase speciale, cu particulariti date de gestionarul
produselor, vase pe care el le sigila dup rularea argilei umede, constituindu-se forme
asemntoare unor mingi de mrimi diferite. Cnd proprietarul voia s-i ia napoi ceea ce-i
aparinea, magazionerul sprgea vasul cu nsemnele de lut ale acestuia, operaiune efectuat
n prezena martorilor. Acesta este considerat primul protocol de securitate.
Dup vreo patru mii de ani, pe teritoriul actualului Peru, s-au realizat forme mai lejere de
eviden, prin intermediul nodurilor de pe funii sau sfori. La fel de bine, am putea spune c, n
urm cu ase mii de ani, oamenii au nceput s fie trai pe sfoar, chiar dac ea se numea la
peruvieni quippos. Firesc, trgea pe sfoar cel ce avea grija ei. N-ar trebui s ne punem
problema c ele nu se pstrau n condiii de securitate deplin.
Cu vreo 3000 de ani .C. s-a inventat scrierea. Dar i aceasta era securizat. Se spune c
preoii egipteni interziceau folosirea scrierii alfabetice pe pmntul reavn, ca, nu cumva,
muritorii de rnd s aib acces la inveniile vremii. V amintii de celebrul tablou coala de
la Atena, n care Pitagora demonstreaz pe nisip teorema sa. Tragem concluzia c prezenta o
informaie public.
Dup alt o mie de ani au aprut formele echivalente ale actualelor obligaiuni, avize de
expediie .a. n acelai timp, adic n urm cu circa patru mii de ani, au nceput s se
26
PROTECIA I SECURITATEA INFORMAIILOR
foloseasc lingourile de metal ca obiecte universale de schimb. Cu 750 de ani .C. s-au
inventat monedele, i procesul evolutiv a continuat, pn s-a ajuns la sistemul de contabilitate
n partid dubl. Procesul fost surprins n prima carte de acest tip, de Luca Paciolo, n 1494,
cnd, din motive de securitate a operaiunilor, au fost promovate principiile dublei
reprezentri i dublei nregistrri, dei acestea apruser n anii 1300. Dup renascentism s-au
nfptuit multiple sisteme de securitate; o bun parte din ele se regsesc n mai multe seciuni
ale crii de fa.
Cunoatei i alte momente istorice relevante n clasificarea informaiilor? Prezentai-le succint, preciznd
sursa bibliografic.
2.2 nceputurile clasificrii moderne a informaiilor

Dup scurta istorie a preocuprilor viznd securitatea, s ne apropiem de vremurile
noastre i de punctul de vedere al securitii sistemelor fa de tipurile de informaii protejate.
Dac dup cel de-al doilea rzboi mondial au rmas attea amintiri neplcute, se cuvine,
totui, s recunoatem i cteva moteniri teribile. Ne gndim la cercetarea operaional, a lui
Claude Shannon, transferat din domeniul militar n cel economic, la aportul lui Alan Turing
n domeniul tehnicilor de criptare-decriptare a datelor, dar i la ceea ce ne intereseaz pe noi
mai mult, marcarea documentelor cu regim special. NATO are meritul principal n
dezvoltarea acestui sistem, al clasificrii. Clasificare nseamn etichetri cresctoare ale
documentelor sau informaiilor, de la cel mai de jos nivel, unde se situeaz informaiile
deschise (open) sau neclasificate (unclassified), la cele confideniale, urcnd spre informaii
secrete i strict secrete (top secret).
Iniial, s-a pornit de la ideea c informaiile care prin compromitere pot costa viei umane
sunt marcate secrete, n timp ce informaiile a cror compromitere cost pierderea multor
viei umane sunt definite top secret (strict secrete). Angajaii n domeniul securitii
sistemelor sunt investii cu responsabiliti diverse, dar i cu dreptul de a lucra cu anumite
categorii de informaii. Se poate vorbi de o strns legtur ntre responsabiliti i categoriile
de informaii cu care se d dreptul de a lucra. n SUA, dreptul de verificare a fiierelor cu
amprente ale FBI este acordat doar pentru verificarea unor informaii secrete, n timp ce o
verificare de tip top secret d dreptul de accesare a tuturor datelor despre locurile de munc
din ultimii 5 pn la 15 ani.
Pe linia accesului la unele categorii de informaii, pentru exercitarea controlului lucrurile
sunt mai clare: un oficial poate citi documentele dintr-o anumit categorie numai dac el are
cel puin mputernicirea de accesare a informaiilor din categoria respectiv sau dintr-una
PROTECIA INFORMAIILOR PRIN CLASIFICAREA LOR
27
superioar. De exemplu, un mputernicit s acceseze informaii strict secrete poate citi

informaii confideniale, secrete i strict secrete, iar unul cu drept de accesare a informaiilor
secrete nu le poate accesa pe cele strict secrete. Regula este c informaiile pot circula doar
n sus, de la confidenial la secret i strict secret, n timp ce invers, de sus n jos, pot circula
doar dac o persoan autorizat ia n mod deliberat decizia de a le declasifica.
De asemenea, s-au stabilit reguli de pstrare a documentelor, dup cum urmeaz:
documentele confideniale sunt pstrate n dulapuri cu cheie, n orice birou guvernamental, n
timp ce documentele din categoriile superioare necesit seifuri de un anumit tip, ui pzite i
control asupra copiatoarelor i al celorlalte echipamente electronice.
Sunt foarte puine uniti care au proceduri stricte pe linia asigurrii securitii
informaiilor. Pe de alt parte, la nivel naional exist proceduri foarte riguroase privind
secretul de stat. De regul, exist o ierarhie a ceea ce este cunoscut sub numele de clasificare,
prin care orice document i alte elemente importante sunt ncadrate ntr-o anumit categorie.
Se practic dou strategii de baz pe linia securitii naionale:
1. Tot ceea ce nu este interzis este permis.
2. Tot ceea ce nu este permis este interzis.
n Statele Unite ale Americii, prima strategie este cea care guverneaz accesul la
informaiile guvernamentale. n multe ri de pe glob, accesul la informaiile naionale este
controlat prin legi privind secretul de stat, folosindu-se cea de-a doua strategie. Un angajat
loial i devotat firmei nu discut afacerile acesteia pn cnd nu are convingerea c problema
respectiv poate s fie fcut public.
Se apeleaz la dou tactici de implementare a strategiei fundamentale privind protejarea
informaiilor deosebite:
controlul discreionar al accesului;
controlul legal al accesului.
Prima tactic de control al accesului implementeaz principiul celui mai mic privilegiu:
nici o persoan, n virtutea rangului sau a poziiei ce o deine, nu are drepturi nelimitate de a
vedea informaiile deosebite, iar persoanele care au o astfel de facilitate trebuie s le vad
numai pe cele care intr n sfera lor de activitate. Controlul discreionar al accesului este
aplicat printr-o matrice de control, conform modelului redat n fig 2.1. Pentru fiecare
persoan (subiect) aflat pe list i pentru fiecare informaie (obiect), matricea arat ceea ce
poate face fiecare subiect cu obiectele din list: citire, scriere, execuie, aprobare .a.
Fig. 2.1 Matrice de control al accesului
Controlul legal al accesului i exercit fora pe baza legilor existente (legea securitii
naionale, legea energiei atomice .a.). n SUA, prin lege, sunt stabilite dou tipuri de structuri
de control: ierarhizate i neierarhizate.
28
Structura ierarhizat ncadreaz informaiile senzitive n patru categorii: strict secrete,

secrete, confideniale i neclasificate.
Primele trei categorii sunt referite printr-o denumire generic: informaii clasificate.
n alte ri NATO, inclusiv Canada, a patra categorie este cunoscut sub numele de
informaii restrictive.
n structura neierarhizat sunt dou categorii: compartimentate i cu obiecii sau ascunse
vederii unor categorii de persoane. Compartimentrile pot avea nume scurte, suficient de
sugestive, care s scoat n relief aspecte cum sunt: SECOM (securitatea comunicaiei),
CRIPTA (criptare), COMSEC (comunicaii secrete), HUMINT (Human INTeligence), SIGINT
(SIGnal INTeligence), IMINT (IMage INTeligence) .a. Categoria cu obiecii privete
ndeosebi naionalitatea potenialilor cititori i autori ai obiectelor. n SUA, contestaiile
(obieciile) sunt: NOFOR (no foreign = neaccesibile strinilor), US/UK EYES ONLY (de
vzut numai de ctre englezi sau americani) .a.
Informaiile strict secrete, care sunt ntr-o anumit compartimentare, se numesc
informaii senzitive compartimentate i presupun o atenie deosebit la ntrebuinare. Doar o
categorie este superioar acesteia din urm. Este vorba despre informaiile din planul operativ
integrat unic sau rspunsul naional n caz de rzboi.
Clasificarea i legislaia din Romnia sunt prezentate n unitatea de studiu 11.
Informai-v despre cazul Wikileaks.
Argumentai pro sau contra oportunitii existenei acestui proiect.
2.3 Clasificarea informaiilor

Atunci cnd informaiile au fost mprite n dou mari categorii, clasificate i
neclasificate, s-a inut cont de anumite principii. Pentru a le cunoate, ns, este nevoie de o
abordare preliminar a unor concepte1.
Guvernele pornesc de la o clasificare mai larg, mprind informaiile n dou mari
tipuri: informaii subiective i informaii obiective. Anterior a operat o alt clasificare:
informaii operaionale i informaii tiinifice. Unii chiar au menionat un al treilea tip
de informaii clasificate de guverne informaii tehnice, ns n multe materiale,
informaiile tehnice i cele tiinifice sunt submulimi ale informaiilor obiective.
U.S. Department of Energy Identification of Classified Information, Office of Classification, December 1991, Chapter
IV, Part B, 3.
29
2.3.1 Informaii subiective

Informaiile subiective au mai fost caracterizate i ca secrete adevrate, iar ali autori
le-au numit informaii operaionale sau secrete operaionale. Cel mai potrivit nume este,
ns, informaii subiective sau secrete subiective. Aceste informaii sunt unice pentru guvern,
n sensul c el decide asupra modului n care se vor derula principalele activiti ce-i revin.
Ct timp guvernul controleaz i protejeaz informaiile pe baza crora ia decizii, acele
informaii nu pot fi dezvluite independent de ctre adversar. De exemplu, n domeniul
militar, o informaie subiectiv este cea referitoare la planul de invadare a altei ri (momentul
i locul invaziei). Adversarul nu are cum s produc o astfel de informaie, dar o poate obine
numai prin spionaj sau dezvluire neautorizat.
Aceste informaii au urmtoarele caracteristici:
dimensiune redus secretul poate fi exprimat prin doar cteva cuvinte; din aceast
cauz poate s fie furat cu uurin i dat altora;
perceptibilitate universal nu este nevoie de pregtire special pentru a nelege
secretul; oricine poate s-l fure;
supuse arbitrarului pentru a intra n posesia lor un adversar le poate fura; secretul
nu poate fi descoperit independent;
coninutul poate fi schimbat secretul poate fi modificat i n ultima clip; dac o ar
a aflat c adversarul cunoate momentul i locul invaziei, acestea pot fi schimbate;
sunt perisabile dup scurt timp secretele au o via scurt; dup declanarea
invaziei, adversarul a aflat secretul, el devenind public; n concluzie, secretul poate fi
inut doar pentru o perioad scurt de timp.
Dai exemple de informaii subiective ntlnite n cadrul organizaiilor economice. Justificai importana lor
pentru respectivele organizaii.
2.3.2 Informaii obiective

Informaiile obiective sunt acelea care chiar dac sunt descoperite, dezvoltate sau
controlate de ctre guvern, pot fi deja cunoscute sau pot fi descoperite independent de o alt
ar. n aceast categorie intr informaiile tiinifice sau secretele tiinifice. Asupra acestui
fel de informaii nu se poate avea un control absolut. Ele in de natura lucrurilor, nu de un
secret. Oamenii de tiin din alte ri, independeni unii de alii, pot face descoperiri identice.
Informaiile de acest tip sunt referite i ca informaii obiective sau secrete obiective.
Informaiile obiective sunt marcate de urmtoarele caracteristici:
30
sunt confuze de regul, nu se bazeaz pe o formul magic; pentru descrierea

informaiilor tiinifice sunt necesare rapoarte lungi; din aceast cauz ele nu se pot
transmite cu uurin;
pot fi nelese numai de ctre oamenii de tiin;
nu sunt supuse arbitrarului i alii pot s afle rspunsul la o anumit ntrebare
tiinific, dac formuleaz ntrebarea cuvenit;
nu sunt supuse schimbrii au caracter etern; un fenomen natural are o singur
valoare;
pot avea o via lung ca secret alii pot descoperi informaiile n mod independent,
dar o astfel de descoperire necesit mult timp, ceea ce va conduce la pstrarea
secretului pentru o lung perioad.
Dai exemple de informaii obiective ntlnite n cadrul organizaiilor economice. Justificai importana lor
pentru respectivele organizaii.
2.3.3 Secrete subiective, secrete obiective i secrete comerciale

Cu toate c exist dou tipuri principale de informaii clasificate (secrete subiective i
obiective), legea secretului comercial recunoate numai un tip al secretelor comerciale
secretele obiective. Secretele comerciale includ informaiile despre procesele de fabricaie,
reetele unor produse (cum este cazul formulei de fabricaie pentru Coca-Cola), precum i
alte informaii obiective care pot fi descoperite independent de ctre alte afaceri. Multe
secrete comerciale sunt asemntoare informaiilor tiinifice i tehnice.
Secretele subiective nu sunt protejate prin legile secretului comercial. Dac un guvern
poate clasifica i proteja datele privind invazia unei alte ri (informaii subiective), o firm
nu poate primi protecia secretului comercial pentru data la care i planific s introduc n
fabricaie un nou produs.
Dai exemple de secrete comerciale cunoscute de dvs.
31
2.3.4 Determinarea necesitii clasificrii informaiilor

n vederea clasificrii informaiilor se parcurg trei etape distincte:
1. stabilirea nevoii de clasificare;
2. determinarea nivelurilor clasificrii;
3. determinarea duratei clasificrii.
Stabilirea nevoii de clasificare
Etapa se realizeaz n cinci pai principali:
a. definirea cu exactitate a informaiilor de clasificat (opional, dar recomandat);
b. stabilirea dac informaiile se ncadreaz ntr-unul din domeniile supuse clasificrii;
c. verificarea dac informaiile se afl sub control guvernamental;
d. concluzionarea dac dezvluirea informaiilor poate s conduc la cauzarea daunelor
pentru securitatea naional;
e. specificarea precis a nevoii de clasificare a informaiilor (opional, dar recomandat).
Determinarea nivelurilor clasificrii
Atunci cnd o informaie trebuie s fie clasificat ei i se va atribui un nivel de clasificare,
ceea ce va evidenia importana relativ a informaiei clasificate n sistemul naional de
securitate, specificndu-se cerinele minime pe care trebuie s le ndeplineasc acea
informaie.
Un sistem de clasificare eficient trebuie s se bazeze pe niveluri de clasificare definite cu
mare claritate.
n sistemul american de clasificare a informaiilor exist trei niveluri de clasificare: top
secret (strict secret), secret i confidenial. Informaiile neclasificate constituie o alt
categorie. n Legea 182/2002 privind protecia informaiilor clasificate, din Romnia,
informaiile clasificate din clasa secretelor de stat sunt ncadrate n trei niveluri, astfel: strict
secrete de importan deosebit, strict secrete i secrete.
Informaiile strict secrete (SUA), crora le corespund informaiile strict secrete de
importan deosebit (Romnia), sunt informaiile a cror divulgare neautorizat este de
natur s produc daune de o gravitate excepional securitii naionale.
Informaiile secrete (SUA), ceea ce echivaleaz cu informaiile strict secrete (Romnia),
sunt informaiile a cror divulgare neautorizat este de natur s produc daune grave
securitii naionale.
Informaiile confideniale (SUA), corespunztoare informaiilor secrete (Romnia), sunt
informaiile a cror divulgare neautorizat este de natur s produc daune securitii
naionale.
Apreciem c o nesincronizare a nivelurilor de clasificare din sistemul romnesc cu cel
american este o prob de neinspiraie, cu att mai mult cu ct intrarea n NATO genereaz,
probabil, multe disfuncionaliti circulaiei informaiilor clasificate. Considerm c, n timp,
nivelurile securizrii din Romnia vor fi schimbate tocmai pentru eliminarea neajunsurilor
menionate anterior.
Determinarea duratei clasificrii
Guvernele clasific informaiile i aplic proceduri de securitate special documentelor i
materialelor ce le conin sau sunt purttoare ale acelor informaii pentru a prentmpina
obinerea lor de ctre adversari, cu intenia de a le folosi mpotriva deintorului autorizat.
Din pcate, informaiile clasificate nu stopeaz, n mod automat, accesul adversarilor la ele.
32
Se spune2 c pentru pstrarea n mare tain a informaiilor trebuie fie s nu spui nimnui
acele informaii, fie s foloseti metoda cpitanului Kidd. Totui, cum informaiile trebuie s
fie utilizate de mai muli guvernani, ele nu pot fi inute n tain de o singur persoan. Pe de
alt parte, metoda cpitanului Kidd, de pstrare a secretului, este de neacceptat. n consecin,
guvernele folosesc metoda clasificrii informaiilor pentru a asigura pstrarea secretului.
Metoda cpitanului Kidd, din pcate, a operat mult timp n istoria omenirii. El era un cpitan
pirat despre care se spune c i ngropa comorile cu scopul de a le recupera ulterior. Toi cei
care participau la astfel de operaiuni erau ucii, nct nimeni altul dect Kidd nu mai tia
locul ascuns al comorilor. Discipolii lui Kidd au lansat chiar sloganul sadic Trei persoane
pot pstra un secret dac dou dintre ele sunt omorte.
n general, informaiile, orict ar fi de preioase, nu pot fi pstrate o perioad nelimitat
de timp fr s fie aflate de adversari. Uneori ei le obin prin spionaj. Alteori, ele sunt aflate
datorit proastei gestionri de ctre posesorul autorizat. Sunt i cazuri n care, ndeosebi
pentru informaiile tiinifice i tehnice, adversarii le obin cu eforturi proprii, prin invenii i
inovaii.
Chiar dac informaiile pot fi pstrate ani muli fr a fi aflate de adversari, nu este, de
regul, recomandat s se pstreze perioade ndelungate. Clasificatorii informaiilor sunt cei ce
vor hotr dac este cazul s se specifice timpul de pstrare a informaiei clasificate sau s se
indice momentul n care va interveni declasificarea automat. Durata informaiilor clasificate
trebuie s fie att de scurt ct s nu genereze costuri fr rost cu pstrarea lor. Nici duratele
prea scurte nu sunt recomandate, deoarece adversarii ar intra prea devreme n posesia lor i ar
putea aciona pentru ubrezirea ntregului sistem de securitate naional. n concluzie, doar
clasificatorul trebuie s aib grija stabilirii duratei de clasificare.
Cnd se ncearc a se discuta despre durata de pstrare a informaiilor clasificate, prerile
sunt destul de diferite. n SUA, n 1970, ntr-un raport al unui organism specializat, s-a fcut
urmtoarea declaraie: Este puin probabil ca informaiile clasificate s poat fi protejate o
perioad mai mare de cinci ani i este mult mai rezonabil s presupunem c ele devin
cunoscute de ctre alii n perioade de cel mult un an, prin descoperire independent,
dezvluire clandestin sau alte mijloace. Ali specialiti au declarat c experiena istoriei
demonstreaz c nici un secret militar nu poate fi pstrat prea mult; n unele cazuri exist
aproape ntotdeauna o limit definit de timp, n funcie de importan. Un director al
Departamentului Aprrii din SUA declara c durata pstrrii informaiilor clasificate poate fi
influenat de o serie de factori, dup cum urmeaz: nivelul la care se afl tehnologia,
succesele raportate de serviciile secrete proprii sau ale adversarilor, precum i realizrile din
domeniile politic, militar i tehnic. De reinut este faptul c nu exist o formul magic sau un
anumit standard pentru stabilirea numrului de ani de pstrare a informaiilor clasificate sau a
echipamentelor sau materialelor ce prelucreaz sau conin astfel de informaii.
n final, se poate spune c perioada de pstrare a informaiilor clasificate depinde de tipul
informaiei ce urmeaz a fi protejat (subiectiv sau obiectiv; operaional sau tiinific), de
numrul persoanelor care cunosc informaia clasificat, de procedurile de securitate folosite
pentru protejarea acestor informaii, precum i de calitile celor pui s le pstreze i
protejeze.
Durata clasificrii informaiilor se determin prin una dintre urmtoarele metode:
a. ca o perioad de timp msurat de la data emiterii documentului;
Katz, A.H. Classification: System or Security Blanket, J. Natl. Class. Mgmt. Soc., 8, 76-82 (1972), p. 81
33
b. n funcie de un eveniment viitor ce poate s apar naintea operaiunii de

declasificare;
c. dac data, respectiv evenimentul nu pot fi specificate, atunci documentul coninnd
informaii clasificate va fi marcat, pentru a se indica instituia aflat la originea lui, ce
va avea sarcina declasificrii.
Dai exemple de trei informaii dintr-o organizaie care este necesar s fie clasificate. Precizai nivelul de
clasificare pe care le aezai i propunei durate de clasificare, n funcie de natura informaiilor i obiectul
de activitate al organizaiei. Argumentai.
2.4 Declasificarea i degradarea informaiilor clasificate

Atunci cnd se efectueaz clasificarea unor informaii se iau n calcul anumite cerine de
ndeplinit. Cnd, din diferite cauze, se schimb circumstanele, firesc, i cerinele ndeplinite
iniial se modific, situaie n care informaiile clasificate se declasific sau trec pe un nivel
inferior de clasificare.
Declasificarea informaiilor se efectueaz de ctre reprezentani ai guvernului, crora le
revine misiunea de declasificare. Trebuie remarcat faptul c este o diferen ntre
declasificarea informaiilor i declasificarea documentelor sau materialelor. Ultima categorie
poate fi efectuat i de ctre contractorii guvernamentali.
A degrada informaiile clasificate nseamn reducerea nivelului clasificrii. n acest mod
informaiile strict secrete pot fi degradate la nivelul secret sau confidenial. Informaiile
secrete pot fi degradate n informaii confideniale, iar cele confideniale nu pot fi degradate,
ci pot fi doar declasificate sau, dac este cazul, ridicate pe un nivel superior.
Termenul de degradare provine din sistemul britanic de clasificare a sistemelor
informaionale. Britanicii vorbesc despre gradarea informaiilor i nu despre clasificarea lor,
atunci cnd se refer la ceea ce americanii numesc clasificarea informaiilor. Ulterior, dup
primul rzboi mondial, i americanii au preluat termenul de degradare (down-grading),
prelund sistemele folosite foarte mult de ctre britanici i francezi.
De regul, degradarea se efectueaz de ctre persoanele care au clasificat iniial
informaiile, de ctre succesorii acestora, efii lor sau de ctre ali oficiali delegai cu o astfel
de autorizare, n scris, de ctre efii ageniei sau de ctre responsabilii pe aceast linie.
Dai exemple de declasificri de informaii.
34
Dai exemple de informaii supuse procesului de degradare (downgrading).
2.5 Principiile protejrii informaiilor speciale

Date fiind clasificrile anterioare, pe linia protejrii informaiilor speciale pot fi enunate
10 principii:
Principiul delimitrii autorizrii - Repartizarea informaiilor pe tipuri va consta ntr-o
grupare ierarhic plus suma compartimentrilor n care se regsete informaia (de exemplu, o
informaie poate fi clasat pe principiul ierarhic n categoria strict secret i, n acelai timp,
s figureze n compartimentrile criptare i comunicare secret). Autorizarea unei persoane
sau prelucrri (cnd executant va fi calculatorul) presupune stabilirea sferei de exercitare a
funciei i ea const din autorizarea pe criteriul ierarhic al persoanei plus suma autorizrilor
compartimentrilor persoanelor din subordinea sa.
Principiul securitii simple - Nici o persoan sau proces, dintr-o anumit subordonare,
nu trebuie s vad informaiile unei categorii care depeete autorizarea sa. ntr-o form
scurt, principiul poate fi formulat: Tu, categoric, nu trebuie s le tii!
Principiul stea - Nici o persoan sau proces nu va scrie ceva pe obiectele dintr-o
categorie inferioar celei la care persoana sau procesul are acces.
Primul principiu al integritii - Nici un program pentru calculator nu va accepta
informaii de la un program inferior lui, pe linia privilegiilor.
Al doilea principiu al integritii - Nici un program pentru calculator nu va scrie ceva
ntr-un program superior lui, prin prisma privilegiilor.
Principiul etichetrii - Fiecare purttor de informaii va fi etichetat clar cu categoria
informaiilor coninute, n format accesibil omului i n format sesizabil de ctre
echipamentele periferice.
Principiul clarificrii - Nici o persoan sau procedur nu va schimba categoriile
existente ale informaiilor i nici autorizrile existente, conform unor proceduri n vigoare.
Principiul inaccesibilitii - Nici o informaie nu va fi lsat la dispoziia altor persoane
sau procese, cu excepia celor consemnate prin norme interne.
Principiul verificabilitii - Pentru toate activitile semnificative pe linia securitii
(deschiderea fiierelor, tergerea obiectelor, transmiterea n alt parte) se vor crea nregistrri
imposibil de ters, cu rolul facilitrii verificrii sistemului.
Principiul ncrederii n software - Ct timp nici un calculator nu poate controla perfect
respectarea principiilor anterioare, dar, totui, efectueaz activiti utile, ncrederea n
software va permite apariia unor excepii de la regul, dac este cazul.
35
Exemplificai modul n care principiile enunate mai sus se aplic ntr-o organizaie cunoscut de dvs.
2.6 Protejarea suporturilor informaionale

ntruct calculatoarele genereaz ieiri care, potenial, sunt mult mai valoroase dect
intrrile din fiierele ce le-au generat, obligaia pe linia ncadrrii informaiilor n diverse
categorii revine persoanelor care autorizeaz prelucrarea i directorului centrului de
prelucrare automat a datelor (p.a.d.) sau delegatului acestuia.
Toate suporturile care conin informaii obinute din prelucrarea automat a datelor
trebuie s fie catalogate ca documente ale prelucrrii automate a datelor. Ele sunt discuri de
orice tip, benzi magnetice, tamburi magnetici, pachete de discuri, dischete, registre, circuite
electronice .a. Tratamentul lor trebuie s fie similar documentelor ce conineau aceleai date
n condiiile prelucrrii tradiionale.
Toate materialele intermediare i informaiile obinute n cursul prelucrrii automate a
datelor trebuie s fie considerate ca materiale auxiliare pentru prelucrarea automat a datelor.
Ele includ materialele anulate, de genul benzilor i discurilor magnetice, hrtiei de
imprimant, benzilor tuate .a. Aceste materiale auxiliare trebuie s fie supuse clasificrilor
n funcie de informaiile ce le conin.
tergerea informaiilor clasificate este o operaiune creia trebuie s i se acorde o
importan deosebit. Suporturile de prelucrare automat a datelor care posed caracteristici
de remanen dup tergere, cum sunt suporturile magnetice, trebuie s fie tratate cu mare
atenie din faza aprobrii tergerii lor. Dup tergere ele pot fi folosite pentru pstrarea unor
informaii cel puin la fel de importante ca i precedentele.
Fiecare persoan care autorizeaz operaiuni de prelucrare automat a datelor trebuie s
verifice dac exist o fi de securitate, care s conin categoria persoanei executante,
categoria informaiilor prelucrate i instruciuni privind statutul informaiilor rezultate. De
asemenea, vor fi consemnate date privind durata prelucrrii, timpul de utilizare a
componentelor bazei de date, generaiile reinute (fiu, tat, bunic), astfel nct s poat fi
reconstituit baza de date n caz de avarii, precum i alte cerine pe linia pstrrii copiilor de
siguran.
Documentele aflate sub regimul controlului special trebuie s fie numerotate i
nregistrate pentru a se putea ti ce s-a folosit sau ce s-a vzut din ele.
36
Toate documentele obinute prin prelucrarea automat a datelor, cum este hrtia de
imprimant, trebuie s fie marcate, astfel nct s fie vizibil categoria din care fac parte, prin
plasarea marcajului n colul din dreapta sus, precum i n partea inferioar a fiecrei pagini.
n plus, se va consemna numrul de exemplare al fiecrui document.
2.6.1 Marcarea materialelor cu regim special

Sub accepiunea prelucrrii automate a datelor, un ecran cu informaii este tratat ca o
pagin de document, i ncadrarea ntr-o categorie sau alta se va face pe o linie distinct a
acestuia.
Marcarea n cod main trebuie s se efectueze prin coduri sesizabile de echipamente,
astfel nct s rezulte foarte clar din ce categorie fac parte informaiile prelucrate i la ce
operaiuni pot fi supuse. Codul trebuie s fie una dintre primele informaii ce vor fi date
sistemului, astfel nct s nu fie posibil accesarea altor date nainte de a se ti statutul lor.
Codul poate fi ultimul caracter al numelui fiierului, iar caracterul utilizat s aib valorile:
S = special, C = confidenial, P = privat, R = cu restricii, N = neclasificate.
Exemplu de nume de fiier: SALARIIC ultimul caracter, C, arat c sunt informaii
confideniale.
Marcarea fizic se refer la toate suporturile supuse prelucrrii automate a datelor.
Marcajul trebuie s reziste n timp i s nu fie afectat sau s afecteze prelucrarea automat a
datelor. Marcarea se poate face chiar pe suport sau pe caseta, rola sau plicul ce-l conine.
Suporturile reutilizabile trebuie s fie marcate cu etichete adezive sau creioane ce pot fi terse
ulterior.
Marcarea suporturilor de hrtie, cum au fost cartelele i benzile perforate, au marcajul
prin culori distincte: portocaliu = informaii care necesit control special, roz = confideniale,
verde = private, galben = cu restricii, albe = comune. Dac numai o parte a benzii sau
pachetului conine informaii protejate, tot volumul va cpta acelai statut.
Marcarea cutiilor i a carcaselor este necesar atunci cnd suporturile de memorare sunt
pstrate n astfel de condiii, caz n care se impune etichetarea neambigu a acestora, precum
i scrierea fiierelor coninute de suporturile din interior. Se recomand etichetele color
adezive.
Marcarea benzilor magnetice se efectueaz cu etichete lipite chiar pe band, fr s
afecteze prelucrarea datelor.
Marcarea pachetelor de discuri se realizeaz cu carioca n centrul acestora.
Marcarea microfilmelor se face pe prima imagine cadru sau pe cutie, cu carioca. La fel
se procedeaz cu microfiele.
2.6.2 Pstrarea i distrugerea materialelor speciale

Materialele care pstreaz date supuse prelucrrii automate a datelor i cele auxiliare se
pstreaz n camere speciale.
Documentele ce conin informaii aflate sub un control special se pstreaz n seifuri sau
n locuri protejate prin sisteme speciale.
Operaiunea de distrugere trebuie s urmeze proceduri speciale. Cea mai bun cale de
distrugere este arderea, folosit, de regul, pentru gunoaiele informatice adunate n pungi
speciale. naintea arderii ele trebuie pstrate n locuri cu o astfel de destinaie. La operaiune
vor participa dou persoane, care sunt obligate s in un registru special pentru consemnarea
a ceea ce se supune arderii. Cenua trebuie s fie mprtiat pentru distrugerea oricrei
37
posibiliti de reconstituire a datelor coninute. La fel pot fi distruse i alte materiale, cum
sunt pachetele de discuri magnetice, dup ce se recupereaz anumite piese.
Transformarea n past este posibil numai pentru reziduurile de hrtie, nu i pentru
banda magnetic, microfilm sau benzi tuate.
Frmiarea se aplic resturilor de hrtie, indigo, band magnetic, microfilm, dar o
astfel de operaiune trebuie s fie a treia i ca utilizare. naintea acestei operaiuni, n cazul
benzii magnetice, n primul rnd, trebuie tiat ntreaga rol. Standardele internaionale
prevd ca particulele rezultate din aceast operaiune s nu fie mai mari de 1/32 inch. De
regul, frmiarea este recomandat naintea arderii.
O atenie special se va acorda suporturilor magnetice ntruct ele se pot refolosi. Dac
aceasta se ntmpl n aceeai unitate, noul posesor trebuie s aib cel puin aceeai autorizare
pe linia accesului la informaii ca i precedentul. Pentru un plus de siguran se recomand
completarea cu zerouri a vechiului suport, sau cu cifre aleatoare. Dac se utilizeaz n afara
unitii, vor fi luate msuri suplimentare, dar oricum nu se va declara utilizarea avut anterior.
Pentru tergerea benzilor magnetice exist aparatur special de demagnetizare, realizat
de Ampex, Hewlett-Packard sau Consolidated Engineering Corp.
Discurile magnetice sunt terse prin curent alternativ sau continuu, dac sistemul de
prelucrare automat a datelor permite o astfel de operaiune, dup care se efectueaz scrierea
de trei ori cu cifre 1 i 0, i nc o dat cu un singur caracter alfabetic.
2.7 Clasificarea informaiilor organizaiilor

La nivelul unei organizaii, pe un plan corespunztor, ar trebui vzute la fel lucrurile ca i
la nivel naional, ncadrndu-se informaiile n mai multe categorii, cu protecii diferite, dup
cum urmeaz:
Informaiile care necesit un control special sunt cele cunoscute la nivel naional ca fiind
strict secrete. La nivelul firmei ele se numesc speciale, notate cu S. Aici pot fi incluse
informaiile i materialele a cror compromitere ar duce la pierderea a 10 procente din profitul
brut anual.
Informaiile confideniale la nivel de unitate, notate cu C, corespund celor secrete la
nivel naional, i se atribuie acest calificativ informaiilor i materialelor a cror
compromitere ar duce la pierderea unui procent din profitul net anual.
Informaiile private, asemntoare celor confideniale de la nivel naional, notate cu P,
cuprind informaiile i materialele a cror compromitere poate prejudicia statutul unei
persoane din unitate sau al corporaiei.
Informaiile de uz intern sunt acelea ce nu fac parte din categoriile anterioare i, pentru c
au restricii n utilizare, se vor nota cu litera R.
Informaiile publice au un regim mult diferit de cele asemntoare de la nivel
guvernamental, fiind totui recunoscute prin statutul de neclasificate, notate cu N.
La nivel guvernamental, orice informaie nencadrat ntr-una din categoriile speciale,
sub incidena legii accesului liber la informaiile publice, poate fi publicat de orice organ de
pres scris, video sau vorbit, sub motivaia c tot ceea ce nu este interzis este permis.
La nivel privat, se nregistreaz o reinere mai mare pe linia informaiilor publice i
numai documentele cu meniunea pentru public pot fi accesibile tuturor. De fapt, deviza n
acest caz este tot ceea ce nu este permis este interzis. Totui, un tratament special l au
informaiile solicitate de organismele guvernamentale de la unitile private.
38
La nivelul firmelor, deseori efii compartimentelor uzeaz de sistemul consemnrii

exprese, sub forma unor subcategorii de genul: Numai pentru domnul/doamna ..., Numai
pentru compartimentul ....
Completai urmtorul tabel:

Suport informaional
Nivel de
clasificare
Mod de
marcare
Mod de
pstrare
Mod de
distrugere
Responsabil
cu suportul
Raport listat cu contul

de profit i pierdere al
firmei X pe 2010
Dosarele medicale ale
personalului firmei X
DVD cu copia de
siguran a bazei de
date la sf. lui februarie
2011
CD cu procesul
tehnologic de obinere a
principalului produs al
firmei
Rezumat
Clasificarea nseamn etichetri cresctoare ale documentelor sau informaiilor, de la cel mai de jos
nivel, unde se situeaz informaiile deschise (open) sau neclasificate (unclassified), la cele confideniale,
urcnd spre informaii secrete i strict secrete (top secret). n domeniul militar, informaiile care prin
compromitere pot costa viei umane sunt marcate secrete, n timp ce informaiile a cror compromitere
cost pierderea multor viei umane sunt definite top secret (strict secrete).
Se practic dou strategii de baz pe linia securitii naionale:
1. Tot ceea ce nu este interzis este permis;
2. Tot ceea ce nu este permis este interzis.
Se apeleaz la dou tactici de implementare a strategiei fundamentale privind protejarea informaiilor
deosebite: controlul discreionar al accesului i controlul legal al accesului.
Guvernele mpart informaiile n dou mari tipuri: informaii subiective i informaii obiective.
Anterior a operat o alt clasificare: informaii operaionale i informaii tiinifice. Unii autori au
menionat i un al treilea tip de informaii clasificate de guverne informaii tehnice.
n vederea clasificrii informaiilor se parcurg trei etape distincte: stabilirea nevoii de clasificare;
determinarea nivelurilor clasificrii; determinarea duratei clasificrii.
n sistemul american de clasificare a informaiilor exist trei niveluri de clasificare: top secret (strict
secret), secret i confidenial. Informaiile neclasificate constituie o alt categorie. n Romnia, informaiile
clasificate din clasa secretelor de stat sunt ncadrate tot n trei niveluri, astfel: strict secrete de importan
deosebit, strict secrete i secrete.
Atunci cnd se efectueaz clasificarea unor informaii se iau n calcul anumite cerine de ndeplinit.
Cnd, din diferite cauze, se schimb circumstanele, firesc, i cerinele ndeplinite iniial se modific,
39
situaie n care informaiile clasificate se declasific sau trec pe un nivel inferior de clasificare (degradarea
informaiilor).
S-a sugerat ca i n lumea afacerilor, unde se apeleaz la secretele comerciale, s fie stabilite dou sau
trei grade (niveluri) de importan pentru acele secrete. Au existat diferite propuneri, dintre care una sugera
ca informaiile, ce trebuie s fie protejate de ctre companii, s fie grupate astfel: secrete comerciale i
know-how acesta fiind o informaie valoroas dar probabil nu va asigura protecia secretului comercial.
Au fost specificai ase factori care au fost propui s fie utilizai atunci cnd se ncearc a se stabili dac
informaiile reprezint sau nu un secret comercial.
Pe linia protejrii informaiilor speciale pot fi enunate 10 principii: delimitrii autorizrii, securitii
simple, stea, al integritii I, al integritii II, etichetrii, clarificrii, inaccesibilitii, verificabilitii,
ncrederii n software.
Toate suporturile care conin informaii obinute din prelucrarea automat a datelor trebuie s fie
catalogate ca documente ale prelucrrii automate a datelor. Tratamentul lor trebuie s fie similar
documentelor ce conineau aceleai date n condiiile prelucrrii tradiionale. Msurile de protecie sunt:
marcarea materialelor cu regim special, pstrarea i distrugerea materialelor speciale.
La nivelul unei organizaii ar trebui vzute la fel lucrurile ca i la nivel naional, ncadrndu-se
informaiile n mai multe categorii, cu protecii diferite: informaiile care necesit un control special,
informaiile confideniale la nivel de unitate, informaiile private, informaiile de uz intern, informaiile
publice.
1.
2.
3.
Calder, A.- A Business Guide to Information Security, Kogan Page, London, 2005
Dhillon, G. - Principles of Information System Security. Text and cases, John Wiley &
Sons,USA, 2007
Gregory, P., G. - Securitatea informaiilor n firm, Traducere Nicolae Ionescu Cruan, Ed.
Rentrop & Straton, Bucureti, 2005
Unitatea de studiu III
Controlul accesului
n sistemele informaionale
Dorim ca, la finalul parcurgerii unitii de studiu 3, studenii s:

dobndeasc suficiente cunotine pentru stabilirea tipurilor de control al accesului
adecvate pentru o anumit organizaie i pentru implementarea acestora;
cunoasc modele de control i a modalitile de combinare a lor;
dein suficiente informaii pentru stabilirea modalitilor de identificare i
autentificare a persoanelor necesare unei anumite organizaii.
tipurile de control al accesului n sistem;
identificarea i autentificarea (principii de baz ale controlului accesului, controlul
accesului prin obiecte, biometrie, parole, geografic.
3.1 Tipuri de control al accesului n sistem

De regul, controalele sunt introduse pentru diminuarea riscurilor la care sunt expuse
sistemele i pentru reducerea potenialelor pierderi. Controalele pot fi preventive, detective
sau corective1.
Controalele preventive, dup cum sugereaz i numele lor, au ca scop prentmpinarea
apariiei unor incidente n sistem; cele detective vizeaz descoperirea unor apariii ciudate n
sistem, iar controalele corective sunt folosite pentru readucerea la normalitate a sistemului
dup anumite incidente la care a fost expus.
Ca s poat fi atinse obiectivele enumerate, controalele pot fi administrative, logice sau
tehnice i fizice.
Controalele administrative sunt exercitate prin politici i proceduri, instruire cu scop de
contientizare, verificri generale, verificri la locurile de munc, verificarea pe timpul
concediilor i o supraveghere exigent.
Controalele logice sau tehnice cuprind restriciile de accesare a sistemului i msurile
prin care se asigur protecia informaiilor. Din aceast categorie fac parte sistemele de
criptare, cardurile inteligente, listele de control al accesului i protocoalele de transmisie.
Controalele fizice ncorporeaz, n general, grzile de protecie i paz, securitatea
cldirilor, cum sunt: sistemele de ncuiere a uilor, securizarea camerelor cu servere i laptopuri, protecia cablurilor, separarea atribuiilor de serviciu, precum i realizarea copiilor de
siguran a fiierelor.
Controalele vizeaz responsabilizarea persoanelor care acceseaz informaii sensibile.
Responsabilizarea este nfptuit prin mecanisme de control al accesului care necesit, la
rndul lor, exercitarea funciilor de identificare, autentificare i auditare. Controalele trebuie
s fie n deplin concordan cu politica de securitate a organizaiei, iar procedurile de
Krutz, R.L., Vines, R.D. The CISSP Prep Guide Mastering the Ten Domains of Computer Security, Wiley Computer
Publishing, John Wiley & Sons, Inc., New York, 2001, pp. 31-50.
CONTROLUL ACCESULUI N SISTEMELE INFORMAIONALE
41
asigurare au scopul de a demonstra c prin mecanismele de control se implementeaz corect

politicile de securitate pentru ntregul ciclu de via al sistemului informaional.
Prin combinarea controlului preventiv i detectiv cu mijloacele celorlalte tipuri de control
administrativ, tehnic (logic) i fizic se obin urmtoarele perechi:
preventiv/administrativ;
preventiv/tehnic;
preventiv/fizic;
detectiv/administrativ;
detectiv/tehnic;
detectiv/fizic.
Schematic, aceste perechi sunt redate n figura 3.1.
Fig. 3.1 Perechile formelor de control
Controlul preventiv/administrativ
n aceast variant, accentul se pune pe resposabilitile administrative care contribuie la
atingerea obiectivelor controlului accesului. Aceste mecanisme cuprind politicile i
procedurile organizaionale, verificrile de fond nainte de angajare, practicile de ncetare a
contractului de munc n condiii normale i anormale, planificarea plecrilor n concediu,
etichetarea sau marcarea materialelor speciale, supravegherea mai exigent, cursuri de
instruire n scopul contientizrii importanei securitii, contientizarea modului de
comportare, precum i procedurile de semnare a contractului n vederea obinerii accesului la
sistemul informaional i la reea.
Controlul preventiv/tehnic
mperecherea preventiv-tehnic vizeaz utilizarea tehnologiilor pentru consolidarea
politicilor de control al accesului. Controlul tehnic se mai numete i control logic i poate fi
realizat prin sistemele de operare, prin aplicaii sau printr-o component suplimentar
hard/soft. Dintre controalele preventive/tehnice fac parte protocoalele, criptarea, cardurile
inteligente, biometria (cu scopul de autentificare), pachetele software pentru realizarea
controlului accesului local sau de la distan, parolele, meniurile, softul de scanare a viruilor
.a.
42
Controlul preventiv/fizic
n cea mai mare parte, msurile de control preventiv/fizic sunt de tip intuitiv. Ele vizeaz
restricionarea accesului fizic n zonele ce conin informaii sensibile ale sistemului. Zonele
respective sunt definite printr-un aa-zis perimetru de securitate, aflat sub controlul accesului.
n aceast categorie intr mprejmuirile cu gard, ecusoanele, uile multiple (dup trecerea
printr-o u, aceasta se blocheaz automat, iar la urmtoarea trebuie cunoscut sistemul de
deschidere, persoana fiind captiv ntre dou ui, motiv pentru care se numesc i uicapcan), sistemele de intrare pe baz de cartel magnetic, aparatura biometric (pentru
identificare), servicii de paz, cini de paz, sisteme de controlare a mediului (temperatur,
umiditate .a.), schia cldirii i a cilor de acces, locurile special amenajate pentru
depozitarea suporturilor de informaii.
Controlul detectiv/administrativ
Cteva dintre controalele detective/administrative se suprapun controalelor
preventive/administrative pentru c ele pot fi exercitate cu scopul prevenirii posibilelor
violri ale politicilor de securitate sau pentru detectarea celor n curs. Din aceast categorie
fac parte procedurile i politicile de securitate, verificrile de fond, planificarea plecrilor n
concediu, marcarea sau etichetarea materialelor speciale, o supraveghere mai exigent,
instruiri cu scopul contientizrii importanei securitii. n plus, cu scop
detectiv/administrativ sunt controalele ce vizeaz rotirea personalului la locurile de munc,
exercitarea n comun a unor responsabiliti, precum i revizuirea nregistrrilor cu scop de
auditare.
Controlul detectiv/tehnic
Msurile controlului detectiv/tehnic vizeaz scoaterea n eviden a violrii politicii de
securitate folosindu-se mijloace tehnice. Aceste msuri se refer la sistemele de detectare a
intruilor i la rapoartele privind violrile securitii, generate automat, pe baza informaiilor
colectate cu scopul de a fi prob n auditare. Rapoartele pot evidenia abaterile de la
funcionarea normal sau pot detecta semnturi cunoscute ale unor episoade de acces
neautorizat.
Datorit importanei lor, informaiile folosite n auditare trebuie s fie protejate la cel mai
nalt nivel posibil din sistem.
Controlul detectiv/fizic
De regul, aceste controale necesit intervenia omului pentru evaluarea a ceea ce ofer
senzorii sau camerele pentru a stabili dac exist un pericol real pentru sistem. n acest caz,
controlul se exercit prin camere video, detectoare termice, de fum, de micare.
Analizai modalitile de control al accesului implementate ntr-o organizaie cunoscut de dvs.,
ncadrndu-le n formele combinate prezentate n subcapitolul anterior. Apreciai, n cteva fraze, eficiena
controalelor folosite de organizaia respectiv.
43
3.2 Identificarea i autentificarea

n orice sistem de bariere fizice, sistemul de securitate trebuie s discearn care sunt
persoanele autorizate i care sunt vizitatorii i alte categorii neautorizate. Autentificarea poate
s o fac corpul de paz, alte persoane care se ocup de controlarea accesului sau sistemele
automate investite cu aceast funcie.
De regul, identificarea i autentificarea persoanelor se efectueaz prin analiza a patru
elemente:
1. Ceva aflat n posesia persoanei. De regul, se posed lucruri cum sunt: chei, cartele
magnetice, cartele speciale, echipamente de identificare personal i jetoane. Ele
permit un prim pas de accesare a sistemului. Exist marele pericol al pierderii lor sau
de dare spre folosin altor persoane.
2. Ceva care individualizeaz persoana. Identificrile biometrice sunt o alt variant de
condiionare a accesului. Ele pot fi: amprentele degetelor, buzelor, semntura, vocea,
forma minii, imaginea retinei, venele de pe faa extern a minii, liniile din palm,
imaginea feei .a. Toate aceste tehnici sunt foarte scumpe, n comparaie cu cele
clasice, i deseori sunt incomode sau neplcute la utilizare. Exist suficiente tehnici
eficiente care s fie folosite pn cnd cele enumerate vor fi mai ieftine.
3. Ceva ce persoana tie. O parol, de exemplu, numai c ea se afl la discreia
oamenilor i, de modul de pstrare a secretului ei sau de uurina cu care poate fi
aflat, depinde soarta ntregului sistem.
4. Locul geografic unde este nregistrat calculatorul.
Metodele de controlare a accesului trebuie s se bazeze pe cel puin dou dintre cele
patru ci enumerate; deseori se apeleaz la combinaiile cartel-parol, cheie-parol, jetonparol. n ultimul timp se recomand ca n sistemele de protecie s se foloseasc tot mai mult
un al treilea element, cel biometric.
Dai exemplu de 1 situaie n care identificarea i/sau autentificarea unei persoane se face folosind
ceva aflat n posesia persoanei. Precizai dac n exemplul dvs. este vorba de identificare, autentificare
sau ambele.
ceva care individualizeaz persoana (o trstur biometric). Precizai dac n exemplul dvs. este
vorba de identificare, autentificare sau ambele.
44
ceva ce tie o persoan. Precizai dac n exemplul dvs. este vorba de identificare, autentificare sau
ambele.
locul geografic n care este nregistrat calculatorul su. Precizai dac n exemplul dvs. este vorba de
identificare, autentificare sau ambele.
3.2.1 Principii de baz ale controlului accesului

Ca principiu general, simpla posesie a unui element de control al accesului nu trebuie s
constituie i proba accesului privilegiat la informaiile importante ale firmei, ntruct el poate
fi dobndit i pe ci ilegale sau poate fi contrafcut.
Un al doilea principiu arat c atunci cnd valorile patrimoniale sunt deosebit de
importante i mecanismul de protecie trebuie s fie pe msur, iar persoanele cu drept de
acces s fie ct mai puine, deci de principiul trebuie s tie s beneficieze ct mai puine
persoane.
Al treilea principiu, de regul aplicat informaiilor secrete, este acela c nici unei
persoane nu trebuie s i se garanteze accesul permanent, gestiunea sau cunoaterea
informaiilor secrete numai pe motivul poziiei ierarhice pe care o deine. Este o replic la
principiul trebuie s tie.
Fiecare centru de prelucrare automat a datelor cu mai mult de 25 angajai trebuie s
apeleze la sistemul ecusoanelor i la biometrie, ca msuri suplimentare fa de proteciile
realizate prin alte metode privind accesul n cldire. Ecusoanele trebuie s fie purtate prinse
pe rever sau la gt. La mod sunt ecusoanele inteligente, care, de la distan, ofer informaii
despre posesor.
Locurile care nu dispun de ui ce pot fi ncuiate trebuie s aib intrrile supravegheate,
iar o persoan, ofier de serviciu, s rspund de aceast operaiune, punndu-i-se la
dispoziie i un sistem de comunicaie cu forele de ordine. Cu acelai scop, poate fi folosit
i televiziunea cu circuit nchis, utilizat de forele de ordine, cu condiia ca o persoan s nu
45
supravegheze mai mult de trei monitoare. Similar pot fi folosite camerele de luat vederi cu
supraveghere continu a principalelor ncperi ale cldirii, ndeosebi unde ptrund vizitatori.
Pentru vizitatori vor fi camere special amenajate, fr ca acetia s aib acces n zona
prelucrrii automate a datelor.
Imaginai cte un exemplu de aplicare pentru principiile de control al accesului enunate mai sus.
3.2.2 Controlul accesului prin obiecte

Pentru a ptrunde ntr-o cldire sau o sal a ei, deseori se apeleaz la mai multe metode
de autentificare, folosite alturi de o cartel de plastic sau un jeton. Cu acestea se ofer
informaii suplimentare despre purttor, cum ar fi numele, adresa, contul bancar, contul
cardului de debit sau credit, informaii medicale, drepturi de acces .a. Toate informaiile
menionate pot fi codificate prin coduri bar, pelicul magnetic, microprocesoare. Unele
dintre carduri conin i o fotografie a proprietarului, realizat, prin noile tehnologii, direct pe
card.
Exist i carduri inteligente care se utilizeaz pentru criptarea i decriptarea datelor,
semnarea mesajelor i introducerea sistemelor de pli electronice. Se pot folosi carduri care
s aib fotografia deintorului i dou microprocesoare folosite n scopuri diferite. Primul,
pentru sisteme de plat, prin implementarea Master sau Euro sau Visa Cash, i pentru aplicaii
de protejare a datelor cu care lucreaz angajatul respectiv. Al doilea microprocesor este
folosit pentru nlesnirea accesului n cldire i la locurile de parcare. n ultimul timp, prin
carduri inteligente se controleaz accesul n organizaie, n slile ei, la calculator, la datele
personale din clasicele buletine de identitate, din paapoarte, din carnetul de ofer i la datele
medicale.
46
Practica ofer i ecusoane-active, care apeleaz la identificarea prin frecvene radio

(RFID - Radio-frequency identification), fr s fie nevoie de trecerea cartelei prin faa unui
cititor special. De asemenea, prin tehnologiile infrarou se poate realiza citirea coninutului
unei cartele de la civa metri.
Cele mai multe carduri sunt auto-expirante; prin tehnologii termice speciale se
realizeaz carduri crora li se anuleaz scrisul dup o anumit perioad de expunere la
lumin. Altele folosesc cerneluri ce-i schimb culoarea dup un timp bine controlat, astfel
nct s nu mai poat fi reutilizate. Ambele metode se folosesc, ndeosebi, pentru vizitatorii
organizaiilor.
Viitorul este al cardurilor inteligente, ns muli poteniali beneficiari spun Cardurile
inteligente par a fi cea mai bun soluie pentru problema noastr. n schimb, le vrem mai
performante pentru a rspunde la toate cerinele noastre2.
De asemenea, accesarea spaiului cibernetic cu ajutorul laptop-urilor i al PDA-urilor
(Personal Digital Assistant) necesit noi tipuri de cartele pentru securizarea reelelor fr fir
(Wireless LAN WLAN). Gsirea rapid de soluii a condus la cuplarea forelor unor foti
competitori. Visa International i-a unit forele cu realizatorul de chip-uri Sony Corp. i cu
Infineon pentru realizarea unui nou chip, care poate fi folosit prin contactul direct al cardului
cu un cititor, dar i fr contact. Fujitsu i STMicroelectronics au intrat n parteneriat pentru
realizarea memoriei feroelectrice, ca o posibil viitoare generaie a cardurilor fr contact.
Lumea cardurilor este ntr-un moment crucial. ansele sunt reale, dar parteneriatele
aproape c sunt obligatorii. Don Davis (op. cit.) opina Este mai bine s mpari o felie de
plcint cu un partener, dect s rmi cu un platou gol.
Folosind Internetul, identificai dou soluii de control acces i pontaj al angajailor cu ajutorul ecusoanelor
active RFID.
Prezentai comparativ, n termeni de avantaje i dezavantaje, cele dou soluii identificate mai sus.
Davis, D. The Problems Catch Up With The Solution, in Card Technology, April 2003, Volume 8, Number 4, p. 4.
47
3.2.3 Controlul accesului prin biometrie

Dumnezeu l-a fcut pe om dup chipul i asemnarea lui, dar, cum oamenii s-au nmulit,
s-a simit nevoia identificrii fiecrui individ n parte. Primele forme de identificare s-au
bazat pe descrieri din memorie, fcute de alte persoane, enumerndu-se anumite trsturi sau
semne particulare ale celui identificat, de cele mai multe ori reperarea fcndu-se prin
descrierea feei persoanei sau a vocii. Dup mii de ani s-au meninut aceste forme de
identificare, ntruct i astzi portretele-robot sunt realizate tot pe aceast cale, dar cu ajutorul
calculatoarelor.
Un moment important l-a constituit inventarea fotografiei. Ea nc se folosete la
identificarea i autentificarea persoanei prin plasarea pe buletinele de identitate, paapoarte,
legitimaii .a. Sistemul este util poliiei, lucrtorilor de la frontier, organizaiilor comerciale,
bancare, diverselor instituii .a.
Invenia amprentelor digitale a condus la apariia altui mod de identificare i
autentificare, prin culegerea probelor de pe obiectele constatate la locul nfptuirii unui delict.
Pn la 11 septembrie 2001 metodele de identificare biometric erau respinse cu duritate
de potenialii beneficiari direci supui unor metode de identificare ce le-ar fi afectat sntatea
sau intimitatea. Cum inveniile i inovaiile din domeniu nu au inut cont de prerile lor, au
aprut o mulime de tehnologii biometrice n sistemele de securitate a organizaiilor. Unele
dintre realizri sunt de-a dreptul stranii, dei nu au nimic n comun cu biometria. Ne referim
la viitoarele camere de luat vederi presrate peste tot: pe strzi, pe holurile instituiilor, acas,
n mijloacele de transport. n Anglia, exist deja 1.500.000 de camere de luat vederi pe strzi,
Londra avnd introdus sistemul cu muli ani n urm. Mai mult, noile camere de luat vederi
pot dezbrca, la propriu, trecnd peste vemintele protectoare ale persoanei, sau pot trece prin
pereii camerelor. Unde mai este protejat intimitatea!?!
Revenind la biometrie, am putea face referire i la angajaii Microsoft, care depind de o
cartel inteligent, cu elemente biometrice incluse, de la intrarea n campusul unde se afl
locul de munc, pn la ptrunderea n birou, n restaurantul companiei, n orice loc unde i
este permis accesul persoanei, dar cu ea se poate realiza i identificarea celui ce dorete s
lucreze la un calculator. Sistemul a cam bulversat angajaii lui Bill Gates, dar se pare c s-au
obinuit cu el.
Mai ocant ni se pare propunerea venit din partea Statelor Unite, ca efect al actului
terorist de la 11 septembrie 2001, transformat n lege, adoptat de Congresul American, prin
care se stipuleaz c orice strin care intr pe teritoriul Americii dein un document purttor
al datelor biometrice. Totul se bazeaz pe ideea ca posesorul unui paaport furat sau al unei
vize false s fie identificat prin amprenta digital, a irisului, retinei sau feei n funcie de
tehnica biometric adoptat. Oricum, se contureaz obligativitatea includerii componentelor
biometrice n toate actele de cltorie n doar civa ani, ceea ce conduce la dezvoltarea unei
puternice industrii biometrice i a alteia, a cardurilor inteligente.
Se preconizeaz c vor avea un demaraj foarte puternic tehnologiile bazate pe
recunoaterea feei i a amprentelor digitale, crora li se va altura, ntr-o mai mic msur,
recunoaterea irisului. Oricum acestea sunt i cele trei elemente biometrice recomandate de
Organizaia Internaional de Aviaie Civil, cu sediul la Montreal, din care fac parte peste
188 de ri. Prin progresele nregistrate n domeniul realizrii noilor chipuri, ele pot fi plasate
pe filele tuturor documentelor personale.
n tabelul 3.1 se face o scurt descriere a celor mai noi patru tehnologii biometrice.
48
Tabel nr. 3.1 Prezentare comparativ a patru tehnologii biometrice

Recunoaterea
feei
Caracteristici
Recunoaterea
irisului
Amprenta
digital
Forma minii
Rata respingerilor eronate
3,3%-70%
0,2%-36%
1,9%-6%
0-5%
Rata acceptrilor eronate
0,3%-5%
0%-8%
Sub 1%
0%-2,1%
Timpul pentru o verificare
10 secunde
9-19 secunde
12 secunde
6-10 secunde
Mrimea probei culese
84-1300 octei
250-1000
octei
512 octei
9 octei
Numrul furnizorilor
principali
Peste 25
Preul echipamentelor
Moderat
Mic
Mare
Moderat
Lumina, orientarea
feei, ochelarii de
soare
Murdria,
degetele
deshidratate
sau accidentele
Vederea slab,
ncruntarea sau
reflexia
Rni, artrit,
umflturi
Factorii ce afecteaz
probele luate
Sursa: U.S. General Accounting Office

Dup Card Technology, April 2003, Volume 8, nr. 4, p. 23.
Informaii suplimentare despre biometrie se pot obine de pe urmtoarele adrese web:

Asociaia Internaional a Industriei Biometrice
www.ibia.org
Recunoaterea feei
www.visionics.com
Amprenta digital
www.identix.com
Amprenta digital
www.recogsys
Recunoaterea irisului
www.iriscan.com
Recunoaterea irisului
www.eyeticket.com
Care este, n opinia dvs., cea mai spectaculoas/util/eficient/nou tehnologie biometric? Justificai.
Identificai alte tehnologii biometrice dect cele descrise mai sus i prezentai-le pe scurt.
49
Prezentai i analizai controversa iscat la introducerea paapoartelor biometrice n Romnia. Care este
prerea dvs. n raport cu acest subiect?
3.2.4 Controlul accesului prin parole

Principiul parolelor, cunoscut din lumea basmelor, ntr-o oarecare msur este
asemntor ntrebuinat i n lumea calculatoarelor. Uneori, dintr-o dragoste excesiv fa de
trecut, utilizatorii greesc, rmnnd n aceeai lume, i, ca atare, apeleaz i n acest caz la
arhicunoscutele cuvinte magice ale copilriei. Un astfel de comportament este intuit i de
sprgtorii de sisteme, care, nu de puine ori, reuesc s le acceseze pe aceast cale. Multe
ui informatice s-au deschis la aflarea parolei SESAM, dar, orict de drag ne-ar fi
cuvntul, utilizarea lui este total neinspirat.
Menionm c sistemul parolelor, ct de complex ar fi el, nu realizeaz i o securitate
total, ea depinznd n mod substanial de modul de pstrare a secretului parolei. S nu uitm
c i cele mai solide ui, cu cele mai inteligente lacte, sunt vulnerabile n faa celor care au
intrat n posesia cheilor.
Problema parolelor nu este nc suficient de bine neleas de utilizatorii lor, apelndu-se
la forme foarte scurte, la nume ale eroilor din filme, din basme, la numele soiei sau soului,
al copiilor, la numrul autoturismului .a. toate vulnerabile n faa unor sprgtori calificai.
O alt greeal, amintit i ntr-un paragraf anterior, const n scrierea parolelor de team de a
nu fi uitate, dar suportul lor este lsat la vederea oricror persoane ce ajung n camer.
Parolele trebuie s fie eliberate doar persoanelor autorizate s exercite anumite funcii n
sistem i nu trebuie s fie un proces generalizat, dndu-se tuturor celor ce dein poziii
importante n conducerea firmei. n cazul sistemelor ce conin informaii speciale, parolele se
atribuie de ofierul cu securitatea sistemului. A da astfel de parole n folosina unor persoane
echivaleaz cu permisiunea acestora de a accesa cele mai importante averi ale firmei.
Parolele pot fi create i de utilizatori pentru datele mai puin importante, dar exist unele
probleme care se repet n numeroase cazuri, i anume:
1. utilizatorii nu-i schimb la timp parolele, iar dac o fac nu aduc modificri de
substan n structura lor;
2. utilizatorii i pstreaz parolele, din precauia de a nu le uita, pe buci de hrtie
lsate n vzul tuturor;
3. pentru o memorare uoar se apeleaz la formele, amintite anterior, de atribuire a
cuvintelor-parol, ceea ce le face deosebit de vulnerabile. Printr-un recent studiu
efectuat n Anglia, s-a constatat c, totui, cele mai uzuale parole date dup celebrul
mesaj al sistemului PASSWORD, ceea ce nseamn parola sau cuvntul de trecere,
50
sunt ... PASSWORD (ceea ce n romnete ar nsemna folosirea cuvntului

PAROLA) i SECRET.
n rndul specialitilor romni, deseori am constatat c parolele reprezint numele
copiilor, ale soiilor, numele lor citite de la sfrit la nceput, nume istorice, cuvinte
bombastice din limba englez (SMART, CLEVER, DUMMY, CRAZY .a.) sau banalul
cuvnt GHICI.
Din cele relatate, rezult c o parol este i o cheie i trebuie s i se poarte de grij ca i
obiectelor sau valorilor protejate prin ea. Din aceast cauz se impun cteva reguli de
controlare a parolelor:
1. parolele trebuie s fie schimbate cam la ase luni, dar pentru datele deosebit de
importante se impun termene i mai scurte;
2. parolele comune trebuie schimbate imediat ce o persoan prsete grupul sau nu mai are
dreptul utilizrii lor;
3. parolele trebuie s fie schimbate imediat ce se constat unele bnuieli privind
cunoaterea lor de persoane neautorizate sau atunci cnd, din motive de for major,
secretul lor a trebuit s fie dezvluit pentru redresarea unei stri anormale temporare;
4. parolele trebuie s fie inute minte i nu scrise pe oriunde, cu excepia urmtoarelor
cazuri:
a) trebuie s fie scrise pentru intervenii de urgen;
b) fiecare parol scris va fi introdus ntr-un plic sigilat i marcat n exterior cu scurte
detalii privind calculatorul la care poate fi folosit i numele celor autorizai a le
folosi;
c) plicul respectiv are tratamentul asemntor averilor protejate sau al categoriei de
informaii accesate prin parol. Dup ruperea sigiliului, pe plic vor fi scrise data i
numele celor ce au aflat-o;
d) plicurile cu parole se pstreaz de ctre responsabilul cu securitatea sistemului;
5. dac parolele-duplicat se pstreaz prin intermediul calculatorului, astfel de fiiere trebuie
s fie protejate mpotriva accesului neautorizat i create copii de siguran. Accesul la
acest fiier trebuie s fie nlesnit doar persoanelor autorizate, respectndu-se principiul
niciodat singur. Listele cu parole vor fi memorate n form criptat;
6. parolele nu vor fi afiate niciodat pe echipamentele din configuraia sistemului, iar la
introducerea lor de la tastatur nu trebuie s se afle persoane strine n preajm;
7. parolele, n cele mai multe cazuri, au cel puin opt caractere. Ele sunt caractere
alfanumerice - litere (mari i mici), cifre i spaii, folosite n ordine aleatoare, ceea ce ar
nsemna cteva mii de cuvinte de opt sau mai puine caractere, care pot fi testate cu
ajutorul calculatorului, n doar cteva minute, deci sunt suficient de vulnerabile pentru
profesionitii n spargeri de sisteme;
8. pentru blocarea operaiunilor de ncercare repetat, de ordinul miilor, calculatoarele
trebuie s permit un numr limitat de ncercri de introducere a acestora, uzual trei. Dac
limita a fost depit de ctre utilizator, intenia trebuie s fie raportat conductorului
sistemului sau responsabilului cu securitatea, nsoit de un semnal sonor specific de
avertizare. n acest timp trebuie s se blocheze terminalul de la care s-au efectuat prea
multe ncercri euate. Repunerea lui n funciune st la ndemna conductorului
sistemului. n cazul sistemelor speciale, se recomand i blocarea slii sau a locului de
unde s-a ncercat accesarea prin parole eronate repetate, pentru identificarea persoanei
respective;
51
9. odat ce au ptruns n sistem, utilizatorilor nu trebuie s li se permit s-i schimbe

identitatea cu care au efectuat deschiderea sesiunii i nici s nu poat ptrunde n partiiile
alocate altor utilizatori;
10. dac un terminal funcioneaz o perioad lung de timp, procesul de autentificare trebuie
s aib loc la intervale regulate de timp pentru a se asigura c nu folosete altcineva
sistemul. Dac terminalul rmne neutilizat, dar deschis, el trebuie s se nchid automat
dup un anumit interval de timp, de exemplu, 10 minute;
11. la deschiderea unei noi sesiuni de lucru, utilizatorului trebuie s i se aduc la cunotin
ultimul timp de accesare a sistemului cu parola respectiv, pentru a se verifica dac
altcineva a folosit-o ntre timp.
n cazul accesrii bazelor de date deosebit de importante, cum sunt sistemele de operare,
listele cu parole, se impune controlul dual al parolei, pe principiul niciodat singur. Dar,
cele dou persoane nu trebuie s fie tot timpul aceleai i ambele s fie la fel de bune
cunosctoare ale consecinelor declanrii unor operaiuni de la calculator.
Pentru prentmpinarea unor aspecte vulnerabile din sistemul de protecie prin parole, se
recomand apelarea la un semn special sau la o dovad de recunoatere a utilizatorului. Ele
pot fi: o cheie de descuiere a consolei, o cartel magnetic bazat pe microprocesor, astfel
nct s poat stabili cine, cum, cnd i de unde s o foloseasc. Doar costul foarte mare nu
duce la generalizarea acestui sistem.
De ultim or sunt produsele care apeleaz la echipamente ce acioneaz pe principiul
calculatoarelor portabile. Ele sunt sisteme speciale de criptare, care genereaz valori (parole)
de autentificare personal a utilizatorilor i care se preiau de la tastatura terminalelor, ca la
sistemul clasic, pentru a se compara cu ceea ce genereaz un echipament similar aflat n
calculator. Pe o astfel de cale nu mai sunt necesare cartele speciale de acces, totul fiind
controlat prin calculator, mbuntindu-se substanial principiul simplu al parolelor.
Facei un inventar al parolelor pe care le folosii n prezent. Enumerai greelile pe care le facei n
legtur cu parolele i, dac sunt necesare, propunei cteva mbuntiri ale modului de utilizare a
parolelor dvs.
52
3.2.5 Controlul geografic al accesului n sistem

ntr-o declaraie a unui cunoscut om de afaceri din Rusia, Kasperski, se punea problema
legitimrii persoanelor utilizatoare de servicii informatice i comunicaii din spaiul global,
tocmai pentru a se asigura responsabilizarea i contientizarea participanilor la noul tip de
trafic. El fcea asemnarea cu sistemul de conducere a automobilelor de la nceputul secolului
XX, cnd, fiind att de puine, n caz de accident, era foarte uor de identificat proprietarul
de cele mai multe ori el fiind i conductorul. Odat cu explozia de automobile de pe pia s-a
simit nevoia identificrii proprietarului mainii, prin cartea de identitate a mainii i prin
certificatul de nmatriculare, dar i a conductorului auto, prin permisul de conducere.
La fel trebuie s se ntmple i cu deintorii i utilizatorii de calculatoare, deoarece, n
prezent, multe aciuni maliioase se nfptuiesc de persoane necunoscute, aflate n locuri
nvluite n mister.
Autentificarea bazat pe localizarea geodezic (location-based authentification) este o
metod de autentificare a entitilor din spaiul cibernetic bazat pe localizarea geodezic
(latitudinea, longitudinea i altitudinea unui loc geografic bine definit). Aceasta va avea ca
efect delimitarea poriunii din spaiul cibernetic de unde se declaneaz un anumit eveniment.
Se face astfel bre ntr-un sistem destul de ntrebuinat de atacatorii sistemelor aflai ntr-un
col al planetei, svrind frdelegi n al col al acesteia, susinnd c se afl n cu totul altul.
n literatur sunt prezentate realizrile corporaiei International Series Research, Inc. din
Boulder, Colorado, care a realizat tehnologia autentificrii locaiei. Ea se numete
CyberLocator, iar sistemul folosete semnalele bazate pe microunde transmise printr-o
constelaie de 24 de satelii ai GPS (Global Positioning System) pentru calcularea i validarea
unei semnturi a locaiei, care este unic pentru fiecare loc de pe pmnt n fiecare moment
solicitat. Fiecare utilizator al unui sistem protejat are un senzor al semnturii locaiei (SSL),
care este un tip special al receptorului GPS. SSL intercepteaz semnalele GPS i transmite
semntura sa ctre o gazd ce va face autentificarea. Gazda folosete semnalele GPS colectate
de propriul SSL, plus informaiile despre fiecare utilizator memorate ntr-o baz de date
pentru a determina dac acesta este conectat la un site aprobat anterior. Tehnologiile au ajuns
la performane de acuratee pn la nivelul ctorva metri sau chiar i mai bune (zeci de
centimetri). Pentru c observaiile GPS ale unui site anume sunt impredictibile prin simulri
anticipate, la un nivel cerut de acuratee, schimbate constant, unice oriunde ar fi, este practic
imposibil de contrafcut semntura.
Autentificarea prin localizarea geodezic are cteva caracteristici eseniale. Ea asigur o
protecie continu mpotriva celor ru intenionai aflai la distan. Semntura locaiei poate
fi folosit ca un mijloc comun de autentificare. tiindu-se reperele unui utilizator, se poate
identifica uor un intrus, dar se pot oferi i probe c o persoan nu a fost n locaia respectiv
n momentul svririi unei fapte condamnabile. O astfel de protecie este recomandat pentru
site-urile fixe, n care se poate plasa un senzor pe acoperi sau la fereastr, cu condiia
orientrii spre cer. Facem meniunea c semnalele GPS nu trec prin ziduri i acoperiuri.
Deocamdat sunt unele limite tehnologice ale utilizrii senzorilor n cazul utilizatorilor
mobili.
Un dezavantaj al autentificrii geodezice a locaiei este acela al refuzului serviciului, n
cazul bruierii semnalului sau al furtului senzorului. Alt dezavantaj se refer la uurina
localizrii unei persoane n cazul unui rzboi informaional ofensiv, motiv pentru care accesul
la datele geodezice trebuie s fie strict limitat.
53
n ce sisteme/situaii considerai oportun folosirea controlului geografic al accesului?
Rezumat
Sensul controlului accesului n sistem s-a schimbat radical, dup 11 septembrie 2001, att prin prisma
mijloacelor de exercitare, ct i a domeniilor de aplicare. Controalele sunt introduse pentru diminuarea
riscurilor la care sunt expuse sistemele i pentru reducerea potenialelor pierderi. Controalele pot fi
preventive, detective sau corective. Pentru atingerea obiectivelor, controalele pot fi administrative, logice
sau tehnice i fizice. Exist i forme combinate de control: preventiv/administrativ, preventiv/tehnic,
preventiv/fizic, detectiv/administrativ, detectiv/tehnic, detectiv/fizic.
Identificarea i autentificarea persoanelor se efectueaz n patru moduri: prin ceva aflat n posesia
persoanei, ceva care individualizeaz persoana, ceva ce tie persoana, locul geografic n care se afl aceasta
la un moment dat.
Principiile de baz ale controlului accesului sunt: simpla posesie a unui element de control al
accesului nu trebuie s constituie i proba accesului privilegiat; atunci cnd valorile patrimoniale sunt
deosebit de importante i mecanismul de protecie trebuie s fie pe msur; nici unei persoane nu trebuie
s i se garanteze accesul permanent, gestiunea sau cunoaterea informaiilor secrete numai pe motivul
poziiei ierarhice pe care o deine.
1.
2.
Loepp, S., Wootters, W. - Protecting Information. From Classical Error Correction to

Quantum Cryptography, Cambridge University Press, 2006
Unitatea de studiu IV
Politici, standarde, norme i proceduri

de securitate
Obiectivele unitii de studiu sunt:

cunoaterea principalelor modele ale politicilor de securitate;
identificarea elementelor care trebuie s stea la baza dezvoltrii programelor de
securitate;
dobndirea cunotinelor necesare pentru a realiza politici de securitate pentru
diverse zone ale unei organizaii.
modelele de politici de securitate multinivel i multilaterale;
politicile, standardele, normele i procedurile de securitate;
exemple de politici de securitate.
4.1 Modele de politici de securitate

Situaia definirii politicilor de securitate a devenit complicat atunci cnd sistemul
militar de clasificare a informaiilor a fost preluat ca model de domenii civile, cum sunt cel
economic, politic, medical .a., informaiile fiind grupate n dou mari categorii: clasificate
(confideniale, secrete, strict secrete) i neclasificate (sau publice). Lucrurile s-au complicat i
mai tare dup ce britanicii au mai introdus un nivel, RESTRICIONATE, ntre informaiile
NECLASIFICATE i cele CONFIDENIALE. i n SUA a existat acest nivel dar, odat cu
promulgarea legii accesului liber la informaii (Freedom of Information Act, FOIA), el a
disprut. Ca atare, America are dou marcaje suplimentare: numai pentru utilizare oficial
(For Official Use Only, FOUO), care se refer la date neclasificate dar care nu pot fi fcute
publice prin efectul legii accesului liber la informaii, n timp ce informaiile neclasificate, dar
sensibile (Unclassified but sensitive) includ FOUO plus datele ce pot fi fcute publice, ca
efect al FOIA.
n Marea Britanie, informaiile restricionate, n practic, sunt fcute publice, dar
marcajul aplicat, RESTRICIONATE, face ca jurnalitii i alte categorii interesate de
scurgeri de informaii s fie sancionai dac le fac publice, ca efect al legii secretului oficial.
Este o ciudenie care se adaug alteia: documentele neclasificate din SUA care traverseaz
oceanul n Marea Britanie devin automat RESTRICIONATE, iar dac se transmit napoi n
SUA devin CONFIDENIALE motiv serios pentru realizatorii sistemelor militare
clasificate americane s acuze politica din Marea Britanie c ar fi una ce sparge schema
clasificrii SUA.
n plus, exist sistemul bazat pe cuvinte-cod, prin care informaiile de orice tip pot fi
supuse altor restricii, numite clasificare compartimental (n varianta american) sau
securitate multilateral (n varianta european). Se utilizeaz n acest scop descriptori,
cuvinte-de-avertizare i marcaje internaionale de aprare (International Default
Organization, IDO).
55
Toate aceste aspecte sunt tratate tiinific prin modelele de politici de securitate, grupate
n modele de securitate multinivel i n modele de securitate multilateral.
4.1.1 Modele de securitate multinivel

Cnd privim un sistem, din punct de vedere al securitii lui, ntregul este separat n pri,
prin linii orizontale, realizndu-se aa-zisa securitate pe niveluri multiple (multinivel) prin
care se face o delimitare net ntre categoriile de informaii din sistem (publice, confideniale,
secrete, strict secrete). O astfel de delimitare asigur certitudinea citirii informaiilor dintr-o
anumit clasificare numai de persoanele care au autorizarea cel puin egal cu clasificarea
informaiilor citite. ntr-o form schematic, sistemul este structurat ca n figura 4.1.
Fig. 4.1 Model de securitate multinivel
Politicile de controlare a accesului sunt foarte clare: o persoan poate citi un document
numai dac autorizarea sa este cel puin egal cu clasificarea informaiei citite. Ca efect,
informaiile vor circula doar de jos n sus, de la nivelul CONFIDENIAL, la SECRET,
STRICT SECRET .a., iar de sus n jos nu au voie s circule dect dac o persoan autorizat
le declasific.
Modelul Bell-LaPadula
Cel mai cunoscut model al politicilor de securitate este cel propus de David Bell i Len
LaPadula, n 1973, ca rspuns la preocuprile Forelor Aeriene ale Statelor Unite de
securizare a sistemelor de partajare a timpului, bazate pe mainframe-uri. Modelul este
cunoscut sub numele Bell-LaPadula sau modelul de securitate multinivel. Sistemele ce le
adopt sunt numite i sigure multinivel sau MLS (MultiLevel Secure). Proprietatea de baz
a acestor sisteme este aceea c informaiile pot circula n jos.
Formal, modelul Bell-LaPadula a introdus trei principii:
principiul (sau proprietatea) securitii simple, prin care nu-i este permis nici unui
proces s citeasc date aflate pe un nivel superior lui. Este cunoscut i ca Nu citi
deasupra (No Read Up, NRU);
principiul * (se citete stea): nici un proces nu poate s scrie date pe un nivel aflat sub
el. Este cunoscut i ca Nu scrie dedesubt (No Write Down, NWD);
principiul securitii discreionare introduce o matrice de acces pentru a specifica
controlul accesului discreionar. Este cunoscut i ca Trusted Subject (subiect de
56
ncredere). Prin acest principiu, subiectul de ncredere violeaz principiul *, dar nu se

abate de la scopul su.
Cele trei principii sunt redate n figura 4.2.
Fig. 4.2 Modelul Bell-LaPadula, cu cele trei principii
Modelul matricei de control al accesului

Printr-o matrice de acces se ofer drepturi de acces pentru subiecte de ncredere la
obiectele sistemului. Drepturile de acces sunt de tipul citete, scrie, execut .a. Un subiect de
ncredere este o entitate activ care i caut drepturile de acces la resurse sau obiecte.
Subiectul poate fi o persoan, un program sau un proces. Un obiect este o entitate pasiv, cum
sunt fiierele sau o resurs de stocare. Sunt cazuri n care un element poate fi, ntr-un anumit
context, subiect i, n alt context, poate fi obiect. O matrice de acces este redat n figura 4.3.
Coloanele se numesc Liste de control al accesului, iar liniile, Liste de competene.
Modelul matricei de control al accesului accept controlul discreionar al accesului pentru c
intrrile n matrice sunt la discreia persoanelor care au autorizaia de a completa tabelul.
n matricea de control al accesului, competenele unui subiect sunt definite prin tripleta
(obiect, drepturi, numr aleator).
Fig. 4.3 Matrice de control al accesului
Modelul Biba
n multe cri este amintit i modelul Biba, al lui Ken Biba, ocupndu-se doar de
integritatea sistemelor, nu i de confidenialitate. El se bazeaz pe observaia c n multe
57
cazuri confidenialitatea i integritatea sunt concepte duale: n timp ce prin confidenialitate se

impun restricii celor ce pot citi un mesaj, prin integritate sunt controlai cei ce pot s scrie
sau s modifice un mesaj.
n unele organizaii guvernamentale sau comerciale exist aplicaii n care integritatea
datelor este mult mai important dect confidenialitatea, ceea ce a fcut s apar modele
formale ale integritii.
Integritatea vizeaz trei scopuri principale:
protejarea datelor mpotriva modificrilor efectuate de utilizatorii neautorizai;
protejarea datelor mpotriva modificrilor neautorizate efectuate de utilizatori
autorizai;
asigurarea consistenei interne i externe a datelor.
Modelul a fost realizat n 1977 ca unul al integritii datelor, aa cum modelul BellLaPadula este cunoscut ca modelul confidenialitii datelor. Modelul Biba este unul de tip
reea i folosete relaia mai mic sau egal. O structur a reelei este definit ca un ansamblu
parial ordonat cu cea mai mic limit superioar, LUB (Least Upper Bound), i cea mai mare
limit inferioar, GLB (Greatest Lower Bound).
O reea reprezint un ansamblu de clase de integritate (CI) i de relaii ordonate ntre
aceste clase. Ea poate fi definit astfel:
(CI, <=, LUB, GLB).
Aa cum Bell-LaPadula opereaz cu niveluri diferite de sensibilitate, modelul Biba
clasific obiectele n diferite niveluri de integritate. Modelul enun trei axiome ale
integritii:
1. axioma integritii simple. Ea stabilite c unui subiect aflat pe un anumit nivel de
integritate nu-i este permis s observe (citeasc) un obiect de o integritate mai joas
(No Read Down, Nu citi dedesubt).
2. axioma integritii * (se citete stea) stabilete c unui obiect situat pe un anumit
nivel de integritate nu-i este permis s modifice (scrie) alt obiect situat pe un nivel
mai nalt de integritate (No Write Up, Nu scrie deasupra);
3. un subiect de pe un anumit nivel de integritate nu poate solicita un subiect situat pe
un nivel de integritate superior.
Axiomele i modelul Biba sunt redate n figura 4.4.
Fig. 4.4 Modelul Biba, cu axiomele lui
58
n practic au fost implementate mai multe tipuri de sisteme de securitate multinivel,

cum sunt SCOMP, Blocker, MLS Unixe, CMWs, NRL Pump, MLS Logistics, Purple
Penelope .a.
4.1.2 Modele ale securitii multilaterale

Deseori, n realitate, preocuprile noastre s-au concentrat nu ctre prevenirea curgerii n
jos a informaiilor, ci ctre stoparea fluxurilor ntre diferite compartimente. n astfel de
sisteme, n locul frontierelor orizontale, aa cum recomand modelul Bell-LaPadula, s-au
creat altele verticale, conform figurii 4.5.
Fig. 4.5 Modelul securitii multilaterale
Acest control al fluxurilor informaionale laterale este unul organizaional, aa cum este
cel al organizaiilor secrete, pentru pstrarea n tain a numelor agenilor care lucreaz n alte
ri, fr s fie cunoscui de alte departamente speciale. La fel se ntmpl i n companii,
unde separarea vertical a compartimentelor, dup funciile ndeplinite (producie,
comercial, personal-salarizare .a.), conduce la o situaie identic.
Exist cel puin trei modele diferite de implementare a controlului accesului i de control
al fluxurilor informaionale prin modelul securitii multilaterale. Ele sunt:
compartimentarea, folosit de comunitatea serviciilor secrete;
zidul chinezesc, folosit la descrierea mecanismelor utilizate pentru prevenirea
conflictelor de interese n practicile profesionale;
BMA (British Medical Association), dezvoltat pentru descrierea fluxurilor
informaionale din domeniul sntii, conform cu etica medical.
Compartimentarea i modelul reea
Ani muli acest model a servit ca practic standard, n SUA i guvernele aliate, pentru
restricionarea accesului la informaii, prin folosirea cuvintelor-cod i a clasificrilor. Este
arhicunoscut cuvntul-cod Ultra, folosit n cel de-al doilea rzboi mondial, de ctre englezi i
americani, pentru decriptarea mesajelor criptate de germani cu maina Enigma. Cercul
persoanelor cu acces la mesajele decriptate fiind foarte redus, numrul autorizrilor pentru
informaii de pe cel mai nalt nivel de clasificare era mult mai mare. Prin folosirea cuvintelorcod se creeaz o puternic subcompartimentare, chiar a categoriei strict secret i deasupra ei.
Cuvintele-cod sunt folosite pentru crearea grupurilor de control al accesului printr-o
variant a modelului Bell-LaPadula, numit modelul reea. Clasificrile, mpreun cu
cuvintele-cod, formeaz o reea, conform figurii 4.6. Potrivit modelului, o persoan autorizat
59
s aib acces la informaii SECRETE nu poate accesa informaii SECRETE CRIPTO, dac
nu are i autorizaie pentru CRIPTO.
Ca un sistem s rspund acestor cerine, va trebui ca problemele clasificrii
informaiilor, ale autorizrii persoanelor i ale etichetelor ce nsoesc informaiile s se
transfere n politica de securitate pentru a defini intele securitii, modul de implementare i
evaluare.
(STRICT SECRET, {CRIPTO, HUMINT})
(STRICT SECRET, {CRIPTO})

(SECRET, {CRIPTO, HUMINT})
(STRICT SECRET, {})
(SECRET, {CRIPTO})
(SECRET, {})
(NECLASIFICATE, {})
Fig. 4.6 Model reea cu etichete de securitate
Modelul zidului chinezesc

Modelul a fost realizat de Brewer i Nash. Numele provine de la faptul c firmele care
presteaz servicii financiare, cum sunt bncile de investiii, au normele lor interne pentru a
preveni conflictul de interese, norme numite de autori zidul chinezesc. Aria de aplicare este,
ns, mai larg. Se poate spune c toate firmele prestatoare de servicii au clienii lor i pentru
a-i pstra se afl ntr-o veritabil competiie. O regul tipic este urmtoarea: un partener
care a lucrat recent pentru o companie dintr-un anumit domeniu de activitate nu poate s aib
acces la documentele companiilor din acel domeniu, cel puin pentru o perioad controlat
de timp. Prin aceasta, caracteristica modelului zidului chinezesc const ntr-un mix de
libertate de opiune i de control obligatoriu al accesului: oricine este liber s lucreze la
orice companie, dar ndat ce a optat pentru una, se supune restriciilor ce opereaz n
domeniul respectiv de activitate.
Modelul zidului chinezesc introduce principiul separrii obligaiilor de serviciu: un
utilizator anume poate s prelucreze tranzaciile A sau B, nu amndou. Aadar, putem spune
c modelul zidului chinezesc aduce elemente noi pe linia controlrii accesului.
Modelul BMA (British Medical Association)
n domeniul medical sunt confruntri serioase privind tocmai sistemele de securitate a
datelor pacienilor. n efortul multor ri de a introduce carduri inteligente cu datele medicale
personale, se nregistreaz o puternic opoziie din partea publicului. Acesta invoc
vulnerabilitatea individului prin trecerea informaiilor despre anumite boli foarte grave,
purtate pn acum pe brara de la mn, pe cartela inteligent, ceea ce va face ca atunci cnd
se va afla n avion, n ri strine, s fie foarte greu sau chiar imposibil s i se citeasc
informaiile respective. O alt problem se refer la pstrarea secretului datelor personale sau
a unei pri dintre acestea.
Cea mai mare temere vine din cauza proliferrii practicilor de inginerie social, putnduse afla cu mult uurin date personale din baze de date medicale.
60
Scopul modelului politicii de securitate BMA este acela de consolidare a principiului

consimmntului pacientului i de a preveni accesul prea multor persoane la datele personale
din bazele de date ce le conin. Totul s-a rezumat la un nou sistem de codificare. Politica
BMA se bazeaz pe nou principii, formulate foarte pe scurt astfel: controlul accesului,
deschiderea nregistrrilor, controlul modificrilor din liste, consimmntul i notificarea
clientului, persistena, marcarea accesului pentru a servi ca prob n justiie, urmrirea
fluxului informaiilor, controlul agregrii informaiilor, ncrederea n sistemele informatice.
n metodele top-down de proiectare a securitii trebuie, mai nti, s se determine
modelul ameninrii, apoi s se scrie politica, dup care aceasta se supune testului pentru a
vedea cum i face efectul.
Realizai o matrice de control al accesului pentru un (sub)sistem informaional cunoscut.
4.2 Programul de securitate

Organizaiile au nevoie s-i protejeze valorile patrimoniale vitale, ncepnd cu resursele
umane, continund cu cldiri, terenuri, utilaje, echipamente speciale i ncheind cu una dintre
cele mai importante averi ale noului mileniu, informaia. Tocmai din aceast cauz se concep
programe de securitate informaional. nainte ca acest program s fie abordat, se cuvine
efectuat structurarea iniiativei nc din faza intenional, realizndu-se sau definindu-se
politicile, standardele, normele i procedurile. n acest context, programul de securitate
trebuie s se supun elementelor enunate anterior.
Fr politici riguroase, programele de securitate vor fi aproape fr suport, ineficiente i
nu se vor alinia strategiei i obiectivelor organizaiei. Politicile, standardele, normele i
procedurile constituie fundaia programului de securitate al organizaiei. Politicile eficiente,
clar formulate, vor servi proceselor de auditare i eventualelor litigii. Combinnd elementele
specificate, o entitate poate implementa controale specifice, procese, programe de
61
contientizare i multe altele, tocmai pentru a-i aduce un plus de linite. Spune romnul: paza
bun trece primejdia rea.
4.2.1 Politicile
O politic, deseori, nseamn mai multe lucruri, atunci cnd ne referim la securitatea
informaional a unei organizaii. Cineva poate s se rezume doar la firewall-urile folosite
pentru controlarea accesului i a traseelor pe care circul informaiile, altcineva se gndete la
lactele, cardurile de acces, camerele de luat vederi ce nregistreaz totul din perimetrele
controlate. Dar, cte alte accepiuni nu i se pot da!
Atunci cnd discutm despre politici de securitate, trebuie pornit de la vrful piramidei
manageriale, unde se afl top managerii. Ei au misiunea de a formula Declaraia politicii
organizaiei (Statement of Policy). Aceasta este o formulare general, o declaraie din care s
reias:
importana resurselor informaionale pentru atingerea obiectivelor strategice ale
organizaiei;
formularea clar a sprijinului acordat tehnologiilor informaionale n unitate;
angajamentul top managerilor de a autoriza sau coordona activitile de definire a
standardelor, procedurilor i normelor de securitate de pe nivelurile inferioare.
n afara declaraiei politicii de securitate la nivelul top managerilor, exist i politici
obligatorii, politici recomandate i politici informative.
Politicile obligatorii sunt politici de securitate pe care organizaiile sunt obligate s le
implementeze ca efect al acordurilor, regulamentelor sau al altor prevederi legale. De regul,
aici se ncadreaz instituiile financiare, serviciile publice sau orice alt tip de organizaie care
servete interesului public. Aceste politici sunt foarte detaliate i au elemente specifice, n
funcie de domeniul de aplicare.
De regul, politicile obligatorii au dou scopuri de baz:
asigurarea c o organizaie urmeaz procedurile standard sau politicile de baz din
domeniul ei de activitate;
de a oferi ncredere organizaiilor c ele urmeaz standardele i politicile de securitate
din domeniul de activitate.
Politicile recomandate, prin definiie, nu sunt obligatorii, dar sunt puternic susinute, cu
prezentarea consecinelor foarte dure n cazul nregistrrii eecurilor. O organizaie este direct
interesat ca toi angajaii ei s considere aceste politici ca fiind obligatorii. Cele mai multe
politici se ncadreaz n aceast categorie. Ele sunt foarte clar formulate la toate nivelurile.
Cei mai muli angajai vor fi riguros controlai prin astfel de politici, definindu-le rolurile i
responsabilitile n organizaie.
Politicile informative au scopul de a informa cititorii. Nu poate fi vorba de cerine
specifice, iar interesaii de aceste politici pot s se afle n interiorul organizaiei sau printre
partenerii ei.
Dup aceste descrieri, putem s facem o scurt prezentare a elementelor comune tuturor
politicilor de securitate, astfel:
domeniul de aplicare: declararea domeniului de aplicare nseamn prezentarea
inteniei vizate de politic i ea va scoate n relief i legturile existente cu ntreaga
documentaie a organizaiei. Formularea trebuie s fie scurt i se plaseaz la
nceputul documentului;
declararea politicii top managerilor se include la nceputul documentului i are
dimensiunea unui singur paragraf, specificnd scopul global al politicii;
62
responsabilitile constituie coninutul unei seciuni distincte i cuprind persoanele

implicate n asigurarea bunei funcionri a politicii;
consecinele: printr-o astfel de formulare se prezint pierderile posibile dac politica
nu va fi respectat;
monitorizarea: se specific modul n care se monitorizeaz respectarea i actualizarea
continu a politicii;
excepiile: se menioneaz cazurile n care apar excepii i modalitile de tratare a
lor; de regul, au o durat limitat de aplicare, de la un caz la altul.
4.2.2 Standardele, normele i procedurile de securitate

Pe nivelul inferior politicilor se afl trei elemente de implementare a politicii:
standardele, normele i procedurile. Ele conin detaliile politicii, cum ar fi posibilitile de
implementare, ce standarde i proceduri s fie ntrebuinate. Ele sunt fcute publice la nivel
de organizaie, prin manuale, Intranet, cri, cursuri .a.
De cele mai multe ori, standardele, normele i procedurile sunt tratate laolalt, dar nu
este cea mai inspirat idee, fiindc tratarea separat a lor este justificat de urmtoarele
argumente:
fiecare dintre ele servete unei funcii diferite i are propria audien; chiar i
distribuia lor fizic este mai lejer;
controalele securitii pe linia confidenialitii sunt diferite pentru fiecare tip de
politic;
actualizarea i ntreinerea politicii ar deveni mai anevoioase, prin prisma volumului
documentaiei, dac s-ar trata nedifereniat.
Standardele
Standardele specific utilizarea anumitor tehnologii, ntr-o viziune uniform. De regul,
standardele sunt obligatorii i sunt implementate la nivel de unitate, tocmai pentru asigurarea
uniformitii. Elementele principale ale unui standard de securitate informaional sunt:
scopul i aria de aplicare, prin care se ofer o descriere a inteniei standardului
(realizarea unui tip de server pe o anumit platform);
roluri i responsabiliti la nivel de corporaie pe linia definirii, execuiei i
promovrii standardului;
standardele cadrului de baz, prin care sunt prezentate declaraiile de pe cel mai nalt
nivel, aplicabile platformelor i aplicaiilor;
standardele tehnologiei conin declaraiile i descrierile aferente (configuraia
sistemului sau serviciile nesolicitate de sistem);
standardele administrrii reglementeaz administrarea iniial i n timpul exploatrii
platformei i aplicaiilor.
Normele
Normele sunt oarecum asemntoare standardelor, referindu-se la metodologiile
sistemelor securizate, numai c ele sunt aciuni recomandate, nu obligatorii. Sunt mult mai
flexibile dect standardele i iau n considerare naturile diverse ale sistemelor informaionale.
Ele specific modalitile de dezvoltare a standardelor sau garanteaz aderena la principiile
generale ale securitii.
Elementele principale ale unei norme de securitate informaional sunt:
scopul i aria de aplicare, descriindu-se intenia urmrit prin regula respectiv;
roluri i responsabiliti pe linia definirii, execuiei i promovrii normei;
63
declaraii de orientare: este un proces pas-cu-pas de promovare a tehnologiilor

respective;
declaraii de exploatare: se definesc obligaiile zilnice, sptmnale sau lunare pentru
o corect exploatare a tehnologiei respective.
Procedurile
Procedurile prezint paii detaliai ce trebuie s fie parcuri pentru execuia unei
activiti. Se descriu aciunile concrete pe care trebuie s le efectueze personalul. Prin ele se
ofer cele mai mici detalii pentru implementarea politicilor, standardelor i normelor. Uneori
se folosete n locul acestui concept cel de practici.
4.2.3 Exemple de politici de securitate

nc de la nceput, trebuie s spunem c nu exist dou organizaii care s aib politici de
securitate identice. Din multitudinea lor, vom prezenta, n continuare, o sintez a formelor
existente, reunind ceea ce se regsete n mai multe locuri.
De regul, se ncepe cu un program de securizare a sistemelor informaionale, situaie n
care se folosete conceptul de politica programului de securitate informaional. Ea este
acoperiul sub care se vor realiza politici tehnice de securitate, standarde i norme de aplicare.
ntr-o unitate sunt necesare politici speciale pentru utilizarea Internetului i a e-mail-ului,
pentru accesarea de la distan a sistemului, pentru modurile de utilizare a unui sistem
informatic, pentru protecia informaiilor .a. Aadar, se poate spune c printr-o politic a
programului de securitate informaional se definete politica de ansamblu a organizaiei n
acest domeniu, precum i responsabilitile din sistem. n aceste condiii, politicile ce se vor
emite sunt componente eseniale ale programului i ele trebuie s rspund la cinci obiective
majore:
prevenire: abilitatea de prevenire a accesului neautorizat la valorile patrimoniale ale
organizaiei;
asigurare: asigurarea c politicile, standardele i normele sunt n concordan cu
inteniile organizaiei pe linia protejrii valorilor patrimoniale informaionale;
detectare: abilitatea de a detecta intruii din sistem i de a lansa arsenalul de
contramsuri corespunztoare;
investigare: capacitatea de a folosi tehnici adecvate pentru obinerea informaiilor
despre posibilii intrui din sistem;
continuitate: posibilitatea de a garanta funcionarea nentrerupt prin existena unui
plan de aciune n cazul dezastrelor, dezvoltat i testat n organizaie.
n continuare, vom face o descriere succint a ctorva politici1.
Politica utilizrii adecvate
O astfel de politic trebuie s analizeze i s defineasc utilizarea corespunztoare a
resurselor informatice din organizaie. Utilizatorii trebuie s o citeasc i semneze atunci cnd
i exprim intenia de deschidere a unui cont de utilizator. Responsabilitile utilizatorului
pentru protejarea informaiilor, memorate n conturile lor, trebuie s fie formulate explicit, ca
i nivelurile de utilizare a Internetului i e-mail-ului. Politica, de asemenea, trebuie s
rspund urmtoarelor ntrebri:
Andress, M. Surviving Security: How to Integrate People, Process and Technology, SAMS, Indianapolis, 2002, pp. 5963, King,
C.M.,
Dalton,
C.E.,
Osmanaglu,
T.E. Security
Arhitecture:
Design,
Deployment&
Operations,Osborne/McGraw-Hill, New York, 2001, pp. 18-26
64
Trebuie ca utilizatorii s citeasc i copieze fiiere care nu sunt ale lor, dar la care au
acces?
Trebuie ca utilizatorii s modifice fiierele la care au drept de scriere, dar nu sunt ale
lor?
Trebuie ca utilizatorii s fac copii ale fiierelor de configurare a sistemului, n
scopul folosirii personale sau s le dea altora?
Trebuie ca utilizatorii s foloseasc n comun conturile deschise?
Trebuie ca utilizatorii s aib dreptul de a face oricte copii de pe softul care e
procurat cu licen de utilizare?
Politica privind conturile utilizatorilor
Politica vizeaz normele dup care se formuleaz cererile de deschidere a conturilor din
sistem i cum se efectueaz ntreinerea lor. Este foarte util n organizaiile mari, n care
utilizatorii au conturi n mai multe sisteme. Este recomandat modalitatea de citire i semnare
a politicii de ctre utilizator. O astfel de politic trebuie s ofere rspunsuri la ntrebri de
genul:
Cine are autoritatea aprobrii cererilor de noi conturi-utilizator?
Cui (angajailor, soiilor/soilor, rudelor, copiilor, vizitatorilor .a.) i este permis s
foloseasc resursele informatice ale organizaiei?
Poate un utilizator s aib mai multe conturi n acelai sistem?
Pot folosi utilizatorii n comun aceleai conturi?
Care sunt drepturile i obligaiile utilizatorilor?
Cnd va fi dezactivat i arhivat un cont?
Politica accesului de la distan
Prin ea se definesc modalitile de conectare de la distan la reeaua intern a
organizaiei. Ea este necesar n organizaiile care au utilizatori i reele dispersate geografic.
Politica trebuie s rspund urmtoarelor ntrebri:
Cine poate s aib dreptul accesrii de la distan?
Ce metode sunt acceptate de organizaie (dial-up, modem)?
Este permis accesul din afar la reeaua intern prin modem?
Se impun anumite condiii, cum ar fi soft antivirus i de securitate, pentru accesarea
de la distan?
Pot ali membri ai familiei s acceseze reeaua?
Sunt restricii privind tipul datelor ce pot fi accesate de la distan?
Politica proteciei informaiilor
Printr-o astfel de politic se aduc la cunotina utilizatorilor condiiile prelucrrii, stocrii
i transmiterii informaiilor sensibile. Scopul principal al acestei politici este asigurarea c
informaiile sunt protejate, n mod corespunztor, mpotriva modificrilor sau dezvluirii
neautorizate. O astfel de politic trebuie semnat de toi angajaii. Ea trebuie s dea rspuns
cel puin la urmtoarele ntrebri:
Care sunt nivelurile de sensibilitate ale informaiilor?
Cine poate s aib acces la informaiile sensibile?
Cum sunt stocate i transmise informaiile sensibile?
Ce niveluri de informaii sensibile pot fi listate pe imprimante publice?
Cum trebuie s fie terse informaiile sensibile de pe suporturi (tocarea i arderea
hrtiilor, curirea discurilor .a.)?
Politica gestionrii firewall-urilor
65
Politica gestionrii firewall-urilor descrie modul n care sunt gestionate hardul i softul i
cum sunt formulate i aprobate cererile de schimbare din sistem. O astfel de politic trebuie
s dea rspuns la urmtoarele ntrebri:
Cine are acces la sistemele firewall?
Cine trebuie s primeasc solicitrile de efectuare a schimbrilor n configuraia
firewall-urilor?
Cine trebuie s aprobe efectuarea schimbrilor n configuraia firewall-urilor?
Cine poate s vad normele i listele de acces la configuraia firewall-ului?
Ct de des trebuie efectuat revizia firewall-urilor?
Politica accesului special
Prin ea se definesc condiiile formulrii cererilor de obinere a dreptului de utilizare a
unor conturi speciale din sistem (root, Administrator .a.). Ea trebuie s ofere rspunsurile la
urmtoarele ntrebri:
Cine trebuie s primeasc cererile pentru acces special?
Cine trebuie s aprobe cererile pentru acces special?
Care sunt regulile parolelor pentru conturile cu acces special?
Ct de des se schimb parolele?
Care sunt motivele sau situaiile ce vor conduce la revocarea privilegiului de a avea
acces special?
Politica de conectare la o reea local
Prin ea se definesc condiiile adaugrii de noi echipamente la reea i trebuie s rspund
la ntrebrile:
Cine poate instala o resurs nou n reea?
Cine trebuie s aprobe instalarea de noi echipamente?
Cui trebuie s i se aduc la cunotin faptul c au fost adugate noi echipamente n
reea?
Sunt unele restricii pe linia securitii n legtur cu echipamentele adugate n
reea?
Politica partenerului de afaceri
O astfel de politic stabilete ce msuri de securitate trebuie s respecte fiecare companie
partener. Ea este o politic cu att mai necesar acum cnd organizaiile ofer reeaua lor
intern partenerilor, clienilor, furnizorilor. Dei o astfel de politic este diferit de la o
organizaie la alta, ea, totui, trebuie s ofere rspunsuri la urmtoarele ntrebri:
I se cere fiecrei organizaii s aib scris o politic de securitate?
Trebuie ca fiecare organizaie s aib un firewall sau alte echipamente de securitate a
perimetrului?
Cum se vor realiza comunicaiile (linie nchiriat, VPN prin Internet .a.)?
Cum se vor formula cererile pentru accesarea resurselor partenerului?
Politica managementului parolelor
Deseori este inima politicilor de securitate dintr-o organizaie. De regul, ea
reglementeaz problemele expirrii parolelor, ale lungimii lor i altor verificri necesare. Iat
cteva recomandri de surprins printr-o astfel de politic:
lungimea minim a unei parole trebuie s fie de cel puin opt caractere;
parola nu trebuie s fie un cuvnt din dicionar;
ea trebuie s fie o combinaie de litere i simboluri speciale;
parola trebuie s expire dup o anumit perioad de timp predeterminat;
66
parolele administratorilor de reele trebuie s expire mult mai repede i trebuie s fie
mai lungi;
parolele din organizaie trebuie s difere de cele folosite n alte sisteme;
trebuie s fie pstrat o list cu vechile parole pentru a preveni reutilizarea (ultimele
ase parole nu trebuie s se repete);
parolele utilizatorilor noi trebuie s fie unice i greu de ghicit.
Politica folosirii Internetului
Politica utilizrii Internetului, referit deseori prin acronimul I-AUP (Internet Acceptable
Use Policy), este documentul prin care se detaliaz modurile n care utilizatorii unei reele a
organizaiei trebuie s foloseasc serviciul public Internet. Politica va descrie softul folosit
pentru filtrare i blocare, cu scopul protejrii organizaiei, dar i activitile specifice permise,
precum i cine sunt beneficiarii acestor drepturi de acces i cui i se interzic. Ea este bine s se
refere i la metodele de autentificare naintea accesrii Internetului n afara organizaiei/rii
pentru a preveni personalul c folosete reeaua organizaiei n scopuri ilegale.
n general, prin politica Internet se face referire la urmtoarele aspecte:
acceptarea folosirii i condiiile de accept pentru:
descrcrile de fiiere;
newsgroup-uri;
comunicarea datelor sensibile;
tipurile de fiiere ataate;
dimensiunea mesajelor;
softul fr licen;
pachete de aplicaii soft neaprobate;
exportul informaiilor sensibile;
protecia fiierelor;
protecia mpotriva viruilor;
managementul schimbrilor din sistem;
practicile de stocare a datelor;
siguran i disponibilitate;
protecia informaiilor prin clasificarea lor;
controlul accesului;
e-mail-ul i datele ce pot fi reinute/stocate n unitate;
monitorizarea;
excepiile i amendamentele politicii Internet.
Cadrul general al unei politici de securitate poate fi analizat i la adresa

www.windowsecurity.com/whitepapers/What_Do_I_Put_in_a_Security_Policy_.html.
ntocmii, pentru o organizaie cunoscut de dvs., un set ct mai complet de recomandri ale politicilor
de securitate aplicabile n cadrul acesteia.
67
Comentai urmtorul citat:

Multe dintre organizaiile pe care le cunosc sunt fortree impresionante. Limbajul pe care-l folosesc e unul puternic defensiv
i apare oriunde e vorba de practicile CYA[1], de secrete pzite cu strictee i de fiierele personale ncuiate n seifuri, de
activiti referite drept campanii, rzboaie, hruieli, ca i n sintagmele mprumutate din sport, care descriu orice
lucru n termeni de aprare sau atac. Multe organizaii simt c trebuie s se apere chiar de proprii angajai cu reguli,
ghiduri, cititoare de cartele pentru pontaj, politici i proceduri n care apar specificate, exhaustiv, toate situaiile
comportamentale posibile. Una dintre organizaiile n care am lucrat i ntmpin noii angajai cu o list de 27 de abateri
pentru care pot fi concediai imediat i fr drept de apel n plus, i asigur i c pot fi dai afar la fel de uor i pentru
alte delicte, nespecificate. Multe firme au ierarhii rigide, care mpiedic oamenii s vorbeasc nestingherii ntre
departamente, iar n marile companii exist protocoale care definesc cine poate fi consultat, sftuit sau criticat. Iar ca stare
de spirit general, ne temem de ce s-ar putea ntmpla dac lsm aceste elemente organizaionale s se recombine,
reconfigureze, discute sincer unele cu altele. Suntem profund speriai de o destrmare a lucrurilor.
Wheatley, M. J., Leadership and the New Science Discovering Order in a Chaotic World, Second Edition,
Berrett-Koehler Publishers, San Francisco, 1999 pp. 19-20
[1] Cover Your Ass ntr-o traducere adaptat, Acoper-te cu hrtii!
68
Rezumat
Politicile de securitate sunt tratate tiinific prin modelele de politici de securitate, grupate n modele
de securitate multinivel i n modele de securitate multilateral.
Cele mai cunoscute modele de politici de securitate sunt: modelul Bell-LaPadula (de securitate
multinivel), modelul matricei de control al accesului, modelul Biba (modelul de integritate),
compartimentarea i modelul reea, modelul zidului chinezesc, modelul BMA (British Medical
Association).
Fr politici riguroase, programele de securitate vor fi aproape fr suport, ineficiente i nu se vor
alinia strategiei i obiectivelor organizaiei. Politicile, standardele, normele i procedurile constituie
fundaia programului de securitate al organizaiei. Politicile eficiente, clar formulate, vor servi proceselor
de auditare i eventualelor litigii. Combinnd elementele specificate, o entitate poate implementa controale
specifice, procese, programe de contientizare i multe altele, tocmai pentru a-i aduce un plus de linite.
n afara declaraiei politicii de securitate la nivelul top managerilor, exist i politici obligatorii,
politici recomandate i politici informative.
Standardele sunt obligatorii i sunt implementate la nivel de unitate, pentru asigurarea uniformitii.
Normele sunt oarecum asemntoare standardelor, referindu-se la metodologiile sistemelor securizate,
numai c ele sunt aciuni recomandate, nu obligatorii. Procedurile prezint paii detaliai ce trebuie s fie
parcuri pentru execuia unei activiti.
La finalul unitii de studiu, sunt prezentate seturi de ntrebri menite s sprijine utilizatorul n
realizarea politicilor de securitate adecvate organizaiei n care lucreaz.

1.
2.
3.
4.
5.
6.
7.
8.
Calder, A.- A Business Guide to Information Security, Kogan Page, London, 2005
Dhillon, G. - Principles of Information System Security. Text and cases, John Wiley &
Sons,USA, 2007
Herold, R. - Managing an Information Security and Privacy Awareness and Training Program,
Auerbach Publications, Taylor&Francis Group, New York, 2005
Killmeyer, J. - Information Security Architecture. An Integrated Approach to Security in the
Organization, Auerbach Publications, Taylor&Francis Group, New York, 2006
Layton, T. - Information Security. Design, Implementation, Measurement and Compliance,
LeVeque, V. - Information security A strategic approach, Wiley Interscience, USA, 2006
Tipton, H., Krause, M. - Information Security Management Handbook, vol. 3, Auerbach
Publications, Taylor&Francis Group, New York, 2006
Unitatea de studiu V
Criptografia

cunoaterea principalelor tehnologii criptografice;
dobndirea de cunotine generale privind sistemele de criptare prin chei secrete
(simetrice) i prin chei publice (asimetrice).
concepte de baz din domeniul criptografiei;
un scurt istoric al criptografiei, cu evidenierea principalelor tehnologii criptografice
folosite de-a lungul timpului;
steganografia, filigranarea;
securitatea tipririi hrtiilor de valoare;
sistemele de criptare prin chei simetrice i asimetrice;
semntura electronic.
5.1 Concepte de baz

Algoritmul criptografic este o procedur pas-cu-pas utilizat pentru cifrarea unui text clar
i descifrarea textelor cifrate.
Cheia sau variabila de criptare este o informaie sau o secven prin care se controleaz
cifrarea i descifrarea mesajului.
Cifrarea este o transformare criptografic a unor caractere sau bii.
Criptograma sau textul cifrat reprezint un mesaj neinteligibil.
Cifrul bloc se obine prin separarea textului iniial n blocuri de cte n caractere sau bii i
aplicarea unui algoritm i a unei chei identice, k, pentru fiecare bloc. De exemplu, dac textul
unui mesaj iniial, M, este mprit n blocurile M1, M2, ... Mp, atunci:
C(M,k) = C(M1,k) C(M2,k) ... C(Mp,k)
n care blocurile din dreapta ecuaiei sunt concatenate pentru a forma textul criptat.
Codurile sunt o transformare care opereaz la nivelul cuvintelor sau frazelor.
Criptanaliza este actul obinerii textului clar sau a cheii din textul cifrat, care este folosit
pentru obinerea informaiilor utile necesare acestui scop.
Criptarea nseamn realizarea formei neinteligibile a unui mesaj pentru a nu fi utilizat de
persoanele neautorizate s-l acceseze.
Criptarea end-to-end (de la un capt la altul). Informaiile criptate sunt transmise din
punctul de origine la destinaia final. n varianta criptrii prin chei simetrice, att
expeditorul, ct i destinatarul folosesc aceeai cheie de criptare. Cheile asimetrice conduc la
utilizarea unor valori diferite la cele dou capete, expeditor i destinatar sau emitor i
receptor.
Criptarea nlnuit. Fiecare entitate are chei comune cu cele dou noduri vecine din
lanul de transmisie. Astfel, un nod primete mesajul criptat, de la predecesor, l decripteaz,
dup care l recripteaz cu o alt cheie, care este comun cu nodul succesor. Dup aceasta,
mesajul este transmis nodului succesor, unde procesul se repet pn la destinaia final.
70
Criptografia este arta i tiina ascunderii semnificaiei unei comunicri mpotriva unor
interceptri neautorizate. Cuvntul are rdcini greceti, nsemnnd scriere ascuns kryptos
graphein.
Criptologia reunete criptografia i criptanaliza.
Decriptarea este procesul prin care un text cifrat este transformat ntr-un mesaj
inteligibil.
Sistemul de criptare este un set de transformri din spaiul mesajului clar la cel al
textului cifrat.
Stenanografia este o form de comunicare secret prin care se ncearc ascunderea
mesajului secret. Prin ea, ntr-o imagine digital, cel mai puin semnificativ bit al fiecrui
cuvnt poate fi folosit pentru a forma un mesaj fr s provoace o schimbare evident a
imaginii. n general, ascunderea mesajului ntr-un anumit mediu, cum ar fi un document, o
imagine, o nregistrare sonor sau video se numete steganografie. Oricine tie c mediul
respectiv conine un mesaj secret poate s-l identifice, presupunnd c tie metoda de
codificare.
Textul clar este forma inteligibil de prezentare a unui mesaj, astfel nct el s fie
accesibil oricui.
5.2 Scurt istoric al criptografiei

Scrierea secret s-a ntlnit sub diverse forme n urm cu 5000 de ani, la egipteni, prin
scrierea hieroglific, n greac avnd semnificaia de gravare sacr. Hieroglifele s-au
transformat n scrieri hieratice, form stilizat de prezentare, mult mai simplu de utilizat.
Cam cu 400 de ani .C., spartanii au folosit criptografia militar sub forma unei fii de
papirus sau pergament nfurat n jurul unui b. Mesajul de codificat se scria de-a lungul
bului (de sus n jos sau invers) pe fia nfurat care, dup desfurare, se transmitea la
destinatar, ceea ce nsemna o panglic plin de caractere aleatoare, firesc, fr noim. Cnd ea
ajungea la destinaie i se nfura pe un b de acelai diametru, se afla mesajul iniial.
Cu 50 de ani .C., Iulius Cezar, mpratul Romei, a folosit cifrul substituiei pentru a
transmite mesaje lui Marcus Tullius Cicero. Printr-o astfel de tehnic, literele alfabetului latin
erau nlocuite cu altele ale aceluiai alfabet. Deoarece se folosea numai un singur alfabet,
cifrul s-a numit substituie monoalfabetic. Acest cifru particular presupunea schimbarea
literelor alfabetului printr-o deplasare la dreapta cu trei poziii, astfel A devenea D, B este E
.a.m.d., conform secvenei din figura 5.1.
Substituia unei litere n alta, aflat la dreapta peste trei poziii, a fcut ca metoda s mai
fie numit i metoda de substituie C3. Fiind invenia lui Cezar, metoda este alteori ntlnit
i sub numele inelul lui Cezar.
Fig. 5.1 Cifrul substituiei C3 al lui Cezar
CRIPTOGRAFIA
71
n ultimii 500 de ani discul a jucat un rol important n criptografie. De exemplu, n Italia,
n jurul anilor 1460, Leon Battista Alberti a realizat discurile cifru pentru criptare, conform
figurii 5.2. Se foloseau dou discuri concentrice. Fiecare disc are alfabetul tiprit pe
circumferina lui, iar prin rotirea unui disc fa de cellalt, o liter a unui alfabet devenea alt
liter n cellalt alfabet.
Leon Battista Alberti
Thomas Jefferson
Fig. 5.2 Discuri cifru
Ulterior, fiind buni matematicieni, statisticieni i lingviti, arabii au inventat criptanaliza.

Scrierea lor criptat a fost o tain de-a lungul secolelor. De exemplu, filosoful arab Al-Kindi a
scris un tratat, n secolul IX, care a fost descoperit n 1987, intitulat Manuscrisul descifrrii
mesajelor criptate.
n 1790, Thomas Jefferson a realizat un echipament de criptare folosind un set de 26
discuri ce se puteau roti individual, prin tehnici speciale de utilizare, astfel nct descifrarea s
fie aproape imposibil.
Inveniile s-au nmulit teribil n ultimele secole, cel de-al doilea rzboi mondial avnd n
uz pe cele mai performante pentru acele vremuri. Dintre acestea au rmas n istorie maina
japonez de purpur i maina german Enigma, ca fiind cele mai performante, dar i ele
au fost sparte, la figurat.
Informai-v n detaliu asupra unui moment din istoria criptografiei care v-a reinut atenia.
5.3 Tehnologii criptografice

Cele dou tipuri principale de tehnologii criptografice sunt criptografia prin chei
simetrice (chei secrete sau chei private) i criptografia prin chei asimetrice (chei publice).
n criptografia prin chei simetrice, att emitorul, ct i receptorul folosesc o cheie
secret comun. n cazul criptografiei prin chei asimetrice, transmitorul i receptorul
folosesc n partaj o cheie public i, individual, cte una privat.
Pentru nelegerea metodelor de criptare i a tehnicilor folosite n criptanaliz, o trecere
n revist a operaiunilor fundamentale de criptare este strict necesar. Vom constata c, de-a
lungul celor patru mii de ani, evoluiile au fost spectaculoase i nelepciunea acelor vremuri
ne ncnt i acum. Plcerea este cu att mai mare, cu ct concepte i tehnici foarte vechi se
72
regsesc n sistemele moderne de criptare, firesc, beneficiind de acumulrile de-a lungul

timpului.
5.3.1 Substituia
n urm cu 2000 de ani, Iulius Cezar a folosit metoda substituiei simple pentru a-i crea
propriul su sistem de criptare, cunoscut sub numele de cifrul lui Cezar. Se pare c el a fost
printre primii comandani ai imperiilor care i-a iniiat generalii n taina transmiterii mesajelor
criptate. Cifrul lui Cezar este o submulime a cifrului polialfabetic al lui Vigenre.
O astfel de criptare este uor atacabil prin analiza frecvenelor de apariie a caracterelor.
n fiecare limb se tie care sunt frecvenele literelor din textele scrise. Cifrul lui Cezar,
bazndu-se pe substituia simpl sau monoalfabetic, este uor de spart pentru c un
caracter este nlocuit de altul i aceast schimbare este valabil n tot textul, iar analiza
frecvenelor ne va conduce la caracterele adevrate ale textului clar.
Cifrurile polimorfice sunt realizate prin apelarea la cifruri bazate pe substituia multipl.
De exemplu, dac se folosesc patru alfabete pentru substituie, definite de cel ce intenioneaz
s cripteze, prima liter din textul clar este nlocuit cu prima liter din primul alfabet, a dou
liter a textului clar este nlocuit cu prima liter a celui de-al doilea alfabet, a treia liter a
textului clar este nlocuit cu prima liter a celui de-al treilea alfabet, a patra liter a textului
clar este nlocuit cu prima liter a celui de-al patrulea alfabet, a cincea liter a textului clar
este nlocuit cu a doua liter a primului alfabet .a.m.d. Exploatnd aceast metod, Balise
de Vigenre, diplomat francez nscut n 1523, a dus mai departe realizrile lui Alberti
Trithemius i Porta, elabornd un cifru polialfabetic foarte solid pentru acele vremuri. El
folosea 26 de alfabete.
Un exemplu de cifru polialfabetic este redat n figura 5.3, n care se utilizeaz patru
alfabete.
Text clar:
NODURISISEMNE
4
Alfabet 4:
3 DABRMNOPXYZC
Alfabet 3:
2
Alfabet 2:
Alfabet 1:
JKRAFGHIKXMN
BCDEJSTOPQAM
ACESXBDJMYWI
Rezultat:
ABDJCCAKEDBR
Fig. 5.3 Exemplu de cifru polialfabetic
5.3.2 Transpoziia (permutarea)

Pentru a nelege transpoziia sunt necesare cteva informaii acumulate anterior, cum ar
fi: introducere n sistemele criptate, permutri i matrice. Transpoziia se bazeaz pe o idee
foarte simpl. n loc s nlocuieti un caracter cu altul, e mult mai simplu s nlocuieti
ordinea caracterelor. n plus, acest cifru nu va fi uor descoperit prin analiza frecvenei
apariiei unor caractere. De asemenea, cheia pentru un astfel de cifru nu este standard. n locul
unei liste a substituiilor alfabetice, putem vorbi de o schem a ordinii. De exemplu, dac
ordinea ntr-un text clar este 1, 2, 3, 4, 5, 6, ntr-un text cu transpoziie poate fi 2, 5, 4, 3, 6, 1,
ceea ce nseamn c primul caracter al textului criptat este al doilea din textul clar, al doilea
caracter este al cincilea .a.m.d. De exemplu, cuvntul SCOALA devine CLAOAS.
CRIPTOGRAFIA
73
Permutrile unui astfel de cifru acioneaz ntr-o matrice bloc, ceea ce nseamn c va fi
o matrice de tip patul lui Procust, n care tot ceea ce nu ncape ntr-o linie se va alinia n cea
urmtoare .a.m.d. De exemplu, mesajul PROTECTIE SI TEAMA, ntr-o matrice cu patru
coloane devine:
PROT
ECTI
ESIT
EAMA
n aceast variant, citindu-se n ordinea liniilor, mesajul criptat va fi:
PROT ECTI ESIT EAMA.
Dac se va lucra la coloane, prin folosirea transpoziiei controlate prin chei, rezult
altceva. De exemplu, dac asupra coloanelor se aplic regula 1, 2, 3, 4 = 4, 2, 1, 3 exemplul
anterior devine:
EAMA
ECTI
PROT
ESIT,
ceea ce va nsemna c textul criptat, citit pe linie, este:
EAMA ECTI PROT ESIT.
Aceleai reguli se pot aplica asupra coloanelor sau, i mai interesant, asupra liniilor i
coloanelor.
Combinarea transpoziiei cu substituia poate s conduc la variante aproape imposibil de
spart.
5.3.3 Cifrul lui Vernam

Cifrul lui Vernam const ntr-o cheie constituit, pe criterii aleatoare, dintr-un set de
caractere nerepetitive. Fiecare liter a cheii se adaug modulo 26 la o liter a textului clar. n
aceast variant, fiecare liter a cheii se folosete o singur dat pentru un singur mesaj i nu
va mai putea fi folosit niciodat. Lungimea irului de caractere a cheii este egal cu
lungimea mesajului. Metoda este foarte util pentru criptarea mesajelor scurte. n cele ce
urmeaz, vom prezenta un exemplu:
Text clar:
Cheie
Vernam:
Suma
aparent:
Modulo 26
din sum:
Textul
criptat:
CRIPTAREDATE
17
15
19
17
19
XYZABCPQRJDW
23
24
25
15
16
17
22
25
41
33
15
20
32
20
20
22
26
25
15
15
20
20
20
22
Cifrul lui Vernam a fost preluat i valorificat de compania american AT&T.
5.3.4 Cifrul carte

Un astfel de cifru apeleaz la diverse surse, cum ar fi o carte, pentru a cripta un text clar.
Cheia, cunoscut de transmitor i potenialul receptor, poate fi format din pagina crii i
numrul rndului de pe pagina n care se afl textul.
74
5.3.5 Codurile
Codurile sunt utilizate pentru a putea transmite unele construcii predefinite din domenii
diverse, de regul din afaceri, prin intermediul lor. De exemplu, codul 500 ar putea s
nsemne De efectuat recepia cantitativ i calitativ a mrfurilor expediate. Odat cu
generalizarea serviciilor telegrafice, pentru diminuarea preului pe mesaj, s-a apelat la un
astfel de sistem. De regul, sunt dou rnduri de cri: una conine ordinea cresctoare a
codurilor i, n dreptul lor, semnificaia n clar; alta conine semnificaia n clar, n ordine
alfabetic i codul corespunztor.
5.3.6 Ascunderea informaiilor

Ascunderea informaiei s-a practicat de mii de ani, rdcinile ei numindu-se camuflare.
Se pare c prima consemnare de acest gen i aparine lui Herodot, care a descris o astfel de
tehnic din timpul rzboiului dintre greci i persani, cnd, pentru transmiterea secret de
mesaje, unui sol i se rdea prul de pe cap, apoi pe piele se tatua mesajul secret. Dup ce i
cretea prul era trimis cu mesajul la un anumit receptor, unde, dup tundere, se citea
coninutul mesajului.
n vechea Chin se folosea o alt tehnic a ascunderii informaiilor. Cheia consta ntr-o
matri de hrtie, n dou exemplare unul pentru emitor, cellalt pentru receptor, cu
perforaii ce se urmreau ntr-o anumit ordine, firesc ele fiind plasate ntr-o total dezordine.
Emitorul punea matria pe o coal de hrtie i scria mesajul n ordinea tiut a perforaiilor,
dup care, renunndu-se la matri, se continua scrierea pe coala de hrtie pentru nchiderea
textului sau mesajului secret printre caracterele textului liber, numit text clar. Tehnica a fost
preluat, n secolul XVI, de matematicianul italian Cardan i din aceast cauz este cunoscut
n criptografie sub numele grila lui Cardan.
Doar pentru frumuseea textului scris de profesorul Dumitru Nstase1, v prezentm
constatarea sa:
Modul iniiatic de a comunica mesajele lor cele mai profunde, utilizat de scrierile i
actele noastre medievale, trebuie confruntat cu un alt cod, despre caracterul simbolic al cruia
nu se ndoiete nimeni, i anume cel heraldic. Cu condiia, ns, de a ti c i simbolurile
heraldice ale rilor Romne conin elemente care se coroboreaz cu cele din textele scrise,
dar care n-au putut fi utilizate ca mrturii, pentru bunul motiv c au fost, n cele mai multe
cazuri, att de bine disimulate sub diferite camuflaje (subl. ns.), nct au scpat cu desvrire
specialitilor.
Exemplul cel mai nsemnat i mai frapant, de asemenea necunoscut, e cel al vulturului
bicefal (subl. ns.). Acest ilustru nsemn a fost unanim socotit i din pcate mai este nc
drept strin heraldicii romneti, n care n-ar fi fcut pn trziu, dect apariii sporadice. De
aceea i cazurile cunoscute au fost studiate fiecare n parte, atribuindu-li-se de fiecare dat o
origine i un specific strine istoriei romneti.
n realitate, vulturul bicefal este nencetat prezent i la loc de cinste n heraldica
noastr, unde are o evoluie intern dintre cele mai interesante, din veacul XIV i pn la
1821 (subl. ns.). Arborat mai nti deschis de domnii notri, formele lui explicite vor fi mai
trziu dublate cu altele, cum am spus, ascunse, i unele i altele stabilind ns o lung
continuitate contient, grea de sensuri, a vulturului bicefal n heraldica romneasc.
Nstase, D. Necunoscute ale izvoarelor istoriei romneti, Extras din Anuarul Institutului A. D. Xenopol, XXX,
1993, Ed. Academiei Romne, Iai, p. 489.
CRIPTOGRAFIA
75
Iat, aadar, o sublim tehnic de ascundere a informaiei prezent de secole n heraldica

romneasc prin apariii deosebit de interesante pe o mare varietate de obiecte sau n
iconografia vremurilor. Aceasta este o prob vdit de steganografie, care nseamn
ascunderea informaiei n faa ochiului neavizat.
n vremurile noastre, ascunderea informaiei a devenit interesant pentru o palet larg de
utilizatori. Anii 1990 au consemnat interesul productorilor de la Hollywood pentru gsirea
unui mecanism de protejare a copyright-ului, interes regsit i n domeniul militar pentru
comunicaii care s nu dea nimic de bnuit interceptorilor neautorizai. i populaia era
ngrijorat de agresivitatea discuiilor guvernamentale n legtur cu nevoia de a controla
comunicaiile criptate. Toate acestea au condus la o puternic dezvoltare a ascunderii
informaiei.
Ascunderea modern a informaiei viza ascunderea unor mesaje secrete ntr-un fiier
audio MP3 sau seria unui program era ncapsulat printre instruciunile executabile.
Interesele Hollywoodului vizau marca de nregistrare a copyright-ului, care s fie ascuns
percepiei obinuite din bucile audio digitale, video i ale lucrrilor de art. Ele sunt fie
filigrane (watermarks), care reprezint mesajul copyright-ului ascuns, fie amprente
(fingerprints), care semnific serii ascunse.
5.3.6.1 Steganografia
Steganografia este arta ascunderii existenei unui mesaj pe un anumit suport. n limba
greac steganos nseamn acoperit i graphein a scrie. Aadar, scriere camuflat/ascuns.
Prin steganografie se exprim interesul pentru confidenialitate, ntruct scopul ei este de
a include mesaje ntr-un anumit mediu astfel nct s rmn insesizabil. Un model
conceptual cunoscut, propus de Simmons2, este urmtorul. Alice i Bob sunt n pucrie i
doresc s pun la cale un plan de evadare; comunicarea dintre ei este posibil doar prin
intermediul gardianului Willie, dar dac acesta va afla ce uneltesc pedeapsa lor va fi i mai
dur. Aadar, ei trebuie s gseasc o modalitate de a ascunde mesajele secrete ntr-un inocent
text care s le acopere. Aa cum se procedeaz n criptografie, presupunem c mecanismul
folosit este cunoscut de gardian, aa c din motive de securitate, ei trebuie s apeleze la o
cheie secret comun pe care doar ei s o tie i s o foloseasc.
David Kahn, autorul crii The Codebreakers, citeaz ca form embrionar a
steganografiei un caz din Istoriile lui Herodot, n care mesajul a fost scris pe scndurile unei
mese, prin gravare, apoi s-a acoperit textul cu cear, fr s dea nimic de bnuit. Doar
primitorul mesei va ti taina.
O alt metod const n preluarea primei litere a fiecrui cuvnt dintr-un text, formnd
mesajul ascuns.
Alte metode de ascundere se realizeaz folosind cerneala invizibil i micropunctele.
Micropunctele sunt fotografii de dimensiunea unui . (punct) care poate s reproduc perfect
o pagin de text. n timpul celui de-al doilea rzboi mondial, germanii au dezvoltat aceast
tehnologie, plasnd sute de micropuncte pe scrisori de dragoste, ctre ai casei, n comunicrile
de afaceri .a. Directorul F.B.I., J. Edgar Hoover le-a numit capodopere ale spionajului.
n steganografia actual exist o mare varietate de tehnici. Una din ele ascunde mesajele
printre biii imaginilor digitale. Imaginile sunt reprezentate printr-o form matriceal de
pixels (picture x elements), nsemnnd puncte din care se realizeaz imaginea. O imagine
foto-CD Kodak are 3072 x 2048 pixeli, dar o imagine mai puin clar poate s aib 400 x 300
2
Simmons, G.J. The Prisoners Problem and the Subliminal Channel, in Proceedings of Crypto 83, Plenum Press
(1984), pp. 51-67.
76
pixeli. Fiecare pixel este codificat printr-o secven de bii care fixeaz culoarea. n cea mai
simpl form, codificarea se realizeaz prin 24 de bii, care, conform sistemului RBG Red
(rou), Blue (albastru), Green (verde) , nseamn atribuirea a cte 8 bii pentru fiecare
culoare. Cei 8 bii, care formeaz un octet, determin realizarea a 256 de posibiliti; prin
combinarea lor rezult aproximativ 17 milioane de nuane de culori. Printr-o astfel de variant
se pot obine performane foarte mari, dar, unor bii li se poate da o alt destinaie, pentru a se
codifica mesaje scurte, fr s afecteze semnificativ imaginea.
n structura octeilor, valoarea biilor este diferit n alctuirea imaginii finale. De regul,
ultimul bit, cel mai din dreapta, nu are efect semnificativ, ntruct, n cel mai ru caz schimb
culoarea cu unu n spectrul general al culorii, pe cnd cel din stnga are influen mult mai
mare n schimbarea culorii. Se spune c schimbarea bitului cel mai nesemnificativ al unei
culori ar fi echivalent cu schimbarea secundarului unui ceas cu o secund. Ce nseamn o or
cu o secund n plus sau n minus!?!
Biii succesivi ai mesajului secret pot fi plasai pe poziia biilor cel mai puin
semnificativi ai octeilor urmtori, fr s altereze semnificativ imaginea. Putem face un
calcul simplu al potenialilor bii utilizabili pentru ascunderea mesajului, tiut fiind faptul c
sunt 400 x 300 pixeli, fiecare cu cte 3 octei (de la care se pot valorifica 3 bii, cte unul de
la fiecare octet), rezultnd 400 x 300 x 3 = 360.000 bii. Alocnd cte 8 bii pentru un caracter
al textului, rezult c se poate realiza un mesaj lung de 360.000 : 8, adic 45.000 de caractere.
Pentru exemplificare, s considerm c primii 3 octei (24 bii) ai imaginii au urmtoarea
structur:
0
1
0
2
0
3
0
4
0
5
0
6
0
7
0
8
1
1
1
2
1
3
1
4
0
5
0
6
1
7
0
8
1
1
1
2
1
3
0
4
0
5
0
6
0
7
1
8
S analizm efectul scrierii mesajului ABC, folosind biii cei mai nesemnificativi, a opta
poziie, marcai cu bold. n codul ASCII:
A este 01000001
B este 01000010
C este 01000011
Deci, mesajul ABC nseamn irul
0
Din pcate, dat fiind numrul mic de bii disponibili n exemplul dat, doar 3, nseamn c
vom putea plasa numai primii trei bii ai literei A, adic 010, astfel:
0
1
0
2
0
3
0
4
0
5
0
6
0
7
0
8
1
1
1
2
1
3
1
4
0
5
0
6
1
7
1
8
1
1
1
2
1
3
0
4
0
5
0
6
0
7
0
8
Se poate observa c doar doi bii din cei trei mai puin semnificativi s-au schimbat,
respectiv ultimul bit al celui de-al doilea octet i al celui de-al treilea. Pentru decodificarea
mesajului, se vor extrage doar biii aflai pe a opta poziie a fiecrui octet, ceea ce cu
calculatorul este o procedur foarte simpl. Printr-o astfel de operaiune biii iniiali ai
imaginii nu mai pot fi reconstituii.
Pentru a reda efectul steganografiei, al scrierii textelor ascunse prin imagini, n figura 5.4,
redm fotografiile Pmntului efectuate de cosmonauii misiunii Apolo 17, pe 7 decembrie
1972; imaginea din stnga este fotografia normal, iar cea din dreapta are inclus un text de
peste 30 de pagini.
CRIPTOGRAFIA
77
Totui, steganografia nu este la fel de sigur cum este criptarea prin chei, dar ea a fost (i
este) folosit n multe acte criminale. Ea poate servi i la ascunderea existenei unui fiier pe
hard disk pentru toi cei ce nu-i tiu numele i parola.
a) nainte de includerea textului
b) Dup includerea textului
Fig. 5.4 Imaginea pmntului de pe Apolo 17,

diferite din punct de vedere al coninutului
Identificai pe Internet programe care folosesc tehnica LSB pentru transmiterea mesajelor ascunse.
Credei c exist situaii n activitatea organizaiilor economice n care s fie util folosirea
steganografiei? Exemplificai, justificai.
5.3.6.2 Filigranarea
Un filigran este un model distinct ncapsulat ntr-un document, imagine, video sau audio
de ctre cel ce se afl la originea datelor. Filigranul poate avea cteva scopuri, printre care:
indicarea proprietarului datelor, inerea evidenei copiilor datelor, verificarea integritii
datelor. Filigranele folosite n bancnote au scopul de a ntri ncrederea posesorilor c se afl
n faa banilor originali i nu a unora contrafcui, scopul fiind de securizare mpotriva unor
tentative de falsificare. Un filigran poate fi invizibil cu ochiul liber sau insesizabil de ureche,
dar sunt mijloace de detectare i extragere a lui pentru a se verifica autenticitatea datelor sau a
se afla sursa lor.
Datele filigranate sunt o funcie a unui identificator i/sau cheie care este unic() pentru
autor. Aceste valori sunt necesare pentru detectarea sau extragerea filigranului. Dac mai
multe copii ale datelor surs au fost filigranate separat, fiecare dintre ele va fi prelucrat cu o
cheie proprie, ceea ce conduce la concluzia c fiecare copie are amprenta ei. Prin inerea
78
evidenei fiecrei chei folosite pentru fiecare beneficiar este uor de urmrit cine a nclcat
dreptul de proprietate.
Se folosesc filigrane fragile sau solide. Cele fragile sunt mai uor de schimbat, dar sunt
folosite doar pentru a vedea dac datele au fost schimbate, n timp ce filigranele robuste
rezist tuturor manipulrilor i mutrilor la care sunt supuse.
Filigranarea este similar cu steganografia i se bazeaz pe tehnici de proiectare
apropiate. De exemplu, o metod de filigranare, aplicabil datelor digitale, const n inserarea
unui ID i a unei chei n structura unui fiier imagine, sunet, video. Dac ID-ul i cheia sunt
cunoscute, este uor de vzut dac ele sunt prezente printre date.
n spaiul cibernetic, filigranele sunt folosite pentru stabilirea nclcrilor dreptului de
autor. Digimarc Technologies (www.digimarc.com i www.digimarc-id.com) are un produs
pentru protejarea imaginilor puse de proprietar n propriul su site. Deintorii copyright-ului
insereaz filigranul lor, folosind PhotoShop al Adobe-ului, sau un alt editor de imagine care
ncorporeaz tehnologia Digimarc. Cnd receptorul folosete acelai editor pentru
vizualizarea imaginilor va fi afiat simbolul de copyright al autorului. Prin selectarea
simbolului se realizeaz legtura cu Digimarc, de unde vor afla cine este deintorul dreptului
de autor. De asemenea, Digimarc are un motor de cutare, MarcSpider, care caut imagini
filigranate furate de la autorii lor.
Aris Technologies, Inc. (www.aris-techno.fr/) a realizat o tehnologie similar mpotriva
pirailor de muzic. Softul lor, MusiCode, ncapsuleaz informaii-surs (cum sunt titlul,
artistul, compania de nregistrare) n fiierul audio. Softul este folosit pe Internet printr-un
motor de cutare care combate piraii de melodii din acest mediu.
Realizri sunt foarte diverse, dar scopul prezentrii de fa este doar acela de a informa
pe cei interesai de protejarea creaiei lor c au la dispoziie instrumente de aprare.
Identificai pe Internet programe cu ajutorul crora s introducei filigrane n imaginile dvs. digitale.
5.3.6.3 Securitatea tipririi hrtiilor de valoare
Abordarea acestui subiect n crile de protecie i securitate este aproape inexistent.

Singurele materiale deosebit de interesante poart semntura lui Renesse3, dei exist o
mulime de tratri pariale ale subiectelor menionate. Probabil c acesta a fost i
raionamentul lui Ross Anderson4 de a face o sintez a acestor concepte ntr-un capitol
distinct.
Problematica este veche, preocuprile lsnd urme de mii de ani, aa cum am relatat n
capitolul dedicat clasificrii informaiilor, trecnd peste teritoriile Mesopotamiei, Chinei
antice i ajungnd s fie util tuturor rilor ntr-o mare varietate de forme.
Sigiliile aveau rolul autentificrii nscrisurilor vremii. Dac n Europa i America ele au
doar farmecul istoriei, n Japonia, China i Coreea nc se folosesc pentru documente foarte
importante, efii statelor aplicndu-le pe toate actele speciale ce se arhiveaz. n multe ri,
sigilarea este nc utilizat n protejarea actelor potale i, n general, a produselor ambalate.
n aceast categorie, intr o larg gam de produse, de la parfumuri, igri, buturi alcoolice
sau rcoritoare, la componente de avioane sau calculatoare.
3
Renesse, R. Optical Document Security, 2nd ed., Artech House, 1997

Renesse, R. Verifying versus Falsyfying Banknotes, in Optical Security and Counterfeit Deterrence Techiques II,
(1998), IS&T (The Society for Imaging Science and Technology) and SPIE (The International Society for Optical
Engineering), v 3314, IS1314, 0-8194-2754-3, pp. 71-85.
Anderson, R. Security Engineering: A Guide to Building Dependable Distributed Systems, John Wiley&Son, Inc., New
York, 2001.
CRIPTOGRAFIA
79
Muli productori de calculatoare vor s ofere un plus de siguran cumprtorilor

apelnd la tiprirea securizat, tehnici de ambalare i sigilii. Hologramele, filigranele i alte
sisteme de securizare sunt din ce n ce mai folosite.
De asemenea, productorii de soft nu se rezum doar la criptarea produselor sau la
filigranarea lor digital. Ei apeleaz la unele msuri de protecie mpotriva pirateriei,
realiznd etichetele cu hologram care trebuie s nu se dezlipeasc uor, ci, dimpotriv s se
rup la desigilare.
Majoritatea mijloacelor de securizare nu au pretenia c vor stopa pirateria, dar scopul lor
este de a se proba nclcarea unor norme comerciale i juridice.
Un alt subiect l constituie uurina contrafacerii produselor de securizare, tocmai
apelndu-se la tehnologiile moderne, cum sunt copiatoarele, scanner-ele, imprimantele .a.
Dac se urmrete istoria unui element de securizare se va observa cum lupta dintre cei
ce l-au conceput i pirateria de pe pia a condus la o continu evoluie a lor. Ideea lui
Napoleon, la nceputul secolului XIX, de introducere a bancnotelor de hrtie, a fost una
salutat de contemporanii lui, dar ce se ntmpl acum n lume demonstreaz ct de puternic
a devenit industria falsificrilor. Fotografia, inventat n 1839, a stat la baza multor
documente cu rol de identificare i autentificare, dar ea a condus la numeroase contrafaceri,
ceea ce a determinat apariia imprimantelor color i a gravrilor metalice. Dar nici pozele
color n-au putut s ofere linite dect pentru o scurt perioad de timp, situaie n care s-au
inventat alte tehnici optice, cum ar fi echipamentele pentru realizarea hologramelor.
Aprtorii i atacatorii in pasul cu ultimele realizri din domeniu. C reuesc i unii i alii
sunt o mulime de dovezi. Cel mai mediatizat a fost cazul bancnotelor britanice din anii 1990
dintre cele mai securizate. Ele aveau un fir metalic transparent, de 1 mm lime, care parc
era cusut, fiecare bucic vizibil cu ochiul liber avnd 8 mm, formnd astfel o linie vertical
din puncte metalice. Dac se privea n lumin ea desena o linie metalic continu. Cine se
gndea c aa-ceva poate fi contrafcut? i, totui, nite specialiti au pus bazele unei foarte
profitabile industrii. Ei au folosit un proces ieftin de imprimare la cald a liniei metalice
continue pe care au ntrerupt-o n bucele de cte 8 mm, folosind cerneal alb. Zeci de
milioane de lire sterline au fost contrafcute pe parcursul ctorva ani. Dup descoperirea
cazului, europenii se gndesc la o eventual deplasare peste Oceanul Atlantic a rufctorilor,
deoarece dolarul american este tiprit cu doar trei culori.
Este greu de stabilit care este modelul de manifestare a pericolelor, ct timp falsificatorii
sau atacatorii pot fi organizaii finanate de guverne pentru contrafacerea bancnotelor altor
ri, ntreprinderi mici i mijlocii care pot s fac milioane de dolari msluind vignete,
holograme sau diverse timbre de marcare a mrfurilor sau pot fi amatori care s dispun de
tehnica necesar la ei acas sau la un loc de munc nu prea bine supravegheat. Descoperirea
lor este anevoioas, deoarece numrul de obiecte contrafcute este mic n raport cu cele
adevrate. Banii fali nu pot nela un specialist din bnci, dar ei tocmai din aceast cauz se
plaseaz n locuri cu oameni naivi sau n localuri mai ntunecate i zgomotoase, cum sunt
barurile de noapte.
Se consider c n cazul bancnotelor false exist trei niveluri de verificare prin care
falsurile pot sau nu s treac. Ele sunt urmtoarele:
nivelul primar de verificare este nfptuit de persoanele neinstruite sau cu prea puin
experien n actele de vnzare-cumprare;
nivelul secundar al verificrii se exercit de personal competent i motivat, cum este
cazul experimentailor operatori de la ghieele bncilor sau inspectorii calificai ai
produselor industriale marcate cu etichete i/sau timbre fiscale. Ei pot s dispun de
80
echipamente speciale, cum sunt lmpile cu raze ultraviolete, creioane cu reactivi

chimici, scannere sau PC-uri special dotate. Oricum, astfel de echipamente nu pot fi
prea numeroase i nici prea costisitoare, iar falsificatorii le tiu puterea.
al treilea nivel al verificrii se efectueaz n laboratoare speciale ale productorilor
de elemente de securitate pentru bncile ce realizeaz emisiuni monetare.
Echipamentele folosite sunt mult mai scumpe dect cele amintite anterior i nu pot da
rateuri. O astfel de verificare depisteaz absolut toate contrafacerile, numai c ea se
exercit asupra cazurilor cu totul speciale.
Documentele speciale i hrtiile de valoare folosesc, de regul, produse de tiprire dintre
cele ce urmeaz:
intaglio sau gravura cu acizi se folosete pentru fixarea cu mare for a cernelii pe
hrtie, lsnd n urm o imprimare n relief cu o mare rezoluie. Este tehnica folosit
cel mai mult la tiprirea banilor sau realizarea paapoartelor;
liter presat, prin care cerneala este depus prin rularea caracterelor n relief i
presarea hrtiei pe care se face tiprirea, astfel nct s rmn i urmele presrii.
Tehnica este folosit pentru tiprirea numerelor ce indic valoarea bancnotelor.
Mrimea lor i culoarea sunt atipice, ca elemente suplimentare de securitate,
eliminnd posibilitatea realizrii lor cu materiale sau mijloace existente pe pia;
procesarea simultan const n transferarea complet a cernelii simultan pe ambele
fee ale bancnotei, ceea ce va conduce la o tiprire cu suprapunere perfect. Se spune
c reproducerea lor cu imprimantele color din comer este aproape imposibil. n
plus, prin duze speciale, cerneala color este dispus variat de-a lungul unei linii;
tampilele de cauciuc sunt folosite pentru andosarea documentelor sau pentru
tampilarea fotografiilor de pe documente;
gofrarea i laminarea. Gofrarea sau scrierea n relief i laminarea sunt folosite pentru
fixarea fotografiilor i marcarea caracterelor pe carduri pentru a scumpi costurile
contrafacerilor. Gofrarea poate fi fizic sau prin tehnica laserului pentru fixarea
fotografiilor pe documente de identificare;
filigranele, tratate ntr-un paragraf anterior, sunt exemple de utilizare a unor elemente
speciale pentru protejarea hrtiilor de valoare. Ele sunt zonele transparente sau
marcate cu materiale speciale de pe o hrtie. Se pot folosi i fire fluorescente. Un
exemplu aparte l constituie Australia (ar n care au fost tiprite i unele bancnote
romneti), unde nsemnele de 10 dolari sunt tiprite pe suport de plastic cu zone
transparente.
Dintre tehnicile mai moderne, amintim:
cernelurile schimbtoare optic, tehnic folosit pentru unele poriuni ale bancnotelor
canadiene de 20 dolari, care i schimb culoarea de la verde la galben, n funcie de
unghiul din care este privit obiectul. La noi, tehnica este cunoscut i sub numele de
gt de roi sau gu de porumbel;
cerneala cu proprieti magnetice sau fotoacustice;
imprimarea unor semne vizibile cu echipamente speciale, aa cum este microtiprirea
de pe bancnotele americane, care necesit o sticl magnetizabil pentru a urmri
semnele, precum i tiprirea n cerneluri ultraviolete, infraroii sau magnetice
ultima fiind folosit pentru tiprirea culorii negre de pe bancnotele americane;
firele sau foliile metalice, de la simplele irizri n culorile curcubeului pn la folii cu
efecte optice variabile, aa cum sunt hologramele sau kinegramele, precum cele de pe
bancnotele de 20 i 50 de lire sterline. Hologramele se produc, de regul, optic i
CRIPTOGRAFIA
81
reprezint obiecte ntregi pe un plan ndeprtat, iar kinegramele sunt realizate cu

calculatorul i ofer imagini diferite n funcie de unghiul din care sunt vzute;
marca digital a copyright-ului variaz ca form de prezentare i este recunoscut de
copiatoare, scannere i imprimante, care se opresc la ntlnirea ei, refuznd
reproducerile ilegale;
unicitatea, asigurat prin dispunerea aleatoare de fibr magnetic pe hrtie, ceea ce
face ca toate exemplarele realizate prin semnturi i tipriri digitale s fie unice,
apelnd la unele tipuri de coduri bar.
Problema protejrii nu este att de simpl, pe ct pare la prima vedere, pentru c ea
trebuie s in cont i de aspecte estetice, de rezisten la ntrebuinare .a. Din experienele
acumulate de-a lungul timpului, s-au desprins urmtoarele lecii:
marcajele de securitate trebuie s spun ceva, s fie purttoare ale unui mesaj
relevant pentru produs. Este mai plcut tiprirea cu irizri ale curcubeului dect alte
semne invizibile;
ele trebuie s-i gseasc locul potrivit, s fac parte fireasc din ansamblul
documentului, astfel nct i fixarea n mintea utilizatorului s fie natural;
efectul lor trebuie s fie evident, distinct i inteligibil;
nu trebuie s intre n concuren cu alte produse realizate ct de ct similar, pentru a
nu da curs imitrilor sau confuziilor;
ele trebuie s fie standardizate.
n cazul bancnotelor, teoria spune c sunt necesare aproximativ 20 de modaliti de
securizare care nu sunt mediatizate. Cteva dintre ele sunt aduse la cunotina inspectorilor de
specialitate. Cu timpul, acestea sunt aflate i de falsificatori. Mai mult, dup un numr
variabil de ani, ei afl aproape toate cele 20 de elemente, moment n care bancnotele se retrag
de pe pia i se nlocuiesc cu alt model. Cercetrile din domeniu anun o posibil apariie a
unui sistem unic de marcare, constnd ntr-un strat chimic special, coninnd proteine sau
chiar molecule DNA, prin care se vor codifica serii ascunse, citibile de ctre orice tip de
main de verificare a lor.
Identificai n activitatea organizaiilor economice documente importante, care au introduse elemente de
securizare.
5.4 Sisteme de criptare prin chei secrete (simetrice)

O astfel de criptografie, dup cum sugereaz i numele din parantez, apeleaz la o
singur cheie la ambele capete ale comunicrii: emitorul i receptorul. Emitorul sau
expeditorul cripteaz textul clar cu ajutorul unei chei secrete, iar receptorul sau destinatarul
va decripta mesajul criptat folosind aceeai cheie, firesc, reuita este asigurat de secretizarea
cheii. Succesul cheilor simetrice este i mai mare dac ele se schimb mai des. Ideal ar fi ca o
cheie simetric s fie folosit o singur dat.
82
Un sistem de criptare prin cheie secret are n structura sa informaie public i privat.
Informaia public, de regul, const n:
un algoritm folosit pentru criptarea textului clar n mesaj criptat;
posibil, un exemplar al textului clar i textului criptat corespunztor;
posibil, o variant criptat a textului clar care a fost aleas de ctre un receptor
neintenionat.
Informaiile private sunt:
cheia sau variabila de criptare;
o anumit transformare criptografic dintr-o mulime de transformri posibile.
Succesul sistemului se bazeaz pe dimensiunea cheii. Dac ea are mai mult de 128 bii
este una destul de sigur, ceea ce nseamn siguran n exploatare. Ea se adaug rapiditii cu
care se efectueaz criptarea i volumului mare de date asupra crora poate opera. Iat trei
caracteristici eseniale ale sistemelor bazate pe chei simetrice: siguran, rapiditate, volum
mare de date criptate.
Singura problem a sistemului const n folosirea n comun a cheii de criptare de ctre
emitor i receptor, ceea ce nseamn c emitorul trebuie s foloseasc o palet larg de
chei pentru o mare diversitate a utilizatorilor. Exist o tehnic de intermediere prin chei
publice, dar nu intrm n detalii. Oricum, trebuie s se tie c sistemele bazate pe chei
simetrice nu ofer mecanismele necesare autentificrii i nerepudierii.
Cel mai cunoscut sistem bazat pe chei simetrice este Data Encryption Standard (DES),
dezvoltat din sistemul criptografic Lucifer al firmei IBM.
5.5 Sisteme de criptare prin chei publice (asimetrice)

Spre deosebire de sistemele de criptare bazate pe chei secrete, care presupun o singur
cheie cunoscut de emitor i receptor, sistemele bazate pe chei publice folosesc dou chei:
una public i alta privat.
Cheia public este pus la dispoziia oricrei persoane care dorete s transmit un mesaj
criptat.
Cheia privat este utilizat pentru decriptarea mesajului, iar nevoia de a face schimb de
chei secrete este eliminat.
Pentru nelegerea sistemului, sunt necesare urmtoarele lmuriri:
cheie public nu poate decripta un mesaj criptat;
se recomand ca o cheie privat s nu deriveze dintr-o cheie public;
un mesaj care a fost criptat printr-o anumit cheie poate fi decriptat cu alt cheie;
cheia privat nu este fcut public.
Dac notm cu C un text criptat i cu P un text clar (P este notaia consacrat pentru
plain text), iar Kp este cheia public i Ks cheia privat (secret), procesul este ilustrat astfel:
C = Kp(P) i P = Ks(C). i invers este adevrat: C = Ks(P) i P = Kp(C).
Criptografia prin chei publice este posibil n aplicaiile care funcioneaz ntr-un singur
sens. O funcie n sens unic este aceea care este uor de calculat ntr-o direcie, dar este dificil
de calculat n sens invers. Pentru o astfel de funcie, dac y = f(x), este simplu de determinat
valoarea lui y dac se cunoate x, dar este foarte dificil s-l determini pe x cunoscndu-l pe y.
ntr-o astfel de situaie se afl cutrile telefonice. Este uor s gseti numrul cuiva dac tii
numele i adresa, dar este foarte dificil s gseti pe cineva ntr-o carte de telefon
cunoscndu-i doar numrul de telefon. Pentru ca funciile cu sens unic s fie utile n contextul
CRIPTOGRAFIA
83
criptografiei bazate pe chei publice ele trebuie s aib o trap, adic un mecanism secret care
s permit realizarea cu uurin a funciei inverse funciei n sens unic. Printr-o astfel de
modalitate se poate obine x dac se d y.
n contextul criptografiei bazate pe chei publice este foarte dificil s se calculeze cheia
privat din cheia public dac nu se tie trapa.
De-a lungul anilor s-au dezvoltat mai muli algoritmi pentru cheile publice. Unii dintre ei
se folosesc pentru semntura digital, pentru criptare sau n ambele scopuri.
Din cauza calculelor numeroase solicitate de criptarea prin chei publice, aceasta este de
la 1.000 la 10.000 de ori mai nceat dect criptografia prin chei secrete. Astfel, au aprut
sistemele hibride care folosesc criptografia prin chei publice pentru transmiterea sigur a
cheilor secrete utilizate n criptografia prin chei simetrice.
Dintre algoritmii importani ai cheilor publice, amintim Diffie-Hellman, RSA, El Gamal
Knapsak i curba eliptic, foarte utilizai fiind primii doi algoritmi.
5.6 Semntura digital

Inventarea criptografiei prin chei publice a adus dou importante mutaii valoroase.
Prima, discutat anterior, permite transmiterea unui secret ctre o alt persoan fr s fie
nevoie de o a treia persoan de ncredere sau de un canal de comunicaie off-line pentru a
transmite cheia secret. A doua mutaie s-a produs pe planul calculrii semnturii digitale.
O semntur digital este un bloc de date (alctuit din cifre binare, ceea ce n englez
nseamn binary digit, de unde i digital exprimat printr-un ir de cifre) ce se ataeaz
unui mesaj sau document pentru a ntri ncrederea unei alte persoane sau entiti, legndu-le
de un anumit emitor. Legtura este astfel realizat nct semntura digital poate fi
verificat de receptor sau de o ter persoan i nu se poate spune c a fost uitat. Dac doar o
cifr binar nu corespunde, semntura va fi respins n procesul de validare. Semntura
digital stabilete autenticitatea sursei mesajului. Dac o persoan nu-i d n vileag cheia
personal privat nimeni nu poate s-i imite semntura. O semntur digital nu nseamn
i recunoaterea dreptului de proprietate asupra textului transmis, ci ea atest faptul c
persoana semnatar a avut acces la el i l-a semnat. Documentul poate fi i sustras de undeva.
Totui, atunci cnd semnarea este cuplat cu crearea documentului, semntura poate oferi o
prob evident a originii documentului. n aceast categorie intr fotografiile luate cu camere
digitale bazate pe chei private. n acest caz, proba este de necontestat. Aa se procedeaz cnd
se intenioneaz realizarea proteciei mpotriva manipulrii imaginilor cu ajutorul
calculatorului. La fel pot fi camerele video, radio-receptoarele i ali senzori care pot semna
ieirea pentru a-i certifica originea.
Dei semntura digital este implementat prin sistemul criptografiei cu chei publice,
transformrile ce au loc sunt diferite de cele de la criptare. n timp ce la criptare fiecare parte
are o pereche de chei public-privat, n cazul semnturii digitale, componenta privat este
ntrebuinat pentru semnarea mesajelor, iar cea public este folosit de o alt parte pentru a
verifica semntura.
Pentru a studia cadrul legal al utilizrii semnturii electronice n Romnia, putei obine informaiile dorite
de pe site-ul www.legi-internet.ro/lgsemel.htm.
84
Rezumat
Scopul criptografierii este de a proteja informaiile transmise fr s poat fi citite i nelese dect de
ctre persoanele crora le sunt adresate. Teoretic, persoanele neautorizate le pot citi, ns, practic, citirea
unei comunicaii cifrate este doar o problem de timp efortul i timpul aferent necesare unei persoane
neautorizate s decripteze mesajul criptat.
Exist dou tipuri principale de tehnologii criptografice sunt criptografia prin chei simetrice (chei
secrete sau chei private) i criptografia prin chei asimetrice (chei publice).
Cele mai cunsocute metode de criptare sunt: substituia, transpoziia (permutarea), cifrul lui Verman,
cifrul carte, codurile, ascunderea informaiilor (steganografia, filigranarea, securitatea tipririi hrtiilor de
valoare).
Dintre cele mai cunoscute sisteme bazate pe chei secrete (simetrice) pot fi amintite: DES (Data
Encryption Standard), AES (Advanced Encryption Standard), cifrul IDEA (International Data Encryption
Algorithm).
Ca sisteme de criptare prin chei publice (asimetrice) pot fi enumerate: schimbul de chei DiffieHellman, RSA, semntura digital, sistemele de certificare a cheilor publice, infrastructura cheilor publice
(PKI Public Key Infrastructure).

1.
2.
3.
Loepp, S., Wootters, W. - Protecting Information. From Classical Error Correction to

Quantum Cryptography, Cambridge University Press, 2006
Patriciu, V.V., Ene-Pietroanu, M, Bica, I., Priescu, J. - Semnturi electronice i securitate
informatic. Aspecte criptografice, tehnice, juridice i de standardizare, Ed. BIC All, Bucureti,
2006
Stamp, M. - Information Security. Principles and Practices, Wiley-Interscience, John
Wiley&Sons, New Jersey, 2005
Unitatea de studiu VI
Securitatea la nivelul centrelor de prelucrare a datelor

cunoaterea principalelor reguli de amplasare i proiectare a centrelor de prelucrare
a datelor;
dobndirea capacitii de a transpune regulile menionate i pentru data center-urile
moderne.
alegerea amplasamentului centrelor de calcul;
proiectarea centrului de calcul;
protecia i securitatea mediului de lucru al calculatoarelor.
6.1 Alegerea amplasamentului centrelor de calcul

Problema amplasrii corecte a centrului de calcul nu intr n atribuiile responsabilului cu
securitatea sistemului. De regul, centrele de calcul se amplaseaz n cldiri special
construite, preferndu-se terenurile virane. Totui, practica demonstreaz c, de cele mai
multe ori, centrele de calcul se amplaseaz n cldiri construite cu alt scop, n care au mai fost
sau nu folosite calculatoare i care dispun sau nu de sisteme de protecie speciale. De
asemenea, cldirile sunt folosite i n alte scopuri, gzduind mai multe servicii ale aceleiai
uniti sau chiar mai multe uniti, cu activiti diferite, uneori chiar de ordinul sutelor, cum a
fost cazul World Trade Center. n astfel de situaii, apar anumite restricii, unele
imperfeciuni, motiv pentru care trebuie s se ia n considerare urmtoarele aspecte:
1. Locul de amplasare s fie pe un teren solid, fr riscul alunecrilor, nu deasupra
tunelurilor, a sistemelor principale de colectare a apei reziduale sau a altor elemente
de risc.
2. Nivelul fa de cotele de inundaie trebuie s fie evident.
3. Mediul de amplasare, de asemenea, nu trebuie s fie afectat de cutremure, zgomote,
vibraii, cmpuri electromagnetice (ale radarelor) sau de poluare a aerului. Zona
trebuie s fie linitit, i nu una cunoscut pentru numeroasele incidente sociale.
Vecinii sunt linitii? Cu ce se ocup?
4. Cum funcioneaz serviciile de utiliti n zona de amplasare? Curentul i apa au un
regim sigur de funcionare? Drumurile n ce stare sunt? Serviciile speciale de
intervenie (pompieri, salvare, poliie) sunt amplasate n apropiere? Au experiena
pentru a interveni n cazul unor incidente dintr-un centru de calcul?
5. Zona de amplasare trebuie s fie suficient de mare, astfel nct n preajma cldirii s
existe, pe orice latur, cel puin 10 metri de spaiu liber, iar parcrile s nu fie mai
aproape de 30 de metri. Dac ar fi posibil, se recomand ca ntreaga cldire a
centrului de calcul s fie nconjurat din toate prile de cldirile firmei, izolnd-o, n
acest mod, de lumea din afar.
86
Cum credei c se modific cerinele de securitate de mai sus n cazul data center-urilor moderne?
Propunei un set de cinci recomandri valabile pentru asigurarea securitii amplasrii centrelor de date.
6.2 Proiectarea centrului de calcul

Dup alegerea locului de amplasare, se poate trece la schiarea machetei cldirii care s
gzduiasc sistemul electronic de calcul. Ct ar fi de entuziati proiectanii, ndeosebi
arhitecii, uneori, n afara gustului lor deosebit pentru estetic, trebuie rugai s mai respecte i
alte elemente, i anume:
1. Cldirea trebuie s fie una solid, realizat din materiale neinflamabile. Sala
calculatorului central (a serverelor) se recomand s nu aib ferestre i pe absolut
toate prile s fie nconjurat de alte sli ale centrului de prelucrare respectiv.
2. Numrul intrrilor i ieirilor din cldire trebuie s fie minim, respectndu-se, totui,
normele pe linie de stingere a incendiilor. Pentru introducerea n cldire a
echipamentului i a mobilierului mare se poate proiecta o intrare special, dar ea nu
va fi folosit i pentru persoane. Intrarea principal a acestora trebuie s dispun i de
o aa-zis zon tampon, unde s aib loc procedurile de control i acceptare a
intrrii n unitate.
3. Cheile, ndeosebi cele ce nlesnesc accesarea mai multor puncte de intrare, trebuie s
fie tratate cu acelai interes ca i lucrurile sau informaiile protejate. Toate cheile se
dau numai sub semntur persoanelor ce le primesc, ntocmindu-se, n acelai timp,
i un registru special al posesorilor de chei, care, la rndul lor, vor prezenta i
autorizarea posesiei cheilor.
4. Parterul i etajul nti, pe ct posibil, nu trebuie s aib ferestre externe pentru a se
evita intrarea prin forarea lor, iar, dac exist, se recomand ca ele s fie realizate
din crmizi de sticl, crora li s-ar putea aduga msuri suplimentare (cadre
metalice) de protecie.
5. Slile cu calculatoare nu se recomand s fie amplasate la demisolul cldirii. Locul
ideal de amplasare ncepe cu parterul, el fiind cel mai lejer mod de accesare din
punctul de vedere al personalului, dar i de eventualii intrui, motiv pentru care etajul
unu este cel mai sigur.
6. n interiorul centrului trebuie s se efectueze o judicioas compartimentare a
spaiului, nepermindu-se accesul direct al nici uneia dintre camere. Este cazul
SECURITATEA LA NIVELUL CENTRELOR DE PRELUCRARE A DATELOR
87
bibliotecii de suporturi, slii calculatorului, celei de pregtire date, al zonei

imprimantelor, al birourilor administrative, al birourilor programatorilor .a. Se
recomand ca accesul n astfel de zone s fie facilitat prin sisteme de chei electronice.
7. Cldirile trebuie s fie prevzute cu sisteme de alarm n caz de incendiu sau de
ptrundere neautorizat. Sistemele de alarm trebuie s fie amplasate n zona intrrii
principale n cldire i din motivul supravegherii continue a lor. Supravegherea zonei
exterioare a cldirii i a principalelor locuri din interior se va realiza prin sistemul de
televiziune cu circuit nchis sau prin monitoare de supraveghere continu. Lor li se
adaug i corpuri speciale de paz.
8. Un rol deosebit l vor avea procedurile de verificare a sistemelor de alarm, precum i
cele de rspuns n caz de incident, numindu-se comandamente speciale n acest scop.
Foarte important este descoperirea alarmelor false de incendiu, produse numai cu
scopul crerii condiiilor de derut n sistem, astfel nct acesta s fie atacat cu
uurin de ctre intrui.
9. Se impune crearea unui sistem sigur de control al securitii transportului unor
resurse (suporturi magnetice, rapoarte, documentaie .a.). Persoana care efectueaz
transportul trebuie s aib autorizare special.
10. Un control special se impune i pentru prentmpinarea deplasrii neautorizate a unor
componente din sistem.
11. Sistemele de asigurare a serviciilor de furnizare a apei, energiei electrice, gazului i
facilitile de comunicaii trebuie s fie amplasate subteran. Canalele de acces la ele
trebuie s fie, de asemenea, ncuiate i supravegheate. Conductele de ap i sistemul
de canalizare nu trebuie s traverseze spaiile ce gzduiesc averile informatice ale
firmei, ci s le nconjoare. Dac ocolirea nu este posibil, se impune montarea unor
ventile suplimentare.
12. Copiile de siguran trebuie s fie pstrate n cldiri speciale, la cel puin 100 de metri
de cea a centrului de prelucrare a datelor.
13. O atenie deosebit se va acorda i tablourilor de control cldur, aer condiionat, linii
telefonice i transformatoarelor de curent electric.
14. Hrtia va fi depozitat departe de sala calculatorului, iar resturile de hrtie trebuie s
aib tratamentul descris anterior.
15. n sala calculatorului sunt interzise fumatul i consumul de lichide i mncare. Pentru
pstrarea igrilor, chibriturilor, brichetelor vor fi create locuri speciale, n afara slii
calculatorului.
16. Sistemele de control al prafului sunt deosebit de importante, ndeosebi n sala
calculatorului, recomandndu-se pardoseala electrostatic din policlorur de vinil i
evitndu-se lemnul din configuraia slii, precum i covoarele i perdelele.
Echipamentele, care prin funcionare produc i impuriti, trebuie s fie amplasate ct
mai departe de echipamentele foarte sensibile.
Cum credei c se modific cerinele de securitate de mai sus n cazul data center-urilor moderne?
Propunei un set de cinci recomandri valabile pentru asigurarea securitii proiectrii centrelor de date.
88
6.3 Protecia i securitatea mediului de lucru al calculatoarelor

Serviciile i utilitile dintr-un centru de prelucrare automat a datelor joac un rol foarte
important n configuraia sistemelor, constituind de multe ori punctele nevralgice ale acestora.
Proasta funcionare a lor paralizeaz i cele mai performante echipamente de prelucrare
automat a datelor i din aceast cauz se recomand luarea unor msuri suplimentare, dintre
care amintim:
1. Lumina. Comutatoarele i tablourile electrice trebuie s fie numai sub controlul
personalului sistemului, iar generatoarele proprii de energie trebuie s intervin n
cazul cderii sistemului normal de furnizare a ei. Printre msurile i mai riguroase
figureaz apelarea la acumulatoare sau baterii, folosite numai pentru iluminat, cnd
toate sursele de curent alternativ nu mai pot fi utilizate.
2. Cldura. Limitele de temperatur trebuie s fie respectate cu strictee, conform
recomandrilor productorilor, de regul ntre 19-24 grade Celsius.
3. Sistemul de aer condiionat. Chiar i sistemele foarte moderne funcioneaz optim
numai n anumite condiii de temperatur i umiditate. Se recomand un sistem
propriu de aer condiionat pentru ntreaga zon de prelucrare automat a datelor.
4. Furnizarea energiei electrice. De regul, sistemul energetic este destul de sigur, dar
se impune utilizarea unor generatoare suplimentare de energie, a UPS-urilor, a
filtrelor de tensiune .a.
Una dintre recomandrile anterioare se referea la evitarea construirii cldirilor din
materiale uor inflamabile. n plus, mai pot fi adugate urmtoarele sfaturi:
evitarea depozitrii hrtiei n sala calculatorului;
pstrarea loturilor mari de hrtie n locuri ndeprtate de sala calculatorului, iar pentru
prelucrrile zilnice ele s fie ct mai mici;
asigurarea unei curenii exemplare n sala calculatorului.
Paza mpotriva incendiilor trebuie s fie n responsabilitatea unor persoane special
desemnate, dar, la fel de bine, se va conta pe sprijinul autorizat al comandamentului
pompierilor din localitate. Numai cu acceptul acestora vor fi iniiate toate msurile de paz
mpotriva incendiilor, cum sunt:
1. Utilizarea uilor i pereilor rezisteni la incendiu. Ele trebuie s reziste sub foc cel
puin o or. Uile trebuie s fie suficiente ca numr pentru a asigura prsirea ct mai
rapid a cldirii, dispunnd de semnale optice luminoase, indicatoare de sens, care s
funcioneze pe baz de baterii. Sistemul de aer condiionat, dac devine un real
pericol prin funcionarea sa, trebuie s se blocheze automat, dar s se i deblocheze
atunci cnd este necesar eliminarea fumului.
2. Se va ntocmi un plan de intervenie n caz de incendiu, n care se vor cuprinde
condiiile de evacuare, de stingere a incendiului i de protejare a valorilor deosebite
din sistem. Personalul va fi instruit n acest sens.
3. Asigurarea cu echipamente i materiale speciale pentru intervenie n caz de incendiu,
un rol aparte avndu-l stingtoarele de incendii electrice i ne-electrice. Personalul
SECURITATEA LA NIVELUL CENTRELOR DE PRELUCRARE A DATELOR
89
trebuie s le cunoasc. De regul, pentru incendiile la instalaiile electrice se

recomand stingtoarele bazate pe bioxid de carbon, iar gazul se stinge cu ap.
4. Instalarea n toat cldirea a detectoarelor de fum i de temperaturi foarte ridicate. Ele
au rol de semnalizare i depistare a momentului n care s se declaneze sistemul de
lupt mpotriva incendiilor (n sala calculatorului este cunoscut sistemul de stingere
bazat pe gaz halogen, cu rol de protejare a echipamentelor de prelucrare automat a
datelor). Se recomand i stingtoarele cu ap, dar numai atunci cnd incendiul ia
proporii i nu mai conteaz dac echipamentele vor fi afectate mai mult sau mai
puin.
5. Orientarea preocuprilor i spre celelalte zone importante ale centrului, nu numai
asupra slii calculatorului. Uneori sursele de incendii sunt mai numeroase n afara
slii calculatorului.
Analizai modul n care sunt respectate msurile de mai sus ntr-o organizaie cunoscut de
dumneavoastr.
90
Rezumat
n privina amplasrii i proiectrii centrelor de calcul, exist reguli care trebuie respectate pentru o
securizare adecvat a valorilor fizice i informaionale din sfera activitii organizaiei.
De asemenea, serviciile i utilitile dintr-un centru de prelucrare automat a datelor joac un rol
foarte important n configuraia sistemelor, constituind de multe ori punctele nevralgice ale acestora.
Proasta funcionare a lor paralizeaz i cele mai performante echipamente de prelucrare automat a datelor
i din aceast cauz se recomand luarea unor msuri suplimentare, n ceea ce privete iluminatul,
nclzirea, sistemul de aer condiionat, furnizarea energiei electrice etc.
1.
*** (Microsoft) - Microsoft Solutions for Security, 2003
Unitatea de studiu VII
Securitatea echipamentelor de prelucrare a datelor

(re)cunoaterea vulnerabilitilor care se nregistreaz la nivelul echipamentelor de
prelucrare automat a datelor;
cunoaterea principalelor modaliti de asigurare a echipamentelor mpotriva
inteniilor de modificare a lor, a procedurilor de control i de asigurare a integritii
echipamentelor, a regulilor care trebuie respectate la semnarea contractelor cu
furnizorii;
dobndirea capacitii de a transpune regulile menionate n unitatea de studiu n
organizaiile contemporane.
vulnerabilitatea echipamentelor de prelucrare a datelor;
asigurarea echipamentelor mpotriva inteniilor de modificare a lor;
controlul integritii echipamentelor;
procedurile de ntreinere a echipamentelor;
tolerana la cdere a echipamentelor;
contractele ncheiate cu furnizorii de echipamente.
7.1 Vulnerabilitatea echipamentelor de prelucrare a datelor

Datorit importanei lor deosebite, componentele sistemelor electronice de calcul trebuie
s beneficieze de un tratament aparte.
Se tie c o cale sigur de compromitere a securitii unui sistem electronic de calcul este
de natur fizic, modificndu-i anumite elemente din configuraie astfel nct, fa de
configurarea dat de utilizator, s se creeze ci de acces pentru cei ru intenionai sau s se
blocheze mijloacele de asigurare a securitii sistemului. n acest sens, se pot modifica
circuitele electronice, se pot aduga mici mecherii (circuite cu rol special, emitoare,
microfoane), se pot realiza derivaii ale canalelor de comunicaie, pot fi scurt-circuitate
componentele cu rol de protecie, citirea pe ascuns a memoriei n care sunt pstrate parolele
sistemului, scoaterea controlului existent pe terminale pentru depistarea ptrunderilor
neautorizate.
Echipamentele, n pofida reclamei fcute de productori, sunt predispuse la cderi, fie
datorit unor defeciuni de fabricaie, fie instalrii greite, fie datorit defectrii n timpul
transportului. Dar, cel mai grav, echipamentele pot cdea n timpul exploatrii lor,
devenind att ele, ct i datele coninute n memorie inutilizabile. Uneori i softul cu care se
lucreaz poate fi pierdut.
Sunt dese cazurile cnd echipamentele nu au certificat de origine, fie n ntregime, fie
numai pentru unele dintre miile de componente din structura lor. Incertitudinea aplaneaz
asupra a ceea ce s-a cumprat i consecinele sunt i mai grave atunci cnd distribuitorul este
un ilustru necunoscut.
ntreinerea sau depanarea sistemului sunt asigurate, de regul, de specialiti din afar.
Cu mult uurin ei pot realiza toate operaiunile menionate anterior pentru paralizarea
sistemului.
92
Aprarea mpotriva tuturor pericolelor descrise are un rol vital n buna funcionare a
sistemului. Totui, trebuie pornit de la faptul c toate componentele sistemelor, la rndul lor,
pot dispune de elemente proprii de asigurare a securitii.
7.2 Asigurarea echipamentelor mpotriva inteniilor de modificare

a lor
Toate componentele sistemelor de prelucrare automat a datelor trebuie protejate, fie
mpotriva hoilor, fie a vandalilor. Sunt unele elemente care necesit ns o grij deosebit.
De exemplu, terminalele nu sunt la fel de importante ca i calculatorul central sau serverele
sistemului.
Echipamentele pot fi protejate mpotriva modificrii lor astfel:
Birourile ce conin hardware trebuie s fie ncuiate, sigilate cu benzi de hrtie sau cu
plumb. Sigiliile vor fi verificate periodic pentru depistarea accesului neautorizat. Cele
mai moderne sigilii sunt cele holografice care conin imagini unice, imposibil de
recreat.
Echipamentele trebuie s fie, pe ct posibil, mai dispersate, ndeosebi n cazul
lucrului cu informaii speciale.
Elementele din configuraia fizic a sistemului care sunt deosebit de importante, cum
ar fi cazul plcii cu circuite, pot fi fotografiate la intervale regulate de timp pentru a
compara fotografiile mai multor perioade n vederea depistrii eventualelor
modificri.
Este posibil ca fiecare echipament periferic s aib atribuit un numr unic de identificare,
interpretabil de ctre calculator la deschiderea sesiunii de lucru i confirmat ulterior cnd se
solicit o operaiune la/de la perifericul respectiv. Fiecare imprimant, terminal sau legtur
din reea trebuie s aib definite categoriile de informaii cu care pot lucra sau funciile din
sistem ce se realizeaz prin intermediul lor. Numerele unice de identificare nlesnesc tratarea
difereniat a perifericelor sau a celorlalte componente. De exemplu, terminalele amplasate n
diverse locuri din unitate, pentru a veni n sprijinul oricrui utilizator comun al firmei, nu
trebuie s aib i dreptul de accesare a sistemului de operare al calculatorului central sau s
restaureze date n scopul manipulrii lor. De asemenea, imprimantele din diverse birouri nu
pot folosi datele secrete care au un regim sever la tiprire.
O msur suplimentar de control va consta n stabilirea momentelor din zi cnd un
echipament periferic sau un utilizator a accesat sistemul. Oricum nu este recomandat s se
permit angajailor firmei s lucreze peste program, iar cnd aceasta se impune va fi sub un
control riguros.
7.3 Controlul integritii echipamentelor

Calculatoarele pot s-i verifice singure starea n care se afl celelalte componente, prin
autodiagnoz, astfel nct s poat descoperi ce nu funcioneaz cum trebuie. Printre
activitile realizate de calculatoare vor fi verificarea modului de lucru, inclusiv urmrirea
funciilor de realizare a securitii sistemului, precum i facilitile de control al accesului.
Autodiagnoza este util pentru:
confirmarea cu precizie a identitii echipamentelor, suporturilor i utilizatorilor elementele de baz ale sistemului;
verificarea dac utilizatorii folosesc doar echipamentele, softul i datele la care ei au
acces de drept i prentmpinarea accesului neautorizat;
SECURITATEA ECHIPAMENTELOR DE PRELUCRARE A DATELOR
93
asigurarea c orice tentativ de acces sau utilizare neautorizat a echipamentelor,

softului sau datelor este blocat i c supraveghetorii sistemului vor fi anunai
imediat.
Simpla realizare a funciilor de mai sus nu nseamn neaprat i perfeciunea sistemului
de securitate, dar constituie suficiente msuri de aprare a sistemului mpotriva atacurilor ru
intenionate.
Exist i productori de calculatoare care asigur faciliti de diagnoz de la distan a
strii sistemului, ceea ce n mod normal se realizeaz de ctre echipele de service, pentru a se
asigura c totul funcioneaz corect i c nu se contureaz posibilitatea apariiei unor
defeciuni. O astfel de metod este benefic pentru unitate, ntruct duce la reducerea
costurilor i se realizeaz mult mai rapid dect n varianta apelrii la inginerii de ntreinere.
Totui, diagnoza de la distan este destul de periculoas pentru securitatea sistemului,
intruilor oferindu-li-se o ans n plus s acceseze orice element din configuraie, acetia
avnd la dispoziie o linie specializat. Aadar, aparentul cost redus poate s nsemne pierderi
mult mai mari.
7.4 Proceduri de ntreinere a echipamentelor

Activitile de ntreinere i reparare a oricrui echipament pot genera o mulime de
semne de ntrebare privind sigurana, securitatea i disponibilitatea datelor din sistem. Din
aceast cauz este foarte important s se controleze accesul la echipamente i software i s se
supravegheze ndeaproape specialitii care asigur ntreinerea sau repararea sistemului.
O prim msur va consta n deschiderea unui registru de ntreinere, n care s se
nregistreze toate detaliile privind o astfel de activitate. Ele se vor referi la data i timpul
efecturii lor, numele tehnicienilor, motivul vizitei lor, aciunile i reparaiile ce au avut loc,
inclusiv componentele hard care au fost adugate, reparate, nlocuite sau rennoite. Fiecare
nregistrare din registru va fi contrasemnat de responsabilul cu securitatea sistemului.
Registrul trebuie s fie consultat periodic pentru descoperirea eventualelor nereguli.
Ca i n cazul diagnozei de la distan, n timpul ntreinerii sau reparrii sistemului
trebuie s fie scoase datele i softul de pe benzi sau pe discuri de orice tip, iar cele din
memoria principal, de asemenea, salvate, reiniializndu-se sistemul numai n acest scop.
Specialitilor ce efectueaz ntreinerea nu trebuie s li se nlesneasc accesul la datele
speciale ale unitii, n mod deosebit la parolele acesteia.
Dac sistemul este defect i msurile de precauie enumerate nu mai pot fi luate, se
recomand ca specialitii unitii s fie alturi de cei ce asigur ntreinerea pentru a ti cu
exactitate ce anume efectueaz. n acest scop, ei chiar pot fi ntrebai de ce efectueaz
operaiunile respective.
Activitile de ntreinere trebuie s aib un plan, n total concordan cu planul de
funcionare al ntregului sistem. De regul, productorii specific termenele la care s se
realizeze ntreinerea fiecrei componente. Numai responsabilul sistemului poate accepta
efectuarea unor operaiuni nainte de termen, precum i repararea, nlocuirea sau nnoirea
unor elemente din sistem.
Se recomand inerea evidenei materialelor de rezerv, chiar a imprimantelor,
terminalelor sau monitoarelor, iar consumabilele s fie comandate la timp pentru a nu se
produce disfuncionaliti n sistem.
Testarea securitii sistemului trebuie s se realizeze nainte ca acesta s nceap
prelucrarea datelor reale ale unitii.
94
Numele specialitilor n ntreinere, precum i al furnizorilor de utiliti, trebuie s fie

afiate la vedere pentru o contactare a lor n orice moment, de ctre persoanele autorizate s
fac acest lucru.
Dac inginerii de ntreinere solicit scoaterea din unitate a unor componente sau a
documentaiei firmei, n primul rnd, trebuie s ne asigurm c ele nu conin date importante
ale firmei. Este mult mai recomandat ca datele aflate pe unele suporturi s fie distruse, dect
s se mizeze pe discreia specialitilor. Cost mai mult, dar e mai sigur.
Crpirea softului este o alt problem important. Sunt cazuri cnd trecerea peste un
punct din program va duce la funcionarea lui corect n continuare, dar nimeni nu tie exact
cum funcioneaz. i nc ceva: depinde i de cine face crpeala programului i cu ce scop.
i astfel de operaiuni se scriu n registrul de ntreinere.
7.5 Tolerana la cdere a echipamentelor

Cel mai cunoscut este sistemul din aviaie care, n cazul cnd o component se
defecteaz, dispune de alta care s-i preia funcia. Unele piese, cum sunt cele de control al
zborului sau a componentelor hidraulice, au cteva piese nlocuitoare, astfel nct o catastrof
major ar putea s apar numai dup ce toate aceste piese de siguran s-au defectat.
Tolerana la cdere a avioanelor este asigurat astfel nct s nu aib loc prbuirea lor.
n cazul calculatoarelor aceasta este o calitate foarte important, absolut vital pentru
existena sistemelor performante. Tolerana la cdere sau la defecte trebuie s contribuie la
prevenirea pierderilor sau denaturrii datelor i, pentru aceasta, orice apsare de tast trebuie
s fie nregistrat undeva, astfel nct s poat fi restaurat prin anumite proceduri. Tolerana
la cdere trebuie s fac n aa fel nct s permit funcionarea sigur, controlat i
supravegheat, n timpul reparrii, asigurndu-se astfel funcionarea continu a calculatorului
care a nregistrat o defeciune, chiar i una major, n timp ce se lucreaz pentru ndeprtarea
ei. n practic, aa-ceva este destul de greu de realizat, dar, dac numrul componentelor cu
rol vital n existena sistemului s-ar reduce i ar avea mai muli nlocuitori, operaiunea este,
totui, posibil.
n sensul celor spuse pn acum, sunt tipuri de calculatoare care funcioneaz cu dou
uniti centrale de prelucrare, n tandem, ambele prelucrnd n acelai timp aceleai date i
programe. Pe aceast cale, la eventuala cdere a uneia dintre ele, cealalt va funciona singur
pn cnd a doua va fi repus n funciune. Echipamentele sunt amplasate n sli apropiate i
folosesc aceleai condiii de lucru, cum ar fi: aer condiionat, linii de comunicaie, tipuri de
uniti de band i de discuri, surse de energie electric i alte utiliti. Ct timp majoritatea
sistemelor cad din cauza unei plci de memorie sau de circuite logice sau din cauza unor mici
incidente nregistrate la softul de sistem sau de aplicaii, funcionarea n tandem evit cderea
sistemului n ntregime.
Alte componente ale sistemelor electronice de calcul sunt astfel construite nct s-i
exercite unele funcii n form dubl. Un exemplu l ofer metoda nregistrrii n oglind pe
disc, prin care dou discuri sunt scrise n acelai timp pentru prevenirea pierderilor de date,
dac s-ar defecta capetele de citire-scriere ale unuia.
Echipamentele folosite n condiii dificile, cum sunt cele mobile din domeniul militar,
sunt amplasate n containere speciale, deosebit de rezistente la ocuri, ap i praf. Sistemul de
cablare va fi protejat prin evi metalice, iar cderile de energie vor fi suplinite de un sistem
energetic propriu.
Toate msurile luate pentru eventualele cderi trebuie s fie n deplin concordan i cu
importana ntregului sistem de prelucrare automat a datelor.
SECURITATEA ECHIPAMENTELOR DE PRELUCRARE A DATELOR
95
7.6 Contractele ncheiate cu furnizorii de echipamente

Unul dintre cele mai neplcute momente referitoare la configuraia sistemului l
reprezint lungile discuii purtate cu cei ce le-au livrat, atunci cnd sistemul se defecteaz sau
nu funcioneaz la parametrii ateptai. Sunt cunoscute suficiente mici necazuri din lumea
calculatoarelor, numai c productorii de sisteme n-au nici un interes s le popularizeze, fie
din dorina de a nu-i pta reputaia, fie miznd pe faptul c ele nu vor fi uor sesizate.
Aproape c a devenit o regul supraestimarea caracteristicilor calculatoarelor. Vnztorii
sunt, de cele mai multe ori, nesinceri sau prea ncreztori n produsele ce le comercializeaz,
imboldul venind de la productori, care i prezint produsele ca fiind cele mai bune, n raport
cu ale concurenilor de pe pia.
De vin sunt i beneficiarii care, deseori, subestimeaz sau nu cunosc ceea ce vor. De
cele mai multe ori, vor sistemele cele mai ieftine, dar i schimb prerea cnd le pun n
funciune, ajungnd la concluzia c era mai bine dac acesta ar dispune i de nite funcii ale
cror beneficii le simte nevoia.
Totul s-ar termina cu bine dac, din fazele incipiente ale procurrii sistemului, s-ar
concepe contracte care s scuteasc toate prile de discuii interminabile.
Din prima faz, clientul trebuie s ofere distribuitorului de sisteme urmtoarele elemente:
1. O foarte clar definire a sistemului dorit:
a) descrierea funciilor solicitate acestuia i componentele cu rol prioritar din structura
sa. Dac este nevoie de un procesor de texte, atunci trebuie cerut aa-ceva, dac se
cere un soft de birotic, trebuie menionat ca atare; oricum, nu trebuie s ne ateptm
ca un soft de un tip anume s ne onoreze toate preteniile de prelucrare automat a
datelor;
b) descrierea inteniilor de extindere a sistemului n viitor, ndeosebi dac se vrea
crearea unei reele de calculatoare;
c) detalii privind gradul de ncrcare a sistemului n perspectiv, specificndu-se
numrul utilizatorilor, tipul activitilor de executat, cerinele reelei, importana ce o
va avea sistemul i, de aici, cerinele pe linie de ntreinere i reparare a lui.
2. Stabilirea nivelului de securitate dorit n sistem, astfel nct furnizorul s tie ce s
ofere.
3. Pstrarea tuturor documentelor referitoare la negocierile cu furnizorul de
componente. Se poate merge pn acolo nct s se specifice minutele de ntlniri,
comentariile i observaiile de pe parcurs, conversaiile telefonice, cu data
corespunztoare, ct timp au durat i cu cine s-au purtat, ce literatur s-a consultat, ce
prezentri au fost fcute de ctre furnizor .a.
4. Cuantificarea, dac este posibil, a efectelor defectrii totale a sistemului sau a
nefuncionrii lui la parametrii promii. Furnizorii trebuie s ia cunotin de aceste
efecte.
5. Se vor consemna toate elementele descrise anterior ntr-o comand proforma sau ntro cerere de ofert, astfel nct furnizorul s tie din timp ce trebuie s ofere sistemul
i s fac promisiunea onorrii tuturor cerinelor.
6. De asigurat c serviciile garantate prin contract pot fi onorate ntr-un timp bine
determinat, stabilind cu exactitate ce misiuni revin specialitilor, definind obligaiile
contractuale, responsabilitile i termenele de plat. De toate aceste aspecte trebuie
s se ocupe o persoan ce va fi numit n acest sens.
96
Analizai, pornind de la componentele unitii de studiu VII, modul n care se asigur securitatea
echipamentelor ntr-o organizaie cunoscut de dumneavoastr.
Rezumat
Datorit importanei lor deosebite, componentele sistemelor electronice de calcul trebuie s

beneficieze de un tratament aparte, cu att mai mult cu ct i vulnerabilitatea lor la atacuri i defeciuni este
ridicat.
Echipamentele trebuie s fie protejate mpotriva inteniilor de modificare a lor, prin ncuierea i
eventual sigilarea spaiilor n care sunt amplasate, prin fotografierea elementelor importante din
configuraia fizic, prin nregistrarea momentelor din zi cnd un echipament periferic sau un utilizator a
accesat sistemul i a operaiunilor efectuate de ctre acesta.
Cu maxim responsabilitate trebuie tratate i msurile de ntreinere a echipamentelor (deschiderea
unui registru de ntreinere, inerea evidenei materialelor de rezerv, comandarea din timp a
consumabilelor, afiarea la vedere a numelor specialitilor n ntreinere, precum i al furnizorilor de
utiliti), cai tolerana la cdere a echipamentelor.
La finalul unitii de studiu sunt enumerate reguli de semnare a contractelor cu furnizorii de
echipamente, prin care s se prentmpine eventuale probleme ulterioare.
Unitatea de studiu VIII
Securitatea software-ului

cunoaterea principalelor msuri de asigurare a securitii software;
dobndirea capacitii de a transpune regulile menionate n unitatea de studiu n
organizaiile contemporane.
obiectivele securitii prin software;
limitele softului pentru asigurarea securitii;
msuri generale de asigurare a securitii softului.
8.1 Obiectivele securitii prin software

Softul unui calculator cuprinde instruciunile sub care funcioneaz ntregul sistem.
Aceste instruciuni, sub form de programe, i vor spune calculatorului ce trebuie i ce nu
trebuie s fac cu datele, cum s le pstreze, ce regim au ieirile din prelucrrile intermediare
sau finale. ntreaga activitate a calculatorului se va realiza prin intermediul programelor.
Calculatorul nu poate gndi nicidecum. Din aceast cauz n soft vor fi incluse i unele
msuri pe linia realizrii securitii.
Exist trei funcii principale pe care softul trebuie s le asigure. Ele se refer mai de
grab la confidenialitatea datelor, dect la integritatea sau disponibilitatea lor.
1. Accesul. Softul trebuie s discearn ntre utilizatorii autorizai i intrui, iar n ultimul
caz s le blocheze accesul.
2. Delimitarea. Softul trebuie s delimiteze diversele activiti ale utilizatorilor i s i
trateze dup nivelul lor de autorizare la categoriile speciale de date ce urmeaz a fi
prelucrate. Ca atare, i baza de date va fi compartimentat dup reguli foarte
riguroase pe linia securitii sistemului.
3. Auditarea. Poate mai clar ar fi proba auditrii, ntruct a treia funcie se refer la
capacitatea sistemului de a reine ce persoane, ct timp, cu ce date au lucrat i ce au
urmrit.
Un soft de sistem eficient trebuie s blocheze relele intenii, s previn accesul
neautorizat i s nregistreze tot ce efectueaz pentru a avea ulterior for probant.
8.2 Limitele softului pentru asigurarea securitii

O lung perioad de timp, de problemele securitii sistemelor electronice de calcul s-au
ocupat doar persoanele implicate n prelucrarea automat a datelor, ns de mai mult timp se
simea nevoia transferrii lor n zona softului sistemelor, mutaie ce a avut loc, dar creia
imediat a i nceput s i se aduc obieciuni de genul:
softul este foarte scump. Chiar i programele destul de simple ocup mii de liniiprogram, toate realizate de ctre om, dar cele de asigurare a securitii sunt deosebit de
complexe i, firesc, de scumpe;
de regul, programele conin i erori;
98
testele de verificare a lor nu sunt perfecte;

softul pentru securitate diminueaz capacitile i viteza de lucru a ntregului sistem;
productorii de hard i soft nu dispun de standarde pe linia securitii sistemelor;
utilizatorii nu au cunotine suficient de detaliate despre hard i soft nct s poat
sesiza cele mai inteligente subtiliti cu intenie de fraud incluse n softul cumprat;
eventualele disfuncionaliti ale softului pentru securitatea sistemului ofer
posibilitatea specialitilor n ntreinerea sistemului s intre n intimitatea lui, deci i
s-l poat influena;
poate lucra perfect doar la suprafa, el coninnd aspecte eseniale compromitoare
invizibile;
softul poate s conin pericole deosebit de mari care nu pot fi sesizate i nici nu sunt
periculoase o lung perioad de timp de la instalarea lui (bombele logice, caii troieni
.a.);
loviturile prin soft sunt insesizabile prin mijloacele obinuite de percepie ale
omului;
n final, datorit curentului sistemelor deschise, a conectrii ntr-o mare varietate de
reele i a gestionrii unor baze de date masive de ctre mii de persoane, msurile de
realizare a securitii prin software pentru aceste sisteme gigant sunt extrem de greu
de realizat.
n aceste condiii, cnd cheltuielile sunt foarte mari, cnd cu mare greutate se asigur o
oarecare doz de ncredere n soft, apar ca fiind mai ieftine i mai eficiente alte msuri de
realizare a securitii sistemelor de prelucrare automat a datelor. Chiar dac softul joac un
rol destul de important, nicidecum nu trebuie neglijate i alte modaliti. Pn i furnizorii
spun c virtuile softului sunt relativ dependente de calitile beneficiarului, dar c msuri
sigure sunt cele de ncuiere a uilor, de urmrire a personalului .a.
Ct timp nici cele mai importante sisteme de prelucrare automat a datelor, cum sunt cele
din domeniul militar sau bancar, nu au protecie de 100%, apare ca o necesitate stringent
apelarea i la alte metode. i nc un detaliu: ct timp hoii au demonstrat c sunt mai
puternici dect productorii softului de securitate, cum s existe o ncredere mai mare n
ultimii, deci i n produsele lor !?!
8.3 Msuri generale de asigurare a securitii softului

Practica menioneaz o ntreag serie de msuri de protejare a sistemului de operare i a
altor programe de la distrugeri sau aciuni subversive, dup cum urmeaz:
toate activitile de programare (modificare, scriere, utilizare etc.) trebuie s fie
executate sub cele mai riguroase norme de disciplin, consemnate n scris la nivel de
unitate i prin contractul de angajare. Controlul activitii de programare este foarte
important pentru viitorul unitii;
programele deosebit de importante i documentaia aferent trebuie s fie supuse
acelorai reguli de protecie fizic aa cum au i calculatoarele pe care se ruleaz;
copiile de siguran ale programelor i datele corespunztoare, bineneles c nu
trebuie uitat i documentaia, trebuie s fie pstrate n aceleai condiii ca i
originalele;
etapele realizrii programelor trebuie s fie derulate sub un riguros control, verificate
i testate n toate stadiile de realizare, pentru asigurarea ncrederii n rezultatul final;
SECURITATEA SOFTWARE
99
ntregul proces de elaborare a programelor trebuie s fie nsoit de documentaia

aferent;
realizarea programelor se va efectua pe calculatoare care nu execut i alte activiti
n acelai timp;
programele trebuie s fie nsoite de numele realizatorilor lor sau ale celor ce le-au
adus unele modificri;
benzile i discurile ce conin sistemul de operare trebuie s fie identificabile dintr-o
privire din multitudinea de suporturi de date, iar accesul la ele trebuie s fie foarte
limitat, conform principiului trebuie s tie;
o copie de baz a sistemului de operare trebuie s fie pstrat n condiii sigure de
ctre responsabilul sistemului i cel cu securitatea, sistemul de operare n uz fiind o
copie a acesteia, cu care, din cnd n cnd, se confrunt pentru a se depista
eventualele modificri neautorizate;
se impune utilizarea a ct mai multor teste i rutine de securitate pentru a verifica
integritatea sistemului de operare n folosin;
nu trebuie s se permit crearea copiilor softului sistemului de operare de ctre
personalul care utilizeaz sistemul, ndeosebi cel ce lucreaz la distan. n acest
scop, chiar sistemul de operare trebuie s conin msuri de autoprotecie la inteniile
de copiere;
orice fisur a sistemului de operare trebuie s fie adus la cunotin proiectanilor
sistemului, productorilor de echipamente, utilizatorilor, iar gradul de expunere la
riscuri trebuie s fie adus la cunotin conducerii firmei;
normele interne trebuie s prevad ca mai mult de o persoan s se ocupe de
implementarea i testarea sistemului de operare, pentru reducerea riscului realizrii
unor activiti subversive la nivel de persoan;
iniializarea sistemului de operare i oprirea lui, de asemenea, presupun proceduri
foarte riguroase de respectat. La fel se va proceda i la rencrcarea sistemului dup o
defeciune;
registrul sistemului trebuie s consemneze absolut toate operaiunile la care acesta
este supus n timpul funcionrii (defeciuni, erori, cderi, reluri, pauze, timp lung de
rspuns, semnale sonore neobinuite .a.);
nu trebuie lsat sistemul s funcioneze cu aa-zisele defecte acceptabile.
Primele bariere ridicate prin softul calculatorului sunt cele concepute pentru identificarea
persoanelor care solicit permisiunea de utilizare a sistemului. Numai persoanelor autorizate
trebuie s li se faciliteze accesul n sistem i numai la anumite categorii de date. n acest
context, un utilizator poate fi o persoan sau un grup de lucru la un proiect comun sau cu
drepturi de exercitare a acelorai funcii, rutine sau programe pe calculator.
Analizai modul n care sunt respectate msurile de mai sus ntr-o organizaie cunoscut de
dumneavoastr.
100
Rezumat
Produsele software din cadrul unei organizaii trebuie s asigure trei funcii principale accesul,
delimitarea i auditarea adic trebuie s blocheze relele intenii, s previn accesul neautorizat i s
nregistreze tot ce efectueaz pentru a avea ulterior for probant.
Securitatea prin software nu este garantat 100%, ca urmare a limitelor inerente produselor de acest
tip soft-ul este scump, uneori conine erori, testele de verificare nu sunt perfecte, softul de securitate
ncetinete funcionarea de ansamblu a sistemului, n domeniu lipsete standardizarea etc.
Din aceste motive, este necesar impunerea unor msuri de securitate, menionate pe larg n
componenta 7.3 a unitii de studiu.
1.
2.
*** (Microsoft) - Microsoft Solutions for Security, 2003

Banks, M. - PC Confidential, Ed. BIC All, Bucureti, 2001
Unitatea de studiu IX
Securitatea personalului

contientizarea faptului c printre cei mai periculoi atacatori ai sistemelor se
numr angajaii organizaiei;
cunoaterea regulilor principale care pot fi aplicate pentru a diminua riscurile
asociate personalului.
ameninri de securitate asociate personalului;
principii manageriale de securitate a personalului;
msuri pe linia securitii din punct de vedere al personalului.
9.1 Ameninri de securitate asociate personalului

La nivelul personalului, se pot nregistra urmtoarele categorii de incidente productoare
de prejudicii n interiorul unei organizaii:
1. Violena. De cele mai multe ori se concretizeaz prin amplasarea bombelor sau
provocarea de incendii n centrele de prelucrare automat a datelor
2. Furtul de obiecte. Aici intr sustragerea unor obiecte cum sunt suporturile magnetice,
terminalele, calculatoarele personale, ndeosebi laptopurile, semiconductorii i nu
banii.
3. Delapidarea. Angajaii terpelesc bani din sistemul informatic.
4. Abuzul. Angajaii, apelnd la statutul de utilizatori ai sistemului, folosesc resursele
acestuia pentru plceri personale sau pentru a obine un profit.
5. Modificarea. Schimbarea nregistrrilor memorate.
6. Spionajul. Aici se ncadreaz spionajul industrial sau strin pentru a afla secretele de
fabricaie, programele sau manualele de utilizare.
7. Respingerea const n indisponibilizarea resurselor sistemului de ctre angajai, prin
sabotaj.
8. Folosirea frauduloas a calculatoarelor pentru comiterea de crime, pstrarea unor
evidene a materialelor interzise sau pornografice.
9. Violarea copyright-ului prin difuzarea ilegal a copiilor programelor.
10. Infraciuni economice sau legislative, cum sunt violarea legilor antitrust, corupie,
mituire de ctre companiile productoare de hard, soft, servicii.
Extindei lista de mai sus cu alte pericole care pot fi asociate angajailor.
102
9.2 Principii manageriale de securitate a personalului

n mediile de lucru cu calculatoare, exist principii fundamentale care guverneaz
problematica msurilor de securitate pe linie de personal, cum sunt:
1. Principiul trebuie s tie face ca posesia sau cunoaterea informaiilor, indiferent
de categoria din care fac parte, s fie limitat strict i s fie nlesnit doar celor care
au att autorizarea, ct i nevoia evident de a le ti, astfel nct s-i poat exercita
corect sarcinile de serviciu. Statutul deosebit al unei persoane n firm nu-i confer i
dreptul nelimitat de cunoatere a informaiilor speciale. De asemenea, ntr-un astfel
de caz nu va fi pus problema respectrii vrstei.
2. Principiul trebuie s mearg limiteaz accesul personalului n zone diferite de
lucru din unitate, n special n centrele de prelucrare automat a datelor, lsnd acces
liber doar celor care trebuie s mearg n aceste locuri pentru a-i exercita sarcinile de
serviciu. Controlul trebuie s fie la fel de riguros i n zonele unde sunt pstrate
datele, chiar dac unii invoc faptul c fac parte din categoria utilizatorilor acestora.
3. Principiul celor dou persoane vine s prentmpine posibilitatea ca o singur
persoan s comit acte ilegale n sistem, ndeosebi prin operaiuni importante. Chiar
dac o persoan rspunde de exercitarea unor atribuii de serviciu, ea va efectua
activiti speciale numai n prezena unei persoane autorizate. Aceasta nu nseamn
un membru al echipei de paz, ci o persoan cu cel puin aceleai cunotine
profesionale cu ale executantului de drept. Activitile speciale, neexecutabile de o
singur persoan vor fi prezentate ulterior. Pentru prentmpinarea nelegerilor
dintre cele dou persoane, se recomand schimbarea lor ct mai des posibil.
4. Principiul schimbrii obligaiilor de serviciu consemneaz c o persoan nu trebuie
s exercite o perioad prea lung de timp aceleai sarcini de serviciu.
Artai cum se aplic ntr-o organizaie unul dintre principiile manageriale pe linia securitii personalului.
9.3 Msuri pe linia securitii din punct de vedere al personalului

n vederea asigurrii unor msuri deosebite pe linia securitii din punct de vedere al
personalului, se impune parcurgerea unor stadii:
Stadiul 1: Identificarea locurilor de munc cu regim special i a calitilor persoanelor
ndreptite a le ocupa
Stadiul 2: Selecia personalului
Operaiunea se va realiza nainte de angajare, n timpul procesului de recrutare de
personal nou, dar i retroactiv.
Dac actele la angajare sunt completate corect, unitatea poate s-i gseasc suficiente
elemente pentru filtrarea personalului. Documentele de angajare vor conine date medicale i
SECURITATEA PERSONALULUI
103
informaii generale despre persoan. Date suplimentare pot fi oferite de referinele obinute de
la precedentul loc de munc i apoi de la o persoan care s reprezinte o instituie credibil
(coal, justiie, poliie, armat). Dac se consider necesar pot fi efectuate i investigri prin
firme private.
Totui, multe elemente edificatoare se pot obine prin intervievarea solicitanilor de
locuri de munc. Aspectele urmrite pot fi structurate astfel:
1. Descrierea locului de munc anterior, funcia deinut, evoluia profesional. Se vor
urmri, ndeosebi, eventualele ntreruperi de activitate, altele dect concediile sau
diverse motive obiective. Spitalizrile i arestrile vor fi urmrite cu mare atenie
pentru aflarea cauzei acestora.
2. Verificarea referinelor i a diplomelor depuse la dosar. Sunt foarte dese cazurile de
declaraii false despre o vechime avut la uniti inexistente sau diplome de la aazisele coli ale vieii. Nimic nu va fi crezut fr probe suplimentare.
Se va continua cu determinarea:
a) competenei. Diplomele ataate, cu note foarte mari pe ele, nu au acoperire n
calitile profesionale ale persoanei constatare efectuat prin probe de lucru
asemntoare ultimului loc de munc, precum i rezolvarea unor stri
imprevizibile.
b) punctualitatea i absenteismul vor scoate n relief ct ncredere i se poate acorda
individului.
c) abaterile disciplinare vor ncerca s evidenieze posibilitatea ncadrrii persoanei
n legalitate, n normele de conduit social (dac a fost amendat, dac a avut
procese civile sau penale).
d) situaia medical va scoate la lumin strile de instabilitate mental, bolile cronice
care pot s aib o motivaie social sau financiar pentru solicitanii posturilor.
Calea prin care se pot obine aceste informaii const n oferirea unei polie de
asigurare de via, pltit de firm, care necesit o examinare medical.
e) care este cauza prsirii vechiului loc de munc?
f) fostul loc de munc l-ar primi din nou pe solicitant sau i-ar cere referine
suplimentare?
g) exist obligaii ale solicitantului fa de fosta unitate?
h) persoana a mai fost angajat la companii private i, dac da, cnd i de ce le-a
prsit?
i) care au fost relaiile cu fotii colegi de munc - a fost posibil integrarea n
echip? Era agreat i respectat? Avea conflicte cu reprezentanii unor grupuri de
persoane? Dac este programator, exist cazuri cnd din cauza unui program de-al
su s se fi blocat activitatea ntregului centru de prelucrare?
3. Originea individului, modul su de existen, persoanele cunoscute, legturile sale de
familie au ceva n comun cu concurenii firmei la care cere angajarea? Pentru strini
se pot solicita i actele doveditoare ale naionalitii.
4. Exist unele indicii ale consumului abuziv de alcool sau droguri?
5. Solicitantul este membru n asociaii profesionale sau economice? Are puncte de
vedere politice foarte puternic susinute, care? A exercitat anterior unele activiti
publice sau funcionreti (consultant, reprezentant sindical .a.) care s-i fi ntrerupt
preocuprile profesionale sau s-l determine s fie uor influenabil n rezolvarea
unor posibile conflicte viitoare?
6. Care i este viaa de familie? Ce activiti sociale i sportive i plac? Dau ele semne
de sntate excesiv sau chiar inexplicabil, indic o extravagan ieit din comun?
104
7. Comportamentul la volan, n ipostaza de conductor auto, poate s scoat n relief

stri emotive sau de maturitate, controlabilitate, judecat rapid .a.
8. Dac este posibil, se va studia situaia financiar a solicitantului (dac are
mprumuturi pe perioade lungi sau scurte, dac are cartele de credit sau de debit, dac
face parte din cercuri financiare). Sunt servicii speciale care pot oferi astfel de
informaii.
9. Dac a lucrat n poliie sau armat, trebuie urmrit (cu probe) cauza ntreruperii
acestor activiti.
Literatura recomand apelarea la companii private care s exercite astfel de activiti
pentru aflarea informaiilor reale despre solicitanii locurilor de munc. De asemenea, ntr-o
oarecare msur, se poate folosi i detectorul de minciuni, dei nu trebuie s se pun prea
mare baz pe ceea ce indic acesta.
Se poate apela la formularea unor teste de personalitate sau psihometrice, din care s
rezulte calitile de care d dovad individul. Testul este foarte bun dac la sfrit se va
comunica i participanilor rezultatul, pentru a-i afla punctele tari sau slabe.
n final, cteva cuvinte despre referinele aduse de angajai i scrisorile de recomandare:
1. Referinele se afl sub controlul candidatului la concurs, el rugnd pe cineva s le
formuleze, deci sunt uor prtinitoare.
2. Obiectivele urmrite de actuala firm, interesat s angajeze, nu se pot regsi printre
elementele referinelor. Totui, o referin bun trebuie s scoat n relief calitile de
care poate da dovad persoana, iar cel mai des se ntmpl cnd se ncearc a se scpa
de salariaii slabi; o referin categoric proast este cea care scoate n relief calitile
deosebite ale persoanelor, dar care nu au posibilitatea s fie demonstrate n mediul de
lucru existent.
3. Referinele sunt scrise n limbaje diferite, n funcie de stilul persoanei, deseori
fiind necesar interpretarea cu atenie a diverselor construcii, de genul a ncercat din
greu (eec), a obinut rezultate mulumitoare (rezerv), a demonstrat o inteligen
medie (mai muli coli dect idei), n general s-a achitat de sarcinile (n loc de
critic sau despre cei plecai numai de bine). La astfel de exprimri angajrile
aproape c nu au motivaie.
Stadiul 3: Atribuirea responsabilitilor pe linia securitii
Dup cum informaiile unui sistem fac parte din categorii diferite, la fel i persoanele
care lucreaz cu ele trebuie s fie grupate ca atare. n vederea adjudecrii posturilor-cheie pe
linie de securitate a datelor, trebuie s se tie c exist trei categorii de angajai:
1. Neverificabilii sunt acei angajai cu un statut nu prea clar, ei neputnd fi verificai n
detaliu prin prisma onestitii, ncrederii, integritii, loialitii fa de unitate motiv
pentru care lor nu li se poate acorda accesul la informaiile speciale ale firmei.
2. Fr dubii. ntr-o astfel de categorie intr persoanele care au trecut cu brio toate
verificrile efectuate asupra lor (n limitele controalelor exercitate) i li se pot oferi
anumite sarcini pe linia accesului la o parte a informaiilor speciale.
3. Extrem de credibili. Dup verificri complexe asupra trecutului unei persoane, ale
familiei sale, vieii personale, moralitii i rezultatelor nregistrate la vechile locuri
de munc, dac totul este perfect, aceasta poate fi considerat de ncredere i i se
poate facilita accesul la cele mai intime date ale firmei. Adevrul este c ncrederea i
onestitatea pot fi verificate pe parcurs, i nu la data efecturii verificrilor, ceea ce
nseamn o oarecare doz de risc din partea celor ce deleg astfel de responsabiliti.
105
n orice caz, altfel vor fi tratai angajaii cu vechime n unitate i altfel cei angajai de
curnd sau cu regim sezonier, sau cu jumtate de norm.
Stadiul 4: Proceduri la angajare
ntr-un contract de angajare a unui salariat trebuie s se stipuleze cu claritate urmtoarele:
1. responsabilitile persoanei i sarcinile pe linia asigurrii securitii valorilor
patrimoniale i, bineneles, a informaiilor, astfel nct:
a) s dispar orice dubiu privind persoana care trebuie s exercite o funcie anume;
b) s aduc la cunotina angajailor, din faza de asociere cu unitatea, ce probleme
caracterizeaz activitatea firmei;
c) s-i pregteasc pentru dobndirea unor caliti noi, cerute de unitatea care
angajeaz;
2. regulamentul de ordine interioar a unitii i condiiile n care nceteaz contractul
de munc;
3. restricii privind comportamentul persoanei n cazul ncetrii contractului de munc,
ndeosebi pe linia nedezvluirii informaiilor speciale competitorilor actualei firme,
respectndu-se aa-zisa clauz a confidenialitii;
4. aducerea la cunotin a documentaiilor de specialitate, a documentelor, a situaiilor
de ntocmit, care trebuie s aib aprobarea n avans a efului su.
Angajatul trebuie s semneze contractul, ceea ce nseamn c l-a citit, l-a neles, inclusiv
c a luat cunotin de problemele securitii sistemului. Dup acest moment, de regul,
urmeaz o perioad de prob, de pn la trei-ase luni, dup care se va face pronunarea
privind statutul definitiv al persoanei.
Stadiul 5: Instruirea i contientizarea personalului
Pentru atingerea obiectivului acestui stadiu se stabilesc programe speciale de instruire i
contientizare pentru asigurarea ncrederii n personalul unitii pe linia asigurrii securitii
sistemului de prelucrare automat a datelor n acest scop, se pot folosi numeroase modaliti
de ducere la ndeplinire a obiectivului: de la cursuri cu durate i termene fixe, pn la
pavoazri la tot pasul a interiorului unitii .a.
Stadiul 6: Supravegherea
Unitile mai mari au n uz sisteme programate de evaluare a performanelor angajailor,
astfel nct s-i poat orienta profesional ct mai corect i pentru a face promovrile cele mai
motivate. Tot printr-un astfel de sistem se va efectua i urmrirea aspectelor referitoare la
ncrederea n persoane i poziia lor fa de securitatea sistemului, evitndu-se incidentele
nefericite din sistemele de prelucrare automat a datelor.
Cu caracter neplanificat sunt urmririle i supravegherile zilnice ale personalului, pentru
descoperirea potenialelor pericole din partea salariailor.
n caz de promovare, se vor face reevaluri ale sarcinilor pe linia securitii informaiilor.
Programul de educaie privind securitatea i propune s contribuie la creterea vigilenei
personalului i s declare orice vede ca fiind mpotriva securitii firmei, indiferent de poziia
persoanei implicate n aa-ceva.
Stadiul 7: ncetarea contractului de munc
Procedurile legale de ncetare a contractului de munc trebuie s fie introduse pentru
persoanele care prsesc unitatea n astfel de condiii, un rol esenial revenind acordurilor
dintre pri n regim post-angajare a persoanei, ndeosebi raportul fostului angajat cu
concurenii firmei.
Dup recuperarea cheilor de acces urmeaz anularea parolelor de intrare n sistemele de
prelucrare automat a datelor. n acelai timp, restul angajailor trebuie s fie anunai c
106
persoana respectiv nu mai are statutul de salariat al firmei, deci relaiile lor de serviciu sunt
anulate. Se recomand, chiar, efectuarea unor schimbri ale posturilor de lucru din mediul din
care a plecat o persoan.
Stadiul 8: Consideraii finale
1. Contractul angajailor. Nu tratai oamenii ca i cum ei au fost angajai la o companie,
ci ca i cnd ar lucra la propria lor firm. Acordai o atenie deosebit personalului de
ntreinere a sistemului, personalului care efectueaz curenia, care ptrund n
centrele de prelucrare automat a datelor fr s aib supravegheri speciale. Identic se
va proceda i n cazul consultanilor din afar.
2. Operatorii de la terminale nu trebuie s fie omii ct de periculoi pot fi pentru
sistem, ndeosebi pentru faptul c pot s-i pstreze anonimatul. O grij deosebit
trebuie s se acorde i personalului care lucreaz la ntreinerea terminalelor.
3. Vizitatorii. Toate persoanele care ptrund n mediul sistemelor de prelucrare
automat a datelor, fie c sunt cunoscute sau de ocazie, trebuie s fie supuse
procedurilor de asigurare a securitii sistemului, efectundu-se, chiar, verificarea lor
i admiterea sau nu a ptrunderii n sistem. Se recomand ca vizita lor s aib loc
numai nsoit de un reprezentant al firmei.
4. Controlul extern asupra angajailor. Pot fi situaii cnd persoane care nu sunt
abilitate cu cunotine elementare de prelucrare automat a datelor s poat fi foarte
periculoase pentru securitatea sistemului, fiind ghidate de cineva din afara unitii
asupra modului cum trebuie s procedeze.
5. Aciuni hotrte. Dac asupra unei persoane sunt unele dubii privind securitatea, nu
trebuie lsat timpul s-i spun cuvntul, ncercnd s ne convingem de realitatea
bnuielilor, ci trebuie acionat dintr-o dat. Parolele de acces ale persoanelor
autorizate pot fi retrase de responsabilul cu securitatea sistemului fr s-i anune n
prealabil pe cei deposedai, bineneles, dac exist motive de bnuial asupra
loialitii.
6. Tratamentul loial n sens descendent i ascendent (pe baz de reciprocitate).
Angajatorii trebuie s-i trateze angajaii corect i onest ca s se atepte s fie tratai
n mod similar. n special, personalul din domeniul prelucrrii automate a datelor,
care este deosebit de inteligent, are nevoie de un astfel de tratament.
7. Vizite ale locului de munc. Perspectiva de jos este cu totul diferit vzut de cei de
sus, de aceea ei trebuie s coboare la nivelul locurilor de execuie din ateliere. Se
spune c i vulturul dac este privit de sus este greu de observat, dar de jos, pe fondul
cerului silueta lui este foarte clar.
8. Te faci c-i plteti, se fac c muncesc i c sunt coreci. ncrederea personalului
poate fi ctigat prin recompensarea lor la cote ridicate, scondu-le n relief
valoarea lor i ctigndu-le ncrederea.
9. Nu jucai fals. n istoria securitii sistemelor, persoanele care au oferit cele mai
multe cacealmale angajailor au fost i cele mai des furate sau spionate.
10. Lsai, totui, unele portie de ieire pentru situaii deosebite. Personalul nu trebuie
s se team att de tare de consecinele unor nclcri, din neglijen, a msurilor de
securitate. Msurile exagerate nu aduc ntotdeauna cele mai bune rezultate. Nu punei
mare pre pe anonime, dar nici nu le neglijai.
11. Nu crede fr s cercetezi. Niciodat nu se recomand s se fac presupuneri, fr s
se cerceteze fondul problemei. Presupunerea, deseori, este primul pas spre mocirl.
107
12. Bazeaz-te, totui, pe judecat i instinct, ceea ce nseamn c dac ai vzut un

animal care seamn cu lupul, umbl n hait cu lupii, url ca lupii, sigur el e lup!
Dac ai face parte dintr-o comisie de selecie a candidailor pentru un post de director de sucursal
bancar, ce elemente ai folosi n intervievarea lor, n aa fel nct s angajai o persoan ct mai
potrivit din punctul de vedere al securitii informaionale? Dai exemple de 4 informaii sensibile
(confideniale sau secrete) cu care intr n contact un director de sucursal bancar, justificnd
motivul pentru care considerai importante respectivele informaii. Menionai 2 msuri pe care le putei
lua pentru a v feri de divulgarea acestor informaii de ctre proasptul angajat.
Reluai exemplul de mai sus pentru un agent de vnzare, un contabil ef i un administrator de baz
de date.
108
Extragei din dou fie ale posturilor dintr-o organizaie atribuiile de securitate informaional.
Rezumat
Printre cei mai periculoi atacatori ai unui sistem informaional dintr-o organizaie se numr chiar
angajaii acesteia. Ei pot amenina sistemul prin violen, furt de obiecte, delapidare, abuz, modificare,
spionaj, respingere, folosire frauduloas, violarea copyright-ului, alte infraciuni economice sau legislative.
Principiile fundamentale care guverneaz problematica msurilor de securitate pe linie de personal
sunt principiul trebuie s tie, principiul trebuie s mearg , principiul celor dou persoane.
Msurile pe linia securitii din punct de vedere al personalului sunt diverse i se pot lua n stadii
diferite: la identificarea locurilor de munc cu regim special i a calitilor persoanelor ndreptite a le
ocupa, la selecia personalului, la atribuirea responsabilitilor pe linia securitii, la angajare, n etapa de
instruire i contientizare a personalului, la ncetarea contractului de munc.
1.
4.
5.
Bigdoli, H. - Handbook of Information Security, vol.1- 3, John Wiley - Sons, 2006

Herold, R. - Managing an Information Security and Privacy Awareness and Training Program,
Tipton, H., Krause, M. - Information Security Management Handbook, vol. 3, Auerbach
Publications, Taylor&Francis Group, New York, 2006
Unitatea de studiu X
Securitatea comunicaiilor

stpnirea de ctre cititor a principalelor concepte din domeniul securitii
comunicaiilor;
cunoaterea principalelor pericole care afecteaz mediile de transmisie a datelor;
posibilitatea de a lua msuri care s asigure securitatea transmisiilor.
interceptarea conversaiilor;
securitatea telefoanelor standard;
securitatea telefoniei mobile.
10.1 Interceptarea conversaiilor

De la nceputul lor, sistemele de comunicaie au fost vulnerabile n faa celor pui pe furt
sau distrugeri. Furtul nsemna pe atunci s vorbeti fr s plteti i astfel a aprut o
categorie, a phreak-erilor, definit mult mai trziu de la apariie, ntr-un mod similar
hackerilor, ocupai ndeosebi de hcuirea calculatoarelor. O a doua etap a fost cea
declanat de pungai, n dorina lor de a comunica ntre ei fr ca poliia s le intercepteze
convorbirile. ntr-o nou faz, cnd piaa telecomunicaiilor s-a liberalizat, au nceput
atacurile companiilor mpotriva clienilor altor companii sau acestea au nceput s se lupte
ntre ele. Aproape ntotdeauna msurile de aprare luate erau tardive, cci aprea pe pia alt
sistem de atac. Ceva similar se ntmpl acum cu Internetul, numai c vitezele actuale sunt
mult mai mari.
Se desprinde concluzia c majoritatea comunicaiilor sunt vulnerabile n faa inteniilor
de interceptare. Facem doar meniunea c unele interceptri sunt nfptuite cu mult uurin,
iar altele numai cu instrumente speciale i cu resurse considerabile.
Cnd atacul nu afecteaz coninutul comunicaiei, iar persoanele care comunic ntre ele
nu sesizeaz c sunt ascultate, se spune c este un atac pasiv. La polul opus se afl atacurile
care distrug sau distorsioneaz semnalele, numite atacuri active. Interceptarea se poate realiza
cu microfoane receptoare (bugs), prin nregistrarea pe caset sau band magnetic, prin
scannere de celulare radio-receptoare, receptoare de microunde i de satelii, prin ptrunderea
n reelele de calculatoare, precum i prin utilizarea altor filtre de informaii. Microfoanele
parabolice pot detecta conversaiile de la o distan de peste un kilometru, iar variantele laser
intercepteaz discuiile purtate chiar n spatele geamurilor nchise.
De regul, este foarte greu s tii n ce loc se efectueaz supravegherea comunicaiei. De
aceea, trebuie pornit de la premiza c orice conversaie care conine informaii valoroase este
posibil s fie urmrit de cei interesai. Pentru contracarare pot fi luate dou msuri
preventive:
a) de evitat subiectele sensibile n discuiile telefonice sau n transmisiile fax;
b) dac telefonul sau faxul trebuie s fie folosite, atunci pentru informaiile speciale se
recomand criptarea.
Pentru a se evita includerea numelui organizaiei unde lucrm sau chiar al nostru pe lista
neagr a cuttorilor de informaii speciale, se recomand ca n fazele discuiilor telefonice
110
sau ale textelor transmise prin fax s nu figureze anumite tipuri de informaii, cum ar fi
numele organizaiei, numele codurilor proiectelor, denumirea produselor, numele
persoanelor-cheie din organizaie .a. Pentru a-i atinge obiectivele, ageniile specializate n
cutarea informaiilor speciale apeleaz la cutri automate, prin cuvinte-cheie aflate ntr-o
baz de date predefinit.
10.2 Securitatea telefoanelor standard

Telefonul a devenit un obiect nelipsit din viaa noastr. Formelor tradiionale li s-au
adugat sistemele moderne, ale telefoniei mobile, care contureaz un mediu cu totul nou
pentru afaceri, diferit de comerul sau afacerile electronice, numit comer sau afaceri mobile.
n paragraful de fa ne propunem, ns, s discutm despre telefoanele standard i rolul
lor ntr-un sistem de prelucrare automat a datelor. Referirea la ele o vom face prin dou
componente eseniale:
a) moduri de transmisie;
b) aparatul telefonic standard.
Transmisia se poate efectua prin cablu, prin satelit sau prin microunde terestre.
10.2.1 Securitatea cablurilor de comunicaie

Primele sisteme telefonice s-au bazat pe perechea de fire neizolate. Tendina este ca n
configuraia reelelor locale (LAN) s se utilizeze cablul coaxial, dei cea mai securizat i
mai performant este fibra optic. n schimb, ea este mai scump i mai pretenioas la
instalare i ntreinere.
Metoda securitii liniilor se refer la tot ceea ce se ntmpl ntre centrala companiei
telefonice i calculatorul central al unitii.
Cnd se pune problema liniilor telefonice, un aspect important l constituie integritatea
cablului. Oriunde este posibil, o linie de comunicaie, care servete un centru de prelucrare
automat a datelor, trebuie s fie una direct ntre acesta i cea mai apropiat central
telefonic. O astfel de legtur nu va permite amatorilor de interceptri ilegale de semnale si ating scopul.
Sunt, totui, companii telefonice n care se utilizeaz sistemul deschiderilor multiple,
cablurile fiind orientate n mai multe casete de jonciune, amplasate n locuri mai dosnice
(subsolul cldirii, holuri necirculate .a.) de unde terminaiile firelor disponibile pot fi folosite
oricnd de compania telefonic, dar, la fel de bine, ele pot fi destul de uor deschise de cei ru
intenionai pentru a se lega la liniile la care au interes.
Cnd n unitate se impune utilizarea conductorilor multipli, pentru a satisface nevoile
funcionale ale unitii de prelucrare automat a datelor, se recomand cablurile cu cel mai
mare numr de conductori pentru a face ct mai dificil operaiunea de selecie a liniei care i
intereseaz pe atacatori.
Nu se admit liniile cu circuite cuplate, dei deseori apar suprapuneri de transmisii, chiar
dac nu sunt folosite cuplajele, cauza fiind ori atingerea firelor, ori defectarea
transformatoarelor sau a altor elemente din circuit, de cele mai multe ori factorii naturali
avnd un rol determinant.
Pentru evitarea unor stri neplcute, se recomand ca firele de transmisie s fie ecranate
i s se realizeze i aa-zisele mpmntri. Ultima operaiune se efectueaz pentru eliminarea
nedoritelor radiaii. n acest scop, un cablu care efectueaz legtura dintre dou calculatoare
trebuie s aib mpmntri la fiecare 10 metri.
SECURITATEA COMUNICAIILOR
111
Exist i posibilitatea aprrii mpotriva asculttorilor de fire, prin apelarea la aa-zisul

fir-capcan, neizolat, rsucit pe firul ecranat, iar, cnd ecranajul este distrus, firul-capcan
produce un semnal de alarm. Ca forme de utilizare, sistemele de punere n funciune a
firului-capcan sunt foarte diversificate.
10.2.2 Securitatea transmisiilor prin satelit

Atunci cnd se iniiaz o convorbire telefonic sau se intenioneaz transmisia unui fax,
nu avem idee pe ce canal de comunicaie se va nfptui aciunea declanat de noi, ntruct
echipamentele de comutare automat stabilesc ruta pe o linie terestr, pe una bazat pe
microunde terestre sau prin satelit depinznd de metoda folosit i de eficiena din acel
moment.
Majoritatea apelurilor pe distane lungi sunt realizate, fie i parial, prin unde propagate
n aer fie prin satelit, fie ntre releele staiilor terestre bazate pe microunde iar tot ceea ce
se deplaseaz n aer poate fi interceptat.
Tehnologiile folosite pentru monitorizarea sau interceptarea comunicaiilor prin
microunde i satelit preau complicate i necesitau imense investiii guvernamentale, ns n
prezent grupurile sau persoanele ce dispun de resurse financiare rezonabile au la dispoziie
echipamente ce pot fi procurate din magazin n forma dorit de ei. Cele mai simple
interceptri sunt efectuate prin cutri de cuvinte-cheie sau de numere de abonat, totul fiind
efectuat cu ajutorul calculatoarelor.
Ca regul general, semnalele se transmit prin linii terestre sau prin microunde ctre o
staie de comutare de lung distan. Calculatorul companiei telefonice va cuta cea mai
eficient cale pentru transmiterea semnalului. S presupunem c s-a efectuat conexiunea prin
satelit. Apelul nostru este dirijat spre o staie terestr, de unde este transmis ctre un satelit i
apoi plasat pe o staie terestr. De aici apelul merge printr-o linie terestr sau prin microunde
terestre ctre o staie de comutare, unde are loc desprinderea de alte semnale i plasarea lui pe
cablu pn la telefonul receptor, unde are loc retransformarea lui n voce sau mesaj fax. Tot
ce am descris n acest aliniat se deruleaz ntr-o fraciune de secund. Tot mai muli satelii
sunt plasai pe orbit pentru a face fa cererii crescnde de telecomunicaii. Legtura
satelitului cu pmntul este uor interceptat, cci nu se realizeaz printr-un fascicul ngust, ci
printr-un semnal de micround care se disperseaz n mai multe direcii. Cu ct este mai sus
satelitul, cu att este mai extins aria terestr pe care se poate recepiona mesajul, deci i
interceptat. Din multitudinea de satelii, urma satelitului sau zona n care semnalele acestuia
pot fi recepionate pe pmnt nseamn cteva mii de mile diametru. Urma poate fi
ngustat prin coborrea orbitei satelitului sau mrirea dimensiunilor antenei-satelit, dei
recepia se va efectua nc pe o zon destul de extins.
Oricine posed o anten-satelit i ceva echipamente specializate, i se plaseaz n zona n
care se afl urma unui satelit, poate intercepta mesajul, aa cum recepionezi posturi TV.
Iat de ce este att de simpl interceptarea comunicaiilor derulate prin satelit, operaiune ce
se poate nfptui din cldirile ambasadelor, din cldirile deinute de persoane strine, de pe
vapoarele ce poposesc n porturile mrilor de coast sau de la baze strine.
n pofida legislaiei destul de clare privind interceptrile, se nregistreaz numeroase
abateri. De exemplu, n SUA, legea federal interzice producerea, vnzarea, posesia i
promovarea echipamentelor folosite pentru interceptri. i, totui, o firm, The Spy Factory,
cu un lan de 12 magazine, a fost descoperit de FBI c deinea mii de microfoane minuscule,
inclusiv transmitoare ascunse n bilele minelor de pix, n calculatoare, n techere, n
transformatoare, n casete minuscule ascunse n birouri, pe sub mese. Firma vindea
echipamente de nregistrat ce se ataau direct la o linie telefonic i transmiteau comunicaiile
112
ntr-un loc aflat la distan, precum i echipamente pentru interceptarea apelurilor telefoanelor
celulare. Cumprtorii erau partenerii de afaceri suspicioi, concurenii i ndrgostiii geloi.
10.2.3 Securitatea aparatelor telefonice standard

Pentru evitarea posibilelor pierderi de informaii, se recomand numai aparatura capabil
s le prentmpine sau s anihileze eventualele atacuri.
Sunt trei elemente crora trebuie s li se acorde o importan deosebit:
soneria;
piesele falsificate;
piesele strine.
Soneria. Bobinele soneriilor din telefoanele obinuite pot aciona ca dispozitive de
captare i transmitere n linie, chiar i atunci cnd receptorul este pus n furc. Pentru a ne
asigura mpotriva unei astfel de surse compromitoare, se deconecteaz bobina n ntregime
i se nlocuiete cu o lamp ce se va cupla la un curent de 85 voli (de activare a soneriei
clasice), transmis prin semnal la receptor. Dac se dorete i un semnal sonor, se poate apela
la o alarm electronic acionat prin celul fotoelectric.
Piesele falsificate. Literatura de specialitate consemneaz numeroase cazuri de falsificare
a unor componente ale telefonului, introducnd n piesele foarte cunoscute anumite elemente
capcan. Exist tehnici de depistare i distrugere a lor, prin pulsuri de cureni distructivi.
Cele mai cunoscute sunt metodele de adugare la piesele existente a unora cu rol special,
de captare i emisie. Ele se pot descoperi printr-o analiz atent a componentelor telefonului.
Tot n cazul telefoanelor se discut i despre aa-zisul sistem muzicu, numit astfel
deoarece se apeleaz la componente speciale, sub variate forme, care servesc drept aparate de
ascultat n clandestinitate, n timp ce aparatul este aezat n furc, dar operaiunea are loc nu
n sistem continuu, ci sub controlul de la distan al interceptorului neautorizat de semnale. O
astfel de muzicu va cnta doar la comand, ceea ce ar nsemna c, n momentul cnd pe
linie se transmite un anumit semnal, se d comanda de activare a unor microfoane speciale,
ocolindu-se sistemul care activeaz soneria telefonului. Muzicua poate s dispun i de un
comutator de autodecuplare, activat de zgomote speciale, cel mai important fiind cel produs
de ridicarea receptorului din furc, moment n care s-ar putea descoperi ascultrile ilegale.
Cum o muzicu este realizat din mai multe componente electronice, pentru cei
avizai este relativ simplu de sesizat prezena lor n aparatul telefonic, dar pentru marea
majoritate a utilizatorilor de telefoane ele rmn piese veritabile ale telefonului. Analitii de
linii, la rndul lor, dispun de tehnici speciale de depistare a unor astfel de intrui.
Un principiu vital de aprare const n evitarea instalrii telefoanelor n zonele foarte
importante ale centrului de prelucrare a datelor. Dac acest lucru nu este posibil, se va trece la
deconectarea aparatului atunci cnd se consider c dialogul din camera respectiv este
deosebit de important i ar putea prezenta interes i pentru alii.
Pentru asigurarea unui control riguros asupra propriului personal, se recomand apelarea
la aparatur care s nregistreze data, ora i destinaia apelului telefonic pornit din centrul de
prelucrare automat a datelor. Nu este considerat exagerat msura inerii sub lact a
aparaturii telefonice, mai ales acum, cnd prin e-mail se poate iei cu uurin ... n lume.
De asemenea, se poate ine legtura sistematic cu personalul specializat n telefonie
pentru a afla ct de sigur este sistemul utilizat pentru prelucrarea datelor, dar i ct de
vulnerabil este n faa potenialilor atacatori.
Pentru un plus de precauie, n cazul sistemelor foarte importante, se poate apela la
identificarea automat a numerelor care au contactat sistemul nostru.
113
n afara rolului avut n prevenirea ascultrilor neautorizate, nregistrarea convorbirilor

telefonice de pe liniile unei firme este susinut i de alte cinci argumente, dup cum
urmeaz:
1. asigurarea nregistrrii complete a activitilor prilejuite de stingerea incendiilor sau
de alte dezastre ale naturii;
2. nregistrarea potenialelor ameninri cu bombe sau alte forme de atacare n for a
sistemului;
3. inerea evidenei sesiunilor de teleprelucrare pentru a nlesni obinerea copiilor de
siguran i restaurarea fiierelor n cazul pierderii formei lor originale;
4. constituirea de probe n cazul utilizrii neautorizate a componentelor de
teleprelucrare;
5. obinerea probelor mpotriva angajailor care svresc acte de fraud la adresa
unitii.
Pentru realizarea acestor obiective, ca element tehnic de ajutor, intervine tot calculatorul,
numai c el este unul special, realizat relativ recent, cu scopul de a nregistra cine a fcut
apelul din unitate, data, ora, unde a sunat, ct timp a durat convorbirea.
Se pune, totui, ntrebarea: cum aflm c suntem ascultai? Un bun asculttor nu face
zgomot n timpul misiunii i transmite cureni foarte slabi sau, uneori, acetia nici nu exist.
n concluzie, ascultarea liniei, cu scop de verificare, este fr prea mari anse de reuit. Chiar
i voltmetrele, ct ar fi ele de sensibile, nu constituie o aparatur de detectare deosebit de
puternic.
Ca o msur eficient, se recomand nregistrarea pe band a zgomotelor din linie,
metod ce duce i la nregistrarea sunetelor foarte fine produse de aparatele ce efectueaz
nregistrri ilegale, fie i pentru perioade foarte scurte de timp. nregistrarea pe banda de
control se va lansa prin intermediul unui comutator automat, declanat de zgomotele sesizate
n linie.
Absena tonului din aparatul telefonic este un semn de ascultare, dar profesionitii n
furturi evit o astfel de tehnic deconspiratoare. Un alt semn al interceptrilor neautorizate l
constituie sesizrile repetate ale prietenilor c telefonul nostru este cam tot timpul ocupat,
dei se tie c n realitate n-a fost aa.
O msur de aprare mpotriva asculttorilor neautorizai, chiar i cnd telefonul este n
furc, o constituie crearea unor sunete electrice nalte n locurile n care bnuim c intruii ar
fi interesai s asculte.
O alt cale, ce duce la diminuarea pericolului ascultrii, o constituie folosirea
modemurilor sau apelarea la servicii telefonice cu viteze mari, chiar dac presupun un cost
ceva mai mare. i multiplexoarele diminueaz ansele intruilor din liniile de comunicaii.
Nu trebuie s ncheiem succinta abordare a problemei de fa fr s amintim de
particularitile reelelor de transmisie a datelor i de multitudinea aspectelor specifice
transmiterii de date prin radio.
10.3 Securitatea telefoniei mobile

Pentru a nelege slbiciunile telefoanelor celulare este bine s cunoatem cteva detalii
privind modul lor de funcionare. Ele se bazeaz pe frecvene radio prin aer pe dou canale
distincte, unul pentru comunicaiile vocale, iar cellalt este folosit pentru semnalele de
control. Cnd un celular este activat pentru prima dat, el emite un semnal de control, prin
care se identific fa de un site de celul, transmindu-i numrul de identificare al
mobilului (MIN, Mobile Identification Number) i numrul de serie electronic (ESN,
114
Electronic Serial Number), cunoscute sub numele generic de pereche (pair). Cnd site-ul
celulei primete semnalul pereche, determin dac solicitantul este nregistrat oficial, prin
compararea perechii solicitantului cu lista abonailor la telefonia celular. ndat ce perechea
de numere este recunoscut, site-ul celulei emite un semnal de control, prin care i permite
abonatului s fac apeluri. Un astfel de proces, cunoscut sub numele de nregistrare anonim,
se realizeaz de fiecare dat cnd telefonul este activat sau este recepionat de un nou sitecelul, aflndu-se n raza lui de aciune.
Un telefon celular este, de fapt, un aparat radio cu emisie-recepie. Vocea noastr este
transmis prin aer ca unde radio, iar acestea nu sunt direcionale, ci dispersate n toate
direciile, astfel nct oricine posed un anumit tip de radio receptor poate s le intercepteze.
Sunt foarte muli radio-amatori care au site-uri web prin care se schimb numere de telefon
ale unor inte interesante. Uneori persoanele oportuniste cu un astfel de hobby i vnd
coleciile.
10.3.1 Vulnerabiliti asociate folosirii telefoanelor mobile

Dac sistemul celular folosete tehnologia analogic, cineva poate programa un numr de
telefon sau o list de numere de telefon supravegheate ntr-un echipament de monitorizare a
celulelor care activeaz automat un nregistrator de voce, oricnd un numr de telefon, aflat
pe lista supravegheailor, este n folosin. Urmrirea automat, asistat de calculator, permite
monitorizarea unui telefon anume 24 de ore din 24, dup cum inta se deplaseaz de la o
celul la alta, fr un alt efort uman.
Dac sistemul de telefonie celular folosete tehnologia mai nou, digital,
supravegherea este mult mai dificil, dar, la preuri rezonabile, este posibil ca majoritatea
radio-hobbitilor s cumpere un interpretor de date digitale care se conecteaz ntre un
scanner radio i un calculator personal. Interpretorul datelor digitale citete toate datele
digitale transmise ntre site-ul celulei i telefonul celular i ofer calculatorului aceste
informaii.
Este destul de simplu pentru un asculttor s fixeze numrul de telefon celular al intei
pentru c transmisiile sunt n dublu sens ctre site-ul celulei, att timp ct telefonul este
alimentat de la baterie i este pregtit s primeasc apeluri.
Pe pieele occidentale exist un echipament numit Celltracker (urmritor de celul), cu
care un asculttor se poate orienta spre conversaiile ce apar la un anumit telefon celular
prin intermediul celui mai apropiat site-celul. Numrul telefonului urmrit se introduce n
echipament prin tastatur. Ageniile secrete, precum i cele ce supravegheaz modul de
respectare i punere n aplicare a legii, au la dispoziie echipamente i mai performante. De
exemplu, Law Enforcement Corp face publicitate unui sistem care monitorizeaz 19 canale i
urmrete trei conversaii simultan.
Vulnerabilitatea celularului de a fi folosit drept microfon este o performan pe care o
tiu foarte puini dintre beneficiarii telefoniei mobile. Se pare c astfel i-a gsit sfritul un
lider rebel al unui fost stat sovietic sau aa ne explicm de ce teroritii nu prea apeleaz la
telefonia celular. Ei tiu c un telefon celular poate fi transformat ntr-un microfon i
emitor cu scopul de a asculta conversaiile din preajma lui. Noua funcie se realizeaz prin
transmiterea ctre telefonul celular a unei comenzi de ntreinere pe canalul de control,
operaiune care aduce telefonul mobil n modul diagnostic, dup care orice conversaie din
preajma telefonului mobil poate fi monitorizat prin canalul de voce. Interesant este c
utilizatorul nu-i s seama c este n modul diagnostic i c se recepioneaz toate sunetele
din jurul lui, pn cnd va ncerca s sune pe cineva i-i va da seama c ceva nu merge. n
astfel de situaii, nainte ca telefonul s fie folosit pentru noi apeluri, aparatul trebuie s fie
115
nchis i apoi deschis. Iat de ce nu trebuie s fie permis accesul cu telefoane mobile n slile
sau zonele n care se discut lucruri sensibile sau se face trimitere la informaii clasificate.
Vulnerabilitatea la clonare este cea mai elegant form de a fura pe cineva, prin
telefonia mobil, fr s-i furi aparatul. Este de ajuns ca noii hoi s monitorizeze spectrul
frecvenelor radio i s-i nsueasc perechea de numere a telefonului celular, atunci cnd se
face nregistrarea anonim la un site de celul. Clonarea este procesul prin care un ho
intercepteaz numrul de serie electronic, ESN, i numrul de identificare mobil, MIN, apoi
programeaz aceste numere ntr-un alt telefon i-l face identic cu cel al posesorului de drept,
utilizndu-l exact ca abonatul serviciului telefonic mobil.
Numai n SUA, la nivelul unui an, s-au nregistrat furturi care se apropie de miliardul de
dolari, iar arestrile au fost de ordinul miilor. Cel mai cunoscut este cazul lansrii a 1500 de
apeluri telefonice ntr-o singur zi de ctre hoii perechii de numere a unui abonat.
ESN-ul i MIN-ul se pot obine foarte uor cu un cititor de ESN-uri, care arat ca i un
telefon celular receptor, conceput s monitorizeze canalele de control. El capteaz perechile
de numere n momentul n care acestea sunt transmise de la un telefon celular la un site de
celul i memoreaz informaiile respective n propria-i memorie. Operaiunea este uor de
realizat cci, de fiecare dat cnd activm celularul sau intrm n raza altui site de celul, de
la aparatul nostru se transmite perechea de numere ctre site-ul celul, pentru fixarea
canalului de voce.
n cele ce urmeaz, transpunem formele de manifestare ale pericolelor menionate n
unitatea de studiu 1, la punctul 1.1.2, pe exemplul telefoniei mobile.1
Ameninrile cauzate de incidente ivite n sistem care se fac simite i n domeniul
tehnologiilor mobile sunt:
apariia de defeciuni la echipamentele sistemului. Potrivit unui raport pentru anul
2006, un telefon mobil nu rezist mai mult de doi ani fr s se defecteze, iar rata
telefoanelor defecte la nivel mondial este de 1 la 5.2 Defeciunile sunt cu att mai
frecvente cu ct telefoanele au funcii mai avansate, fapt care afecteaz n mod clar
comerul mobil, bazat n mod esenial pe transferul de date. Prile telefoanelor
afectate de defecte sunt diverse: tastatura, carcasa, ecranul, acumulatorul, camera foto
ncorporat, receptorul etc. Rata defeciunilor variaz de la productor la productor
i crete proporional cu timpul de utilizare a dispozitivului;
erorile umane. Printre cele mai frecvente erori umane care pot aprea n utilizarea
telefoanelor mobile se numr configurarea inadecvat a dispozitivelor, ignornd
activarea autentificrii sau a altor mecanisme de securitate, lsarea nesupravegheat a
telefoanelor3, tratarea la fel a tuturor datelor stocate pe dispozitivul mobil fr a ine
cont de faptul c anumite date ale organizaiei ncrcate pe dispozitivul portabil pot
necesita msuri de protecie suplimentare. Cu mult mai grave sunt erorile care apar n
configurarea reelelor wireless sau n cadrul aplicaiilor realizate pentru reeaua
mobil a unei organizaii. Cauzele erorilor sunt cele clasice calificarea
insuficient/stupiditatea, amestecul oamenilor n probleme care le depesc
competena (fie din curiozitate, fie dintr-o ncredere exagerat n abilitatea proprie de
1
Paragraf realizat de lector dr. Daniela Popescul.
***, Rata i cauzele defeciunilor la telefoanele mobile, la http://www.stilxxi.ro/telefoane-mobile/rata-defectiunilor-latelefoanele-mobile.php
Cu ct un dispozitiv este mai mic, cu att este mai uor de pierdut n metroul londonez se pierd lunar peste 10000 de
telefoane mobile. Riscul crete dac telefoanele mobile sunt i PDA-uri i au acces la sistemul informaional al
organizaiei, expunnd astfel averile informaionale ale acesteia.
116
a rezolva anumite lucruri), ignorana (nu trebuie s ne ateptm ca utilizatorii s

foloseasc un sistem corect dac nu au fost instruii pentru acest lucru), indiferena n
exercitarea unor anumite operaiuni;
funcionarea defectuoas a software-ului. Problemele legate de software sunt mult
mai numeroase n mediul mobil fa de lumea calculatoarelor fixe, ca urmare a
juvenilitii aplicaiilor mobile. Productorii de telefoane ntmpin dificulti n
realizarea de software care s funcioneze pe toate modelele proprii de exemplu,
potrivit unui articol de pe site-ul softpedia.com, Nokia a reuit s fac un produs
software funcional numai pe 10 modele de dispozitive dintr-un total de 43.4 i mai
provocatoare este aceast problem de portabilitate n cazul celor care scriu software
destinat ntregii game de dispozitive de pe pia. Cum un produs universal valabil
pare imposibil de realizat, o aplicaie trebuie s ating un anumit nivel de popularitate
pentru a fi adoptat de ct mai muli utilizatori i productori. Dincolo de dificultile
ntmpinate de utilizatori n gsirea comenzilor (din cauza organizrii ne-logice a
multora dintre meniurile aplicaiilor), apar frecvent erori de criptare a datelor sau de
sincronizare a software-ului mobil cu cel de pe calculatoarele fixe;
cderea liniilor de comunicaie/absena semnalului/erori de conexiune. Din diverse
motive, serviciile operatorilor de telefonie mobil nu funcioneaz tot timpul la
parametri normali. O defeciune la nivelul unei reele, fie ea a unui operator sau din
interiorul unei organizaii, poate duce la paralizarea relaiilor de afaceri dintr-o
anumit zon sau firm.
Factorii naturali, bazai pe hazard, care pot afecta sistemele mobile ale unei
organizaii pot fi mprii n condiii speciale de mediu i calamiti naturale sau dezastre.
Din prima categorie, menionm temperaturile extrem de ridicate sau de sczute, umiditatea
excesiv sau un mediu deosebit de prfos, care, n timp, pot face ca dispozitivele mobile s se
defecteze. n cel de-al doilea caz, infrastructura de comunicaii mobile poate fi victima unor
incendii, inundaii, vijelii, furtuni sau cutremure. De regul, majoritatea companiilor mari i a
celor mici, dar puternic dependente de sistemul lor informatic, au un plan de recuperare n caz
de dezastru. Dac organizaia i transfer sistemul informatic pe o infrastructur wireless,
trebuie s ia n calcul o adaptare a planului de recuperare la noua situaie. Altfel, angajaii
care au fost obinuii cu accesul de la distan la sistemul informatic al firmei pot nregistra
grave scderi n productivitate dac sunt din nou legai de un calculator desktop i de un
birou.
Ameninarea sistemelor mobile prin aciunea voit a omului poate mbrca forme
ca:
spionajul mobil. Faptul c oricrui purttor al unui telefon mobil i poate fi
determinat locaia ridic noi probleme n ceea ce privete intimitatea fiecruia dintre
noi i extinde aria posibililor spioni. Motivele pentru interceptarea convorbirilor sau
transmisiilor de date sunt diverse i variaz de la cele personale la cele economice sau
politice. Astfel, fiecare dintre noi i poate urmri partenerul de via, prinii i pot
localiza n orice moment copiii, efii i pot monitoriza non stop angajaii,
concurenii pot afla date secrete din contractele ncheiate de firme, iar guvernele i
pot spiona cetenii (pe toi, n cazul guvernelor totalitare, sau doar pe cei care
comunic ntre ei folosind sintagme potenial periculoase). Cu ajutorul unui sistem de
Balan, E., The Problem with Mobile Phone Software - How to make the right mobile phone software, la
http://news.softpedia.com/news/The-Problem-with-Mobile-Phone-Software-53942.shtml
117
antene proprii, marile magazine i pot urmri clienii i pot determina timpul pe care
l petrec acetia la anumite standuri, reformulndu-i ulterior politicile de vnzare pe
baza acestor date culese empiric.5 Metodele de interceptare sunt variate. Locul n care
se afl la un moment dat o persoan poate fi determinat de operatorul mobil ca
urmare a conectrii permanente a telefonului la un releu GSM. Prin metode simple de
goniometrie, se poate determina exact nu doar zona geografic n care se afl
telefonul ci chiar locaia lui precis, att n plan orizontal ct i n plan vertical.6
Interceptarea convorbirilor i a mesajelor se poate face e de la sediul operatorului
mobil, fie cu dispozitive individuale. Nici standardele mai noi de telefonie mobil,
cum ar CDMA, care asigur criptarea convorbirilor, nu sunt sigure, existnd
echipamente automate de decriptare i pentru acestea. Aparatele care permit
interceptarea convorbirilor sunt disponibile la un pre de circa 1000 de euro. nsui
telefonul mobil propriu poate fi controlat de la distan de ctre un intrus care
exploateaz anumite funcii ale acestuia. De asemenea, au aprut deja pe pia
software-uri specializate care permit nregistrarea secret a fiecrui text de mesaj
scris, a detaliilor despre apelurile iniiate sau primite i a altor caracteristici similare
ale unui telefon mobil. Ceea ce este interesant la acest tip de program este c
nregistrarea detaliilor i activarea programului se pot face de la distan i fr a se
ntiina utilizatorul.7 Guvernele au la dispoziie sisteme de satelii de interceptare sau
antene de recepie i pot afla cantiti uriae de date transmise wireless. Cel mai
celebru asemenea sistem este Echelon, prin intermediul cruia se pot monitoriza
aproximativ dou milioane de convorbiri pe minut;
atacurile dumanilor, nedreptiilor i neloialilor dintre angajaii firmei. Acetia se
pot implica n fraude desfurate cu ajutorul dispozitivelor i reelelor mobile, n acte
de vandalism, de abuz de privilegii etc. Nu trebuie uitat faptul c angajaii sunt cei
mai periculoi atacatori poteniali ai unui sistem, deoarece i cunosc acestuia punctele
cele mai sensibile i au la ndemn metodele de a-l afecta fr prea mari eforturi;
furtul de dispozitive. Ca urmare a portabilitii lor, dispozitivele mobile pot face
foarte uor obiectul furturilor. Houl poate folosi ulterior dispozitivul n diverse
tranzacii, n numele proprietarului de drept. Problemele se agraveaz atunci cnd n
aparat sunt stocate informaii confideniale;
viruii mobili. Primul virus destinat telefoanelor mobile cu sistem de operare, Cabir,
a aprut n anul 2004. De atunci i pn la nceputul anului 2008, numrul viruilor
mobili a crescut la circa 400, potrivit companiei F-Secure. Termenul virus
definete, n cazul tehnologiilor mobile, programe cu comportament combinat, de
virus, vierme i troian. n ciuda scenariilor sumbre i a vocilor (avizate) care spun c
viruii vor transforma viitorul comunicaiilor mobile ntr-un comar, tergnd datele
din telefoane, accesnd conturile bancare, sunnd la numere cu supratax,
nregistrnd conversaiile i transmindu-le ctre ale numere de telefon, gradul de
periculozitate al viruilor mobili nu este, n prezent, foarte ridicat. Ca rat de
penetrare, se vehiculeaz un 2,1% dintre utilizatorii de telefoane mobile din toat
Florian, Spionaj i localizare, prin codul telefonului mobil, la http://energienaturala.wordpress.com/2008/07/14/spionaj-silocalizare-prin-codul-telefonului-mobil/
Albu, G., Telefonul i mailul, principalele surse de spionaj, la http://www.clubitc.ro/analiza/telefonul-si-mailulprincipalele-surse-de-spionaj/
***, Spionaj prin telefonia mobil, la http://gsm.rol.ro/stiri/spionaj-prin-telefonia-mobila.htm
118
lumea, potrivit unui studiu realizat de compania de securitate informatic McAfee pe

un eantion format din 2.000 de utilizatori de telefoane mobile din toata lumea8;
phishing-ul ... mobil. Atac cu un succes rsuntor n World Wide Web, se pare c
phishing-ul a trecut grania i ctre mediile mobile. nc din 2006, realizatorii de
malware au ncercat s pcleasc posesorii de telefoane mobile prin mesaje text
maliioase, fenomen botezat de McAffee smishing prescurtarea de la SMS
phishing.9 De regul, aceste mesaje anun utilizatorul c a ctigat o sum
important de bani i se pretind a fi trimise din partea unor companii absolut credibile
(exist suficiente exemple i n Romnia). Ulterior, cer respectivelor persoane s
cheltuiasc, ntr-o form sau alta (cartele de telefonie pre-pltite, depuneri n conturi
la bnci) fonduri proprii n beneficiul atacatorului, pentru a putea intra n posesia
premiului. Phishing-ul poate migra pe dispozitivele mobile i n forma sa tradiional,
ca urmare a posibilitii acestora de a se conecta la Internet. Se estimeaz c
realizatorii de atacuri phishing vor viza, n special, utilizatorii serviciilor de mobile
banking;
atacurile de tip Denial of Services (DoS), adresate dispozitivelor mobile. Numite,
poetic, i tortura privrii de somn (sleep deprivation torture), atacurile consum cu
mult nainte de expirarea duratei lor normale de rezisten bateriile dispozitivelor
mobile i mpiedic utilizatorul s beneficieze de serviciile pe care le ateapt de la
acestea. Atacul are loc prin rularea unor aplicaii mari consumatoare de energie, n
aa fel nct aparatul s nu poat intra n modul stand-by de economisire a bateriei.
Atacurile mobile DoS sunt de trei tipuri10: maligne (codul aplicaiilor este modificat
n aa fel nct acestea s devin mari consumatoare de energie electric), benigne
(dispozitivul mobil ruleaz aplicaii legitime, dar solicitante pentru baterie), atacuri
Service Request (pe principiul clasic al atacurilor DoS, aparatul este blocat ca urmare
a trimiterii repetate de pachete de date n cantiti mari prin reea). Atacurile mDoS se
pot dovedi periculoase mai ales n cazul reelelor wireless bazate pe senzori, care
reprezint suportul pentru Internetul lucrurilor;
atacurile de tip DoS adresate operatorilor mobili. Centrul SMS al acestora poate fi
blocat prin trimiterea repetat de mesaje text de pe staii din Internetul clasic sau de
pe dispozitive mobile. Extinderea numrului de terminale folosite n reelele mobile
deschide calea atacurilor DoS distribuite. n cazul acestora, dispozitive ale unor
utilizatori legitimi sunt corupte cu ajutorul unor aplicaii malware i transformate,
fr tirea posesorului lor, n surse de pachete repetate de date care contribuie la
blocarea serviciilor operatorilor;
atacurile phreaker-ilor. Compus prin contopirea parial a cuvintelor phone i
hacker, termenul phreaker a denumit n prim faz indivizii care atacau sistemele
de telefonie public, pentru a vorbi gratis, de regul pe distane mari. Astzi,
phreaker-ii i extind raza de aciune i asupra telefoniei mobile, exploatnd bree ale
Arsene, A., Vine sezonul viruilor pentru mobile, Business Magazin, ediia online, la
http://www.businessmagazin.ro/business-hi-tech/telecom/vine-sezonul-virusilor-pentru-mobile.html?5542;2464120
Head, W., SMS phishing attacks hit mobile users, la http://www.vnunet.com/vnunet/news/2163586/sms-phishing-attackseen-wild
10
Krishnaswami, J., Denial-of-Service Attack on Battery-Powered Mobile Computers, 2004, la

http://scholar.lib.vt.edu/theses/available/etd-02192004-003948/unrestricted/Jayan_Krishnaswami_Thesis.pdf
119
aplicaiilor realizate cu J2ME11 pentru a obine controlul asupra dispozitivului mobil.

Instrumentele cu care lucreaz phreaker-ii se numesc exploit-uri aplicaii Java care
acceseaz i fur date din telefon (informaii din agend, numerele formate, mesaje
SMS), trimit mesaje SMS aleatoare ctre numere diverse, transfer date din telefon
ctre reele formate fr tiina utilizatorului - sau backdoors aplicaii care scriu n
memoria permanent a telefonului. O alt categorie de atacatori este format din
script kiddies adolesceni talentai i plictisii care caut breele n reelele de date
bazate pe Internet Protocol i n sistemele mobile conectate la acestea;
comunicrile comerciale nesolicitate (mobile spam). Succesul fulminant al mesajelor
text n lumea mobil a adus cu sine apariia SMS-urilor nedorite. Ele sunt deranjante
mai ales pentru c, spre deosebire de mesajele e-mail din aceeai categorie, nu pot fi
terse fr a le fi mai nti citit coninutul. n plus, filtrarea lor automat nu este,
deocamdat, o opiune implementat n software-ul telefoanelor mobile, iar blocarea
lor de ctre operatori este de multe ori limitat de prevederile legale din ara
respectiv. Cum tot mai multe dispozitive mobile permit citirea e-mail-urilor prin
sincronizarea la un PC, spam-ul n accepiunea sa clasic le poate invada. Efectele
sunt mult mai neplcute dect n cazul PC-urilor, care dispun de spaii de stocare i
memorii generoase;
pirateria. Odat cu expansiunea programelor special destinate dispozitivelor mobile,
au aprut i persoanele gata s ndeprteze protecia lor la copiere i s le distribuie n
mod gratuit. Aciunile acestor cracker-i sunt numeroase, deoarece software-ul
dispozitivelor mobile este mult mai uor de spart fa de cel al PC-urilor, fiind format
din fiiere de dimensiuni mici i fr msuri de securitate prea avansate. Pe site-uri
warez specializate, ei ofer software-ul piratat gratuit, alturi de cursuri de cracking
pentru eventualii interesai. Pe de alt parte, vehicularea de fiiere audio, imagine i
video fr drepturi de autor continu i n mediul mobil, n reelele ad-hoc create ntre
prieteni i cunoscui;
atacurile organizaiilor criminale. Ele sunt ndreptate de regul asupra operatorilor
de telefonie mobil i urmresc aducerea reelei acestora n stare de nefuncionare,
folosind ulterior acest fapt ca pe un obiect de antaj, pentru obinerea de bani. Ali
delicveni pot fi interesai n obinerea informaiilor despre abonai, pentru a le fura
identitile i/sau a face pli n numele acestora.
10.3.2 Msuri de securitate n folosirea telefoanelor mobile

n final, v prezentm cteva msuri pe care statele civilizate le recomand utilizatorilor
de celulare pentru a le asigura propria lor securitate. Se spune c cea mai bun aprare
mpotriva celor trei vulnerabiliti majore ale celularelor ar fi una foarte simpl: nefolosirea
lor. i, totui, dac le folosii ncercai s reducei riscurile, respectnd urmtoarele sfaturi:
pentru c celularul se poate transforma oricnd ntr-un microfon, fr s tim cnd,
nu trebuie s-l purtm cu noi n locurile n care se discut lucruri sensibile sau se face
referire la informaii clasificate;
activai-v telefonul doar n anumite momente, ndeosebi atunci cnd vrei s apelai
pe cineva. n alte condiii, nchidei-l!
nu oferii oricui numrul dumneavoastr de mobil. Este o mare greeal. Ca atare, nul punei pe cri de vizit, pe pagina web, pe corespondena zilnic!;
11
Leyden, J., Phreakers will rape and pillage your mobile, Octombrie 2004, la
http://www.theregister.co.uk/2004/10/22/mobile_java_peril/
120
nu discutai lucruri importante prin telefonul mobil. Cnd sunai pe cineva, punei-l n
gard c vorbii de pe mobil i atenionai-l, dac e cazul, c mobilul e vulnerabil i
c trebuie s se poarte doar discuii generale, fr detalii;
nu lsai mobilul nesupravegheat;
evitai folosirea telefonului mobil n locuri foarte aglomerate i n imediata lor
apropiere. Aici este terenul propice pentru radio-amatorii ce folosesc scannere pentru
monitorizri aleatoare. Dac v-au identificat i le place discuia, v vor reine
pentru monitorizarea permanent;
dac vi se ofer de ctre compania telefonic un PIN (Personal Identification
Number), folosii-l o dat i nu la fiecare activare, c ansele de a fi clonat aparatul
sunt mai reduse.
Exist o zicere neleapt care spune: Doamne, spune-mi dumanul care mi-e prieten,
cci pe ceilali i tiu eu! Unde plasai mobilul!?!
Ce alte pericole i vulnerabiliti asociate telefoniei mobile i fixe cunoatei? Exemplificai.
Rezumat
Pentru a demonstra vulnerabilitatea sistemelor de comunicaie n faa persoanelor ru-intenionate,

sunt prezentate posibilitile de interceptare a comunicaiilor i alte vulnerabiliti care apar n cazul
telefoanelor standard i mobile. Pentru a evita aceste riscuri, sunt tratate i msurile de securitate adecvate.
Unitatea de studiu XI
Aspecte juridice privind protecia

i securitatea sistemelor informaionale

cunoaterea principalelor reglementri juridice privind protecia i securitatea
informaiilor existente n Romnia;
dobndirea de informaii despre principalele aspecte ce caracterizeaz copyright-ul,
mrcile nregistrare i licenele.
legislaia romneasc privind securitatea informaional;
licenele, mrcile nregistrate, dreptul de copyright i patentele.
11.1 Legislaia n Romnia

La nivelul Romniei, n ultimii ani, au nceput s apar din ce n ce mai multe
reglementri legislative privind protecia i securitatea informaiilor. Lucrurile s-au schimbat
odat cu proliferarea i pe teritoriul rii a tehnologiilor informaionale i de comunicaii, care
au eliminat barierele de timp, spaiu i localizare a prelucrrii, stocrii i transmiterii
informaiilor. Chiar dac sunt nc multe lacune n aceast privin, se poate spune c este un
nceput bun pentru trecerea Romniei la societatea informaional i a cunoaterii.
Printre cele mai importante legi care reglementeaz, direct sau indirect, protejarea
informaiilor, mecanismele de prelucrare, stocare i transmitere, se pot enumera:
Legea 51/1991 privind sigurana naional a Romniei;
Legea 182/2002 privind protecia informaiilor clasificate, nsoit de Hotrrea de
Guvern 585/2002 pentru aprobarea Standardelor naionale de protecie a
informaiilor clasificate n Romnia;
Hotrrea de Guvern 781/2002 privind protecia informaiilor secrete de serviciu;
Ordonana de Guvern 34/2002 privind accesul la reelele de telecomunicaii
electronice i la infrastructura asociat, precum i interconectarea acestora;
Legea 544/2001 privind liberul acces la informaia de interes public;
Legea 677/2001 privind protecia persoanelor cu privire la prelucrarea datelor cu
caracter personal i libera circulaie a acestor date;
Legea 682/2001 privind ratificarea Conveniei pentru protejarea persoanelor fa de
prelucrarea automatizat a datelor cu caracter personal, adoptat la Strasbourg la
28 ianuarie 1981;
Ordinul Avocatului Poporului 52/2002 privind aprobarea cerinelor minime de
securitate a prelucrrilor de date cu caracter personal;
Capitol realizat, n cea mai mare parte, de prof. dr. Gabriela Meni de la Universitatea Al. I. Cuza Iai, Facultatea de
Economie i Administrarea Afacerilor i revizuit pentru noua ediie de lect. dr. Daniela Popescul
122
Ordinul Avocatului Poporului 75/2002 privind stabilirea unor msuri i proceduri

specifice care s asigure un nivel satisfctor de protecie a drepturilor persoanelor
ale cror date cu caracter personal fac obiectul prelucrrilor;
Legea 506/2004 privind prelucrarea datelor cu caracter personal i protecia vieii
private n sectorul comunicaiilor electronice;
Legea 102/2005 privind nfiinarea, organizarea i funcionarea Autoritii
Naionale de Supraveghere a Prelucrrii Datelor cu Caracter Personal;
Legea 161/2003 privind unele msuri pentru asigurarea transparenei n exercitarea
demnitilor publice, a funciilor publice i n mediul de afaceri, prevenirea i
sancionarea corupiei, care conine componenta de prevenire i combatere a
criminalitii informatice, n Titlul III;
Legea 64/2004 pentru ratificarea Conveniei Consiliului Europei privind
criminalitatea informatic, adoptat la Budapesta la 23 noiembrie 2001;
Ordonana 130/2000 privind protecia consumatorilor la ncheierea i executarea
contractelor la distan, aprobat cu modificri prin Legea 51/2003;
Legea 365/2002 privind comerul electronic, modificat i completat prin Legea
121/2006;
Legea 455/2001 privind semntura electronic, mpreun cu Norma tehnic i
metodologic din 13 decembrie 2001 pentru aplicarea ei;
Legea 451/2004 privind marca temporal;
Legea 589/2004 privind regimul juridic al activitii electronice notariale, mpreun
cu Ordinul Ministrului Comunicaiilor i Tehnologiei Informaiei pentru aprobarea
normelor tehnice i metodologice pentru aplicarea ei, nr. 221/2005;
Hotrrea de Guvern 557/2006 privind stabilirea datei de la care se pun n circulaie
paapoartele electronice, precum i a formei i coninutului acestora;
Ordinul Ministerului Finanelor Publice 875/2001 pentru aprobarea Regulamentului
privind operaiunile cu titluri de stat emise n form dematerializat;
Ordonana de Guvern 24/2002 privind ncasarea prin mijloace electronice a
impozitelor i taxelor locale;
Ordinul Ministerului Comunicaiilor i Tehnologiei Informaiei 218/2004 privind
procedura de avizare a instrumentelor de plat cu acces la distan, de tipul
aplicaiilor Internet-banking, home-banking sau mobile-banking;
Regulamentul Bncii Naionale a Romniei 6/octombrie 2006 privind emiterea i
utilizarea instrumentelor de plat electronic i relaiile dintre participanii la
tranzaciile cu aceste instrumente;
Legea 8/1996 privind dreptul de autor i drepturile conexe, care conine informaii
privind drepturile autorilor programelor de calculator;
Ordonana de Urgen 123/2005 pentru modificarea i completarea Legii 8/1996
privind dreptul de autor i drepturile conexe, care aduce cteva precizri
suplimentare privind distribuirea pe Internet a bazelor de date i a programelor de
calculator. Actele normative privind dreptul de autor sunt prezentate n paragraful
11.2.
Tabelul nr. 11.1 Legislaia romneasc n domeniul proteciei i securitii informaiilor

Domeniu /
an emitere act legislativ
Protejarea informaiilor
clasificate, sigurana
naional
1991
1996
2000
2001
L.
51
2002
2004
2005
2006
L. 182
H.G. 585
H.G. 781
O.G. 34
Accesul la informaia cu caracter public
L. 544
Datele cu caracter personal
L. 677
L. 682
O.A.P. 52
O.A.P 75
Criminalitatea informatic
L. 506
L. 161,
Titlul III
Comerul electronic
O.G.
130
L. 365
Semntura electronic i documente electronice
L. 455
Norma de aplicare
Plile electronice
Ordin MFP 2001
Dreptul de autor
2003
L. 8
L. 64
L. 51
L. 121
L. 451
L. 589
O.G. 24
L. 102
O. MCTI pt.
aplicarea L. 221
O. MCTI
218
H.G. 557
Regulament
BNR 6
O.U. 123
Legend: L. Legea, H.G. - Hotrrea de Guvern, O.A.P. Ordinul Avocatului Poporului, MFP Ministerul Finanelor Publice, MCTI Ministerul Comunicaiilor i
Tehnologiei Informaiei
124
Vom prezenta, n cele ce urmeaz, numai cteva legi pe care le considerm importante n
domeniul securitii informaionale.
Informaii despre toate legile din zona IT gsii la http://legi-internet.ro, iar informaii structurate despre
legile importante privind securitatea informaiilor n Oprea, D., Protecia i securitatea informaiilor, Editura
Polirom, Iai, 2007.
Legea 51/1991 privind sigurana naional a Romniei

Una dintre primele legi care face referire la securitatea informaiilor pe teritoriul
Romniei a fost Legea privind sigurana naional a Romniei, din 1991.
Printre principalele aspecte pe care le abordeaz sunt i cele care se refer la organismele
naionale care au n atribuii activitatea de informaii privind realizarea siguranei naionale, i
anume:
Serviciul Romn de Informaii, care este organul specializat n materie de informaii
din interiorul rii;
Serviciul de Informaii Externe, care urmrete obinerea informaiilor din strintate
referitoare la sigurana naional;
Serviciul de Protecie i Paz, organ specializat n asigurarea proteciei demnitarilor
romni i strini pe timpul prezenei lor n Romnia, precum i n asigurarea pazei
sediilor de lucru i reedinelor acestora.
Legea stabilete c activitile ce sunt legate de informaii necesare realizrii siguranei
naionale au caracter secret, stabilindu-se categoriile de persoane i organisme crora li se
pot comunica aceste informaii (preedintele Senatului, al Camerei Deputailor, comisiile
permanente pentru aprare public, minitrii i efii departamentelor ministeriale, prefecii,
primarul general al Capitalei, conductorii consiliilor judeene, organele de urmrire penal).
Divulgarea, prin orice mijloace, a datelor i informaiilor secrete care pot aduce prejudicii
intereselor naionale, indiferent de modul n care au fost obinute, este interzis i se
pedepsete potrivit prevederilor legale.
Pentru obinerea unor informaii din aceast categorie este necesar autorizarea efecturii
unor astfel de aciuni de ctre procurorul general al Romniei. n categoria actelor ce pot fi
autorizate intr:
interceptarea comunicaiilor;
cutarea unor informaii, documente sau nscrisuri pentru obinerea crora este
necesar accesul ntr-un loc, la un obiect sau deschiderea unui obiect;
ridicarea i repunerea la loc a unui obiect sau document, examinarea lui, extragerea
informaiilor pe care acesta le conine, ct i nregistrarea, copierea sau obinerea de
extrase prin orice procedee;
instalarea de obiecte, ntreinerea i ridicarea acestora din locurile n care au fost
depuse.
n lege se specific faptul c mijloacele de obinere a informaiilor necesare siguranei
naionale nu trebuie s lezeze drepturile sau libertile cetenilor, viaa particular, onoarea
sau reputaia lor, ori s i supun la ngrdiri ilegale. Iniierea, organizarea sau constituirea pe
teritoriul Romniei a unor structuri informative care pot atinge sigurana naional, sprijinirea
acestora sau aderarea la ele, deinerea, confecionarea sau folosirea ilegal de mijloace
specifice de interceptare a comunicaiilor, precum i culegerea i transmiterea de informaii
cu caracter secret ori confidenial, prin orice mijloace, n afara cadrului legal, se pedepsesc
potrivit prevederilor n vigoare. Informaiile privind viaa particular, onoarea sau reputaia
persoanelor, cunoscute incidental n cadrul obinerii datelor necesare siguranei naionale, nu
pot fi fcute publice.
ASPECTE JURIDICE PRIVIND PROTECIA I SECURITATEA SISTEMELOR INFORMAIONALE
125
Legea prevede c documentele organelor de informaii i ale celor cu atribuii n domeniul

siguranei naionale se pstreaz n arhivele acestora i nu pot fi consultate dect n condiiile legii.
Legea 182/2002 privind protecia informaiilor clasificate
Scopul legii l reprezint protecia informaiilor clasificate i a surselor confideniale ce asigur
acest tip de informaii. Protejarea lor se face prin instituirea sistemului naional de protecie a
informaiilor.
Principalele obiective ale proteciei informaiilor clasificate sunt:
protejarea informaiilor clasificate mpotriva aciunilor de spionaj, compromitere sau acces
neautorizat, alterrii sau modificrii coninutului acestora, precum i mpotriva sabotajelor
ori distrugerilor neautorizate;
realizarea securitii sistemelor informatice i de transmitere a informaiilor clasificate.
Protecia informaiilor clasificate vizeaz:
protecia juridic;
protecia prin msuri procedurale;
protecia fizic;
protecia personalului care are acces la informaiile clasificate ori este desemnat s asigure
securitatea acestora;
protecia surselor generatoare de informaii.
n lege sunt abordate definiiile principalilor termeni care opereaz n domeniul protejrii
informaiilor clasificate, i anume:
informaii orice documente, date, obiecte sau activiti, indiferent de suport, form, mod de
exprimare sau de punere n circulaie;
informaii clasificate informaiile, datele, documentele de interes pentru securitatea
naional, care, datorit nivelurilor de importan i consecinelor care s-ar produce ca
urmare a dezvluirii sau diseminrii neautorizate, trebuie s fie protejate;
clasele de secretizare sunt secrete de stat i secrete de serviciu;
informaii secrete de stat informaiile care privesc securitatea naional, prin a cror
divulgare se pot prejudicia sigurana naional i aprarea rii;
informaii secrete de serviciu informaiile a cror divulgare este de natur s determine
prejudicii unei persoane juridice de drept public sau privat;
nivelurile de secretizare se atribuie informaiilor clasificate din clasa secrete de stat i sunt:
strict secret de importan deosebit informaiile a cror divulgare neautorizat este de
natur s produc daune de o gravitate excepional securitii naionale;
strict secrete informaiile a cror divulgare neautorizat este de natur s produc daune
grave securitii naionale;
secrete informaiile a cror divulgare neautorizat este de natur s produc daune
securitii naionale;
protecie juridic ansamblul normelor constituionale i al celorlalte dispoziii legale n
vigoare, care reglementeaz protejarea informaiilor clasificate;
protecie prin msuri procedurale ansamblul reglementrilor prin care emitenii i
deintorii de informaii clasificate stabilesc msurile interne de lucru i de ordine interioar
destinate realizrii proteciei informaiilor;
protecie fizic ansamblul activitilor de paz, securitate i aprare, prin msuri i
dispozitive de control fizic i prin mijloace tehnice, a informaiilor clasificate;
protecia personalului ansamblul verificrilor i msurilor destinate persoanelor cu
atribuii de serviciu n legtur cu informaiile clasificate, pentru a preveni i nltura
riscurile de securitate pentru protecia informaiilor clasificate;
certificate de securitate documentele care atest verificarea i acreditarea persoanei de a
deine, de a avea acces i de a lucra cu informaii clasificate.
n lege, la art. 17 este prezentat lista informaiilor secrete de stat, iar n art. 19 cine sunt cei
mputernicii s atribuie unul dintre nivelurile de secretizare a informaiilor cu prilejul elaborrii lor.
126
Legat de informaiile secrete de stat, n lege sunt stipulate urmtoarele reglementri:

instituiile deintoare de informaii secrete de stat poart rspunderea elaborrii i aplicrii
msurilor procedurale de protecie fizic i protecie a personalului care are acces la
informaiile din aceast categorie;
documentele cuprinznd informaii secrete de stat vor purta pe fiecare pagin nivelul de
secretizare, precum i meniunea personal, cnd sunt destinate unor persoane
determinate;
autoritile publice care elaboreaz ori lucreaz cu informaii secrete vor ntocmi un ghid pe
baza cruia se va realiza o clasificare corect i uniform a informaiilor secrete de stat, n
strict conformitate cu legea;
persoanele autorizate care copiaz, extrag sau reproduc n rezumat coninutul unor
documente secrete vor aplica pe noul document rezultat meniunile aflate pe documentul
original;
declasificarea ori trecerea la un nivel inferior de clasificare este realizat de persoanele sau
autoritile publice competente s aprobe clasificarea i nivelul de secretizare a informaiilor
respective;
protecia informaiilor nedestinate publicitii transmise Romniei de alte state sau de
organizaii internaionale, precum i accesul la informaiile acestora se realizeaz n
condiiile stabilite prin tratatele internaionale sau nelegerile la care Romnia este parte;
accesul la informaii secrete de stat este permis numai n baza unei autorizaii scrise,
eliberate de conductorul persoanei juridice care deine astfel de informaii, dup notificarea
prealabil la Oficiul Registrului Naional al Informaiilor Secrete de Stat.
n ceea ce privete informaiile secrete de serviciu, legea prevede:
informaiile secrete de serviciu se stabilesc de conductorul persoanei juridice, pe baza
normelor prevzute prin hotrre a Guvernului;
informaiile secrete de serviciu vor purta pe fiecare pagin i meniunea personal, cnd
sunt destinate strict unor persoane anume determinate;
dispoziiile privind accesul la informaiile secrete de stat se aplic n mod corespunztor i n
domeniul informaiilor secrete de serviciu;
neglijena n pstrarea informaiilor secrete de serviciu atrage, potrivit legii penale,
rspunderea persoanelor vinovate;
se interzice clasificarea ca secrete de serviciu a informaiilor care, prin natura sau
coninutul lor, sunt destinate s asigure informarea cetenilor asupra unor probleme de
interes public sau personal, pentru favorizarea ori acoperirea eludrii legii sau
obstrucionarea justiiei.
Legea stabilete urmtoarele obligaii i rspunderi privind nclcarea prevederilor asupra
informaiilor secrete de stat:
persoanele fizice crora le-au fost ncredinate informaii clasificate sunt obligate s asigure
protecia acestora, potrivit legii, i s respecte prevederile programelor de prevenire a
scurgerii de informaii clasificate;
obligaiile persoanelor fizice se menin i dup ncetarea raporturilor de munc, de serviciu
sau profesionale, pe ntreaga perioad a meninerii clasificrii informaiei;
persoana care urmeaz s desfoare o activitate sau s fie ncadrat ntr-un loc de munc ce
presupune accesul la informaii clasificate va prezenta conductorului unitii un angajament
scris de pstrare a secretului;
autoritile publice, precum i celelalte persoane juridice care dein sau crora le-au fost
ncredinate informaii secrete de stat sau informaii secrete de serviciu vor asigura fondurile
necesare n vederea ndeplinirii obligaiilor care le revin, precum i lurii msurilor necesare
privitoare la protecia acestor informaii;
rspunderea privind protecia informaiilor clasificate revine conductorului autoritii sau
instituiei publice ori altei persoane juridice deintoare de informaii, dup caz;
127
informaiile secrete de stat se transmit, se transport i se stocheaz n condiiile stabilite

de lege;
este interzis transmiterea informaiilor secrete de stat prin cablu sau eter, fr a se folosi
mijloace specifice cifrului de stat sau alte elemente criptografice stabilite de autoritile
publice competente;
nclcarea normelor privind protecia informaiilor clasificate atrage rspunderea
disciplinar, contravenional, civil sau penal, dup caz;
persoanele ncadrate n serviciile de informaii i siguran sau ale armatei, aflate n serviciul
relaiilor externe, precum i cele special nsrcinate cu protecia informaiilor secrete de stat,
vinovate de deconspirri voluntare ori de acte de neglijen care au favorizat divulgarea ori
scurgerea informaiilor secrete, i pierd irevocabil calitatea.
Legea trebuie s fie aplicat avnd n vedere i reglementrile stabilite prin Standardele
naionale de protecie a informaiilor clasificate, aprobate prin Hotrrea de Guvern 585/2002.
Standardele ofer garanii de securitate pentru informaiile naionale clasificate i pentru cele
echivalente care fac obiectul acordurilor internaionale la care Romnia este parte.
Hotrrea de Guvern 781/2002 privind protecia informaiilor secrete de serviciu

Aplicarea Hotrrii se face pe baza Standardele naionale de protecie a informaiilor
clasificate, aprobate prin Hotrrea de Guvern 585/2002. Prin prevederile hotrrii, protecia
informaiilor secrete de serviciu se aplic n ceea ce privete:
clasificarea, declasificarea i msurile minime de protecie;
regulile generale de eviden, ntocmire, pstrare, procesare, multiplicare,
manipulare, transport, transmitere i distrugere;
obligaiile i rspunderile ce revin conductorilor autoritilor i instituiilor publice,
agenilor economici i altor persoane juridice;
accesul cetenilor strini, al cetenilor romni care au i cetenia altui stat, precum
i al persoanelor apatride la informaii clasificate i n locurile n care se desfoar
activiti, se expun obiecte sau se execut lucrri din aceast categorie;
exercitarea controlului asupra msurilor de protecie
n Hotrre sunt prezentate regulile de marcare, utilizare i accesare a informaiilor
secrete de serviciu, dup cum urmeaz:
pentru identificarea documentelor cu caracter secret de serviciu numrul de
nregistrare al acestora va fi precedat de litera S, iar pe fiecare pagin se va nscrie
secret de serviciu;
informaiile secrete de serviciu constituite n dosare, precum i cele legate n volume
distincte se marcheaz pe copert i pe pagina de titlu;
evidena documentelor secrete de serviciu se ine separat de cea a documentelor
secrete de stat i nesecrete, n registrul special destinat acestui scop;
se interzice scoaterea din incinta unitii deintoare a informaiilor secrete de
serviciu fr aprobarea conductorului acesteia;
funciile care presupun accesul la informaii secrete de serviciu se stabilesc de ctre
conductorii unitilor deintoare;
accesul personalului la informaiile secrete de serviciu este permis numai n baza
autorizaiei scrise (pentru care este stabilit un model cadru de formulare), emis de
conductorul unitii;
evidena autorizaiilor de acces la informaii secrete de serviciu se ine centralizat de
structura/funcionarul de securitate n Registrul pentru evidena autorizaiilor de acces
la informaii secrete de serviciu;
128
sanciunile contravenionale prevzute n Hotrrea Guvernului nr. 585/2002 se

aplic i n cazul nerespectrii normelor ce privesc protecia informaiilor secrete de
serviciu.
Legea 544/2001 privind liberul acces la informaia de interes public
Potrivit legii, informaia de interes public reprezint orice informaie care privete
activitile sau care rezult din activitile unei autoriti publice sau instituii publice,
indiferent de suportul, forma sau modul de exprimare a acesteia. Accesul la informaie se
realizeaz cu ajutorul compartimentelor specializate sau de informare i relaii cu publicul sau
prin persoanele desemnate cu atribuii n acest domeniu.
Prin autoritate sau instituie public se nelege orice autoritate sau instituie public,
precum i orice regie autonom care utilizeaz resurse financiare publice i care i desfoar
activitatea pe teritoriul Romniei, potrivit Constituiei.
n conformitate cu prevederile legii, sunt considerate informaii publice:
actele normative privind organizarea i funcionarea autoritilor sau instituiilor
publice;
structura organizatoric, atribuiile departamentelor, programul de funcionare i
audiene al instituiilor;
numele persoanelor din conducerea autoritii sau instituiei publice;
coordonatele de contact;
sursele financiare, bugetul i bilanul contabil;
programele i strategiile proprii;
lista documentelor de interes public;
lista categoriilor de documente obinute i/sau gestionate potrivit legii;
modalitile de contestare a deciziei autoritii sau instituiei publice, dac persoana
se consider vtmat n privina dreptului de acces la informaiile de interes public;
informaiile care favorizeaz sau ascund nclcarea legii de ctre o autoritate sau
instituie public nu pot fi incluse n categoria informaiilor clasificate i se constituie
n informaii de interes public;
informaiile privind datele personale ale ceteanului dac afecteaz capacitatea de
exercitare a unei funcii publice.
Nu intr n categoria informaiilor la care s aib acces liber cetenii urmtoarele:
informaiile din domeniul aprrii naionale, siguranei i ordinei publice, dac fac
parte din categoria informaiilor clasificate;
informaiile privind deliberrile autoritilor sau cele care privesc interesele
economice sau politice ale Romniei, dac fac parte din categoria informaiilor
clasificate;
informaiile privind activitile comerciale sau financiare dac publicitatea lor aduce
atingere principiului concurenei loiale;
informaiile cu privire la datele personale, potrivit legii;
informaiile privind procedurile din timpul anchetelor penale sau disciplinare, dac se
pericliteaz rezultatul anchetei;
informaiile privind procedurile judiciare, dac aduce atingere asigurrii unui proces
echitabil ori interesului legitim al oricrei pri implicate n proces;
informaiile a cror publicare prejudiciaz msurile de protecie a tinerilor.
Accesul la informaiile publice se realizeaz prin:
afiare la sediul autoritii sau al instituiei publice;
publicare n Monitorul Oficial al Romniei;
129
mijlocele de informare n mas;

publicaii proprii sau pe pagina de Internet a autoritii sau instituiei publice;
consultare la sediul autoritii sau instituiei publice, n spaii special amenajate.
Legea 677/ 2001 privind protecia persoanelor cu privire la prelucrarea datelor cu
caracter personal i libera circulaie a acestor date
Legea are ca scop garantarea i protejarea drepturilor i libertilor fundamentale ale
persoanelor fizice, n special a dreptului la viaa intim, familial i privat, cu privire la
prelucrarea datelor cu caracter personal i se aplic prelucrrilor de date cu caracter personal
efectuate prin mijloace automate, precum i prelucrrii prin alte mijloace dect cele automate
a datelor cu caracter personal care fac parte dintr-un sistem de eviden sau sunt destinate s
fie incluse n astfel de sisteme.
Legea se aplic:
prelucrrilor de date efectuate n cadrul activitilor desfurate de operatori stabilii
n Romnia;
prelucrrilor de date efectuate n cadrul activitilor desfurate de misiunile
diplomatice sau de oficiile consulare ale Romniei;
prelucrrilor de date efectuate n cadrul activitilor desfurate de operatori care nu
sunt stabilii n Romnia, prin utilizarea de mijloace de orice natur situate pe
teritoriul Romniei, cu excepia cazului n care aceste mijloace nu sunt utilizate dect
n scopul tranzitrii pe teritoriul Romniei a datelor cu caracter personal care fac
obiectul prelucrrilor respective.
Datele cu caracter personal pot fi folosite cu acceptul persoanei sau, n situaii de
excepie, fr acordul ei cu respectarea urmtoarelor reguli:
datele personale sunt prelucrate cu bun-credin i n conformitate cu dispoziiile
legale;
datele personale sunt colectate n scopuri determinate, explicite i legitime;
prelucrarea ulterioar a datelor personale se face n scopuri statistice, de cercetare
istoric sau tiinific, inclusiv a celor ce privesc efectuarea de notificri ctre
autoritatea de supraveghere, precum i cu respectarea garaniilor privind prelucrarea
datelor cu caracter personal, prevzute n normele ce reglementeaz activitatea
statistic, cercetarea istoric sau tiinific;
datele sunt adecvate, pertinente i neexcesive prin raportare la scopul pentru care sunt
colectate i prelucrate;
datele sunt exacte, eventual actualizate. n situaia datelor inexacte sau incomplete
din punct de vedere al scopului pentru care sunt colectate, ele trebuie s fie terse sau
rectificate;
datele sunt stocate ntr-o form care s permit identificarea persoanelor vizate strict
pe durata necesar realizrii scopurilor pentru care sunt colectate;
stocarea datelor pe o durat mai mare dect cea menionat se face cu respectarea
garaniilor privind prelucrarea datelor cu caracter personal, prevzute n normele care
reglementeaz aceste domenii.
Legea interzice prelucrarea datelor cu caracter personal legate de:
originea rasial, etnic;
convingerile politice, religioase, filosofice sau de natur similar;
apartenena sindical;
starea de sntate sau viaa sexual.
130
Sunt supuse unor reguli speciale de prelucrare o serie de date cu caracter personal care
au o semnificaie deosebit pentru persoanele la care fac referire, respectiv:
prelucrarea datelor cu caracter personal avnd funcie de identificare (cod numeric
personal);
prelucrarea datelor cu caracter personal privind starea de sntate;
prelucrarea datelor cu caracter personal referitoare la fapte penale sau contravenii
(cele care fac referire la svrirea de infraciuni ori la condamnri penale, msuri de
siguran sau sanciuni administrative ori contravenionale aplicate persoanei vizate).
Persoana vizat de prelucrarea datelor cu caracter personal trebuie s-i cunoasc
drepturile pe care le poate exercita, i anume:
dreptul de a fi informat cu privire la identitatea operatorului, scopul prelucrrii
datelor, destinatarii sau categoriile de destinatari ai datelor i alte informaii a cror
furnizare este impus prin dispoziia autoritii de supraveghere, innd cont de
specificul prelucrrii;
dreptul de acces la date, prin care se poate solicita operatorului confirmarea faptului
c datele care privesc persoana vizat sunt sau nu prelucrate de acesta. Operatorul
este obligat s comunice persoanei, mpreun cu confirmarea, informaii referitoare la
scopurile prelucrrii, categoriile de date avute n vedere i destinatarii sau categoriile
de destinatari crora le sunt dezvluite datele. De asemenea, legea stipuleaz
obligativitatea comunicrii ntr-o form inteligibil a datelor care fac obiectul
prelucrrii, precum i a oricrei informaii disponibile cu privire la originea datelor, a
informaiilor privind principiile de funcionare a mecanismului prin care se
efectueaz prelucrarea automat a datelor .a.;
dreptul de intervenie asupra datelor, adic rectificarea, actualizarea, blocarea,
tergerea sau transformarea n date anonime a celor a cror prelucrare nu este
conform cu legea, n special a datelor incomplete sau inexacte;
dreptul de opoziie, prin care persoana vizat are dreptul de a se opune, din motive
ntemeiate i legitime legate de situaia sa particular, ca datele care o vizeaz s fac
obiectul unei prelucrri, cu excepia cazurilor n care exist dispoziii legale contrare.
De asemenea, persoana vizat are dreptul de a se opune, n mod gratuit i fr nici o
justificare, ca datele care o vizeaz s fie prelucrate n scop de marketing direct, n
numele operatorului sau al unui ter, sau s fie dezvluite unor teri ntr-un asemenea
scop;
dreptul de a nu fi supus unei decizii individuale, ceea ce presupune retragerea sau
anularea oricrei decizii care produce efecte juridice n privina persoanei, adoptat
exclusiv pe baza unei prelucrri de date cu caracter personal, efectuat prin mijloace
automate, destinat s evalueze unele aspecte ale personalitii sale, cum ar fi
competena profesional, credibilitatea, comportamentul sau alte asemenea aspecte.
De asemenea, persoana poate solicita reevaluarea oricrei alte decizii luate n privina
sa, care o afecteaz n mod semnificativ, dac decizia a fost adoptat exclusiv pe baza
unei prelucrri de date care ntrunete condiiile enumerate anterior;
dreptul de a se adresa justiiei, prin care orice persoan care a suferit un prejudiciu n
urma prelucrrii unei date cu caracter personal, efectuat ilegal, se poate adresa
instanei competente.
Legea are prevederi exprese privind confidenialitatea i securitatea prelucrrilor.
Astfel, orice persoan care acioneaz sub autoritatea operatorului sau a persoanei
mputernicite, inclusiv persoana mputernicit, care are acces la date cu caracter personal, nu
131
poate s le prelucreze dect pe baza instruciunilor operatorului, cu excepia cazului n care

acioneaz n temeiul unei obligaii legale.
De asemenea, operatorul este obligat s aplice msurile tehnice i organizatorice
adecvate pentru protejarea datelor cu caracter personal mpotriva distrugerii accidentale sau
ilegale, pierderii, modificrii, dezvluirii sau accesului neautorizat, n special dac prelucrarea
respectiv comport transmisii de date n cadrul unei reele, precum i mpotriva oricrei alte
forme de prelucrare ilegal.
Pe lng asigurarea confidenialitii i securitii prelucrrilor, legea stabilete condiiile
i categoriile de date cu caracter personal care pot fi transferate peste graniele rii.
Legea 161/2003 privind unele msuri pentru asigurarea transparenei n
exercitarea demnitilor publice, a funciilor publice i n mediul de afaceri,
prevenirea i sancionarea corupiei
Legea face parte din pachetul legislativ anticorupie aprobat de Guvern n anul 2003. Una
din componentele importante pe linia securitii sistemelor informaionale o constituie cea
cuprins n Titlul III al legii cu privire la prevenirea i combaterea criminalitii informatice,
prin msuri specifice de prevenire, descoperire i sancionare a infraciunilor svrite prin
intermediul sistemelor informatice, asigurndu-se respectarea drepturilor omului i protecia
datelor personale.
Potrivit legii, autoritile i instituiile publice cu competene n domeniu, n cooperare
cu furnizorii de servicii, organizaiile neguvernamentale i ali reprezentani ai societii
civile desfoar urmtoarele activiti:
promoveaz politici, practici, msuri, proceduri i standarde minime de securitate a
sistemelor informatice;
organizeaz campanii de informare privind criminalitatea informatic i riscurile la
care sunt expui utilizatorii sistemelor informatice.
De asemenea, Ministerul Justiiei, Ministerul de Interne, Ministerul Comunicaiilor i
Tehnologiilor Informaiei, Serviciul Romn de Informaii i Serviciul de Informaii Externe
au ca responsabiliti:
organizarea i actualizarea continu a bazei de date privind criminalitatea
informatic;
efectuarea de studii periodice n scopul identificrii cauzelor care determin i a
condiiilor ce favorizeaz criminalitatea informatic;
desfurarea de programe speciale de pregtire i perfecionare a personalului cu
atribuii n prevenirea i combaterea criminalitii informatice.
n condiiile legii, sunt considerate infraciuni mpotriva confidenialitii i integritii
datelor i sistemelor informatice urmtoarele fapte:
accesul, fr drept, la un sistem informatic;
interceptarea neautorizat a unei transmisii de date care nu este public i care este
destinat unui sistem informatic, provine dintr-un astfel de sistem sau se efectueaz
n cadrul unui astfel de sistem informatic;
interceptarea, fr drept, a unei emisii electromagnetice provenite dintr-un sistem
informatic ce conine date care nu sunt publice;
modificarea, tergerea sau deteriorarea datelor sau restricionarea accesului la aceste
date, fr a avea autorizarea necesar;
transferul neautorizat de date dintr-un sistem informatic sau dintr-un mijloc de
stocare;
132
perturbarea grav, fr autorizare, a funcionrii unui sistem informatic prin

introducerea, transmiterea, modificarea, tergerea sau deteriorarea datelor sau prin
restricionarea accesului la aceste date;
producerea, vinderea, importarea, distribuirea sau punerea la dispoziie, sub orice alt
form, fr autorizare, a unui dispozitiv sau program informatic conceput sau adaptat
n scopul svririi de infraciuni prezentate la punctele anterioare;
producerea, vinderea, importarea, distribuirea sau punerea la dispoziie, sub orice alt
form, n mod neautorizat, a unei parole, cod de acces sau alte asemenea date care
permit accesul total sau parial la un sistem informatic, cu scopul svririi de
infraciuni prezentate la punctele anterioare;
tentativa producerii uneia din infraciunile anterioare.
n ceea ce privete infraciunile informatice, legea face referire la urmtoarele fapte:
introducerea, modificarea sau tergerea fr autorizare a datelor ori restricionarea
accesului la aceste date, rezultnd date necorespunztoare adevrului, cu scopul
producerii unei consecine juridice;
cauzarea unui prejudiciu patrimonial unei persoane prin introducerea, modificarea
sau tergerea de date, prin restricionarea accesului la aceste date sau prin
mpiedicarea n orice mod a funcionrii unui sistem informatic cu scopul obinerii
unui beneficiu material pentru sine sau pentru altul;
tentativa uneia din infraciunile informatice precedente.
Legea 455/2001 privind semntura electronic
Legea stabilete regimul juridic al semnturii electronice i al nscrisurilor n form
electronic, precum i condiiile furnizrii de servicii de certificare a semnturilor electronice.
ntr-o prim parte, legea ofer toate definiiile necesare nelegerii i aplicrii prevederilor
legale privind:
datele n form electronic reprezentri ale informaiei ntr-o form convenional
adecvat crerii, prelucrrii, trimiterii, primirii sau stocrii acesteia prin mijloace
electronice;
nscrisurile n form electronic o colecie de date n form electronic ntre care
exist relaii logice i funcionale i care redau litere, cifre sau orice alte caractere cu
semnificaie inteligibil, destinate a fi citite prin intermediul unui program informatic
sau al altui procedeu similar;
semntura electronic date n form electronic, care sunt ataate sau logic asociate
cu alte date n form electronic i care servesc ca metod de identificare;
semnatarul o persoan care deine un dispozitiv de creare a semnturii electronice
i care acioneaz fie n nume propriu, fie ca reprezentant al unui ter;
date de creare a semnturii electronice orice date n form electronic cu caracter
de unicitate, cum ar fi coduri sau chei criptografice private, care sunt folosite de
semnatar pentru crearea unei semnturi electronice;
dispozitivele de creare a semnturii software i/sau hardware configurate pentru a
implementa datele de creare a semnturii electronice;
dispozitiv securizat de creare a semnturii electronice dispozitiv de creare a
semnturii electronice;
date de verificare a semnturii electronice date n form electronic, cum ar fi
coduri sau chei criptografice publice, care sunt utilizate n scopul verificrii unei
semnturi electronice;
133
dispozitiv de verificare a semnturii electronice software i/sau hardware

configurate pentru a implementa datele de verificare a semnturii electronice;
certificat o colecie de date n form electronic ce atest legtura dintre datele de
verificare a semnturii electronice i o persoan, confirmnd identitatea acelei
persoane;
furnizorii de servicii de certificare orice persoan, romn sau strin, care
elibereaz certificate sau care presteaz alte servicii legate de semntura electronic;
produsul asociat semnturii electronice un produs hardware sau software utilizat de
furnizorul de servicii pentru prestarea serviciilor legate de semntura electronic sau
pentru crearea/verificarea acesteia.
Potrivit art. 5 i 6, nscrisul n form electronic este asimilat, n ceea ce privete
condiiile i efectele sale, cu nscrisul sub semntur privat, avnd acelai efect ca actul
autentic ntre cei care l-au subscris i ntre cei care le reprezint drepturile. De asemenea,
conform art. 7, n situaia n care forma scris este cerut ca o condiie de prob sau de
validitate a unui act juridic, un nscris n form electronic ndeplinete aceast cerin dac i
s-a ncorporat, ataat sau i s-a asociat logic o semntur electronic extins, bazat pe un
certificat calificat i generat prin intermediul unui dispozitiv securizat de creare a semnturii.
Legea stabilete condiiile de furnizare a serviciilor de certificare, obligaia furnizorilor
de a comunica autoritii de reglementare i supraveghere specializat n domeniu toate
informaiile referitoare la procedurile de securitate i de certificare utilizate, precum i orice
intenie de modificare a lor, cu precizarea datei i orei la care modificarea intr n vigoare.
Furnizorul de servicii de certificare va asigura accesul la toate informaiile necesare
utilizrii corecte i n condiii de siguran a serviciilor sale.
Persoanele fizice care presteaz, conform legii, n nume propriu servicii de certificare,
precum i personalul angajat al furnizorului de servicii de certificare, persoan fizic sau
juridic, sunt obligate s pstreze secretul informaiilor ncredinate n cadrul activitii lor
profesionale, cu excepia celor n legtur cu care titularul certificatului accept s fie
publicate sau comunicate terilor.
Autoritatea de reglementare i supraveghere specializat n domeniu i furnizorii de
servicii de certificare au obligaia s respecte dispoziiile legale privitoare la prelucrarea
datelor cu caracter personal.
Furnizorii de servicii de certificare au obligaia de a crea i de a menine un registru
electronic de eviden a certificatelor eliberate, care trebuie s fie disponibil permanent pentru
consultare, inclusiv n regim on-line.
De asemenea, sunt stipulate:
meniunile pe care trebuie s le conin certificatul la eliberare;
condiiile pe care trebuie s le ndeplineasc furnizorii de servicii pentru eliberarea
certificatelor;
obligativitatea asigurrii pentru acoperirea prejudiciilor pe care furnizorul le-ar putea
cauza cu prilejul desfurrii activitilor legate de certificarea semnturilor
electronice;
condiiile n care poate fi suspendat i nceteaz validitatea certificatelor eliberate;
responsabilitile autoritii de reglementare i supraveghere;
omologarea dispozitivelor securizate de creare i verificare a semnturii electronice;
modalitatea de recunoatere a certificatelor eliberate de furnizorii de servicii de
certificare strini;
rspunderea furnizorilor de servicii;
134
obligaiile titularilor de certificate;

contraveniile i sanciunile.
Imaginai un caz de nclcare a unei legi dintre cele de mai sus. Imaginai un proces pe marginea
respectivului caz, prezentnd succint argumentele aprrii i acuzrii.
11.2 Protecia prin patente, copyright, licene i mrci nregistrate

Alturi de legislaia ce se refer efectiv la protejarea datelor i informaiilor din sistemele
de prelucrare automat a datelor, se va urmri i cadrul legal prin care sunt asigurate
drepturile pentru protecia intelectual.
135
Astfel, n majoritatea rilor, legile privind protejarea proprietii intelectuale

(patentele, copyright-ul i mrcile nregistrate), mpreun cu legile privind secretul comercial,
legea contractelor, sunt aplicate pentru a asigura i protecia software-ului, n general.
Patentele au rolul de a proteja conceptele industriale ncorporate la realizarea soft-ului, n
timp ce copyright-ul urmrete protejarea codului surs sau a codului obiect care st la baza
produselor obinute. Marca de nregistrare pentru produsele informatice protejeaz numele
sub care este realizat produsul, iar nregistrarea mrcii va preveni utilizarea nsemnului de
ctre ali productori pentru bunuri sau servicii similare.
S-a constatat c, n ultima perioad, costul unui sistem este format, n proporie de
aproape 2/3, din preul mediu de achiziionare i instalare a soft-ului. Situaia a fost mult
amplificat de invadarea pieei calculatoarelor de ctre microcalculatoarele personale. Una
din cele mai importante probleme ale ptrunderii soft-ului pe pia o constituie faptul c
programele trebuie s fie accesibile cumprtorilor diferitelor tipuri de echipamente i crora
trebuie s li se asigure o ntreinere corespunztoare. Din aceast cauz, dificultatea
productorului de soft, care realizeaz produse n serie mare i care sunt lansate pe diferite
piee, este imposibilitatea prevenirii copierii programelor livrate de ctre diferite persoane
neautorizate. Acest lucru determin o frustrare a productorului de la drepturile sale de
vnzare. Este cunoscut faptul c aproape 25% dintre cele mai utilizate produse de pe piaa
soft-ului nu aduc nici un venit celor care le-au realizat.
Educarea publicului este necesar pentru a arta c dac copierea produselor soft devine
un fenomen de mas, rezultatul va fi o scdere drastic a resurselor obinute de firme din
vnzarea acestora, cu efecte vizibile asupra capacitii de finanare a activitilor de cercetare
i de investiii. De asemenea, publicul trebuie s tie faptul c preul unui program informatic
nu este reprezentat de costul suportului pe care este memorat acesta (disc, band, CD, DVD
etc.).
11.2.1 Patentele la nivelul Oficiului European de Patente (EPO European

Patent Office)
Reglementrile stabilite la nivelul EPO au intrat n vigoare pe 6 martie 1985. n timpul
discuiilor, s-a stabilit c pentru industria informatic, care se confrunt cu dificulti practice
n includerea programelor informatice n categoria inveniilor, nu se justific o abordare
restrictiv a subiectelor ce pot fi puse sub jurisdicia patentelor.
Reglementrile clarific problemele legate de nscrierea sau nu cu drept de patent a
combinaiei calculator-programe. Astfel, un program informatic sau o nregistrare efectuat
pe un suport nu sunt brevetabile prin coninutul lor. Pe de alt parte, dac subiectul revendicat
aduce contribuii noi, el nu poate fi exclus din categoria celor supuse patentului. De exemplu,
noile programe de control al echipamentelor, al produciei sau al proceselor ar putea fi privite
ca poteniale subiecte de patente. Dac subiectul revendicat se refer numai la mediul intern
de lucru al unui calculator el poate fi supus legii patentelor numai dac ofer o serie de
elemente tehnice noi.
Pentru stabilirea dreptului de patent subiectul trebuie supus unor teste de determinare a
gradului de noutate pe care l aduce, respectiv s se urmreasc modul de ncadrare n
prevederile legii.
Una dintre recomandrile EPO nu se refer la programele informatice n sine, ci la
inveniile care pot lua forma unui program specific unui calculator. Potrivit acestora,
furnizarea i ncrcarea unor programe pentru care nu s-a obinut dreptul de folosire i care au
dreptul de protecie prin patent reprezint o nclcare a legii.
136
Recomandrile EPO specific urmtoarele elemente: programele informatice care, atunci

cnd au fost ncrcate ntr-un sistem, au determinat ca acel sistem s capete noi funcii sau s
i fie rennoite cele existente pot fi protejate prin patent. Distribuirea soft-ului ca atare, pe o
dischet, pe memoria ROM etc. poate fi supus controlului sub termenii nclcrii legii
patentelor dac nu au fost respectate prevederile legale de distribuire a produselor brevetate.
Este foarte probabil ca noile produse informatice, dei probeaz un anumit grad de noutate, s
nu fac fa testelor de probare a coninutului lor, att timp ct pentru realizarea lor s-au
folosit algoritmi i subrutine deja cunoscute, fiind doar adaptri inventive la produsele
existente. Din acest punct de vedere, s-ar putea considera c, de exemplu, doar primele
procesoare de texte i primele programe de calcul tabelar au dreptul de a obine patentul.
Dintr-un anumit punct de vedere se consider c patentele pentru invenii ce se bazeaz
pe programe informatice sunt mai puin valoroase dect n cazul altor produse. n cazul
microprocesoarelor, acest lucru este n mod evident neadevrat, dac invenia se
concretizeaz ntr-un microprocesor care poate s fac fa tuturor testelor ce se aplic unei
invenii oarecare.
n cazul programelor este necesar dezvluirea mai multor informaii cu privire la scopul
care este urmrit prin ele. Pentru aceasta trebuie s se fac cunoscut codul-surs, care n mod
normal nu este vizibil publicului, cruia i este suficient doar codul-obiect pentru a putea
utiliza programul.
S-a pus i problema dificultii descoperirii nclcrilor legii privind programele
informatice fa de alte domenii de activitate, n care procesul realizrii inveniilor poate fi
supus unui control riguros prin intermediul patentelor (procesele chimice, domeniul
telecomunicaiilor, alte domenii tehnologice complexe).
O modalitate mai sigur de protejare a programelor este cea realizat prin copyright,
nclcat numai de persoanele care au folosit, fr a avea dreptul, un program protejat prin
copyright. Spre deosebire de aceast situaie, un patent poate fi nclcat de ctre o persoan
care concepe, la o perioad de timp mai ndelungat, o invenie asemntoare sau folosete
idei i/sau elemente ale inveniei originale, revendicndu-i un drept de brevet pentru lucrarea
sa.
De asemenea, programele mai pot fi protejate prin asigurarea distribuirii numai a
codului-obiect i pstrarea secretului comercial de ctre distribuitori.
La respingerea includerii programelor informatice n categoria subiectelor de patente, s-a
adus ca argument i perioada mare de timp care se scurge ntre momentul formulrii cererii i
cel al obinerii patentului, dac se ine seama de rapiditatea schimbrilor din acest domeniu.
Critica nu a fost lansat sistemului de patente, ci modului de derulare a procedurilor de
obinere a acestora.
11.2.2 Copyright-ul
Copyright-ul i are originea n Anglia, nc din 1709, dar statutul su a fost definit prin
Legea Copyright-ului din 1911. Legea n vigoare este ns cea adoptat n 1956. Prin
publicarea, n aprilie 1986, a unei recomandri numite Proprietatea intelectual i invenia,
guvernul britanic a propus cteva amendamente acestei legi.
Copyright-ul, ca nume, sugereaz un drept de copiere, dar n mod normal el este neles
ca fiind un drept de a mpiedica copierea muncii altora, care este subiect al copyright-ului. n
Marea Britanie, copyright-ul implic o anumit formalitate i nregistrarea unor date pentru
obinerea sa, acordndu-se automat persoanelor calificate pentru ceea ce ele au creat prin
munca lor. O persoan calificat se consider a fi o persoan britanic sau protejat prin legile
137
n vigoare, o corporaie nregistrat care i desfoar activitatea pe teritoriul britanic i pe

baza legilor engleze. Publicarea lucrrii ce se constituie subiect de copyright nu este esenial
pentru obinerea acestuia. Data publicrii va afecta, totui, termenul de copyright, care, n
mod normal, este de 50 de ani de la sfritul anului calendaristic n care autorul moare, n
cazul publicrii post-mortem, sau 50 de ani de la publicarea pentru prima dat a lucrrii.
Termenul copyright-ului difer fa de cel al patentelor, care se acord pentru o perioad de
20 de ani, sau de perioada nedeterminat a secretului comercial sau al confidenialitii
datelor, care, n cele mai multe cazuri, se stinge cnd subiectul ce a stat la baza
confidenialitii a fost fcut public.
Copyright-ul se aplic lucrrilor originale din domeniul literar, dramaturgiei, artei
plastice. Drepturi speciale se acord filmelor cinematografice, nregistrrilor audio i
reclamelor. De asemenea, lucrrile din industria informatic sunt asimilate lucrrilor literare
i artistice. Astfel de lucrri sunt subiecte de copyright numai dac i dovedesc originalitatea.
Totui, gradul de originalitate cerut este nesemnificativ i este legat mai mult de creaie dect
de conceptul de noutate, cum este n cazul patentelor.
Protecia n cazul copyright-ului este acordat pentru coninutul formal sau expresia
lucrrii i nu pentru ideile pe care se bazeaz. Acest lucru este n contrast cu Legea Patentelor,
n care protecia este acordat pentru coninutul de fond al inveniei i nu pentru coninutul
formal.
11.2.2.1 Copyright-ul i software-ul
La nivelul majoritii rilor dezvoltate s-au constituit organizaii i instituii speciale care
se ocup de respectarea legislaiei privind copyright-ul. De exemplu, n Anglia de aplicarea
prevederilor legale privind copyright-ul se ocup Federaia mpotriva Furtului de Soft (FAST
Federation Against Software Theft).
Cele mai cunoscute reguli privind copyright-ul sunt:
numai proprietarul copyright-ului sau celui cruia i s-a derogat acest drept poate apela
la justiie n cazul n care se dovedete nclcarea lui. De aceea, este deosebit de
important ca proprietarii soft-ului s se asigure c i-au nregistrat produsele lor sub
copyright;
cnd soft-ul este realizat de ctre salariai ai firmei, care sunt i acionarii si, ei pot
obine, n mod automat, dreptul de copyright. Aceast regul nu poate fi aplicat i
simplilor salariai sau programatorilor angajai temporar;
documentaia original, obinut n timpul realizrii programului, trebuie s fie datat
pentru a putea demonstra perioada n care a fost elaborat programul i pentru a
proteja materialele literare legate de produs. Copyright-ul poate fi obinut chiar i pe
baza acestei documentaii, care poate s asigure posibilitatea de stabilire a unui drept
de copyright firmei productoare, ct i posibilitatea de a scoate n eviden faptul c
produsul a fost realizat fr a nclca dreptul de copyright al altor produse;
aducerea la cunotina distribuitorilor i utilizatorilor programului c este un produs
aflat n proprietatea cuiva. Acest lucru se poate realiza prin includerea unui marcaj nu
numai pe documentaie i manuale, ci chiar n program. Una din cele mai folosite
notaii este format din simbolul nsoit de numele proprietarului i anul primei
publicri, n concordan cu cerinele Conveniei Universale a Copyright-ului (UCC Universal Copyright Convention). Deoarece mai sunt sisteme de prelucrare automat
a datelor care nu dispun de acest simbol se poate utiliza i notaia (C), sau poate fi
scris efectiv cuvntul Copyright;
138
detectarea i identificarea nclcrilor copyright-ului sunt destul de dificile, mai ales

cnd sunt realizate cu scopul includerii anumitor elemente n alte produse care nu
sunt nregistrate sub aceeai descriere. Pentru aceasta nu este suficient s se
demonstreze doar similaritatea produselor, ci ar trebui identificate anumite elemente
specifice doar programului original. Astfel, ar putea fi nglobate n produsele
originale, n mod deliberat, erori sau algoritmi suplimentari, dar care s nu afecteze
utilizarea programului, i care cu greu s poat fi identificate;
stabilirea n contractele ncheiate cu salariaii a unor clauze prin care acetia se oblig
s respecte confidenialitatea informaiilor fa de ali productori de produse similare
sau fa de clieni.
11.2.2.2 Marcarea copyright-ului
Exist dou convenii internaionale privind copyright-ul, respectiv Convenia BERNE i

Convenia Universal a Copyright-ului, care au efecte n teritoriile rilor semnatare ale
acestora.
Protecia oferit n fiecare ar depinde de legea proprie a copyright-ului, iar conveniile
stabilesc numai drepturile reciproce care se respect ntre rile semnatare.
Legat de modul de marcare a copyright-ului nu sunt cerine stricte, dar potrivit
prevederilor UCC, drepturile reciproce pot fi respectate dac se folosete notaia standard:
Proprietarul lucrrii, anul primei apariii
Simbolul poate s apar fie pe prima pagin a publicaiei, fie la sfritul paginii de titlu.
Problema care apare la introducerea notaiei nu se refer la publicaii sau alte materiale,
ci la includerea ei n cadrul software-ului. Se recomand ca o notaie s fie nregistrat astfel
nct s fie vizibil pentru utilizatori, iar o alt notaie s fie citibil numai pentru calculator.
n acest sens, Oficiul Copyright din SUA a promulgat cteva recomandri pentru plasarea
corespunztoare a notaiei copyright. Astfel, pentru lucrrile reproduse prin copii pe diferite
suporturi de memorare, de pe care notaia nu poate fi vizualizat dect cu ajutorul
echipamentului, pot fi folosite urmtoarele metode de poziionare a simbolului:
un simbol care s fie perceptibil la listare, fie n titlu, fie la sfritul lucrrii;
un simbol care s fie afiat pe monitorul utilizatorului la demararea lucrului cu
programul;
un simbol care s apar continuu pe ecranul terminalului;
un simbol fixat pe o etichet sigur a copiilor, pe o cutie, cartu, caset sau orice alt
dispozitiv folosit ca un receptor permanent al copiilor.
Trebuie avut n vedere c simbolul care apare n codul surs, n momentul generrii
codului-main, cu ajutorul translatoarelor (asambloare, compilatoare), fiind considerat un
comentariu al programului ar putea fi omis de la translare. De aceea, este necesar ca notaia
copyright-ului s fie realizat ntr-un format recunoscut la transformarea codului surs n cod
obiect. Acest lucru poate fi realizat prin includerea unei linii duble a notaiei copyright-ului,
care s apar n format alfa-numeric ce va conine cele trei elemente ale notaiei (simbolul de
copyright, numele autorului i anul primei apariii).
11.2.2.3 Protecia copyright-ului n Romnia
n Romnia prima lege care reglementeaz drepturile de autor i cele conexe a fost Legea
nr. 8/1996 privind dreptul de autor i drepturile conexe, completat ulterior cu Legea nr. 329
din 14 iulie 2006 privind aprobarea Ordonanei de Urgen 123 din 1 septembrie 2005
pentru modificarea i completarea Legii nr. 8/1996 privind dreptul de autor i drepturile
conexe.
139
Conform legii modificate i completate, n capitolul III Obiectul dreptului de autor,

art. 7, pct. a), constituie obiect al dreptului de autor programele pentru calculator, oricare ar
fi modalitatea de creaie, modul sau forma concret de exprimare i independent de valoarea
i destinaia lor. n articolul 8, n categoria operelor derivate create plecnd de la una sau mai
multe opere preexistente sunt menionate i bazele de date care, prin alegerea ori
dispunerea materialului, constituie creaii intelectuale.
Potrivit articolului 13 din Capitolul IV Coninutul dreptului de autor, utilizarea unei
opere d natere la drepturi patrimoniale, distincte i exclusive, ale autorului de a autoriza
sau de a interzice:
a) reproducerea operei;
b) distribuirea operei;
c) importul n vederea comercializrii pe piaa intern a copiilor realizate, cu
consimmntul autorului, dup oper;
d) nchirierea operei;
e) mprumutul operei;
f) comunicarea public, direct sau indirect a operei, prin orice mijloace, inclusiv prin
punerea operei la dispoziia publicului, astfel nct s poat fi accesat n orice loc i n orice
moment ales, n mod individual, de ctre public;
g) radiodifuzarea operei;
h) retransmiterea prin cablu a operei;
i) realizarea de opere derivate.
Drepturile asupra programelor de calculator sunt valabile pe tot timpul vieii autorului,
iar dup moartea sa se transmit prin motenire, potrivit legislaiei civile, pe o perioad de 70
de ani.
n seciunea IV Contractul de nchiriere, articolul 63, se prevede c prin contractul de
nchiriere a unei opere, autorul se angajeaz s permit folosina, pe timp determinat, cel
puin a unui exemplar al operei sale, n original sau n copie, n special programe pentru
calculator ori opere fixate n nregistrri sonore sau audiovizuale. Autorul pstreaz dreptul de
autor asupra operei nchiriate, cu excepia dreptului de difuzare, dac nu s-a convenit altfel.
Legea are un capitol distinct privind programele de calculator, unde sunt reglementate
aspectele legate de protecia programelor, stabilind categoriile ce intr sub incidena legii,
respectiv programele de aplicaie i sistemele de operare, exprimate n orice fel de limbaj, fie
n cod-surs sau cod-obiect, materialul de concepie pregtitor, precum i manualele.
Autorii programelor beneficiaz de drepturile generale ale oricrui autor de opere, aa
cum sunt stabilite n partea I a legii i enumerate mai sus, cu accentuare asupra dreptului
exclusiv de a realiza i autoriza reproducerea, traducerea, difuzarea originalului sau copiilor
unui program. O atenie special trebuie acordat articolului 74, care spune c, n lipsa unei
clauze contrare, drepturile patrimoniale de autor asupra programelor pentru calculator, create
de unul sau de mai muli angajai n exercitarea atribuiilor de serviciu ori dup instruciunile
celui care angajeaz, aparin angajatorului.
Legea ofer i detalii privind drepturile utilizatorilor programelor legate de realizarea
arhivelor, copiilor de siguran, testarea funcionrii programului cu ocazia ncrcrii lui n
sistem pentru care exist autorizarea din partea autorului. Toate aceste aciuni se pot face fr
autorizarea expres a autorului. Nu se aplic n cazul programelor pentru calculator
prevederile Art. 10, lit. e), care reglementeaz dreptul de a retracta opera, despgubind, dac
este cazul, pe titularii drepturilor de exploatare, prejudiciai prin exercitarea retractrii.
n schimb, art. 78 prevede c autorizarea titularului dreptului de autor nu este obligatorie
atunci cnd reproducerea codului sau traducerea formei acestui cod este indispensabil pentru
140
obinerea informaiilor necesare interoperabilitii unui program pentru calculator cu alte

programe, dac sunt ndeplinite o serie de condiii:
a) actele de reproducere i de traducere sunt ndeplinite de o persoan care deine dreptul
de utilizare a unei copii a programului sau de o persoan care ndeplinete aceste aciuni n
numele celei dinti, fiind abilitat n acest scop;
b) informaiile necesare interoperabilitii nu sunt uor i rapid accesibile persoanelor
prevzute la litera a);
c) actele prevzute la litera a) sunt limitate la prile de program necesare
interoperabilitii.
Art. 79 specific faptul c informaiile obinute prin aplicarea art. 78:
a) nu pot fi utilizate n alte scopuri dect la realizarea interoperabilitii programului
pentru calculator, creat independent;
b) nu pot fi comunicate altor persoane, n afara cazului n care comunicarea se dovedete
necesar interoperabilitii programului pentru calculator, creat independent;
c) nu pot fi utilizate pentru definitivarea, producerea ori comercializarea unui program
pentru calculator, a crui expresie este fundamental similar, sau pentru orice alt act ce aduce
atingere drepturilor autorului.
n capitolul VI al Titlului II al legii, sunt prezentate drepturile sui-generis ale
fabricanilor bazelor de date.
Articolul 122 definete baza de date ca o culegere de opere, de date sau de alte elemente
independente, protejate ori nu prin drept de autor sau conex, dispuse ntr-o modalitate
sistematic ori metodic i n mod individual accesibile prin mijloace electronice sau printr-o
alt modalitate.
Prin fabricantul unei baze de date se nelege persoana fizic sau juridic ce a fcut o
investiie substanial cantitativ i calitativ n vederea obinerii, verificrii sau prezentrii
coninutului unei baze de date. Acestuia i revine dreptul patrimonial exclusiv de a autoriza i
de a interzice extragerea i/sau reutilizarea totalitii bazei de date sau a unei pri substaniale
din aceasta, evaluat calitativ sau cantitativ. Fabricantul nu mai poate mpiedica extragerea
i/sau reutilizarea normal, parial sau total a bazei de date dac a pus-o, prin orice
modalitate, la dispoziia publicului.
n acelai timp, ns, utilizatorul legitim al unei baze de date, care este pus la dispoziia
publicului, nu poate efectua acte care intr n conflict cu utilizarea normal a acestei baze de
date sau care lezeaz n mod nejustificat interesele legitime ale fabricantului bazei de date. De
asemenea, el nu poate s aduc prejudicii titularilor unui drept de autor sau conex care se
refer la opere ori la prestaii coninute n aceast baz de date.
Utilizatorului legitim al unei baze de date, care este pus la dispoziia publicului prin
orice modalitate, i este permis, fr autorizarea fabricantului bazei de date, s extrag sau s
reutilizeze o parte substanial a coninutului acesteia n cazul n care utilizarea este:
a) privat, iar baza de date neelectronic;
b) pentru nvmnt sau pentru cercetare tiinific, cu condiia indicrii sursei i n
msura justificat de scopul necomercial urmrit;
c) n scopul aprrii ordinii publice i a siguranei naionale ori n cadrul unor proceduri
administrative sau jurisdicionale.
Baza de date este protejat de lege pentru 15 ani, ncepnd cu data de 1 ianuarie a anului
imediat urmtor definitivrii sale.
De asemenea, orice modificare substanial, evaluat calitativ sau cantitativ, a
coninutului unei baze de date, constnd, n special, n adugri, suprimri sau schimbri
succesive i pentru care se poate considera c s-a efectuat o nou investiie substanial,
141
evaluat calitativ sau cantitativ, permite atribuirea unei durate de protecie proprii bazei de
date rezultate din aceast investiie.
11.2.3 Protejarea mrcilor nregistrate

Un ajutor deosebit pentru piaa calculatoarelor l poate constitui alegerea unui nume edificator
pentru produsul lansat. Un nume uor de reinut i remarcabil poate fi mai mult dect o
simpl receptare a produsului. El poate identifica programul cu un comerciant i poate asigura
cumprtorul sau liceniatul c i se ofer programul care s-i satisfac cerinele ateptate. Din
acest motiv, un nume poate determina obinerea unei imense valori comerciale, iar cel care-l
distribuie va cuta s-i protejeze good-will-ul asociat acestui nume.
Cea mai eficient metod de protejare a unui nume ataat unui program const n
nregistrarea lui ca o marc. Aceasta asigur recunoaterea statutar a mrcii ca proprietate
atribuibil i transmisibil.
Ca form a proprietii industriale, mrcile nregistrate au un mare avantaj fa de brevete
i copyright: pot fi obinute pentru o perioad nelimitat.
De exemplu, n Marea Britanie, nregistrarea mrcilor este controlat prin Legea
nregistrrii Mrcilor, n categoriile clasei 42 fiind incluse programarea calculatoarelor,
consultaiile profesionale i serviciile de cercetare tehnic. n octombrie 1986 a luat fiin
Serviciul de nregistrare a Mrcilor.
11.2.4 Licenele
Dei, adesea, nu suntem contieni de importana acestui fapt, licenele sunt o parte a
vieii noastre de zi cu zi. Aproape toi dintre noi avem o licen de conducere sau pentru TV.
Fr ndoial c majoritatea produselor pe care le avem n cas (alimente, jocuri, maini de uz
casnic etc.) au o etichet ce conine urmtoarele cuvinte produs sub licen (Manufactured
under Licence) sau o fraz similar. Este clar c licena nu se aplic numai calculatoarelor i
soft-ului.
Licena are rolul de a asigura productorul c nici o alt firm nu va putea realiza
produsele sale sub alt nume fr a obine acordul su, printr-un contract specific acestui gen
de operaiuni.
Unele licene deriv din legislaia specific unor activiti pe care guvernele doresc s le
controleze i/sau s-i asigure un venit din ele. De exemplu, licena TV i are originea n
prevederile Legii telegrafiei din 1949 (Wireless Telegraphy Act). Altele se bazeaz pe
legislaia privind drepturile de proprietate intelectual (IPR - Intellectual Property Rights).
Industria informatic poate fi considerat o industrie internaional; soft-ul poate fi
transmis foarte uor i rapid n ntreaga lume, fie prin intermediul suporturilor de memorare,
fie prin liniile de comunicaii existente.
Problemele comerciale privind protecia unui program apar ori de cte ori este transferat
peste graniele rii n care a fost realizat.
Legislaia privind proprietatea intelectual are un grad diferit de uniformitate n lume, dar
care poate fi influenat prin conveniile internaionale. Totui, uniformitatea legislativ n
acest domeniu este mult mai mare fa de legile specifice altor domenii.
Majoritatea rilor industrializate recunosc c persoanei care cheltuie timp i bani pentru
a realiza un program informatic trebuie s i fie asigurat o anumit protecie mpotriva
utilizrii neautorizate a programului su. Dei, aa cum am menionat anterior, legile nu ofer
acelai nivel de protecie, efectele lor asupra informaiilor confideniale, secretelor
comerciale, concurenei neloiale sunt aproape aceleai.
142
De multe ori, se consider mai eficient asigurarea proteciei prin licen a anumitor
informaii sau programe, dect prin pstrarea secretului lor de ctre o persoan sau un grup
restrns de persoane.
n general, prin legislaia existent, prilor interesate ntr-un contract de licen li se
ofer libertatea de a-i stabili termenii contractelor n funcie de necesitile lor. Cu toate
acestea, sistemul legal al rilor tinde s stabileasc anumite limite care s permit ncadrarea
termenilor contractuali ntr-o serie de norme economice i sociale.
Dai exemple de nclcri ale dreptului de autor, mrcii nregistrate, patentelor i licenelor cu care v-ai
ntlnit n viaa real sau n literatur.
Rezumat
Pentru a demonstra vulnerabilitatea sistemelor de comunicaie n faa persoanelor ru-intenionate,

sunt prezentate posibilitile de interceptare a comunicaiilor i alte vulnerabiliti care apar n cazul
telefoanelor standard i mobile. Pentru a evita aceste riscuri, sunt tratate i msurile de securitate adecvate.
1.
Patriciu, V.V., Ene-Pietroanu, M, Bica, I., Priescu, J. - Semnturi electronice i securitate

informatic. Aspecte criptografice, tehnice, juridice i de standardizare, Ed. BIC All, Bucureti,
2006

PSSI bb15

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

PSSI bb15

Încărcat de

Drepturi de autor:

Formate disponibile

UNIVERSITATEA Al.I.

PROTECIA I SECURITATEA SISTEMELOR

1.3 Mecanisme de aprare prezentare general ......................................................................... 22

Unitatea de studiu II Protecia informaiilor prin clasificarea lor

2.4 Declasificarea i degradarea informaiilor clasificate ............................................................. 33

2.7 Clasificarea informaiilor organizaiilor .................................................................................. 37

Unitatea de studiu III Controlul accesului n sistemele informaionale

Unitatea de studiu IV Politici, standarde, norme i proceduri de securitate

4.2 Programul de securitate ............................................................................................................. 60

Unitatea de studiu V Criptografia

5.3.1 Substituia ........................................................................................................................................ 72

5.4 Sisteme de criptare prin chei secrete (simetrice) ..................................................................... 81

Unitatea de studiu VI Securitatea la nivelul centrelor de prelucrare a datelor

6.1 Alegerea amplasamentului centrelor de calcul ................................................................................ 85

Unitatea de studiu VII Securitatea echipamentelor de prelucrare a datelor

7.1 Vulnerabilitatea echipamentelor de prelucrare a datelor .............................................................. 91

Unitatea de studiu VIII Securitatea software-ului ................................................................... 97

Unitatea de studiu IX Securitatea personalului..................................................................... 101

Unitatea de studiu X Securitatea comunicaiilor

Unitatea de studiu XI Aspecte juridice privind protecia i securitatea sistemelor

Cadrul general al proteciei

Unitatea de studiu 1 dorete s-i conving cititorii c:

1.1 Scurt istorie modern a (in)securitii informaiilor

PROTECIA I SECURITATEA SISTEMELOR INFORMAIONALE

Dac ne raportm la dinamica fantastic din domeniu, ne dm seama de creterea

CADRUL GENERAL AL PROTECIEI I SECURITII SISTEMELOR INFORMAIONALE

cheltuielilor generale, neglijnd aspectele att de importante ale protejrii averii

Potrivit www.ifip.org, ianuarie 2011.

PROTECIA I SECURITATEA SISTEMELOR INFORMAIONALE

n 1974, s-a nfiinat Institutul pentru Securitatea Calculatoarelor (Computer Security

CADRUL GENERAL AL PROTECIEI I SECURITII SISTEMELOR INFORMAIONALE

1.2. Particulariti ale securitii sistemelor informaionale

PROTECIA I SECURITATEA SISTEMELOR INFORMAIONALE

ndeprtare vizibil de modul tradiional de pstrare a documentelor primare, de gestionare a

CADRUL GENERAL AL PROTECIEI I SECURITII SISTEMELOR INFORMAIONALE

Conceptul cutat cu Google

PROTECIA I SECURITATEA SISTEMELOR INFORMAIONALE

Conceptul cutat cu Google

Conceptul cutat cu Google

Numrul de pagini returnate, 2013

1.2.1 Vulnerabilitatea microcalculatoarelor

CADRUL GENERAL AL PROTECIEI I SECURITII SISTEMELOR INFORMAIONALE

a) apariia numeroaselor eecuri sau erori n operaiunea de creare a copiilor de

PROTECIA I SECURITATEA SISTEMELOR INFORMAIONALE

9. Pe suporturile cu capacitate de memorare foarte mare, fiind ascunse datele deosebit de

3 elemente de vulnerabilitate a telefoanelor mobile:

CADRUL GENERAL AL PROTECIEI I SECURITII SISTEMELOR INFORMAIONALE

1.2.2 Forme de manifestare a pericolelor n sistemele informaionale

PROTECIA I SECURITATEA SISTEMELOR INFORMAIONALE

CADRUL GENERAL AL PROTECIEI I SECURITII SISTEMELOR INFORMAIONALE

1.2.2.2 Factorii naturali, bazai pe hazard

PROTECIA I SECURITATEA SISTEMELOR INFORMAIONALE

Pentru evitarea acestor cazuri, se impun: instruirea personalului, controlarea i

CADRUL GENERAL AL PROTECIEI I SECURITII SISTEMELOR INFORMAIONALE

1.2.3 Asigurarea securitii sistemelor informaionale pai de urmat i

PROTECIA I SECURITATEA SISTEMELOR INFORMAIONALE

1.3 Mecanisme de aprare prezentare general

CADRUL GENERAL AL PROTECIEI I SECURITII SISTEMELOR INFORMAIONALE

Gradul de confidenialitate a informaiei protejate va determina ce mecanisme de aprare

Fig. 1.1 Protecia informaiei prin mecanisme specializate

US11 Aspectejuridice privind protecia i securitatea sistemelor informaionale

Fig. 1.2 Sinteza coninutului manualului pe mecanisme de securitate

PROTECIA I SECURITATEA SISTEMELOR INFORMAIONALE

Bibliografie disponibil n biblioteca FEAA