Documente Academic
Documente Profesional
Documente Cultură
Cuza IAI
FACULTATEA DE ECONOMIE I ADMINISTRAREA AFACERILOR
DEPARTAMENTUL PENTRU NVAMNT LA DISTAN I
NVMNT CU FRECVEN REDUS
DUMITRU OPREA
Iai, 2015
Cuprins
Cuprins .................................................................................................................................................. 2
Prefa ................................................................................................................................................... 6
Unitatea de studiu I Cadrul general al proteciei i securitii sistemelor
informaionale
7
1.1 Scurt istorie modern a (in)securitii informaiilor .............................................................. 7
1.2. Particulariti ale securitii sistemelor informaionale ........................................................ 11
1.2.1 Vulnerabilitatea microcalculatoarelor .......................................................................................... 14
1.2.2 Forme de manifestare a pericolelor n sistemele informaionale ................................................. 17
1.2.3 Asigurarea securitii sistemelor informaionale pai de urmat i reguli generale ................ 21
85
91
Bibliografie general
Referine Internet
Bibliografie disponibil n biblioteca FEAA
143
144
145
Unitatea de studiu I
10
Pentru a v edifica asupra rolului unor astfel de organizaii, putei lectura scopul nfiinrii i a
obiectivele urmrite de fiecare dintre grupurile de lucru menionate la adresa de Internet www.ifip.org.
De asemenea, recomandm site-ul pentru informarea privind domeniile actuale de interes,
principalele evenimente profesional-academice i personalitile din zona IT.
11
Romnia, Rusia, Republica Ceh, iar ulterior, de Bulgaria i Ucraina. Prevederile privind
criptografia au fost preluate de la COCOM.
Deci, dac de peste patru decenii sunt preocupri pe linia securitii informaiilor
prelucrate n sistemele de prelucrare automat, prin cursuri universitare, cri, simpozioane
.a., dac pe plan internaional exist attea organisme care se ocup de problematica
menionat, considerm fireasc abordarea i la noi, cu mai mult seriozitate, a Proteciei i
securitii informaiilor.
Identificai cteva repere istorice (la nivel statal, academic sau organizaional) privind protecia i securitatea
informaiilor n Romnia.
12
13
ale firmei IBM, care conineau direciile de cercetare pe urmtorii 15 ani, intrate n posesia
unei firme dintr-o ar concurent.
Necunoaterea calculatoarelor. Pentru foarte multe persoane, ndeosebi de vrst
naintat, calculatorul este investit cu fore supraomeneti, ceea ce le confer o ncredere
oarb n datele obinute prin intermediul lui. De asemenea, din motive de nepricepere, aceti
anagajai pot fi victime uoare ale coruptorilor ... informatizai.
Progresul tehnologic. Rezultatele cercetrilor tehnico-tiinifice se transform zi de zi n
tehnologii din ce n ce mai performante de accesare a datelor. Nu acelai lucru se poate spune
i despre progresele nregistrate n domeniul securitii datelor.
Comunicaiile i reelele, devenind tot mai performante, au extins aria utilizatorilor, att
din punct de vedere numeric, ct i al dispersiei n teritoriu, ntregul spaiu terestru fiind
accesibil reelelor foarte mari. Odat cu noile progrese, i aria utilizatorilor ru intenionai s-a
mrit, precum i variantele de furt informatizat.
Integrarea puternic a sistemelor apare ca o consecin a mbuntirii formelor de
comunicaie i a proliferrii reelelor de calculatoare. Pe acelai canal de comunicaie sunt
transmise tot felul de date. n plus, introducnd o dat eronat n sistem, de la un banal punct
de vnzare, ea ptrunde cu rapiditate n zeci de fiiere i, implicit, aplicaii ale firmei.
Comerul i afacerile electronice au deschis i mai mult apetitul specialitilor n fraud.
Apariia utilizatorilor finali informatizai constituie un veritabil succes, dar sporete i
riscul pierderii datelor importante din calculatorul principal al companiilor.
Standardele de securitate, n pofida attor altor domenii n care se nregistreaz mutaii
vizibile n intervale scurte de timp, nu se concretizeaz n forme general valabile i, ct timp
un lucru nu este interzis prin reguli scrise, el ori se consider c nu exist, ori se trage
concluzia c este permis.
Totui, efortul uman pentru protejarea, asigurarea sau securizarea sistemelor s-a
accentuat n mod vizibil. n tabelul 1.1 am redat numrul de site-uri care trateaz concepte
specifice temei discutate, la nivelul lunilor aprilie 2002 i ianuarie 2011, folosind motorul de
cutare Google. Dup cum se observ, se detaeaz net conceptele: internet security, network
security, information security, computer security, data protection, digital signature, esecurity n ordinea numrului de apariii n site-uri.
n concluzie, odat cu dezvoltarea noilor sisteme informaionale i cu transferarea ctre
acestea a secretelor firmelor, trebuie vzut n ele, n acelai timp, ajutorul numrul unu, dar i
elementele cele mai tentante pentru noii criminali. Hardul i softul pot fi manevrate cu mult
uurin de ctre om. n acest caz, ca i n altele intrate n obinuina cotidian, inteligena
calculatorului las de dorit, putndu-se spune c tot omul (a)sfinete ... calculatorul, motiv
esenial pentru sporirea preocuprilor tuturor specialitilor din domeniul securitii sistemelor
informaionale.
Tabel nr. 1.1 Numrul site-urilor ce trateaz concepte specifice
proteciei i securitii sistemelor informaionale
Nr. crt.
1.
2.
3.
4.
5.
6.
7.
8.
2002
534.000
439.000
305.000
495.000
36.700
36.500
569
7.720
2012
8.890.000
13.600.000
2.860.000
12.700.000
714.000
839.000
90.900
2.160.000
14
Nr. crt.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
2002
171
1.820
590
12.800
615.000
758.000
19.100
169
1.140
908
713
6.910
1.320
217.000
1.790
11.800
140.000
5.600
2012
39.900
11.800
181.000
253.000
14.700.000
82.200.000
284.000
36.600
34.600
9.230
22.100
408.000
48.000
1.940.000
42.500
600.000
1.490.000
349.000
Propunei alte concepte relevante pentru domeniul proteciei i securitii informaionale i completai
tabelul de mai sus cu numrul paginilor oferite ca rspuns de motorul de cutare Google pentru ele.
15
16
17
Datelor supuse prelucrrii automate trebuie s li se asigure cel puin aceleai condiii de
protecie ca i celor prelucrate manual. Totui, din cauza creterii riscului prin informatizare,
aa cum rezult din descrierea sumar a vulnerabilitii noilor sisteme, se impun i unele
msuri suplimentare de realizare a proteciei, situaie n care utilizatorii trebuie s cunoasc n
detaliu natura noilor ameninri. Literatura de specialitate le grupeaz n diverse moduri.
Oricum, ele pot fi sintetizate n trei mari categorii:
ameninri cauzate de incidente ivite n sistem;
factori naturali, bazai pe hazard;
ameninarea sistemelor prin aciunea voit a omului.
1.2.2.1 Ameninri cauzate de incidente ivite n sistem
Realitatea a demonstrat c exist urmtoarele cauze care pot afecta securitatea sistemelor:
1. Apariia unor defeciuni la echipamentele sistemului. De multe ori micile defeciuni, n
special cele cu o perioad de manifestare foarte scurt, sunt mai greu de detectat i
18
2.
3.
4.
reparat dect cele catastrofale. Avnd un caracter imprevizibil, pentru ele nu se pot
stabili anumite msuri de prevenire. Mai grav este atunci cnd ele nu au forme sesizabile
n momentul producerii, iar datele eronate apar mult mai trziu, fcnd reconstituirea
celor originale foarte anevoioas sau chiar imposibil;
Apariia inevitabilelor erori umane, conform dictonului errare humanum est, conduce
la luarea elementarei msuri preventive de reducere substanial a interveniei umane n
procesul de prelucrare a datelor cu ajutorul calculatorului electronic. Cauzele erorilor pot
fi: indiferena cu care se exercit o anumit operaiune, slaba instruire, entuziasmul
excesiv, nelegerea greit a modului de funcionare a sistemului. Erorile pot s aparin
operatorilor, dar, i mai grav, programatorilor. Riscul cel mai mare provine din
posibilitatea perpeturii modului eronat de exercitare a operaiunilor sau a programrii.
Soluiile constau n introducerea n soft a mai multor teste de validare a introducerilor de
date, iar, pe linia programrii, apelarea la standardizare sau la utilizarea sistemelor
CASE (Computer Aided Software Engineering);
Funcionarea defectuoas a softului. Chiar i atunci cnd se apeleaz la un ntreg
arsenal de metode de testare a lui, softul poate pstra anumite vicii ascunse, care s
produc erori inimaginabile. Este cazul programelor foarte mari, de milioane de linii
surs, care, practic, sunt tot mai greu de controlat. Edificator este cazul unui
academician rus care a demisionat dintr-o important funcie informatic din ministerul
aprrii, ntruct spunea c pericolul producerii unor grave incidente, cu efecte nebnuite
asupra securitii omenirii, devine tot mai mare, din cauza imposibilitii controlrii
programelor. Multitudinea ramificaiilor din program poate s duc la scurt-circuitarea
lor, genernd ci imprevizibile de execuie, concretizate n luarea unor decizii
surprinztoare;
ntreruperea sistemului de alimentare cu energie sau funcionarea lui n afara
parametrilor tehnici admii. n aceast categorie intr i cderea legturilor de
comunicaie, precum i a altor utiliti necesare sistemului.
Care este cel mai distructiv incident care a afectat securitatea informaional a unei organizaii cunoscute de
dvs.? Motivai.
19
20
5.
6.
7.
8.
9.
21
22
23
Modul n care mecanismele generale de mai sus sunt tratate n prezentul manual este
vizibil n diagrama din figura 1.2.
24
Care este, n opinia dvs., cel mai important mecanism de securitate pentru o organizaie cunoscut de dvs.?
Justificai, cu exemple.
Rezumat
Alturi de capital i oameni, informaia este una dintre averile deosebite ale firmei. Pentru a periclita
aceast resurs important, orice persoan care dialogheaz cu calculatorul unei organizaii poate s fac
(cel puin) urmtoarele lucruri: s copieze fiierele importante ale altor firme, s influeneze evidenele
altora pentru a le cauza pierderi, s reprogrameze calculatoarele incluse n configuraia sistemelor de
producie pentru a provoca avarierea utilajelor sau pentru producerea accidentelor umane, s tearg
programe sau fiiere. Din acest motiv, considerm absolut necesar tratarea cu prioritate de ctre manageri
a problemelor de securitate informaional.
n funcie de tehnologiile folosite i de evoluia n timp a preocuprilor ce o privesc, securitatea
informaional poate fi abordat prin prisma unui numr mai mare sau mai mic de generaii. Capitolul 1
prezint i cteva repere din istoria modern a preocuprilor internaionale pe linia proteciei i securitii
informaionale, cu dorina de a contientiza cititorii de necesitatea unei discipline de profil n cadrul
Facultii de Economie i Administrarea Afacerilor.
n orice mediu de lucru, datele trebuie s respecte principiile C.I.A Confidenialitate, Integritate,
Accesibilitate. Urmrind acesast triad, particularitile proteciei unui sistem informaional se refer la
luarea unor msuri speciale de aprare a datelor, prin intermediul echipamentelor de prelucrare automat a
datelor, softului de sistem sau de aplicaii, precum i al comunicaiilor, dac se lucreaz ntr-un astfel de
mod. Msurile de aprare sunt necesare pentru a contra-pondera pericolele care vizeaz informaiile dintr-o
organizaie: incidentele, factorii naturali, bazai pe hazard, atacurile.
Literatura de specialitate consemneaz apte mecanisme de asigurare a eficienei securitii sistemelor
informaionale: securitatea fizic, securitatea personalului, criptarea informaiilor importante, studierea
tehnicilor specializate ale intruilor, suprimarea radiaiilor compromitoare, securitatea liniilor de
comunicaii, securitatea sistemelor de prelucrare automat a datelor, care vor fi tratate pe parcursul
capitolelor urmtoare.
Unitatea de studiu II
26
foloseasc lingourile de metal ca obiecte universale de schimb. Cu 750 de ani .C. s-au
inventat monedele, i procesul evolutiv a continuat, pn s-a ajuns la sistemul de contabilitate
n partid dubl. Procesul fost surprins n prima carte de acest tip, de Luca Paciolo, n 1494,
cnd, din motive de securitate a operaiunilor, au fost promovate principiile dublei
reprezentri i dublei nregistrri, dei acestea apruser n anii 1300. Dup renascentism s-au
nfptuit multiple sisteme de securitate; o bun parte din ele se regsesc n mai multe seciuni
ale crii de fa.
Cunoatei i alte momente istorice relevante n clasificarea informaiilor? Prezentai-le succint, preciznd
sursa bibliografic.
27
Controlul legal al accesului i exercit fora pe baza legilor existente (legea securitii
naionale, legea energiei atomice .a.). n SUA, prin lege, sunt stabilite dou tipuri de structuri
de control: ierarhizate i neierarhizate.
28
U.S. Department of Energy Identification of Classified Information, Office of Classification, December 1991, Chapter
IV, Part B, 3.
29
30
31
32
Se spune2 c pentru pstrarea n mare tain a informaiilor trebuie fie s nu spui nimnui
acele informaii, fie s foloseti metoda cpitanului Kidd. Totui, cum informaiile trebuie s
fie utilizate de mai muli guvernani, ele nu pot fi inute n tain de o singur persoan. Pe de
alt parte, metoda cpitanului Kidd, de pstrare a secretului, este de neacceptat. n consecin,
guvernele folosesc metoda clasificrii informaiilor pentru a asigura pstrarea secretului.
Metoda cpitanului Kidd, din pcate, a operat mult timp n istoria omenirii. El era un cpitan
pirat despre care se spune c i ngropa comorile cu scopul de a le recupera ulterior. Toi cei
care participau la astfel de operaiuni erau ucii, nct nimeni altul dect Kidd nu mai tia
locul ascuns al comorilor. Discipolii lui Kidd au lansat chiar sloganul sadic Trei persoane
pot pstra un secret dac dou dintre ele sunt omorte.
n general, informaiile, orict ar fi de preioase, nu pot fi pstrate o perioad nelimitat
de timp fr s fie aflate de adversari. Uneori ei le obin prin spionaj. Alteori, ele sunt aflate
datorit proastei gestionri de ctre posesorul autorizat. Sunt i cazuri n care, ndeosebi
pentru informaiile tiinifice i tehnice, adversarii le obin cu eforturi proprii, prin invenii i
inovaii.
Chiar dac informaiile pot fi pstrate ani muli fr a fi aflate de adversari, nu este, de
regul, recomandat s se pstreze perioade ndelungate. Clasificatorii informaiilor sunt cei ce
vor hotr dac este cazul s se specifice timpul de pstrare a informaiei clasificate sau s se
indice momentul n care va interveni declasificarea automat. Durata informaiilor clasificate
trebuie s fie att de scurt ct s nu genereze costuri fr rost cu pstrarea lor. Nici duratele
prea scurte nu sunt recomandate, deoarece adversarii ar intra prea devreme n posesia lor i ar
putea aciona pentru ubrezirea ntregului sistem de securitate naional. n concluzie, doar
clasificatorul trebuie s aib grija stabilirii duratei de clasificare.
Cnd se ncearc a se discuta despre durata de pstrare a informaiilor clasificate, prerile
sunt destul de diferite. n SUA, n 1970, ntr-un raport al unui organism specializat, s-a fcut
urmtoarea declaraie: Este puin probabil ca informaiile clasificate s poat fi protejate o
perioad mai mare de cinci ani i este mult mai rezonabil s presupunem c ele devin
cunoscute de ctre alii n perioade de cel mult un an, prin descoperire independent,
dezvluire clandestin sau alte mijloace. Ali specialiti au declarat c experiena istoriei
demonstreaz c nici un secret militar nu poate fi pstrat prea mult; n unele cazuri exist
aproape ntotdeauna o limit definit de timp, n funcie de importan. Un director al
Departamentului Aprrii din SUA declara c durata pstrrii informaiilor clasificate poate fi
influenat de o serie de factori, dup cum urmeaz: nivelul la care se afl tehnologia,
succesele raportate de serviciile secrete proprii sau ale adversarilor, precum i realizrile din
domeniile politic, militar i tehnic. De reinut este faptul c nu exist o formul magic sau un
anumit standard pentru stabilirea numrului de ani de pstrare a informaiilor clasificate sau a
echipamentelor sau materialelor ce prelucreaz sau conin astfel de informaii.
n final, se poate spune c perioada de pstrare a informaiilor clasificate depinde de tipul
informaiei ce urmeaz a fi protejat (subiectiv sau obiectiv; operaional sau tiinific), de
numrul persoanelor care cunosc informaia clasificat, de procedurile de securitate folosite
pentru protejarea acestor informaii, precum i de calitile celor pui s le pstreze i
protejeze.
Durata clasificrii informaiilor se determin prin una dintre urmtoarele metode:
a. ca o perioad de timp msurat de la data emiterii documentului;
Katz, A.H. Classification: System or Security Blanket, J. Natl. Class. Mgmt. Soc., 8, 76-82 (1972), p. 81
33
34
35
Exemplificai modul n care principiile enunate mai sus se aplic ntr-o organizaie cunoscut de dvs.
36
Toate documentele obinute prin prelucrarea automat a datelor, cum este hrtia de
imprimant, trebuie s fie marcate, astfel nct s fie vizibil categoria din care fac parte, prin
plasarea marcajului n colul din dreapta sus, precum i n partea inferioar a fiecrei pagini.
n plus, se va consemna numrul de exemplare al fiecrui document.
37
posibiliti de reconstituire a datelor coninute. La fel pot fi distruse i alte materiale, cum
sunt pachetele de discuri magnetice, dup ce se recupereaz anumite piese.
Transformarea n past este posibil numai pentru reziduurile de hrtie, nu i pentru
banda magnetic, microfilm sau benzi tuate.
Frmiarea se aplic resturilor de hrtie, indigo, band magnetic, microfilm, dar o
astfel de operaiune trebuie s fie a treia i ca utilizare. naintea acestei operaiuni, n cazul
benzii magnetice, n primul rnd, trebuie tiat ntreaga rol. Standardele internaionale
prevd ca particulele rezultate din aceast operaiune s nu fie mai mari de 1/32 inch. De
regul, frmiarea este recomandat naintea arderii.
O atenie special se va acorda suporturilor magnetice ntruct ele se pot refolosi. Dac
aceasta se ntmpl n aceeai unitate, noul posesor trebuie s aib cel puin aceeai autorizare
pe linia accesului la informaii ca i precedentul. Pentru un plus de siguran se recomand
completarea cu zerouri a vechiului suport, sau cu cifre aleatoare. Dac se utilizeaz n afara
unitii, vor fi luate msuri suplimentare, dar oricum nu se va declara utilizarea avut anterior.
Pentru tergerea benzilor magnetice exist aparatur special de demagnetizare, realizat
de Ampex, Hewlett-Packard sau Consolidated Engineering Corp.
Discurile magnetice sunt terse prin curent alternativ sau continuu, dac sistemul de
prelucrare automat a datelor permite o astfel de operaiune, dup care se efectueaz scrierea
de trei ori cu cifre 1 i 0, i nc o dat cu un singur caracter alfabetic.
38
Nivel de
clasificare
Mod de
marcare
Mod de
pstrare
Mod de
distrugere
Responsabil
cu suportul
Rezumat
Clasificarea nseamn etichetri cresctoare ale documentelor sau informaiilor, de la cel mai de jos
nivel, unde se situeaz informaiile deschise (open) sau neclasificate (unclassified), la cele confideniale,
urcnd spre informaii secrete i strict secrete (top secret). n domeniul militar, informaiile care prin
compromitere pot costa viei umane sunt marcate secrete, n timp ce informaiile a cror compromitere
cost pierderea multor viei umane sunt definite top secret (strict secrete).
Se practic dou strategii de baz pe linia securitii naionale:
1. Tot ceea ce nu este interzis este permis;
2. Tot ceea ce nu este permis este interzis.
Se apeleaz la dou tactici de implementare a strategiei fundamentale privind protejarea informaiilor
deosebite: controlul discreionar al accesului i controlul legal al accesului.
Guvernele mpart informaiile n dou mari tipuri: informaii subiective i informaii obiective.
Anterior a operat o alt clasificare: informaii operaionale i informaii tiinifice. Unii autori au
menionat i un al treilea tip de informaii clasificate de guverne informaii tehnice.
n vederea clasificrii informaiilor se parcurg trei etape distincte: stabilirea nevoii de clasificare;
determinarea nivelurilor clasificrii; determinarea duratei clasificrii.
n sistemul american de clasificare a informaiilor exist trei niveluri de clasificare: top secret (strict
secret), secret i confidenial. Informaiile neclasificate constituie o alt categorie. n Romnia, informaiile
clasificate din clasa secretelor de stat sunt ncadrate tot n trei niveluri, astfel: strict secrete de importan
deosebit, strict secrete i secrete.
Atunci cnd se efectueaz clasificarea unor informaii se iau n calcul anumite cerine de ndeplinit.
Cnd, din diferite cauze, se schimb circumstanele, firesc, i cerinele ndeplinite iniial se modific,
39
situaie n care informaiile clasificate se declasific sau trec pe un nivel inferior de clasificare (degradarea
informaiilor).
S-a sugerat ca i n lumea afacerilor, unde se apeleaz la secretele comerciale, s fie stabilite dou sau
trei grade (niveluri) de importan pentru acele secrete. Au existat diferite propuneri, dintre care una sugera
ca informaiile, ce trebuie s fie protejate de ctre companii, s fie grupate astfel: secrete comerciale i
know-how acesta fiind o informaie valoroas dar probabil nu va asigura protecia secretului comercial.
Au fost specificai ase factori care au fost propui s fie utilizai atunci cnd se ncearc a se stabili dac
informaiile reprezint sau nu un secret comercial.
Pe linia protejrii informaiilor speciale pot fi enunate 10 principii: delimitrii autorizrii, securitii
simple, stea, al integritii I, al integritii II, etichetrii, clarificrii, inaccesibilitii, verificabilitii,
ncrederii n software.
Toate suporturile care conin informaii obinute din prelucrarea automat a datelor trebuie s fie
catalogate ca documente ale prelucrrii automate a datelor. Tratamentul lor trebuie s fie similar
documentelor ce conineau aceleai date n condiiile prelucrrii tradiionale. Msurile de protecie sunt:
marcarea materialelor cu regim special, pstrarea i distrugerea materialelor speciale.
La nivelul unei organizaii ar trebui vzute la fel lucrurile ca i la nivel naional, ncadrndu-se
informaiile n mai multe categorii, cu protecii diferite: informaiile care necesit un control special,
informaiile confideniale la nivel de unitate, informaiile private, informaiile de uz intern, informaiile
publice.
1.
2.
3.
Calder, A.- A Business Guide to Information Security, Kogan Page, London, 2005
Dhillon, G. - Principles of Information System Security. Text and cases, John Wiley &
Sons,USA, 2007
Gregory, P., G. - Securitatea informaiilor n firm, Traducere Nicolae Ionescu Cruan, Ed.
Rentrop & Straton, Bucureti, 2005
Controlul accesului
n sistemele informaionale
Krutz, R.L., Vines, R.D. The CISSP Prep Guide Mastering the Ten Domains of Computer Security, Wiley Computer
Publishing, John Wiley & Sons, Inc., New York, 2001, pp. 31-50.
41
Controlul preventiv/administrativ
n aceast variant, accentul se pune pe resposabilitile administrative care contribuie la
atingerea obiectivelor controlului accesului. Aceste mecanisme cuprind politicile i
procedurile organizaionale, verificrile de fond nainte de angajare, practicile de ncetare a
contractului de munc n condiii normale i anormale, planificarea plecrilor n concediu,
etichetarea sau marcarea materialelor speciale, supravegherea mai exigent, cursuri de
instruire n scopul contientizrii importanei securitii, contientizarea modului de
comportare, precum i procedurile de semnare a contractului n vederea obinerii accesului la
sistemul informaional i la reea.
Controlul preventiv/tehnic
mperecherea preventiv-tehnic vizeaz utilizarea tehnologiilor pentru consolidarea
politicilor de control al accesului. Controlul tehnic se mai numete i control logic i poate fi
realizat prin sistemele de operare, prin aplicaii sau printr-o component suplimentar
hard/soft. Dintre controalele preventive/tehnice fac parte protocoalele, criptarea, cardurile
inteligente, biometria (cu scopul de autentificare), pachetele software pentru realizarea
controlului accesului local sau de la distan, parolele, meniurile, softul de scanare a viruilor
.a.
42
Controlul preventiv/fizic
n cea mai mare parte, msurile de control preventiv/fizic sunt de tip intuitiv. Ele vizeaz
restricionarea accesului fizic n zonele ce conin informaii sensibile ale sistemului. Zonele
respective sunt definite printr-un aa-zis perimetru de securitate, aflat sub controlul accesului.
n aceast categorie intr mprejmuirile cu gard, ecusoanele, uile multiple (dup trecerea
printr-o u, aceasta se blocheaz automat, iar la urmtoarea trebuie cunoscut sistemul de
deschidere, persoana fiind captiv ntre dou ui, motiv pentru care se numesc i uicapcan), sistemele de intrare pe baz de cartel magnetic, aparatura biometric (pentru
identificare), servicii de paz, cini de paz, sisteme de controlare a mediului (temperatur,
umiditate .a.), schia cldirii i a cilor de acces, locurile special amenajate pentru
depozitarea suporturilor de informaii.
Controlul detectiv/administrativ
Cteva dintre controalele detective/administrative se suprapun controalelor
preventive/administrative pentru c ele pot fi exercitate cu scopul prevenirii posibilelor
violri ale politicilor de securitate sau pentru detectarea celor n curs. Din aceast categorie
fac parte procedurile i politicile de securitate, verificrile de fond, planificarea plecrilor n
concediu, marcarea sau etichetarea materialelor speciale, o supraveghere mai exigent,
instruiri cu scopul contientizrii importanei securitii. n plus, cu scop
detectiv/administrativ sunt controalele ce vizeaz rotirea personalului la locurile de munc,
exercitarea n comun a unor responsabiliti, precum i revizuirea nregistrrilor cu scop de
auditare.
Controlul detectiv/tehnic
Msurile controlului detectiv/tehnic vizeaz scoaterea n eviden a violrii politicii de
securitate folosindu-se mijloace tehnice. Aceste msuri se refer la sistemele de detectare a
intruilor i la rapoartele privind violrile securitii, generate automat, pe baza informaiilor
colectate cu scopul de a fi prob n auditare. Rapoartele pot evidenia abaterile de la
funcionarea normal sau pot detecta semnturi cunoscute ale unor episoade de acces
neautorizat.
Datorit importanei lor, informaiile folosite n auditare trebuie s fie protejate la cel mai
nalt nivel posibil din sistem.
Controlul detectiv/fizic
De regul, aceste controale necesit intervenia omului pentru evaluarea a ceea ce ofer
senzorii sau camerele pentru a stabili dac exist un pericol real pentru sistem. n acest caz,
controlul se exercit prin camere video, detectoare termice, de fum, de micare.
Analizai modalitile de control al accesului implementate ntr-o organizaie cunoscut de dvs.,
ncadrndu-le n formele combinate prezentate n subcapitolul anterior. Apreciai, n cteva fraze, eficiena
controalelor folosite de organizaia respectiv.
43
Dai exemplu de 1 situaie n care identificarea i/sau autentificarea unei persoane se face folosind
ceva care individualizeaz persoana (o trstur biometric). Precizai dac n exemplul dvs. este
vorba de identificare, autentificare sau ambele.
44
Dai exemplu de 1 situaie n care identificarea i/sau autentificarea unei persoane se face folosind
ceva ce tie o persoan. Precizai dac n exemplul dvs. este vorba de identificare, autentificare sau
ambele.
Dai exemplu de 1 situaie n care identificarea i/sau autentificarea unei persoane se face folosind
locul geografic n care este nregistrat calculatorul su. Precizai dac n exemplul dvs. este vorba de
identificare, autentificare sau ambele.
45
supravegheze mai mult de trei monitoare. Similar pot fi folosite camerele de luat vederi cu
supraveghere continu a principalelor ncperi ale cldirii, ndeosebi unde ptrund vizitatori.
Pentru vizitatori vor fi camere special amenajate, fr ca acetia s aib acces n zona
prelucrrii automate a datelor.
Imaginai cte un exemplu de aplicare pentru principiile de control al accesului enunate mai sus.
46
Folosind Internetul, identificai dou soluii de control acces i pontaj al angajailor cu ajutorul ecusoanelor
active RFID.
Prezentai comparativ, n termeni de avantaje i dezavantaje, cele dou soluii identificate mai sus.
Davis, D. The Problems Catch Up With The Solution, in Card Technology, April 2003, Volume 8, Number 4, p. 4.
47
48
Caracteristici
Recunoaterea
irisului
Amprenta
digital
Forma minii
3,3%-70%
0,2%-36%
1,9%-6%
0-5%
0,3%-5%
0%-8%
Sub 1%
0%-2,1%
10 secunde
9-19 secunde
12 secunde
6-10 secunde
84-1300 octei
250-1000
octei
512 octei
9 octei
Numrul furnizorilor
principali
Peste 25
Preul echipamentelor
Moderat
Mic
Mare
Moderat
Lumina, orientarea
feei, ochelarii de
soare
Murdria,
degetele
deshidratate
sau accidentele
Vederea slab,
ncruntarea sau
reflexia
Rni, artrit,
umflturi
Factorii ce afecteaz
probele luate
Identificai alte tehnologii biometrice dect cele descrise mai sus i prezentai-le pe scurt.
49
Prezentai i analizai controversa iscat la introducerea paapoartelor biometrice n Romnia. Care este
prerea dvs. n raport cu acest subiect?
50
51
52
53
Rezumat
Sensul controlului accesului n sistem s-a schimbat radical, dup 11 septembrie 2001, att prin prisma
mijloacelor de exercitare, ct i a domeniilor de aplicare. Controalele sunt introduse pentru diminuarea
riscurilor la care sunt expuse sistemele i pentru reducerea potenialelor pierderi. Controalele pot fi
preventive, detective sau corective. Pentru atingerea obiectivelor, controalele pot fi administrative, logice
sau tehnice i fizice. Exist i forme combinate de control: preventiv/administrativ, preventiv/tehnic,
preventiv/fizic, detectiv/administrativ, detectiv/tehnic, detectiv/fizic.
Identificarea i autentificarea persoanelor se efectueaz n patru moduri: prin ceva aflat n posesia
persoanei, ceva care individualizeaz persoana, ceva ce tie persoana, locul geografic n care se afl aceasta
la un moment dat.
Principiile de baz ale controlului accesului sunt: simpla posesie a unui element de control al
accesului nu trebuie s constituie i proba accesului privilegiat; atunci cnd valorile patrimoniale sunt
deosebit de importante i mecanismul de protecie trebuie s fie pe msur; nici unei persoane nu trebuie
s i se garanteze accesul permanent, gestiunea sau cunoaterea informaiilor secrete numai pe motivul
poziiei ierarhice pe care o deine.
1.
2.
Unitatea de studiu IV
55
Toate aceste aspecte sunt tratate tiinific prin modelele de politici de securitate, grupate
n modele de securitate multinivel i n modele de securitate multilateral.
Politicile de controlare a accesului sunt foarte clare: o persoan poate citi un document
numai dac autorizarea sa este cel puin egal cu clasificarea informaiei citite. Ca efect,
informaiile vor circula doar de jos n sus, de la nivelul CONFIDENIAL, la SECRET,
STRICT SECRET .a., iar de sus n jos nu au voie s circule dect dac o persoan autorizat
le declasific.
Modelul Bell-LaPadula
Cel mai cunoscut model al politicilor de securitate este cel propus de David Bell i Len
LaPadula, n 1973, ca rspuns la preocuprile Forelor Aeriene ale Statelor Unite de
securizare a sistemelor de partajare a timpului, bazate pe mainframe-uri. Modelul este
cunoscut sub numele Bell-LaPadula sau modelul de securitate multinivel. Sistemele ce le
adopt sunt numite i sigure multinivel sau MLS (MultiLevel Secure). Proprietatea de baz
a acestor sisteme este aceea c informaiile pot circula n jos.
Formal, modelul Bell-LaPadula a introdus trei principii:
principiul (sau proprietatea) securitii simple, prin care nu-i este permis nici unui
proces s citeasc date aflate pe un nivel superior lui. Este cunoscut i ca Nu citi
deasupra (No Read Up, NRU);
principiul * (se citete stea): nici un proces nu poate s scrie date pe un nivel aflat sub
el. Este cunoscut i ca Nu scrie dedesubt (No Write Down, NWD);
principiul securitii discreionare introduce o matrice de acces pentru a specifica
controlul accesului discreionar. Este cunoscut i ca Trusted Subject (subiect de
56
Modelul Biba
n multe cri este amintit i modelul Biba, al lui Ken Biba, ocupndu-se doar de
integritatea sistemelor, nu i de confidenialitate. El se bazeaz pe observaia c n multe
57
58
Acest control al fluxurilor informaionale laterale este unul organizaional, aa cum este
cel al organizaiilor secrete, pentru pstrarea n tain a numelor agenilor care lucreaz n alte
ri, fr s fie cunoscui de alte departamente speciale. La fel se ntmpl i n companii,
unde separarea vertical a compartimentelor, dup funciile ndeplinite (producie,
comercial, personal-salarizare .a.), conduce la o situaie identic.
Exist cel puin trei modele diferite de implementare a controlului accesului i de control
al fluxurilor informaionale prin modelul securitii multilaterale. Ele sunt:
compartimentarea, folosit de comunitatea serviciilor secrete;
zidul chinezesc, folosit la descrierea mecanismelor utilizate pentru prevenirea
conflictelor de interese n practicile profesionale;
BMA (British Medical Association), dezvoltat pentru descrierea fluxurilor
informaionale din domeniul sntii, conform cu etica medical.
Compartimentarea i modelul reea
Ani muli acest model a servit ca practic standard, n SUA i guvernele aliate, pentru
restricionarea accesului la informaii, prin folosirea cuvintelor-cod i a clasificrilor. Este
arhicunoscut cuvntul-cod Ultra, folosit n cel de-al doilea rzboi mondial, de ctre englezi i
americani, pentru decriptarea mesajelor criptate de germani cu maina Enigma. Cercul
persoanelor cu acces la mesajele decriptate fiind foarte redus, numrul autorizrilor pentru
informaii de pe cel mai nalt nivel de clasificare era mult mai mare. Prin folosirea cuvintelorcod se creeaz o puternic subcompartimentare, chiar a categoriei strict secret i deasupra ei.
Cuvintele-cod sunt folosite pentru crearea grupurilor de control al accesului printr-o
variant a modelului Bell-LaPadula, numit modelul reea. Clasificrile, mpreun cu
cuvintele-cod, formeaz o reea, conform figurii 4.6. Potrivit modelului, o persoan autorizat
59
s aib acces la informaii SECRETE nu poate accesa informaii SECRETE CRIPTO, dac
nu are i autorizaie pentru CRIPTO.
Ca un sistem s rspund acestor cerine, va trebui ca problemele clasificrii
informaiilor, ale autorizrii persoanelor i ale etichetelor ce nsoesc informaiile s se
transfere n politica de securitate pentru a defini intele securitii, modul de implementare i
evaluare.
(STRICT SECRET, {CRIPTO, HUMINT})
(SECRET, {})
(NECLASIFICATE, {})
60
61
contientizare i multe altele, tocmai pentru a-i aduce un plus de linite. Spune romnul: paza
bun trece primejdia rea.
4.2.1 Politicile
O politic, deseori, nseamn mai multe lucruri, atunci cnd ne referim la securitatea
informaional a unei organizaii. Cineva poate s se rezume doar la firewall-urile folosite
pentru controlarea accesului i a traseelor pe care circul informaiile, altcineva se gndete la
lactele, cardurile de acces, camerele de luat vederi ce nregistreaz totul din perimetrele
controlate. Dar, cte alte accepiuni nu i se pot da!
Atunci cnd discutm despre politici de securitate, trebuie pornit de la vrful piramidei
manageriale, unde se afl top managerii. Ei au misiunea de a formula Declaraia politicii
organizaiei (Statement of Policy). Aceasta este o formulare general, o declaraie din care s
reias:
importana resurselor informaionale pentru atingerea obiectivelor strategice ale
organizaiei;
formularea clar a sprijinului acordat tehnologiilor informaionale n unitate;
angajamentul top managerilor de a autoriza sau coordona activitile de definire a
standardelor, procedurilor i normelor de securitate de pe nivelurile inferioare.
n afara declaraiei politicii de securitate la nivelul top managerilor, exist i politici
obligatorii, politici recomandate i politici informative.
Politicile obligatorii sunt politici de securitate pe care organizaiile sunt obligate s le
implementeze ca efect al acordurilor, regulamentelor sau al altor prevederi legale. De regul,
aici se ncadreaz instituiile financiare, serviciile publice sau orice alt tip de organizaie care
servete interesului public. Aceste politici sunt foarte detaliate i au elemente specifice, n
funcie de domeniul de aplicare.
De regul, politicile obligatorii au dou scopuri de baz:
asigurarea c o organizaie urmeaz procedurile standard sau politicile de baz din
domeniul ei de activitate;
de a oferi ncredere organizaiilor c ele urmeaz standardele i politicile de securitate
din domeniul de activitate.
Politicile recomandate, prin definiie, nu sunt obligatorii, dar sunt puternic susinute, cu
prezentarea consecinelor foarte dure n cazul nregistrrii eecurilor. O organizaie este direct
interesat ca toi angajaii ei s considere aceste politici ca fiind obligatorii. Cele mai multe
politici se ncadreaz n aceast categorie. Ele sunt foarte clar formulate la toate nivelurile.
Cei mai muli angajai vor fi riguros controlai prin astfel de politici, definindu-le rolurile i
responsabilitile n organizaie.
Politicile informative au scopul de a informa cititorii. Nu poate fi vorba de cerine
specifice, iar interesaii de aceste politici pot s se afle n interiorul organizaiei sau printre
partenerii ei.
Dup aceste descrieri, putem s facem o scurt prezentare a elementelor comune tuturor
politicilor de securitate, astfel:
domeniul de aplicare: declararea domeniului de aplicare nseamn prezentarea
inteniei vizate de politic i ea va scoate n relief i legturile existente cu ntreaga
documentaie a organizaiei. Formularea trebuie s fie scurt i se plaseaz la
nceputul documentului;
declararea politicii top managerilor se include la nceputul documentului i are
dimensiunea unui singur paragraf, specificnd scopul global al politicii;
62
63
Andress, M. Surviving Security: How to Integrate People, Process and Technology, SAMS, Indianapolis, 2002, pp. 5963, King,
C.M.,
Dalton,
C.E.,
Osmanaglu,
T.E. Security
Arhitecture:
Design,
Deployment&
Operations,Osborne/McGraw-Hill, New York, 2001, pp. 18-26
64
Trebuie ca utilizatorii s citeasc i copieze fiiere care nu sunt ale lor, dar la care au
acces?
Trebuie ca utilizatorii s modifice fiierele la care au drept de scriere, dar nu sunt ale
lor?
Trebuie ca utilizatorii s fac copii ale fiierelor de configurare a sistemului, n
scopul folosirii personale sau s le dea altora?
Trebuie ca utilizatorii s foloseasc n comun conturile deschise?
Trebuie ca utilizatorii s aib dreptul de a face oricte copii de pe softul care e
procurat cu licen de utilizare?
Politica privind conturile utilizatorilor
Politica vizeaz normele dup care se formuleaz cererile de deschidere a conturilor din
sistem i cum se efectueaz ntreinerea lor. Este foarte util n organizaiile mari, n care
utilizatorii au conturi n mai multe sisteme. Este recomandat modalitatea de citire i semnare
a politicii de ctre utilizator. O astfel de politic trebuie s ofere rspunsuri la ntrebri de
genul:
Cine are autoritatea aprobrii cererilor de noi conturi-utilizator?
Cui (angajailor, soiilor/soilor, rudelor, copiilor, vizitatorilor .a.) i este permis s
foloseasc resursele informatice ale organizaiei?
Poate un utilizator s aib mai multe conturi n acelai sistem?
Pot folosi utilizatorii n comun aceleai conturi?
Care sunt drepturile i obligaiile utilizatorilor?
Cnd va fi dezactivat i arhivat un cont?
Politica accesului de la distan
Prin ea se definesc modalitile de conectare de la distan la reeaua intern a
organizaiei. Ea este necesar n organizaiile care au utilizatori i reele dispersate geografic.
Politica trebuie s rspund urmtoarelor ntrebri:
Cine poate s aib dreptul accesrii de la distan?
Ce metode sunt acceptate de organizaie (dial-up, modem)?
Este permis accesul din afar la reeaua intern prin modem?
Se impun anumite condiii, cum ar fi soft antivirus i de securitate, pentru accesarea
de la distan?
Pot ali membri ai familiei s acceseze reeaua?
Sunt restricii privind tipul datelor ce pot fi accesate de la distan?
Politica proteciei informaiilor
Printr-o astfel de politic se aduc la cunotina utilizatorilor condiiile prelucrrii, stocrii
i transmiterii informaiilor sensibile. Scopul principal al acestei politici este asigurarea c
informaiile sunt protejate, n mod corespunztor, mpotriva modificrilor sau dezvluirii
neautorizate. O astfel de politic trebuie semnat de toi angajaii. Ea trebuie s dea rspuns
cel puin la urmtoarele ntrebri:
Care sunt nivelurile de sensibilitate ale informaiilor?
Cine poate s aib acces la informaiile sensibile?
Cum sunt stocate i transmise informaiile sensibile?
Ce niveluri de informaii sensibile pot fi listate pe imprimante publice?
Cum trebuie s fie terse informaiile sensibile de pe suporturi (tocarea i arderea
hrtiilor, curirea discurilor .a.)?
Politica gestionrii firewall-urilor
65
Politica gestionrii firewall-urilor descrie modul n care sunt gestionate hardul i softul i
cum sunt formulate i aprobate cererile de schimbare din sistem. O astfel de politic trebuie
s dea rspuns la urmtoarele ntrebri:
Cine are acces la sistemele firewall?
Cine trebuie s primeasc solicitrile de efectuare a schimbrilor n configuraia
firewall-urilor?
Cine trebuie s aprobe efectuarea schimbrilor n configuraia firewall-urilor?
Cine poate s vad normele i listele de acces la configuraia firewall-ului?
Ct de des trebuie efectuat revizia firewall-urilor?
Politica accesului special
Prin ea se definesc condiiile formulrii cererilor de obinere a dreptului de utilizare a
unor conturi speciale din sistem (root, Administrator .a.). Ea trebuie s ofere rspunsurile la
urmtoarele ntrebri:
Cine trebuie s primeasc cererile pentru acces special?
Cine trebuie s aprobe cererile pentru acces special?
Care sunt regulile parolelor pentru conturile cu acces special?
Ct de des se schimb parolele?
Care sunt motivele sau situaiile ce vor conduce la revocarea privilegiului de a avea
acces special?
Politica de conectare la o reea local
Prin ea se definesc condiiile adaugrii de noi echipamente la reea i trebuie s rspund
la ntrebrile:
Cine poate instala o resurs nou n reea?
Cine trebuie s aprobe instalarea de noi echipamente?
Cui trebuie s i se aduc la cunotin faptul c au fost adugate noi echipamente n
reea?
Sunt unele restricii pe linia securitii n legtur cu echipamentele adugate n
reea?
Politica partenerului de afaceri
O astfel de politic stabilete ce msuri de securitate trebuie s respecte fiecare companie
partener. Ea este o politic cu att mai necesar acum cnd organizaiile ofer reeaua lor
intern partenerilor, clienilor, furnizorilor. Dei o astfel de politic este diferit de la o
organizaie la alta, ea, totui, trebuie s ofere rspunsuri la urmtoarele ntrebri:
I se cere fiecrei organizaii s aib scris o politic de securitate?
Trebuie ca fiecare organizaie s aib un firewall sau alte echipamente de securitate a
perimetrului?
Cum se vor realiza comunicaiile (linie nchiriat, VPN prin Internet .a.)?
Cum se vor formula cererile pentru accesarea resurselor partenerului?
Politica managementului parolelor
Deseori este inima politicilor de securitate dintr-o organizaie. De regul, ea
reglementeaz problemele expirrii parolelor, ale lungimii lor i altor verificri necesare. Iat
cteva recomandri de surprins printr-o astfel de politic:
lungimea minim a unei parole trebuie s fie de cel puin opt caractere;
parola nu trebuie s fie un cuvnt din dicionar;
ea trebuie s fie o combinaie de litere i simboluri speciale;
parola trebuie s expire dup o anumit perioad de timp predeterminat;
66
parolele administratorilor de reele trebuie s expire mult mai repede i trebuie s fie
mai lungi;
parolele din organizaie trebuie s difere de cele folosite n alte sisteme;
trebuie s fie pstrat o list cu vechile parole pentru a preveni reutilizarea (ultimele
ase parole nu trebuie s se repete);
parolele utilizatorilor noi trebuie s fie unice i greu de ghicit.
Politica folosirii Internetului
Politica utilizrii Internetului, referit deseori prin acronimul I-AUP (Internet Acceptable
Use Policy), este documentul prin care se detaliaz modurile n care utilizatorii unei reele a
organizaiei trebuie s foloseasc serviciul public Internet. Politica va descrie softul folosit
pentru filtrare i blocare, cu scopul protejrii organizaiei, dar i activitile specifice permise,
precum i cine sunt beneficiarii acestor drepturi de acces i cui i se interzic. Ea este bine s se
refere i la metodele de autentificare naintea accesrii Internetului n afara organizaiei/rii
pentru a preveni personalul c folosete reeaua organizaiei n scopuri ilegale.
n general, prin politica Internet se face referire la urmtoarele aspecte:
acceptarea folosirii i condiiile de accept pentru:
descrcrile de fiiere;
newsgroup-uri;
comunicarea datelor sensibile;
tipurile de fiiere ataate;
dimensiunea mesajelor;
softul fr licen;
pachete de aplicaii soft neaprobate;
exportul informaiilor sensibile;
protecia fiierelor;
protecia mpotriva viruilor;
managementul schimbrilor din sistem;
practicile de stocare a datelor;
siguran i disponibilitate;
protecia informaiilor prin clasificarea lor;
controlul accesului;
e-mail-ul i datele ce pot fi reinute/stocate n unitate;
monitorizarea;
excepiile i amendamentele politicii Internet.
67
68
Rezumat
Politicile de securitate sunt tratate tiinific prin modelele de politici de securitate, grupate n modele
de securitate multinivel i n modele de securitate multilateral.
Cele mai cunoscute modele de politici de securitate sunt: modelul Bell-LaPadula (de securitate
multinivel), modelul matricei de control al accesului, modelul Biba (modelul de integritate),
compartimentarea i modelul reea, modelul zidului chinezesc, modelul BMA (British Medical
Association).
Fr politici riguroase, programele de securitate vor fi aproape fr suport, ineficiente i nu se vor
alinia strategiei i obiectivelor organizaiei. Politicile, standardele, normele i procedurile constituie
fundaia programului de securitate al organizaiei. Politicile eficiente, clar formulate, vor servi proceselor
de auditare i eventualelor litigii. Combinnd elementele specificate, o entitate poate implementa controale
specifice, procese, programe de contientizare i multe altele, tocmai pentru a-i aduce un plus de linite.
n afara declaraiei politicii de securitate la nivelul top managerilor, exist i politici obligatorii,
politici recomandate i politici informative.
Standardele sunt obligatorii i sunt implementate la nivel de unitate, pentru asigurarea uniformitii.
Normele sunt oarecum asemntoare standardelor, referindu-se la metodologiile sistemelor securizate,
numai c ele sunt aciuni recomandate, nu obligatorii. Procedurile prezint paii detaliai ce trebuie s fie
parcuri pentru execuia unei activiti.
La finalul unitii de studiu, sunt prezentate seturi de ntrebri menite s sprijine utilizatorul n
realizarea politicilor de securitate adecvate organizaiei n care lucreaz.
4.
5.
6.
7.
8.
Calder, A.- A Business Guide to Information Security, Kogan Page, London, 2005
Dhillon, G. - Principles of Information System Security. Text and cases, John Wiley &
Sons,USA, 2007
Gregory, P., G. - Securitatea informaiilor n firm, Traducere Nicolae Ionescu Cruan, Ed.
Rentrop & Straton, Bucureti, 2005
Herold, R. - Managing an Information Security and Privacy Awareness and Training Program,
Auerbach Publications, Taylor&Francis Group, New York, 2005
Killmeyer, J. - Information Security Architecture. An Integrated Approach to Security in the
Organization, Auerbach Publications, Taylor&Francis Group, New York, 2006
Layton, T. - Information Security. Design, Implementation, Measurement and Compliance,
Auerbach Publications, Taylor&Francis Group, New York, 2007
LeVeque, V. - Information security A strategic approach, Wiley Interscience, USA, 2006
Tipton, H., Krause, M. - Information Security Management Handbook, vol. 3, Auerbach
Publications, Taylor&Francis Group, New York, 2006
Unitatea de studiu V
Criptografia
70
Criptografia este arta i tiina ascunderii semnificaiei unei comunicri mpotriva unor
interceptri neautorizate. Cuvntul are rdcini greceti, nsemnnd scriere ascuns kryptos
graphein.
Criptologia reunete criptografia i criptanaliza.
Decriptarea este procesul prin care un text cifrat este transformat ntr-un mesaj
inteligibil.
Sistemul de criptare este un set de transformri din spaiul mesajului clar la cel al
textului cifrat.
Stenanografia este o form de comunicare secret prin care se ncearc ascunderea
mesajului secret. Prin ea, ntr-o imagine digital, cel mai puin semnificativ bit al fiecrui
cuvnt poate fi folosit pentru a forma un mesaj fr s provoace o schimbare evident a
imaginii. n general, ascunderea mesajului ntr-un anumit mediu, cum ar fi un document, o
imagine, o nregistrare sonor sau video se numete steganografie. Oricine tie c mediul
respectiv conine un mesaj secret poate s-l identifice, presupunnd c tie metoda de
codificare.
Textul clar este forma inteligibil de prezentare a unui mesaj, astfel nct el s fie
accesibil oricui.
CRIPTOGRAFIA
71
n ultimii 500 de ani discul a jucat un rol important n criptografie. De exemplu, n Italia,
n jurul anilor 1460, Leon Battista Alberti a realizat discurile cifru pentru criptare, conform
figurii 5.2. Se foloseau dou discuri concentrice. Fiecare disc are alfabetul tiprit pe
circumferina lui, iar prin rotirea unui disc fa de cellalt, o liter a unui alfabet devenea alt
liter n cellalt alfabet.
Thomas Jefferson
Informai-v n detaliu asupra unui moment din istoria criptografiei care v-a reinut atenia.
72
5.3.1 Substituia
n urm cu 2000 de ani, Iulius Cezar a folosit metoda substituiei simple pentru a-i crea
propriul su sistem de criptare, cunoscut sub numele de cifrul lui Cezar. Se pare c el a fost
printre primii comandani ai imperiilor care i-a iniiat generalii n taina transmiterii mesajelor
criptate. Cifrul lui Cezar este o submulime a cifrului polialfabetic al lui Vigenre.
O astfel de criptare este uor atacabil prin analiza frecvenelor de apariie a caracterelor.
n fiecare limb se tie care sunt frecvenele literelor din textele scrise. Cifrul lui Cezar,
bazndu-se pe substituia simpl sau monoalfabetic, este uor de spart pentru c un
caracter este nlocuit de altul i aceast schimbare este valabil n tot textul, iar analiza
frecvenelor ne va conduce la caracterele adevrate ale textului clar.
Cifrurile polimorfice sunt realizate prin apelarea la cifruri bazate pe substituia multipl.
De exemplu, dac se folosesc patru alfabete pentru substituie, definite de cel ce intenioneaz
s cripteze, prima liter din textul clar este nlocuit cu prima liter din primul alfabet, a dou
liter a textului clar este nlocuit cu prima liter a celui de-al doilea alfabet, a treia liter a
textului clar este nlocuit cu prima liter a celui de-al treilea alfabet, a patra liter a textului
clar este nlocuit cu prima liter a celui de-al patrulea alfabet, a cincea liter a textului clar
este nlocuit cu a doua liter a primului alfabet .a.m.d. Exploatnd aceast metod, Balise
de Vigenre, diplomat francez nscut n 1523, a dus mai departe realizrile lui Alberti
Trithemius i Porta, elabornd un cifru polialfabetic foarte solid pentru acele vremuri. El
folosea 26 de alfabete.
Un exemplu de cifru polialfabetic este redat n figura 5.3, n care se utilizeaz patru
alfabete.
Text clar:
NODURISISEMNE
4
Alfabet 4:
3 DABRMNOPXYZC
Alfabet 3:
2
Alfabet 2:
Alfabet 1:
JKRAFGHIKXMN
BCDEJSTOPQAM
ACESXBDJMYWI
Rezultat:
ABDJCCAKEDBR
Fig. 5.3 Exemplu de cifru polialfabetic
CRIPTOGRAFIA
73
Permutrile unui astfel de cifru acioneaz ntr-o matrice bloc, ceea ce nseamn c va fi
o matrice de tip patul lui Procust, n care tot ceea ce nu ncape ntr-o linie se va alinia n cea
urmtoare .a.m.d. De exemplu, mesajul PROTECTIE SI TEAMA, ntr-o matrice cu patru
coloane devine:
PROT
ECTI
ESIT
EAMA
n aceast variant, citindu-se n ordinea liniilor, mesajul criptat va fi:
PROT ECTI ESIT EAMA.
Dac se va lucra la coloane, prin folosirea transpoziiei controlate prin chei, rezult
altceva. De exemplu, dac asupra coloanelor se aplic regula 1, 2, 3, 4 = 4, 2, 1, 3 exemplul
anterior devine:
EAMA
ECTI
PROT
ESIT,
ceea ce va nsemna c textul criptat, citit pe linie, este:
EAMA ECTI PROT ESIT.
Aceleai reguli se pot aplica asupra coloanelor sau, i mai interesant, asupra liniilor i
coloanelor.
Combinarea transpoziiei cu substituia poate s conduc la variante aproape imposibil de
spart.
CRIPTAREDATE
17
15
19
17
19
XYZABCPQRJDW
23
24
25
15
16
17
22
25
41
33
15
20
32
20
20
22
26
25
15
15
20
20
20
22
74
5.3.5 Codurile
Codurile sunt utilizate pentru a putea transmite unele construcii predefinite din domenii
diverse, de regul din afaceri, prin intermediul lor. De exemplu, codul 500 ar putea s
nsemne De efectuat recepia cantitativ i calitativ a mrfurilor expediate. Odat cu
generalizarea serviciilor telegrafice, pentru diminuarea preului pe mesaj, s-a apelat la un
astfel de sistem. De regul, sunt dou rnduri de cri: una conine ordinea cresctoare a
codurilor i, n dreptul lor, semnificaia n clar; alta conine semnificaia n clar, n ordine
alfabetic i codul corespunztor.
Nstase, D. Necunoscute ale izvoarelor istoriei romneti, Extras din Anuarul Institutului A. D. Xenopol, XXX,
1993, Ed. Academiei Romne, Iai, p. 489.
CRIPTOGRAFIA
75
Steganografia este arta ascunderii existenei unui mesaj pe un anumit suport. n limba
greac steganos nseamn acoperit i graphein a scrie. Aadar, scriere camuflat/ascuns.
Prin steganografie se exprim interesul pentru confidenialitate, ntruct scopul ei este de
a include mesaje ntr-un anumit mediu astfel nct s rmn insesizabil. Un model
conceptual cunoscut, propus de Simmons2, este urmtorul. Alice i Bob sunt n pucrie i
doresc s pun la cale un plan de evadare; comunicarea dintre ei este posibil doar prin
intermediul gardianului Willie, dar dac acesta va afla ce uneltesc pedeapsa lor va fi i mai
dur. Aadar, ei trebuie s gseasc o modalitate de a ascunde mesajele secrete ntr-un inocent
text care s le acopere. Aa cum se procedeaz n criptografie, presupunem c mecanismul
folosit este cunoscut de gardian, aa c din motive de securitate, ei trebuie s apeleze la o
cheie secret comun pe care doar ei s o tie i s o foloseasc.
David Kahn, autorul crii The Codebreakers, citeaz ca form embrionar a
steganografiei un caz din Istoriile lui Herodot, n care mesajul a fost scris pe scndurile unei
mese, prin gravare, apoi s-a acoperit textul cu cear, fr s dea nimic de bnuit. Doar
primitorul mesei va ti taina.
O alt metod const n preluarea primei litere a fiecrui cuvnt dintr-un text, formnd
mesajul ascuns.
Alte metode de ascundere se realizeaz folosind cerneala invizibil i micropunctele.
Micropunctele sunt fotografii de dimensiunea unui . (punct) care poate s reproduc perfect
o pagin de text. n timpul celui de-al doilea rzboi mondial, germanii au dezvoltat aceast
tehnologie, plasnd sute de micropuncte pe scrisori de dragoste, ctre ai casei, n comunicrile
de afaceri .a. Directorul F.B.I., J. Edgar Hoover le-a numit capodopere ale spionajului.
n steganografia actual exist o mare varietate de tehnici. Una din ele ascunde mesajele
printre biii imaginilor digitale. Imaginile sunt reprezentate printr-o form matriceal de
pixels (picture x elements), nsemnnd puncte din care se realizeaz imaginea. O imagine
foto-CD Kodak are 3072 x 2048 pixeli, dar o imagine mai puin clar poate s aib 400 x 300
2
Simmons, G.J. The Prisoners Problem and the Subliminal Channel, in Proceedings of Crypto 83, Plenum Press
(1984), pp. 51-67.
76
pixeli. Fiecare pixel este codificat printr-o secven de bii care fixeaz culoarea. n cea mai
simpl form, codificarea se realizeaz prin 24 de bii, care, conform sistemului RBG Red
(rou), Blue (albastru), Green (verde) , nseamn atribuirea a cte 8 bii pentru fiecare
culoare. Cei 8 bii, care formeaz un octet, determin realizarea a 256 de posibiliti; prin
combinarea lor rezult aproximativ 17 milioane de nuane de culori. Printr-o astfel de variant
se pot obine performane foarte mari, dar, unor bii li se poate da o alt destinaie, pentru a se
codifica mesaje scurte, fr s afecteze semnificativ imaginea.
n structura octeilor, valoarea biilor este diferit n alctuirea imaginii finale. De regul,
ultimul bit, cel mai din dreapta, nu are efect semnificativ, ntruct, n cel mai ru caz schimb
culoarea cu unu n spectrul general al culorii, pe cnd cel din stnga are influen mult mai
mare n schimbarea culorii. Se spune c schimbarea bitului cel mai nesemnificativ al unei
culori ar fi echivalent cu schimbarea secundarului unui ceas cu o secund. Ce nseamn o or
cu o secund n plus sau n minus!?!
Biii succesivi ai mesajului secret pot fi plasai pe poziia biilor cel mai puin
semnificativi ai octeilor urmtori, fr s altereze semnificativ imaginea. Putem face un
calcul simplu al potenialilor bii utilizabili pentru ascunderea mesajului, tiut fiind faptul c
sunt 400 x 300 pixeli, fiecare cu cte 3 octei (de la care se pot valorifica 3 bii, cte unul de
la fiecare octet), rezultnd 400 x 300 x 3 = 360.000 bii. Alocnd cte 8 bii pentru un caracter
al textului, rezult c se poate realiza un mesaj lung de 360.000 : 8, adic 45.000 de caractere.
Pentru exemplificare, s considerm c primii 3 octei (24 bii) ai imaginii au urmtoarea
structur:
0
1
0
2
0
3
0
4
0
5
0
6
0
7
0
8
1
1
1
2
1
3
1
4
0
5
0
6
1
7
0
8
1
1
1
2
1
3
0
4
0
5
0
6
0
7
1
8
S analizm efectul scrierii mesajului ABC, folosind biii cei mai nesemnificativi, a opta
poziie, marcai cu bold. n codul ASCII:
A este 01000001
B este 01000010
C este 01000011
Deci, mesajul ABC nseamn irul
0
Din pcate, dat fiind numrul mic de bii disponibili n exemplul dat, doar 3, nseamn c
vom putea plasa numai primii trei bii ai literei A, adic 010, astfel:
0
1
0
2
0
3
0
4
0
5
0
6
0
7
0
8
1
1
1
2
1
3
1
4
0
5
0
6
1
7
1
8
1
1
1
2
1
3
0
4
0
5
0
6
0
7
0
8
Se poate observa c doar doi bii din cei trei mai puin semnificativi s-au schimbat,
respectiv ultimul bit al celui de-al doilea octet i al celui de-al treilea. Pentru decodificarea
mesajului, se vor extrage doar biii aflai pe a opta poziie a fiecrui octet, ceea ce cu
calculatorul este o procedur foarte simpl. Printr-o astfel de operaiune biii iniiali ai
imaginii nu mai pot fi reconstituii.
Pentru a reda efectul steganografiei, al scrierii textelor ascunse prin imagini, n figura 5.4,
redm fotografiile Pmntului efectuate de cosmonauii misiunii Apolo 17, pe 7 decembrie
1972; imaginea din stnga este fotografia normal, iar cea din dreapta are inclus un text de
peste 30 de pagini.
CRIPTOGRAFIA
77
Totui, steganografia nu este la fel de sigur cum este criptarea prin chei, dar ea a fost (i
este) folosit n multe acte criminale. Ea poate servi i la ascunderea existenei unui fiier pe
hard disk pentru toi cei ce nu-i tiu numele i parola.
Identificai pe Internet programe care folosesc tehnica LSB pentru transmiterea mesajelor ascunse.
Credei c exist situaii n activitatea organizaiilor economice n care s fie util folosirea
steganografiei? Exemplificai, justificai.
5.3.6.2 Filigranarea
Un filigran este un model distinct ncapsulat ntr-un document, imagine, video sau audio
de ctre cel ce se afl la originea datelor. Filigranul poate avea cteva scopuri, printre care:
indicarea proprietarului datelor, inerea evidenei copiilor datelor, verificarea integritii
datelor. Filigranele folosite n bancnote au scopul de a ntri ncrederea posesorilor c se afl
n faa banilor originali i nu a unora contrafcui, scopul fiind de securizare mpotriva unor
tentative de falsificare. Un filigran poate fi invizibil cu ochiul liber sau insesizabil de ureche,
dar sunt mijloace de detectare i extragere a lui pentru a se verifica autenticitatea datelor sau a
se afla sursa lor.
Datele filigranate sunt o funcie a unui identificator i/sau cheie care este unic() pentru
autor. Aceste valori sunt necesare pentru detectarea sau extragerea filigranului. Dac mai
multe copii ale datelor surs au fost filigranate separat, fiecare dintre ele va fi prelucrat cu o
cheie proprie, ceea ce conduce la concluzia c fiecare copie are amprenta ei. Prin inerea
78
evidenei fiecrei chei folosite pentru fiecare beneficiar este uor de urmrit cine a nclcat
dreptul de proprietate.
Se folosesc filigrane fragile sau solide. Cele fragile sunt mai uor de schimbat, dar sunt
folosite doar pentru a vedea dac datele au fost schimbate, n timp ce filigranele robuste
rezist tuturor manipulrilor i mutrilor la care sunt supuse.
Filigranarea este similar cu steganografia i se bazeaz pe tehnici de proiectare
apropiate. De exemplu, o metod de filigranare, aplicabil datelor digitale, const n inserarea
unui ID i a unei chei n structura unui fiier imagine, sunet, video. Dac ID-ul i cheia sunt
cunoscute, este uor de vzut dac ele sunt prezente printre date.
n spaiul cibernetic, filigranele sunt folosite pentru stabilirea nclcrilor dreptului de
autor. Digimarc Technologies (www.digimarc.com i www.digimarc-id.com) are un produs
pentru protejarea imaginilor puse de proprietar n propriul su site. Deintorii copyright-ului
insereaz filigranul lor, folosind PhotoShop al Adobe-ului, sau un alt editor de imagine care
ncorporeaz tehnologia Digimarc. Cnd receptorul folosete acelai editor pentru
vizualizarea imaginilor va fi afiat simbolul de copyright al autorului. Prin selectarea
simbolului se realizeaz legtura cu Digimarc, de unde vor afla cine este deintorul dreptului
de autor. De asemenea, Digimarc are un motor de cutare, MarcSpider, care caut imagini
filigranate furate de la autorii lor.
Aris Technologies, Inc. (www.aris-techno.fr/) a realizat o tehnologie similar mpotriva
pirailor de muzic. Softul lor, MusiCode, ncapsuleaz informaii-surs (cum sunt titlul,
artistul, compania de nregistrare) n fiierul audio. Softul este folosit pe Internet printr-un
motor de cutare care combate piraii de melodii din acest mediu.
Realizri sunt foarte diverse, dar scopul prezentrii de fa este doar acela de a informa
pe cei interesai de protejarea creaiei lor c au la dispoziie instrumente de aprare.
Identificai pe Internet programe cu ajutorul crora s introducei filigrane n imaginile dvs. digitale.
Anderson, R. Security Engineering: A Guide to Building Dependable Distributed Systems, John Wiley&Son, Inc., New
York, 2001.
CRIPTOGRAFIA
79
80
CRIPTOGRAFIA
81
82
Un sistem de criptare prin cheie secret are n structura sa informaie public i privat.
Informaia public, de regul, const n:
un algoritm folosit pentru criptarea textului clar n mesaj criptat;
posibil, un exemplar al textului clar i textului criptat corespunztor;
posibil, o variant criptat a textului clar care a fost aleas de ctre un receptor
neintenionat.
Informaiile private sunt:
cheia sau variabila de criptare;
o anumit transformare criptografic dintr-o mulime de transformri posibile.
Succesul sistemului se bazeaz pe dimensiunea cheii. Dac ea are mai mult de 128 bii
este una destul de sigur, ceea ce nseamn siguran n exploatare. Ea se adaug rapiditii cu
care se efectueaz criptarea i volumului mare de date asupra crora poate opera. Iat trei
caracteristici eseniale ale sistemelor bazate pe chei simetrice: siguran, rapiditate, volum
mare de date criptate.
Singura problem a sistemului const n folosirea n comun a cheii de criptare de ctre
emitor i receptor, ceea ce nseamn c emitorul trebuie s foloseasc o palet larg de
chei pentru o mare diversitate a utilizatorilor. Exist o tehnic de intermediere prin chei
publice, dar nu intrm n detalii. Oricum, trebuie s se tie c sistemele bazate pe chei
simetrice nu ofer mecanismele necesare autentificrii i nerepudierii.
Cel mai cunoscut sistem bazat pe chei simetrice este Data Encryption Standard (DES),
dezvoltat din sistemul criptografic Lucifer al firmei IBM.
CRIPTOGRAFIA
83
criptografiei bazate pe chei publice ele trebuie s aib o trap, adic un mecanism secret care
s permit realizarea cu uurin a funciei inverse funciei n sens unic. Printr-o astfel de
modalitate se poate obine x dac se d y.
n contextul criptografiei bazate pe chei publice este foarte dificil s se calculeze cheia
privat din cheia public dac nu se tie trapa.
De-a lungul anilor s-au dezvoltat mai muli algoritmi pentru cheile publice. Unii dintre ei
se folosesc pentru semntura digital, pentru criptare sau n ambele scopuri.
Din cauza calculelor numeroase solicitate de criptarea prin chei publice, aceasta este de
la 1.000 la 10.000 de ori mai nceat dect criptografia prin chei secrete. Astfel, au aprut
sistemele hibride care folosesc criptografia prin chei publice pentru transmiterea sigur a
cheilor secrete utilizate n criptografia prin chei simetrice.
Dintre algoritmii importani ai cheilor publice, amintim Diffie-Hellman, RSA, El Gamal
Knapsak i curba eliptic, foarte utilizai fiind primii doi algoritmi.
Pentru a studia cadrul legal al utilizrii semnturii electronice n Romnia, putei obine informaiile dorite
de pe site-ul www.legi-internet.ro/lgsemel.htm.
84
Rezumat
Scopul criptografierii este de a proteja informaiile transmise fr s poat fi citite i nelese dect de
ctre persoanele crora le sunt adresate. Teoretic, persoanele neautorizate le pot citi, ns, practic, citirea
unei comunicaii cifrate este doar o problem de timp efortul i timpul aferent necesare unei persoane
neautorizate s decripteze mesajul criptat.
Exist dou tipuri principale de tehnologii criptografice sunt criptografia prin chei simetrice (chei
secrete sau chei private) i criptografia prin chei asimetrice (chei publice).
Cele mai cunsocute metode de criptare sunt: substituia, transpoziia (permutarea), cifrul lui Verman,
cifrul carte, codurile, ascunderea informaiilor (steganografia, filigranarea, securitatea tipririi hrtiilor de
valoare).
Dintre cele mai cunoscute sisteme bazate pe chei secrete (simetrice) pot fi amintite: DES (Data
Encryption Standard), AES (Advanced Encryption Standard), cifrul IDEA (International Data Encryption
Algorithm).
Ca sisteme de criptare prin chei publice (asimetrice) pot fi enumerate: schimbul de chei DiffieHellman, RSA, semntura digital, sistemele de certificare a cheilor publice, infrastructura cheilor publice
(PKI Public Key Infrastructure).
2.
3.
Unitatea de studiu VI
86
Cum credei c se modific cerinele de securitate de mai sus n cazul data center-urilor moderne?
Propunei un set de cinci recomandri valabile pentru asigurarea securitii amplasrii centrelor de date.
87
88
89
90
Rezumat
n privina amplasrii i proiectrii centrelor de calcul, exist reguli care trebuie respectate pentru o
securizare adecvat a valorilor fizice i informaionale din sfera activitii organizaiei.
De asemenea, serviciile i utilitile dintr-un centru de prelucrare automat a datelor joac un rol
foarte important n configuraia sistemelor, constituind de multe ori punctele nevralgice ale acestora.
Proasta funcionare a lor paralizeaz i cele mai performante echipamente de prelucrare automat a datelor
i din aceast cauz se recomand luarea unor msuri suplimentare, n ceea ce privete iluminatul,
nclzirea, sistemul de aer condiionat, furnizarea energiei electrice etc.
1.
92
Aprarea mpotriva tuturor pericolelor descrise are un rol vital n buna funcionare a
sistemului. Totui, trebuie pornit de la faptul c toate componentele sistemelor, la rndul lor,
pot dispune de elemente proprii de asigurare a securitii.
93
94
95
96
Analizai, pornind de la componentele unitii de studiu VII, modul n care se asigur securitatea
echipamentelor ntr-o organizaie cunoscut de dumneavoastr.
Rezumat
Securitatea software-ului
98
SECURITATEA SOFTWARE
99
100
Rezumat
Produsele software din cadrul unei organizaii trebuie s asigure trei funcii principale accesul,
delimitarea i auditarea adic trebuie s blocheze relele intenii, s previn accesul neautorizat i s
nregistreze tot ce efectueaz pentru a avea ulterior for probant.
Securitatea prin software nu este garantat 100%, ca urmare a limitelor inerente produselor de acest
tip soft-ul este scump, uneori conine erori, testele de verificare nu sunt perfecte, softul de securitate
ncetinete funcionarea de ansamblu a sistemului, n domeniu lipsete standardizarea etc.
Din aceste motive, este necesar impunerea unor msuri de securitate, menionate pe larg n
componenta 7.3 a unitii de studiu.
1.
2.
Unitatea de studiu IX
Securitatea personalului
102
SECURITATEA PERSONALULUI
103
informaii generale despre persoan. Date suplimentare pot fi oferite de referinele obinute de
la precedentul loc de munc i apoi de la o persoan care s reprezinte o instituie credibil
(coal, justiie, poliie, armat). Dac se consider necesar pot fi efectuate i investigri prin
firme private.
Totui, multe elemente edificatoare se pot obine prin intervievarea solicitanilor de
locuri de munc. Aspectele urmrite pot fi structurate astfel:
1. Descrierea locului de munc anterior, funcia deinut, evoluia profesional. Se vor
urmri, ndeosebi, eventualele ntreruperi de activitate, altele dect concediile sau
diverse motive obiective. Spitalizrile i arestrile vor fi urmrite cu mare atenie
pentru aflarea cauzei acestora.
2. Verificarea referinelor i a diplomelor depuse la dosar. Sunt foarte dese cazurile de
declaraii false despre o vechime avut la uniti inexistente sau diplome de la aazisele coli ale vieii. Nimic nu va fi crezut fr probe suplimentare.
Se va continua cu determinarea:
a) competenei. Diplomele ataate, cu note foarte mari pe ele, nu au acoperire n
calitile profesionale ale persoanei constatare efectuat prin probe de lucru
asemntoare ultimului loc de munc, precum i rezolvarea unor stri
imprevizibile.
b) punctualitatea i absenteismul vor scoate n relief ct ncredere i se poate acorda
individului.
c) abaterile disciplinare vor ncerca s evidenieze posibilitatea ncadrrii persoanei
n legalitate, n normele de conduit social (dac a fost amendat, dac a avut
procese civile sau penale).
d) situaia medical va scoate la lumin strile de instabilitate mental, bolile cronice
care pot s aib o motivaie social sau financiar pentru solicitanii posturilor.
Calea prin care se pot obine aceste informaii const n oferirea unei polie de
asigurare de via, pltit de firm, care necesit o examinare medical.
e) care este cauza prsirii vechiului loc de munc?
f) fostul loc de munc l-ar primi din nou pe solicitant sau i-ar cere referine
suplimentare?
g) exist obligaii ale solicitantului fa de fosta unitate?
h) persoana a mai fost angajat la companii private i, dac da, cnd i de ce le-a
prsit?
i) care au fost relaiile cu fotii colegi de munc - a fost posibil integrarea n
echip? Era agreat i respectat? Avea conflicte cu reprezentanii unor grupuri de
persoane? Dac este programator, exist cazuri cnd din cauza unui program de-al
su s se fi blocat activitatea ntregului centru de prelucrare?
3. Originea individului, modul su de existen, persoanele cunoscute, legturile sale de
familie au ceva n comun cu concurenii firmei la care cere angajarea? Pentru strini
se pot solicita i actele doveditoare ale naionalitii.
4. Exist unele indicii ale consumului abuziv de alcool sau droguri?
5. Solicitantul este membru n asociaii profesionale sau economice? Are puncte de
vedere politice foarte puternic susinute, care? A exercitat anterior unele activiti
publice sau funcionreti (consultant, reprezentant sindical .a.) care s-i fi ntrerupt
preocuprile profesionale sau s-l determine s fie uor influenabil n rezolvarea
unor posibile conflicte viitoare?
6. Care i este viaa de familie? Ce activiti sociale i sportive i plac? Dau ele semne
de sntate excesiv sau chiar inexplicabil, indic o extravagan ieit din comun?
104
SECURITATEA PERSONALULUI
105
n orice caz, altfel vor fi tratai angajaii cu vechime n unitate i altfel cei angajai de
curnd sau cu regim sezonier, sau cu jumtate de norm.
Stadiul 4: Proceduri la angajare
ntr-un contract de angajare a unui salariat trebuie s se stipuleze cu claritate urmtoarele:
1. responsabilitile persoanei i sarcinile pe linia asigurrii securitii valorilor
patrimoniale i, bineneles, a informaiilor, astfel nct:
a) s dispar orice dubiu privind persoana care trebuie s exercite o funcie anume;
b) s aduc la cunotina angajailor, din faza de asociere cu unitatea, ce probleme
caracterizeaz activitatea firmei;
c) s-i pregteasc pentru dobndirea unor caliti noi, cerute de unitatea care
angajeaz;
2. regulamentul de ordine interioar a unitii i condiiile n care nceteaz contractul
de munc;
3. restricii privind comportamentul persoanei n cazul ncetrii contractului de munc,
ndeosebi pe linia nedezvluirii informaiilor speciale competitorilor actualei firme,
respectndu-se aa-zisa clauz a confidenialitii;
4. aducerea la cunotin a documentaiilor de specialitate, a documentelor, a situaiilor
de ntocmit, care trebuie s aib aprobarea n avans a efului su.
Angajatul trebuie s semneze contractul, ceea ce nseamn c l-a citit, l-a neles, inclusiv
c a luat cunotin de problemele securitii sistemului. Dup acest moment, de regul,
urmeaz o perioad de prob, de pn la trei-ase luni, dup care se va face pronunarea
privind statutul definitiv al persoanei.
Stadiul 5: Instruirea i contientizarea personalului
Pentru atingerea obiectivului acestui stadiu se stabilesc programe speciale de instruire i
contientizare pentru asigurarea ncrederii n personalul unitii pe linia asigurrii securitii
sistemului de prelucrare automat a datelor n acest scop, se pot folosi numeroase modaliti
de ducere la ndeplinire a obiectivului: de la cursuri cu durate i termene fixe, pn la
pavoazri la tot pasul a interiorului unitii .a.
Stadiul 6: Supravegherea
Unitile mai mari au n uz sisteme programate de evaluare a performanelor angajailor,
astfel nct s-i poat orienta profesional ct mai corect i pentru a face promovrile cele mai
motivate. Tot printr-un astfel de sistem se va efectua i urmrirea aspectelor referitoare la
ncrederea n persoane i poziia lor fa de securitatea sistemului, evitndu-se incidentele
nefericite din sistemele de prelucrare automat a datelor.
Cu caracter neplanificat sunt urmririle i supravegherile zilnice ale personalului, pentru
descoperirea potenialelor pericole din partea salariailor.
n caz de promovare, se vor face reevaluri ale sarcinilor pe linia securitii informaiilor.
Programul de educaie privind securitatea i propune s contribuie la creterea vigilenei
personalului i s declare orice vede ca fiind mpotriva securitii firmei, indiferent de poziia
persoanei implicate n aa-ceva.
Stadiul 7: ncetarea contractului de munc
Procedurile legale de ncetare a contractului de munc trebuie s fie introduse pentru
persoanele care prsesc unitatea n astfel de condiii, un rol esenial revenind acordurilor
dintre pri n regim post-angajare a persoanei, ndeosebi raportul fostului angajat cu
concurenii firmei.
Dup recuperarea cheilor de acces urmeaz anularea parolelor de intrare n sistemele de
prelucrare automat a datelor. n acelai timp, restul angajailor trebuie s fie anunai c
106
persoana respectiv nu mai are statutul de salariat al firmei, deci relaiile lor de serviciu sunt
anulate. Se recomand, chiar, efectuarea unor schimbri ale posturilor de lucru din mediul din
care a plecat o persoan.
Stadiul 8: Consideraii finale
1. Contractul angajailor. Nu tratai oamenii ca i cum ei au fost angajai la o companie,
ci ca i cnd ar lucra la propria lor firm. Acordai o atenie deosebit personalului de
ntreinere a sistemului, personalului care efectueaz curenia, care ptrund n
centrele de prelucrare automat a datelor fr s aib supravegheri speciale. Identic se
va proceda i n cazul consultanilor din afar.
2. Operatorii de la terminale nu trebuie s fie omii ct de periculoi pot fi pentru
sistem, ndeosebi pentru faptul c pot s-i pstreze anonimatul. O grij deosebit
trebuie s se acorde i personalului care lucreaz la ntreinerea terminalelor.
3. Vizitatorii. Toate persoanele care ptrund n mediul sistemelor de prelucrare
automat a datelor, fie c sunt cunoscute sau de ocazie, trebuie s fie supuse
procedurilor de asigurare a securitii sistemului, efectundu-se, chiar, verificarea lor
i admiterea sau nu a ptrunderii n sistem. Se recomand ca vizita lor s aib loc
numai nsoit de un reprezentant al firmei.
4. Controlul extern asupra angajailor. Pot fi situaii cnd persoane care nu sunt
abilitate cu cunotine elementare de prelucrare automat a datelor s poat fi foarte
periculoase pentru securitatea sistemului, fiind ghidate de cineva din afara unitii
asupra modului cum trebuie s procedeze.
5. Aciuni hotrte. Dac asupra unei persoane sunt unele dubii privind securitatea, nu
trebuie lsat timpul s-i spun cuvntul, ncercnd s ne convingem de realitatea
bnuielilor, ci trebuie acionat dintr-o dat. Parolele de acces ale persoanelor
autorizate pot fi retrase de responsabilul cu securitatea sistemului fr s-i anune n
prealabil pe cei deposedai, bineneles, dac exist motive de bnuial asupra
loialitii.
6. Tratamentul loial n sens descendent i ascendent (pe baz de reciprocitate).
Angajatorii trebuie s-i trateze angajaii corect i onest ca s se atepte s fie tratai
n mod similar. n special, personalul din domeniul prelucrrii automate a datelor,
care este deosebit de inteligent, are nevoie de un astfel de tratament.
7. Vizite ale locului de munc. Perspectiva de jos este cu totul diferit vzut de cei de
sus, de aceea ei trebuie s coboare la nivelul locurilor de execuie din ateliere. Se
spune c i vulturul dac este privit de sus este greu de observat, dar de jos, pe fondul
cerului silueta lui este foarte clar.
8. Te faci c-i plteti, se fac c muncesc i c sunt coreci. ncrederea personalului
poate fi ctigat prin recompensarea lor la cote ridicate, scondu-le n relief
valoarea lor i ctigndu-le ncrederea.
9. Nu jucai fals. n istoria securitii sistemelor, persoanele care au oferit cele mai
multe cacealmale angajailor au fost i cele mai des furate sau spionate.
10. Lsai, totui, unele portie de ieire pentru situaii deosebite. Personalul nu trebuie
s se team att de tare de consecinele unor nclcri, din neglijen, a msurilor de
securitate. Msurile exagerate nu aduc ntotdeauna cele mai bune rezultate. Nu punei
mare pre pe anonime, dar nici nu le neglijai.
11. Nu crede fr s cercetezi. Niciodat nu se recomand s se fac presupuneri, fr s
se cerceteze fondul problemei. Presupunerea, deseori, este primul pas spre mocirl.
SECURITATEA PERSONALULUI
107
Reluai exemplul de mai sus pentru un agent de vnzare, un contabil ef i un administrator de baz
de date.
108
Extragei din dou fie ale posturilor dintr-o organizaie atribuiile de securitate informaional.
Rezumat
Printre cei mai periculoi atacatori ai unui sistem informaional dintr-o organizaie se numr chiar
angajaii acesteia. Ei pot amenina sistemul prin violen, furt de obiecte, delapidare, abuz, modificare,
spionaj, respingere, folosire frauduloas, violarea copyright-ului, alte infraciuni economice sau legislative.
Principiile fundamentale care guverneaz problematica msurilor de securitate pe linie de personal
sunt principiul trebuie s tie, principiul trebuie s mearg , principiul celor dou persoane.
Msurile pe linia securitii din punct de vedere al personalului sunt diverse i se pot lua n stadii
diferite: la identificarea locurilor de munc cu regim special i a calitilor persoanelor ndreptite a le
ocupa, la selecia personalului, la atribuirea responsabilitilor pe linia securitii, la angajare, n etapa de
instruire i contientizare a personalului, la ncetarea contractului de munc.
1.
4.
5.
Unitatea de studiu X
Securitatea comunicaiilor
110
sau ale textelor transmise prin fax s nu figureze anumite tipuri de informaii, cum ar fi
numele organizaiei, numele codurilor proiectelor, denumirea produselor, numele
persoanelor-cheie din organizaie .a. Pentru a-i atinge obiectivele, ageniile specializate n
cutarea informaiilor speciale apeleaz la cutri automate, prin cuvinte-cheie aflate ntr-o
baz de date predefinit.
SECURITATEA COMUNICAIILOR
111
112
ntr-un loc aflat la distan, precum i echipamente pentru interceptarea apelurilor telefoanelor
celulare. Cumprtorii erau partenerii de afaceri suspicioi, concurenii i ndrgostiii geloi.
SECURITATEA COMUNICAIILOR
113
114
Electronic Serial Number), cunoscute sub numele generic de pereche (pair). Cnd site-ul
celulei primete semnalul pereche, determin dac solicitantul este nregistrat oficial, prin
compararea perechii solicitantului cu lista abonailor la telefonia celular. ndat ce perechea
de numere este recunoscut, site-ul celulei emite un semnal de control, prin care i permite
abonatului s fac apeluri. Un astfel de proces, cunoscut sub numele de nregistrare anonim,
se realizeaz de fiecare dat cnd telefonul este activat sau este recepionat de un nou sitecelul, aflndu-se n raza lui de aciune.
Un telefon celular este, de fapt, un aparat radio cu emisie-recepie. Vocea noastr este
transmis prin aer ca unde radio, iar acestea nu sunt direcionale, ci dispersate n toate
direciile, astfel nct oricine posed un anumit tip de radio receptor poate s le intercepteze.
Sunt foarte muli radio-amatori care au site-uri web prin care se schimb numere de telefon
ale unor inte interesante. Uneori persoanele oportuniste cu un astfel de hobby i vnd
coleciile.
SECURITATEA COMUNICAIILOR
115
nchis i apoi deschis. Iat de ce nu trebuie s fie permis accesul cu telefoane mobile n slile
sau zonele n care se discut lucruri sensibile sau se face trimitere la informaii clasificate.
Vulnerabilitatea la clonare este cea mai elegant form de a fura pe cineva, prin
telefonia mobil, fr s-i furi aparatul. Este de ajuns ca noii hoi s monitorizeze spectrul
frecvenelor radio i s-i nsueasc perechea de numere a telefonului celular, atunci cnd se
face nregistrarea anonim la un site de celul. Clonarea este procesul prin care un ho
intercepteaz numrul de serie electronic, ESN, i numrul de identificare mobil, MIN, apoi
programeaz aceste numere ntr-un alt telefon i-l face identic cu cel al posesorului de drept,
utilizndu-l exact ca abonatul serviciului telefonic mobil.
Numai n SUA, la nivelul unui an, s-au nregistrat furturi care se apropie de miliardul de
dolari, iar arestrile au fost de ordinul miilor. Cel mai cunoscut este cazul lansrii a 1500 de
apeluri telefonice ntr-o singur zi de ctre hoii perechii de numere a unui abonat.
ESN-ul i MIN-ul se pot obine foarte uor cu un cititor de ESN-uri, care arat ca i un
telefon celular receptor, conceput s monitorizeze canalele de control. El capteaz perechile
de numere n momentul n care acestea sunt transmise de la un telefon celular la un site de
celul i memoreaz informaiile respective n propria-i memorie. Operaiunea este uor de
realizat cci, de fiecare dat cnd activm celularul sau intrm n raza altui site de celul, de
la aparatul nostru se transmite perechea de numere ctre site-ul celul, pentru fixarea
canalului de voce.
n cele ce urmeaz, transpunem formele de manifestare ale pericolelor menionate n
unitatea de studiu 1, la punctul 1.1.2, pe exemplul telefoniei mobile.1
Ameninrile cauzate de incidente ivite n sistem care se fac simite i n domeniul
tehnologiilor mobile sunt:
apariia de defeciuni la echipamentele sistemului. Potrivit unui raport pentru anul
2006, un telefon mobil nu rezist mai mult de doi ani fr s se defecteze, iar rata
telefoanelor defecte la nivel mondial este de 1 la 5.2 Defeciunile sunt cu att mai
frecvente cu ct telefoanele au funcii mai avansate, fapt care afecteaz n mod clar
comerul mobil, bazat n mod esenial pe transferul de date. Prile telefoanelor
afectate de defecte sunt diverse: tastatura, carcasa, ecranul, acumulatorul, camera foto
ncorporat, receptorul etc. Rata defeciunilor variaz de la productor la productor
i crete proporional cu timpul de utilizare a dispozitivului;
erorile umane. Printre cele mai frecvente erori umane care pot aprea n utilizarea
telefoanelor mobile se numr configurarea inadecvat a dispozitivelor, ignornd
activarea autentificrii sau a altor mecanisme de securitate, lsarea nesupravegheat a
telefoanelor3, tratarea la fel a tuturor datelor stocate pe dispozitivul mobil fr a ine
cont de faptul c anumite date ale organizaiei ncrcate pe dispozitivul portabil pot
necesita msuri de protecie suplimentare. Cu mult mai grave sunt erorile care apar n
configurarea reelelor wireless sau n cadrul aplicaiilor realizate pentru reeaua
mobil a unei organizaii. Cauzele erorilor sunt cele clasice calificarea
insuficient/stupiditatea, amestecul oamenilor n probleme care le depesc
competena (fie din curiozitate, fie dintr-o ncredere exagerat n abilitatea proprie de
1
Cu ct un dispozitiv este mai mic, cu att este mai uor de pierdut n metroul londonez se pierd lunar peste 10000 de
telefoane mobile. Riscul crete dac telefoanele mobile sunt i PDA-uri i au acces la sistemul informaional al
organizaiei, expunnd astfel averile informaionale ale acesteia.
116
Balan, E., The Problem with Mobile Phone Software - How to make the right mobile phone software, la
http://news.softpedia.com/news/The-Problem-with-Mobile-Phone-Software-53942.shtml
SECURITATEA COMUNICAIILOR
117
antene proprii, marile magazine i pot urmri clienii i pot determina timpul pe care
l petrec acetia la anumite standuri, reformulndu-i ulterior politicile de vnzare pe
baza acestor date culese empiric.5 Metodele de interceptare sunt variate. Locul n care
se afl la un moment dat o persoan poate fi determinat de operatorul mobil ca
urmare a conectrii permanente a telefonului la un releu GSM. Prin metode simple de
goniometrie, se poate determina exact nu doar zona geografic n care se afl
telefonul ci chiar locaia lui precis, att n plan orizontal ct i n plan vertical.6
Interceptarea convorbirilor i a mesajelor se poate face e de la sediul operatorului
mobil, fie cu dispozitive individuale. Nici standardele mai noi de telefonie mobil,
cum ar CDMA, care asigur criptarea convorbirilor, nu sunt sigure, existnd
echipamente automate de decriptare i pentru acestea. Aparatele care permit
interceptarea convorbirilor sunt disponibile la un pre de circa 1000 de euro. nsui
telefonul mobil propriu poate fi controlat de la distan de ctre un intrus care
exploateaz anumite funcii ale acestuia. De asemenea, au aprut deja pe pia
software-uri specializate care permit nregistrarea secret a fiecrui text de mesaj
scris, a detaliilor despre apelurile iniiate sau primite i a altor caracteristici similare
ale unui telefon mobil. Ceea ce este interesant la acest tip de program este c
nregistrarea detaliilor i activarea programului se pot face de la distan i fr a se
ntiina utilizatorul.7 Guvernele au la dispoziie sisteme de satelii de interceptare sau
antene de recepie i pot afla cantiti uriae de date transmise wireless. Cel mai
celebru asemenea sistem este Echelon, prin intermediul cruia se pot monitoriza
aproximativ dou milioane de convorbiri pe minut;
atacurile dumanilor, nedreptiilor i neloialilor dintre angajaii firmei. Acetia se
pot implica n fraude desfurate cu ajutorul dispozitivelor i reelelor mobile, n acte
de vandalism, de abuz de privilegii etc. Nu trebuie uitat faptul c angajaii sunt cei
mai periculoi atacatori poteniali ai unui sistem, deoarece i cunosc acestuia punctele
cele mai sensibile i au la ndemn metodele de a-l afecta fr prea mari eforturi;
furtul de dispozitive. Ca urmare a portabilitii lor, dispozitivele mobile pot face
foarte uor obiectul furturilor. Houl poate folosi ulterior dispozitivul n diverse
tranzacii, n numele proprietarului de drept. Problemele se agraveaz atunci cnd n
aparat sunt stocate informaii confideniale;
viruii mobili. Primul virus destinat telefoanelor mobile cu sistem de operare, Cabir,
a aprut n anul 2004. De atunci i pn la nceputul anului 2008, numrul viruilor
mobili a crescut la circa 400, potrivit companiei F-Secure. Termenul virus
definete, n cazul tehnologiilor mobile, programe cu comportament combinat, de
virus, vierme i troian. n ciuda scenariilor sumbre i a vocilor (avizate) care spun c
viruii vor transforma viitorul comunicaiilor mobile ntr-un comar, tergnd datele
din telefoane, accesnd conturile bancare, sunnd la numere cu supratax,
nregistrnd conversaiile i transmindu-le ctre ale numere de telefon, gradul de
periculozitate al viruilor mobili nu este, n prezent, foarte ridicat. Ca rat de
penetrare, se vehiculeaz un 2,1% dintre utilizatorii de telefoane mobile din toat
118
Arsene, A., Vine sezonul viruilor pentru mobile, Business Magazin, ediia online, la
http://www.businessmagazin.ro/business-hi-tech/telecom/vine-sezonul-virusilor-pentru-mobile.html?5542;2464120
10
SECURITATEA COMUNICAIILOR
119
Leyden, J., Phreakers will rape and pillage your mobile, Octombrie 2004, la
http://www.theregister.co.uk/2004/10/22/mobile_java_peril/
120
nu discutai lucruri importante prin telefonul mobil. Cnd sunai pe cineva, punei-l n
gard c vorbii de pe mobil i atenionai-l, dac e cazul, c mobilul e vulnerabil i
c trebuie s se poarte doar discuii generale, fr detalii;
nu lsai mobilul nesupravegheat;
evitai folosirea telefonului mobil n locuri foarte aglomerate i n imediata lor
apropiere. Aici este terenul propice pentru radio-amatorii ce folosesc scannere pentru
monitorizri aleatoare. Dac v-au identificat i le place discuia, v vor reine
pentru monitorizarea permanent;
dac vi se ofer de ctre compania telefonic un PIN (Personal Identification
Number), folosii-l o dat i nu la fiecare activare, c ansele de a fi clonat aparatul
sunt mai reduse.
Exist o zicere neleapt care spune: Doamne, spune-mi dumanul care mi-e prieten,
cci pe ceilali i tiu eu! Unde plasai mobilul!?!
Ce alte pericole i vulnerabiliti asociate telefoniei mobile i fixe cunoatei? Exemplificai.
Rezumat
Unitatea de studiu XI
Capitol realizat, n cea mai mare parte, de prof. dr. Gabriela Meni de la Universitatea Al. I. Cuza Iai, Facultatea de
Economie i Administrarea Afacerilor i revizuit pentru noua ediie de lect. dr. Daniela Popescul
122
1991
1996
2000
2001
L.
51
2002
2004
2005
2006
L. 182
H.G. 585
H.G. 781
O.G. 34
L. 544
L. 677
L. 682
O.A.P. 52
O.A.P 75
Criminalitatea informatic
L. 506
L. 161,
Titlul III
Comerul electronic
O.G.
130
L. 365
L. 455
Norma de aplicare
Plile electronice
Dreptul de autor
2003
L. 8
L. 64
L. 51
L. 121
L. 451
L. 589
O.G. 24
L. 102
O. MCTI pt.
aplicarea L. 221
O. MCTI
218
H.G. 557
Regulament
BNR 6
O.U. 123
Legend: L. Legea, H.G. - Hotrrea de Guvern, O.A.P. Ordinul Avocatului Poporului, MFP Ministerul Finanelor Publice, MCTI Ministerul Comunicaiilor i
Tehnologiei Informaiei
124
Vom prezenta, n cele ce urmeaz, numai cteva legi pe care le considerm importante n
domeniul securitii informaionale.
Informaii despre toate legile din zona IT gsii la http://legi-internet.ro, iar informaii structurate despre
legile importante privind securitatea informaiilor n Oprea, D., Protecia i securitatea informaiilor, Editura
Polirom, Iai, 2007.
125
126
127
128
129
130
Sunt supuse unor reguli speciale de prelucrare o serie de date cu caracter personal care
au o semnificaie deosebit pentru persoanele la care fac referire, respectiv:
prelucrarea datelor cu caracter personal avnd funcie de identificare (cod numeric
personal);
prelucrarea datelor cu caracter personal privind starea de sntate;
prelucrarea datelor cu caracter personal referitoare la fapte penale sau contravenii
(cele care fac referire la svrirea de infraciuni ori la condamnri penale, msuri de
siguran sau sanciuni administrative ori contravenionale aplicate persoanei vizate).
Persoana vizat de prelucrarea datelor cu caracter personal trebuie s-i cunoasc
drepturile pe care le poate exercita, i anume:
dreptul de a fi informat cu privire la identitatea operatorului, scopul prelucrrii
datelor, destinatarii sau categoriile de destinatari ai datelor i alte informaii a cror
furnizare este impus prin dispoziia autoritii de supraveghere, innd cont de
specificul prelucrrii;
dreptul de acces la date, prin care se poate solicita operatorului confirmarea faptului
c datele care privesc persoana vizat sunt sau nu prelucrate de acesta. Operatorul
este obligat s comunice persoanei, mpreun cu confirmarea, informaii referitoare la
scopurile prelucrrii, categoriile de date avute n vedere i destinatarii sau categoriile
de destinatari crora le sunt dezvluite datele. De asemenea, legea stipuleaz
obligativitatea comunicrii ntr-o form inteligibil a datelor care fac obiectul
prelucrrii, precum i a oricrei informaii disponibile cu privire la originea datelor, a
informaiilor privind principiile de funcionare a mecanismului prin care se
efectueaz prelucrarea automat a datelor .a.;
dreptul de intervenie asupra datelor, adic rectificarea, actualizarea, blocarea,
tergerea sau transformarea n date anonime a celor a cror prelucrare nu este
conform cu legea, n special a datelor incomplete sau inexacte;
dreptul de opoziie, prin care persoana vizat are dreptul de a se opune, din motive
ntemeiate i legitime legate de situaia sa particular, ca datele care o vizeaz s fac
obiectul unei prelucrri, cu excepia cazurilor n care exist dispoziii legale contrare.
De asemenea, persoana vizat are dreptul de a se opune, n mod gratuit i fr nici o
justificare, ca datele care o vizeaz s fie prelucrate n scop de marketing direct, n
numele operatorului sau al unui ter, sau s fie dezvluite unor teri ntr-un asemenea
scop;
dreptul de a nu fi supus unei decizii individuale, ceea ce presupune retragerea sau
anularea oricrei decizii care produce efecte juridice n privina persoanei, adoptat
exclusiv pe baza unei prelucrri de date cu caracter personal, efectuat prin mijloace
automate, destinat s evalueze unele aspecte ale personalitii sale, cum ar fi
competena profesional, credibilitatea, comportamentul sau alte asemenea aspecte.
De asemenea, persoana poate solicita reevaluarea oricrei alte decizii luate n privina
sa, care o afecteaz n mod semnificativ, dac decizia a fost adoptat exclusiv pe baza
unei prelucrri de date care ntrunete condiiile enumerate anterior;
dreptul de a se adresa justiiei, prin care orice persoan care a suferit un prejudiciu n
urma prelucrrii unei date cu caracter personal, efectuat ilegal, se poate adresa
instanei competente.
Legea are prevederi exprese privind confidenialitatea i securitatea prelucrrilor.
Astfel, orice persoan care acioneaz sub autoritatea operatorului sau a persoanei
mputernicite, inclusiv persoana mputernicit, care are acces la date cu caracter personal, nu
131
132
133
134
135
136
11.2.2 Copyright-ul
Copyright-ul i are originea n Anglia, nc din 1709, dar statutul su a fost definit prin
Legea Copyright-ului din 1911. Legea n vigoare este ns cea adoptat n 1956. Prin
publicarea, n aprilie 1986, a unei recomandri numite Proprietatea intelectual i invenia,
guvernul britanic a propus cteva amendamente acestei legi.
Copyright-ul, ca nume, sugereaz un drept de copiere, dar n mod normal el este neles
ca fiind un drept de a mpiedica copierea muncii altora, care este subiect al copyright-ului. n
Marea Britanie, copyright-ul implic o anumit formalitate i nregistrarea unor date pentru
obinerea sa, acordndu-se automat persoanelor calificate pentru ceea ce ele au creat prin
munca lor. O persoan calificat se consider a fi o persoan britanic sau protejat prin legile
137
La nivelul majoritii rilor dezvoltate s-au constituit organizaii i instituii speciale care
se ocup de respectarea legislaiei privind copyright-ul. De exemplu, n Anglia de aplicarea
prevederilor legale privind copyright-ul se ocup Federaia mpotriva Furtului de Soft (FAST
Federation Against Software Theft).
Cele mai cunoscute reguli privind copyright-ul sunt:
numai proprietarul copyright-ului sau celui cruia i s-a derogat acest drept poate apela
la justiie n cazul n care se dovedete nclcarea lui. De aceea, este deosebit de
important ca proprietarii soft-ului s se asigure c i-au nregistrat produsele lor sub
copyright;
cnd soft-ul este realizat de ctre salariai ai firmei, care sunt i acionarii si, ei pot
obine, n mod automat, dreptul de copyright. Aceast regul nu poate fi aplicat i
simplilor salariai sau programatorilor angajai temporar;
documentaia original, obinut n timpul realizrii programului, trebuie s fie datat
pentru a putea demonstra perioada n care a fost elaborat programul i pentru a
proteja materialele literare legate de produs. Copyright-ul poate fi obinut chiar i pe
baza acestei documentaii, care poate s asigure posibilitatea de stabilire a unui drept
de copyright firmei productoare, ct i posibilitatea de a scoate n eviden faptul c
produsul a fost realizat fr a nclca dreptul de copyright al altor produse;
aducerea la cunotina distribuitorilor i utilizatorilor programului c este un produs
aflat n proprietatea cuiva. Acest lucru se poate realiza prin includerea unui marcaj nu
numai pe documentaie i manuale, ci chiar n program. Una din cele mai folosite
notaii este format din simbolul nsoit de numele proprietarului i anul primei
publicri, n concordan cu cerinele Conveniei Universale a Copyright-ului (UCC Universal Copyright Convention). Deoarece mai sunt sisteme de prelucrare automat
a datelor care nu dispun de acest simbol se poate utiliza i notaia (C), sau poate fi
scris efectiv cuvntul Copyright;
138
n Romnia prima lege care reglementeaz drepturile de autor i cele conexe a fost Legea
nr. 8/1996 privind dreptul de autor i drepturile conexe, completat ulterior cu Legea nr. 329
din 14 iulie 2006 privind aprobarea Ordonanei de Urgen 123 din 1 septembrie 2005
pentru modificarea i completarea Legii nr. 8/1996 privind dreptul de autor i drepturile
conexe.
139
140
141
evaluat calitativ sau cantitativ, permite atribuirea unei durate de protecie proprii bazei de
date rezultate din aceast investiie.
pentru produsul lansat. Un nume uor de reinut i remarcabil poate fi mai mult dect o
simpl receptare a produsului. El poate identifica programul cu un comerciant i poate asigura
cumprtorul sau liceniatul c i se ofer programul care s-i satisfac cerinele ateptate. Din
acest motiv, un nume poate determina obinerea unei imense valori comerciale, iar cel care-l
distribuie va cuta s-i protejeze good-will-ul asociat acestui nume.
Cea mai eficient metod de protejare a unui nume ataat unui program const n
nregistrarea lui ca o marc. Aceasta asigur recunoaterea statutar a mrcii ca proprietate
atribuibil i transmisibil.
Ca form a proprietii industriale, mrcile nregistrate au un mare avantaj fa de brevete
i copyright: pot fi obinute pentru o perioad nelimitat.
De exemplu, n Marea Britanie, nregistrarea mrcilor este controlat prin Legea
nregistrrii Mrcilor, n categoriile clasei 42 fiind incluse programarea calculatoarelor,
consultaiile profesionale i serviciile de cercetare tehnic. n octombrie 1986 a luat fiin
Serviciul de nregistrare a Mrcilor.
11.2.4 Licenele
Dei, adesea, nu suntem contieni de importana acestui fapt, licenele sunt o parte a
vieii noastre de zi cu zi. Aproape toi dintre noi avem o licen de conducere sau pentru TV.
Fr ndoial c majoritatea produselor pe care le avem n cas (alimente, jocuri, maini de uz
casnic etc.) au o etichet ce conine urmtoarele cuvinte produs sub licen (Manufactured
under Licence) sau o fraz similar. Este clar c licena nu se aplic numai calculatoarelor i
soft-ului.
Licena are rolul de a asigura productorul c nici o alt firm nu va putea realiza
produsele sale sub alt nume fr a obine acordul su, printr-un contract specific acestui gen
de operaiuni.
Unele licene deriv din legislaia specific unor activiti pe care guvernele doresc s le
controleze i/sau s-i asigure un venit din ele. De exemplu, licena TV i are originea n
prevederile Legii telegrafiei din 1949 (Wireless Telegraphy Act). Altele se bazeaz pe
legislaia privind drepturile de proprietate intelectual (IPR - Intellectual Property Rights).
Industria informatic poate fi considerat o industrie internaional; soft-ul poate fi
transmis foarte uor i rapid n ntreaga lume, fie prin intermediul suporturilor de memorare,
fie prin liniile de comunicaii existente.
Problemele comerciale privind protecia unui program apar ori de cte ori este transferat
peste graniele rii n care a fost realizat.
Legislaia privind proprietatea intelectual are un grad diferit de uniformitate n lume, dar
care poate fi influenat prin conveniile internaionale. Totui, uniformitatea legislativ n
acest domeniu este mult mai mare fa de legile specifice altor domenii.
Majoritatea rilor industrializate recunosc c persoanei care cheltuie timp i bani pentru
a realiza un program informatic trebuie s i fie asigurat o anumit protecie mpotriva
utilizrii neautorizate a programului su. Dei, aa cum am menionat anterior, legile nu ofer
acelai nivel de protecie, efectele lor asupra informaiilor confideniale, secretelor
comerciale, concurenei neloiale sunt aproape aceleai.
142
De multe ori, se consider mai eficient asigurarea proteciei prin licen a anumitor
informaii sau programe, dect prin pstrarea secretului lor de ctre o persoan sau un grup
restrns de persoane.
n general, prin legislaia existent, prilor interesate ntr-un contract de licen li se
ofer libertatea de a-i stabili termenii contractelor n funcie de necesitile lor. Cu toate
acestea, sistemul legal al rilor tinde s stabileasc anumite limite care s permit ncadrarea
termenilor contractuali ntr-o serie de norme economice i sociale.
Dai exemple de nclcri ale dreptului de autor, mrcii nregistrate, patentelor i licenelor cu care v-ai
ntlnit n viaa real sau n literatur.
Rezumat
1.