Sunteți pe pagina 1din 12

Politici de securitate

Capitolul1. Politici de securitate a sistemelor


informatice.
1.1. Noiuni de securitatea informaiilor
Securitatea electronic este definit ca fiind acele politici, recomandri i
aciuni necesare minimizrii riscului de a compromite integritatea sistemelor
informatice i a informaiilor stocate i prelucrate

cu ajutorul mijloacelor

electronice.
Nici o msur de securitate nu garanteaz eliminarea complet a oricrui
risc, dar poate s-l reduc la un nivel acceptabil. Securitatea IT se concentreaz
pe crearea unei platforme de calcul unde persoane sau programe s nu poat
desfura aciuni pentru care nu au drepturi alocate.
Cerinele de securitate pe care trebuie s le ndeplineasc un sistem
informatic sunt:
a) Identificarea reprezint procesele i procedurile necesare pentru stabilirea
unei identiti unice pentru un utilizator sau o entitate n cadrul unui sistem
informatic. Identificarea permite contabilizarea tuturor operaiunilor individuale i
previne accesul neautorizat.
b) Autentificarea este procedura pentru verificarea identitii entitii care
solicit acces la un sistem, procesul prin care sistemul valideaz informaiile de
conectare oferite de entitatea utilizatoare.
c) Controlul accesului determin ce anume poate face o anumit entitate
autentificat n sistem, avnd n vedere: controlul accesului la sistem, controlul
accesului la reea, clasificarea informaiei, privilegiile.
1

d) Responsabilitatea este strns legat de msurile de securitate impuse


utilizatorilor sistemului, care vor fi rspunztori pentru aciunile ntreprinse dup
conectarea la sistem.
e) Auditul de securitate se ocup cu analiza nregistrrilor activitilor
executate, pentru a determina dac sistemul de protecie este n concordan cu
politicile i procedurile de securitate stabilite. Scopul unui audit este de a
identifica slbiciunile legate de securitate sau a eecurilor care pot fi corectate
sau controlate.
f) Integritatea sistemului pentru a se menine integritatea sistemului se iau
urmtoarele msuri:
-separarea proceselor i datelor utilizatorilor;
-separarea proceselor i datelor sistemului;
-protejarea software-ului, datelor i hardware-ului de modificri, fie c
acestea sunt voite sau accidentale;
-controlul aciunilor i operaiilor de ntreinere.
g) Integritatea informaiilor presupune mecanisme de protecie a datelor
mpotriva distrugerii sau accesului neautorizat i mecanisme de nregistrare a
modificrilor survenite.
h) Fiabilitatea serviciilor se refer la ct de uor i sigur un utilizator
autentificat poate accesa i utiliza resursele unui sistem.
i) Documentarea privind securitatea este vital pentru meninerea unui
anumit sistem de securitate operaional i eficient.
Politicile de securitate formale vor dicta cerintele de baz i obiectivele pe
care trebuie s le ndeplineasc o tehnologie. Politica de securitate este o
component a politicilor de dezvoltare a companiei prin care se garanteaz
continuitatea funcional a proceselor de afacere i se asigur protecia
informaiilor confideniale.
Pentru a realiza un sistem de protecie eficient este necesar s se
parcurg urmtoarele cinci etape:
-evaluarea riscurilor;
-definirea politicii de securitate;

-implementarea politicii de securitate;


-administrarea;
-auditul.
Politica de securitate la nivelul unei organizaii joac un rol esenial fiind
responsabil chiar de managementul afacerilor. Pentru stabilirea politicii de
securitate vor fi parcurse etapele:
-se analizeaz riscurile majore ale organizaiei (pentru definirea
procedurilor prin intermediul crora vor fi prevenite riscurile, ca urmare a apariiei
unor evenimente nedorite);
-se definete politica de securitate (pentru tratarea componentelor la care
nu pot fi prevenite anumite aciuni fr a impune msuri de protecie);
-stabilirea unui plan de urgen care se va aplica n cazul n care msurile
de protecie sunt nvinse;
-deoarece aceste probleme nu pot fi rezolvate numai prin definirea unei
politici de securitate i prin investirea de bani pentru anumite activitti, n final se
cere acordul efului departamentului de management pentru acceptarea unor
riscuri.
Exist mai multe motive pentru care trebuie s concepem o politic de
securitate pentru sisteme i reeaua din care ele fac parte.
O politic solid ne permite s conturm securitatea ca un sistem dect
doar un set de diferite caracteristici. Fr o politic, un administrator poate
decide s nchid accesul telnet, pentru c transmite parole necriptate, dar s
lase deschis accesul ftp, menindu-se aceeai slbiciune.
O politic bun de securitate ne permite s identificm msurile ce merit
aplicate i cele care nu.
Pentru a diagnostica problemele, conduce audituri sau depista intruii,
este posibil s trebuiasc s interceptm traficul prin reea, s inspectm istoricul
autentificrilor i comenzilor utilizatorilor i s analizm directoarele home
(Linux). Utilizatorii trebuie ntiintati de aceste aciuni, pentru c altfel ele pot
deveni ilegale.
O politic de securitate ar trebui s conin, cel putin, urmtoarele
subiecte:
3

-Utilizare acceptabil;
-Aplicatii Screen saver;
-Manipularea parolei;
-Descrcarea i instalarea aplicaiilor;
-Informaii ce menioneaz c utilizatorii sunt monitorizati;
-Utilizarea de aplicaii antivirus;
-Manipularea informaiei sensibile (n orice form scris, hrtie sau format
digital) ;
-Curarea biroului i ncuierea informaiilor confideniale;
-Oprirea sistemului PC nainte de a prsi spaiul;
-Utilizarea encriptrii;
-Manipularea cheilor colegilor de ncredere;
-Manipularea materialului confidenial n cltorii;
-Manipularea sistemului laptop n cltorii i staionrile la hoteluri.
Dou lucruri sunt foarte importante atunci cnd dorim s asigurm un
nivel de securitate de baz pentru toate sistemele din reea:
-sistemele trebuie s fie meninute la zi din punct de vedere al patchurilor
i fixurilor de securitate;
-trebuie s aplicm un set de configurri de securitate de baz pe toate
sistemele din reea, adic s facem ntrirea securitii sistemelor (hardening).
Sarcina de baz n etapa de exploatare a oricrui sistem informatic este
asigurarea unui nivel viabil de securitate. Particularitatea de baz a unui sistem
de securitate const n faptul c sistemul informatic care este protejat astzi,
mine poate deveni vulnerabil. n acelai timp, sistemul de securitate care nu
este exploatat n concordan cu cerinele contemporane sau nu se ia n
consideraie apariia unor noi pericole, peste cteva luni i va pierde
actualitatea.
Astfel, asigurarea securitii este posibil prin exploatarea corect a
sistemului i prin susinerea politicii de securitate. Aceasta presupune
desfurarea unui ir de msuri permanente i periodice de susinere tehnic a
mijloacelor de protecie, monitorizarea i analiza evenimentelor de securitate ce

se deruleaz n sistem, verificarea periodic a nivelului de protecie a resurselor


protejate, aplanarea situaiilor nefaste i lichidarea consecinelor. De asemenea,
administrarea sistemelor de securitate trebuie s fie nzestrat cu un anumit grad
de automatizare a funciilor de administrare i a altor funcii de exploatare, de
aceea, elaborarea unui sistem solid, bine securizat, cu proceduri de acces att
din exterior, ct i din interior, bine puse la punct, confer activitii sistemului
informatic multiple avantaje.
Astfel, orict de mic este instituia, existenta unei politici de securitate
este necesar pentru desfurarea eficient a activitii propriu-zise. Pe lng
diferite acte normative interne, e necesar de implementat i recomandrile de
ordin internaional, n unele cazuri adaptnd metodele naionale la standardele
internaionale gen: ISO 17799 Dirijarea cu securitatea informaional, ISO
15408 Tehnologia informaional metode de protecie criteriile de analiz a
securitii informaionale etc.

Fig.1.1 Interaciunea politicii de Securitate IT i managementului IT


Pentru elaborarea politicii de securitate i a planurilor de perfecionare a
acesteia este necesar:
-argumentarea i realizarea calculului investiiilor financiare n asigurarea
securitii n baza tehnologiilor de analiz a pericolelor, co-raportarea cheltuielilor
pentru asigurarea securitii cu dauna potenial i probabilitatea survenirii ei;
-descoperirea i scoaterea la iveal, precum i blocarea celor mai
periculoase lacune pn la sesizarea i atacarea lor de ctre agresor;
-determinarea relaiilor funcionale i a zonelor de responsabilitate a
subdiviziunilor i persoanelor cu privire la asigurarea securitii informaionale a
instituiei, crearea pachetului necesar de documentaie cu privire la organizarea
i dirijarea activitii n domeniul respectiv;
-elaborarea i coordonarea cu serviciile i subdiviziunile instituiei,
serviciile de supraveghere, proiectul de introducere a complexelor necesare de
protecie, care se vor elabora n legtur cu nivelul modern i tendinele de
dezvoltare a tehnologiilor informaionale;
-asigurarea susinerii complexului introdus de securitate n conformitate cu
condiiile dinamice de activitate a instituiei, perfecionarea dinamic a setului de
documentaie de organizare i dirijare cu procesul n cauz, modificarea
procesului tehnologic i a mijloacelor tehnice de asigurare a proteciei.
Politica de securitate trebuie s conin i s prevad n special: ordinea
de oferire i folosire a drepturilor de acces de ctre utilizatori, de asemenea,
darea de seam a utilizatorilor pentru aciunile ntreprinse n problemele ce in de
sfera de securitate.

1.2. Analiza riscurilor n securitatea IT


Riscul este evenimentul capabil s exercite o influen asupra desfurrii
proiectului. Riscurile exist n toate proiectele, dar nu neaprat se i produc.
Majoritatea experilor sunt de prerea: cu ct mai degrab va fi stabilit pericolul

potenial, cu att mai mult timp va rmne ca echipa de proiectani s-l


neutralizeze sau s minimizeze pierderile.
Putem considera risc ca fiind probabilitatea de realizare a unei situatii
nedorite, ce poate genera pierderi sau inconveniene. Analiza riscurilor este
procesul de identificare a riscurilor i determinare a soluiei optime de gestiune a
lor.
n procesul de analiz a riscurilor trebuie pornit de la lucrurile elementare:
uniformitatea infrastructurii din punct de vedere al sistemelor folosite,
administrarea centralizat, meninerea la zi a sistemelor, aplicarea unor
configurri standard de securitate pe toate serverele i staiile de lucru n funcie
de rolul funcional al acestora, proceduri standard de utilizare i administrare, etc.
Procesul de analiz a riscurilor se poate derula n urmtoarele faze:
-identificarea resurselor informaionale;
-gruparea i ierarhizarea resurselor informaionale;
-identificarea riscurilor;
-identificarea mijloacelor de protecie;
-evaluarea riscurilor;
-ntocmirea recomandrilor;
La faza de identificare a resurselor informaionale urmeaz s se creeze
un tablou de ansamblu al infrastructurii informaionale. Resursele informaionale
sunt considerate aici ca fiind: datele, aplicaiile, tehnologiile, ncperile, resursele
umane, etc. O informaie indispensabil analizei de mai departe este
interdependena resurselor (ex.: ce sistem, cu ce date gestioneaz, ce tehnologii
utilizeaz, unde este amplasat i cine administreaz). Rezultatul acestei faze
poate fi o list cu toate resursele informaionale identificate n cadrul organizaiei.
Gruparea i ierarhizarea resurselor informaionale este necesar pentru
determinarea prioritilor de protejare a lor.
Clasificarea resurselor trebuie s in cont de interdependenele dintre
ele. Numrul de resurse n fiecare categorie este arbitrar, ns totui e preferabil
limitarea numrului de resurse critice pentru a evita confuzia. Rezultatul acestei

faze este o list de resurse informaionale prioritare din punct de vedere al


nivelului de criticitate a lor, dupa cum urmeaz:
-Resurse critice sistemele nu pot s-i continue activitatea n lipsa
resursei respective;
-Resurse eseniale sistemele resursei pot s-i continue activitatea, ns
pentru o perioad determinat de timp (cteva ore sau zile), ns resursa trebuie
neaprat restabilit;
-Resurse normale resursa poate fi folosit pe o perioad ndelungat de
timp, totui anumite aplicatii vor fi parial afectate, este nevoie s se gseasc
alternative.

Fig. 1.2 Modelul relaional: obiective de business riscuri TI

Identificarea riscurilor presupune selectarea dintr-o list cu riscuri comune


aferente tehnologiilor informaionale. Riscurile care se vor considera c nu merit
atenie sunt nlturate din list. Riscurile trebuie s fie explicit identificate n
raport cu una sau mai multe resurse.
La faza de asociere a riscurilor la resurse are loc o particularizare a
riscurilor pentru fiecare resurs critic n parte.

Identificare mijloacelor de protecie presupune completarea listei rezultate


cu descrierea mijloacelor de protecie n prezent utilizate pentru nlturarea sau
atenuarea riscului abordat.
Faza de evaluare a riscurilor este foarte important, iar succesul ei
depinde n mare parte de competenele profesionale ale membrilor echipei, care
efectueaz analiza riscurilor. Pentru fiecare resurs critic, n ordinea importanei
lor, se face o ierarhizare a riscurilor aferente n dependent de impactul ce l-ar
putea avea.
La faza de ntocmire a recomandrilor se analizeaz informaia acumulat
la fazele precedente i se iau decizii asupra soluiilor existente (dac exist) ce
ar permite atenuarea, redirecionarea sau nlturarea riscurilor identificate.
Se poate afirma ca exist foarte multe riscuri care necesit atenie atunci
cand folosim sisteme IT. O etap foarte important n procesul de rezolvare a
unui risc o constituie etapa de analiz a riscurilor.
O alt variant de clasificare a riscurilor este categorisirea lor n cele
interne i externe. Aceast modalitate este utilizat pentru definirea simplificat a
pericolelor poteniale i a msurilor de contracarare a acestora. Pe de o parte,
sunt formate riscurile ce in de activitatea firmei-proiectante, iar, pe de alt parte,
riscurile la care este supus beneficiarul.

1.3. Evaluarea i managementul riscurilor de securitate


n IT
Pentru asigurarea functionrii n parametri optimi al oricrui sistem
informatic unul dintre paii care trebuie parcuri l reprezint managementul
riscurilor. Managementul riscurilor const n identificarea riscurilor, evaluarea
acestora i luarea unor msuri pentru a reduce expunerea la riscuri la un nivel
acceptabil.
Evaluarea riscurilor reprezint primul pas n metodologia managementului
riscurilor. Rezultatul acestui proces const n identificarea unor mecanisme ce
pot fi folosite pentru a reduce sau elimina riscurile.

Pentru fiecare din riscurile identificate se poate calcula expunerea la acest


risc ca fiind produsul dintre probabilitatea producerii riscului i impactul acestuia.
Pentru a determina probabilitatea producerii riscului trebuie analizate
posibilele vulnerabiliti care pot conduce la producerea acestuia i mecanismele
de control a acestor vulnerabiliti. Impactul reprezint dimensiunea daunelor
cauzate, deci n general impactul este estimat prin costuri.
Evaluarea riscurilor se realizeaz parcurgnd urmatorii pai:
-Caracterizarea sistemului: Se analizeaz componentele hardware,
software, interfeele de sistem, datele i informaiile din sistem, oamenii care au
acces la sistem i menirea sistemului, pentru a ajunge la concluzii referitoare la
perimetrul sistemului, funciile sistemului, punctele critice i sensibile ale
sistemului i ale datelor din sistem.
-Identificarea ameninrilor: Lund n considerare istoria atacurilor asupra
sistemului i a datelor despre posibile atacuri, se specific ameninrile.
-Identificarea vulnerabilitilor: Analiznd rapoarte anterioare de evaluare
a riscurilor, observaii ale auditului, necesiti de securitate i rezultate ale
testelor de securitate se realizeaz o list cu potentiale vulnerabiliti.
-Analiza mecanismelor de control a vulnerabilitilor: Se realizeaz o list
cu mecanismele curente i cele planificate de control a vulnerabilitilor.
-Determinarea probabilitii: Se analizeaz motivaia care st la baza
ameninrii, ct de puternic este ameninarea, natura vulnerabilitii i
mecanismele actuale de control a vulnerabilitii pentru a determina o estimare a
probabilitii exploatrii riscului.
-Analiza impactului: Se analizeaz impactul asupra scopului sistemului,
punctele critice i sensibile create n ceea ce privete datele din sistem pentru a
determina o estimare a impactului.
-Determinarea riscurilor: Analiznd probabilitatea exploatrii ameninrilor,
mrimea impactului i caracterul adecvat al mecanismelor actuale de reducere a
vulnerabilitilor se realizeaz o list cu riscurile i nivelul fiecrui risc.

10

Procesul de reducere a expunerii la riscuri reprezint un pas al


metodologiei de management al riscurilor. Acest proces implic evaluarea i
implementarea mecanismelor corespunztoare de reducere a expunerii la riscuri,
mecanisme recomandate n cadrul procesului de evaluare a riscurilor.
Eliminarea complet a expunerii la riscuri este n cele mai multe cazuri
nepractic sau aproape imposibil, din aceasta cauz este de datoria
managementului de a alege o abordare ct mai ieftin de implementare a unor
mecanisme de reducere a expunerii la riscuri la un nivel acceptabil.
Opiuni de reducere a expunerii la riscuri:
-asumarea riscului: este acceptat expunerea la risc;
-evitarea riscului: se elimin cauza i/sau consecina riscului;
-limitarea riscului: se iau msuri de reducere a riscului;
-transferarea riscului: se ncearc compensarea pierderilor.
Reguli referitoare la aciunile de reducere a expunerii la riscuri:
-dac exist vulnerabilitti trebuie implementate mecanisme care s
reduc probabilitatea ca aceste vulnerabilti s poat fi folosite pentru un atac
asupra sistemului;
-dac exist vulnerabiliti care pot fi folosite pentru un atac asupra
sistemului trebuie aplicate msuri de securitate stratificate pentru a minimiza sau
preveni posibilitatea producerii atacului;
-dac costurile coordonatorului atacului sunt mai mari dect ctigurile
acestuia: se iau msuri de securitate prin care cresc costurile unui atac;
-dac pierderile n cazul unui atac ar fi prea mari trebuie luate msuri
tehnice i non-tehnice de securitate pentru a reduce posibilitatea pierderilor;
Managementul riscului poate fi definit ca totalitatea metodelor de
identificare, control, eliminare sau minimizare a evenimentelor care pot afecta
resursele sistemului.
Acesta include:
-analiza riscurilor;
-analiza costului beneficiilor;

11

-determinarea celor mai potrivite mecanisme;


-evaluarea securitii msurilor adoptate;
-analiza securitii n plan general.
Analiza riscului trebuie efectuat din mai multe raiuni, i anume:
-identificarea ierarhic a activelor organizaiei respective i prghiile care
asigur securitatea asupra acestora;
-constituirea unor etape succesive de eliminare a condiiilor care pot
favoriza realizarea riscurilor atunci cnd contextul este complex iar o modificare
a funcionrii sale nu se poate introduce dect prin politica pailor mruni.
-stabilete obligativitatea unor aciuni i a unor termene de realizare n
vederea constituirii unor obiective care in de implementarea securitii
organizaiei;
-constituirea unei perspective de ansamblu a achiziionrii de resurse i
servicii n acest sens astfel nct, s se in seama de efortul financiar n
contextul gsirii celor mai eficiente soluii.
-aliniaz programul de control cu misiunea organizaiei;
-ofer criterii pentru proiectarea i evaluarea planurilor de avarie;
Analiza riscurilor urmrete s pun acest proces pe baze teoretice i practice
solide.

12