MINISTERUL EDUCAIEI AL REPUBLICII MOLDOVA

UNIVERSITATEA TEHNIC A MOLDOVEI

FACULTATEA INGINERIE I MANAGEMENT
N ELECTRONIC I TELECOMUNICAII
CATEDRA TELECOMUNICAII

DARE DE SEAM
la lucrarea de laborator Nr.5
Disciplina: Protectia informatiei
Tema: Securitatea obiectivelor industriale

A realizat
studentul gr. TLC-121

Manic A.

A verificat
Conf. dr.

Ciobanu M.

CHIINU
UTM 2016

n vederea realizrii unui sistem informatic i de comunicaii i asigurarea securitii

corespunztoare nivelului informaiilor clasificate vehiculate n cadrul acestuia, nc din etapa de
proiectare se vor lua n considerare riscurile la adresa sistemului. Riscul de securitate reprezint
probabilitatea ca o ameninare la adresa unui sistem (la modul general) s exploateze o
vulnerabilitate a sistemului de securitate al acestuia.
Managementul riscului de securitate pentru sistemele care vehiculeaz informaii
clasificate este un proces continuu i complex care se desfoar pe toat durata ciclului de via
al unui sistem (CVS), ncepnd cu faza de proiectare i pn la dezafectarea acestuia.
Managementul riscului cuprinde dou etape:

etapa de analiz a riscului de securitate: prin care se determin n ce msur

o ameninare posibil se extinde asupra sistemului informatic i de
comunicaii, precum i care este riscul asociat acestei ameninri;

etapa de reducere a riscului de securitate: const n ierarhizarea, evaluarea i

implementarea msurilor de securitate, recomandate n cadrul etapei de
analiz a riscului, pentru reducerea riscurilor.

Msurile de securitate necesare reducerii riscurilor se implementeaz ntr-un complex

echilibrat, proporional cu mrimea riscului la adresa sistemului dup o analiz profund a
raportului cost/beneficiu. Mai pe scurt, riscurile nu pot fi eliminate n totalitate dar se vor lua
acele msuri de securitate care pot fi susinute din punct de vedere financiar i care micoreaz
riscul la un nivel rezidual, care poate fi acceptat de autoritatea de acreditare.
Am precizat faptul c managementul riscului reprezint un proces continuu i complex
care se realizeaz pe toat durat ciclului de via al unui sistem. n esen, ciclul de via al
oricrui sistem informatic cuprinde urmtoarele etape:
o iniializare;
o dezvoltare/achiziie;
o implementare;
o operare/ntreinere;
o dezafectare.
n cadrul fiecrei etape sunt mai multe activiti necesar a fi efectuate:
n cadrul etapei de iniializare se evalueaz sensibilitatea informaiilor care urmeaz a fi
vehiculate n sistem de ctre un colectiv format din reprezentanii managementului i experi care
cunosc la nivel de detaliu fluxul informaiilor n cadrul autoritii persoanei juridice de drept
public sau privat (autoritate a administraiei publice centrale sau locale, instituii ale statului,
companii private, etc).

Etapa de dezvoltare/achiziie va include stabilirea cerinelor de securitate pe care sistemul

informatic i de comunicaii trebuie s le ndeplineasc. Cerinele de securitate sunt stabilite i n
funcie de nivelul de sensibilitate al informaiilor vehiculate i de rezultatele analizei riscului. n
funcie de cerinele de securitate necesare a fi ndeplinite se stabilesc specificaiile configuraiei
hardware i software a sistemului informatic i de comunicaii.
Ulterior achiziiei sistemului pot fi necesare confirmri (certificri) ale existenei i
funcionalitii cerinelor de securitate determinate anterior.
Etapa de implementare include instalarea / pornirea controalelor de securitate necesare in
vederea satisfacerii cerinelor de securitate stabilite anterior. n cadrul ciclului de via al unui
sistem informatic i de comunicaii instruirea de securitate a personalului este un pas necesar dar
deseori neglijat. Pentru personalul cu atribuii n domeniul securitii sistemului este recomandat
ca instituia sau compania privat s planifice fonduri necesare participrii la cursuri de
specialitate cu teme specifice securitii IT, n mod regulat, activiti finalizate cu certificri
profesionale. Acreditarea de securitate a unui sistem informatic i de comunicaii (SIC), aa cum
s-a menionat anterior, reprezint autorizarea acordat acestuia de a prelucra informaii
clasificate, n spaiul/mediul operaional propriu. Este obligatoriu ca toate SIC s fie acreditate
nainte de a stoca, procesa sau transmite informaii clasificate.
Procesul de acreditare de securitate are la baz:
o managementul riscului;
o elaborarea, analiza, evaluarea i avizarea documentaiei de securitate;
o verificarea mediilor de securitate, precum si a modului de implementare i respectare a
msurilor de securitate n concordan cu cerinele de securitate, att prin activiti de
evaluare si testare a securitii, ct i prin activiti de certificare de securitate.
Etapa de operare / ntreinere din cadrul ciclului de via al unui sistem informatic
cuprinde urmtoarele:
o operarea i administrarea de securitate reprezint funcionarea n condiii de securitate a
SIC acreditat. De respectarea i meninerea msurilor de securitate aprobate sunt
responsabili att utilizatorii sistemului ct i personalul cu atribuii n domeniul
securitii;
o sigurana operrii (monitorizare, audit) presupune respectarea procedurilor manuale sau
automate implementate n vederea furnizrii detaliilor despre anumite evenimente
relevante privind utilizarea n condiii de securitate a SIC i a procedurilor de reacie la
evenimente specifice.

o administrarea schimbrilor n vederea asigurrii faptului c orice modificri aduse

sistemului nu influeneaz facilitile de securitate ale acestuia.
o reacreditarea periodic este un proces prin care se asigur faptul c msurile de
securitate aprobate sunt implementate i respectate
Pe scurt, procesul de securitate IT al unui SIC se desfoar n mod continuu, ncepnd
cu:
o etapa de planificare - n cadrul creia se stabilete politica de securitate IT a sistemului i
construirea unui concept de securitate IT;
o etapa de implementare a msurilor de securitate necesare, instruirea i contientizarea
utilizatorilor sistemului;
o etapa de ntreinere n care un rol important l joac auditul de securitate al sistemului.
n societatea modern, att n domeniul public ct i n cel privat, din ce n ce mai multe
activiti sunt realizate prin intermediul facilitilor oferite de dezvoltarea tehnologiei IT. Aceast
dezvoltare a condus la o expansiune a reelelor informatice, creterea volumului i importanei
datelor stocate i la proliferarea mijloacelor informatice. De aceea, multe organizaii din
domeniul public i privat sunt n totalitate dependente de buna funcionare a sistemelor
informatice proprii sau a celor cu care sunt interconectate. O organizaie i poate atinge
obiectivele doar dac reuete s i utilizeze resursele informatice ntr-un mod adecvat i sigur.
n concluzie, este necesar acordarea unei atenii deosebite securitii informatice, n
prezent i n perspectiv, deoarece cheltuielile pentru msurile de securitate IT sunt ca i
vitaminele pentru organismul uman: nu vei ti niciodat de ce sufer dect dup ce renuni la
utilizarea lor.
Un prim pas n dimensionarea msurilor de securitate este, aa cum am precizat anterior,
managementul riscului. Etapa de analiz a riscului din cadrul acestui proces cuprinde i
determinarea vulnerabilitilor specifice sistemului informatic analizat. Practica a evideniat c
vulnerabilitile au la baz unele elemente specifice sistemelor informatice i de comunicaii,
cum ar fi:

existena unor componente numeroase i fragile;

capacitatea mijloacelor de stocare a informaiilor;

dificultatea de a controla i dirija accesibilitatea la informaiile coninute de

sistem;

sistemele informatice permit relaionarea i analizarea datelor care, luate n mod

individual, sunt inofensive;

complexitatea sistemelor i a programelor folosite fac fiecare component

esenial pentru buna funcionare a sistemului;

informaia este disponibil la distan, poate fi copiat rapid, modificat sau

distrus;

sistemele emit radiaii (unele compromitoare - efectul TEMPEST) care pot fi

captate i valorificate informativ;

funcionarea sistemelor este total dependent de furnizarea energiei electrice;

funcionarea unei reele complexe presupune circulaia unui numr important de

persoane.

Msurile de securitate necesar a fi implementate pentru asigurarea proteciei

informaiilor, att clasificate ct i neclasificate, n funcie de gradul lor de sensibilitate, sunt de
regul, mprite n mai multe domenii ale securitii: securitatea fizic, securitatea personalului,
securitatea informaiilor i INFOSEC cu componentele prezentate anterior: COMPUSEC
(securitatea hardware i software, protecie antivirus, managementul i auditul automat al
securitii, etc.), CRIPTO (securitatea criptografic), TEMPEST (securitatea emisiilor), msurile
pentru continuarea activitii.
Securitatea fizic. Este obligatoriu ca locaiile (zonele) n care sunt gestionate informaii
sensibile s fie protejate prin msuri de securitate fizic. Msurile de securitate fizic sunt
necesare pentru prevenirea accesului neautorizat la suportul informaiilor, efectuarea de
operaiuni neautorizate, blocarea resurselor i serviciilor SIC, precum i pentru a proteja
echipamentul valoros i sensibil al SIC. Cu aplicabilitate la securitatea informaiilor n format
electronic se definete ZONA SIC ca fiind o zon n care se gsesc i opereaz calculatoare,
uniti periferice locale i de stocare, mijloace de control i echipament specific de reea i de
comunicaii.
Aceast zon trebuie delimitat i protejat n conformitate cu procedurile de asigurare a
securitii fizice. Zona SIC - nu include zona staiilor de lucru aflate la distan, chiar dac
aceste echipamente sunt conectate la echipamentul central de calcul din zona SIC.
Pentru staiile de lucru aflate la distan se stabilesc proceduri specifice de asigurare a
securitii fizice.
Mediile de securitate care trebuie avute n vedere la proiectarea unui sistem de securitate
a informaiilor n care sunt vehiculate i informaii clasificate n format electronic sunt:

mediul de securitate global;

mediul de securitate local;

mediul de securitate electronic.

Mediul de Securitate Global (MSG) reprezint mediul de securitate general n care se afl
SIC. El cuprinde tot ceea ce poate avea impact asupra securitii SIC i este n afara controlului
fizic direct al Autoritii Operaionale a SIC (AOSIC), i prin urmare, este considerat ca fiind de
competena funcionarului de securitate al obiectivului. Ca cerin minim, MSG trebuie
considerat ca acoperind mediul fizic general al SIC (de exemplu, o cldire sau o locaie sigur).
Mediul de Securitate Local (MSL) reprezint mediul de securitate din domeniul de
responsabilitate al AOSIC. n anumite cazuri, MSL poate fi limitat de un perimetru fizic sigur
care nconjoar ntregul SIC. n alte cazuri, pur i simplu printr-o linie conceptual de demarcaie
a responsabilitilor privind msurile de securitate ntre AOSIC i funcionarul de securitate al
obiectivului. Specificaia privind MSL trebuie s ia n considerare orice zon intern unde se
aplic standarde diferite de securitate (de exemplu, zone Clasa I, zone Clasa II i zone
administrative).
Mediul de Securitate Electronic (MSE) definete sistemul informatic i de comunicaii n
sine n termeni de securitate, identificnd limitele semnificative de securitate ale SIC ntr-un
context electronic sau de procesare. MSE cuprinde diverse controale electronice din cadrul SIC,
printre acestea putnd a fi enumerate elementele de identificare i autentificare (conturi, parole,
etc.), permisiunile de acces la informaii, precum i limitele MSE.
Dintre limitele Mediului de securitate electronic, fr a fi o prezentare exhaustiv, pot fi
enumerate urmtoarele:

interfee om-main interfaa pentru mediul neelectronic;

interfee interne interfee n interiorul i ntre pri ale SIC care reprezint
clase de securitate diferite, de exemplu, zonele de securitate din interiorul SIC;

interfeele pentru SIC care funcioneaz conform unor diferite cerine de

securitate;

interfee externe pentru reelele externe de comunicaii.

O exemplificare grafic sugestiv a zonelor de securitate este prezentat n figura

urmtoare. Sunt reprezentate zonele de securitate cu drepturi de acces difereniate n funcie de
necesitatea de a cunoate i certificatele de securitate deinute. Pe baza acestora se realizeaz o
strategie de control al accesului ntre diferitele zone de securitate ale organizaiei. De asemenea
trebuie stabilite proceduri de acces n zonele de securitate n timpul i n afara orelor de program.

Securitatea personalului. Pentru utilizatorii sistemelor informatice i de comunicaii care

vehiculeaz informaii clasificate se impune obligativitatea deinerii unui certificat de securitate.
Accesul la informaii clasificate se face pe baza principiului nevoii de a cunoate (need-to-know)
i n funcie de nivelul de clasificare al informaiilor, corelat cu nivelul certificatului de
securitate.
De asemenea, este obligatoriu ca personalul implicat n activiti de instalare, ntreinere,
administrare a SIC s fie autorizat din punct de vedere al securitii. Contractele de ntreinere a
SIC care vehiculeaz informaii clasificate trebuie s specifice i cerinele privind accesul
contractantului n zona de operare a SIC (cazurile n care este permis accesul, supravegherea de
ctre personal autorizat, intervale orare n care sunt permise interveniile, etc.).
SIC care vehiculeaz informaii clasificate sunt acreditate s opereze pe anumite perioade
i n diverse moduri de operare.
Modul de operare al unui sistem informatic se determin n funcie de dou criterii:
nivelul certificatelor de securitate ale personalului i necesitatea de a cunoate.
Modurile de operare ale unui sistem informatic i de comunicaii sunt:

DEDICAT;

NIVEL NALT;

MULTINIVEL.

n modul de operare "DEDICAT" toate persoanele cu drept de acces la SIC au certificat

de securitate pentru cel mai nalt nivel de clasificare a informaiilor stocate, procesate sau
transmise n cadrul SIC. Necesitatea de cunoatere pentru aceste persoane se refer la toate
informaiile stocate, procesate sau transmise n cadrul SIC.

1. n acest mod de operare principiul nevoii de a cunoate (need-to-know) nu

impune o cerin expres de separare a informaiilor, ca mijloc de securitate a SIC.
2. Celelalte domenii ale securitii (de exemplu: securitatea fizic, securitatea
personalului) vor satisface cerinele impuse de cel mai nalt nivel de clasificare i de toate
categoriile de informaii cu destinaie special stocate, procesate sau transmise n cadrul
SIC.
n modul de operare "NIVEL NALT" toate persoanele cu drept de acces la SIC au
certificat de securitate pentru cel mai nalt nivel de clasificare a informaiilor stocate, procesate
sau transmise n cadrul SIC, dar accesul la informaii se face difereniat, conform principiului
nevoii de a cunoate.
1. Faptul c n acest mod accesul la informaii se face difereniat, conform
principiului nevoii de a cunoate, nseamn c trebuie s existe n compensaie faciliti
de securitate care s asigure un mod de acces selectiv la informaiile din cadrul SIC.
2. Celelalte domenii ale securitii (de exemplu: securitatea fizic, securitatea
personalului) vor satisface cerinele de securitate pentru cel mai nalt nivel de clasificare
i pentru toate categoriile de informaii cu destinaie special stocate, procesate, transmise
n cadrul SIC.
n modul de operare "MULTINIVEL" nu toate persoanele cu drept de acces la SIC au
certificat de securitate pentru acces la informaii de cel mai nalt nivel de clasificare, care sunt
stocate, procesate sau transmise prin SIC. De asemenea, nu toate persoanele cu acces la SIC au
acces la toate informaiile stocate, procesate, transmise n cadrul su, accesul la informaii
fcndu-se difereniat, conform principiului nevoii de a cunoate, innd cont c modul de
operare protejat permite stocarea, procesarea sau transmiterea informaiilor cu diferite niveluri de
clasificare i de diverse destinaii i c nu toate persoanele sunt autorizate pentru cel mai nalt
nivel de clasificare. Combinat cu faptul c accesul la informaii se face difereniat, conform
principiului nevoii de a cunoate, nseamn c trebuie s existe n compensaie faciliti de
securitate care s asigure un mod selectiv de acces la informaiile din cadrul SIC.
Securitatea informaiilor. n funcie de nivelul maxim de clasificare al informaiilor
vehiculate n SIC, nivelul certificatelor de securitate deinute de personal i diferenierea n
funcie de necesitatea de a cunoate, administratorul de securitate va stabili:
o modul de operare de securitate;
o politica de parole, respectiv numrul de caractere, complexitatea acesteia;
o politica de acordare a drepturilor de acces ale utilizatorilor.

Administratorul de securitate al SIC poate repartiza utilizatorii n mai multe grupuri

stabilind totodat i fiierele sau/i aplicaiile care sunt comune i pot fi accesate numai de ctre
utilizatorii grupului respectiv, precum i fiierele i aplicaiile care pot fi accesate individual i cu
anumite drepturi de ctre fiecare utilizator. Utilizatorii pot fi membri ai mai multor grupuri, dac
este necesar.
Drepturile de acces referitoare la fiiere i aplicaii sunt: dreptul de vizualizare, dreptul de
scriere i dreptul de lansare n execuie.
O alt component a securitii informaiilor se refer la securitatea mediilor de stocare
(hard-disk, CD, DVD, floppy-disk, memorii flash). Aici trebuie precizat c toate mediile de
stocare a informaiilor clasificate trebuie s fie marcate corespunztor nivelului de clasificare al
informaiilor pe care le conin.

Bibliografie:
https://www.scribd.com/doc/92423713/Securitatea-Informatiilor-Partea-a-III-A