Explorați Cărți electronice
Categorii
Explorați Cărți audio
Categorii
Explorați Reviste
Categorii
Explorați Documente
Categorii
Autorul:
_____________________ Nadejda SCRIPNIC
Semntura
Conductorul tiinific:
_____________________ Igor COJOCARU,
Semntura
dr., lect.sup.univ
CHIINU, 2015
CUPRINS
ADNOTARE....................................................................................................................................3
ANNOTATION ...............................................................................................................................4
INTRODUCERE .............................................................................................................................5
I. INSTRUMENTE DE SECURIZARE A INFORMAIEI ...........................................................9
1.1.
1.2.
1.3.
2.2.
3.2.
3.3.
ADNOTARE
Scripnic Nadejda, Utilizarea instrumentelor de securizate a informaiei n cadrul
CNAS, tez de masterat, Academia de Administrare Public, or. Chiinu, 2015.
Teza cuprinde introducere, trei compartimente, concluzii i recomandri, bibliografia de
99 titluri i 3 anexe i este perfectat pe 125 pagini, din care 85 pagini partea de baz, inclusiv 2
figuri, i 5 tabele.
Cuvintele cheie: Securitatea informaiei, politica de securitate, Sistem de Management
al Securitii Informaiei (SMSI), vulnerabilitate web, riscuri de securitate, securitatea fizic,
securitatea reelelor.
Domeniul de studiu: Utilizarea instrumentelor de securizare a informaiei.
Scopul lucrrii: Eficientizarea utilizrii instrumentelor de securizare a informaiei n
cadrul CNAS.
Obiectivele lucrrii: Stabilirea, analiza i verificarea vulnerabilitii SI ale CNAS i de
a evalua riscurile de securitate a informaiei, precum i de a elabora un plan de tratare a riscurilor
pentru eficientizarea securitii informaiei n cadrul CNAS.
Valoarea teoretic i aplicativ a lucrrii: Tehnologia sistemelor de calculatoare i a
reelelor se dezvolt cu pai rapizi. Corespunztor, la fel de rapid apar noi metode de protecie a
informaiei. Scopul final al crerii culturii securitii informaiei n cadrul oricrei organizaiei
este obinerea participrii, prin intermediul iniiativelor, angajailor la procesul de dezvoltare a
Sistemelor Informaionale (SI).
n Republica Moldova nu exist o abordare unic i consistent n domeniul securitii
informaiei. Bune practici n domeniu sunt aplicate preponderent n sectorul privat, dar nu au un
caracter sistemic. Guvernul, prin intemediul Centrului de Guvernare Electronic, ncearc s
schimbe aceast situaie n sectorul public, unde este necesar de nceput cu contientizarea
acestor practici i treptat de trecut la implementarea lor.
Evaluarea ameninrilor i a vulnerabilitilor de securitate ale SI n cadrul CNAS va
permite ordonarea activitilor de securizare n dependen de nivelul de risc. Rezultatele
obinute pot servi drept baz pentru determinarea cilor eficiente de securizare a informaiei n
cadrul CNAS, precum i la stabilirea, dar i la respectarea unor obiective de perfecionare a
funcionalitii SI utilizat de ctre specialitii CNAS.
ANNOTATION
Scripnic Nadejda, Use of information security tools within the National Office of
Social Insurance, masters thesis, Academy of Public Administration, Chiinu, 2015.
The thesis is composed by introduction, three compartments, conclusions and
recommendations, bibliography of 99 titles and 3 annexes and its written on 125 pages, of which
85 pages are the main part, including 2 figures and 5 tables.
Keywords: Information security, security policy, Information Security Management
System (ISMS), web vulnerability, security risks, physical security, network security.
The field of study: Use of information security tools.
The aim of the work: Improvement of information security tools usage within NOSI.
The objectives of the work: Determination, analysis and vulnerability check of
Information Systems within NOSI and risks evaluation on information security, also to develop a
plan for dealing with risks in order to improve information security within NOSI.
Theoretical and practical value of the work: Network and computer systems technology
are developing very fast. Therefore, new methods for information protection appear with the
same speed. The final purpose of creating an information security culture within any
organization is to involve the employees in the process of Information Systems (IS)
development.
In the Republic of Moldova there is no unique and consistent approach to information
security area. Good practices in this area are being applied, but very infrequent and mostly in the
private sector. The Government, through the Center for Electronic Governance is trying to
change this situation, in the public sector, where its necessary to start with the awareness of this
practices and progressively implement them. Security risk assessment and vulnerability of
Information Systems within NOSI, will allow to order the security activities according to
vulnerability and risk levels. The obtained results can serve as a basis for determining efficient
ways of information protection within NOSI, as well as for establishment and respecting of some
objectives for functionality improvement of the Information System used by NOSI specialists.
INTRODUCERE
Actualitatea temei. Securitatea informaiilor este o problem major cu care se
confrunt societatea electronic. Indiferent de dimensiunea organizaiei, odat cu creterea
exploziv a fluxului informaional, o companie trebuie s gseasc elementele care s asigure
protecia potrivit la nivel de reea i nivel de aplicaie n faa atacurilor din ce n ce mai
sofisticate.
n Republica Moldova sunt mai multe instituii implicate n procesul de asigurare a
securitii informaionale, fiecare cu atribuiile i responsabilitile sale: Serviciul de Informaii
i Securitate, Ministerul Afacerilor Interne, Procuratura, Ministerul Tehnologiei Informaiilor i
Comunicaiei, Centrul de Telecomunicaii Speciale, Centrul Naional de Protecie a Datelor cu
Caracter Personal.
Orice reea conectat la Internet are un potenial ridicat de vulnerabilitate n faa unor
atacuri sau aciuni cu efecte distructive pentru resursele informaionale din aceast reea.
Spaiul cibernetic ajunge s reprezinte o platform confortabil pentru pregtirea i
efectuarea crimelor informatice, a actelor de terorism cibernetic i a altor aciuni maliioase,
menite s afecteze, direct sau indirect, securitatea naional. Astfel, penetrarea sistemelor
informaionale sau de comunicaii electronice ale autoritilor administraiei publice i ale altor
instituii i ntreprinderi de stat sau private, n cadrul crora se gestioneaz informaie sensibil,
poate duce la compromiterea confidenialitii, integritii sau disponibilitii acestei informaii,
i, prin urmare, la cauzarea prejudiciilor financiare sau de alt natur, inclusiv la afectarea
securitii statului. De asemenea, penetrarea sistemelor informatice aferente infrastructurii critice
ale Republicii Moldova poate conduce spre obinerea controlului neautorizat asupra acestor
sisteme, i, n consecin, la afectarea proceselor economice, sociale, politice, informaionale,
militare etc.
Totodat, natura global a sistemelor informaionale i a reelelor de comunicaii
electronice, precum i natura transnaional a criminalitii informatice necesit o coordonare
strns ntre toate instituiile responsabile att la nivelul naional, ct i la nivel global. [52]
Tehnologia informaiei i comunicaiilor se dezvolt cu pai rapizi. Corespunztor, la fel
de rapid apar noi metode de protecie a informaiei. Scopul final a crerii culturii securitii
informaiei n cadrul oricrei organizaiei este obinerea participrii, prin intermediul
iniiativelor, angajailor la procesul de dezvoltare a SI. De aceea tematica tezei de masterat
s cunoasc i s aplice nite reguli simple de protecie a informaiei referitoare la: selectarea i
protejarea parolei, utilizarea Internet-ului, utilizarea potei electornice, protejarea calculatorului
personal, etc.[53]
Odat cu apariia civilizaiei, informaia era pstrat pe purttori materiali cum ar fi:
plci de piatr, apoi pe foi de hrtie. Pentru protecia informaiei se utilizau la fel obiecte
materiale cum ar fi: perei, anuri, safeuri.
Informaia deseori se transmitea prin intemediul solilor nsoii de paz. Chiar i aceste
msuri erau destul de eficace la timpul respectiv, deoarece singura modalitate de a obine
informaia mult dorit era furtul acesteia. Din pcate, asigurarea securitii prin utilizarea forei
are i neajunsuri destul de vdite. Odat furat, infractorii aveau acces la toat informaia. Iulius
Cezar a aplicat o merod original de protectie a informaiei n procesul de transmitere a
acesteia. El a inventat cifrul Cezar. Acest cifru permitea expedierea mesajelor, pe care nimeni nu
era n stare s le descifreze n cazul furtului lor.
Acest concept a fost dezvoltat i utilizat destul de intens n timpul celui de-al doilea
rzboi mondial. Germania utiliza maina denumit Enigma pentru criptarea informaiei care era
expediat forelor armate.
Apariia ct i rspndirea calculatoarelor a condus la faptul c majoritatea oamenilor i
organizaiilor au nceput s pstreze informaia n format electronic. A aprut necesitatea de a
asigura securitatea informaiei aflate pe suport electronic.[27]
La nceputul anilor 70 a secolului XX David Bell i Leonard La Padula au elaborat
modelul securitii operaiilor, realizate la calculator. Acest model se baza pe clasificarea datelor
(nesecretizat, confidenial, secret, strict secret) ct i a nivelurilor de acces. Acest concept se
afl la baza standardului 5200.28 Trusted Computing System Evaluation Criteria-TCSEC,
elaborat n anul 1983 de ctre Ministerul Aprrii al SUA. Datorit culorii coperii crii acesta a
primit denumirea de Cartea Orange.
Pentru realizarea altor criterii au fost realizate diverse tentative de a diviza cerinele
funcionale i cerinele ce in de garanie. Aceste elaborri au intrat n Cartea Verde a
7
n primul compartiment
11
Subordinea
Guvernul RM
Centrul de
Telecomunicaii
Speciale
Cancelaria de
Stat
Misiune
Protejarea eficient a drepturilor i
libertilor fundamentale ale
ceteanului, societii i statului
mpotriva riscurilor i ameninrilor
la adresa securitii de stat,
promovarea valorilor democratice i
intereselor naionale ale Republicii
Moldova.
Asigurarea schimbului protejat de
informaii ntre autoritile publice,
reprezentanele Republicii Moldova
din strintate, organizaii, instituii
i ntreprinderi, autoritile publice
ale altor state;
Protejarea informaiilor importante
pentru stat;
Crearea, administrarea, deservirea
i dezvoltarea sistemelor de
Link
http://www.sis.md/r
o/misiune-viziunesi-valori
http://cts.md/ro/con
tent/directii-deactivitate
13
Ministerul
Afacerilor
Interne
Guvernul RM
Secia tehnologii
informaionale i
investigaii ale
infraciunilor n
domeniul
informaticii
Procuratura
General
Ministerul
Tehnologiei
Informaiilor i
Comunicaiei
Guvernul RM
Centrul Naional
de Protecia a
Datelor cu
Insituie
autonom
telecomunicaii speciale;
Elaborarea i implementarea
tehnologiilor avansate n domeniul
securitii informaionale, inclusiv
tehnologiile semnturii digitale.
Instituie democratic n slujba
ceteanului, instituie menit s
apere valorile fundamentale ale
societii: drepturile i libertile
ceteneti, proprietatea privat i
public, ordinea i linitea public
http://www.mai.gov
.md/istoria
http://www.procura
tura.md/md/struct/#
STIIIDI
http://www.mtic.go
v.md/about_rom/
http://www.dateper
sonale.md/md/gene
ral/
14
Caracter
Personal
Orice reea conectat la internet are un potenial ridicat de vulnerabilitate n faa unor
atacuri sau aciuni cu efecte distructive pentru resursele informaionale din aceast reea.
Una dintre misiunile primordiale este prevenirea i combaterea agresiunilor din mediul
virtual, intern sau extern, ndreptate spre sistemele informatice i de comunicaii electronice de
importan statal. Aceast misiune este realizat, n conformitate cu legislaia n vigoare, prin
intermediul urmtoarelor procese operaionale:
- elaborarea propunerilor privind asigurarea securitii informatice, elaborarea i
promovarea politicii de stat i exercitarea controlului n domeniul asigurrii proteciei informaiei
atribuite la secretul de stat n spaiul cibernetic;
- crearea, asigurarea funcionrii i securitii sistemelor guvernamentale de
comunicaii electronice, elaborarea strategiei i realizarea politicii naionale n domeniul crerii,
administrrii i asigurrii funcionrii i securitii sistemelor speciale de comunicaii
electronice;
- asigurarea conducerii rii, a ministerelor, departamentelor i a altor autoriti
publice, inclusiv i n strintate, conform Nomenclatorului ntocmit de Guvern, cu legtur
guvernamental, cifrat, secret i cu alte tipuri de telecomunicaii, organizarea i asigurarea
siguranei exploatrii lor;
-
Americii aceast instruire a devenit obligatorie. n orice caz, n urma analizei informaiei din
cadrul ntreprinderilor din Moldova i unor organizaii din strintate, instruirea nu este privit
ca o prioritate de majoritatea din cei intervievai. Ca exemplu, Organizatia Ernst & Young n anul
2003 a intervievat 1400 de companii din 66 de ri, dintre care numai 29% din organizaii
ofereau instruire angajailor n domeniul securitii informaionale. Similar un alt studiu arta c
13% din businessul din Anglia nu deinea proceduri pentru educarea angajailor privitor la
responsabilitile lor n acest domeniu. [64]
Cu toate acestea, majoritatea literaturii publicate este concentrat la descrierea
domeniilor tehnice a securitii informaionale i foarte puine materiale analizeaz acest
domeniu din punct de vedere al instruirii personalului n domeniul securitii informaionale i
crearea culturii securitii informaionale n cadrul unei organizaii. De exemplu, n cartea
"Information Security Management Handbook, Fifth edition" din 1000 de pagini dedicate
securitii informaionale, crerii culturii securitii informaionale au fost dedicate n jur de 15
pagini. Plus la aceasta n orice publicaie este indicat importana instruirii personalului i
statisticile arat c majoritatea incidentelor legate de furtul de informaii au fost depistate de
personalul companiilor ce nu sunt direct implicate n aplicarea securitii informaionale. [p. 989]
Problemele ce influeneaz personalul s nu reacioneze adecvat la instruirea n domeniul
securitii informaionale sunt urmtoarele:
- Angajaii pot s ntlneasc dificulti din cauza vitezei mari de dezvoltare a
companiei;
- Angajaii pot avea dificulti din cauza complexitii sistemelor din prezent;
- Iniiativele n urma analizei eficienei pot impune angajaii s se concentreze la
obligaiunile principale de serviciu, cele legate de SI rmn pe ultimul plan;
- Cei ce au iniiat reorganizarea companiei pot s subestimeze viteza de nvare a
angajailor a noilor obligaiuni i responsabititi, ct i a noilor tehnologii desigur;
- O parte de angajai dein cunotine minime n domeniul tehnologiilor informaionale
(calculatoarelor).
Rezistena pe care o opun angajaii este un fenomen cunoscut, dar n domeniul
securitii informaionale situaia este i mai grav din cauza nenelegerii de ctre utilizatori de
ce sunt necesare aceste modificri n domeniu. Adiional, elementele de control pot fi cteodat
"greoaie" i impun un anumit lucru de rutin i activiti n plus. Dac angajaii nu sunt convini
de necesitatea acestor pai, ei probabil vor ignora paii i iniiativele managementului de vrf.
16
sistemului sa fie folosit ntr-un mod pentru care nu a fost conceput (spre exemplu depiri ale
buffer-ului care permit execuia de cod arbitrar);
-
un defect de planificare prin care se poate ocoli securitatea sistemului (spre exemplu
fie folosit ntr-un mod pentru care nu a fost conceput (spre exemplu folosirea conturilor i
parolelor implicite care permit accesul neautorizat). [46]
O aplicaie care evalueaz vulnerabilitile (scanner de vulnerabiliti) poate fi definit
ca un utilitar care poate fi folosit pentru a testa securitatea unui sistem sau a unei reele i
descoper puncte de slbiciune. Aceste aplicaii nu ofer n mod direct protecie sau securitate
pentru un sistem sau o reea, dar n schimb adun i raporteaz informaii pe care alte
mecanisme, politici sau aplicaii le pot pune n aplicare pentru a oferi protecie mpotriva
vulnerabilitilor gsite.
Aplicaiile de evaluare a vulnerabilitilor pot fi, n general, de urmtoarele tipuri:
-
Gazd
Serviciu
Aplicaie
Active/pasive
17
18
Scannere pasive. Scannerele pasive, spre deosebire de cele active, nu afecteaz n mod
semnificativ resursele sistemului deoarece doar monitorizeaz datele pe sistem i execut orice
procesri ale datelor pe o main separat de analiz. Scannerele pasive se comport similar cu
sistemele de detecie a ntruziunilor, n sensul c intercepteaz sau primesc date despre sistem i
le evalueaz folosind un set de reguli. Analiza ofer informaii despre procesele care ruleaz pe
sistem.
Un avantaj al acestui tip de scanner este c scannerele pasive pot funciona "non-stop"
deoarece nu consum din resursele sistemului. Un dezavantaj consta n faptul c scannerele
pasive vor raporta informaii derivate doar din date disponibile cu uurin, dintre care unele sunt
de multe ori deduse deci pot fi inexacte. [56]
n general, tipurile de teste folosite de un scanner pasiv sunt: determinarea versiunii
unui program pentru a verifica prezena vulnerabilitilor (de exemplu dac a fost aplicat un
patch sau nu) i verificarea prezenei unui program care nu a mai fost ntlnit n sistem. Un
exemplu de detecie pasiv a semnturii unei vulnerabiliti l reprezint analiza unui banner
SMTP (Simple Mail Transfer Protocol) atunci cnd o conexiune ctre un server de e-mail este
fcut pentru a verifica dac acel server ruleaz o versiune vulnerabil de SMTP.
Vulnerabilitile pot exista n software-ul serviciilor de reea sau n software-ul care este
capabil s primeasc date din reea. Viermii din internet i compromiterea sistemelor de la
distan exploateaz vulnerabiliti ale serviciilor de reea. Alte vulnerabiliti sunt locale pentru
o aplicaie particular care ruleaz pe un calculator sau care are nevoie de acces nemijlocit la
sistemul de operare sau la sistemul de fiiere al calculatorului respectiv. Toate tipurile de
vulnerabiliti de mai jos se aplic att vulnerabilitilor serviciilor de reea ct i
vulnerabilitilor locale:
-
echipamentele lor datorit cerinelor diferite, dar este foarte important ca acea configuraie aleas
s fie sigur i orice posibil vulnerabilitate s fie descoperit (de exemplu, firewall-uri cu seturi
de reguli incomplete, parole ale conturilor de utilizatori slabe sau fiiere cu drepturi de acces
incorecte)
19
configurri implicite nesecurizate care pot include conturi de utilizatori i parole implicite bine
cunoscute sau rularea de servicii care nu sunt necesare.
-
software care este nvechit i astfel furnizorul nu mai ofer patch-uri pentru vulnerabilitile din
software-ul respectiv i software care nu este permis de organizaia utilizatorului. Unele tipuri de
vulnerabiliti sunt mult mai greu de detectat dac nu au o semntur cunoscut sau nu afecteaz
dect unele versiuni ale unui software.
-
include printre altele depiri ale buffer-ului, cross-site scripting, SQL injection. Este de departe
cel mai utilizat tip de vulnerabilitate folosit n compromiterea sistemelor.
-
vulnerabiliti care pot fi exploatate. Scannerele de vulnerabiliti actuale nu pot gsi aceste
vulnerabiliti dect dac este tiut faptul c versiunea respectiv de kernel este vulnerabil.
Singura metod complet pentru a gsi aceste vulnerabiliti este de a verifica codul surs, dac
acesta este disponibil, care poate fi fcut cu aplicaii automate de analiz a codului. Altfel ar
putea fi necesar folosirea dezasambloarelor sau o analiz a funcionrii proceselor. Toate aceste
metode presupun un consum mare de resurse precum i experiena i calificarea unui
specialist.[59]
Aplicaiile de evaluare a vulnerabilitilor sunt doar unelte de detecie i doar prin
nelegerea, analiza i aciunea unui administrator de sistem pot deveni unelte de protecie
mpotriva vulnerabilitilor. Toate aceste aplicaii necesit un grad ridicat de expertiz tehnic i
timp pentru a nelege, alerta, a stabili c nu este un fals pozitiv i a lua msurile necesare.
Scannerele de vulnerabiliti sunt folosite pentru a ajuta la protejarea sistemelor sau reelei aa c
asigurai-v c aceste aplicaii nu au efectul opus, deteriorarea sistemelor i degradarea
performanei lor. Este recomandat ca nainte de a folosi un nou scanner de vulnerabiliti, sau de
a implementa noi teste pentru acest scanner s fie rulate n prealabil pe un sistem sau o reea care
nu se afl n exploatare. Este de asemenea recomandat ca testele care pot avea un efect distructiv
s fie nlturate atunci cnd se efectueaz scanri pe o reea operaional.[54]
nainte de a folosi aceste aplicaii este esenial o bun nelegere a modului lor de
funcionare precum i a datelor care pot fi culese n urma folosirii lor.
Trebuie luat n considerare locaia surs de unde se va face scanarea deoarece
mecanismele de securitate vor fi, cel mai probabil, diferite n funcie de tipul accesului: din afara
reelei sau din interiorul ei. Decizia despre unde s fie poziionat sursa trebuie luat n funcie
20
de datele care se doresc a fi obinute. O scanare din exteriorul reelei va simula un atacator extern
n timp ce o scanare din interiorul reelei va arta cu mai mare acuratee vulnerabilitile prezente
n sistem i care pot fi exploatate de un atacator din interior sau care a compromis un sistem din
interiorul reelei.
Atunci cnd se efectueaz o scanare a unei reele toate calculatoarele din reea ar trebui
s colecteze nregistrri despre ce se ntmpl. Acestea reprezint mecanisme de validare a unui
rezultat pentru a determina dac o vulnerabilitate raportat a fost corect sau a fost un fals
pozitiv.
Utilizatorii de scannere de vulnerabiliti ar trebui s scaneze n mod regulat sistemele
lor, astfel avnd un istoric asupra vulnerabilitilor existente. n plus, utilizatorii de scannere de
vulnerabiliti ar trebui s urmreasc apariia unor noi vulnerabiliti i s aplice noile teste
pentru acestea ct mai curnd posibil.
Exist o multitudine de aplicaii de evaluare a vulnerabilitilor att comerciale ct i
non-comerciale. Unele din scannerele de vulnerabiliti care au licen open-source sau care sunt
disponibile fr costuri sunt:
- Nikto,
scanner
open-source
pentru
servere
web
http://www.cirt.net/code/nikto.shtml
Nikto Web Scanner este un scaner server Web care testeaza servere Web pentru fiierele
periculos / CGIs, software de tip server depite i alte probleme. Se efectueaz verificri
specifice tipului de generice i de server. De asemenea, surprinde i imprim toate cookie-urile
primite.
Nikto este un Open Source (GPL) web scanner server care efectueaz teste
cuprinztoare mpotriva serverelor web pentru mai multe elemente, inclusiv peste 6700 de fiiere
potenial periculoase / CGIs, controale pentru versiunile vechi de peste 1250 de servere, i
probleme specifice pe versiunea peste 270 de servere. Se verific, de asemenea, pentru elemente
de configurare a serverului, cum ar fi prezena mai multor fiiere index, opiuni de server HTTP,
i va ncerca s identifice servere de web instalate i software. Obiecte de scanare i plugin-uri
sunt actualizate frecvent i pot fi actualizate automat.[68]
-
WPScan scanner web, este o cutie neagr WordPress. Software-ul WPScan i datele
Vega web scanner, este un instrument de testare de securitate automat care se trte
un site web, analiznd coninutul paginii pentru a gsi link-uri i parametrii de form https://subgraph.com/vega/
Vega are dou perspective: scanerul, proxy. Vega gsete puncte de injectare, denumite
noduri de stat n drum, i se execut ca module scrise n JavaScript pentru a le analiza. Vega se
execut, de asemenea, pe module JavaScript pe toate rspunsurile trimise napoi de la server n
timpul scanrii. Vega stocheaz informaiile scanate actuale i trecute ntr-un "spaiu de
lucru". tergerea spaiul de lucru va elimina toate datele de scanare, inclusiv alertele i cererile /
rspunsurile salvate.
Vega scaneaz site-uri recursiv, construind o reprezentare intern a site-ului ntr-o
structur de date de tip arbore format din entiti cunoscute sub numele de "path state nodes
(noduri de stat n cale)". Path state nodes pot fi directoare, fiiere, sau fiiere cu POST sau
GET parametri. Site-uri complexe pot duce la scanri lungi i structuri mari de date de stat n
cale, aa Vega ofer parametri configurabile care limiteaz domeniul de aplicare de scanare n
preferinele de scanare. Exist dou seturi de preferine asociate cu scanerul: preferinele scaner
i depanare Scanner.[70]
-
Arachni web scanner, este un Open Source, cu funcii complete, modulare, de nalt
performan cadru Ruby menit pentru a ajuta testerii de penetrare i administratorii de evaluare a
securitii aplicaiilor web - http://arachni-scanner.com
Web scanerul Arachni, este un scanner de vulnerabilitate web inteligent, el se pregtete
pentru monitorizarea i nvarea comportamentulului aplicaiei web n timpul procesului de
scanare i este capabil de a efectua meta-analiza, folosind o serie de factori, n scopul de a evalua
corect gradul de ncredere a rezultatelor.
22
condiia s aib permisiuni administrative. MBSA poate face doar analiza sistemelor, nu i
instalarea propriu-zis a patch-urilor.[62]
-
projects/openvas
Scanerul OpenVAS este un sistem complet de evaluare a vulnerabilitii, care poate
detecta problemele de securitate n tot felul de servere i dispozitive de reea. Software-ul
OpenVAS poate fi folosit pentru a testa cu uurin infrastructura Internet.
Rezultatele vor fi livrate la adresa de email pentru analiz; permind nceperea
remedierii oricror riscuri a sistemelor i a face fa ameninrilor externe.
Scanarea vulnerabilitilor efectuate de servere gzduite extern ofer aceeai perspectiv
ca un atacator.
Motivul principal pentru a utiliza acest tip de scanare este acela de a efectua teste de
securitate cuprinztoare a unei adrese IP. Se va efectua iniial o scanare de porturi de o adres IP
pentru a gsi servicii deschise.
Dup ce s-au primit rezultatele testelor, va trebui verificat fiecare constatare pentru
relevan. Orice vulnerabiliti confirmate ar trebui s fie remediate pentru a asigura c sistemele
nu sunt supuse nici unui risc.
O utilizare secundar a acestui tip de scanare presupune testarea proceselor de rspuns
la incidente i sisteme de prevenire a intruziunilor de detectare. Fiind un tip de scanare agresiv i
24
27
Cu toate acestea, pe msur ce mai multe aplicaii sunt posibile i devin accesibile unui
numr mai mare de utilizatori, reelele devin mai vulnerabile la o gam larg de ameninri de
securitate. Atacurile la adresa reelelor compromit disponibilitatea aplicaiilor de reea. n plus,
confidenialitatea datelor companiei poate fi compromis prin accesul extern neautorizat. Sau
integritatea datelor poate fi afectat de, spre exemplu, hackeri care modific coninutul
documentelor sau al bazelor de date.[49]
Securitatea reelelor are ca scop protejarea reelelor i a aplicaiilor de reea mpotriva
unor asemenea atacuri. Pentru a realiza acest lucru, companiile abordeaz securitatea reelelor
crend o politic de securitate i, pe baza acestei politici, o arhitectur de securitate a reelelor.
Aceast arhitectur trebuie s ia n considerare urmtoarele elemente de securitate a reelei:
-
s fie controlat astfel nct numai utilizatorii i informaiile legitime s poat trece prin reea.
Acest aspect este deseori denumit securitatea perimetrului.[66]
Confidenialitatea datelor sau conectivitatea securizat a reelei pot fi realizate prin
implementarea Reelelor Private Virtuale sau VPN, care permit companiilor s i extind
reeaua securizat a companiei ctre birouri aflate la distan, lucrtori mobili sau parteneri
extranet.
Tehnologiile de criptare asigur c datele care circul printr-un VPN nu pot fi
interceptate sau citite de receptori neautorizai.
Instrumente de monitorizare a securitii permit monitorizarea, recunoaterea i testarea
vulnerabilitilor n infrastructura reelei, astfel nct s poat fi rezolvate nainte ca intruii s le
exploateze.
n final, pe msur ce reelele cresc n mrime i complexitate, este necesar folosirea
unor instrumente de management al politicilor de securitate, care pot administra centralizat
elementele de securitate menionate mai sus.
Cadrul folosit pentru a controla accesul la reelele de calculatoare este cunoscut de
obicei ca AAA, numit i Triplu A, care nseamn Autentificare, Autorizare si Accounting
(Contabilizare).[54]
Autentificarea se refer la metoda de identificare a utilizatorilor prin pai cum ar fi login
i dialog cu parol. n esen, autentificarea verific cine eti.
29
30
IPSec, sau protocolul de securitate IP, este un cadru de standarde deschise pentru
asigurarea comunicaiilor private securizate pe Internet. IPSec asigur confidenialitatea,
integritatea i autenticitatea comunicaiilor de date printr-o reea public, fiind o component
tehnic cheie pentru o soluie de securitate total.
Acest protocol poate rezolva ameninrile de securitate din infrastructura de reea, fr a
cere modificri costisitoare ale gazdei i aplicaiilor. IPSec ofer criptare i autentificare la
nivelul de reea IP. Deoarece pachetele criptate arat ca pachete IP obinuite, ele pot fi
redirecionate uor ctre o reea IP, ca Internetul, exact ca pachetele IP obinuite. Singurele
dispozitive care cunosc criptarea sunt punctele finale.
IPSec utilizeaz diferite tehnologii existente, cum sunt criptarea DES i certificatele
digitale.
Tehnologia de criptare asigur c mesajele nu sunt interceptate sau citite de altcineva
dect destinatarul autorizat.
Criptarea este folosit pentru a proteja date care sunt transportate printr-o reea public,
i folosete algoritmi matematici avansai pentru a cifra mesajele i documentele ataate. Exist
mai multe tipuri de algoritmi de criptare, dar unii sunt mai siguri dect alii. n cei mai muli
algoritmi, datele originale sunt criptate folosind o anumit cheie de criptare, iar computerul
destinatar sau utilizatorul pot descifra mesajul folosind o cheie de decriptare specific.[42]
Algoritmii de criptare ca DES, PGP sau SSL determin construirea i schimbarea
acestor chei.
31
33
03.05.2000
cu
privire
la
crearea
Registrului
de
stat
al
evidenei
individuale
organizarea
monitorizrii
procesului
de
implementare
35
38
40
41
43
la
daunele
poteniale,
care
rezult
din
estimarea eficient a riscurilor, asociate nclcrii cerinelor securitii informaionale, are loc
categorisirea tuturor activelor informaionale n conformitate cu nivelul de importan al
acestora. La estimarea riscurilor SI este luat n calcul starea curent de protejare a fiecrui
activ. Metodologia de estimare a riscurilor este reglementat de documentele normative
respective.
Msurile organizatorice au scopul asigurrii administrative a proteciei activelor
informaionale ale CNAS. n cadrul msurilor administrative sunt identificate documentele
normative ale CNAS n sfera securitii informaionale, ca i obligaiunile i responsabilitile
colaboratorilor CNAS n domeniul SI. Sunt documentate din punct de vedere administrativ i
legal relaiile cu colaboratorii, partenerii CNAS, antreprenorii i alte tere persoane.
Responsabilitile subdiviziunilor CNAS privind SI sunt reglementate prin documentele
normative respective, iar activitatea lor este coordonat de ctre conducerea CNAS.[22]
44
care
vor
lua
consideraie
nivelul
elaborate
informaional.
Activitile pentru asigurarea funcionrii fr ntrerupere a sistemului informaional
includ:
a) Elaborarea planurilor de asigurare a funcionrii nentrerupte a sistemului
informaional,
b) Implementarea planurilor de asigurare a funcionrii nentrerupte a sistemului
informaional,
c) Testarea
planurilor
de
asigurare
funcionrii
nentrerupte
sistemului
informaional,
d) Actualizarea planurilor de asigurare a funcionrii nentrerupte a sistemului
informational.
La elaborarea Politicii de securitate s-a inut cont de caracteristicile Casei Naionale de
Asigurri Sociale, practici de securitate deja implementate, riscurile utilizrii tehnologiilor
informaionale i recomandrile existente n domeniu.
Prevederile Politicii se aplic nediscriminatoriu tuturor angajailor CNAS (cu contract
de munc pe perioada determinat sau nedeterminat) crora li s-au autorizat accesul la activele
informaionale i CNAS, precum i altor persoane fizice i juridice (declarani, beneficiari,
consultani, experi, stagiari, practicieni etc.).
n scopul controlului la conformitate a SMSI cu legislaia Republicii Moldova,
standardele internaional i alte cerine regulatorii, are loc auditul regulat al SMSI al CNAS.
Conceptul Sistemul de Management al Securitii Informaiei al CNAS este parte a
sistemului de management al organizaiei care, bazndu-se pe o abordare a riscurilor afacerii,
45
securitatea informaiei
Familia standardelor ISO din domeniul securitii informaiei sunt urmtoarele:
- ISO/IEC 27001 Tehnologia Informaiei. Tehnici de securitate. Cerine pentru un
system de management al securitii informaiei;
- ISO/IEC 27002 Tehnologia informaiei. Tehnici de securitate. Cod de practice
pentru managementul securitii informaiei;
- ISO/IEC 27003 Tehnologia informaiei. Tehnici de securitate. Ghid de
implementare;
- ISO/IEC 27004 Tehnologia informaiei. Tehnici de securitate. Msuri;
- ISO/IEC 27005 Tehnologia informaiei. Tehnici de securitate. Managementul
riscurilor securitii informaiei;
- ISO/IEC 27006 Tehnologia informaiei. Tehnici de securitate. Cerine pentru
organisme care efectueaz auditul i certificarea sistemelor de management a securitii
informaiei.
Certificarea organizaiilor pe baza unui SMSI are loc n baza standardului ISO/IEC
27001. Standardul dat este aplicabil tuturor organizaiilor ce doresc mbuntirea i respectarea
securitii informaiei att din domeniul IT ct i din alt domeniu.
Standardul ISO/IEC 27001 este un standard de management. El descrie cerinele pentru
un SMSI, descrie ce trebuie de implementat n domeniul securitii informaiei.
Standardele ISO/IEC 27001:2013 (fost BS 7799-2) Sistemul de Management al
Securitii Informaiei i ISO/IEC 27002:2013/ Cor 1:2007 (fost BS 7799-1, ulterior, ISI/IEC
17799), Codul de practic pentru Managementul Securitii Informaiei sunt cele mai
importante, pn la ora actual, n domeniul securitii informaiei. Ele stabilesc un limbaj
internaional comun pentru securitatea informaiei.
Un SMSI elaborat n conformitate cu cerinele standardului ISO/IEC 27001:2013
reprezint un sistem complex care include att mecanismele de gestionare, ct i mecanismele de
protecie a informaiei. Modelul procesului de realizare a SMSI presupune un ciclu perpetuu de
msuri, i anume: planificarea, realizarea, verificarea i meninerea.[30]
ISO/IEC 27001:2013 Tehnologia informaiei tehnici de securitate sisteme de
management al securitii informaiei Cerine: Obiectivul standardului este de a ajuta
organizaiile la implementarea, certificarea i meninerea unui sistem de securitate a informaiei
n baza evalurii riscurilor de securitate i stabilirea msurilor de asigurare a confidentialittii,
integritii i a disponibilitii informaiei. n baza standardului ISO/IEC 27001:2013 se face
46
al
securitii
informaiei
Descriere
general
vocabular:
auditorii
47
48
49
Sistemul informaional creat pe parcursul anilor cuprinde ntr-o singur baz de date
informaiile, care anterior se prelucrau n circa 20 de module separate, constituind o reea
separat, care ofer posibilitatea activitii concomitente a peste 1300 de specialiti, n toate
raioanele republicii.
n cadrul CNAS a demarat realizarea unei dintre cele mai importante sarcini al planului
strategic instituirea Centrului de rezerv de prelucrare a datelor. n acest sens au fost
ntreprinse urmtoarele aciuni: elaborat concepia privind crearea i funcionarea Centrului de
rezerv, create condiii de funcionare i dotat cu utilijalul necesar o ncpere special.
Pe parcursul anului 2014, a fost implementat subsistemul privind accesul on-line la
conturile personale de asigurri sociale ale persoanelor asigurate. Acest sistem informaional a
fost elaborat cu aplicarea tehnologiilor informaionale performante, platforme tehnice i
software, care stau la baza sistemului SPIS. Utilizarea sporit de ctre clieni a capacitilor
acestui sistem, care este integrat n sistemul SPIS, se va efectua n anul curent. Aceasta va
permite clienilor CNAS (agenilor economici i persoanelor asigurate) posibilitatea de a avea un
acces rapid i transparent la datele privind stagiul de cotizare i mrimea retribuirii muncii
declarate de angajator.
Ca un obiectiv n acest domeniu a fost implementarea continu a componentelor
sistemului informaional: registrele persoanelor asigurate i a agenilor economici, declaraiile
trimestriale i anuale, conturile personale ale agenilor economici i persoanelor asigurate,
interfaa de schimb cu Inspectoratul Fiscal Principal de Stat, procesele de plat a pensiilor i
prestaiilor sociale. Punerea n exploatare a fiecrui subsistem are specificul su tehnologic la
diferite etape i sarcini, precum i durate diferite a procesului de implementare.
Pentru perfecionarea deservirii operaionale i tehnice a infrastructurii tehnologice au
fost efectuate lucrri de testare i control antivirus a computerelor, instalarea, restabilirea
sistemelor operaionale, testarea computerelor, revizia tehnic i depnarea imprimantelor,
rencrcarea cartuelor pentru imprimante, asigurarea asistenei pentru utilizatori.
n cadrul grupurilor de lucru (specialitii TI i utilizatorii) la etapa de implementare a
fost analizat funcionalitatea sistemelor aplicative. Lucrrile au fost efectuate n baza
regulamentelor i procedurilor elaborate n acest sens cu suportul elaboratorului sistemului.
Crearea serviciului special a permis soluionarea problemelor aprute, reglementarea evidenei i
documentarea procesului de lucru cu furnizorii serviciilor n susinerea i dezvoltarea sistemului.
Autorul a elaborat metodologiei de evaluare a riscurilor de securitate infomaional,
care permite cuantificarea riscurilor n dependen de clasa de securitate a resursei
50
Procedura
stabilete
metodologia
evalurii
riscurilor
de
securitate
prezena vulnerabilitii;
organizarea lucrrilor;
personal;
mediul fizic;
redus (R);
mediu (M);
nalt ().
Redus (R)
(R)
(M)
Gradul de vulnerabilitate
()
S0
Informaii
0
1
2
publice
S1
Informaii
1
2
3
disponibile
Clasificarea
S2 Informaii cu
2
3
4
resursei
acces limitat
S3
Informaii
3
4
5
confideniale
S4 Informaii strict
4
5
6
confideniale
NOT - Resursele informaionale sunt clasificate
Managementul resurselor.
Medie (M)
(R) (M) ()
nalt ()
(R) (M)
()
n conformitate cu procedura
52
pierderi de timp;
costuri financiare;
Nivel neglijabil - 1;
Nivel redus - 2;
Nivel mediu - 3;
Nivel nalt - 4;
Nivel critic - 5.
Impactul consecinelor
(1)
53
Msura de risc
8
7
6
5
4
3
2
1
5
40
35
30
25
20
15
10
5
de timp;
financiare;
tehnice;
54
culturale;
etice;
ecologice;
juridice;
posibilitti de control;
personal;
Dup efectuarea evalurii riscului urmeaz s fie elaborat Planul de tratare a riscului
care const n documentarea msurilor adecvate pentru tratarea riscurilor, termene de timp
privind implementarea msurilor i resursele necesare. La elaborarea planului de tratare a
riscurilor trebuie s fie selectate obiectivele de control i msurile de securitate conform SR
ISO/CEI 27001 (anexa A) pentru a acoperi cerinele de securitate informaiei, inclusiv cele
legale, de reglementare i contractuale.
Dup tratarea riscului urmeaz s fie adoptate urmtoarele decizii:
-
acceptarea riscului rezidual dac nivelul su este acceptabil sau dac este prezent
situatia descris n Nota 1;
55
Msura riscului
Descrierea efectelor
Nivelul de semnificaie a
efectelor
Nivelul de risc
Msuri de securitate
actuale
Simplitate a exploatrii
vulnerabilitii
12
Deteriorare
informaie,
vizualizarea i
utilizarea datelor cu
caracter personal
ntrerupere procese
de lucru
20
Controlul
accesului
16
Mentenan
planificat
ntrerupere procese
de lucru
UPS
tergere site,
vizualizarea i
utilizarea datelor cu
caracter personal
10
Controlul
accesului.
Actualizarea
sistemului de
securitate,
inclusiv site
Probabilitatea apariiei
ameninrii
11
Descrierea ameninrii
10
Clasificarea resursei
Identifi-catorul i
denumirea resursei
Descrierea vulnerabilitii
1.
SI Protecia Social,
Site web
www.cnas.md
i www.raportare.md
S2
Acces
neautorizat
Defeciune
echipament
de suport
Pana curent
electric
Lipsa
mentenan
Atac extern
Prezena
generatorului de
curent
Setarea eronat/
ineficient a
securitii
6
7
Resursele informaionale
Parola nesigur.
Transmitere
parol
persoanelor tere
56
S4
Incendiu
Inundare
Cutremur
Pana de
curent
electric
Msuri de securitate
actuale
Servere i echipament
de reea
Nivelul de risc
2.
Nivelul de semnificaie a
efectelor
Probabilitatea apariiei
ameninrii
5
Descrierea efectelor
Descrierea ameninrii
4
Msura riscului
Clasificarea resursei
3
6
7
Tehnic de calcul
Personal
M
neinstruit.
Lipsa
Instruciunii de
intervenie
Defecte ale
R
acoperiului
10
11
12
Distrugere
echipament
25
Deterioare
echipament
20
Personal
neinstruit
Lips surs
alternativ
permanent de
curent electric
20
Distrugere
echipament
Oprirea proceselor
de lucru
12
Sistem
anciincendiar
care
reacioneaz
la fum
Respectarea
regulilor de
evitare a
inundaiilor
Verificare
periodic a
acoperiului
Construcie
autorizat
Procurare
UPS-uri
adiionale
Simplitate a exploatrii
vulnerabilitii
Identifi-catorul i
denumirea resursei
2
Descrierea vulnerabilitii
57
12
Supraveghere
video
25
Procurare
echipament
adiional.
Mentenan
preventiv
Pierdere confiden
ialitate
ntreruperea
proceselor de lucru
12
Controlul
accesului.
Respectarea
principiului
ecranului
curat i al
biroului
curat
Mentenan
accidentar
5
R
6
Lipsa sistem de
semnalizare
7
R
8
4
Defeciune
echipament
Acces
neautorizat
Lips
redundan
echipament
Lips
mentenan,
Lipsa procedurii
Posibilitatea
accesului
persoanelor
strine
Defeciune
echipament
Lipsa
mentenan
Msuri de securitate
actuale
Nivelul de risc
11
16
4
Acces
neautorizat
Descrierea efectelor
Nivelul de semnificaie a
efectelor
S3
10
4
Msura riscului
Calculatoare/
staii de lucru
9
Deteriorare
intenionat, Furt
resurse
ntreruperea
proceselor de lucru
Simplitate a exploatrii
vulnerabilitii
3.
Descrierea vulnerabilitii
Clasificarea resursei
3
Probabilitatea apariiei
ameninrii
Identifi-catorul i
denumirea resursei
2
Descrierea ameninrii
58
Nivelul de semnificaie a
efectelor
Nivelul de risc
5
R
6
Personal
neinstruit
7
R
8
4
9
Furt informaie.
Transmitere
neautorizat de
informaie
10
3
11
12
Pana de
curent
electric
Lipsa surse
alimentare
alternative
Oprirea proceselor
de lucru
10
5.
Copiatoare/
printere
S1
Documente
imprimate
negestionate
Personal
neinstruit
Scurgere
informaie
6.
Sistem de cabluri
S4
Incendiu
Personal
Distrugere
25
Msuri de securitate
actuale
Msura riscului
4
Acces
neautorizat
Descrierea efectelor
Simplitate a exploatrii
vulnerabilitii
Descrierea vulnerabilitii
Clasificarea resursei
3
S3
Probabilitatea apariiei
ameninrii
Identifi-catorul i
denumirea resursei
2
Pota electronic
Descrierea ameninrii
1
4.
12
Controlul
asupra
coresponden
ei electronice
efectuat de
Administrator
. Audituri
periodice ale
sistemului
informaional
Utilizarea
metodelor
alternative de
schimb de
informaii
Principiul
Ecranul
curat i biroul
curat
Sistem
59
Cutremur
Pana de
curent
electric (scurt
circuit)
9
echipament,
documentaie
intern i a blocului
10
11
Deterioare
20
Personal
neinstruit
20
Cablu
neconform.
Conexiune
necalitativ
Distrugere
echipament i a
cldirii
Oprirea proceselor
de lucru
12
6
neinstruit.
Lipsa
Instruciunii de
interventie
Defecte ale
acoperisului
echipament
Msuri de securitate
actuale
Nivelul de risc
Inundare
Nivelul de semnificaie a
efectelor
Probabilitatea apariiei
ameninrii
5
Descrierea efectelor
Descrierea ameninrii
4
Msura riscului
Clasificarea resursei
3
Simplitate a exploatrii
vulnerabilitii
Identifi-catorul i
denumirea resursei
2
Descrierea vulnerabilitii
12
anciincendiar
care
reacioneaz
la fum
Respectarea
regulilor de
evitare a
inundaiilor
Verificare
periodic a
acoperiului
Construcie
autorizat
Evaluarea
furnizorilor
de produs.
Verificare
produs la
intrare.
60
Identifi-catorul i
denumirea resursei
Clasificarea resursei
Descrierea ameninrii
Probabilitatea apariiei
ameninrii
Descrierea vulnerabilitii
Simplitate a exploatrii
vulnerabilitii
Msura riscului
Descrierea efectelor
Nivelul de semnificaie a
efectelor
Nivelul de risc
10
11
Acces
neautorizat
Lipsa registru
vizitatori
Furt de informaii.
Fraude
intenionate.
16
Procese judiciare
cu angajaii
12
CNAS
S4
Acces
neautorizat.
Furt
Divulgare
Pstrare
neadecvat
Msuri de securitate
actuale
12
Evaluarea
furnizorilor
servicii de
montare.
Mentenan
Paz cu
trecere n
baza
permisului i
prezena
agenilor de
la S Paza de
Stat
Controlul
accesului
61
9
Pierderea imaginii
autoritii publice.
Procese judiciare
cu terii
10
3
11
12
Msuri de securitate
actuale
Nivelul de risc
8
4
Descrierea efectelor
7
R
Nivelul de semnificaie a
efectelor
6
Pstrare
neadecvat
Msura riscului
5
M
Simplitate a exploatrii
vulnerabilitii
4
Acces
neautorizat.
Furt
Divulgare
Descrierea vulnerabilitii
Clasificarea resursei
3
S4
Probabilitatea apariiei
ameninrii
Identifi-catorul i
denumirea resursei
2
Alte organizaii
Descrierea ameninrii
1
8.
12
Controlul
accesului
Descrierea
efectelor
Acces neautorizat
Deteriorare
informaie,
vizualizarea
i utilizarea
datelor cu
Msuri de
securitate
Termen de
Nivelul
propuse
executare/
de risc
(conform
Responsabil/
curent
ISO/CEI 27001,
Resurse
anexa A)
3
4
5
6
SI Protecia Social, Site web www.cnas.md i www.raportare.md
20
Controlul accesului
Limitarea
Secia securitate
accesului la
informaional/
modificarea sitePermanent
ului i verificare
acces utilizatori
Msuri de
securitate actuale
(conform ISO/CEI
27001,
anexa A)
Gradul de
risc
rezidual
planificat
Decizia de
acceptare a
riscului
12
Acceptat
62
Descrierea
riscului (resurs,
ameninare,
vulnerabilitate)
1
Defectiune
echipament de
suport
Descrierea
efectelor
2
caracter
personal
ntreruperea
proceselor de
lucru
Nivelul
de risc
curent
Msuri de
securitate actuale
(conform ISO/CEI
27001,
anexa A)
16
Mentenan
planificat
Incendiu
Distrugere
echipament
25
Inundare
Deterioare
echipament
20
Cutremur
Distrugere
echipament
20
Msuri de
securitate
propuse
(conform
ISO/CEI 27001,
anexa A)
5
SI Protecia
Social
Respectarea
planurilor de
mentenan
Construcie
autorizat
Elaborare plan
de intervenie n
Termen de
executare/
Responsabil/
Resurse
Gradul de
risc
rezidual
planificat
Decizia de
acceptare a
riscului
Secia securitate
informaional/
Direcia general
implemetarea
sistemului
informaional/
Conform planului
12
Acceptat
Personalul
responsabil de
sntatea i
securitatea n
munc/
Iulie 2015
Toi angajaii/
Permanent.
Responsabil de
infrastructur/
Conform planului de
mentenan.
Personalul
responsabil de
20
Acceptat sub
raspunderea
Preedintelui
CNAS
20
Acceptat sub
raspunderea
Preedintelui
CNAS
20
Acceptat sub
raspunderea
63
Descrierea
efectelor
Nivelul
de risc
curent
Msuri de
securitate actuale
(conform ISO/CEI
27001,
anexa A)
Acces neautorizat
Deteriorare
intenionat,
Furt resurse
16
Supraveghere video
Defeciune
echipament
ntreruperea
proceselor de
lucru
25
Procurare
echipament
adiional.
Mentenan
preventiv
Incendiu
Distrugere
echipament,
documentaie
intern i a
25
Descrierea
riscului (resurs,
ameninare,
vulnerabilitate)
Msuri de
securitate
propuse
(conform
ISO/CEI 27001,
anexa A)
5
caz de incendiu.
Exerciii de
testare a
planului
Instalare sistem
de semnalizare
Respectarea
planurilor de
mentenan
Sistem de cabluri
Sistem antiincendiar Elaborare plan
care reactioneaz la de interventie n
fum
caz de incendiu.
Exercitii de
Termen de
executare/
Responsabil/
Resurse
Gradul de
risc
rezidual
planificat
6
sntatea i
securitatea n
munc/
Iulie 2015
Secia securitate
informaional/
Direcia general
implemetarea
sistemului
informational/ ef
subdiviziune
teritorial/
August 2015
Secia securitate
informaional/
Direcia general
implemetarea
sistemului
informaional/
Conform planului
8
Preedintelui
CNAS
12
Acceptat
16
Acceptat sub
raspunderea
Preedintelui
CNAS
20
Acceptat sub
raspunderea
Preedintelui
CNAS
Personalul
responsabil de
sntatea i
securitatea n
Decizia de
acceptare a
riscului
64
Descrierea
riscului (resurs,
ameninare,
vulnerabilitate)
Descrierea
efectelor
Nivelul
de risc
curent
Msuri de
securitate actuale
(conform ISO/CEI
27001,
anexa A)
4
2
blocului
Inundai
Deteriorare
echipament
20
Cutremur
Distrugere
echipament i
a cldirii
20
Construcie
autorizat
Acces neautorizat
Furt
informaii.
Fraude
intenionate
16
Paz cu trecere n
baza permisului i
prezena agenilor de
la S Paza de Stat
Msuri de
securitate
propuse
(conform
ISO/CEI 27001,
anexa A)
5
testare a
planului
Elaborare plan
de intervenie n
caz de incendiu.
Exerciii de
testare a
planului
Instalare sistem
de semnalizare
Termen de
executare/
Responsabil/
Resurse
Gradul de
risc
rezidual
planificat
Decizia de
acceptare a
riscului
6
munc/
Iulie 2015
Toi angajaii.
Permanent.
Responsabil de
infrastructur/
Conform planului de
mentenan.
Personalul
responsabil de
sntatea i
securitatea n
munc/
Iulie 2015
Secia securitate
informaional/
Direcia general
implemetarea
sistemului
informational/
ef subdiviziune
teritorial/
August 2015
20
Acceptat sub
raspunderea
Preedintelui
CNAS
20
Acceptat sub
raspunderea
Preedintelui
CNAS
12
Acceptat
65
relaiilor
sociale
privind
asigurarea securitii
informaionale, nlturarea
echipe interne de rspuns la incidente al cror scop este tratarea incidentelor din punctul de
vedere al instituiei respective pentru a proteja utilizatorii i / sau clienii si. Guvernele naionale
organizeaz echipe de rspuns la incidente de securitate la nivel de ar, pentru a contracara
atacuri masive i specializate asupra cetenilor, a companiilor i a infrastructurilor de importan
naional - unele dintre acestea critice pentru o bun existen i funcionare a societii. Dou
exemple de astfel de atacuri sunt atacurile de tip distribuit asupra serviciilor (Distributed Denial
of Service - DDoS) i atacurile de tip "phishing".[86]
Serviciul Trusted-Introducer a fost nfiinat n Europa n anul 2000 pentru a facilita
colaborarea ntre astfel de echipe de rspuns i, prin urmare, pentru a crete nivelul de securitate
prin rspunsul mai rapid la atacurile n desfurare i a ameninrilor de tip nou. TI asigur o
baz de ncredere, cu servicii adiionale specializate pentru toate echipele de rspuns la incidente
de securitate. De asemenea, TI administreaz o baz de date cu informaii despre astfel de echipe
existente i ofer o imagine de ansamblu actualizat asupra nivelului lor demonstrat de
maturitate i abilitate. Pentru garantarea acestor informaii a fost conceput un mecanism de
acreditare i certificare bazat pe cele mai bune practici dezvoltate i testate de-a lungul timpului
n cadrul aceleai comuniti TI. [86]
Pentru ndeplinirea obiectivelor sale, acest serviciu, asigur tuturor utilizatorilor si
accesul gratuit la o baz de date cu echipele de rspuns. Aceast baz de date conine informaii
despre toate echipele de rspuns cunoscute i nregistrate care sunt acceptate de comunitatea
Trusted-Introducer. Putem cuta n aceast baz de date echipa sau echipele adecvate n funcie
de tipul echipei, ara unde activeaz i statutul n cadrul TI.
n Republica Moldova, exist dou astfel de echipe de rspuns la incidente de
securitate: www.cert.gov.md i www.cert.acad.md (www.cert.md). Denumirea CERT vine de la
Echip de rspuns la incidentele legate de securitatea calculatoarelor (Computer Emergency
Response Team) ce reprezint o echip de experi n securitatea informaional, a crei sarcin
este s rspund la incidente ce in de securitatea sistemelor informaionale. Acesta asigur
serviciile necesare pentru gestionarea incidentelor i sprijinirea beneficiarilor lor n recuperarea
de pe urma a nclcrilor de securitate.
n vederea executrii prevederilor Hotrrii Guvernului Nr. 746 din 18.08.2010 "Cu
privire la aprobarea Planului Individual de Aciuni al Parteneriatului Republica Moldova
NATO actualizat", n cadrul ntreprinderii de Stat "Centrul de telecomunicaii speciale" a fost
creat Centrul pentru Securitatea Cibernetic - CERT-GOV-MD.[78]
Misiunea Centrului pentru Securitatea Cibernetic este de a susine societatea
moldoveneasc n protejarea mpotriva incidentelor IT. CERT-GOV-MD va fi punctul central de
67
privind SI trebuie reglementate prin documentele normative respective, iar activitatea lor trebuie
s fie coordonat de ctre conducerea CNAS.[82]
Asigurarea organizatoric a securitii informaionale include:
a. delegarea responsabilitii pentru asigurarea SI,
b. Organizarea activitii subdiviziunilor CNAS n sfera SI,
c. Sporirea continu a nivelului de calificare a colaboratorilor, responsabili de SI.
Gestiunea resurselor informaionale ale CNAS reprezint baza asigurrii securitii lor.
Protecia resurselor informaionale trebuie s fie realizat n conformitate cu importana lor
pentru procesele business ale CNAS. Gradul de importan a unei resurse trebuie s fie
determinat conform cadrului metodic, elaborat n acest scop. Pentru fiecare resurs va fi numit
un colaborator, care va purta
responsabilitate
personal
privind
asigurarea
securitii
c) penalizarea prin msuri disciplinare stricte a celor care ncalc cerinele SI.
Toi colaboratorii CNAS vor fi obligai s execute cerinele documentelor normative ale
CNAS n sfera asigurrii SI. Fiecare colaborator trebuie s aib rolul su n cadrul sistemului
de management al securitii informaionale (SMSI). Pentru utilizatorii infrastructurii
informaionale a CNAS trebuie s fie elaborat instrucia privind asigurarea SI.[22]
- drepturile de acces (la fisiere, resurse, servicii etc.) care determina de ce privilegii
dispune un utilizator (sau un grup de utilizatori) dat.
- Securitatea serviciilor controleaza accesul la serviciile unui sistem (calculator, retea).
Din acest nivel fac parte:
- controlul serviciilor care este responsabil cu functiile de avertizare si de raportare a
starii serviciilor, precum si de activarea si dezactivarea diverselor servicii oferite de catre
sistemul respectiv;
- drepturile la servicii care determina exact cum foloseste un anumit cont un serviciu
dat (acces la fisiere, resurse, prioritate, )
71
entitile ce au acces local la acea maina (utilizatori, programe server, ageni locali)
precum i drepturile acestora (ce are voie s fac un anumit utilizator, cu ce privilegii ruleaz un
anume proces, ce prioritate are un proces, ce drepturi are asupra fiierelor respective, asupra
spaiului de stocare, ce resurse i ntre ce limite are voie s acceseze);
-
serviciile oferite ctre exterior (publice sau pentru anumii utilizatori; autentificare,
monitorizare);
-
componentelor
sistemului
informaional
contra
aciunilor mediului
72
Casa Naional de Asigurri Sociale asigur c zonele de securitate sunt dotate cu mijloace
adecvate de control al accesului pentru a asigura c doar persoanele autorizate vor avea acces (ex.
lacte, cartele de acces, supraveghere video, detectori efracie, etc.)
CNAS asigur c regulile i normele de lucru i acces n zonele de securitate sunt definite i
aplicate, iar drepturile de acces la zonele de securitate revizuite i rennoite n mod regulat.
CNAS asigur c regulile de gestiune a rechizitelor de acces (chei, card-uri, coduri, etc.) sunt
stabilite, comunicate i aplicate.
CNAS asigur c vizitatorii zonelor de securitate critice sunt supravegheai sau autorizai, iar
data i ora intrrii i ieirii acestora este nregistrat.
CNAS aplic msuri pentru protecia fizic mpotriva incendiilor, inundaiilor, cutremurelor,
exploziilor, revoltelor publice i a oricror forme de dezastre naturale sau produse de oameni.
CNAS asigur c echipamentul ce asigur securitatea ncperii / localului este instalat i
funcionabil (ex.: sistem de alarm incendiar, echipament de stingere a focului, detectoare de fum i
temperatur etc.).
Procesele de tratare, pstrare i transmitere a informaiei ocup locul central n cadrul
sistemului informaional al CNAS i reprezint mijlocul tehnologic principal de susinere a
activitii. Din aceast cauz acestor procese se va acorda cea mai mare atenie din punctul de
vedere al asigurrii securitii informaionale.
Pentru fiecare rol de utilizator trebuie s fie determinate i perfectate, n conformitate cu
responsabilitile
drepturile
colaboratorului,
proceduri
instruciuni. Configurarea
73
exploatare,
reprezint
parte
76
10.
78
de obicei la situri sau servicii gzduite pe servere de nivel nalt, cum ar fi bncile, gateway-uri
pentru pli prin carduri de credite, i chiar servere ntregi.[66]
Hackers, Crackers, Script Kiddies
Hackerii Cuvntul hacker n sine are o mulime de interpretri. Pentru muli, ei
reprezint programatori i utilizatori cu cunotinte avansate de calculator care ncearc prin
diferite mijloace s obin controlul sistemelor din internet, fie ele simple PC-uri sau servere. Se
refer de asemeni la persoanele care ruleaza diferite programe pentru a bloca sau ncetini accesul
unui mare numr de utilizatori, distrug sau terg datele de pe servere. Hacker are i o interpretare
pozitiv, descriind profesionistul in reele de calculatoare care-i utilizeaz aptitudinile n
programarea calculatoarelor pentru a descoperi reele vulnerabile la atacuri de securitate.
Actiunea in sine, aceea de hacking e privit ca cea care impulsioneaz cercetarea n acest
domeniu.[66]
Crackerii sunt nite persoane care au un hobby de a sparge parole i de a dezvolta
programe i virusuri de tip calul troian (en:Trojan Horse), numite Warez. De obicei ei folosesc
programele pentru uz propriu sau pentru a le relizeaza pentru profit.[66]
Script kiddies sunt persoane care nu au cunotine sau aptitudini despre penetrarea unui
sistem ei doar descarc programe de tip Warez pe care apoi le lanseaz cu scopul de a produce
pagube imense. Aceste persoane sunt angajai nemulumii, teroriti, cooperativele politice.[66]
Virui i viermi
Viruii i viermii reprezint programe care au proprietatea de a se automultiplica sau
fragmente de cod care se ataeaz de alte programe (virui) sau calculatoare (viermii). Viruii de
obicei stau n calculatoarele gazd, pe cnd viermii tind s se multiplice i s se extind prin
intermediul reelei.[66]
Trojan Horse
Acest virus este principala cauz a tuturor atacuri a sistemelor informaionale. Calul
Troian se ataeaz de alte programe. Cnd se descarc un fiier care este infectat cu acest virus el
la urma sa infecteaz sistemul, unde ofer hakerilor acces de la distan unde ei pot manipula cu
sistemul.[66]
Botnets
ndat ce un calculator (sau probabil mai multe calculatoare) au fost compromise de un
Troian, hackerul are acces la aceste calculatoare infectate, unde de aici el poate lansa atacuri cum
ar fi DDoS (Distribuited Denial of Service).
79
Grupa de calculatoare care sunt sub controlul hakerului se numesc botnets. Cuvntul
botnet provine de la robot, aceasta nsemnnd c calculatoarele ndeplinesc comenzile
proprietarului lor i reea nsemnnd mai multe calculatoare coordonate.[66]
Sniffing/Spoofing
Sniffing se refer la actul de interceptare a pachetelor TCP (Transmission Control
Protocol). Spoofing se refer la actul de trimitere nelegitim a unui packet de ateptare ACK.[66]
Administrarea performanei reelei permite colectarea, salvarea i interpretarea
statisticilor, optimizarea reelei cu resurse disponibile, detectarea modificrilor de performan,
asigurarea clitaii serviciilor.
Detecteaz schimbrile n performana reelei cu ajutorul datelor statistice (cronometre
i contoare) oferind astfel siguran i calitate n funcionarea reelei.
Performana poate fi util i pentru managementul faulturilor (pentru a detecta erorile),
pentru administrarea conturilor (pentru a adapta costurile) i pentru administrarea configuraiei
(ce modificare este necesar pentru o configuraie optim).
O reea de calculatoare este o structur deschis la care se pot conecta noi tipuri de
echipamente (terminate, calculatoare, modem-uri etc.), lucru care conduce la o lrgire nu
ntotdeauna controlat a cercului utilizatorilor cu acces nemijiocit la resursele reelei (programe,
fiiere, baze de date, trafic etc.).[42]
Administrarea securitii permite administratorului s iniializeze i s modifice
funciile care protejeaz reeaua de accese neautorizate. Prile importante ale administrrii
securitii sunt:
- protecia mpotriva tuturor ameninrilor asupra resurselor, serviciilor i datelor din
reea;
- asigurarea autorizrii, autentificrii, confidenialitii i controlului drepturilor de
acces ale utilizatorilor;
- administrarea cheilor de criptare;
- ntreinerea zidurilor de protecie;
- crearea conectrii securizate.
Vulnerabilitatea reelelor se manifest pe dou planuri: atacul la integritatea ei fizic
(distingeri ale suportuiui informaiei) i pe de alt parte folosirea sau modificarea neautorizat a
informaiilor i a resurselor reelei (scurgerea de informaii din cercul limitat de utilizatori
stabilit, respectiv utilizarea abuziv a resurselor reelei de ctre persoane neautorizate).
Dintre factorii tehnici care permit fisuri de securitate pot fi anumite defecte ale
echipamentelor de calcul sau de comunicaie sau anumite erori ale software-ului de prelucrare
80
Securitatea logic const din acele metode logice (software) care asigur controlul
accesului la resursele i serviciile sistemului. Ea are, la rndul ei, mai multe niveluri impartite n
dou grupe mari: niveluri de securitate a accesului (SA) si niveluri de securitate a serviciilor
(SS).[33]
Securitatea accesului (SA) cuprinde:
- accesul la sistem (AS), care este rspunztor de a determina dac i cnd reeaua este
accesibil utilizatorilor i n ce conditii.
- accesul la cont (AC) cu nume i parol valid;
- drepturile de acces (DA) la fiiere, servicii, resurse ale utilizatorului sau grupului.
Securitatea serviciilor (SS), care se afl sub SA, controleaz accesul la serviciile
sistem, cum ar fi fire de ateptare, I/O la disc i gestiunea serverului. Din acest nivel fac parte:
- controlul serviciilor (CS) avertizeaz i raporteaz starea serviciilor, activeaz sau
dezactiveaz serviciile oferite de sitem;
- drepturile la servicii (DS) cum se folosete un seviciu dat.
Accesul ntr-un sistem de securitate perfect trebuie s se fac prin aceste niveluri de
securitate, de sus n jos.
Problemele cu care se confrunt administratorii, ntr-o reea mare, variaz de la
ntreinerea numeroaselor servere pn la rezolvarea problemelor de orice tip ale calculatoarelor
clienilor. Multe firme au un serviciu de asisten dedicat exclusiv rezolvrii problemelor
utilizatorilor. Indiferent de natura problemei, rezolvarea fiecreia implic un anumit timp de
lucru, ceea ce poate conduce la creterea costurilor generale de utilizare (TCO Total Cost of
Ownership).
Microsoft a sesizat aceast problem i a ncercat s o rezolve n decursul anilor.
Soluiile au fost reprezentate fie de unele programe dedicate (cum ar fi serviciile SMS System
Management Server), fie prin funcii incluse n Windows NT (de exemplu politicile de
utilizator).[67]
CNAS stabilete politica de control a accesului la resursele i sistemele sale, avnd la
baz principiul accesului minim conform necesitilor de afacere, n scopul realizrii atribuiilor
de serviciu sau a celor contractuale.
CNAS asigur c este stabilit o procedur de acordare, modificare, revizuire i
retragere a drepturilor de acces la toate sistemele i resursele sale. Procedura trebuie s vizeze
att angajaii bncii, ct i utilizatorii terelor pri. Accesul la toate resursele informaionale ale
CNAS se acord n strict conformitate cu necesitile de serviciu. Toate cazurile de utilizare a
resurselor informaionale necesit a fi autorizate.
82
83
84
"User Account Control" - tehnologie care nu exist n Windows XP, aprnd prima dat
n Windows Vista i n Windows Server 2008 - reduce posibilitatea c o aplicaie cu privilegii
minime (low) s dobndeasc n mod automat i necontrolat privilegii sporite i s aib acces
la fiierele utilizatorului fr consimmntul acestuia.
Aceast posibilitate exist n Windows 2000/XP unde un utilizator (cu drepturi de
administrator) putea fi indus n eroare mai uor s execute un anumit cod (aplicaie ostil acelui
sistem) i care putea duce la compromiterea acestuia.[26]
Internet Explorer ruleaz n mod normal la un nivel "Low" de integritate. Orice aplicaie
care se descarc din Internet va dobndi un nivel de integritate "Low" (egal cu al procesului
Internet Explorer) i nu va putea s se execute i s-i eleveze privilegiile compromind
sistemul respectiv. Acesta este modul protejat (Protected mode) n care ruleaz IE7 pe Windows
Vista. Modul protejat oferit de IE8 este o facilitate prezent numai pe sistemul de operare
Windows 7.[29]
Un utilizator poate accesa i modifica un obiect n Windows Vista numai dac nivelul
sau de integritate este mai mare dect cel al obiectului.
n acest scop n Windows 7 sunt definite 3 politici obligatorii de acces:
- No WRITE UP o entitate nu poate modifica un obiect dac posed un nivel de
integritate mai mic dect al obiectului respective
- No READ UP o entitate nu poate citi un obiect dac poseda un nivel de integritate
mai mic dect al obiectului respective
- No EXECUTE UP o entitate nu poate executa un obiect dac posed un nivel de
integritate mai mic dect al obiectului respectiv
Putem privi aceste tehnologii i prin prisma altui principiu de securitate "principle of
least privilege" sau "principle of minimal privilege" - "principiul privilegiului minim" n care
utilizatorul trebuie s aib privilegii minime pentru accesarea unui sistem informatic conform
fiei postului i sarcinilor pe care trebuie s le ndeplineasc.
n acest fel, n Windows 7 toi utilizatorii au acelai nivel de integritate (ncredere) pe un
sistem iar privilegiile administrative se folosesc doar n cazul n care este necesar.
Windows Server 2003, 2008, 2012 sunt construite pe structura sistemului Windows
2000 i include toate facilitile pe care un client le ateapt de la un sistem de operare Windows
Server: siguran, securitate i scalabilitate. Familia cuprinde patru produse:
- Windows Web Server reprezint o bun platform pentru dezvoltarea rapid a
aplicaiilor i desfurarea serviciilor pe Web. Este uor de administrat i se poate gestiona, de la
o staie de lucru aflat la distan, cu o interfa de tip browser.
85
- Windows Standard Server este un sistem de operare n reea care ofer soluii pentru
firmele de toate mrimile. Accept partajarea fiierelor i imprimantelor, ofer conectivitate
sigur la Internet, permite desfurarea centralizat a aplicaiilor din spaiul de lucru, ofer
colaborare ntre angajai, parteneri i clieni, accept multiprocesarea simetric cu dou ci i
pn la 4 GO de memorie.
- Windows Enterprise Server este destinat firmelor medii i mari. Este un sistem de
operare cu funcionare complet care accept pn la 8 procesoare de tip Intel Itanium.
- Windows Data Center Server este o platform pentru firmele cu un volum mare de
tranzacii i cu baze de date scalabile. Este cel mai puternic i mai funcional sistem de operare
pentru servere oferit de Microsoft.[66]
Sistemul API cuprinde trei componente: nucleul Windows Kernel, interfaa grafic cu
echipamentele periferice GDI (Graphic Devices Interface) i componenta USER. Aceste
componente sunt biblioteci de programe adresate programatorului de aplicaii i mai puin
utilizatorului obinuit.
Sistemul maini virtuale asigur interfaa cu utilizatorul i aplicaiile sale, modulele
din aceast clas fiind apelate de sistemul API. Aceast component asigur ncrcarea i
folosirea corect a spaiului de adresare. Din aceast clas face parte i programul Explorer. [26]
Atunci cnd se ia n calcul politica de securitate pentru platformele Windows Server
2003 i 2008 trebuie evaluate obligatoriu urmtoarele:
- Domain Level Acount Polices reguli ce se pot seta la nivel de Group Policies,
setri care sunt aplicate la ntreg domeniul: politici cu privire la parole, blocarea conturilor,
autentificarea folosind protocolul Kerberos tot ceea ce uzual se nelege prin acount polices
politici de cont;
- Audit Policy posibilitile de utilizare a politicilor de audit pentru a monitoriza i
fora setrile de securitate instalate. Este obligatoriu s se explice diferitele setri, folosindu-se de
exemple, pentru a se nelege ce informaii se modific cnd acele setri sunt modificate;
- User Rights trateaz diferitele posibiliti de logon drepturi i privilegii ce sunt
puse la dispoziie de sistemul de operare i oferirea de ndrumare privind care conturi ar trebui s
primeasc drepturi distincte i natura acestor drepturi;
- Security Options tratarea setrilor de securitate cu privire la date criptate cu
semnturi digitale(digital data signature), statutul conturilor Administrator i Guest, accesul
la unitile de dischet i CD-ROM(sau echivalent), instalarea driver-elor i posibilitile de
logare(logon prompts);
86
- Event Log configurarea setrilor pentru diferitele jurnale care exist sum Windows
Server 2003(respectiv 2008);
- System services utilizarea serviciilor care sunt absolut necesare i documentarea
lor dezactivarea serviciilor care nu sunt folosite sau necesare. Personalizarea pe ct posibil a
acestor servicii pentru eliminarea setrilor by default;
- Software restriction polices descrierea pe scurt a software-ului instalat i
mecanismele folosite pentru restricia rulrii acestora;
- Additional System Countermeasures descrierea unor msuri suplimentare de
securitate care sunt necesare, setri care rezult din discuia privind rolul acelui server,
posibilitile de implementare, disponibilitatea utilizatorilor i existen personalului calificat
setri cum ar fi:setri care nu pot fi introduse ntr-o maniera compact n cadrul Group Policies,
setri la nivel de drepturi pe fisiere (NTFS), SNMP, dezactivarea NetBIOS, setri Terminal
Services, setri IPsec, Dr. Watson, nu n ultimul rnd setrile cu privire la Windows Firewall.
- Additional Registry Entries documentarea modificrilor necesare la nivel de
registry.
Este de reinut faptul c n Windows 2008 s-a pus un accent mai mare pe securitate , ca
un exemplu dac n Windows 2003 server cu SP1 erau n jur de 1700 de setri n Group Polices
n Windows 2008 Server a crescut la aproximativ 2400.
n general, sistemele Windows se compun din trei clase de programe: programele
sistemului de baz; programele API (Application Programming Interface) i programele maini
virtuale.
Programele sistemului de baz asigur controlul fiierelor, servicii de comunicare i
control n reea, controlul mainii virtuale, controlul memoriei, controlul implementrii
standardului de interconectare plag&play.[29]
Securitatea aplicaiilor cuprinde msurile luate de-a lungul ciclului de via a
aplicaiilor, ceea ce ine de prevenirea lacunelor n politica de securitate a unei cereri sau politica
de baz a
sistemului
(vulnerabiliti)
prin
defecte n
proiectarea,
dezvoltarea,
88
publice implementeaz diferite soluii ale tehnologiilor informaionale pentru a-i eficientiza
procesele de lucru.
n acest context, Curtea de Conturi, ca instituie suprem de audit a rii, este obligat
s-i creeze i s-i menin capacitile corespunztoare n domeniul auditului sistemelor
informaionale. Auditul sistemelor informaionale reprezint o provocare la care aceasta trebuie
s fac fa.
Cu suportul partenerilor strini, al Bncii Mondiale i altor donatori, Curtea de Conturi
face primii pai n acest domeniu.
Auditul tehnologiilor informaionale sau auditul sistemelor informaionale este o
examinare a controalelor n cadrul unei infrastructuri a tehnologiilor informaionale. Auditul
tehnologiilor informaionale este procesul de colectare i de evaluare a probelor de sisteme
informaionale ale organizaiei, a practicilor i operaiilor. Evaluarea probelor obinute determin
dac sistemele informaionale reprezint active sigure, menin integritatea datelor i funcioneaz
adecvat n vederea realizrii scopurilor i obiectivelor organizaiei.
Principalele funcii ale auditului tehnologiilor informaionale snt: 1) de a evalua
eficiena sistemului, n special capacitile organizaiei de a-i proteja activele informaionale,
precum i 2) de a furniza informaia prilor autorizate n modul corespunztor.
Dup iniierea de ctre Curtea de Conturi a auditului-pilot TI la CNAS, pe data de 27
noiembrie 2009, echipa de audit mpreun cu consultanii externi a efectuat o vizit iniial la
CNAS pentru a stabili care component a sistemului informaional ar putea fi subiectul misiunii
de audit TI. n timpul acestei vizite, echipa de audit a fost informat c n anul 2005, n cadrul
Proiectului Managementul n domeniul Proteciei Sociale, finanat de Banca Mondial, a fost
stabilit nvingtorul concursului (Intracom S.A.) pentru designul, dezvoltarea i implementarea
Sistemului Informaional Protecia Social (SPIS).
La CNAS controalele generale TI i cele ale aplicaiei din cadrul Sistemului
Informaional Protecia Social snt bine concepute i ofer garanii suficiente pentru
introducerea i prelucrarea datelor.
Au fost identificate unele neajunsuri n controalele generale i cele ale aplicaiei, dar nu
n msura n care ar putea fi afectat integritatea, disponibilitatea i confidenialitatea datelor.
Aplicarea corect a controalelor, elaborarea i implementarea documentelor strategice aferente
vor asigura minimalizarea riscurilor privind posibilele situaii critice i funcionarea nentrerupt
i corect a sistemului.
A fost discutat i situaia la zi privind implementarea SPIS. La finalul ntlnirii, echipa
de audit mpreun cu consultanii externi i factorii de decizie ai CNAS au determinat domeniul
89
de aplicare a auditului. S-a concluzionat c modulul Colectarea contribuiilor din SPIS poate fi
selectat drept subiectul auditului nostru, din motiv c acesta este implementat pe deplin i este
utilizat numai n sistemul nou.
CNAS, din punct de vedere al infrastructurii informaionaltehnologice, reprezint un
numr mare de obiecte, divizate teritorial. Reele locale exist la 42 de obiecte (Oficiul central al
CNAS i 41 de Case teritoriale ale acesteia). Interaciunea Caselor teritoriale cu Oficiul central
este realizat prin conexiune VPN. Casele introduc n regim on-line n baza de date SPIS date
din rapoartele colectate de la ageni economici i persoane asigurate.
CNAS utilizeaz att Sistemul Informaional Protecia Social (SPIS) nou, ct i altele,
elaborate anterior ntru realizarea business-proceselor sale.
SPIS constituie elementul central al sistemului de asigurri sociale.
Obiectivul principal al SPIS este de a stabili i de a menine sistemul de contribuii, de
atribuire i plat a pensiilor, compensaiilor i altor pli pentru persoanele asigurate, de a asigura
respectarea legislaiei privind asigurrile sociale i de a mbunti sistemul de asigurri sociale.
Suplimentar, acesta are ca funcie prezentarea propunerilor privind bugetul asigurrilor
sociale de stat i formarea rapoartelor cu privire la executarea bugetului.
SPIS a fost dezvoltat pentru a integra toate bazele de date gestionate de ctre CNAS
ntr-un sistem, asigurnd excluderea dublrii datelor i implementarea business-proceselor
optimizate, pentru o gestionare eficient i raportare rapid.
SPIS are urmtoarele subsisteme:
1. Sistemul de Aplicaii al Proteciei Sociale (SPAS);
2. Sistemul Informaional de Management (MIS);
3. Sistemul de Management Financiar (FMS).
Sistemul de Aplicaii al Proteciei Sociale (SPAS) este conceput pentru a oferi sprijin
business-proceselor CNAS, i anume: colectarea contribuiilor; evaluarea i achitarea pensiilor,
beneficiilor i plilor compensatorii i nregistrarea cheltuielilor legate de plile pensiilor;
raportarea la CNAS; raportarea la IFPS; bilete de tratament.
Sistemul Informaional de Management (MIS) este conceput pentru a sprijini
managementul sistemului de asigurri sociale n Republica Moldova n cadrul procesului
bugetar, inclusiv elaborarea sistemelor de gestiune a eficienei generale a activitii organizaiei
i dirijarea utilizrii lor; elaborarea planului strategic i controlul ndeplinirii i corectrii
planurilor. Sistemul respectiv a fost proiectat i este implementat la CNAS ncepnd cu anul 2005
pn n prezent, pe cnd, conform prevederilor contractuale, acesta urma s fie implementat n
90
91
n cadrul CNAS a fost lansat un nou seriviciu - Serviciul de raportare electronic este
implementat la Casa Naional de Asigurri Sociale (CNAS) cu ncepere de la 1 ianuarie 2012.
Agenii economici pot prezenta drile de seam prin intermediul portalului www.raportare.md.
De menionat c, pe parcursul unui an la CNAS sunt prezentate circa 1 mln. de declaraii.
Avantajele noii modaliti de raportare sunt evidente i anume: operativitatea procesrii
informaiei, excluderea erorilor i funcionarea on-line a programului. Serviciul electronic
simplific considerabil lucrul agenilor economici i i scutete de pierderea timpului.
Prin intermediul sistemului e-CNAS, angajatorii din RM pot prezenta n format
electronic declaraiile Rev 5 pentru angajaii si concomitent cu declaraiile privind calcularea i
utilizarea contribuiilor de asigurri sociale de stat obligatorii, forma 4-BASS. Avantajele eCNAS sun urmtoarele: eliminarea deplasrilor la Casele Teritoriale de Asigurri Sociale i
economisirea timpului de ateptare la ghiee, depistarea automat a divergenelor dintre datele
din declaraiile Rev 5 i Forma 4-BASS, greelilor din datele personale ale angajailor i
excluderea necesitii de tiprire a documentelor pe suport de hrtie.
Raportarea electronic la CNAS poate fi efectuat att prin intermediul mijloacelor de
protecie criptografic a informaiei, eliberate de
este
strns
legat
de
posibilitile
92
93
CONCLUZII I RECOMANDRI
Securitatea informatic a devenit una din compenentele majore ale internetului.
Analitii acestui concept au sesizat o contradicie ntre nevoia de comunicaii i conectivitate, pe
de o parte, i necesitatea asigurrii confidenialitii, integritii i autenticitii informaiilor, pe
de alt parte. Domeniul relativ nou al securitii informatice caut soluii tehnice pentru
rezolvarea acestei contradicii aparente. Viteza i eficiena comunicaiilor instantanee de
documente i mesaje confer numeroase atuuri actului decizional ntr-o societate modern,
bazat pe economie concurentia. ns utilizarea serviciilor de pot electronic, web, transfer
de fonduri etc. se bazeaz pe un sentiment, adeseori fals, de securitate a comunicaiilor, care
poate transforma potenialele ctiguri generate de accesul rapid la informaii, n pierderi majore,
cauzate de furtul de date sau de nserarea de date false ori denaturate.
n loc de a ne focaliza numai pe un anumit tip de securitate, este important s nelegem
c o soluie complet de securitate a informaiilor este necesar instituiei pentru ai proteja
datele i resursele informatice. Aceast soluie trebuie s includ autentificare i autorizare,
confidenialitatea datelor i securitatea perimetrului.
Studierea materialelor i practicii de pn acum din domeniul securitii informaiei
arat c metodele tehnice i programul de aplicare a principiilor securitii informaionale sunt
bine documentate i este foarte greu de ales vre-un domeniu unde aceste metode nu sunt
subiectul unei cri sau articol.
Necesitatea pentru instruirea adecvat a angajailor n domeniul securitii
informaionale a fost recunoscut nu cu mult timp n urm. n majoritatea organizaiilor din
Statele Unite ale Americii aceast instruire a devenit obligatorie. n orice caz n urma analizei
informaiei din cadrul ntreprinderilor din Moldova i unor organizaii din strintate instruirea
nu este privit ca o prioritate de majoritatea angajatorilor, dar i angajailor.
Cu toate acestea, majoritatea literaturii publicate este concentrat la descrierea
domeniilor tehnice a securitii informaionale i foarte puine materiale analizeaz acest
domeniu din punct de vedere al instruirii personalului n domeniul securitii informaionale i
crearea culturii securitii informaionale n cadrul unei organizaii.
Problemele ce influeneaz personalul CNAS s nu reacioneze adecvat la instruirea n
domeniul securitii informaionale:
-
(calculatoarelor).
Rezistena pe care o opun angajaii este un fenomen cunoscut, dar n domeniul
securitii informaionale situaia este i mai grav din cauza nenelegerii de ctre utilizatori de
ce sunt necesare aceste modificri n domeniu. Adiional, elementele de control pot fi cteodat
"greoaie" i impun un anumit lucru de rutin i activiti n plus. Dac angajaii nu sunt convini
de necesitatea acestor pai, ei vor ignora paii i iniiativele managementului de vrf.
Securitatea informaiei nu trebuie tratat doar din punct de vedere tehnic, ea trebuie
inclus n managementul CNAS. Securitatea informaiei poate fi pus la ncercare de virui,
acces neautorizat, procesarea neadecvat de ctre angajaii CNAS (aa-numitele erori umane),
defeciuni sau dezastre naturale ce au ca rezultat oprirea sau defectarea echipamentelor IT.
Pstrarea datelor a devenit o problem tot mai important att datorit faptului c se manipuleaz
un volum tot mai mare de date, dar i modului de accesare al acestor informaii care trebuie s fie
rapid, eficient, optim din punct de vedere al raportului timp accesare/valoare informaie. Nu n
ultimul rnd, datele stocate trebuie s fie protejate astfel nct s se asigure o securitate adecvat
n ceea ce privete persoanele care au acces la ele, dar i din punct de vedere al concordanei cu
legislaia privind securitatea i protecia informaiilor i datelor cu caracter personal.
n urma evalurii riscurilor de securitate a informaiei n cadrul CNAS i studierii
politicii de securitate putem recomanda urmtoarele aciuni:
1. Instruirea regulat a angajailor tuturor subdiviziunilor structurale ale CNAS privind
securitatea informaional ntru crearea culturii securitii informaionale. Fiecare trebuie s tie
s recunoasc un mesaj de tip phishing, s tie cum s trateze ataamentele care vin n e-mail-uri,
s le scaneze i, foarte important, s raporteze departamentului de IT orice incident sau situaie
care li s-a prut suspect. Folosirea de parole diferite pentru conturi diferite. Evitarea conectrii
la conturi personale folosind resursele CNAS. Evitarea publicrii pe conturile personale din
diferite reele de socializare a informaiilor ce privesc compania angajatoare;
2. nregistrarea CNAS i a Sistemelor Informaionale, care opereaz cu date cu caracter
personal, utilizate de Casa Naional de Asigurri Sociale la Centrul de Protecie a Datelor cu
Caracter Personal;
95
96
BIBLIOGRAFIE
Legi i acte normative ale Republicii Moldova
1.
Legea privind protecia datelor cu caracter personal nr. 133 din 08.07.2011 // Monitorul
Oficial nr. 170-175 din 14.10.2011;
2.
Legea privind accesul la informaie nr. 982-XIV din 11.05.2000 // Monitorul Oficial nr. 8890 din 28.07.2000 cu modificrile ulterioare;
3.
4.
5.
Legea pentru aprobarea Concepiei securitii naionale a Republicii Moldova nr. 112 din
22.05.2008 // Monitorul Oficial nr. 97-98 din 03.06.2008;
6.
Legea privind organele securitii statului nr. 619 din 31.10.1995 // Monitorul Oficial nr. 1011 din 13.02.1997 cu modificrile ulterioare;
7.
Legea cu privire la informatic nr. 1069 din 22.06.2000 // Monitorul Oficial nr. 073 din
05.07.2001 cu modificrile ulterioare;
8.
9.
"Registrul
resurselor
sistemelor
informaionale
de
stat"
nr.
1032 din 06.09.2006 // Monitorul Oficial nr. 150-152 din 22.09.2006 cu modificrile
ulterioare;
11. Hotrrea Guvernului privind aprobarea Cerinelor fa de asigurarea securitii datelor cu
caracter personal la prelucrarea acestora n cadrul sistemelor informaionale de date cu
caracter personal nr. 1123 din 14.12.2010 // Monitorul Oficial nr. 254-256 din 24.12.2010;
12. Hotrrea Guvernului privind aprobarea Regulamentului Registrului de eviden a
operatorilor de date cu caracter personal nr. 296 din 15.05.2012 // Monitorul Oficial nr. 99102 din 25.05.2012;
97
13. Hotrrea
Guvernului cu
privire
la
aprobarea
Programului
privind
Cadrul
de
Interoperabilitate nr. 656 din 05.09.2012 // Monitorul Oficial nr. 186-189 din 07.09.2012;
14. Hotrrea Guvernului privind Registrul resurselor i sistemelor informaionale de stat nr.
1008 din 28.12.2012 // Monitorul Oficial nr. 1-5 din 04.01.2013;
15. Hotrrea Guvernului cu privire la Strategia Naional de dezvoltare a societii
informaionale Moldova Digital 2020 nr. 857 din 31.10.2013 // Monitorul Oficial nr.
252-257 din 08.11.2013;
Cadrul juridic CNAS
16. Regulament privind modul de prezentare a declaraiilor n form electronic ctre CNAS,
aprobat prin Ordinul CNAS nr. 263-A din 07 noiembrie 2013;
17. Regulament cu privire la nregistrarea utilizatorilor n sistemul informaional ACCES CPAS,
aprobat prin Ordinul CNAS nr.279-A din 10.12.2012;
18. Regulament privind accesul utilizatorilor la resursele informaionale a CNAS, aprobat prin
ordinul Preedintelui CNAS Nr. 123A din 28.03.2008;
19. Instruciune privind conectarea i exploatarea reelei interne de acces comun n CTAS,
aprobat prin Ordinul Preedintelui CNAS Nr. 287- din 12.07. 2010;
20. Instruciune privind organizarea proteciei cu parol a sistemului informaional CNAS,
aprobat prin ordinul Preedintelui CNAS Nr.16-A de la 20.01.2010;
21. Instruciunea utilizatorului privind asigurarea proteciei antivirale, aprobat prin ordinul
Preedintelui CNAS 459- din 21.12.2009;
22. Politica Securitii Informaionale CNAS, aprobat prin decizia Consiliului de Administraie
CNAS nr.6/8 din 21.11.2008;
23. Dispoziia Preedintelui CNAS cu privire la protecia datelor cu caracter personal nr. 14 din
05.09.2012;
Manuale, monografii, cri, brouri i articole
24. Andress M., Surviving Security, SAMS, 2001;
25. Auerbach Publications, Information Security Management Handbook, Fifth edition, 2005, p
989;
26. Bragg R., Windows 2000 Security, New Riders, 2001;
27. Buraga C., Reele de calculatoare - Introducere n securitate, Universitatea A. I. Cuza Iasi,
2007;
98
28. Ciampa M.D., Security +Guida To Networking Security Fundamentals, Editura Cengage
Learning, 2004, 600 p.;
29. Georgescu I., Sisteme de operare, Editura Arves, Craiova, 2006;
30. Guzun M., Cojocaru I., Ionescu R. Sistemul de management al securitii inormaionale
ISO/IEC 27001:2013. Algoritmul de implementare. VIII International Conference on
Microelectronics and Computer Science, Chiinu, October 22-25, 2014. Chiinu, 2014, p. 362
365;
31. Habracken J., Reele de calculatoare pentru nceptori, Editura ALL;
32. Hallberg B., Reele de calculatoare. Ghidul nceptorului, Rosetti Educaional, Bucureti,
2006, 456 p.;
33. Held, G., .a., Arhitecturi de securitate, Editura Teora, 2003;
34. Hontanon R.J., Securitatea reelelor, Editura Teora, 2003;
35. Hsiao S.B., Stemp R., Advanced Computer Security, CS 4602, Monterey, California, 2006;
36. Ionescu D., Retele de calculatoare, Editura All, Alba Iulia. 2007;
37. Mihai I.C., Securitatea informaiilor, Editura Sitech, 2012, 317 p.;
38. Mihai I.C., Securitatea sistemului informatic, Editura Dunrea de Jos, 2007;
39. Mihai I.C., Managementul riscului de securitate n sistemele informatice, Revista de
investigare a criminalitii, nr 2, 2012, ISSN 1844-7945;
40. Mircea F. V., Tehnologii de securitate alternative pentru aplicaii n reea, Universitatea
Tehnic din Cluj Napoca, 2009;
41. Northcutt S., .a., Network Intrusion Detection: An Analyst's Handbook, 2nd Edition. New
Riders, 2000;
42. Oprea D., Protecia i securitatea informaiilor, Editura Polirom, 2007, 448 p.;
43. Peltier T.R., Information Security Risk Analysis, Editura Taylor & Francis Ltd, 2005, 360 p.;
44. Patriciu, V. V., .a., Semnturi electronice i securitate informatic, Editura All, 2006;
45. Rhodes-Ousley, M., Bragg, R., Strassberg, K., Network security: The complete reference,
McGraw-Hill, 2003;
46. Sarcinschi A., Vulnerabilitate, risc, ameninare. Securitatea ca reprezentare psihosocial,
Editura Militar, 2009;
47. Stamp M., Information Security, Editura John Wiley And Sons Ltd, 2005, 416 p.;
48. Tanenbaum, A.S., Computer Networks, 4th edition, Prentice-Hall, New Jersey, 2003;
49. Udroiu, M., .a., Securitatea informaiilor n societatea informaional, Editura
Universitar, 2010, 402 p.;
50. Zwicky, E., .a., Building Internet Firewalls, 2nd Edition. O'Reilly & Associates, 2000;
99
Resurse internet
51. Banu C., Responsabilitatea securitii informaiilor, http://www.datasecurity.ro
(vizitat
24.11.2014);
52. Asigurarea
securitii
informaionale,
http://www.sis.md/ro/asigurarea-securitatii-
informaionale
informatice
economice,
http://security.ase.md
de
Telecomunicaii
Speciale,
Scannere
de
vulnerabiliti,
Security
Officers
Manual,
RUSecure,
http://www.computer-security-
resurse
pentru
securitatea
informaional,
activiti
de
management
al
securitii
informaionale,
Scanners,
http://www.securitywizardry.com/index.php/products/scanning-
tehnic
de
securitate,
Microsoft
Baseline
Security
Analyzer,
de
calculator,
Instrumente
Vulnerability
Scanner,
informaii
multiple
http://www.criminalitatea-informatica.ro/ (vizitat
27.11.2014);
65. NIST Issues New Revision of Guide to Assessing Information Security Safeguards,
http://www.nist.gov/itl/csd/sp8000-53a-121614.cfm (vizitat 27.11.2014);
66. Informaii multiple, http://ro.wikipedia.org (vizitat 27.11.2014);
100
Open
Vulnerabilty
Assesment
System,
http://wald.intevation.org/
Trusted
Introducer,
https://www.trusted-introducer.org/services/overview/
M.,
Securitatea
IT
provocare
de
maxim
actualitate,
101
Alte surse
88. ISO 13335-1, Managementul securitii informaiilor i tehnologiei comunicaiilor, Partea I:
Concepte i modele pentru managementul securitii informaiilor i tehnologiei
comunicaiilor, 2004;
89. ISO 27001:2005, Sistemul de management al securitii informaiilor Cerine;
90. ISO 27002:2005, Codul de practic al managementului securitii informaiilor;
91. ISO 27001:2013, Sistem de management al securitii informaiei: specificaii i ghid de
utilizare;
92. ISO/IEC 27007:2011,
auditarea SMSI;
93. ISO/IEC 27000:2014, Tehnologia informaiei Tehnici de securitate Sisteme de
management al securitii informaiei Descriere general i vocabular;
94. ISO/IEC 27002:2013, Tehnologia informaiei Tehnici de securitate Cod de practici
pentru controalele de securitate;
95. ISO/IEC 27003:2010, Tehnologia informaiei Tehnici de securitate Ghid pentru
implementarea SMSI;
96. ISO/IEC 27004:2009, Tehnologia informaiei Tehnici de securitate Sisteme de
management al securitii informaiei Msurri;
97. ISO/IEC 27005:2011, Tehnologia informaiei Tehnici de securitate Managementul
riscurilor de securitate a informaiei;
98. ISO/IEC 27006:2011, Tehnologia informaiei Tehnici de securitate Cerine pentru
organismele care efectueas auditul i certificarea SMSI;
99. ISO/IEC 27007:2011, Tehnologia Informaiei Tehnici de securitate Ghid pentru auditarea
SMSI.
102
ANEXE
Anexa 1
103
1.2.
1.4.
1.5.
1.6.
2.2.
2.3.
obligaiilor Direciei.
3.3.
Asigurri Sociale privind problemele ce apar n procesul utilizrii sistemului informaional creat.
5. Elaborarea caietelor de sarcini pentru elaborarea, modificarea, procurarea sistemelor
informaionale
5.1.
105
baze de date.
-
sociale a populaiei.
-
Direciei.
-
mputernicirile:
S primeasc n ordinea cuvenit consultaiile specialitilor de la Direcia General
elaborarea i dezvoltarea sistemelor informaionale.
S primeasc din subdiviziunile structurale ale Casei Naionale de Asigurri Sociale i
Direcia general informaia i consultaia necesar pentru exercitarea funciilor sale.
S participe la seminare si conferine.
Cui i raporteaz titularul funciei Programatorul principal din cadrul Direciei elaborarea
sistemelor aplicative i raporteaz efului Direciei elaborarea sistemelor aplicative.
Pe cine substituie: Programatorul principal din cadrul Direciei poate s substituie, n caz de
necesitate, de un alt programator principal din cadrul Direciei.
Cine l substituie: Programator principal din cadrul Direciei poate fi substituit, n caz de
necesitate, de un alt programator principal din Direcie.
Cooperarea intern:
- Cu colaboratorii Direciei elaborarea sistemelor aplicative.
- Cu colaboratorii subdiviziunilor Casei Naionale de Asigurri Sociale.
- Cu colaboratorii Caselor teritoriale de asigurri sociale.
Mijloacele de lucru/echipamentul utilizat:
- computer, imprimant, telefon, fax.
- Internet.
- Manuale, materiale metodologice i informative n domeniul tehnologii informaionale.
- Pres periodic din domeniu.
Condiiile de munc:
- Regim de munc: 40 ore pe sptmn, 8 ore pe zi.
- Program de munc: luni-vineri, orele 8.00-17.00, pauza de mas 12.00-13.00.
106
107
APROBAT
_____________
Maria BORTA,
Preedinte al Casei Naionale
de Asigurri Sociale
L.. _____ ______________ 201_
FIA POSTULUI
Capitolul I.
Dispoziii generale
Autoritatea public: Casa Naional de Asigurri Sociale.
Compartimentul: Direcia general elaborarea i dezvoltarea sistemelor informaionale (n
continuare Direcia general), Secia e-Transformare (n continuare Secia).
Adresa: mun. Chiinu, str. Gh. Tudor, 3
Denumirea funciei: Specialist principal
Nivelul funciei: Funcie public de execuie
Nivelul de salarizare: Conform prevederilor Legii nr.48 din 22 martie 2012 .
Capitolul II.
Descrierea funciei
Scopul general al funciei: Contribuirea la perfecionarea proceselor de activitate ale Casei
Naionale de Asigurri Sociale prin elaborarea i analiza cerinelor business n susinerea i
dezvoltarea sistemelor informaionale n domeniul drepturilor sociale.
Sarcinile de baz:
1. Planificarea resurselor, investiiilor i achiziiilor TI n vederea realizrii procesului eTransformare a CNAS.
2. Asigurarea meninerea arhitecturii infrastructurii informaionale i tehnologice.
3. Asigurarea securitii informaiei i a infrastructurii TI.
4. Gestionarea tehnologic i evaluarea resurselor TI.
Atribuiile de serviciu:
1. Planificarea resurselor, investiiilor i achiziiilor TI n vederea realizrii procesului eTransformare a CNAS:
1.1.
1.2.
1.3.
1.4.
1.5.
planului de achiziie.
1.6.
3.2.
3.3.
3.4.
3.5.
4.3.
4.5.
software).
4.6.
4.7.
4.8.
conducerea ierarhic.
- Particip la activitile de instruire (conferine, seminare, cursuri de instruire, etc.) organizate
n Casa Naional de Asigurri Sociale.
- Decide asupra participrii colaboratorilor Direciei la activitile de instruire profesional.
- Solicit de la conducerea Direciei generale i Direciei informaia i materialele necesare
pentru ndeplinirea Regulamentului Seciei i atribuiilor sale de serviciu.
- Solicit din subdiviziunile structurale ale Casei Naionale de Asigurri Sociale informaia i
consultaia necesar pentru exercitarea funciilor sale, cu acordul conducerii Direciei.
Cui i raporteaz titularul funciei: Specialistul principal din cadrul Seciei i raporteaz
efului Seciei e-Tranformare.
Pe cine l substituie: Specialistul principal al Seciei poate substitui pe un alt specialist principal
n cazul absenei temporare acestuia din Seciei e-Tranformare.
Cine l substituie: Specialistul principal al Seciei e-Tranformare poate fi substituit, n caz de
necesitate, de un alt specialist principal din Seciei.
Cooperarea intern:
- Cu colaboratorii Direciei generale elaborarea i dezvoltarea sistemelor informaionale.
- Cu colaboratorii subdiviziunilor Casei Naionale de Asigurri Sociale.
Cooperarea extern:
110
ntocmit de:
Nume, prenume _____________________Ivan Cucia____________
Funcia public de conducere __________ef Direcie General__________
Semntura ______________________________________________________
Data ntocmirii ___________________________________________________
Vizat de:
Nume, prenume ______________________Angela Botnariuc______________
Serviciul resurse umane/funcia public ______ef Direcie________________
Semntura ______________________________________________________
Data __________________________________________________________
Luat la cunotin de ctre titularul funciei:
Nume, prenume __________________________________________________
Semntura ______________________________________________________
Data ___________________________________________________________
112
APROBAT
_____________
Maria BORTA,
Preedinte al Casei Naionale
de Asigurri Sociale
L.. _____ ______________ 201_
FIA POSTULUI
Capitolul I.
Dispoziii generale
Autoritatea public: Casa Naional de Asigurri Sociale
Compartimentul: Direcia general elaborarea i dezvoltarea sistemelor informaionale (n
continuare Direcia general), Direcia analiza de sistem i metodologie de dezvoltare sistemelor
informaionale (n continuare Direcia).
Adresa: mun. Chiinu, str. Gh. Tudor, 3
Denumirea funciei: Specialist superior
Nivelul funciei: Funcie public de execuie
Nivelul de salarizare: Conform prevederilor Legii nr.48 din 22 martie 2012.
Capitolul II.
Descrierea funciei
Scopul general al funciei: Contribuie la procesul de planificare i analiz a eficacitii
tehnologiilor informaionale n sistemele informaionale ale Casei Naionale
de Asigurri
realizarea
planificrii,
coordonrii
monitorizrii
tehnologiilor
Participarea
realizarea
planificrii,
coordonrii
monitorizrii
tehnologiilor
Cunotine:
- Cunoaterea legislaiei n domeniu.
- Sistemele Operaionale (WINDOWS), RDBMS (Oracle), limbaje de programare (SQL,
PL/SQL)
- ordinea perfectrii documentaiei tehnice de proiect conform lucrrilor executate.
- documente normative i materiale metodice de elaborare n sistemele automatizat dirijate.
- metodele matematico-economice, aplicarea lor justa, selectarea raional.
- metodele si mijloacele de construire raional a documentelor de maina.
- capacitile tehnico-exploataionale a tehnicii electronice de calcul.
Abiliti: de lucru cu informaia, consultare, instruire, prezentare, comunicare eficient, lucru n
echip.
Atitudini/comportamente: respect fa de oameni, spirit de iniiativ, creativitate, flexibilitate,
disciplin, responsabilitate, tendin spre dezvoltare profesional continu.
ntocmit de:
Nume, prenume _____________________Natalia Netreba_______________
Funcia public de conducere __________ef Direcie____________________
Semntura ______________________________________________________
Data ntocmirii ___________________________________________________
Vizat de:
Nume, prenume ______________________Angela Botnariuc______________
Serviciul resurse umane/funcia public ______ef Direcie________________
Semntura ______________________________________________________
Data __________________________________________________________
Luat la cunotin de ctre titularul funciei:
Nume, prenume __________________________________________________
Semntura ______________________________________________________
Data ___________________________________________________________
116
21 noiembrie 2008
Cu privire la aprobarea
Concepiei securitii informaionale i
Politicii securitii informaionale
a Casei Naionale de Asigurri Sociale
Preedintele Consiliului de
Administraie
Igor DODON
117
Aprobat
prin Decizia Consiliului de Administraie al CNAS
nr. 6/8 din 21 noiembrie 2008
Casa Naional de Asigurri Sociale
Republica Moldova
Politica Securitii Informaionale
Controlul versiunilor
Versiunea
Data
Modificri introduse
1. Generaliti
1.1 Introducere
Politica Securitii Informaionale determin scopurile, obiectivele i direciile
activitilor privind asigurarea securitii informaionale (SI) n cadrul
principale ale
Casei Naionale de
fr excepie, fiind aduse la cunotina acestora i sunt obligatorii pentru execuie. Cerinele
naintate partenerilor CNAS, antreprenorilor i
altor
tere
persoane,
sunt
expuse
Securitate informaional
Sistemul de management al securitii informaionale
Prevenirea
violrii
confidenialitii,
integritii
sau
accesibilitii activelor
4.2 Obiectivele SI
n vederea atingerii scopurilor susmenionate n cadrul procesului de asigurare a securitii
informaionale vor fi soluionate urmtoarele probleme:
1. Implementarea msurilor
organizaionale
direcionate
spre
reglarea administrativ a
3. Estimarea
riscurilor,
asociate
nclcrilor
exigenelor
securitii informaionale,
de
referitor
la
daunele poteniale, care rezult din nclcarea exigenelor SI. Pentru estimarea eficient a
riscurilor, asociate nclcrii cerinelor securitii informaionale, are loc categorisirea tuturor
activelor informaionale n conformitate cu nivelul de importan al acestora. La estimarea
riscurilor SI este luat n calcul starea curent de protejare a fiecrui activ. Metodologia de
estimare a riscurilor este reglementat de documentele normative respective.
6. Asigurarea securitii informaionale
6.1 Msuri organizatorice
Msurile organizatorice au scopul asigurrii administrative a proteciei activelor informaionale
ale CNAS. n cadrul msurilor administrative sunt identificate documentele normative ale
CNAS n sfera securitii informaionale, ca i obligaiunile i responsabilitile colaboratorilor
CNAS n domeniul SI. Sunt documentate din punct de vedere administrativ i legal relaiile cu
colaboratorii, partenerii CNAS, antreprenorii i alte tere persoane. Responsabilitile
subdiviziunilor CNAS privind SI sunt reglementate prin documentele normative respective,
iar activitatea lor este coordonat de ctre conducerea CNAS.
Procedurile de angajare, concediere sau trecerea la un alt post n cadrul CNAS sunt
reglementate de documentele normative respective. Colaboratorii CNAS sunt implicai n
instruirea continu n sfera securitii informaionale.
6.2 Gestiunea activelor
Orice informaie, creat de colaboratorii CNAS n procesul activitii lor sau achiziionat de
ctre CNAS, indiferent de forma de reprezentare, este proprietatea CNAS.
Gestiunea activelor CNAS reprezint baza asigurrii securitii informaionale a acestora.
Protecia activelor informaionale este realizat n conformitate cu categoria de criticitate a
proceselor business ale CNAS. Nivelul de criticitate a unui activ este determinat n conformitate
cu metodica aprobat. Pentru fiecare activ este numit o persoan responsabil. Care poart
responsabilitate personal privind asigurarea securitii.
Regulile de inventariere i clasificare a activelor informaionale ale CNAS sunt stabilite de
documentele normative respective.
6.3 Administrarea accesului
n scopul prentmpinrii accesului nesancionat la activele informaionale ale CNAS sunt
realizate anumite aciuni de administrare a accesului. Drepturile de acces sunt stabilite i
documentate pentru fiecare categorie de utilizatori.
122
ctre
Pentru protecia activelor informaionale ale CNAS sunt utilizate mijloace criptografice de
protecie a informaiei. Regulile de utilizare a mijloacelor criptografice de protecie a
informaiei, inclusiv administrarea cheilor de criptare sunt reglementate de documentele
normative respective.
Toate aciunile utilizatorilor i administratorilor sistemului informaional sunt protocolate i
controlate n scopul evidenierii nclcrilor cerinelor securitii informaionale i prevenirii
incidentelor de securitate.
6.6 Gestiunea ciclului de via a resurselor program
Asigurarea securitii informaionale n timpul procurrii, elaborrii i mentenanei produselor
program are destinaia s garanteze, c funcia proteciei informaiei este parte inalienabil a
acestora i este realizat la toate etapele ciclului de via.
Cerinele privind resursele program din punctul de vedere al securitii informaionale sunt
determinate i documentate.
Elaborarea resurselor program se realizeaz lund n consideraie cerinele procedurilor de
asigurare a securitii datelor procesate.
n cadrul procesului de management al securitii informaionale sunt respectate proceduri
contemporane de instalare a actualizrilor i a pachetelor cu modificri, publicate de
dezvoltatorii resurselor program. Procedurile de instalare i testare a actualizrilor sunt
reglementate de documentele normative respective.
6.7 Gestiunea incidentelor
Procedurile de gestiune a incidentelor securitii informaionale sunt ndeplinite n scopul
nregistrrii operative a evenimentelor SI, eliminarea consecinelor incidentelor SI, ca i
depistrii i eliminrii vulnerabilitilor n securitatea informaional.
Incidentele de securitate sunt cercetate anchetate scurpulos n scopul depistrii cauzelor apariiei
i prevenirea posibilitii repetrii lor.
Procedurile de gestiune a incidentelor de securitate i vulnerabilitate sunt reglementate de
documentele normative respective.
6.8 Mentenana funcionrii continue a sistemului informaional
Obiectivul mentenanei funcionrii continue a sistemului informaional este neutralizarea
eficient a consecinelor incidentelor de securitate pentru activitatea CNAS. Aceasta permite s
se garanteze c procesele business ale CNAS vor fi restabilite ntr-un interval de timp prestabilit
dup cdere.
124
125