PROTECIA I SECURITATEA INFORMAIEI N CADRUL BNCII BRD

Realizator: Isil Paula-Irina Profesor ndrumtor: Valentin Mzreanu

Informaia este o valoare cu o importanta deosebita pentru o persoana fizic sau pentru o organizaie i, n consecin, necesit o protecie adecvat. Securitatea informaiei protejeaz informaia de o gam larg de ameninri. n acest context, securitatea informaiei este caracterizat ca fiind cea care asigur i menine urmtoarele: Confidenialitatea: asigurarea faptului c informaia este accesibil doar persoanelor autorizate; Integritatea: pstrarea acurateei i completitudinii informaiei precum i a metodelor de procesare; Disponibilitatea: asigurarea faptului c utilizatorii autorizai au acces la informaie i la resursele asociate atunci cnd este necesar

DISPONIBILITATE

INFORMAII

CONFINDENIALITATE

INTEGRITATE

Securitatea informaiei este obinut prin implementarea unui set adecvat de politici, practici, proceduri, structuri organizaionale i funcii software. Aceste elemente trebuie implementate n msura n care asigur atingerea obiectivelor specifice de securitate. Acolo unde este vorba despre reea, este i normal s apar conceptul de securitatea a informaiilor, fapt care a fost luat n seam de ctre productori, i implementat sub forma unei parole de rulare a programului sau de conectare spre alt staie prin remote control. Securitatea informaiei reprezint un lucru extrem de important pentru fiecare computer conectat la internet, sau aflat intr-o alt reea de tip intranet, extranet i chiar o reea local.

Asigurarea securitii n sistemele de calcul presupune concentrarea n principal pe asigurarea fizic mpotriva dezastrelor naturale i pe lupta mpotriva atacurilor care vin din partea oamenilor. Atacurile asupra sistemelor de calcul sunt defapt o extrapolare a atacurilor n general. Si de o parte i de alta a baricadei atacat i atacator se afl oameni. Aadar, sistemul informatic primete, prelucreaz i comunic date, fiind o component a unui ansamblu de dispozitive interconectate; datele existente la nivelul sistemului informatic trebuie protejate folosind diverse proceduri software i/sau hardware mpotriva atacurilor interne sau externe sistemului.

Informaii generale
BRD - Groupe Socit Gnrale este a doua banca din Romania, ca dimensiune, cu o cota medie de piata de 20%. Cu o capitalizare de peste 5 miliarde de euro, banca ocupa locul doi n topul companiilor listate la Bursa de Valori Bucuresti.

BRD apartine unuia dintre cele mai importante grupuri bancare din Europa: Grupul Socit Gnrale. Banca are aproximativ 2.300.000 clienti si activeaza pe in principal pe trei piete: persoane fizice si IMM-uri (banca de retail), banca marilor clienti corporate si banca de investitii.

Obiectivul BRD - Groupe Socit Gnrale este sa isi dezvolte intr-o maniera durabila activitatea pe toate cele trei piete. In acest sens, banca duce o politica de crestere durabila, bazata pe o imbunatatire continua a calitatii serviciilor, pe o dezvoltare selectiva a produselor si serviciilor sale si pe o extindere sustinuta a retelei sale de agenii.

Audit de securitate

Un audit de securitate este o valoare sistematic, msurabil i tehnic a modului n care politica de securitate a organizaiei este aplicat la o anumit locaie. Auditorii de securitate lucreaz cu cunotine depline despre organizaie, uneori cu informaii confideniale, n scopul de nelege resursele care trebuiesc auditate.

Auditurile de securitate lucreaz prin interviuri personale, scanri de vulnerabiliti, examinarea setrilor sistemului de operare, analiza shares n reea, loguri, etc. Acetia sunt interesai, n primul rnd, de modul n care politicile de securitate fundamentul oricrei strategii de securitate organizaional eficient sunt de fapt folosite . n continuare am realizat un chestionar de audit pe care l-am aplicat directorului de la banca BRD.

CHESTIONAR DE AUDIT

1. Folosii parole a v proteja informaiile de mare importan n unitate ?

2. A-i imprtit vreodat parolele contului de utilizator deinute pentru aceste informaii cu alte persoane din afara unitii? 3. Exist un proces de a ntrerupe drepturile de acces la informaii pentru angajaii care prsesc compania? 4. Ce fel de controale se aplic pentru a preveni accesul neautorizat la informaii restricionate? 5. Angajaii au acces doar la ce este relevant muncii lor? 6. n incinta unde se afl sistemul exist un sistem de alarm i accesul este autorizat? 7. Sursele de curent protejate? Cum ? 8. Se verific cu regularitate dac exist incercri neautorizate de conectare la sistemul din aceast unitate? 9. Se verific cu regularitate dac exist programe care ruleaz pe sistemul n cauz i care ar putea permite conectarea persoanelor de la distan?

10. Credei c este nevoie n mod regulat de contientizare a importanei securitii informaiilor?

n urma aplicrii acestui chestionar rspunsurile au fost urmtoarele:

La prima ntrebare Folosii parole a v proteja informaiile de mare importan n unitate ? am avut un rspuns pozitiv. n banc un angajat deine mai multe parole pentru a accesa diferite aplicaii. La a doua ntrebare A-i imprtit vreodat parolele contului de utilizator deinute pentru aceste informaii cu alte persoane din afara unitii? directorul mi-a spus c este strict interzis predarea parolei ctre ali utilizatori. Pentru asta se semneaz un contract chiar de la angajare n care se precizeaz c este strict interzis divulgarea de informaii confideniale din cadrul unitii altor utilizatori. La a treia ntrebare Exist un proces de a ntrerupe drepturile de acces la informaii pentru angajaii care prsesc compania? mi s-a spus c n momentul ncetrii contractului de munc sau suspendrii acestuia parolele accesului la informaii se sisteaz automat. La ntrebarea Ce fel de controale se aplic pentru a preveni accesul neautorizat la informaii restricionate? n unitate se aplic controale fizice de catre persoane autorizate i controale non-fizice prin parole, camere de supravegheat, sisteme de alarm, s. a. La ntrebarea cinci Angajaii au acces doar la ce este relevant muncii lor? accesul n aplicaii este n concordan cu atributele din fia postului. Accesul la alte adrese de email sau retele de socializare este stict interzis. Directorul are dreptul sa acceseze adresa de email a unitii sau o persoana care l inlocuiete cnd el nu este disponibil. La ntrebarea ase n incinta unde se afl sistemul exist un sistem de alarm i accesul este autorizat? accesul n unitate se face pe baza unor cartele personalizate de acces i bineneles exist un sistem de alarm pentru a detecta apariia accesul neautorizat n unitate. La ntrebarea apte dac sursele de curent sunt protejate i cum sunt acestea protejate mi s-a spus c sunt protejate pe baza unor acumulatori de energie electric. Aceti acumulatori se numesc ups-uri si sunt surse alternative de curent. n cazul n care apare o pan de curent aceti acumulatori funcioneaz pentru ca angajaii unitii sa ii poat desfura n cele mai bune condiii munca.

ntrebarea cu numrul opt Se verific cu regularitate dac exist ncercri neautorizate de conectare la sistemul din aceast unitate? rspunsul a fost ct se poate de explicit, n cazul n care sunt ncercri neautorizate de conectare la sistem se declaneaz automat alarma. La ntrebarea a noua Se verific cu regularitate dac exist programe care ruleaz pe sistemul n cauz i care ar putea permite conectarea persoanelor de la distan? mi s-a spus c se verific cu regularitate dac ruleaz programe care ar putea permite conectarea persoanelor la distan. Calculatoarele au antivirus instalai pentru eventuali virui care pot s apar. Accesul la aplicaiile se poate permite de la distan doar de persoanele autorizate pe serviciile de internet banking. La ultima ntrebare Credei c este nevoie n mod regulat de contientizare a importanei securitii informaiilor? directorul unitii mi-a spus c este foarte important ca n mod regulat angajaii s fie informai de importana securitii informaiei, mai ales c aceast instituie are un sistem bine pus la punct de control a deoarece lucreaz cu date confindeiale. Controlul operaiunilor din punct de vedere a securitii se face pe mai multe nivele : 1. Autocontrolul ( se face zilnic de ctre fiecare persoan care lucreaz cu date confideniale ) ; 2. Controlul ef - ierarhic ( zilnic prin sondaj operaiune ); 3. Organele de control intern ( lunar prin sondaj operaiune ) 4. Auditul intern ( se face la 1-2 ani prin sondaj sau aciuni de control )

1. Identificarea utilizatorilor cheie din organizaie : Directorul; Consilier persoane fizice; Consilier persoane juridice; Casier; Operator ghieu universal ; Gardian.

2. Identificarea valorilor informaionale din organizaie: Informaii personale clieni; Ordin de plat; Baza de date cu clieni; Baza de date cu firmele care au primit credite; Baza de date cu persoanele fizice care au depozite bancare; Baza de date cu persoanele fizice care au primit credite.

3. Identificarea tehnologiilor hardware din organizaie : Memorie Ram; Scannere; Imprimante; Hard disk.

4. Idenificarea tehnologiilor software din organizaie: - Antivirus ; - Microsoft office; - Sistemul informatic IBANK; - Web site. Pe baza utilizatorilor cheie din organizaie si a valorilor informaionale am realizat o matrice de control al accesului.

MATRICEA CRUD
Subiect/Obiect
Informaii personale clieni Ordin de plat Baz de date cu clieni unitii Baz de date cu firmele care au primit credite Baz de date cu persoanele fizice care au depozite bancare

Baz de date cu persoane fizice care au primit credite R, C, U, D R R, C, U*, D* R R R

Director
Cosilier persoane juridice Consilier persoane fizice

R, U, C, D R, C, U* R, C, U* R R, C R

R, C R, C R, C R R, C R

R, C, U, D R, C, U* R, C, U* R R, C, U*, D* R

R, C, U, D R, C, U*, D* R R R, R

R, C, U, D R R, C, U*, D* R R R

Casier
Operator ghieu universal

Gardian

R- read ;

C- create ; U- update ; D- delete.

Vulnerabiliti n cazul tehnologiilor software Infractorii cibernetici se folosesc adesea de vulnerabilitile pentru care nu au fost lansate patch-uri din software-urile expirate, pentru a ptrunde n infrastructura IT a companiei.Acetiautilizeaz un instrument foarte popular -exploit-urile - pentru a-i atinge scopurile. Exploit-urile sunt elemente care folosesc vulnerabilitile sistemului de operare i ale aplicaiilor pentru a infecta computerele. Aceste exploit-uri sunt utilizate adesea pentru a lansa atacuri asupra companiilor, de aceea soluiile de securitate pentru companii ncearc s le detecteze i s le distrug. O modalitate eficient de a preveni i de a elimina aceste vulnerabiliti ct mai rapid posibil este instalarea de patch-uri pentru software Software-ul ru intenionat este un tip de software proiectat intenionat pentru deteriorarea unui computer sau infiltrarea n el, sau/i deteriorarea ori infiltrarea n ntregi reele de computere, fr consimmntul proprietarului respectiv. Noiunea se utilizeaz generalizat de ctre informaticieni pentru a desemna orice form ostil, intruziv sau suprtoare de software sau cod de program. Alte vulnerabiliti care apar o dat cu instalarea de programe software intr-o organizaie ar mai fi software infecios: virui i viermi informatici care afecteaz fiierele i programele aflate n memorie sau pe disc, inclusiv sistemul de operare sau componente ale acestuia. Cteva dintre efectele pe care le genereaz viruii software: distrugerea unor fiiere; modificarea dimensiunii fiierelor; tergerea total a informailor de pe disc, inclusiv formatarea acestuia; distrugerea tabelei de alocare a fiierelor, care duce la imposibilitatea citirii informaiei de pe disc; diverse efecte grafice/sonore, inofensive sau i duntoare; ncetinirea vitezei de lucru (util) a calculatorului, pn la blocarea acestuia; nmulirea fiierelor pn la umplerea memoriei; ascunderea fiierelor si blocarea anumitor spaii.

n urma aplicrii chestionarul am identificat urmtoarele scenarii de lucru: 1. Toi angajaii ii incep munca la acceiai or i pentru a intra n unitate folosesc cartele de acces personalizate. 2. Exist o persoan angajat care se ocup de buna funcionarea a camerelor de supravegheat , a alarmei i a acumulatorilor de energie electric. 3. Camerele de supravegheat funcioneaz cu regularitate, iar n cazul n care se defecteaz se remediaz problema ct mai repede. 4. Angajaii ii fac foarte bine treaba, ei nu acceseaz adrese de socializare sau intr pe adrese de email personale, doar directorul acceseaz adresa de email a unitii. 5. Directorul acceseaz baza de date cu clieni. Pentru autentificare folosete o parol, dup intr n aplicaia de tipul Microsoft Office Excel. 6. Dup incheierea programul de munc dou persoane parseasc incinta unitii.

Concluzii