Documente Academic
Documente Profesional
Documente Cultură
informaiei
UNIVERSITATEA DIN ORADEA
autor
MASTER AN 2 SSC
CUPRINS
INTRODUCERE....................................................................................................................................3
CLASIFICAREA RISCURILOR...........................................................................................................4
MANAGEMENTUL RISCULUI..........................................................................................................7
1.
Caracterizarea sistemului............................................................................................................7
2.
Identificarea ameninrilor..........................................................................................................8
3.
Identificarea vulnerabilitilor.....................................................................................................9
4.
Analiza controalelor....................................................................................................................9
5.
6.
Analiza impactului....................................................................................................................10
7.
Determinarea riscului................................................................................................................11
8.
CONCLUZII........................................................................................................................................14
BIBLIOGRAFIE..................................................................................................................................16
INTRODUCERE
Scopul asigurrii securitii sistemelor informatice este reprezentat de interesele celor care depind de
sistemele informatice i de daunele care pot rezulta din eecul asigurrii confidenialitii i
integritii informaiilor.
CLASIFICAREA RISCURILOR
Clasificarea riscurilor utilizrii inadecvate a sistemelor informatice:
1. Riscurile de securitate: amenintri interne sau externe rezultate n urma accesului neautorizat
i fraudulos la informaii. Acestea includ scurgeri de date, fraud, virusi dar i atacuri
directionate asupra anumitor tipuri de aplicaii, utilizatori sau informaii.
2. Riscurile de accesibilitate: informaia devine inaccesibil de ctre persoanele cu drept de
utilizare, datorit unor ntreruperi neplanificate ale sistemului. Trebuie avut n vedere de
ctre fiecare organizaie riscul de pierdere sau de corupere a datelor i s asigure toate
mijloacele necesare evitarii acestor riscuri ct i recuperrii datelor n timp util n cazul unui
dezastru.
3. Riscurile legate de performan: informaia devine inaccesibil datorit limitrilor de
performan i scalabilitate ale sistemului. Trebuie luate n considerare toate necesitile
tehnice cantitative i de performan pentru a putea face fa n situaiile de maxim, dar
analiznd atent cerinele de resurse pentru a evita cheltuielile inutile i pentru a minimiza
costul de ntreinere al sistemului informatic.
4. Riscurile de conformitate: nclcarea regulamentelor i/sau a politicilor interne ale
companiei.
5. Managementul riscurilor este procesul de implementare i meninere a mijloacelor de
reducere a efectelor riscurilor la un nivel considerat acceptabil i nepericulos de ctre
managementul companiei. Acest proces impune urmatoarele:
Analiza de risc;
Politicile de securitate;
Schema de securitate ;
Analiza de risc este componenta cea mai important din cadrul managementului riscurilor.
Aceasta este un proces de evaluare a vulnerabilitilor sistemului informatic i a ameninrilor la care
acesta este sau poate fi expus. n urma acestui proces se identific consecinele probabile ale
riscurilor analizate i ale vulnerabilitilor asociate i se pun bazele ntocmirii unui plan de securitate
care s fie n conformitate cu un raport corespunztor eficien-cost. Realitatea practica impune
abordarea riscului informatic prin prisma a 3 factori: amenintarile privite ca evenimente sau activiti
(n general, din exteriorul sistemului auditat) care pot s afecteze vulnerabilitile existente n orice
sistem cauznd astfel impactul, apreciat a fi o pierdere sau o consecin pe termen scurt, mediu sau
lung suportat de organizaie. Riscul la nivelul unei organizaii nu poate fi eliminat, el va exista
ntotdeauna, managementul societii fiind responsabil de reducerea lui la un nivel acceptabil. n
acest sens, figura de mai jos pune n coresponden diferite elemente ce necesit a fi luate n calcul
pentru reducerea riscului.
Odat identificate, riscurile trebuie evaluate n funcie de gravitatea efectelor pe care le produc.
n general, riscurile asociate unui sistem informaional, pe care orice auditor trebuie s le analizeze
i evalueze (tehnic frecvent utilizat n acest caz este chestionarul), n vederea aprecierii sistemului
n sine vizeaz:
activitatea organizaia.
Riscul de comunicaie poate lua valene diferite, n funcie de disponibilitatea sistemului la
reeaua public, situaie n care auditorul e necesar s analizeze msurile de securitate
adoptate: existenta unui firewall, modul de configurare a acestuia, analiza modului de
transmitere a datelor prin reeaua public (utilizarea tehnicilor de criptare, existenta unei
reele virtuale private - VPN). Acest risc se poate manifesta i la nivelul unei reele locale,
atunci cnd configurarea acesteia las de dorit i prin ascultarea liniilor de comunicaie,
traficul acesteia poate fi compromis. Confidenilitatea informaiilor nu vizeaz doar
MANAGEMENTUL RISCULUI
Literatura de specialitate definete managementul riscului ca fiind procesul de identificare a
vulnerabilitilor i ameninrilor din cadrul unei organizaii, precum i de elaborare a unor masuri
de minimizare a impactului acestora asupra resurselor informaionale. Demersul metodologic al
acestui proces include urmtoarele etape:
1. Caracterizarea sistemului. La nivelul acestei etape, auditorul va desfura n primul
rnd o activitate de colectare a informaiilor despre sistemul informaional, informaii care
vor viza echipamentele hardware, software, interfeele sistemului, utilizatorii sistemului
informatic, datele i aplicaiile importante, senzitivitatea datelor i sistemului n vederea
aprecierii nivelului de protecie ce este necesar a fi realizat pentru asigurarea integritii,
confidenialitii i disponibilitii datelor. Cele mai utilizate tehnici de investigare pentru
colectarea acestor informaii sunt: chestionarele, interviurile, documentaia sistemului,
utilizarea unor instrumente de scanare automata a sistemului informatic (SATAN este doar un
7
Cu titlu exemplificativ, tabelul de mai jos releva diferite surse de ameninri umane cu aciunile
generatoare:
Vulnerabilitate
Identificatorul angajailor
concediai nu este eliminat din
sistem
Firewall-ul companiei permite un
acces la sistem prin serviciul
Telnet
Unul din partenerii societii a
identificat slbiciuni in
proiectarea securitii sistemului,
sistemul n sine furnizndu-i
diferite metode de remediere a
acestora (este si exemplul
sistemului de operare Windows
Internet Explorer, care in
momentul detectrii unor
slbiciuni in proiectarea
securitii sistemuluiface
disponibile pentru utilizatori
patch-uri pentru remedierea
slbiciunilor date).
Centrul de prelucrare automat a
datelor folosete pentru stingerea
incendiilor mprtietoare de
ap (ncastrate n tavan) fapt ce
poate afecta n mod negativ
echipamentele hardware.
Sursa ameninrii
Salariai concediai
Aciunea ameninrii
Conectare la reeaua organizaiei
i acceseaz datele acesteia.
Utilizatori neautorizai
(hackeri,teroriti, angajai
concediai)
Utilizatori neautorizai
Foc,persoane neglijente
Declanarea automat a
stingtoarelor de incendii.
10
abordeaza doua modele de analiz a valorii riscului: modelul cantitativ si modelul calitativ;
acestea pornesc de la premisa c orice organizaie se poate astepta la apariia unor pierderi
cauzate de ineficiena unui sistem informatic, iar acest risc al pierderilor, rezult din impactul
pe care l au ameninrile asupra resurselor organizaiei. Determinarea riscului pentru fiecare
pereche vulnerabilitate ameninare particular poate fi exprimat ca o funcie ce depinde de:
- probabilitatea de realizare a unei ameninri,
- marimea impactului,
- masurile de control existente pentru reducerea sau eliminarea riscului.
n acest sens poate fi dezvoltat o matrice a nivelului de risc derivat din multiplicarea
probabilitaii de realizare a ameninrii i impactul acesteia. Spre exemplu, daca
probabilitatea asociata pentru fiecare nivel de realizare a ameninrii este :
1 nalt
2 Mediu
3 Sczut
- valoarea asociat pentru fiecare nivel de impact : 100 nalt 50 Mediu 10 Sczut.
8. Recomandri asupra unor controale adecvate . Scopul acestei etape se
rezum la recomandrile auditorului asupra controalelor necesare a fi implementate pentru
reducerea nivelului de risc la un nivel acceptabil. n mod implicit, auditorul va determina
nivelul riscului rezidual definit ca acel nivel de risc ce ramne dupa analiza i evaluarea
tuturor masurilor de combatere a riscurilor. Riscul rezidual ia forma unei concluzii la care s-a
ajuns n urma unui proces de analiz a lui i trebuie s conin:
- semnalarea punctelor slabe, nevralgice ale sistemului asociate cu ameninrile
corespunztoare i probabilitatea lor de a avea loc;
- toate msurile (recomandrile) ce se impun a fi aplicate dac riscul rezidual nu se
ncadreaz la un nivel acceptabil.
11
Clasificarea informatiilor in functie de importanta lor si deci de nivelul de securitate pe care acestea
il impun. Datele sunt clasificate pe patru nivele si anume: Date publice (informatie neclasificata)
Date interne Date confidential Date secrete (top secret'). In vederea clasificarii datelor nu se are in
vedere doar continutul datelor si informatiilor din sistem ci si o serie de alte aspecte (Care anume?).
In plus, daca un sistem contine date care apartin mai multor niveluri de securitate va trebui clasificat
in functie de cerintele impuse de datele cele mai confidentiale gestionate in sistem. Nevoile de
securitate ale sistemului trebuie sa se concentreze pe disponibilitate, confidentialitate si/sau
integritate.
Cerintelor de securitate recomandate de Orange Book elaborata de American DoD
(Department of Defence) si respectiv European Orange Book (ITSEC), pe cele 4 nivele de securitate
enumerate mai sus:
Clasa 1: Date publice (informatie neclasificata)
- Instalarea de snifere (software sau dispozitiv care captureaza pachetele de date transmise
intr-o retea);
- Scanare antivirus
- Deschiderea de conturi doar persoanelor autorizate, conturile avand in mod obligatoriu
parole de acces.
- Accesul la scriere pentru fisierele de sistem trebuie restrictionat la grupuri de utilizatori sau
masini (calculatoare).
- Software-ul de comunicatie (NFS - Network File System, LanManager, RAS - Remote
Access Service, UUCP1' - Unix-to-Unix Copy,Workgroups) trebuie sa fie corect instalat, cu optiuni
de securitate.
Clasa 2: Date interne Datele interne reprezinta date procesate in sistem in cadrul diferitelor
compartimente functionale pentru care accesul direct, neautorizat trebuie prevenit. Pentru aceasta
categorie de date recomandarile vizeaza urmatoarele mijloace de protectie:
Documentare: testari, elaborarea unei filozofii de securitate, un ghid al utilizatorului cu
caracteristici de securitate (descrierea mecanisme-lor de securitate din punctul de vedere al
utilizatorului, ghid pentru administrarea securitatii).
Siguranta : Arhitectura sistemului: Se verifica daca TCB ruleaza in mod protejat. Trebuie sa existe
functii pentru verificarea integritatii hardware si firmware. Se verifica daca au fost testate cu succes
mecanismele de securitate.
12
Calitatea controlului accesului : accesul este controlat intre utilizatori precizati (sau grupuri
de utilizatori) sau obiecte precizate.
Clasa 3: Informatii confidentiale. Datele din aceasta clasa sunt confidentiale in cadrul
organizatiei si protejate fata de accesul extern. Afectarea confidentialitatii acestor date ca urmare a
unui acces neautorizat poate afecta eficienta operationala a organizatiei, poate genera pierderi
financiare si oferi un avantaj competitorilor sau o scadere importanta a increderii clientilor. De data
aceasta integritatea datelor este vitala. Pentru aceasta clasa Orange Book recomanda protejarea
accesului controlatsi securizarea transmisiilor de date :
Clasa 4: Informatie secreta Accesul intern sau extern neautorizat la aceste date este critic.
Integritatea datelor este vitala. Numarul de utilizatori care au drept de accesla aceste date este foarte
limitat si pentru aceste date sunt fixate reguli foarte severe de securitate privind accesul.
mononivel.
Accesul controlului pentru obiecte si subiecti asa cum este specificat in TCB nu de catre
useri. (TCB este un protocol destinat trimiterii de mesaje e-mail intre servere)
Securizarea transmisiilor de date (conform cerintelor prezentate intr-un paragraf anterior).
CONCLUZII
Diversitatea domeniilor de utilizare, a tipurilor de sisteme informatice a crescut numrul i
categoriilor de riscuri asociate utilizrii sistemelor informatice. n cadru organizaional acestea pot
proveni att din interiorul instituiei ct i din exteriorul ei.
Factorii de risc se manifest pe toat durata de via a unui sistem informatic. Referindu-ne la
perioada de operare, de utilizare efectiv a sistemului i la riscurile utilizrii necorespunztoare a
sistemelor informatice, atunci cnd factorii declanatori sunt umani, se poate vorbi de intenie. Astfel
utilizarea inadecvat a sistemului informatic se poate face intenionat sau neintenionat. Diversitatea
de utilizatori angajai, consultani, clieni, competitori sau publicul larg i nivelele lor diferite de
cunoatere, instruire i interes reprezint factori care influeneaz utilizarea sistemelor informatice.
Factori importani n utilizarea corespunztoare a sistemelor informatice sunt erorile umane i
comportamentul de risc al utilizatorilor. nelegerea caracteristicilor umane care duc la apariia
erorilor ajut n luarea msurilor pentru reducerea probabilitilor de apariie a erorilor sau
minimizarea impactului erorilor care au loc. Aceste msuri implic n mare msur o atenie sporit
n proiectarea sistemului. Un sistem bine proiectat ar trebui s nu permit realizarea cu uurin a
erorilor. Un rol deosebit n diminuarea erorilor l joac interfaa cu utilizatorul. n proiectarea
interfeei trebuie s se in cont de caracteristicile umane pentru a diminua rata erorilor n operare.
Msurile preventive i de control de baz implic elaborarea de politici de securitate, instruirea i
informarea utilizatorilor, monitorizarea i control activitilor, implementarea de tehnologii
preventive de securitate i cooperare ntre diverse instituii. n ultimii ani, la nivel european i
naional, au fost adoptate o serie de acte normative care cuprind o arie larg din activitile care
implic utilizarea sistemelor informatice. innd cont de ptrunderea sistemelor informatice n
aproape toate domeniile, utilizatorii trebuie s recunoasc faptul c aciunile lor sau neimplicarea lor
ar putea provoca daune altora. Conduita etic este, prin urmare, crucial i participanii ar trebui s
14
depun eforturi pentru a dezvolta i adopta cele mai bune practici i de a promova o conduit care
recunoate i respect nevoile de securitate a intereselor legitime ale altora.
BIBLIOGRAFIE
[1].Iancu, S., (2001), Unele probleme sociale, economice, juridice i etice ale utilizrii
tehnologiei informaiei i comunicaiilor, Bucureti;
[2].OECD, (2002), Guidelines for the Security of Information Systems and Networks,
[3].http://www.oecd.org/dataoecd/16/22/15582260.pdf;
[4].Popa, S., (2007), Securitatea sistemelor informatice, Bucuresti;
[5].Ana Maria Suduc, (2009), Riscuri asociate utilizrii inadecvate a tehnologiilor societii
informaionale, Bucuresti ;
[6].Iosif, G., Marhan, A.M., (2005), Analiza i managementul erorilor n interaciunea omcalculator, Ergonomie cognitiv i interaciune om-calculator, Ed. Matrix Rom, Bucureti;
Revista Informatica Economica, nr.2 (14)/2000, Bucuresti ;
[7].Proiect OpenSSL: http:// www. openssl. org/ ;
15
[8]. http://www.securekit.com/.
16