Managementul securitii

informaiei
UNIVERSITATEA DIN ORADEA
autor

MASTER AN 2 SSC

CUPRINS

INTRODUCERE....................................................................................................................................3
CLASIFICAREA RISCURILOR...........................................................................................................4
MANAGEMENTUL RISCULUI..........................................................................................................7
1.

Caracterizarea sistemului............................................................................................................7

2.

Identificarea ameninrilor..........................................................................................................8

3.

Identificarea vulnerabilitilor.....................................................................................................9

4.

Analiza controalelor....................................................................................................................9

5.

Determinarea probabilitii de realizare a ameninrilor...........................................................10

6.

Analiza impactului....................................................................................................................10

7.

Determinarea riscului................................................................................................................11

8.

Recomandri asupra unor controale adecvate...........................................................................11

CONCLUZII........................................................................................................................................14
BIBLIOGRAFIE..................................................................................................................................16

INTRODUCERE

Societatea mbrieaz din ce n ce mai mult tehnologia informaiei. Informaia care pn nu

de mult avea la baz hrtia, mbrac acum forma electronic. Informaia pe suport de hrtie mai este
nc rezervat documentelor oficiale, acolo unde este necesar o semntur sau o stampil.
Adoptarea semnturii electronice deschide ns perspective digitizrii complete a documentelor, cel
puin din punct de vedere funcional. Acest nou mod de lucru, n care calculatorul a devenit un
instrument indispensabil i un mijloc de comunicare prin tehnologii precum pota electronic sau
Internetul, atrage dup sine riscuri specifice. O gestiune corespunztoare a documentelor n format
electronic face necesar implementarea unor msuri specifice.
Msurile ar trebui s asigure protecia informaiilor mpotriva pierderii, distrugerii sau divulgrii
neautorizate. Cel mai sensibil aspect este acela de a asigura securitatea informaiei gestionat de
sistemele informatice n noul context tehnologic.
Astfel, managementul securitii sistemelor infromatice se refer la acea parte a managementului
unei companii care are ca scop crearea mecanismelor necesare pentru a asigura gestionarea,
evaluarea i eliminarea riscurilor poteniale n relaie cu disponibilitatea, integritatea i
confidenialitatea informaiilor.
Riscurile utilizrii inadecvate a sistemelor informatice sunt privite din dou puncte de vedere:

utilizarea inadecvat a sistemelor informatice ca o consecin a unor riscuri manifestate;

utilizarea inadecvat a sistemelor informatice ca o cauz generatoare de riscuri.

Scopul asigurrii securitii sistemelor informatice este reprezentat de interesele celor care depind de
sistemele informatice i de daunele care pot rezulta din eecul asigurrii confidenialitii i
integritii informaiilor.

CLASIFICAREA RISCURILOR
Clasificarea riscurilor utilizrii inadecvate a sistemelor informatice:
1. Riscurile de securitate: amenintri interne sau externe rezultate n urma accesului neautorizat
i fraudulos la informaii. Acestea includ scurgeri de date, fraud, virusi dar i atacuri
directionate asupra anumitor tipuri de aplicaii, utilizatori sau informaii.
2. Riscurile de accesibilitate: informaia devine inaccesibil de ctre persoanele cu drept de
utilizare, datorit unor ntreruperi neplanificate ale sistemului. Trebuie avut n vedere de
ctre fiecare organizaie riscul de pierdere sau de corupere a datelor i s asigure toate
mijloacele necesare evitarii acestor riscuri ct i recuperrii datelor n timp util n cazul unui
dezastru.
3. Riscurile legate de performan: informaia devine inaccesibil datorit limitrilor de
performan i scalabilitate ale sistemului. Trebuie luate n considerare toate necesitile
tehnice cantitative i de performan pentru a putea face fa n situaiile de maxim, dar
analiznd atent cerinele de resurse pentru a evita cheltuielile inutile i pentru a minimiza
costul de ntreinere al sistemului informatic.
4. Riscurile de conformitate: nclcarea regulamentelor i/sau a politicilor interne ale
companiei.
5. Managementul riscurilor este procesul de implementare i meninere a mijloacelor de
reducere a efectelor riscurilor la un nivel considerat acceptabil i nepericulos de ctre
managementul companiei. Acest proces impune urmatoarele:

Analiza de risc;

Politicile de securitate;

Schema de securitate ;

Audit tehnic i financiar;

Testarea vulnerabilitilor i accesului neautorizat;

Monitorizarea - detectarea accesului neautorizat prin dispozitive de identificare;

Instalarea i administrarea serviciilor de ncredere.

4

Analiza de risc este componenta cea mai important din cadrul managementului riscurilor.
Aceasta este un proces de evaluare a vulnerabilitilor sistemului informatic i a ameninrilor la care
acesta este sau poate fi expus. n urma acestui proces se identific consecinele probabile ale
riscurilor analizate i ale vulnerabilitilor asociate i se pun bazele ntocmirii unui plan de securitate
care s fie n conformitate cu un raport corespunztor eficien-cost. Realitatea practica impune
abordarea riscului informatic prin prisma a 3 factori: amenintarile privite ca evenimente sau activiti
(n general, din exteriorul sistemului auditat) care pot s afecteze vulnerabilitile existente n orice
sistem cauznd astfel impactul, apreciat a fi o pierdere sau o consecin pe termen scurt, mediu sau
lung suportat de organizaie. Riscul la nivelul unei organizaii nu poate fi eliminat, el va exista
ntotdeauna, managementul societii fiind responsabil de reducerea lui la un nivel acceptabil. n
acest sens, figura de mai jos pune n coresponden diferite elemente ce necesit a fi luate n calcul
pentru reducerea riscului.

n acest context, riscul informatic se poate caracteriza prin urmtoarele elemente :

Ameninrile i vulnerabilitile proceselor sau/i activelor

Impactul asupra activelor bazat pe vulnerabiliti i ameninri
Frecvena de apariie a ameninrilor.

Odat identificate, riscurile trebuie evaluate n funcie de gravitatea efectelor pe care le produc.
n general, riscurile asociate unui sistem informaional, pe care orice auditor trebuie s le analizeze
i evalueze (tehnic frecvent utilizat n acest caz este chestionarul), n vederea aprecierii sistemului
n sine vizeaz:

Riscul securitii fizice ce va fi evaluat n functie de informaiile culese, cu privire la:

existena sistemelor de paz, detectie i alarm a incendiilor, sistemelor de protecie
mpotriva caderilor de tensiune, protecia echipamentelor mpotriva furturilor, protecia
mpotriva catastrofelor naturale (inundaii, cutremure..), protecia fizic a suportilor de
memorare, pstrarea copiilor de siguran ntr-o alta locatie dect cea n care si desfasoar

activitatea organizaia.
Riscul de comunicaie poate lua valene diferite, n funcie de disponibilitatea sistemului la
reeaua public, situaie n care auditorul e necesar s analizeze msurile de securitate
adoptate: existenta unui firewall, modul de configurare a acestuia, analiza modului de
transmitere a datelor prin reeaua public (utilizarea tehnicilor de criptare, existenta unei
reele virtuale private - VPN). Acest risc se poate manifesta i la nivelul unei reele locale,
atunci cnd configurarea acesteia las de dorit i prin ascultarea liniilor de comunicaie,
traficul acesteia poate fi compromis. Confidenilitatea informaiilor nu vizeaz doar

memorarea acestora pe staiile de lucru sau servere, ci i liniile de comunicaie.

Riscul privind integritatea datelor i tranzaciilor vizeaz toate riscurile asociate cu

autorizarea, completitudinea i acurateea acestora.

Riscul de acces se refer la riscul asociat accesului inadecvat la sistem, date sau informaii.
Implicaiile acestui risc sunt majore, el viznd confidenialitatea informaiilor, integritatea
datelor sau bazelor de date i disponibilitatea acestora. n acest sens, aciunile auditorului
presupun o analiza a managementului parolelor la nivelul organizaiei (altfel spus atribuirea
i schimbarea parolelor de acces fac obiectul unei aprobri formale?), o investigare a
ncercrilor de accesare neautorizata a sistemului (exista o jurnalizare a acestora ?), o
analiz a proteciei staiilor de lucru (sunt acestea dotate cu soft care sa blocheze accesul la

reea, atunci cnd utilizatorul nu se afla la staia sa ?).

Riscul privind protecia antivirus ce impune o analiz a existenei programelor n entitate,
utilizarea lor la nivel de server i staii de lucru, upgrade-ul acestor programe (manual sau
automat). Lupta cu viruii este esenial, dar nu uor de realizat. n ciuda numarului mare de
programe antivirus existente este necesar o analiz a caracteristicilor programului privind:
scanarea n timp real a sistemului sau monitorizarea continu a acestuia, scanarea mesajelor

e-mail, scanarea manual.

Riscul legat de documentaia sistemului informatic. Documentaia general a unui sistem
informatic vizeaz pe de o parte documentaia sistemului de operare sau reelei i, pe de alt
parte, documentaia aplicaiilor instalate. Aceast documentaie poate fi diferit pentru
administratori, utilizatori i operatori astfel nct s ajute la instalarea, operarea,
administrarea i utilizarea produsului. Riscurile asociate documentaiei se pot referi la faptul
6

c, aceasta nu reflect realitatea n ceea ce privete sistemul, nu este nteligibil, este

accesibil persoanelor neautorizate, nu este actualizat.

Riscul de personal poate fi analizat prin prisma urmatoarelor criterii: Structura
organizaional la nivelul departamentului IT ce va avea n vedere modul n care sunt
distribuite sarcinile i responsabilitile n cadrul acestuia. Alocarea unui numr prea mare
de responsabiliti la nivelul unei singure persoane sau unui grup de persoane este semnul
unei organizri interne defectuoase. Practica de selecie a angajailor. La baza unui mediu
de control adecvat stau competena i integritatea personalului, ceea ce implica din partea
auditorilor o analiz a politicilor si procedurilor organizaiei privind angajarea,

specializarea, evaluarea performanelor i promovarea angajailor.

Riscul de infrastructur se concretizeaz n faptul ca organizaia nu deine o infrastructura
efectiva a tehnologiei informaiei (hardware, reele, software, oameni i procese) pentru a

susine nevoile acesteia.

Riscul de management al situaiilor neprevzute (risc de disponibilitate) este riscul asociat
pericolelor naturale, dezastrelor, cderilor de sistem care pot conduce la pierderi definitive
ale datelor, aplicaiilor, n absenta unor proceduri de monitorizare a activitii, a planurilor
de refacere n caz de dezastre.

MANAGEMENTUL RISCULUI
Literatura de specialitate definete managementul riscului ca fiind procesul de identificare a
vulnerabilitilor i ameninrilor din cadrul unei organizaii, precum i de elaborare a unor masuri
de minimizare a impactului acestora asupra resurselor informaionale. Demersul metodologic al
acestui proces include urmtoarele etape:
1. Caracterizarea sistemului. La nivelul acestei etape, auditorul va desfura n primul
rnd o activitate de colectare a informaiilor despre sistemul informaional, informaii care
vor viza echipamentele hardware, software, interfeele sistemului, utilizatorii sistemului
informatic, datele i aplicaiile importante, senzitivitatea datelor i sistemului n vederea
aprecierii nivelului de protecie ce este necesar a fi realizat pentru asigurarea integritii,
confidenialitii i disponibilitii datelor. Cele mai utilizate tehnici de investigare pentru
colectarea acestor informaii sunt: chestionarele, interviurile, documentaia sistemului,
utilizarea unor instrumente de scanare automata a sistemului informatic (SATAN este doar un
7

exemplu de astfel de instrument ce permite detectarea vulnerabilitilor unei reele de

calculatoare). Rezultatele acestei etape vor furniza o imagine a mediului informatizat, a
2.

limitelor sistemului informatic analizat.

Identifi carea ameninrilor. Ameninrile sunt acele evenimente sau activiti, n
general externe unui sistem, care pot afecta la un moment dat punctele slabe ale acestuia,
cauznd pierderi semnificative. n general o ameninare este o for potenial care poate
degrada confidenialitatea i integritatea sistemului, genernd adeseori ntreruperi de servicii
ale acestuia. Un element esenial n cadrul acestei etape l reprezint determinarea
probabilitii de realizare a acestei ameninri, element ce trebuie analizat n funcie de:
o sursa ameninrii. natural (cutremure, foc, tornade, etc)
uman (atacuri ntr-o reea, acces neautorizat la date
confideniale) de mediu (cderi de tensiune pe termen lung,
poluare, umiditate)
o - vulnerabilitatea poteniala
o controalele existente.

Cu titlu exemplificativ, tabelul de mai jos releva diferite surse de ameninri umane cu aciunile
generatoare:

3. Identifi carea vulnerabilitilor. Scopul acestei etape este de a dezvolta o lista a

vulnerabilitilor sistemului (lipsuri sau slbiciuni) care pot fi exploatate de surse de
ameninare poteniale. n acest context este necesar o analiza a vulnerabilitilor
ameninrilor pereche exemplificat, ntr-o maniera limitat, n cadrul tabelului ce urmeaz:

Vulnerabilitate
Identificatorul angajailor
concediai nu este eliminat din
sistem
Firewall-ul companiei permite un
acces la sistem prin serviciul
Telnet
Unul din partenerii societii a
identificat slbiciuni in
proiectarea securitii sistemului,
sistemul n sine furnizndu-i
diferite metode de remediere a
acestora (este si exemplul
sistemului de operare Windows
Internet Explorer, care in
momentul detectrii unor
slbiciuni in proiectarea
securitii sistemuluiface
disponibile pentru utilizatori
patch-uri pentru remedierea
slbiciunilor date).
Centrul de prelucrare automat a
datelor folosete pentru stingerea
incendiilor mprtietoare de
ap (ncastrate n tavan) fapt ce
poate afecta n mod negativ
echipamentele hardware.

Sursa ameninrii
Salariai concediai

Aciunea ameninrii
Conectare la reeaua organizaiei
i acceseaz datele acesteia.

Utilizatori neautorizai
(hackeri,teroriti, angajai
concediai)
Utilizatori neautorizai

Utilizarea serviciului Telnet,

permite accesul la fiierele din
sistem.
Obinerea accesului neautorizat la
fiierele sensibile ale sistemului,
bazat pe vulnerabiliti cunoscute.

Foc,persoane neglijente

Declanarea automat a
stingtoarelor de incendii.

4. Analiza controalelor. n vederea minimizrii sau eliminrii riscurilor fiecare

organizaie dispune implementarea unor metode de control tehnice sau nontehnice ce pot
viza:

mecanisme de control al accesului,

mecanisme de identificare i autentificare,
metode de criptare a datelor
software de detectare a intruziunilor
politici de securitate
proceduri operaionale i de personal.

5. Determinarea probabilitii de realizare a ameninrilor . Pentru

determinarea unei rate de probabilitate generala, care indic probabilitatea ca o vulnerabilitate
poteniala s fie exercitat n modelul de ameninri asociate, este necesar ca auditorul s
analizeze urmtorii factori: capacitatea i motivaia sursei de ameninare, natura

vulnerabilitii i.existenta i eficiena controalelor curente. Acest element poate fi apreciat

prin calificativele nalt, Mediu i Sczut, n urmtoarele condiii:
- nalt sursa ameninrii este foarte motivat si suficient de capabil, iar controalele de
prevenire a acestor vulnerabiliti sunt ineficiente.
- Mediu sursa ameninrii este foarte motivat i suficient de capabil, dar controalele
existente pot mpiedica declanarea vulnerabilitii.
-Sczut sursa ameninrii este lipsit de motivaie, sau controalele exist pentru a preveni
sau cel puin a mpiedica semnificativ vulnerabilitatea de a se manifesta.
6.

Analiza impactului. Impactul financiar este definit ca estimarea valoric a pierderilor

entitii ca urmare a exploatrii slbiciunilor sistemului de ctre ameninri. Acest impact
poate avea doua componente: un impact pe termen scurt i un impact pe termen lung. n
esen, impactul este specific fiecrei organizaii, depinde de activele acesteia, de tipul
organizaiei, de msurile de prevenire existente, descrie efectul ameninrii i se poate
manifesta ca o pierdere financiar direct, ca o consecin asupra reputaiei entitii sau ca o
sanciune temporar, cu o ulterioar consecin financiar.

Impactul poate fi exprimat i el prin calificativele nalt, Mediu i Sczut.

7. Determinarea riscului. Modelele de risc, fie ele cantitative sau calitative, reprezint
instrumente deosebit de utile auditorilor IT pentru identificarea diferitelor tipuri de risc,
oferind n acelasi timp informaii pentru a le determina i controla. Literatura de specialitate

10

abordeaza doua modele de analiz a valorii riscului: modelul cantitativ si modelul calitativ;
acestea pornesc de la premisa c orice organizaie se poate astepta la apariia unor pierderi
cauzate de ineficiena unui sistem informatic, iar acest risc al pierderilor, rezult din impactul
pe care l au ameninrile asupra resurselor organizaiei. Determinarea riscului pentru fiecare
pereche vulnerabilitate ameninare particular poate fi exprimat ca o funcie ce depinde de:
- probabilitatea de realizare a unei ameninri,
- marimea impactului,
- masurile de control existente pentru reducerea sau eliminarea riscului.
n acest sens poate fi dezvoltat o matrice a nivelului de risc derivat din multiplicarea
probabilitaii de realizare a ameninrii i impactul acesteia. Spre exemplu, daca
probabilitatea asociata pentru fiecare nivel de realizare a ameninrii este :
1 nalt
2 Mediu
3 Sczut
- valoarea asociat pentru fiecare nivel de impact : 100 nalt 50 Mediu 10 Sczut.
8. Recomandri asupra unor controale adecvate . Scopul acestei etape se
rezum la recomandrile auditorului asupra controalelor necesare a fi implementate pentru
reducerea nivelului de risc la un nivel acceptabil. n mod implicit, auditorul va determina
nivelul riscului rezidual definit ca acel nivel de risc ce ramne dupa analiza i evaluarea
tuturor masurilor de combatere a riscurilor. Riscul rezidual ia forma unei concluzii la care s-a
ajuns n urma unui proces de analiz a lui i trebuie s conin:
- semnalarea punctelor slabe, nevralgice ale sistemului asociate cu ameninrile
corespunztoare i probabilitatea lor de a avea loc;
- toate msurile (recomandrile) ce se impun a fi aplicate dac riscul rezidual nu se
ncadreaz la un nivel acceptabil.

11

Clasificarea informatiilor in functie de importanta lor si deci de nivelul de securitate pe care acestea
il impun. Datele sunt clasificate pe patru nivele si anume: Date publice (informatie neclasificata)
Date interne Date confidential Date secrete (top secret'). In vederea clasificarii datelor nu se are in
vedere doar continutul datelor si informatiilor din sistem ci si o serie de alte aspecte (Care anume?).
In plus, daca un sistem contine date care apartin mai multor niveluri de securitate va trebui clasificat
in functie de cerintele impuse de datele cele mai confidentiale gestionate in sistem. Nevoile de
securitate ale sistemului trebuie sa se concentreze pe disponibilitate, confidentialitate si/sau
integritate.
Cerintelor de securitate recomandate de Orange Book elaborata de American DoD
(Department of Defence) si respectiv European Orange Book (ITSEC), pe cele 4 nivele de securitate
enumerate mai sus:
Clasa 1: Date publice (informatie neclasificata)
- Instalarea de snifere (software sau dispozitiv care captureaza pachetele de date transmise
intr-o retea);
- Scanare antivirus
- Deschiderea de conturi doar persoanelor autorizate, conturile avand in mod obligatoriu
parole de acces.
- Accesul la scriere pentru fisierele de sistem trebuie restrictionat la grupuri de utilizatori sau
masini (calculatoare).
- Software-ul de comunicatie (NFS - Network File System, LanManager, RAS - Remote
Access Service, UUCP1' - Unix-to-Unix Copy,Workgroups) trebuie sa fie corect instalat, cu optiuni
de securitate.
Clasa 2: Date interne Datele interne reprezinta date procesate in sistem in cadrul diferitelor
compartimente functionale pentru care accesul direct, neautorizat trebuie prevenit. Pentru aceasta
categorie de date recomandarile vizeaza urmatoarele mijloace de protectie:
Documentare: testari, elaborarea unei filozofii de securitate, un ghid al utilizatorului cu
caracteristici de securitate (descrierea mecanisme-lor de securitate din punctul de vedere al
utilizatorului, ghid pentru administrarea securitatii).
Siguranta : Arhitectura sistemului: Se verifica daca TCB ruleaza in mod protejat. Trebuie sa existe
functii pentru verificarea integritatii hardware si firmware. Se verifica daca au fost testate cu succes
mecanismele de securitate.

Identificarea si autorizarea utilizatorilor si protejarea informatiei privitoare la autorizari.

12

Calitatea controlului accesului : accesul este controlat intre utilizatori precizati (sau grupuri
de utilizatori) sau obiecte precizate.

Clasa 3: Informatii confidentiale. Datele din aceasta clasa sunt confidentiale in cadrul
organizatiei si protejate fata de accesul extern. Afectarea confidentialitatii acestor date ca urmare a
unui acces neautorizat poate afecta eficienta operationala a organizatiei, poate genera pierderi
financiare si oferi un avantaj competitorilor sau o scadere importanta a increderii clientilor. De data
aceasta integritatea datelor este vitala. Pentru aceasta clasa Orange Book recomanda protejarea
accesului controlatsi securizarea transmisiilor de date :

Protejarea accesului controlat (Controlled Access Protection) presupune:

- Recomandarile precizate pentru clasa 2 de senzitivitate la care se adauga: manualul
caracteristicilor de securitate, identificarea si autorizarea (nu se admite definirea de
conturi la nivel de grup), calitatea controlului accesului (controlul atribuirii de privilegii)
si testarea securitatii.
- Responsabilitatea utilizatorului: utilizatorii au responsabilitatea actiunilor lor. De aceea
trebuie sa existe posibilitatea de audit trail impreuna cu functii de monitorizare si alerta.
Jurnalele de audit (audit logs) trebuie sa fie protejate.
- Reutilizarea obiectelor: Obiectele folosite de o persoana trebuie sa fie reinitializate

inainte de a fi utilizate de o alta persoana.

Securizarea transmisiei de date: in transmiterea de mesaje sau in utilizarea de programe
care comunica intre ele trebuie mentinute confidentialitatea si integritatea.

Clasa 4: Informatie secreta Accesul intern sau extern neautorizat la aceste date este critic.
Integritatea datelor este vitala. Numarul de utilizatori care au drept de accesla aceste date este foarte
limitat si pentru aceste date sunt fixate reguli foarte severe de securitate privind accesul.

Labelled Security Protection (Protejarea prin etichetare):

- Cerinte suplimentare privind identificarea si autentificarea (mentinerea securitatii
informatiilor compartimentului), manualul facilitatilor de incredere , manualul de
proiectare (descrierea modelului de securitate si a mecanismelor) si asigurarea
(arhitectura sistemului: izolarea procesului, verificarea integritatii, testarea securitatii
prin simularea atacurilor de penetrare si auditatea jurnalelor de securitate pe nivele de
obiecte).
- Verificarea specificatiei si a proiectarii : se comporta sistemul in conformitate cu
manualul?
13

- Exportarea informatiei etichetate, exportarea catre device-uri multinivel sau

mononivel.
Accesul controlului pentru obiecte si subiecti asa cum este specificat in TCB nu de catre

useri. (TCB este un protocol destinat trimiterii de mesaje e-mail intre servere)
Securizarea transmisiilor de date (conform cerintelor prezentate intr-un paragraf anterior).

CONCLUZII
Diversitatea domeniilor de utilizare, a tipurilor de sisteme informatice a crescut numrul i
categoriilor de riscuri asociate utilizrii sistemelor informatice. n cadru organizaional acestea pot
proveni att din interiorul instituiei ct i din exteriorul ei.
Factorii de risc se manifest pe toat durata de via a unui sistem informatic. Referindu-ne la
perioada de operare, de utilizare efectiv a sistemului i la riscurile utilizrii necorespunztoare a
sistemelor informatice, atunci cnd factorii declanatori sunt umani, se poate vorbi de intenie. Astfel
utilizarea inadecvat a sistemului informatic se poate face intenionat sau neintenionat. Diversitatea
de utilizatori angajai, consultani, clieni, competitori sau publicul larg i nivelele lor diferite de
cunoatere, instruire i interes reprezint factori care influeneaz utilizarea sistemelor informatice.
Factori importani n utilizarea corespunztoare a sistemelor informatice sunt erorile umane i
comportamentul de risc al utilizatorilor. nelegerea caracteristicilor umane care duc la apariia
erorilor ajut n luarea msurilor pentru reducerea probabilitilor de apariie a erorilor sau
minimizarea impactului erorilor care au loc. Aceste msuri implic n mare msur o atenie sporit
n proiectarea sistemului. Un sistem bine proiectat ar trebui s nu permit realizarea cu uurin a
erorilor. Un rol deosebit n diminuarea erorilor l joac interfaa cu utilizatorul. n proiectarea
interfeei trebuie s se in cont de caracteristicile umane pentru a diminua rata erorilor n operare.
Msurile preventive i de control de baz implic elaborarea de politici de securitate, instruirea i
informarea utilizatorilor, monitorizarea i control activitilor, implementarea de tehnologii
preventive de securitate i cooperare ntre diverse instituii. n ultimii ani, la nivel european i
naional, au fost adoptate o serie de acte normative care cuprind o arie larg din activitile care
implic utilizarea sistemelor informatice. innd cont de ptrunderea sistemelor informatice n
aproape toate domeniile, utilizatorii trebuie s recunoasc faptul c aciunile lor sau neimplicarea lor
ar putea provoca daune altora. Conduita etic este, prin urmare, crucial i participanii ar trebui s

14

depun eforturi pentru a dezvolta i adopta cele mai bune practici i de a promova o conduit care
recunoate i respect nevoile de securitate a intereselor legitime ale altora.

BIBLIOGRAFIE
[1].Iancu, S., (2001), Unele probleme sociale, economice, juridice i etice ale utilizrii
tehnologiei informaiei i comunicaiilor, Bucureti;
[2].OECD, (2002), Guidelines for the Security of Information Systems and Networks,
[3].http://www.oecd.org/dataoecd/16/22/15582260.pdf;
[4].Popa, S., (2007), Securitatea sistemelor informatice, Bucuresti;
[5].Ana Maria Suduc, (2009), Riscuri asociate utilizrii inadecvate a tehnologiilor societii
informaionale, Bucuresti ;
[6].Iosif, G., Marhan, A.M., (2005), Analiza i managementul erorilor n interaciunea omcalculator, Ergonomie cognitiv i interaciune om-calculator, Ed. Matrix Rom, Bucureti;
Revista Informatica Economica, nr.2 (14)/2000, Bucuresti ;
[7].Proiect OpenSSL: http:// www. openssl. org/ ;
15

[8]. http://www.securekit.com/.

16