INFORMATICA APLICATA

SUPORT DE CURS AN II ( IMA )

FACULTATEA DE ANTREPRENORIAT, INGINERIA SI

MANAGEMENTUL AFACERILOR

Curs 11 : Securitatea sistemelor informatice

11.1. Securitatea informatiei

Securitatea informaiei este un concept mai larg care se refer la asigurarea integritii,
confidenialitii i disponibilitii informaiei.
Totui, n timp ce n domeniul tehnologiilor informaionale schimbarea este exponenial,
componenta uman rmne neschimbat. Asigurarea securitii informaiilor nu se poate realiza
exclusiv prin msuri tehnice, fiind n principal o problem uman .
Obiectivul principal al unui program pentru protecia informaiilor l reprezint asigurarea
ncrederii partenerilor de afaceri, avantajul competitiv, conformitatea cu cerinele legale i
maximizarea investiiilor.
Pentru a putea realiza un program de securitate eficient este nevoie de politici, proceduri,
practici, standarde, descrieri ale sarcinilor i responsabilitilor de serviciu, precum i de o
arhitectur general a securitii
Odat ns cu proliferarea Internetului ca i mijloc important al comunicrii moderne nevoia
unor mecanisme de securitate proactiv a devenit o certitudine. n practic remarcm c multe
instituii apeleaz la soluii tehnice externe care s le rezolve problemele de securitate fr a cuta
s-i identifice nevoile i cerinele specifice.
Securitatea informaiilor nu este doar o problem tehnic. Ea este n primul rnd o problem
managerial.

Standardul de securitate ISO/IEC 17799 rspunde nevoilor organizaiilor de orice tip,

publice sau private, printr-o serie de practici de gestiune a securitii informaiilor.
 Standardul poate fi folosit n funcie de gradul de expunere a fiecrei organizaii n parte,
pentru a contientiza la nivelul conducerii aspectele legate de securitatea informaiei, sau pentru a
crea o cultur organizaional n ceea ce privete securitatea informaiilor, sau pentru a obine
certificarea sistemului de securitate

11.2. Stabilirea cerintelor de securitate

Este important ca fiecare organizaie s poat s-i identifice propriile cerine de securitate.
Pentru aceasta ea trebuie sa fac apel la trei surse principale:
analiza riscurilor;
legislaia existent;
standardele i procedurile interne
Folosind o metodologie corespunztoare pentru a analiza riscurile organizaia i poate
identifica propriile cerine legate de securitate.

Un astfel de proces presupune n general patru etape principale:

identificare activelor care trebuie protejate;

identificarea riscurilor/ameninrilor specifice fiecrui activ;

ierarhizarea riscurilor;

identificarea controalelor prin care vor fi eliminate/diminuate riscurile

Un mecanism de control nu trebuie s coste organizaia mai mult dect bunul ce trebuie
protejat. Scopul standardului ISO/IEC 17799 stabilete rolul acestui document ca fiind un ghid
pentru domeniul securitii informaionale.
 11.3. Organizarea securitatii

Organizarea securitii are ca obiectiv asigurarea unei administrri unitare n cadrul

organizaiei.

Fiecare utilizator al sistemului informaional este responsabil cu asigurarea securitii

datelor pe care le manipuleaz.

Existena unei structuri organizatorice unitare care s iniieze i s controleze

implementarea mecanismelor de securitate n cadrul organizaiei, presupune un punct central de
coordonare responsabil cu securitatea
Msurile de protecie sunt proiectate n funcie de gradul de senzitivitate, i de semnificaia
economic a resurselor vizate.
Perimetrele n care sunt amplasate echipamentele de procesare, vor fi protejate cu bariere de
acces suplimentare.
La fel i telecomunicaiile cu un nivel ridicat de confidenialitate ar trebui criptate.
Pentru a avea totui o abordare coerent asupra msurilor specifice de protecie, n funcie
de gradul de senzitivitate al fiecrei resurse n parte se practic o clasificare a informaiilor.
Standardul ISO/IEC 17799 trateaz riscurile de natur uman ce pot fi induse din interiorul
organizaiei prin msuri specifice precum includerea responsabilitilor legate de securitatea
informaiilor n descrierea i sarcinile de serviciu ale postului, implementarea unor politici de
verificare a angajailor, ncheierea unor acorduri de confidenialitate i prin clauze specifice n
contractele de munc.

11.4. Managementul comunicaiilor i al operrii

Operarea calculatoarelor trebuie s asigure funcionarea fr riscuri i n bune condiii a

resurselor organizaiei. Aceast funcie vizeaz att echipamentele i aplicaiile software, ct i
celelalte elemente necesare procesrii informaiei i susinerii funciilor de afacere.

Practicile de control recomandate pentru asigurarea operrii de o manier corect i sigur,

constau n documentarea procedurilor de operare, controlul modificrilor aduse sistemului
informatic, att la nivel hardware ct i software, formalizarea tratrii incidentelor de securitate i
separarea responsabilitilor
 Planificarea capacitii sistemului este un alt obiectiv al operrii calculatoarelor care are ca
obiectiv minimizarea riscurilor ntreruperii sistemului ca urmare a atingerii capacitii maxime de
procesare.

Asigurarea unei capaciti corespunztoare de procesare implic o planificare riguroas a

activitilor sprijinite de sistemul informaional.

Trebuie dezvoltate proceduri i mecanisme de raportare care s identifice utilizarea

necorespunztoare a resurselor precum i perioadele de utilizare.

Protecia mpotriva software-ului maliios este un aspect important ntruct cea mai mare
ameninare a activelor informatice este dat de pierderea sau indisponibilitatea datelor ca urmare a
infestrii cu virui informatici.
n toate sondajele, viruii se afl printre primele locuri ca surs a incidentelor de securitate.

Milioane de virui informatici sunt raportai anual.

Protecia mpotriva viruilor nu o asigur doar administratorul sistemului, ci i utilizatorul.
Asigurarea integritii datelor i a aplicaiilor software necesit msuri de protecie prin care
s se previn i s se detecteze introducerea unor aplicaii ilegale n sistemul organizaiei.
Alte aspecte ce fac obiectul managementului operrii i comunicaiilor vizeaz:
ntreinerea sistemului, incluznd realizarea copiilor de siguran, ntreinerea jurnalelor de
operare, meninerea nregistrrilor cu erori de operare i execuie

managementul reelei, necesar asigurrii reelelor de calculatoare

manipularea i securitatea mediilor de stocare, pentru a preveni ntreruperea activitilor

afacerii

schimbul de aplicaii i date ntre organizaii, pentru a preveni pierderea, alterarea sau
utilizarea improprie a informaiei.
 Pentru protecia reelei sunt disponibile tehnologii specializate ce pot fi folosite n
implementarea msurilor de securitate i atingerea obiectivelor de control:
filtru set de reguli implementate la nivelul unui router sau firewall prin care acesta permite
tranzitarea sau nu a traficului ctre i dinspre reeaua unei companii;

firewall dispozitiv prin care este controlat traficul dintre reeaua companiei i reelele
externe acesteia;

Sistem pentru Detectarea Intruziunilor (IDS Intrusion Detection System), dispozitiv

(hardware sau software) dedicat inspectrii traficului unei reele cu scopul identificrii
automate a activitilor ilicite.

criptare comunicaii procesul prin care datele sunt aduse ntr-o form neinteligibil
persoanelor neautorizate;

Reea Virtual Privat (VPN Virtual Private Network) - o reea care permite comunicarea
ntre dou dispozitive prin intermediul unei infrastructuri publice (nesigure)

zona demilitarizat (DMZ) este o parte a reelei care permite accesul controlat din reeaua
Internet. Mainile dependente de accesul direct la reeaua Internet, cum ar fi serverele de
email i cele de web sunt adesea plasate n astfel de zone, izolate de reeaua intern a
organizaiei.

11.5. Controlul accesului

Confidenialitatea vizeaz protejarea informaiilor mpotriva oricrui acces neautorizat.

Controlul accesului ncepe cu stabilirea cerinelor de acordare a drepturilor de utilizare a
informaiilor.
Accesul la facilitile i serviciile oferite de sistemul informaional trebuie controlat n
funcie de specificul i cerinele mediului n care i desfoar activitatea organizaia .
Trebuie avute in vedere msuri de control pentru fiecare nivel al sistemului informaional:
controlul accesului la serviciile reelei - conexiunile la serviciile reelei trebuie controlate iar
pentru obinerea accesului la astfel de servicii este recomandat implementarea unei
proceduri formale.
 controlul accesului la nivelul sistemului de operare sistemul de operare trebuie s prevad
msuri de restricionare a accesului la date existente pe calculatore.
controlul accesului la aplicaii - prevenirea accesului neautorizat la informaiile gestionate
de aplicaiile software.

Obiectivele de control prevzute n aceast seciune a standardului sunt menite s asigure c

noile sisteme dezvoltate au prevzute mecanisme de securitate, prin:
dezvoltarea cerinelor i analiza specificaiilor de securitate;
validarea datelor de intrare
controlul procesrii interne
autentificarea mesajelor transmise electronic
validarea datelor de ieire
utilizarea tehnicilor de criptare
utilizarea mecanismelor de semnare electronic
protejarea codului aplicaiilor i a fiierelor sistemului de operare