Documente Academic
Documente Profesional
Documente Cultură
ŞTIINŢEI INFORMAŢIEI - 4
1. Contextul economic actual
2. Ce este RISCUL ?
3. Ce este SECURITATEA INFORMAŢIEI ?
4. Ce sunt AMENINŢAREA, VULNERABILITATEA, INCIDENTUL DE
SECURITATE, EVENIMENTUL DE SECURITATE, MĂSURILE DE
SECURITATE, DISPONIBILITATEA, CONFIDENŢIALITATEA,
INETGRITATEA, SECURITATEA INFORMAŢIEI ?
5. Ce este SMSI (“Sistemul de management al securităţii informaţiei”)?
6. Care sunt măsurile de securitate posibile?
7. Ce este standardul SR ISO/CEI 27001:2006
8. Securitatea informaţiei în format hârtie şi în format electronic
9. Tehnici de fraudare în mediul electronic
Prof.univ.dr.ing.Nicolae Drăgulănescu
Universitatea POLITEHNICA din Bucureşti
Facultatea de Electronică, Telecomunicaţii şi
Tehnologia Informaţiei
Catedra Electronică Aplicată şi Ingineria Informaţiei
AMENINŢĂRILE
- există şi nu pot fi eliminate
- reprezintă o cauză potenţială a unui eveniment nedorit prin care se pot produce
daune unei organizaţii sau unui sistem
- au caracter accidental, intenţionat (de ex. sabotaje, acces neautorizat,
răzbunări) sau neintenţionat (de ex. datorită unor proceduri incorect aplicate)
- generează incidente nedorite cu efecte distrugătoare sau chiar accidente cu
impact important asupra activităţii unei organizaţii
EXEMPLE DE AMENINŢĂRI:
- dezastre naturale (inundaţii, cutremure, furtuni, etc.)
- activităţi umane (furturi, distrugeri deliberate, erori de întreţinere/ utilizare)
- evenimente tehnologice (întreruperea alimentării cu energie electrică, gaze
naturale sau apă, supraîncărcări, trafic, căderi/ pane ale echipamentelor, etc.)
(C) Prof.dr.Nicolae Drăgulănescu 5
Top 10 Threats to Enterprise Security
Source: IDC's 2007 Annual Security Survey of IT and security
professionals
VULNERABILITĂŢILE
- pot exista şi în absenţa ameninţărilor, fără să producă rău prin simpla lor
existenţă
- reprezintă o precondiţie care permite unei ameninţări să producă rău unui bun
- pot fi clasificate (prin analiza vulnerabilităţilor) în : mari, medii sau mici
- dacă sunt identificate în timp util, pot fi reduse astfel încât ameninţările să nu se
materializeze şi să genereze evenimente cu efecte distrugătoare
- pot fi fizice, naturale, de hardware, de software, de comunicare, de mediu,
umane, etc.
- pot fi inerente (de ex. viruşii, hacker-ii, viermii, etc.) astfel încât trebuie să fie
descoperite/ tratate ca atare de utilizatorii de calculatoare, Internet şi reţele
informatice
- pot genera mari prejudicii organizaţiilor, infrastructurii persoanelor juridice şi
fizice , activităţilor şi patrimoniului acestora
- sunt cu atât mai mari cu cât organizaţia/ persoana implicată depinde mai mult
de reţele şi sisteme informaţionale interconectate
MĂSURILE DE SECURITATE
- Se concretizează în: politici, proceduri, instrucţiuni, măsuri administrative,
tehnice sau juridice
- Se pot clasifica în funcţie de tipul şi categoria lor
- Măsurile fizice, administrative şi tehnice pot fi <descurajatoare> (prin
constrângere la disciplină), <corective> (prin remedieri) sau <de recuperare>
(prin restaurarea resurselor) sau <detective> şi <preventive>
Măsuride
Măsuri desecuritate
securitate reduc Bunuri
(<controale>) RISCURI Bunuri
(<controale>) RISCURI
au
indică cresc
rezolvare prin
Valoareabunurilor
Valoarea bunurilor
Cerinţede
Cerinţe desecuritate
securitate
Impactpotenţial
Impact potenţial dă
(asupraafacerii
(asupra afacerii
d.p.d.valalsecurităţii)
d.p.d.v securităţii)
Securitatea sistemelor
informatice (a tehnicii de
calcul pentru procesare,
stocare şi transfer de date)
Securitatea administrativă
(din punct de vedere al
personalului, procedurilor,
politicilor si cadrului
organizaţional si
administrativ)
(C) Prof.dr.Nicolae Drăgulănescu 23
Standardele SMSI
- Bazate pe ciclul virtuos <PDCA>
Implementare şi operare:
• Implementarea Planului de tratare a Menţinere şi îmbunătăţire :
riscului • Implementarea îmbunătăţirilor
• Implementarea metodelor de
securitate şi a procedurilor • Învăţarea din incidente
• Respectarea procedurilor • Stabilire de acţiuni preventive şi
• Inregistrarea aplicării procedurilor corective
Proceduri de sistem
Proceduri operaţionale;
Instructiuni de lucru;
Fişe de post;
Inregistrări obiective demonstrând
îndeplinirea cerinţelor SMSI
Malware
Furnizori
Spam
- îmbunătăţeşte abilităţile de conducere
- contribuie la creşterea gradului de - asigură o viziune unitară asupra utilizării
încredere conferită companiei pe piaţă resurselor informatice in scopul protejării lor
- asigură obţinerea dovezilor de conformitate cu - asigură continuitatea afacerii şi
cerinţele legale de păstrare a confidenţialităţii minimizarea pierderilor financiare în cazul
datelor personale, a drepturilor de autor eventualelor incidente de securitate
(C) Prof.dr.Nicolae Drăgulănescu 33
Securitatea informaţiei
în format document / hârtie (clasic)
• Este orientată spre protecţia suportului (documentului / hârtiei)
Cum ne protejăm?
- Nu deschideţi, nu salvaţi, nu instalaţi si nu rulaţi produse-program şi fişiere
provenite din surse nesigure
- Verificaţi zilnic dacă antivirusul existent pe calculatorul dvs. este actualizat
- Verificaţi dacă antivirusul este pornit şi funcţionează
- Nu accesaţi adrese de email şi linkuri internet nesigure
Cum ne protejăm ?
Nu transmiteţi niciodată informaţii confidenţiale prin e-mail !!!
Manifestare
Victima primeşte un mesaj telefonic privind faptul că i s-ar fi utilizat
ilegal cardul şi că, pentru rezolvarea situaţiei, este necesar să
comunice detaliile contului/ cardului (numărul contului/ cardului, PIN-ul
etc.)
Cum ne protejăm ?
Nu comunicaţi niciodată prin Internet sau telefon date şi informaţii
confidenţiale (acestea fiind cunoscute doar de către posesorul
cardului/ contului)
Verificati autenticitatea eventualelor apeluri telefonice comparând
numărul de telefon al apelantului cu datele de contact ale băncii la
care aveţi deschis contul