BAZELE

ŞTIINŢEI INFORMAŢIEI - 4
1. Contextul economic actual
2. Ce este RISCUL ?
3. Ce este SECURITATEA INFORMAŢIEI ?
4. Ce sunt AMENINŢAREA, VULNERABILITATEA, INCIDENTUL DE
SECURITATE, EVENIMENTUL DE SECURITATE, MĂSURILE DE
SECURITATE, DISPONIBILITATEA, CONFIDENŢIALITATEA,
INETGRITATEA, SECURITATEA INFORMAŢIEI ?
5. Ce este SMSI (“Sistemul de management al securităţii informaţiei”)?
6. Care sunt măsurile de securitate posibile?
7. Ce este standardul SR ISO/CEI 27001:2006
8. Securitatea informaţiei în format hârtie şi în format electronic
9. Tehnici de fraudare în mediul electronic
Prof.univ.dr.ing.Nicolae Drăgulănescu
Universitatea POLITEHNICA din Bucureşti
Facultatea de Electronică, Telecomunicaţii şi
Tehnologia Informaţiei
Catedra Electronică Aplicată şi Ingineria Informaţiei

(C) Prof.dr.Nicolae Drăgulănescu 1

 Contextul economic actual (1)
1. Globalizarea - care implică:
a. managementul firmei pe piaţa globalizată
b. competiţie intensă pentru resurse şi clienţi
c. echipe/ grupuri de lucru globale
d. sisteme de distribuţie globale

2. Transformări în economia industrială

a. economii bazate pe informaţie şi cunoştinţe
b. nivel ridicat al productivităţii muncii
c. apariţia frecventă de noi produse şi servicii
d. reducerea duratei de viaţă a produselor
e. desfăşurarea activităţilor în mediu turbulent
f. limitările inerente ale capacităţii umane de
cunoaştere
Azi, puterea unei organizaţii nu se mai măsoară
doar prin dimensiunea ei financiară !

(C) Prof.dr.Nicolae Drăgulănescu 2

 Contextul economic actual (2)
3. Transformări ale întreprinderii vizând :
a. uniformizarea structurilor organizationale
b. descentralizare
c. independenţa localizării (
delocalizare)
d. costuri cât mai reduse de tranzacţionare şi
coordonare
e. consolidare/ dezvoltare/ revigorare
f. externalizare

Securitatea informaţiei este deci esenţială

pentru tot mai multe întreprinderi/ organizaţii.
• Intr-un mediu concurenţial, INFORMATIA
poate fi cheia succesului şi dezvoltării
organizaţiei.
• Indiferent de formă, INFORMAŢIA trebuie
întotdeauna să fie protejată corespunzător,
indiferent de forma pe care o are sau de
mijloacele prin care este păstrată sau
comunicată.

(C) Prof.dr.Nicolae Drăgulănescu 3

 Ce este RISCUL ?
RISC = posibilitate de a ajunge într-o primejdie, de a avea de înfruntat un
necaz sau de suportat o pagubă
= pericol posibil, eventual, mai mult sau mai puţin previzibil
= primejdie sau pagubă posibilă
= posibilitatea de-a permite unei ameninţări să exploateze o
vulnerabilitate a unui bun (sau grup de bunuri) generând astfel pagube
în organizaţia în care se manifestă
RISCUL
- poate fi evaluat ca o combinaţie a probabilităţii de producere a unui
incident de securitate şi impactul/ consecinţele acestuia
- poate fi redus prin măsuri de securitate (“controale”) adecvate dar nu
poate fi eliminat în totalitate (


“risc rezidual”, de evaluat şi acceptat)

REMARCĂ: În abordarea RISCURILOR ar trebui avute în vedere toate

bunurile organizaţiei (fizice, informaţii, documente, software, umane,
servicii, etc.)
(C) Prof.dr.Nicolae Drăgulănescu 4
 Ce este AMENINŢAREA?
AMENINŢAREA (Threat) poate fi:
- o declaraţie a intenţiei de-a produce ceva rău, nenorocire, supărare,
pierdere
- posibilitatea de-a cauza un incident nedorit care poate produce rău unui
sistem sau unei organizaţii
- un act intenţionat sau accidental

AMENINŢĂRILE
- există şi nu pot fi eliminate
- reprezintă o cauză potenţială a unui eveniment nedorit prin care se pot produce
daune unei organizaţii sau unui sistem
- au caracter accidental, intenţionat (de ex. sabotaje, acces neautorizat,
răzbunări) sau neintenţionat (de ex. datorită unor proceduri incorect aplicate)
- generează incidente nedorite cu efecte distrugătoare sau chiar accidente cu
impact important asupra activităţii unei organizaţii

EXEMPLE DE AMENINŢĂRI:
- dezastre naturale (inundaţii, cutremure, furtuni, etc.)
- activităţi umane (furturi, distrugeri deliberate, erori de întreţinere/ utilizare)
- evenimente tehnologice (întreruperea alimentării cu energie electrică, gaze
naturale sau apă, supraîncărcări, trafic, căderi/ pane ale echipamentelor, etc.)
(C) Prof.dr.Nicolae Drăgulănescu 5
Top 10 Threats to Enterprise Security
Source: IDC's 2007 Annual Security Survey of IT and security
professionals

(C) Prof.dr.Nicolae Drăgulănescu 6

© Intellinx Ltd. All Rights Reserved.Intellinx Ltd. All Rights Reserved
 Ce este VULNERABILITATEA (1) ?
VULNERABILITATEA (Vulnerability) = o slăbiciune, o lipsă, un gol în
securitatea informaţiei unei organizaţii sau persoane

VULNERABILITĂŢILE
- pot exista şi în absenţa ameninţărilor, fără să producă rău prin simpla lor
existenţă
- reprezintă o precondiţie care permite unei ameninţări să producă rău unui bun
- pot fi clasificate (prin analiza vulnerabilităţilor) în : mari, medii sau mici
- dacă sunt identificate în timp util, pot fi reduse astfel încât ameninţările să nu se
materializeze şi să genereze evenimente cu efecte distrugătoare
- pot fi fizice, naturale, de hardware, de software, de comunicare, de mediu,
umane, etc.
- pot fi inerente (de ex. viruşii, hacker-ii, viermii, etc.) astfel încât trebuie să fie
descoperite/ tratate ca atare de utilizatorii de calculatoare, Internet şi reţele
informatice
- pot genera mari prejudicii organizaţiilor, infrastructurii persoanelor juridice şi
fizice , activităţilor şi patrimoniului acestora
- sunt cu atât mai mari cu cât organizaţia/ persoana implicată depinde mai mult
de reţele şi sisteme informaţionale interconectate

(C) Prof.dr.Nicolae Drăgulănescu 7

 Ce este VULNERABILITATEA (2) ?
Exemple de VULNERABILITĂŢI: o uşă deschisă, instruire/ experienţă
insuficientă, alimentare instabilă/ discontinuă, traseu de cabluri
neprotejat, alocare incorectă a drepturile prin parole

Cauze posibile ale VULNERABILITĂŢILOR

• bug-urile (erorile) (neintenţionate sau intenţionate) - existente în anumite
produse-program nou dezvoltate
• ignorarea/ nedocumentarea bug-urilor existente
• configurarea necorespunzătoare a produselor-program, serverelor şi reţelelor
utilizate
• suportul inadecvat sau tardiv din partea dezvoltatorilor de produse-program
(de ex. soluţionarea greoaie sau ineficace a bugurilor)
• comoditatea sau necunoaşterea problemelor privind securitatea de către
administratorii de reţea, webmasteri şi managerii organizaţiei

(C) Prof.dr.Nicolae Drăgulănescu 8

 CONCEPTE SPECIFICE – definiţii (1)
• EVENIMENT DE SECURITATE A INFORMAŢIEI = situaţie
identificată în legătură cu un sistem, un serviciu sau o reţea care
indică o posibilă încălcare a politicii de securitate a informaţiei, un
eşec al măsurilor de protecţie sau o situaţie ignorată anterior, dar
relevantă din punct de vedere al securităţii

• INCIDENT DE SECURITATE A INFORMAŢIEI = un eveniment sau

o serie de evenimente de securitate a informaţiei care au o
probabilitate semnificativă de-a compromite activităţile organizaţiei
şi de-a aduce ameninţări la securitatea informaţiei
(SR ISO/CEI 27001: 2006)

• CONTROL = practică, procedură sau mecanism care reduce riscul

(ISO/CEI TR 13335)

(C) Prof.dr.Nicolae Drăgulănescu 9

 Exemple de INCIDENTE DE SECURITATE
şi EFECTELE lor
INCIDENTE DE SECURITATE EFECTE
- Virusarea sistemelor - Blocarea proceselor
informatice productive şi/ sau
- Atacuri de tip hacking, administrative din companie
cracking, phishing, etc. - Pierderea încrederii clienţilor
- Tranzacţii frauduloase prin - Pierderea de comenzi,
calculator contracte, clienţi
- Sabotarea funcţionării - Litigii cu caracter comercial
reţelelor, instalaţiilor şi sau civil
echipamentelor informatice - Competitorii câştigă avans
Furtul unor reţele, instalaţii şi - Cheltuieli suplimentare
echipamente informatice
- Faliment previzibil
- Fenomene naturale
catastrofale (cutremure,
inundaţii, furtuni, etc.) şi
incendii
(C) Prof.dr.Nicolae Drăgulănescu 10
 Ce sunt MĂSURILE DE SECURITATE ?
MĂSURĂ DE SECURITATE (“Controls” / <Controale>)
= orice acţiune efectuată în scopul reducerii riscurilor,
= practică, procedură sau mecanism care reduce riscul

Obiective posibile ale MĂSURILOR DE SECURITATE

- Reducerea probabilităţii de apariţie a ameninţărilor
- Reducerea sau eliminarea vulnerabilităţilor
- Reducerea impactului (dacă evenimentul s-a produs deja)
- Detectarea evenimentelor nedorite
- Recuperarea datelor şi informaţiilor pierdute în urma evenimentelor nedorite
apărute

MĂSURILE DE SECURITATE
- Se concretizează în: politici, proceduri, instrucţiuni, măsuri administrative,
tehnice sau juridice
- Se pot clasifica în funcţie de tipul şi categoria lor
- Măsurile fizice, administrative şi tehnice pot fi <descurajatoare> (prin
constrângere la disciplină), <corective> (prin remedieri) sau <de recuperare>
(prin restaurarea resurselor) sau <detective> şi <preventive>

(C) Prof.dr.Nicolae Drăgulănescu 11

 Câteva întrebări legitime
Tot mai multe organizaţii îşi pun azi întrebarea:
“Cum putem să ne protejăm?”

Mult mai important este să ne întrebăm în ordine:

1. De ce avem nevoie să ne protejăm ?
2. Cât de dificil va fi să ne protejăm ?
3. Ce şi (din nou) cât să protejăm ?
4. ŞI ABIA APOI ….

(C) Prof.dr.Nicolae Drăgulănescu 12

11/14/2010 1:02 PM x
 CONCEPTE SPECIFICE – definiţii (2)
• DISPONIBILITATE (Availability) = proprietatea de-a fi accesibil şi
utilizabil la cerere, de către o entitate autorizată

• CONFIDENŢIALITATE (Confidentiality) = proprietatea ca informaţia

să nu fie făcută disponibilă sau divulgată persoanelor, entităţilor sau
proceselor neautorizate

• INTEGRITATE (Integrity) = proprietatea de-a păstra acurateţea şi

deplinătatea resurselor (RESURSA = ceea ce prezintă valoare
pentru o organizaţie)

• SECURITATEA INFORMAŢIEI = păstrarea confidenţialităţii,

integrităţii şi disponibilităţii informaţiei ; în plus, alte proprietăţi ca
autenticitatea, responsabilitatea, non-repudierea şi fiabilitatea pot fi
de asemenea implicate
(SR ISO/CEI 27001: 2006)

(C) Prof.dr.Nicolae Drăgulănescu 13

 CONCEPTE SPECIFICE – definiţii (3)
ALTE DEFINIŢII
• Atribute de funcţionalitate a informaţiei:
– DISPONIBILITATEA informaţiei - acea proprietate (a sistemului sau a
reţelei) de a asigura utilizatorilor legali informaţia completă atunci când
aceştia au nevoie de ea
– CONFIDENŢIALITATEA informaţiei - acea proprietate (a sistemului sau a
reţelei) de a permite accesul la informaţie numai utilizatorilor cărora le este
destinată şi de-a oferi garanţii suficiente pentru a interzice accesul la
informaţie celorlalţi utilizatori
– INTEGRITATEA informaţiei - acea proprietate (a sistemului sau a reţelei)
de a asigura livrarea informaţiei fără modificări accidentale sau neautorizate

• Atribute pentru recuperarea prejudiciului:

– AUTENTICITATEA informaţiei - acea proprietate (a sistemului sau a
reţelei) de a permite asocierea informaţiei cu sursa legală de producere a
ei.
– NEREPUDIEREA informaţiei - acea proprietate (a sistemului sau a
reţelei) de a asocia informaţiei dovada că informaţia a fost transmisă de o
entitate identificată şi a fost recepţionată de o altă entitate identificată, fără
posibilitate de contestare
(C) Prof.dr.Nicolae Drăgulănescu 14
 Information Security Components -
Confidentiality, Integrity and Availability (CIA)

(C) Prof.dr.Nicolae Drăgulănescu 15

 CONCEPTE SPECIFICE – definiţii (4)
• SISTEM DE MANAGEMENT AL SECURITĂŢII INFORMAŢIEI (SMSI) =
partea din întreg sistemul de management, bazată pe o abordare a
riscului afacerii, folosită pentru a stabili, implementa, funcţiona,
monitoriza, revizui, menţine şi îmbunătăţi securitatea informaţiei
• ANALIZA RISCULUI = utilizarea sistematică a informaţiei pentru a
identifica sursele şi pentru a estima riscul
• DETERMINAREA RISCULUI = proces global de analiză şi evaluare a
riscului
• EVALUAREA RISCULUI = proces de comparare a riscului estimat cu
criteriile de risc agreate în vederea stabilirii importanţei riscului
• MANAGEMENTUL RISCULUI = activităţi coordonate pentru
îndrumarea şi controlul unei organizaţii luând în considerare riscurile
• TRATAREA RISCULUI = proces de selecţie şi implementare a unor
măsuri în vederea reducerii riscului
• DECLARAŢIE DE APLICABILITATE = declaraţie documentată care
descrie obiectivele de control şi măsurile de securitate care sunt
relevante şi aplicabile SMSI al organizaţiei
(SR ISO/CEI 27001: 2006)
(C) Prof.dr.Nicolae Drăgulănescu 16
 RELAŢII ÎNTRE CONCEPTE
exploatează
Ameninţări
Ameninţări Vulnerabilităţi
Vulnerabilităţi

cresc cresc afectează

protejează împotriva

Măsuride
Măsuri desecuritate
securitate reduc Bunuri
(<controale>) RISCURI Bunuri
(<controale>) RISCURI
au
indică cresc
rezolvare prin
Valoareabunurilor
Valoarea bunurilor

Cerinţede
Cerinţe desecuritate
securitate
Impactpotenţial
Impact potenţial dă
(asupraafacerii
(asupra afacerii
d.p.d.valalsecurităţii)
d.p.d.v securităţii)

(C) Prof.dr.Nicolae Drăgulănescu 17

 Ce este SMSI?
(SISTEMUL DE MANAGEMENT AL
SECURITĂŢII INFORMAŢIEI)
• Un SMSI este un sistem de management
bazat pe o abordare a riscurilor la care
organizaţia este expusă şi are scopul de-a
stabili, implementa, opera, monitoriza,
revizui, menţine şi îmbunătăţi securitatea
informaţiei.
• Sistem de management – sistem prin care
se stabilesc politica şi obiectivele precum şi
prin care se realizează acele obiective
(C) Prof.dr.Nicolae Drăgulănescu 18
 De ce avem nevoie de SMSI?
• Toate organizaţiile sunt actualmente tot mai dependente de informaţii
• Utilizatorii de informaţii (interni & externi) sunt tot mai dependenţi de
disponibilitatea şi integritatea informaţiilor
• Concurenţa între organizaţii se accentuează continuu, deci riscurile
aferente securităţii informaţiilor sunt şi ele în creştere
• Clienţii pun tot mai frecvent întrebările legitime “Cum veţi garanta
confidenţialitatea informaţiilor mele sensibile?”, “În condiţiile în care
numărul atacurilor creşte continuu, cum poţi introduce şi menţine sub
control riscurile privind CID (confidenţialitatea - integritatea -
disponibilitatea)” ?
• Numărul de incidente de securitate care ameninţă continuitatea afacerii
este în creştere
• Nu trebuie să uităm că un singur incident de securitate poate
1. distruge imaginea companiei,
2. compromite veniturile companiei,
3. determina pierderea afacerii companiei.
• Sunt necesare introducerea şi menţinerea sub control a breşelor de
securitate
(C) Prof.dr.Nicolae Drăgulănescu 19
 Ce reprezintă INFORMAŢIA
în cadrul SMSI ?
INFORMAŢIA - este o valoare (“asset”) care, asemănător altor bunuri
importante ale unei afaceri (“business”), are o importanţă deosebită pentru o
organizaţie

Informaţia poate exista sub diferite forme :

Tipărită sau scrisă , stocată electonic

Verbală (în conversaţii, sub formă vorbită)

Transmisă prin poştă sau prin echipamente electronice

(C) Prof.dr.Nicolae Drăgulănescu 20

 CLASE DE INFORMAŢII
• Informaţiile clasificate (“secrete de stat”/SS)
obligă la
confidenţialitate în condiţii stabilite prin lege;
• Informaţiile proprietare (“sensibile” - la noi ele sunt
asimilate cu informaţiile “secret de serviciu”)
obligă la
confidenţialitate în condiţiile stabilite de proprietar
• Datele personale ale cetăţenilor
se limitează
diseminarea informaţiilor despre utilizatorii serviciilor
publice;
• Conţinutul corespondenţei şi al comunicaţiilor

se
interzice accesul la conţinutul corespondenţei şi al
comunicaţiilor;
• Drepturile de autor
se obligă utilizatorul să plătească
pentru utilizare;
• Informaţiile de interes public
se obligă proprietarul să
asigure necondiţionat disponibilitatea lor

(C) Prof.dr.Nicolae Drăgulănescu 21

 INFORMAŢIILE CLASIFICATE
INFORMAŢII CLASIFICATE = categorie de informaţii pentru care statul are anumite
interese majore. Întrucât prin diseminarea loe s-ar putea aduce prejudicii instituţiilor
statului sau cetăţenilor săi (în ansamblu), statul limitează disponibilitatea informaţiilor
la un grup restrâns de persoane, care prezintă un anumit nivel de încredere, stabilit
prin verificări de loialitate (securitate). Sfera de cuprindere este stabilită prin lege.
• Există 4 clase de informaţii clasificate (în funcţie de amploarea prejudiciului ce se
poate produce prin diseminarea necontrolată a lor): <strict secrete de importanţă
deosebită> SSID, <strict secrete>/SS, <secrete>/S şi separat, secrete de
serviciu
• În România sunt utilizate, în funcţie de provenienţa lor, 4 categorii de informaţii
clasificate: <naţionale>, <NATO>, <UE>, precum si cele stabilite prin <relaţii
bilaterale internaţionale>
• Accesul persoanelor la informaţii clasificate se face pe baza principiului „nevoii
de a cunoaşte” şi este permis numai în urma avizului autorităţilor abilitate: ORNISS
pentru angajaţii firmelor şi instituţiilor publice şi ADS-uri pentru personalul propriu.
• Dreptul de acces al firmelor la informaţii clasificate se poate face numai în
urma avizului de securitate industrială eliberat de ORNISS după probarea faptului
că s-au asigurat condiţii de păstrare şi manipulare a informaţiilor clasificate în
conformitate cu prevederile legii.
• Autorităţile abilitate să investigheze incidentele de securitate care implică
informaţiile clasificate sunt : SRI - pe teritoriul ţării, SIE - în afara ţării, MIRA, MJ,
STS, MApN, SPP - pentru structurile proprii.
• Informatii suplimentare : http://www.orniss.ro/
(C) Prof.dr.Nicolae Drăgulănescu 22
 Securitatea
informaţiei
se realizează/ obţine
acţionând pe două planuri
paralele, fiecare având mai
multe niveluri:

 Securitatea sistemelor
informatice (a tehnicii de
calcul pentru procesare,
stocare şi transfer de date)

 Securitatea administrativă
(din punct de vedere al
personalului, procedurilor,
politicilor si cadrului
organizaţional si
administrativ)
(C) Prof.dr.Nicolae Drăgulănescu 23
 Standardele SMSI
- Bazate pe ciclul virtuos <PDCA>

- Formează familia de standarde ISO 27000 compusă din următoarele

standarde:
ISO 27000:2005 – principii şi vocabular SMSI
ISO 27001:2006 (ex BS 2299-2) – cerinţe pentru SMSI
ISO 27002:2005 (ex ISO/IEC 17799) – cod de bune practici pentru SMSI
ISO 27003:2010 – ghid de implementare a SMSI
ISO 27004:2009 – cerinţe pentru indicatori şi măsurarea eficacităţii SMSI
ISO 27005:2008 – managementul riscului în SMSI
ISO 27006:2007 – cerinţe pentru acreditare SMSI
ISO 27007:2007 (+ ISO 19011) – ghid de auditare a SMSI
ISO 27011 … ISO 27030 – SMSI în diferite sectoare de activitate
ISO 27031… ISO 27059 – ghiduri operaţionale privind SMSI (de ex. ISO
27035 – managementul incidentelor, ISO 27035 – managementul
securităţii reţelelor)
(C) Prof.dr.Nicolae Drăgulănescu 24
 Ciclul virtuos PDCA implementat prin
standardul ISO 27001
Stabilirea cadrului general :
• Politica în domeniul securităţii • Selectarea metodelor de
securitate
• Planificarea obiectivelor de
securitate
• Declaraţia de aplicabilitate
• Evaluarea riscurilor

Implementare şi operare:
• Implementarea Planului de tratare a Menţinere şi îmbunătăţire :
riscului • Implementarea îmbunătăţirilor
• Implementarea metodelor de
securitate şi a procedurilor • Învăţarea din incidente
• Respectarea procedurilor • Stabilire de acţiuni preventive şi
• Inregistrarea aplicării procedurilor corective

Monitorizare şi trecere în revistă:

• Monitorizare sistem • Audituri interne şi externe
• Analiza eficacităţii • Inregistrare neconformităţi
şi incidente
(C) Prof.dr.Nicolae Drăgulănescu 25
Piramida documentelor SMSI
Manualul SMSI; Politica şi declaraţia de
aplicare; Analiza de risc;
Declaraţia de aplicabilitate

Proceduri de sistem

Proceduri operaţionale;
Instructiuni de lucru;
Fişe de post;
Inregistrări obiective demonstrând
îndeplinirea cerinţelor SMSI

(C) Prof.dr.Nicolae Drăgulănescu 26

 Măsuri de securitate –
conform standardului ISO 27001 (1)
Anexa A a standardului include 11 domenii (A5 - A15) cu linii directoare şi îndrumări de
implementare care se referă la 39 <obiective> şi 127 <măsuri de securitate> (<controale>).
Exemple (cu detalii în coloana din dreapta):

A5 Politica de securitate a informaţiei

Organizarea Organizarea internă (Alocarea
securităţii responsabilităţilor pentru securitatea
informaţiei informaţiei; Procesul de autorizare a
A6
sistemelor de procesare a informaţiei;
Acorduri de confidenţialitate, Contactul cu
autorităţile, etc.), Părţi externe
Managementul Responsabilitatea pentru resurse,
A7 resurselor Clasificarea informaţiilor

Securitatea resurselor umane (înainte de angajare, pe parcursul

A8
perioadei de angajare şi la încetarea contractului de muncă)
(C) Prof.dr.Nicolae Drăgulănescu 27
 Măsuri de securitate –
conform standardului ISO 27001 (2)
Securitatea fizică şi a Zone de securitate,
A9 Securitatea echipamentelor
mediului de lucru
Managementul Proceduri operaţionale documentate, Managementul
serviciilor furnizate de terţi, Planificarea şi acceptanţa
comunicaţiilor şi sistemelor, Protecţia împotriva codurilor potenţial
A10 operaţiunilor dăunătoare, Copii de siguranţă, Managementul securităţii
reţelei, Manipularea mediilor de stocare, Schimbul de
informaţii, Serviciile de comerţ electronic, Monitorizarea,

Controlul accesului Cerinţele afacerii pentru controlul accesului,

Managementul accesului utilizatorului, Responsabilităţile
A11 utilizatorului, Controlul accesului la reţea, la sistemul de
operare şi la aplicaţii şi informaţii, Prelucrarea datelor
folosind echipamente mobile şi lucrul la distanţă

Achiziţionarea, Cerinţe de securitate pentru sistemele informaţionale,

Procesarea corectă a datelor în cadrul aplicaţiilor,Măsuri
A12 dezvoltarea şi criptografice,Securitatea fişierelor de sistem, Securitatea
mentenanţa sistemelor în procesele de dezvoltare şi de suport, Managementul
vulnerabilităţilor tehnice
informaţionale

(C) Prof.dr.Nicolae Drăgulănescu 28

 Măsuri de securitate –
conform standardului ISO 27001 (3)
Managementul
incidentelor Raportarea evenimentelor produse şi a slăbiciunilor
A13 privind securitatea informaţiei, Managementul
de securitate a incidentelor de securitate a informaţiei şi îmbunătăţiri,
Informaţiilor
Managementul Aspecte de securitate a informaţiei în managementul
A14 continuităţii afacerii,
continuităţii afacerii
Conformitatea Conformitatea cu cerinţele legale, Conformitatea cu
standardele şi politicile de securitate şi conformitatea
A15 tehnică, Consideraţii privind auditul sistemelor
informaţionale

Anexa Corespondenţa dintre principiile OECD şi etapele ciclului PDCA

B

(C) Prof.dr.Nicolae Drăgulănescu 29

 Obiective de control şi măsuri de securitate
conform standardului ISO 27001
A.15 Conformitatea A.5 Politica de securitate a informaţiei

A.14 Managementul A.6 Organizarea securităţii

continuităţii afacerii informaţiei

A.13 Managementul Continuous

SMSI
Improvement
incidentelor de A.7 Managementul
securitate a informaţiei resurselor
Informatii
Critice
Tratare Analiza
A.12 Achizitionarea, riscurilor riscurilor
dezvoltarea şi
A.8 Securitatea
mentenanţa
resurselor umane
sistemelor
informatice
A.9 Securitatea
A.11 Controlul fizică şi a mediului
accesului de lucru
A.10 Managementul
comunicaţiilor şi operaţiunilor

(C) Prof.dr.Nicolae Drăgulănescu 30

 Versiunea românească SR ISO/CEI 27001:2006
„Tehnologia informaţiei — Tehnici de securitate — Sisteme
de management ale securităţii informaţiei — Cerinţe” (1)
Ce ESTE acest standard:
1. O metodologie structurata dedicata securităţii informaţiei,
recunoscută la nivel internaţional, care ajută organizaţiile să acorde
o mai mare atenţie protejării informaţiilor de care dispun
2. Defineşte procesele necesare pentru a evalua, implementa, menţine
şi gestiona securitatea informaţiei
3. Un set cuprinzător de măsuri de control format din cele mai bune
practici în domeniul securităţii informaţiei;
4. Ajută la identificarea şi minimizarea ameninţărilor care afectează de
obicei informaţia.
5. Referenţial pentru certificare

Ce NU ESTE acest standard :

1. standard tehnic; standard IT; standard de produs;
2. metodă de audit;
3. metodă de analiză a riscurilor
(C) Prof.dr.Nicolae Drăgulănescu 31
 Versiunea românească SR ISO/CEI 27001:2006
“Tehnologia informaţiei — Tehnici de securitate — Sisteme
de management ale securităţii informaţiei — Cerinţe” (2)
Standardul a fost elaborat pentru a fi folosit în cadrul unei
organizaţii în scopul:
1. Definirii de cerinţe şi scopuri ale securităţii informaţiei
2. Facilitării identificării şi minimizării ameninţărilor care afectează de
obicei informaţia
3. Garantării faptului că riscurile securităţii informaţiei sunt corect
gestionate din punct de vedere al raportului cost-eficienţă
4. Facilitării activităţilor de clasificare şi explicare a proceselor existente
de management al securităţii informaţiei
5. Utilizării sale ca referenţial de către managementul de vârf pentru a
stabili dacă activităţile de management al securităţii informaţiei sunt
conforme cu cerinţele aplicabile
6. Utilizării sale ca referenţial de către auditorii interni şi externi pentru
a stabili conformitatea politicilor cu standardele adoptate
7. Sprijinirea managementului total al afacerii şi sporirea încrederii
partenerilor de afaceri, clienţilor şi altor părţi interesate privind
securitatea informaţiei

(C) Prof.dr.Nicolae Drăgulănescu 32

 Avantajele implementării SMSI
Pe ansamblu - creşte competitivitatea
organizaţiei, prin faptul că:
- garantează securitatea informaţiilor
societăţii dar şi a informaţiilor clienţilor Hackeri
şi partenerilor de afaceri Clienti
-îmbunătăţeşte sistemul
de prevenire şi tratare a
incidentelor de securitate
Parteneri

Malware

Furnizori

Spam
- îmbunătăţeşte abilităţile de conducere
- contribuie la creşterea gradului de - asigură o viziune unitară asupra utilizării
încredere conferită companiei pe piaţă resurselor informatice in scopul protejării lor
- asigură obţinerea dovezilor de conformitate cu - asigură continuitatea afacerii şi
cerinţele legale de păstrare a confidenţialităţii minimizarea pierderilor financiare în cazul
datelor personale, a drepturilor de autor eventualelor incidente de securitate
(C) Prof.dr.Nicolae Drăgulănescu 33
 Securitatea informaţiei
în format document / hârtie (clasic)
• Este orientată spre protecţia suportului (documentului / hârtiei)

• Suportul (documentul/ hârtia) poate conţine şi numeroase date şi

informaţii auxiliare (despre autor, cititor, editură, locul şi data editării,
etc.)

• Orice modificare a informaţiei afectează suportul ei, este relativ

dificil de făcut şi poate fi detectată cu uşurinţă

• Pentru manipularea frauduloasă a informaţiei stocate pe suport este

necesar accesul fizic la acesta - situaţie ce este relativ uşor de
detectat dacă se utilizează un sistem de protecţie fizică.

(C) Prof.dr.Nicolae Drăgulănescu 34

 Securitatea informaţiei
în format electronic
• Informaţia este dematerializată, fiind independentă de suport. Sistemul de
securitate asociază de regulă informaţiei de bază, “utile”, anumite date şi informaţii
suplimentare (de regulă în <headere> şi/ sau <footere>) facilitând identificarea şi
securizarea informaţiei de bază
• Accesul la informaţie nu implică acces fizic şi poate fi făcut în mod anonim şi/sau
de la distanţă
• Modificările datelor şi informaţiei sunt foarte uşor de făcut şi nu lasă „urme” - dacă
sistemul sau reţeaua nu sunt „instruite” (configurate) să procedeze astfel
• „Urmele” lăsate sunt de natură informatică şi pot fi lesne manipulate dacă nu se iau
măsuri speciale de conservare;
• Constatarea abuzului/ fraudelor în folosirea informaţiilor, sistemelor sau reţelelor nu
poate fi realizată doar examinând informaţia, fiind necesară în plus şi verificarea
acelor activităţi din sistem / reţea care sunt dinamice şi depind de un anumit
context
• Intervalele de timp în care se produc abuzurile / fraudele sunt de regulă foarte mici
(~fracţiuni de secundă) pe când reacţia de răspuns uman este mult mai lungă
(~minute - zile);
• Sistemele şi reţelele informatice au, de regulă, o mare complexitate fiind - în
general - cunoscute doar parţial, în profunzime, de administratori şi utilizatori
• Pentru protecţia informaţiilor în format electronic, nu sunt suficiente mijloacele de
protecţie fizică, fiind necesare măsuri şi instrumente diferite, specifice mediului
virtual.
(C) Prof.dr.Nicolae Drăgulănescu 35
 TEHNICI DE FRAUDARE IN
MEDIUL ELECTRONIC (1)
Viruşii = produse-program nocive care se auto-multiplică şi
se răspândesc cu scopul de-a deregla funcţionarea
normală a calculatorului
Manifestare
- Calculatorul nu răspunde imediat la comenzi sau lucrează în mod
continuu fără să fi primit comenzi
- Dispar programe, fişiere şi documente
- Programele instalate nu rulează sau rulează incorect
- Apar documente/ fişiere/ ferestre suspecte, nesolicitate

Cum ne protejăm?
- Nu deschideţi, nu salvaţi, nu instalaţi si nu rulaţi produse-program şi fişiere
provenite din surse nesigure
- Verificaţi zilnic dacă antivirusul existent pe calculatorul dvs. este actualizat
- Verificaţi dacă antivirusul este pornit şi funcţionează
- Nu accesaţi adrese de email şi linkuri internet nesigure

(C) Prof.dr.Nicolae Drăgulănescu 36

 TEHNICI DE FRAUDARE IN
MEDIUL ELECTRONIC (2)
”Phishing” = obţinerea unor date confidenţiale prin tehnici de
manipulare a identităţii de persoane/ instituţii
Manifestare
Victima primeşte mesaje prin e-mail cu cererea de a introduce/ transmite date de
identificare ce sunt confidenţiale (de ex.: număr card/cont, PIN, parolă, data expirării
cardului/ seria cardului, etc. )
Mesajul conţine un motiv ce pare credibil iar adresa paginii de internet pare identică/
asemănătoare cu cea a băncii ca şi adresa expeditorului şi formatul mesajului.
Asemenea mesaje pot proveni, aparent, şi de la Yahoo ! – scopul fiind de-a se
schimba parola şi de-a se trimite mesaje solicitând bani la toate adresele e-mail din
lista de contacte

Cum ne protejăm ?
Nu transmiteţi niciodată informaţii confidenţiale prin e-mail !!!

NU UITAŢI: De regulă, băncile şi Yahoo! nu solicită niciodată să transmiteţi informaţii

confidenţiale prin e-mail (excepţie INTERNET BANKING prin https)

(C) Prof.dr.Nicolae Drăgulănescu 37

 TEHNICI DE FRAUDARE IN
MEDIUL ELECTRONIC (3)
”Vishing” = activitate infracţională efectuată prin telefon

Manifestare
Victima primeşte un mesaj telefonic privind faptul că i s-ar fi utilizat
ilegal cardul şi că, pentru rezolvarea situaţiei, este necesar să
comunice detaliile contului/ cardului (numărul contului/ cardului, PIN-ul
etc.)

Cum ne protejăm ?
Nu comunicaţi niciodată prin Internet sau telefon date şi informaţii
confidenţiale (acestea fiind cunoscute doar de către posesorul
cardului/ contului)
Verificati autenticitatea eventualelor apeluri telefonice comparând
numărul de telefon al apelantului cu datele de contact ale băncii la
care aveţi deschis contul

(C) Prof.dr.Nicolae Drăgulănescu 38

 TEHNICI DE FRAUDARE IN
MEDIUL ELECTRONIC (4)
„Social engineering” = tehnici de manipulare emoţională a
utilizatorilor unor reţele de socializare (de ex. Facebook)
Cum ne protejăm ?
- Nu divulgaţi niciodată date şi informaţii confidenţiale
- Verificaţi datele şi informaţiile de contact
- Asiguraţi-vă că transmiteţi alte date/ informaţii doar unor destinatari siguri

”Shoulder surfing” = metodă de furt al datelor şi informaţiilor

confidenţiale prin reţinerea lor vizuală
Cum ne protejăm ?
- Utilizaţi date/ informaţii confidenţiale doar în mod securizat, fără a fi vizualizate
de eventuale persoane situate în apropiere sau având acces la un acelaşi cont
email
- Protejaţi datele şi informaţiile confidenţiale stocate pe suport hârtie prin
păstrarea lor în locuri sigure, evitând accesul şi vizualizarea lor de către alte
persoane
(C) Prof.dr.Nicolae Drăgulănescu 39
 TEHNICI DE FRAUDARE IN
MEDIUL ELECTRONIC (5)
“Man-in-the-middle”- constă în interceptarea
mesajelor prin realizarea de conexiuni
independente şi inserarea de mesaje noi sau
modificate

„Man-in-the-browser”- constă în utilizarea unui

cod de tip troian pentru a intercepta si manipula
informaţiile/ tranzacţiile de pe Internet, în scopul
provocării de fraude financiare

(C) Prof.dr.Nicolae Drăgulănescu 40