Documente Academic
Documente Profesional
Documente Cultură
-informația din cadrul activității speciale de investigație reprezintă o procedură cu caracter secret şi/sau
public, efectuată de autorităţile competente, cu sau fără utilizarea echipamentelor tehnice speciale, în
scopul culegerii de informaţii necesare pentru prevenirea şi combaterea criminalităţii, asigurarea
securităţii statului, ordinii publice, apărarea drepturilor şi intereselor legitime ale persoanelor,
descoperirea şi cercetarea infracţiunilor.
2.Deosebiți informația cu acces limitat de informația oficială public accesibilă stabilind condițiile de care
trebuie sa țină cont specialistul responsabil de securitate informațională.
Sînt considerate informaţii de categorie specială şi nu pot face obiectul deţinerii şi prelucrării
în baze de date datele cu caracter personal privind originea rasială sau etnică, opiniile politice,
convingerile religioase sau alte convingeri, datele referitoare la sănătate sau viaţa sexuală a
persoanei, precum şi cele referitoare la antecedentele penale. Astfel de date pot fi prelucrate
şi deţinute de organe special constituite şi autorizate pentru aceasta şi care sînt obligate să ia
măsuri şi garanţii corespunzătoare de protecţie şi nedivulgare.Sînt excluse de la deţinerea şi
prelucrarea în baze de date datele ce constituie informaţii oficiale cu accesibilitate limitată ale altor
titulari care au stabilit caracterul lor, cu excepţia celor autorizate sau obligatorii pentru păstrare
potrivit legislaţiei. Datele de interes public pot fi prelucrate şi deţinute liber, fără restricţii şi obligaţii de
natură morală sau materială din partea titularilor de date, în cadrul obiectului lor de activitate. Transferul
de date cu caracter personal către utilizatori din alte ţări nu poate avea loc decît dacă aceştia asigură un
nivel de protecţie a datelor conform legislaţiei şi reglementărilor în vigoare. Persoanele juridice şi fizice au
drept de acces la datele publice, precum şi la metodologia de definire a indicatorilor utilizaţi în colectarea
şi prelucrarea informaţiei publice, a clasificatoarelor şi nomenclatoarelor utilizate.
Nu poate fi impusă nicio restricție privind dreptul la informație din motive de securitate națională, dacă
guvernul nu poate demonstra că: (1) restricția (a) este prevăzută de lege și (b) este necesară într-o
societate democratică (c) pentru a proteja un interes legitim de securitate națională; și (2) legea prevede
garanții adecvate împotriva abuzurilor, inclusiv examinare promptă, completă, accesibilă și efectivă a
valabilității restricției de către o autoritate independentă de supraveghere, precum și examinarea
completă de către instanțele de judecată.
3.Evaluați rolul responsabilului de securitate informaționala in cadrul unei instituții indicînd drepturile și
obligațiile acestuia
Persoanele care activează în cadrul sistemelor şi reţelelor informatice sînt obligate să asigure protecţia
şi confidenţialitatea datelor, cu excepţia celor care sînt determinate ca date publice.
În scopul asigurării protecţiei datelor şi evitării infracţiunilor ce ţin de domeniul informaticii, se
interzice:
a)elaborarea şi instalarea în reţelele informatice a produselor program ce pot modifica, deteriora,
distruge datele, produsele program şi echipamentele;
b) pătrunderea neautorizată în sistemele şi reţelele informatice publice sau private pentru a capta,
memora, prelucra sau difuza date şi programe ori pentru a modifica, deteriora, distruge date, programe
şi echipamente;
c) deturnarea datelor, perturbarea programelor ori falsificarea mesajelor sau transmiterea datelor
eronate în scopul deranjamentului fluxului de date sau creării unei stări de neîncredere între
participanţii la circuitul informatic;
d) pătrunderea neautorizată şi cu intenţie în sistemele şi reţelele informatice publice sau private, chiar
neurmată de ascultarea, înregistrarea sau utilizarea în interese personale ori în interesele altor persoane a
datelor culese, precum şi pentru obţinerea unui alt folos.
În scopul asigurării securităţii naţionale, organele abilitate au drept de acces la resursele informaţionale
din sistemele informatice publice sau private. În procesele penale, organele menţionate pot, în baza
mandatului emis de procuror, intercepta reţelele informatice, utilizînd aparatajul tehnic al proprietarului
sistemului informatic.
4.Identificați și caracterizați riscurile ce pot afecta funcționalitatea sistemelor și resurselor
informaționale stabilind mecanisme de prevenire
În general, riscurile asociate unui sistem informational, pe care orice auditor trebuie sa le analizeze si
evalueze (tehnica frecvent utilizata în acest caz este chestionarul), în vederea aprecierii sistemului în sine,
vizeaza:
Riscul securitatii fizice ce va fi evaluat în functie de informatiile culese, cu privire la: existenta
sistemelor de paza, detectie si alarma a incendiilor, sistemelor de protectie împotriva caderilor de
tensiune, protectia echipamentelor împotriva furturilor, protectia împotriva catastrofelor naturale
(inundatii, cutremure..), protectia fizica a suportilor de memorare, pastrarea copiilor de siguranta într-o
alta locatie decât cea în care îsi desfasoara activitatea organizatia.
Riscul de comunicatie poate lua valente diferite, în functie de disponibilitatea sistemului la reteaua
publica, situatie în care auditorul e necesar sa analizeze masurile de securitate adoptate: existenta unui
firewall, modul de configurare a acestuia, analiza modului de transmitere a datelor prin reteaua publica
(utilizarea tehnicilor de criptare, existenta unei retele virtuale private - VPN). Acest risc se poate
manifesta si la nivelul unei retele locale, atunci când configurarea acesteia lasa de dorit si prin
“ascultarea” liniilor de comunicatie, traficul acesteia poate fi compromis. Confidentialitatea informatiilor
nu vizeaza doar memorarea acestora pe statiile de lucru sau servere, ci si liniile de comunicatie.
Riscul privind integritatea datelor si tranzactiilor vizeaza toate riscurile asociate cu autorizarea,
completitudinea si acuratetea acestora.
Riscul de acces se refera la riscul asociat accesului inadecvat la sistem, date sau informatii. Implicatiile
acestui risc sunt majore, el vizând confidentialitatea informatiilor, integritatea datelor sau bazelor de date
si disponibilitatea acestora. În acest sens, actiunile auditorului presupun o analiza a managementului
parolelor la nivelul organizatiei (altfel spus atribuirea si schimbarea parolelor de acces fac obiectul unei
aprobari formale?), o investigare a încercarilor de accesare neautorizata a sistemului (exista o jurnalizare
a acestora ?), o analiza a protectiei statiilor de lucru (sunt acestea dotate cu soft care sa blocheze accesul
la retea, atunci când utilizatorul nu se afla la statia sa ?).
Riscul privind protectia antivirus ce impune o analiza a existentei programelor antivirus în entitate,
utilizarea lor la nivel de server si statii de lucru, upgrade-ul acestor programe (manual sau automat). Lupta
cu virusii este esentiala, dar nu usor de realizat. În ciuda numarului mare de programe antivirus existente
este necesara o analiza a caracteristicilor programului privind: scanarea în timp real a sistemului sau
monitorizarea continua a acestuia, scanarea mesajelor e-mail, scanarea manuala.
Riscul legat de documentatia sistemului informatic. Documentatia generala a unui sistem informatic
vizeaza pe de o parte documentatia sistemului de operare sau retelei si, pe de alta parte, documentatia
aplicatiilor instalate. Aceasta documentatie poate fi diferita pentru administratori, utilizatori si operatori
astfel încât sa ajute la instalarea, operarea, administrarea si utilizarea produsului. Riscurile asociate
documentatiei se pot referi la faptul ca, aceasta nu reflecta realitatea în ceea ce priveste sistemul, nu este
inteligibila, este accesibila persoanelor neautorizate, nu este actualizata.
Riscul de personal poate fi analizat prin prisma urmatoarelor criterii:
1. Structura organizationala la nivelul departamentului IT ce va avea în vedere modul în care sunt
distribuite sarcinile si responsabilitatile în cadrul acestuia. Alocarea unui numar prea mare de
responsabilitati la nivelul unei singure persoane sau unui grup de persoane este semnul unei organizari
interne defectuoase.
2. Practica de selectie a angajatilor. La baza unui mediu de control adecvat stau competenta si integritatea
personalului, ceea ce implica din partea auditorilor o analiza a politicilor si procedurilor organizatiei
privind angajarea, specializarea, evaluarea performantelor si promovarea angajatilor.
Riscul de infrastructura se concretizeaza în faptul ca organizatia nu detine o infrastructura efectiva a
tehnologiei informatiei (hardware, retele, software, oameni si procese) pentru a sustine nevoile acesteia.
Riscul de management al situatiilor neprevazute (risc de disponibilitate) este riscul asociat
pericolelor naturale, dezastrelor, caderilor de sistem care pot conduce la pierderi definitive ale datelor,
aplicatiilor, în absenta unor proceduri de monitorizare a activitatii, a planurilor de refacere în caz de
dezastre.
În vederea minimizarii sau eliminarii riscurilor fiecare organizatie dispune implementarea unor metode
de control tehnice sau nontehnice ce pot viza:
- mecanisme de control al accesului,
- mecanisme de identificare si autentificare,
- metode de criptare a datelor
- software de detectare a intruziunilor
- politici de securitate
- proceduri operationale si de personal.