Securitatea sistemelor

informaţionale:
Managementul securităţii SI,
Controlul accesului logic,
Securitatea reţelelor locale şi a
aplicaţiilor client-server.
 Managementul securităţii SI
• Managementul securităţii informaţiei se
defineşte ca fiind ansamblul proceselor de
stabilire şi menţinere a unui cadru de lucru şi a
unei structuri de administrare care oferă
garanţia că strategiile de securitate a
informaţiei sunt aliniate şi susţinute prin
obiectivele afacerii, sunt în concordanţă cu
legile şi reglementările aplicabile pentru
administrarea cât mai adecvată a riscurilor.
• În conformitate cu seria de standarde 27000, sunt
identificate 36 de obiective de control importante şi
127 de elemente de control, grupate în zece categorii:
• politica de securitate;
• planificarea continuării afacerii;
• controlul accesului la sistem;
• dezvoltarea şi întreţinerea sistemului;
• securitatea fizică şi a mediului;
• conformitatea;
• securitatea personalului;
• securitatea organizaţiei;
• managementul calculatoarelor şi al reţelei;
• clasificarea şi controlul resurselor informatice.
COBIT structurează procesele IT în patru domenii:
• planificare şi organizare;
• achiziţionare şi implementare;
• funcţionare şi suport;
• monitorizare şi evaluare.
• Cele patru domenii enumerate includ 220 de
controale, clasificate în 34 de obiective de nivel
înalt.
• Obiectivele fundamentale de securitate, care se
regăsesc printre cerinţele unui mediu de afacere, sunt:
• confidenţialitatea – prevenirea accesului neautorizat la
informaţii; garantarea procedurilor şi metodelor ca
informaţia, care se află în tranzit sau stocată, să fie
accesibilă numai entităţilor autorizate să acceseze
respectivele resurse;
• integritatea – informaţia este protejată de pierderi sau
modificarea neautorizată; garantarea procedurilor şi
metodelor ca informaţia, care se află în tranzit sau
stocată, să nu poată fi modificată;
• disponibilitatea – garantarea că entităţile autorizate au
acces la resursele informaţionale atunci când au nevoie
de ele; de exemplu, prevenirea atacurilor de tip DoS
(Denial of Service);
• conformitatea cu legile, reglementările şi standardele
aplicabile.
Implementarea unui sistem de management al securităţii informaţiei
oferă o serie de avantaje:
• câştigarea încrederii partenerilor de afaceri (furnizori, clienţi);
• continuitatea afacerii;
• îmbunătăţirea sistemelor de prevenire şi răspuns în caz de
incidente;
• minimizarea riscurilor pentru furtul, coruperea sau pierderea
informaţiei;
• accesarea în siguranţă a informaţiei (de către angajaţi şi clienţi);
• justificarea şi optimizarea costurilor necesare implementării
controalelor de securitate;
• demonstrarea implicării şi angajamentul managementului pentru
securitatea informaţiei;
• demonstrarea conformităţii propriilor practici de securitate cu
standarde recunoscute;
• conformitatea cu cerinţele legale, cu regulile şi regulamentele
locale;
• asigurarea faptului că riscurile şi controalele sunt permanent
revizuite.
• Controalele de securitate sunt de trei tipuri:
• controlul fizic asigură protecţia mediului IT şi se
realizează prin personal de securitate, camere
video, lacăte, sisteme de alarmă, surse de
alimentare neîntreruptibile;
• controlul tehnic se referă la controlul accesului şi
include: autorizarea accesului la activele
companiei, criptarea;
• controlul administrativ se referă la politica de
securitate şi procedurile de implementare, ca
parte a planului de securitate. De exemplu, un
control administrativ poate include: politica,
ghidurile de securitate, procedurile de securitate,
instruirea în domeniul securităţii.
• Pentru identificarea configuraţiei sistemului de
securitate propriu este necesar să se proiecteze şi
să se implementeze un plan de securitate, care
va fi parte a planului strategic de dezvoltare a
afacerii organizaţiei.

• Politica de securitate este componenta centrală a

planului de securitate, fiind necesară o
documentare şi informare serioase înainte ca
propriile controale să fie aplicate mediului IT. O
politică de securitate conţine precizarea
scopurilor şi a intenţiilor.
O politică de securitate trebuie să specifice în mod clar
următoarele aspecte:
• obiectivele organizaţiei privind securitatea: asigurarea
protecţiei datelor împotriva scurgerilor de informaţii către
entităţi externe, protejarea datelor faţă de calamităţile
naturale, asigurarea integrităţii datelor sau asigurarea
continuităţii afacerii;
• personalul răspunzător pentru asigurarea securităţii care
poate fi: un grup restrâns de lucru, un grup de conducere
sau fiecare angajat;
• implicarea organizaţiei în ansamblu la asigurarea securităţii:
cine va asigura instruirea în domeniul securităţii, cum va fi
integrată partea de securitate în structura organizaţiei.
Pentru atingerea obiectivelor de securitate şi realizarea unui nivel înalt de
protecţie, planul de securitate va fi dezvoltat şi implementat pe niveluri. În
acest fel modelul conceptual al unui sistem de securitate va include
următoarele niveluri:
• securitatea aplicaţiei se referă în primul rând la securitatea produselor
software care pot fi utilizate pentru dezvoltarea aplicaţiilor de afaceri, ca
de exemplu servere web, SSL (Secure Sockets Layer) etc.;
• securitatea sistemului este implementată la nivelul comenzilor de sistem şi
controlează toate funcţiile software ale sistemului. Utilizatorii sunt
identificaţi şi autentificaţi la nivel de sistem printr-un singur mecanism de
securitate, pentru toate operaţiile pe care le vor executa pe sistem;
• securitatea reţelei face parte din proiectarea acesteia şi include
controalele prin firewall-uri, VPN (Virtual Private Network) şi gateways;
• securitatea fizică se ocupă de protecţia sistemelor, dispozitivelor şi
mediilor pentru backup şi include controalele de acces, sursele de
tensiune neîntreruptibile, liniile de comunicaţie redundante;
• securitatea organizaţiei este responsabilă pentru toate aspectele planului
de securitate a organizaţiei, incluzând politicile de securitate, instruirea în
domeniul securităţii, sistemele de afaceri ale organizaţiei şi planificarea
pentru recuperare în caz de dezastru.
 Roluri şi responsabilităţi privind securitatea SI
• Planul de securitate al unei organizaţiei cuprinde următoarele roluri şi responsabilităţi:
• comitetul de coordonare a securităţii stabileşte şi aprobă practicile de securitate.
• managementul de execuţie are responsabilitatea pentru protecţia generală a activelor
informaţionale şi răspunde de implementarea planului de securitate;
• grupul consultant pentru securitate are responsabilitatea revizuirii planului de securitate al
organizaţiei;
• ofiţerul şef de securitate (Chief Security Officer – CSO) are un rol-cheie în securitatea sistemului
informatic al organizaţiei.
• ofiţerul şef pentru confidenţialitate (Chief Privacy Officer – CPO) aplică politicile prin care compania
asigură drepturile de confidenţialitate pentru informaţiile angajaţilor şi clienţilor;
• proprietarii de procese/active informaţionale şi date garantează aplicarea măsurilor de securitate în
concordanţă cu politica organizaţiei.
• custodele se ocupă de protecţia activelor informaţionale sau datelor organizaţiei. Această
responsabilitate este alocată pentru controlul accesului logic. Persoana care îndeplineşte acest rol
se mai numeşte administrator cu securitatea sistemului;
• specialistul/consultantul în securitate îşi aduce contribuţia la proiectarea, implementarea,
managementul şi revizuirea politicilor, standardelor şi procedurilor de securitate ale organizaţiei.
• administratorul cu securitatea sistemului este responsabil cu implementarea şi întreţinerea
controalelor de securitate cerute prin politica de securitate.
• utilizator: orice persoană care are dreptul să utilizeze resursele sistemului. Drepturile alocate unui
utilizator vor fi în concordanţă cu responsabilitatea pe care o îndeplineşte;
• partenerii externi se referă la furnizori şi partenerii de afaceri care se ocupă cu activele
informaţionale;
• dezvoltatorii IT au responsabilitatea să implementeze securitatea informaţiei în aplicaţiile lor;
• auditorul de securitate poate fi un membru intern al organizaţiei sau un membru al unei firme de
audit. Un auditor de securitate inspectează în mod regulat procedurile de securitate ale organizaţiei
şi controlează, pentru a fi sigur că sunt îndeplinite, cerinţele din politica, procesele, procedurile şi
ghidurile de securitate.
 Controlul accesului logic
• Controalele accesului logic sunt utilizate
pentru a gestiona şi proteja informaţiile.
Descoperirea vulnerabilităţii unui control al
accesului logic, care poate fi accidentală sau
intenţionată, include o parte de natură
tehnică şi una de natură organizaţională.
 Strategia de implementare a
programelor antivirus
• Cea mai importantă problemă în implementarea unui program antivirus
este stabilirea căilor de intrare a viruşilor. Odată ce au fost depistate şi
catalogate ca fiind vulnerabilităţi maxime, căile de intrare a viruşilor sunt
comparate cu modulele de scanare ale programului antivirus ce urmează a
fi implementat. Fiecare utilizator va putea avea acces la un program
antivirus.
• De asemenea, este recomandat să se implementeze un singur program
antivirus, deoarece, la un moment dat, codurile de căutare ar putea fi
catalogate ca fiind virus de către celălalt program antivirus.

• Se recomandă ca la instalarea programului antivirus să se creeze un orar

de scanare a sistemului. Antivirusul va trebui să pornească automat şi va
raporta administratorului de sistem dacă au fost identificate amprente de
viruşi şi dacă au putut fi îndepărtate cu succes din sistem.
• Actualizarea programelor antivirus este obligatorie, fiind necesară
actualizarea bazei de date cu amprente de viruşi noi, ori de câte ori este
nevoie.
 Securitatea reţelelor locale şi a
aplicaţiilor client-server
• Primul element şi cel mai important în
securizarea reţelelor LAN îl reprezintă filtrarea
traficului la nivelul unei reţele ce se poate face
cu programe de tip firewall sau cu servere
Proxy. Acestea permit sau nu, în funcţie de
configuraţie, accesul unui proces în internet.
• Un firewall este un sistem sau un grup de
sisteme care gestionează controlul accesului
între două reţele.
Comunicarea în reţea include, de regulă, instalarea şi utilizarea
echipamentelor de reţea (PC-uri, imprimante, rutere, repertoare etc.). Pentru
aceasta, se impune stabilirea unor principii privind controalele securităţii,
cum sunt:
• funcţiile de control ale unei reţele trebuie să fie executate de
operatori/tehnicieni calificaţi;
• funcţiile de control ale unei reţele trebuie separate, iar sarcinile se execută
prin rotaţie;
• software-ul care realizează controlul reţelei trebuie să aibă acces
restricţionat la funcţii de ştergere sau modificare şi să întocmească un
jurnal al tuturor activităţilor;
• auditul funcţiilor de control trebuie să fie verificat în permanenţă pentru a
detecta operaţii neautorizate;
• standardele şi protocoalele trebuie să fie documentate şi puse la dispoziţia
operatorilor;
• accesul la reţea trebuie monitorizat în permanenţă de către inginerii de
sistem pentru a detecta accesul neautorizat;
• trebuie întocmite analize ale reţelei pentru a se verifica, din timp în timp,
dacă s-a modificat eficienţa reţelei şi timpul de răspuns al unor procese;
• trebuie utilizat un sistem de criptare a datelor în reţea pentru a proteja
mesajele în timpul transmiterii.
• Din cele prezentate mai sus, desprindem o
concluzie esenţială, şi anume că la configurarea
unui firewall va trebui să avem în vedere
următoarele reguli:
• politica globală de securitate va fi aleasă de
organizaţie;
• niveluri de control vor stabili cine este autorizat
şi cine are interdicţie;
• din punct de vedere financiar, trebuie ales un
firewall care să îndeplinească o bună parte din
cerinţele politicii de securitate (un cost mic al
firewall-ului poate duce la o configurare şi
administrare anevoioasă).
• Controlul accesului la sistemul informatic presupune
stabilirea următoarelor reguli:
• staţiile de lucru trebuie să fie accesate, în mod unic, de
utilizatorii acestora (filtrarea utilizatorilor);
• una dintre sursele de risc al vulnerabilităţii unei staţii de
lucru este instalarea suplimentară de aplicaţii
neautorizate;
• utilizatorii nu-şi vor ţine parolele scrise pe hârtii lăsate pe
birou la îndemâna oricui.
• staţiile de lucru trebuie să fie sigilate fizic pentru a evita
accesul la hard disc şi/sau componente esenţiale;
• serverul trebuie protejat, în mod particular, prin
interzicerea accesului persoanelor în încăperea unde se află
acesta;
• accesul liber la BIOS-ul calculatorului poate duce la
schimbări de configurare şi deci la nefuncţionarea staţiei de
lucru;
• strategiile sistemelor de operare permit limitarea
posibilităţii utilizatorilor sau staţiilor de lucru.
 Securitarea aplicaţiilor client - server
O aplicaţie client-server presupune existenţa mai multor puncte de acces. Procedurile de securitate
pentru mediul unui astfel de server nu sunt de regulă bine înţelese sau protejate. Sistemele client-
server utilizează tehnici distribuite, ceea ce conduce la creşterea riscului de acces neautorizat la datele
şi procesele acestuia. Astfel, securizarea unui sistem client-server presupune identificarea tuturor
punctelor de acces. Tehnicile de control pentru un sistem client-server sunt:
• securizarea accesului la date sau aplicaţii poate fi asigurată prin dezactivarea unităţilor floppy;
• instrumentele de monitorizare a reţelei sunt utilizate pentru a urmări activitatea de la un utilizator
cunoscut la un altul necunoscut;
• utilizarea tehnicilor de criptare a datelor;
• sistemele de autentificare furnizează facilităţi logice care diferenţiază utilizatorii;
• utilizarea unor programe de control al accesului la nivel de aplicaţie şi organizarea utilizatorilor
finali reprezintă controale de gestionare care restricţionează accesul, limitând utilizatorii la acele
funcţii necesare pentru îndeplinirea strictă a îndatoririlor.
• Riscurile ce apar la nivelul arhitecturii client-server sunt:
• controalele de acces sunt mai puţin performante pentru mediul client-server;
• schimbarea controlului şi a gestionării procedurilor se poate face automat sau manual, ceea ce
duce la un prim motiv de vulnerabilitate a sistemului;
• pierderea disponibilităţii reţelei poate avea un impact puternic asupra afacerii;
• utilizarea unor modemuri sincronizate şi nesicronizate pentru conectarea reţelei la alte reţele poate
fi neautorizată;
• conexiunea la reţele publice prin reţeaua de telefonie poate fi o vulnerabilitate;
• schimbările de sisteme sau date neautorizate;
• accesul la date confidenţiale;
• codurile şi datele ce nu se găsesc pe aceeaşi maşină, într-o incintă securizată.
Securizarea serverului
• Securizarea serverului presupune controlarea
cererilor care i-au fost adresate şi securizarea
sistemului informatic cu care colaborează pentru
a înapoia serviciul solicitat de clienţi. Plecând de
la stricta configurare a sistemului, protejarea
acestuia de exterior se face de obicei printr-un
firewall. Configurarea unui firewall se face după
criteriile de securitate determinate pentru
filtrarea traficului parcurs şi astfel se aplică o
politică de control al accesului la sistem.
Protejarea datelor constă, deci, în limitarea
accesului la acestea, precum şi punerea lor la
dispoziţia clienţilor autorizaţi.