Documente Academic
Documente Profesional
Documente Cultură
Securitatea Sistemelor Informatice Si de Prelucrare A Datelor PDF
Securitatea Sistemelor Informatice Si de Prelucrare A Datelor PDF
informaţionale:
Managementul securităţii SI,
Controlul accesului logic,
Securitatea reţelelor locale şi a
aplicaţiilor client-server.
Managementul securităţii SI
• Managementul securităţii informaţiei se
defineşte ca fiind ansamblul proceselor de
stabilire şi menţinere a unui cadru de lucru şi a
unei structuri de administrare care oferă
garanţia că strategiile de securitate a
informaţiei sunt aliniate şi susţinute prin
obiectivele afacerii, sunt în concordanţă cu
legile şi reglementările aplicabile pentru
administrarea cât mai adecvată a riscurilor.
• În conformitate cu seria de standarde 27000, sunt
identificate 36 de obiective de control importante şi
127 de elemente de control, grupate în zece categorii:
• politica de securitate;
• planificarea continuării afacerii;
• controlul accesului la sistem;
• dezvoltarea şi întreţinerea sistemului;
• securitatea fizică şi a mediului;
• conformitatea;
• securitatea personalului;
• securitatea organizaţiei;
• managementul calculatoarelor şi al reţelei;
• clasificarea şi controlul resurselor informatice.
COBIT structurează procesele IT în patru domenii:
• planificare şi organizare;
• achiziţionare şi implementare;
• funcţionare şi suport;
• monitorizare şi evaluare.
• Cele patru domenii enumerate includ 220 de
controale, clasificate în 34 de obiective de nivel
înalt.
• Obiectivele fundamentale de securitate, care se
regăsesc printre cerinţele unui mediu de afacere, sunt:
• confidenţialitatea – prevenirea accesului neautorizat la
informaţii; garantarea procedurilor şi metodelor ca
informaţia, care se află în tranzit sau stocată, să fie
accesibilă numai entităţilor autorizate să acceseze
respectivele resurse;
• integritatea – informaţia este protejată de pierderi sau
modificarea neautorizată; garantarea procedurilor şi
metodelor ca informaţia, care se află în tranzit sau
stocată, să nu poată fi modificată;
• disponibilitatea – garantarea că entităţile autorizate au
acces la resursele informaţionale atunci când au nevoie
de ele; de exemplu, prevenirea atacurilor de tip DoS
(Denial of Service);
• conformitatea cu legile, reglementările şi standardele
aplicabile.
Implementarea unui sistem de management al securităţii informaţiei
oferă o serie de avantaje:
• câştigarea încrederii partenerilor de afaceri (furnizori, clienţi);
• continuitatea afacerii;
• îmbunătăţirea sistemelor de prevenire şi răspuns în caz de
incidente;
• minimizarea riscurilor pentru furtul, coruperea sau pierderea
informaţiei;
• accesarea în siguranţă a informaţiei (de către angajaţi şi clienţi);
• justificarea şi optimizarea costurilor necesare implementării
controalelor de securitate;
• demonstrarea implicării şi angajamentul managementului pentru
securitatea informaţiei;
• demonstrarea conformităţii propriilor practici de securitate cu
standarde recunoscute;
• conformitatea cu cerinţele legale, cu regulile şi regulamentele
locale;
• asigurarea faptului că riscurile şi controalele sunt permanent
revizuite.
• Controalele de securitate sunt de trei tipuri:
• controlul fizic asigură protecţia mediului IT şi se
realizează prin personal de securitate, camere
video, lacăte, sisteme de alarmă, surse de
alimentare neîntreruptibile;
• controlul tehnic se referă la controlul accesului şi
include: autorizarea accesului la activele
companiei, criptarea;
• controlul administrativ se referă la politica de
securitate şi procedurile de implementare, ca
parte a planului de securitate. De exemplu, un
control administrativ poate include: politica,
ghidurile de securitate, procedurile de securitate,
instruirea în domeniul securităţii.
• Pentru identificarea configuraţiei sistemului de
securitate propriu este necesar să se proiecteze şi
să se implementeze un plan de securitate, care
va fi parte a planului strategic de dezvoltare a
afacerii organizaţiei.