Documente Academic
Documente Profesional
Documente Cultură
0
În anul 2002, s-a concretizat cadrul legislativ naţional necesar aplicării procedurilor
specifice protecţiei informaţiilor clasificate NATO, dar şi naţionale, prin adoptarea următoarelor
acte: „Legea nr. 182 din 12 aprilie 2002 privind protecţia informaţiilor clasificate”,
„Hotărârea de Guvern nr.353 din 13 mai 2002 pentru aprobarea Normelor privind protecţia
informaţiilor clasificate ale Organizaţiei Tratatului Atlanticului de Nord în România” şi
„Hotărârea de Guvern nr. 585 din 05 iulie 2002 pentru aprobarea Standardelor naţionale de
protecţie a informaţiilor clasificate în România”.
Protecţia informaţiilor secrete de stat este necesară din perspectiva principiului general al
existenţei unei organizaţii, care este asigurarea funcţionalităţii sale în vederea păstrării
competitivităţii - a furniza bunuri şi servicii pentru a avea profit, deoarece toate organizaţiile au
ca scop supravieţuirea. Ideea centrală a managementului, ca activitate de conducere, administrare
şi gestionare a organizaţiei constă în asigurarea funcţionării optime a acesteia (realizare a
activităţilor sale specifice), proces prin care este exprimată capacitatea de a se corela dinamic
resursele cu scopul organizaţional asumat.
Prin prevederile legale actuale se stabileşte foarte clar că protecţia informaţiilor secrete
de stat este o funcţie a managementului – “conducătorii unităţilor deţinătoare de informaţii
secrete de stat sunt răspunzători de aplicarea măsurilor de protecţie a informaţiilor secrete de
stat”(art. 84 din HG nr. 585/2002). Prin adoptarea cadrului legal specific, pentru cele patru
domenii prezentate – protecţia fizică, juridică, procedurală şi a surselor generatoare de
informaţii, s-au uniformizat şi s-au stabilit care sunt măsurile de protecţie a informaţiilor secrete
de stat şi care este responsabilitatea instituţiilor care le gestionează.
Organizaţia este “un subsistem al sistemului social, definit prin necesitatea de a realiza
obiective proprii prin relaţiile pe care le dezvoltă cu mediul în care operează”. În contextul
politic, social şi economic actual, securitatea “ca parametru principal de calitate (integrând
elementele de fiabilitate, viabilitate, adaptabilitate şi stabilitate) al tuturor proceselor şi
sistemelor, fără de care eficienţa nu este posibilă” este o componentă majoră a managementului
organizaţiei.
În lucrare vom extrage elemente specifice ale managementului de securitate, ca proces
specific care integrează la nivelul factorilor de decizie ai unei organizaţii conştientizarea
necesităţii securităţii informaţiilor, cu accente pe vulnerabilităţi în ceea ce priveşte sistemele
informatice, ca factor vital în depozitarea, procesarea şi transmiterea informaţiilor.
1
Un principiu comun enunţă că „securitatea este
responsabilitatea fiecăruia”, iar acest lucru este foarte relevant
în ceea ce priveşte securitatea computerului. Este important ca
TU să înţelegi vulnerabilităţile existente – pentru că şi
involuntar – TU poţi pune în pericol întregul sistem informatic.
O reţea este securizată în raport cu cea mai slabă verigă a sa.
CONFIDENŢIALITATEA
Se referă la protecţia sistemelor informatice, astfel încât să nu fie posibilă accesarea din
partea persoanelor neautorizate. În ceea ce priveşte procedurile care asigură confidenţialitatea
informaţiei, este necesar ca implementarea lor să se realizeze cu acurateţe şi precizie, în special
în cazul computerelor “izolate”. Un aspect esenţial al confidenţialităţii se referă la modalitatea de
identificare a utilizatorului şi autentificarea. Identificarea fiecărui utilizator al unui computer este
esenţială pentru eficienţa politicilor de securitate care specifică cui îi este permis accesul şi la ce
tip de date.
2
Ameninţări la adresa confidenţialităţii
Hacker – este persoana care exploatează vulnerabilităţile existente în sistemele
informatice şi elimină procedurile de control a accesului (în unele cazuri, se identifică
parole ale unor persoane care autorizate, parole care prin componenţa lor nu prezintă un
grad mare de dificultate). O astfel de intruziune are un nivel de gravitate ridicat, întrucât
se copiază fişiere protejate inadecvat şi se plasează în partiţii ale sistemelor unde este
foarte posibil să fie accesate şi de persoane neautorizate.
Intrusul - este un user neautorizat care identifică parola unui user autorizat şi accesează
fişierele existente în respectiva locaţie (citeşte şi copiază fişiere confidenţiale). Situaţia
apare în organizaţiile care permit utilizatorilor să-şi transmită parolele.
Activitatea neautorizată a unui utilizator – un utilizator autorizat în ceea ce priveşte
accesarea sistemului, are acces la un fişier pentru care nu există need-to-know şi pentru
care nu are autorizaţie de citire/modificare (apare în situaţia în care există o procedură
minimă de control a accesului).
Download-ul – acest proces afectează confidenţialitatea întrucât fişierele sunt mutate de
pe o locaţie protejată a unui sistem pe un hard al unui computer local (pentru a fi
prelucrate) care nu are proceduri de protecţie.
Reţele locale – prezintă o ameninţare specială pentru confidenţialitate, întrucât datele
existente într-o reţea pot fi vizualizate de către orice utilizator, chir dacă nu îi sunt
adresate în mod particular. De aceea, este necesară utilizarea unor ID-uri criptate şi a
unor parole “secrete” pentru accesarea unor locaţii de fişiere.
“Trojan horses”- sunt programe introduse într-o interfaţă diferită, care declanşează
mecanisme de copiere a unor fişiere în locaţii neprotajate ale unui sistem informatic, în
momentul în care un user autorizat activează respectiva interfaţă (astfel, un program
devine parte componentă a sistemului informatic utilizat şi în mod uzual execută
copierea unor fişiere).
3
referă la nivelul de acces autorizat pentru subiect şi nivelul de “sensibilitate” al
obiectului (ex - existenţa certificatului de securitate şi nivelul de clasificare a
informaţiei).
- modelul de control al accesului, care organizează sistemul în obiecte (resurse
disponibile), subiecţi (persoane sau programme care execută aplicaţii) şi operaţii
(procesele de interacţiune). Un set de reguli specifică ce operaţii pot fi executate de
un subiect şi în raport cu ce obiect.
Păstrarea adecvată a unor date sensibile, aşa cum sunt User ID-ul şi parolele este
responsabilitatea fiecăruia, şi de aceea, pentru asigurarea confidenţialităţii informaţiilor în format
electronic punctăm cele mai bune practici:
- NU dezvăluiţi User ID-ul şi parolele CUIVA, indifferent dacă este şeful dvs, un coleg de
serviciu, un specialist din echipa de informatică sau un membru de familie. Nimeni nu vă poate
forţa să vă dezvăluiţi User ID-ul şi parolele indiferent de cirsumstanţe. Este responsabilitatea dvs
de a păstra datele cât mai secrete;
- NU păstraţi User ID-ul şi parolele pe bucăţele de hârtie, post-ituri, carneţele, agende;
- NU vă ascundeţi User ID-ul(s) sau parolele sub tastatură sau în alte locuri “secrete”. Faceţi un
efort şi memoraţi-le;
- Scimbaţi-vă parolele în concordanţă cu cerinţele politicii de securitate în ceea ce priveşte
reînnoirea periodică a acestora;
- Înainte să vă introduceţi User ID-ul şi parolele, asiguraţi-vă că nu este nimeni care să le poată
observa.
- Înainte de a utiliza User ID-ul şi parolele pe un alt computer, asiguraţi-vă că este protejat.
INTEGRITATEA
Se referă la protecţia datelor în raport cu modificări neautorizate, intenţionate sau
accidentale. Obiectivul programului de securitate este acela de a asigura ca datele să fie păstrate
în starea pe care au fost definite de utilizator. Deşi un program de securitate nu poate eficientiza
acurateţea datelor introduse în sistem, devine un factor de asigurare că modificările sunt aplicate
corect şi în mod conştient.
Un element suplimentar al integrităţii este reprezentat de necesitatea de a proteja
procesele şi programele utilizate pentru prelucrarea datelor în raport cu modificări neautorizate.
Factorul critic se defineşte prin aceea că un utilizator nu ar trebui să aibă capacitatea de a
interveni în procesarea datelor.
În concordanţă cu politica confidenţialităţii, identificarea şi autentificarea utilizatorului
sunt elementele cheie ale politicii integrităţii informaţiei. Integritatea este definită de controlul
4
accesului; astfel, este necesar ca toate persoanele care accesează un sistem să fie identificate în
mod unic.
5
1. Modelul Biba (1977)-constă în trei părţi: a) un subiect nu poate executa obiecte care un nivel
de integritate mai mic decât al subiectului, b) un subiect nu poate modifica un obiect care are un
nivel de integritate mai mare, c) un subiect nu poate solicita serviciile altui subiect care are un
nivel de integritate mai mare
2. Modelul Goguen-Meseguer (1982) – se referă la separarea domeniilor, care sunt liste de
obiecte pe care un utilizator le poate accesa; utilizatorii pot fi grupaţi în funcţie de domeniile
accesate. Separarea utilizatorilor în diferite domenii asigură faptul că nu se interferează
activităţile.
3. Modelul Sutherland (1986) – deşi nu invocă în mod direct un mecanism de protecţie, se
referă la restricţionarea accesului raportat la subiect şi fluxul informaţional restricţionat între
obiecte.
4. Modelul Clark-Wilson (1987/1989) – implică a) tranzacţii foarte clar definite - previne
manipularea datelor de către utilizatori şi asigură consistenţa internă a acestora şi b) separarea
sarcinilor – previne ca persoane autorizate să facă modificări inadecvate şi asigură consistenţa
externă a datelor (datele existente în sistem reflectă realitatea pe care o reprezintă)
5. Modelul Brewer-Nash (1989) – se referă la implementarea unei dinamici în ceea ce priveşte
schimbarea autorizării accesului, şi furnizează integritatea raportată la bazele de date.
DISPONIBILITATEA
Se referă la faptul că un computer poate fi accesat de o persoană autorizată în orice
moment când este necesar. Apar două aspecte:
- refuzul accesului
- pierderea de date ca rezultat al unor dezastre naturale sau acţiuni umane
În asigurarea disponibilităţii intervin factori fizici, tehnici şi administrativi. Protecţia
fizică include controlul accesului pentru a se preveni intrarea unei persoane neautorizate în spaţii
unde există sisteme informatice, mecanisme de avertizare în caz de incendiu sau inundaţie, de
control a temperaturii în încăpere şi facilităţi de stocare în copie a datelor. Protecţia tehnică se
referă la mecanisme de control electronice dar şi la programe care blochează sistemul atunci
când se încearcă operaţii neautorizate. Partea administrativă constă în politicile de control a
accesului, implementarea procedurilor de acţiune în cazuri speciale şi trainingul personalului.
6
Modificarea, distrugerea, manipularea, sau restricţionarea abuzivă accesului la informaţia
din computer.
Stocarea sau prelucrarea de informaţiilor clasificate pe un sistem care nu este certificat şi
aprobat.
Încercarea de a eluda sau sparge programele de securitate sau monitorizare, fără
autorizarea administratorului de sistem (exceptând cazurile speciale ale testării autorizate
a securităţii sistemului şi instruirii pe linie de securitate a sistemelor informatice).
7
Concluzie
Un principiu uzual este că o ameninţare împotriva unui sistem informatic este externă,
generată de existenţa unui “grup de hackeri care sunt undeva acolo”, şi de aceea eforturile se
depun pentru a bloca accesul intruşilor – prin măsuri fizice sau tehnice: puncte de control,
camere de supraveghere, parole etc. Dar, în timp ce acest punct de vedere exprimă o realitate
care există, un individ din interior care are acces la sistem reprezintă un pericol şi mai mare!
Utilizatorii reţelei de calculatoare trebuie să fie autorizaţi şi să aibă acces numai la partiţiile
proprii!
Reţeaua de calculatoare din instituţii pe care se procesează informaţii sensibile trebuie să fie
independentă de restul sistemului informatic! Dacă este neapărat necesar să legaţi reţeaua cu
informaţii sensibile la o reţea externă, atunci folosiţi mai multe niveluri de siguranţă
(codificare, parole, verificări, software antivirus)!
Accesul la Internet şi la e-mail trebuie să se facă de la un calculator independent, pe care nu
sunt procesate informaţii sensibile şi care nu este conectat la reţeaua internă!
Parolele de acces nu vor fi dezvăluite persoanelor neautorizate, indiferent de funcţie şi nu se
va permite accesul acestora la partiţia proprie!
8
BIBLIOGRAFIE
1. Truţă, Meda (Udroiu). (2008). Protecţia sistemelor de comunicaţii şi informatice, ANI, note
de curs
2. Buştiuc, Florin, Juverdeanu, Doru – Perspectiva organizaţională a protecţiei informaţiilor,
temă comunicată la simpozionul “Securitate şi societate: provocările mileniului trei”, Academia
Naţională de Informaţii, martie 2004
3. Ilie, Gheorghe, Stoian, Ion şi Ciobanu, Aurel. (1996). Securitatea informaţiilor. Bucureşti:
Editura Militară
4. Ilie, Gheorghe, Urdăreanu, Tiberiu. (2001). Securitatea deplină. Bucureşti: Editura UTI
5. Ilie, Gheorghe. (1995). Securitatea sistemelor militare. Bucureşti: Editura Militară
6. Toffler, Alvin. (1995). Powershift. Puterea în mişcare. Bucureşti: Editura Antet