TEMA – Necesitatea securităţii informaţiilor în managementul organizaţiei

O tridimensionalitate – confidenţialitate, integritate, disponibilitate.

0
 În anul 2002, s-a concretizat cadrul legislativ naţional necesar aplicării procedurilor
specifice protecţiei informaţiilor clasificate NATO, dar şi naţionale, prin adoptarea următoarelor
acte: „Legea nr. 182 din 12 aprilie 2002 privind protecţia informaţiilor clasificate”,
„Hotărârea de Guvern nr.353 din 13 mai 2002 pentru aprobarea Normelor privind protecţia
informaţiilor clasificate ale Organizaţiei Tratatului Atlanticului de Nord în România” şi
„Hotărârea de Guvern nr. 585 din 05 iulie 2002 pentru aprobarea Standardelor naţionale de
protecţie a informaţiilor clasificate în România”.
Protecţia informaţiilor secrete de stat este necesară din perspectiva principiului general al
existenţei unei organizaţii, care este asigurarea funcţionalităţii sale în vederea păstrării
competitivităţii - a furniza bunuri şi servicii pentru a avea profit, deoarece toate organizaţiile au
ca scop supravieţuirea. Ideea centrală a managementului, ca activitate de conducere, administrare
şi gestionare a organizaţiei constă în asigurarea funcţionării optime a acesteia (realizare a
activităţilor sale specifice), proces prin care este exprimată capacitatea de a se corela dinamic
resursele cu scopul organizaţional asumat.
Prin prevederile legale actuale se stabileşte foarte clar că protecţia informaţiilor secrete
de stat este o funcţie a managementului – “conducătorii unităţilor deţinătoare de informaţii
secrete de stat sunt răspunzători de aplicarea măsurilor de protecţie a informaţiilor secrete de
stat”(art. 84 din HG nr. 585/2002). Prin adoptarea cadrului legal specific, pentru cele patru
domenii prezentate – protecţia fizică, juridică, procedurală şi a surselor generatoare de
informaţii, s-au uniformizat şi s-au stabilit care sunt măsurile de protecţie a informaţiilor secrete
de stat şi care este responsabilitatea instituţiilor care le gestionează.
Organizaţia este “un subsistem al sistemului social, definit prin necesitatea de a realiza
obiective proprii prin relaţiile pe care le dezvoltă cu mediul în care operează”. În contextul
politic, social şi economic actual, securitatea “ca parametru principal de calitate (integrând
elementele de fiabilitate, viabilitate, adaptabilitate şi stabilitate) al tuturor proceselor şi
sistemelor, fără de care eficienţa nu este posibilă” este o componentă majoră a managementului
organizaţiei.
În lucrare vom extrage elemente specifice ale managementului de securitate, ca proces
specific care integrează la nivelul factorilor de decizie ai unei organizaţii conştientizarea
necesităţii securităţii informaţiilor, cu accente pe vulnerabilităţi în ceea ce priveşte sistemele
informatice, ca factor vital în depozitarea, procesarea şi transmiterea informaţiilor.

1
 Un principiu comun enunţă că „securitatea este
responsabilitatea fiecăruia”, iar acest lucru este foarte relevant
în ceea ce priveşte securitatea computerului. Este important ca
TU să înţelegi vulnerabilităţile existente – pentru că şi
involuntar – TU poţi pune în pericol întregul sistem informatic.
O reţea este securizată în raport cu cea mai slabă verigă a sa.

În conformitate cu Standardele naţionale de protecţie a informaţiilor clasificate în

România, aprobate prin HG nr. 585/2002, domeniul INFOSEC se referă la ansamblul măsurilor
şi structurilor de protecţie a informaţiilor clasificate care sunt prelucrate, stocate sau transmise
prin intermediul sistemelor informatice de comunicaţii şi al altor sisteme electronice, împotriva
ameninţărilor şi a oricăror acţiuni care pot aduce atingere confidenţialităţii, integrităţii,
disponibilităţii, autenticităţii si nerepudierii informaţiilor clasificate precum şi afectarea
funcţionării sistemelor informatice, indiferent dacă acestea apar accidental sau intenţionat.
Măsurile INFOSEC acoperă securitatea calculatoarelor, a transmisiilor, a emisiilor, securitatea
criptografică, precum şi depistarea şi prevenirea ameninţărilor la care sunt expuse informaţiile şi
sistemele.
În acord cu această definiţie, vom detalia modul în care este necesar ca un manager de
securitate să stabilească un program de securitate dimensionat pe trei cerinţe fundamentale:
- confidenţialitate
- integritatea
- disponibilitatea
informaţiilor existente în organizaţie.

CONFIDENŢIALITATEA
Se referă la protecţia sistemelor informatice, astfel încât să nu fie posibilă accesarea din
partea persoanelor neautorizate. În ceea ce priveşte procedurile care asigură confidenţialitatea
informaţiei, este necesar ca implementarea lor să se realizeze cu acurateţe şi precizie, în special
în cazul computerelor “izolate”. Un aspect esenţial al confidenţialităţii se referă la modalitatea de
identificare a utilizatorului şi autentificarea. Identificarea fiecărui utilizator al unui computer este
esenţială pentru eficienţa politicilor de securitate care specifică cui îi este permis accesul şi la ce
tip de date.

2
Ameninţări la adresa confidenţialităţii
 Hacker – este persoana care exploatează vulnerabilităţile existente în sistemele
informatice şi elimină procedurile de control a accesului (în unele cazuri, se identifică
parole ale unor persoane care autorizate, parole care prin componenţa lor nu prezintă un
grad mare de dificultate). O astfel de intruziune are un nivel de gravitate ridicat, întrucât
se copiază fişiere protejate inadecvat şi se plasează în partiţii ale sistemelor unde este
foarte posibil să fie accesate şi de persoane neautorizate.
 Intrusul - este un user neautorizat care identifică parola unui user autorizat şi accesează
fişierele existente în respectiva locaţie (citeşte şi copiază fişiere confidenţiale). Situaţia
apare în organizaţiile care permit utilizatorilor să-şi transmită parolele.
 Activitatea neautorizată a unui utilizator – un utilizator autorizat în ceea ce priveşte
accesarea sistemului, are acces la un fişier pentru care nu există need-to-know şi pentru
care nu are autorizaţie de citire/modificare (apare în situaţia în care există o procedură
minimă de control a accesului).
 Download-ul – acest proces afectează confidenţialitatea întrucât fişierele sunt mutate de
pe o locaţie protejată a unui sistem pe un hard al unui computer local (pentru a fi
prelucrate) care nu are proceduri de protecţie.
 Reţele locale – prezintă o ameninţare specială pentru confidenţialitate, întrucât datele
existente într-o reţea pot fi vizualizate de către orice utilizator, chir dacă nu îi sunt
adresate în mod particular. De aceea, este necesară utilizarea unor ID-uri criptate şi a
unor parole “secrete” pentru accesarea unor locaţii de fişiere.
 “Trojan horses”- sunt programe introduse într-o interfaţă diferită, care declanşează
mecanisme de copiere a unor fişiere în locaţii neprotajate ale unui sistem informatic, în
momentul în care un user autorizat activează respectiva interfaţă (astfel, un program
devine parte componentă a sistemului informatic utilizat şi în mod uzual execută
copierea unor fişiere).

Modele ale confidenţialităţii

Se referă la ce activităţi sunt necesare a se executa pentru a se asigura confidenţialitatea
informaţiei. Un model particularizează ce proceduri de securitate se implementează pentru a se
asigura nivele diferite de confidenţialitate.
Există două instrumente
- modelul Bell-LaPadula (modelul fluxului), care defineşte relaţiile dintre obiecte
(fişiere, unităţi de stocare, programe, echipamente de transmitere/recepţie a
informaţiei) şi subiecţi (persoane, procese). Relaţiile sunt descrise în termeni care se

3
 referă la nivelul de acces autorizat pentru subiect şi nivelul de “sensibilitate” al
obiectului (ex - existenţa certificatului de securitate şi nivelul de clasificare a
informaţiei).
- modelul de control al accesului, care organizează sistemul în obiecte (resurse
disponibile), subiecţi (persoane sau programme care execută aplicaţii) şi operaţii
(procesele de interacţiune). Un set de reguli specifică ce operaţii pot fi executate de
un subiect şi în raport cu ce obiect.
Păstrarea adecvată a unor date sensibile, aşa cum sunt User ID-ul şi parolele este
responsabilitatea fiecăruia, şi de aceea, pentru asigurarea confidenţialităţii informaţiilor în format
electronic punctăm cele mai bune practici:
- NU dezvăluiţi User ID-ul şi parolele CUIVA, indifferent dacă este şeful dvs, un coleg de
serviciu, un specialist din echipa de informatică sau un membru de familie. Nimeni nu vă poate
forţa să vă dezvăluiţi User ID-ul şi parolele indiferent de cirsumstanţe. Este responsabilitatea dvs
de a păstra datele cât mai secrete;
- NU păstraţi User ID-ul şi parolele pe bucăţele de hârtie, post-ituri, carneţele, agende;
- NU vă ascundeţi User ID-ul(s) sau parolele sub tastatură sau în alte locuri “secrete”. Faceţi un
efort şi memoraţi-le;
- Scimbaţi-vă parolele în concordanţă cu cerinţele politicii de securitate în ceea ce priveşte
reînnoirea periodică a acestora;
- Înainte să vă introduceţi User ID-ul şi parolele, asiguraţi-vă că nu este nimeni care să le poată
observa.
- Înainte de a utiliza User ID-ul şi parolele pe un alt computer, asiguraţi-vă că este protejat.

INTEGRITATEA
Se referă la protecţia datelor în raport cu modificări neautorizate, intenţionate sau
accidentale. Obiectivul programului de securitate este acela de a asigura ca datele să fie păstrate
în starea pe care au fost definite de utilizator. Deşi un program de securitate nu poate eficientiza
acurateţea datelor introduse în sistem, devine un factor de asigurare că modificările sunt aplicate
corect şi în mod conştient.
Un element suplimentar al integrităţii este reprezentat de necesitatea de a proteja
procesele şi programele utilizate pentru prelucrarea datelor în raport cu modificări neautorizate.
Factorul critic se defineşte prin aceea că un utilizator nu ar trebui să aibă capacitatea de a
interveni în procesarea datelor.
În concordanţă cu politica confidenţialităţii, identificarea şi autentificarea utilizatorului
sunt elementele cheie ale politicii integrităţii informaţiei. Integritatea este definită de controlul

4
accesului; astfel, este necesar ca toate persoanele care accesează un sistem să fie identificate în
mod unic.

Protecţia împotriva ameninţări la adresa integrităţii

Ameninţările sunt similare cu cele descrise la capitolul confidenţialitate. Există trei reguli
fundamentale în asigurarea unui control al integrităţii:
 accesul pe baza principiului need-to-know - se garantează accesul persoanelor la
acele fişiere şi programe necesare pentru realizarea sarcinilor de serviciu.
Utilizatorul are acces la procesarea unor date sau la programele de procesare în
modalităţi controlate, care să asigure că modificarea acestora se realizează corect
iar schimbările au fost autorizate (de regulă, se efectuează înregistrări ale
modificărilor, astfel încât să se realizeze o verificare suplimentară). Dar
utilizatorul trebuie să lucreze eficient, de aceea accesul trebuie garantat într-un
mod care să permită o flexibilitate operaţională suficientă; accesul pe baza
principiului need-to-know trebuie să asigure un maxim de control cu un minim de
restricţie (trebuie acordată atenţie echilibrului între securitatea ideală şi
productivitatea practică)
 separarea sarcinilor – pentru a exista asigurarea că nu numai un singur individ are
acces la tot procesul informaţional de la început la sfârşit, trebuie desemnate mai
multe persoane care să execute diferite faze – de exemplu, cineva care a creat un
program nu va avea şi sarcini în ceea ce priveşte implementarea şi rularea
programului.
 rotaţia sarcinilor – se recomandă sarcinile profesionale executive să fie schimbate
periodic, astfel încât să fie mult mai dificil pentru utilizatori să colaboreze pentru
a exercita un control complet asupra procesului informaţional. Principiul este
eficient când se asociază cu separarea sarcinilor.

Modele ale integrităţii

Există trei obiective majore ale integrităţii, în raport cu care se definesc modelele:
- prevenirea accesului persoanelor neautorizate în ceea ce priveşte efectuarea unor
modificări de date şi programe
- prevenirea accesului persoanelor autorizate în ceea ce priveşte efectuarea unor
modificări inadecvate sau neautorizate
- păstrarea consistenţei interne şi externe a datelor şi programelor

5
1. Modelul Biba (1977)-constă în trei părţi: a) un subiect nu poate executa obiecte care un nivel
de integritate mai mic decât al subiectului, b) un subiect nu poate modifica un obiect care are un
nivel de integritate mai mare, c) un subiect nu poate solicita serviciile altui subiect care are un
nivel de integritate mai mare
2. Modelul Goguen-Meseguer (1982) – se referă la separarea domeniilor, care sunt liste de
obiecte pe care un utilizator le poate accesa; utilizatorii pot fi grupaţi în funcţie de domeniile
accesate. Separarea utilizatorilor în diferite domenii asigură faptul că nu se interferează
activităţile.
3. Modelul Sutherland (1986) – deşi nu invocă în mod direct un mecanism de protecţie, se
referă la restricţionarea accesului raportat la subiect şi fluxul informaţional restricţionat între
obiecte.
4. Modelul Clark-Wilson (1987/1989) – implică a) tranzacţii foarte clar definite - previne
manipularea datelor de către utilizatori şi asigură consistenţa internă a acestora şi b) separarea
sarcinilor – previne ca persoane autorizate să facă modificări inadecvate şi asigură consistenţa
externă a datelor (datele existente în sistem reflectă realitatea pe care o reprezintă)
5. Modelul Brewer-Nash (1989) – se referă la implementarea unei dinamici în ceea ce priveşte
schimbarea autorizării accesului, şi furnizează integritatea raportată la bazele de date.

DISPONIBILITATEA
Se referă la faptul că un computer poate fi accesat de o persoană autorizată în orice
moment când este necesar. Apar două aspecte:
- refuzul accesului
- pierderea de date ca rezultat al unor dezastre naturale sau acţiuni umane
În asigurarea disponibilităţii intervin factori fizici, tehnici şi administrativi. Protecţia
fizică include controlul accesului pentru a se preveni intrarea unei persoane neautorizate în spaţii
unde există sisteme informatice, mecanisme de avertizare în caz de incendiu sau inundaţie, de
control a temperaturii în încăpere şi facilităţi de stocare în copie a datelor. Protecţia tehnică se
referă la mecanisme de control electronice dar şi la programe care blochează sistemul atunci
când se încearcă operaţii neautorizate. Partea administrativă constă în politicile de control a
accesului, implementarea procedurilor de acţiune în cazuri speciale şi trainingul personalului.

În raport cu - integritatea, confidenţialitatea şi disponibilitatea, apar următoarele utilizări

improprii a sistemelor informatice:
 Intrarea neautorizată într-o zonă de securitate unde există echipamente informatice.
 Accesarea/căutarea neautorizată în baze de date computerizate clasificate.

6
  Modificarea, distrugerea, manipularea, sau restricţionarea abuzivă accesului la informaţia
din computer.
 Stocarea sau prelucrarea de informaţiilor clasificate pe un sistem care nu este certificat şi
aprobat.
 Încercarea de a eluda sau sparge programele de securitate sau monitorizare, fără
autorizarea administratorului de sistem (exceptând cazurile speciale ale testării autorizate
a securităţii sistemului şi instruirii pe linie de securitate a sistemelor informatice).

Cele trei principii ale managementului securităţii – integritatea, confidenţialitatea şi

disponibilitatea – sunt prezente în toate sistemele. Utilizarea acestor factori într-o combinaţie
adecvată asigură un scop major al organizaţiei – a furniza utilizatorilor un sistem în care să aibă
încredere, respectiv că sarcinile profesionale vor fi realizate în modul cel mai consistent în raport
cu cerinţele organizaţionale.

7
 Concluzie

Atacurile împotriva sistemelor informatice au o explicaţie foarte clară – informaţia există în

respectivul loc, iar într-un mediu economic şi social hipercompetitiv, informaţia este foarte
valoroasă. De asemenea, unii indivizi îşi construiesc o semnificaţie personală a puterii şi îşi
validează o imagine excepţională de sine pentru că au reuşit să penetreze diferite sisteme
informatice şi să copieze/altereze informaţiile.

Un principiu uzual este că o ameninţare împotriva unui sistem informatic este externă,
generată de existenţa unui “grup de hackeri care sunt undeva acolo”, şi de aceea eforturile se
depun pentru a bloca accesul intruşilor – prin măsuri fizice sau tehnice: puncte de control,
camere de supraveghere, parole etc. Dar, în timp ce acest punct de vedere exprimă o realitate
care există, un individ din interior care are acces la sistem reprezintă un pericol şi mai mare!

În multe instituţii sistemele de protecţie a reţelelor de calculatoare nu sunt suficient de

performante. Sunt tot mai frecvente încercările de penetrare a calculatoarelor/reţelelor de
calculatoare, mai ales în cazul conectării la Internet.

Dintre cele mai importante reguli de protecţie amintim:

 Utilizatorii reţelei de calculatoare trebuie să fie autorizaţi şi să aibă acces numai la partiţiile
proprii!
 Reţeaua de calculatoare din instituţii pe care se procesează informaţii sensibile trebuie să fie
independentă de restul sistemului informatic! Dacă este neapărat necesar să legaţi reţeaua cu
informaţii sensibile la o reţea externă, atunci folosiţi mai multe niveluri de siguranţă
(codificare, parole, verificări, software antivirus)!
 Accesul la Internet şi la e-mail trebuie să se facă de la un calculator independent, pe care nu
sunt procesate informaţii sensibile şi care nu este conectat la reţeaua internă!
 Parolele de acces nu vor fi dezvăluite persoanelor neautorizate, indiferent de funcţie şi nu se
va permite accesul acestora la partiţia proprie!

8
BIBLIOGRAFIE
1. Truţă, Meda (Udroiu). (2008). Protecţia sistemelor de comunicaţii şi informatice, ANI, note
de curs
2. Buştiuc, Florin, Juverdeanu, Doru – Perspectiva organizaţională a protecţiei informaţiilor,
temă comunicată la simpozionul “Securitate şi societate: provocările mileniului trei”, Academia
Naţională de Informaţii, martie 2004
3. Ilie, Gheorghe, Stoian, Ion şi Ciobanu, Aurel. (1996). Securitatea informaţiilor. Bucureşti:
Editura Militară
4. Ilie, Gheorghe, Urdăreanu, Tiberiu. (2001). Securitatea deplină. Bucureşti: Editura UTI
5. Ilie, Gheorghe. (1995). Securitatea sistemelor militare. Bucureşti: Editura Militară
6. Toffler, Alvin. (1995). Powershift. Puterea în mişcare. Bucureşti: Editura Antet