ACADEMIA DE POLIŢIE „ALEXANDRU IOAN CUZA”

FACULTATEA DE POLIŢIE
SPECIALIZAREA: Managementul activităţilor de ordine publică şi
siguranţă naţională
BUCUREŞTI

REFERAT

DISCIPLINA: Managementul securităţii informatice

TEMA: Caracteristici ale managementului securităţii informatice

Coordonator:
Conf. univ. Dr. Mihai Cosmin

Masterand: Stoian Mihai-Alexandru

Anul 2019

1
 CARACTERISTICI ALE MANAGEMENTULUI SECURITĂŢII
INFORMATICE

În ultimii ani mediul informatic a trecut de la a fi un instrument aflat la doar la

îndemana persoanelor care au pregatire specifică în acest domeniu, la standardul către care
tind să adere atât entităţile private cât şi autorităţile publice, dată fiind simplitatea în
stabilirea contactului cu publicul, uşurinţa în gestionarea, arhivarea şi prelucrarea datelor,
precum şi posibilitatea dezvoltării unor aplicaţii dedicate care simplifică mult activitatea
angajaţilor.

Toate sistemele virtuale lucrează cu informaţii. Informaţia este un activ care, ca

şi alte active importante pentru, prezintă o valoare pentru organizaţie şi, în consecinţă,
trebuie protejată adecvat.

Informația este caracterizată de următoarele atribute fundamentale:

confidențialitate, accesul la informație nu poate fi făcut decât cu autorizare adecvată;
integritate, acuratețea și completitudinea informației și a modului în care este prelucrată;
disponibilitate, utilizatorii autorizați trebuie să aibă acces la informație de fiecare dată
când au nevoie.

Având în vedere aceste aspecte se ridică mari probleme în ceea ce priveşte

posibilitatea de a preîntâmpina problemele de securitate informatică ce se pot ivi, având în
vedere multitudinea şi complexitatea atacurilor cibernetice care ţintesc sustragerea datelor
privind utilizatorii platformelor, a unor informaţii nedestinate publicului, spiona, etc.

În acest sens Organizaţia Internaţională pentru Standardizare (ISO), împreună

cu Comisia Internaţională Electrotehnică (IEC), entităţi ce formează un sistem
internaţional specializat pentru standardizarea mondială, au pus bazele standardelor
dedicate securităţii informatiei (ISO 27000), din care fac parte următoarele standarde:
a) ISO/IEC 27000:2009 – Sisteme de management a securitatii informatiei –
Prezentare genereala si vocabular;
b) ISO/IEC 27001:2005 – Specificatii ale sistemelor de management a securitatii
informatiei;
c) ISO/IEC 27002:2005 – Codul practica pentru managementul securitatii
informatiei;

2
 d) ISO/IEC 27003:2010 – Ghidul de implementare a sistemului de management
a securitatii informatiei;
e) ISO/IEC 27004:2009 – Managementul securitatii informatiei – Evaluari;
f) ISO/IEC 27005:2008 – Managementul riscului securitatii informatiei;
g) ISO/IEC 27006:2007 – Cerinte pentru organizatiile ce efectueaza audit si
certificare a sistemelor de management a securitatii informatiei;
h) ISO/IEC 27011:2008 – Ghidul managementului securitatii informatiei pentru
organizatiile din domeniul telecomunicatiilor bazat pe standardul ISO/IEC 27002.

Referitor la Standardul SR/ISO 27002‚ acesta prezintă recomandări pentru

reducerea riscurilor informaţionale pentru un număr de unsprezece categorii principale de
securitate:

a) Politica de securitate;
b) Organizarea securităţii informaţiei;
c) Managementul resurselor;
d) Securitatea resurselor umane;
e) Securitatea fizică şi a mediului de lucru;
f) Managementul comunicaţiilor şi operaţiunilor;
g) Controlul accesului;
h) Achiziţionarea, dezvoltarea şi mentenanţa sistemelor informatice;
i) Managementul incidentelor de securitate a informaţiei;
j) Managementul continuităţii afacerii;
k) Conformitatea.

Implementarea sistemului de management al securităţii informaţiei (numit în

continuare SMSI) reprezinta o decizie strategică a organizaţiei, şi presupune implicarea
factorilor de decizie de la cel mai înalt nivel în elaborarea măsurilor, planurilor şi
strategiilor în vederea asigurării integrităţii informaţiilor. Este necesară o evaluare iniţiala
a sistemului de securitate a informaţiei, obiectivul acesteia fiind stabilirea interesului
parţilor externe şi interne privind SMSI precum şi identificarea domeniului de aplicare al
sistemului. În urma acestei verificari se va întocmi un raport care serveşte la elaborarea
declaraţiei de politică în domeniul SMSI, aceasta devenind parte din regulamentul de
ordine interioară.
Pentru prevenirea riscurilor informatice este esenţial să se cunoască toate
activele informaţionale existente în organizaţie în vederea asigurarii protecţiei fizice a
acestora. Acestea sunt: elementele de infrastructură, informaţii şi date indiferent de modul
de stocare (CD, USB, HDD, Cloud), echipamentele fizice, credenţialele utilizatorilor
sistemului. În funcţie de aceasta se pot aprecia riscurile de securitate şi identifica

3
ameninţările ce pot exploata vulnerabilităţile sistemelor. Etapa finală este tratarea
riscurilor precum şi desemnarea responsabililor pentru monitorizarea riscurilor reziduale.

În privinţa modalităţilor de manifestare a pericolelor în sistemele informatice,

acestea pot fi sintetizate în 2 categorii:
- ameninţări cauzate de incidente ivite în sistem. Acestea sunt în general
cauzate de hazard şi afectează accesul la informaţiile stocate fie posibilitatea de a lucra cu
acestea. Sunt în general cauzate de factori fizici (întreruperea alimentării cu energie
electrică, defectiuni la componentele sistemului) sau de erori ale programelor folosite;
- ameninţări prin intenţia voita a omului, acestea fiind: atacuri tăinuite ale
angajaţilor (subversive), acţiuni neintenţionate ale angajaţilor (neglijenţă), atacuri secrete
ale persoanelor din afara organizaţiei, atacuri deschise din afara (în forţă), atacuri deschise
ale angajaţilor, acţiuni neintenţionate din afară (introduceri eronate). O clasificare a celor
mai comune atacuri au scos în evidenţă ca ameninţarea cea mai mare o reprezintă acţiunile
involuntare sau voluntare alte angajatilor, abia ulterior înscriindu-se furturile din exterior.

În practică există şapte mecanisme de asigurare a eficienţei securităţii sistemelor

informatice, acestea fiind:
1. Asigurarea securităţii fizice. Aceasta se referă la controlul accesului fizic în
sistem şi se va concretiza în diverse moduri: paza la accesul în sediu, sisteme de
supraveghere video, posibilitatea de asigurarea a spatiului de lucru cu cheie, etc.;
2. Securitatea personalului, ceea ce presupune selectia, urmarirea, autorizarea,
instruirea şi supravegherea angajaţilor;
3. Criptarea informaţiilor importante ceea ce presupune protejarea datelor
comunicate la distanţa făcându-le neinteligibile pentru terţe persoane;
4. Studierea tehnicilor de intervenţe folosite de catre intruşi în vederea
dezvoltarii unor soluţii reactive care să identifice tentativele de acces fără drept la sistem
şi să le blocheze;
5. Suprimarea radiaţiilor compromiţătoare;
6. Securitatea liniilor de comunicaţie care presupune ca liniile ce interconectează
componentele sistemelor să fie inaccesibile persoanelor straine;
7. Securitatea sistemelor de prelucrare automată a datelor, fiind stabilite reguli
stricte de folosire pentru prevenirea accesului neautorizat.

Incidentele de securitate pot fi:

- orice pierdere, deteriorare, distrugere accidentală sau divulgarea datelor
clientului, materiale sau informaţii;
- orice reală sau potenţială situaţie de divulgare de informaţii despre clienţi;
- orice activitate care poate cauza riscuri financiare sau reputaţionale
organizaţiei sau clienţilor;

4
 - un telefon pierdut sau furat şi / sau alt dispozitiv portabil, cum ar fi un scaner
etc.;
- pierderea sau furtul laptop-urilor sau computerelor desktop, cu active de
informaţii ale organizaţiei;
- pierderea, furtul, sau livrarea greşită a bunurilor clienţilor cum ar fi:
documente, cutii cu documente, benzi magnetice;
- probleme cu comunicaţiile electronice, cum ar fi trimiterea email-urilor care
conţin informaţii personale, private sau financiare la adrese de e-mail greşite;
- incidente legate de apă, foc, gaze, inclusive inundaţii, scurgeri,
disfuncţionalităţi alarmă sau sistem de monitorizare;
- incidente de automobile, cum ar fi furt şi remorcare;
- orice deteriorare sau potenţial de deteriorare a bunurilor firmei sau părţilor
interesate.
Raportarea de îndată a incidentelor de securitate este esenţială pentru a se putea
dispune cât mai repede masurile de remediere şi înlaturare a urmărilor nedorite. Este
responsabilitatea fiecărui angajat să raporteze şefului direct un incident, acesta urmând să
transmită eşalonului superior, inclusiv directorului general. Dupa raportare trebuie să se
verifice aspectele sesizate, rezultatul fiind comunicat persoanei responsabile cu securitatea
informaţiei, care va coordona rezolvarea acestuia. Managerul de incident este stabilit de
catre directorul general.
Responsabilul cu securitatea informatică are datoria să monitorizeze toate
incidentele informatice pe care le consemnează în rapoarte periodice pe care le prezintă
Comitetului pentru securitatea informaţiei. În urma rapoartelor primite Comitetul va
stabili masuri pentru prevenirea şi limitarea acestor incidente, iar acolo unde este posibil
va informa parţile interesate.

În sistemul de Ordine publică şi siguranţă naţională măsurile de asigurare a

securităţii informatice presupun, printre altele, următoarele:
- blocarea accesului către internet de pe calculatoarele pe care se gestionează
informaţii clasificate;
- interzicerea accesului cu mijloace de stocare, de fotografiere sau filmare în
zonele administrative;
- blocarea porturilor USB precum şi a unităţilor optice ale calculatoarelor de
serviciu ca şi masură de protecţie împotriva copierii pe medii de stocare a informaţiilor
păstrate în sistem;
- accesul la staţiile de lucru, în bazele de date, camerele de supraveghere video
din unitate sau stradale se face doar pe baza de utilizator dedicat, fiecare logare în sistem
fiind înregistrata;
- delogarea automata sau blocarea utilizatorului după o anumita perioada de
inactivitate;

5
 - sigilarea unităţilor centrale PC pentru a preveni sustragerea sau înlocuirea
componentelor hardware;
- clasificarea mijloacelor tehnice de lucru în funcţie de tipul documentelor sau
informaţiilor ce se opereaza pe respectivul sistem;
- implementarea unui sistem de timp intranet pentru comunicarile interne
precum şi folosirea unor sisteme de criptare a corespondentei electronice.

Aceste măsuri sunt indispensabile pentru asigurarea funcţionării corecte şi fără

sincope a activităţii Poliţiei Române, fiind obligatorii pentru efectuarea în condiţii de
confidenţialitate a activităţilor de urmărire penală, protecţiei martorilor şi informatorilor,
protecţia lucrătorilor, asigurarea confidenţialităţii tehnicilor investigative folosite şi, nu în
ultimul rând, garantarea integrităţii datelor cu caracter personal folosite.