Documente Academic
Documente Profesional
Documente Cultură
informației
INTRODUCERE....................................................................................................................................3
CLASIFICAREA RISCURILOR..........................................................................................................4
MANAGEMENTUL RISCULUI..........................................................................................................7
1. Caracterizarea sistemului............................................................................................................7
2. Identificarea ameninţărilor..........................................................................................................8
3. Identificarea vulnerabilităţilor.....................................................................................................9
4. Analiza controalelor....................................................................................................................9
6. Analiza impactului....................................................................................................................10
7. Determinarea riscului................................................................................................................11
CONCLUZII........................................................................................................................................14
BIBLIOGRAFIE..................................................................................................................................16
2
INTRODUCERE
Societatea îmbrăţişează din ce în ce mai mult tehnologia informaţiei. Informaţia care până nu
de mult avea la bază hârtia, îmbracă acum forma electronică. Informaţia pe suport de hârtie mai este
încă rezervată documentelor oficiale, acolo unde este necesară o semnătură sau o stampilă.
Adoptarea semnăturii electronice deschide însă perspective digitizării complete a documentelor, cel
puţin din punct de vedere funcţional. Acest nou mod de lucru, în care calculatorul a devenit un
instrument indispensabil şi un mijloc de comunicare prin tehnologii precum poşta electronică sau
Internetul, atrage după sine riscuri specifice. O gestiune corespunzătoare a documentelor în format
electronic face necesară implementarea unor măsuri specifice.
Măsurile ar trebui să asigure protecţia informaţiilor împotriva pierderii, distrugerii sau divulgării
neautorizate. Cel mai sensibil aspect este acela de a asigura securitatea informaţiei gestionată de
sistemele informatice în noul context tehnologic.
Astfel, managementul securităţii sistemelor infromatice se referă la acea parte a managementului
unei companii care are ca scop crearea mecanismelor necesare pentru a asigura gestionarea,
evaluarea şi eliminarea riscurilor potenţiale în relaţie cu disponibilitatea, integritatea şi
confidenţialitatea informaţiilor.
Riscurile utilizării inadecvate a sistemelor informatice sunt privite din două puncte de vedere:
utilizarea inadecvată a sistemelor informatice ca o consecinţă a unor riscuri manifestate;
Scopul asigurării securităţii sistemelor informatice este reprezentat de interesele celor care depind de
sistemele informatice şi de daunele care pot rezulta din eşecul asigurării confidenţialităţii şi
integrităţii informaţiilor.
3
CLASIFICAREA RISCURILOR
Analiza de risc;
Politicile de securitate;
Schema de securitate ;
4
Analiza de risc este componenta cea mai importantă din cadrul managementului riscurilor.
Aceasta este un proces de evaluare a vulnerabilităţilor sistemului informatic şi a ameninţărilor la care
acesta este sau poate fi expus. În urma acestui proces se identifică consecinţele probabile ale
riscurilor analizate şi ale vulnerabilităţilor asociate şi se pun bazele întocmirii unui plan de securitate
care să fie în conformitate cu un raport corespunzător eficienţă-cost. Realitatea practica impune
abordarea riscului informatic prin prisma a 3 factori: amenintarile privite ca evenimente sau activităţi
(în general, din exteriorul sistemului auditat) care pot să afecteze vulnerabilităţile existente în orice
sistem cauzând astfel impactul, apreciat a fi o pierdere sau o consecinţă pe termen scurt, mediu sau
lung suportată de organizaţie. Riscul la nivelul unei organizaţii nu poate fi eliminat, el va exista
întotdeauna, managementul societăţii fiind responsabil de reducerea lui la un nivel acceptabil. În
acest sens, figura de mai jos pune în corespondenţă diferite elemente ce necesită a fi luate în calcul
pentru reducerea riscului.
5
Riscul securităţii fizice ce va fi evaluat în functie de informaţiile culese, cu privire la:
existenţa sistemelor de pază, detectie şi alarmă a incendiilor, sistemelor de protecţie
împotriva caderilor de tensiune, protecţia echipamentelor împotriva furturilor, protecţia
împotriva catastrofelor naturale (inundaţii, cutremure..), protecţia fizică a suportilor de
memorare, păstrarea copiilor de siguranţă într-o alta locatie decât cea în care îsi desfasoară
activitatea organizaţia.
Riscul de comunicaţie poate lua valenţe diferite, în funcţie de disponibilitatea sistemului la
reţeaua publică, situaţie în care auditorul e necesar să analizeze măsurile de securitate
adoptate: existenta unui firewall, modul de configurare a acestuia, analiza modului de
transmitere a datelor prin reţeaua publică (utilizarea tehnicilor de criptare, existenta unei
reţele virtuale private - VPN). Acest risc se poate manifesta şi la nivelul unei reţele locale,
atunci când configurarea acesteia lasă de dorit şi prin “ascultarea” liniilor de comunicaţie,
traficul acesteia poate fi compromis. Confidenţilitatea informaţiilor nu vizează doar
memorarea acestora pe staţiile de lucru sau servere, ci şi liniile de comunicaţie.
Riscul privind integritatea datelor şi tranzacţiilor vizează toate riscurile asociate cu
autorizarea, completitudinea şi acurateţea acestora.
Riscul de acces se referă la riscul asociat accesului inadecvat la sistem, date sau informaţii.
Implicaţiile acestui risc sunt majore, el vizând confidenţialitatea informaţiilor, integritatea
datelor sau bazelor de date şi disponibilitatea acestora. În acest sens, acţiunile auditorului
presupun o analiza a managementului parolelor la nivelul organizaţiei (altfel spus atribuirea
şi schimbarea parolelor de acces fac obiectul unei aprobări formale?), o investigare a
încercărilor de accesare neautorizata a sistemului (exista o jurnalizare a acestora ?), o
analiză a protecţiei staţiilor de lucru (sunt acestea dotate cu soft care sa blocheze accesul la
reţea, atunci când utilizatorul nu se afla la staţia sa ?).
Riscul privind protecţia antivirus ce impune o analiză a existenţei programelor în entitate,
utilizarea lor la nivel de server şi staţii de lucru, upgrade-ul acestor programe (manual sau
automat). Lupta cu viruşii este esenţială, dar nu uşor de realizat. În ciuda numarului mare de
programe antivirus existente este necesară o analiză a caracteristicilor programului privind:
scanarea în timp real a sistemului sau monitorizarea continuă a acestuia, scanarea mesajelor
e-mail, scanarea manuală.
Riscul legat de documentaţia sistemului informatic. Documentaţia generală a unui sistem
informatic vizează pe de o parte documentaţia sistemului de operare sau reţelei şi, pe de altă
parte, documentaţia aplicaţiilor instalate. Această documentaţie poate fi diferită pentru
6
administratori, utilizatori şi operatori astfel încât să ajute la instalarea, operarea,
administrarea şi utilizarea produsului. Riscurile asociate documentaţiei se pot referi la faptul
că, aceasta nu reflectă realitatea în ceea ce priveşte sistemul, nu este înteligibilă, este
accesibilă persoanelor neautorizate, nu este actualizată.
Riscul de personal poate fi analizat prin prisma urmatoarelor criterii: Structura
organizaţională la nivelul departamentului IT ce va avea în vedere modul în care sunt
distribuite sarcinile şi responsabilităţile în cadrul acestuia. Alocarea unui număr prea mare
de responsabilităţi la nivelul unei singure persoane sau unui grup de persoane este semnul
unei organizări interne defectuoase. Practica de selecţie a angajaţilor. La baza unui mediu
de control adecvat stau competenţa şi integritatea personalului, ceea ce implica din partea
auditorilor o analiză a politicilor si procedurilor organizaţiei privind angajarea,
specializarea, evaluarea performanţelor şi promovarea angajaţilor.
Riscul de infrastructură se concretizează în faptul ca organizaţia nu deţine o infrastructura
efectiva a tehnologiei informaţiei (hardware, reţele, software, oameni şi procese) pentru a
susţine nevoile acesteia.
Riscul de management al situaţiilor neprevăzute (risc de disponibilitate) este riscul asociat
pericolelor naturale, dezastrelor, căderilor de sistem care pot conduce la pierderi definitive
ale datelor, aplicaţiilor, în absenta unor proceduri de monitorizare a activităţii, a planurilor
de refacere în caz de dezastre.
MANAGEMENTUL RISCULUI
7
confidenţialităţii şi disponibilităţii datelor. Cele mai utilizate tehnici de investigare pentru
colectarea acestor informaţii sunt: chestionarele, interviurile, documentaţia sistemului,
utilizarea unor instrumente de scanare automata a sistemului informatic (SATAN este doar un
exemplu de astfel de instrument ce permite detectarea vulnerabilităţilor unei reţele de
calculatoare). Rezultatele acestei etape vor furniza o imagine a mediului informatizat, a
limitelor sistemului informatic analizat.
2. Identificarea ameninţărilor. Ameninţările sunt acele evenimente sau activităţi, în
general externe unui sistem, care pot afecta la un moment dat punctele slabe ale acestuia,
cauzând pierderi semnificative. În general o ameninţare este o forţă potenţială care poate
degrada confidenţialitatea şi integritatea sistemului, generând adeseori întreruperi de servicii
ale acestuia. Un element esenţial în cadrul acestei etape îl reprezintă determinarea
probabilităţii de realizare a acestei ameninţări, element ce trebuie analizat în funcţie de:
o sursa ameninţării. naturală (cutremure, foc, tornade, etc)
umană (atacuri într-o reţea, acces neautorizat la date
confidenţiale) de mediu (căderi de tensiune pe termen lung,
poluare, umiditate)
o - vulnerabilitatea potenţiala
o controalele existente.
Cu titlu exemplificativ, tabelul de mai jos releva diferite surse de ameninţări umane cu acţiunile
generatoare:
8
3. Identificarea vulnerabilităţilor . Scopul acestei etape este de a dezvolta o lista a
vulnerabilităţilor sistemului (lipsuri sau slăbiciuni) care pot fi exploatate de surse de
ameninţare potenţiale. În acest context este necesară o analiza a vulnerabilităţilor –
ameninţărilor pereche exemplificată, într-o maniera limitată, în cadrul tabelului ce urmează:
9
5. Determinarea probabilităţii de realizare a ameninţărilor . Pentru determinarea
unei rate de probabilitate generala, care indică probabilitatea ca o vulnerabilitate potenţiala să
fie exercitată în modelul de ameninţări asociate, este necesar ca auditorul să analizeze
următorii factori: capacitatea şi motivaţia sursei de ameninţare, natura vulnerabilităţii
şi.existenta şi eficienţa controalelor curente. Acest element poate fi apreciat prin calificativele
„Înalt”, „Mediu” şi „Scăzut”, în următoarele condiţii:
- „Înalt” – sursa ameninţării este foarte motivată si suficient de capabilă, iar controalele de
prevenire a acestor vulnerabilităţi sunt ineficiente.
- „Mediu” – sursa ameninţării este foarte motivată şi suficient de capabilă, dar controalele
existente pot împiedica declanşarea vulnerabilităţii.
-„Scăzut” – sursa ameninţării este lipsită de motivaţie, sau controalele există pentru a preveni
sau cel puţin a împiedica semnificativ vulnerabilitatea de a se manifesta.
10
Impactul poate fi exprimat şi el prin calificativele „Înalt”, „Mediu” şi „Scăzut”.
7. Determinarea riscului. Modelele de risc, fie ele cantitative sau calitative, reprezintă
instrumente deosebit de utile auditorilor IT pentru identificarea diferitelor tipuri de risc,
oferind în acelasi timp informaţii pentru a le determina şi controla. Literatura de specialitate
abordeaza doua modele de analiză a valorii riscului: modelul cantitativ si modelul calitativ;
acestea pornesc de la premisa că orice organizaţie se poate astepta la apariţia unor pierderi
cauzate de ineficienţa unui sistem informatic, iar acest risc al pierderilor, rezultă din impactul
pe care îl au ameninţările asupra resurselor organizaţiei. Determinarea riscului pentru fiecare
pereche vulnerabilitate – ameninţare particulară poate fi exprimat ca o funcţie ce depinde de:
11
Clasificarea informatiilor in functie de importanta lor si deci de nivelul de securitate pe care acestea
il impun. Datele sunt clasificate pe patru nivele si anume: Date publice (informatie neclasificata)
Date interne Date confidential Date secrete („top secret'). In vederea clasificarii datelor nu se are in
vedere doar continutul datelor si informatiilor din sistem ci si o serie de alte aspecte (Care anume?).
In plus, daca un sistem contine date care apartin mai multor niveluri de securitate va trebui clasificat
in functie de cerintele impuse de datele cele mai confidentiale gestionate in sistem. Nevoile de
securitate ale sistemului trebuie sa se concentreze pe disponibilitate, confidentialitate si/sau
integritate.
Cerintelor de securitate recomandate de Orange Book elaborata de American DoD
(Department of Defence) si respectiv European Orange Book (ITSEC), pe cele 4 nivele de securitate
enumerate mai sus:
Clasa 1: Date publice (informatie neclasificata)
- Instalarea de snifere (software sau dispozitiv care captureaza pachetele de date transmise
intr-o retea);
- Scanare antivirus
- Deschiderea de conturi doar persoanelor autorizate, conturile avand in mod obligatoriu
parole de acces.
- Accesul la scriere pentru fisierele de sistem trebuie restrictionat la grupuri de utilizatori sau
masini (calculatoare).
- Software-ul de comunicatie (NFS - Network File System, LanManager, RAS - Remote
Access Service, UUCP1' - Unix-to-Unix Copy,Workgroups) trebuie sa fie corect instalat, cu optiuni
de securitate.
12
Clasa 2: Date interne Datele interne reprezinta date procesate in sistem in cadrul diferitelor
compartimente functionale pentru care accesul direct, neautorizat trebuie prevenit. Pentru aceasta
categorie de date recomandarile vizeaza urmatoarele mijloace de protectie:
• Documentare: testari, elaborarea unei filozofii de securitate, un ghid al utilizatorului cu
caracteristici de securitate (descrierea mecanisme-lor de securitate din punctul de vedere al
utilizatorului, ghid pentru administrarea securitatii).
• Siguranta : Arhitectura sistemului: Se verifica daca TCB ruleaza in mod protejat. Trebuie sa existe
functii pentru verificarea integritatii hardware si firmware. Se verifica daca au fost testate cu succes
mecanismele de securitate.
Identificarea si autorizarea utilizatorilor si protejarea informatiei privitoare la autorizari.
Calitatea controlului accesului : accesul este controlat intre utilizatori precizati (sau grupuri
de utilizatori) sau obiecte precizate.
Clasa 3: Informatii confidentiale. Datele din aceasta clasa sunt confidentiale in cadrul
organizatiei si protejate fata de accesul extern. Afectarea confidentialitatii acestor date ca urmare a
unui acces neautorizat poate afecta eficienta operationala a organizatiei, poate genera pierderi
financiare si oferi un avantaj competitorilor sau o scadere importanta a increderii clientilor. De data
aceasta integritatea datelor este vitala. Pentru aceasta clasa Orange Book recomanda protejarea
accesului controlatsi securizarea transmisiilor de date :
Protejarea accesului controlat (Controlled Access Protection) presupune:
- Recomandarile precizate pentru clasa 2 de senzitivitate la care se adauga: manualul
caracteristicilor de securitate, identificarea si autorizarea (nu se admite definirea de
conturi la nivel de grup), calitatea controlului accesului (controlul atribuirii de privilegii)
si testarea securitatii.
- Responsabilitatea utilizatorului: utilizatorii au responsabilitatea actiunilor lor. De aceea
trebuie sa existe posibilitatea de audit trail impreuna cu functii de monitorizare si alerta.
Jurnalele de audit (audit logs) trebuie sa fie protejate.
- Reutilizarea obiectelor: Obiectele folosite de o persoana trebuie sa fie reinitializate
inainte de a fi utilizate de o alta persoana.
Securizarea transmisiei de date: in transmiterea de mesaje sau in utilizarea de programe
care comunica intre ele trebuie mentinute confidentialitatea si integritatea.
13
Clasa 4: Informatie secreta Accesul intern sau extern neautorizat la aceste date este critic.
Integritatea datelor este vitala. Numarul de utilizatori care au drept de accesla aceste date este foarte
limitat si pentru aceste date sunt fixate reguli foarte severe de securitate privind accesul.
Labelled Security Protection (Protejarea prin etichetare):
- Cerinte suplimentare privind identificarea si autentificarea (mentinerea securitatii
informatiilor compartimentului), manualul facilitatilor de incredere , manualul de
proiectare (descrierea modelului de securitate si a mecanismelor) si asigurarea
(arhitectura sistemului: izolarea procesului, verificarea integritatii, testarea securitatii
prin simularea atacurilor de penetrare si auditatea jurnalelor de securitate pe nivele de
obiecte).
- Verificarea specificatiei si a proiectarii : se comporta sistemul in conformitate cu
manualul?
- Exportarea informatiei etichetate, exportarea catre device-uri multinivel sau
mononivel.
Accesul controlului pentru obiecte si subiecti asa cum este specificat in TCB nu de catre
useri. (TCB este un protocol destinat trimiterii de mesaje e-mail intre servere)
Securizarea transmisiilor de date (conform cerintelor prezentate intr-un paragraf anterior).
CONCLUZII
15
BIBLIOGRAFIE
[1].Iancu, S., (2001), Unele probleme sociale, economice, juridice şi etice ale utilizării
tehnologiei informaţiei şi comunicaţiilor, Bucureşti;
[2].OECD, (2002), Guidelines for the Security of Information Systems and Networks,
[3].http://www.oecd.org/dataoecd/16/22/15582260.pdf;
[4].Popa, S., (2007), Securitatea sistemelor informatice, Bucuresti;
[5].Ana Maria Suduc, (2009), Riscuri asociate utilizării inadecvate a tehnologiilor societăţii
informaţionale, Bucuresti ;
[6].Iosif, G., Marhan, A.M., (2005), Analiza şi managementul erorilor în interacţiunea om-
calculator, Ergonomie cognitivă şi interacţiune om-calculator, Ed. Matrix Rom, Bucureşti;
Revista Informatica Economica, nr.2 (14)/2000, Bucuresti ;
[7].Proiect OpenSSL: http:// www. openssl. org/ ;
[8]. http://www.securekit.com/.
16