Securitatea sistemelor

informaționale
Adrian Munteanu – CIPM, CISA, CRISC
Tema 2: Securitatea activelor (Protejarea securității activelor
informaționale)
• Clasificarea datelor
• Responsabilitate (Ownership)
• Memorie și remanență
• Distrugerea datelor
• Determinarea controalelor
Clasificarea datelor (Data Classification)
Etichete
Obiectele au etichete – Subiecții au autorizații
• Schemă de clasificare a datelor
• Legea informațiilor clasificate
• Sectorul privat: Confidențial, Utilizare internă, Public
• „Trebuie să știe„
Clasificarea datelor
Autorizare
Obiectele au etichete – Subiecții au autorizare
• Aprobare/autorizare formală la niveluri specifice
• Puțin folosită în sectorul privat
• “All About Security Clearances” -http://www.state.gov/m/ds/clearances/c10978.htm
Clasificarea datelor
Aprobarea Accesul formal
• Documentat
• Cererea de acces trebuie aprobată de responsabil nu de manager/custode
• Se aprobă accesul subiecților la anumite obiecte
• Subiecții trebuie să înțeleagă regulile și cerințele pentru acces
• Bune practici: toate cererile și aprobările de acces trebuie să fie auditabile
Clasificarea datelor
Politică pentru clasificarea datelor (Exemplu)
• 3 roluri: responsabl/proprietar(data owner), custode, utilizator
• 3 clase : Confidențial, Utilizare internă, Public
• În realitate: ușor de documentat – greu de implementat
• Clasificarea datelor trebuie să definească informațiile sensibile  cerințe de
manipulare  cerințe de stocare, inclusiv perioada
Clasificarea datelor
Politică pentru clasificarea datelor
(Exemplu)
Proprietar/Owner:
Persoana responsabilă pentru sau dependentă de procesul economic asociat cu
activele informaționale
Știe cum sunt obținute informațiile, transmise, stocate, șterse sau alte acțiuni.
Determină valoarea și clasa
Comunică clasa cînd informația este distribuită în afara departamentului
Controalează accesul la informații și este consultat cînd se solicită sau se modifică
accesul
Comunică clasa către custode
Clasificarea datelor
Politică pentru clasificarea datelor
(Exemplu)
Custode
Asigură/menține protecția in conformitate cu clasa asociată de responsabil

Rolul de custode este delegat de Responsabil și de obicei sunt angajații din IT

Clasificarea datelor
Politică pentru clasificarea datelor
(Exemplu)
Utilizator
Persoana, organizația sau entitatea care interacționează cu datele cu scopul de a
realiza o activitate autorizată
Este responsabil de utilizarea datelor conform scopului și în acord cu politica
Clasificarea datelor
Politică pentru clasificarea datelor
(Exemplu)
Confidentiale
De obicei sunt datele protejate prin statut, reglementare, politica sau contract
Reponsabilul poate eticheta și alte date

Datele confidențiale sunt sensibile prin natura lor iar accesul este restricționat.
Divulgarea este restricționată conform principiului „trebuie să știe
Divulgarea în afara companiei ar trebuie aprobată de CISO sau să se facă în
baza unui acord.
Exemple: ?
Clasificarea datelor
Politică pentru clasificarea datelor
(Exemplu)
Cerințe minime de protecție pentru datele Confidențiale
Cînd sunt stocate în format electronic trebuie să existe un nivel minim de autentificare
Cînd sunt stocate pe dispozitive mobile - criptare
Trebuie stocate în locuri cu acces fizic controlat
Trebuie stocate criptat
Clasificarea datelor
Politică pentru clasificarea datelor
(Exemplu)
Cerințe minime de protecție pentru datele Confidențiale
Notificarea imediată a managementului în situațiile în care au fost
pierdute sau divulgate părților neautorizate
Trebuie marcate cu eticheta „Confidențial„ în colțuul din dreapta
(header/footer)
Clasificarea datelor
Politică pentru clasificarea datelor
(Exemplu)
Utilizare internă (Interne)
Sunt informații proprietare care trebuie protejate
Clasificarea trebuie să existe chiar dacă nu există cerințe legale în acest sens: accesul
este acordat angajaților care au un interes legitim din perspectiva organizației.
Exemple: datele angajaților, informații despre partenerii de afaceri (dacă nu există NDA),
documente de planificare, contracte
Clasificarea datelor
Politică pentru clasificarea datelor (Exemplu)
Cerințe minime de protecție pentru datele Interne
Trebuie protejate pentru a preveni pierderea, furtul, accesul neautorizat, divulgarea neautorizată
NDA
Păstrate în fițete/încăperi speciale – control acces
Distruse
Ar trebui să fie nivelul de clasificare implicit atunci cînd nu există altul explicit definit.
Clasificarea datelor
Politică pentru clasificarea datelor
(Exemplu)
Cerințe minime de etichetare pentru datele Interne
Pe cît posibil toate datele interne trebui etichetate, indiferent de
formă/suport
Ex: Intern (colțum din drepata – header/footer)
Clasificarea datelor
Politică pentru clasificarea datelor
(Exemplu)
Publice
Data/informații accesibile publicului, fără restricții definite.
Exemplu: comunicate de presă, materiale de marketinges of Public Data include Publicly
posted press releases, Publicly available marketing materials, Publicly posted job annou,
anunțuri locuri de muncă

Altele?
Clasificarea datelor
Politică pentru clasificarea datelor
(Exemplu)
Cerințe minime de protecție
Nu există 
Cerințe minime de etichetare pentru datele Publice
Ex: Public – colțul din dreapta header/footer
Clasificarea datelor
Responsabil (Ownership)
• Economic
• Date
• Sisteme
• Responsabilitățile trebuie documentate
• Instruire
• Separarea sarcinilor de serviciu
Memorie și remanență
• Remanența datelor
• Memorie
• Cache Memory - CPU
• register file - zone de memorie folosite de CPU pentru a stoca instrucțiuni și cantitiăți mici
de informații/date
• Level 1 cache – la nivel CPU
• Level 2 cache – conectată cu CPU
• SRAM (Static Random Access Memory)
Memorie și remanență
Memorie
• RAM (Random Access Memory)
• Volatilă
• De obicei module instalate în sloturile plăci de bază
• DRAM (Dynamic Random Access Memory)
• Ifetină dar înceată 
• Condensatori de dimensiuni mici care stochează date
• SRAM (Static Random Access Memory)
• Rapidă și scumpă 
• ROM (Read Only Memory)
• Firmware
• PROM (Programmable Read Only Memory)- la producător
• EPROM (Erasable Programmable Read Only Memory) – poate și „ștearsă„ de obicei cu lumină
ultravioletă
• EEPROM (Electrically Erasable Programmable Read Only Memory) – poate fi ștearsă
• PLD (Programmable Logic Device) – field-programmable device;
• Flash Memory
• „coșmar„ în securitate
• Este EEPROM
Memorie și remanență
Memorie
• Solid State Drives (SSDs)
• Combină EEPROM și DRAM
• Sanitizarea este o provocare
• Scormonirea prin gunoi - identifică în mod sistematic care dintre celulele de memorie
conțin date inutile și șterge blocurile de date care nu sunt necesare în perioadele de vârf
pentru a menține viteze optime de scriere în timpul operațiilor normale.
• TRIM command - (TRIM în cazul ATA sau UNMAP în cazul SCSI) permite sistemului de
operare să informeze o unitate solidă (SSD) care blocuri de date nu mai sunt considerate
în uz și pot fi șterse intern.
• ATA Secure Erase – eliminarea securizată a datelor
Data Destruction
◦ Deleting data and/or formatting a hard drive is not a viable/secure
method for destroying sensitive information.
◦ Deleting a file only removes the entry from the File Allocation Table
(FAT) and marks the block as “unallocated”. The data is still there and
often times it’s retrievable.
◦ Reformatting only replaces the old FAT with a new FAT. The data is still
there and often times it’s retrievable.
◦ Data that is left over is called remnant data, or “data remanence”.
Distrugerea datelor
◦ Datele care se păstrează pe un suport de memorare – date
remananete/remanență
◦ Sute de tools: http://www.forensicswiki.org/wiki/Tools:Data_Recovery
Distrugerea datelor
Rescriere
◦ Shredding/ wiping
◦ Se rescriu date și se elimină înregistările din FAT
◦ Rescrierea securizată – se rescrie fiecare sector
Distrugerea datelor
Rescrierea
◦ Un singur pas ar fi de ajuns, dacă se rescrie fiecare sector
◦ Tools: Darik's Boot And Nuke (DBAN), CBL Data Shredder, HDDErase, KillDisk
◦ Windows built-in cipher command.
Distrugerea datelor
Deguassing
◦ Se distruge integritatea mediului de stocare magnetic cu ajutorul unui cîmp magnetic
puternic
◦ DE obicei se distruge și suportul în sine 
Distrugerea datelor
Fizic
◦ Cea mai sigură metodă …și ieftină
◦ On site vs. Off site
Lectură:
- SATA/ ATA/Memory
- Data recovery
- Test: copiați date pe un stick. Stergeți datele. Căutați o soluție de recovery și recuperați datele.
- Copiați alte date. Stergeți. Formatați suportul. Recuperați.
Distrugerea datelor
Tocare/fărîmițare (Shredding)
◦ De obicei hîrtie
◦ Strip-cut vs. Cross-cut
◦ Ușor de auditat
◦ Multe de breșe de securitate sunt atribuite depozitării incorecte a documentelor
◦ Scormonirea în coșul de gunoi
Identificarea controalelor
Certificare vs. Acreditare
• Tsemnificație diferită
• Certificare – se validează că o anumită cerință de securitate a fost
îndeplinită
• Acreditare – acceptarea formală a certificării de către un responsabil
• Într-o lume ideală certificarea și acreditarea ar trebui solicitate înainte de
lansarea în producție
Identificarea controalelor
Standarde și cadre de referință
PCI-DSS
• Payment Card Industry Data Security Standard
• Dezvoltat de Payment Card Industry Security Standards Council (PCI-SSC)
• Vizează securitatea plăților cu ajutorul cardurilor (credit, debit)
• QSAs, ASVs, CDE, etc. (???? De citit)
Identificarea controalelor
Standarde și cadre de referință
PCI-DSS
• PCI-DSS se aplică doar Cardholder Data Environment (CDE)
• Principiile PCI-DSS:
• Dezvoltarea și întreținerea unei rețele sigure
• Protejarea datelor deținătorului de card
• Întreținerea unui program de management vulnerabilități
• Monitorizare și testare rețea
• Politică de securitate
• Ultima versiune (????)
• https://www.pcisecuritystandards.org/security_standards/index.php
• Companii cu breșe cunoscute: Target, Home Depot, Heartland Systems, Dairy
Queen, etc.
Identificarea controalelor
Standarde și cadre de referință
OCTAVE®
• Operationally Critical Threat, Asset, and Vulnerability Evaluation
• Este de fapt un cadru de referință pentru managementul riscurilor dezvoltat de Carnegie
Mellon University
http://www.cert.org/resilience/products-services/octave/
Identificarea controalelor
Standarde și cadre de referință
ISO 27000
• Familie de standarde dezvoltate de International Organization for Standardization
(ISO)
• Sunt mai mult de 30 standarde :
• ISO 27001 (Information technology - Security Techniques)
• ISO 27002 (Code of practice for information security management)
• ISO 27005 (Information security risk management)
• ISO 27799 (Information security management in health using ISO/IEC 27002)
• …..
Identificarea controalelor
Standarde și cadre de referință
COBIT
• Control Objectives for Information and related Technology versiunea 2019
• Dezvoltat de Information Systems Audit and Control
Association (ISACA; www.isaca.org)
• Procese și domenii
Identificarea controalelor
Standarde și cadre de referință
ITIL
• Information Technology Infrastructure Library
• Bune practici în IT Service Management (ITSM)
• www.itil-officialsite.com
• 5 “Service Management Practices – Core Guidance” :
• Service Strategy
• Service Design
• Service Transition
• Service Operation
• Continual Service Improvement
Identificarea controalelor
Standarde și cadre de referință
NIST CSF
• National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF)
• http://www.nist.gov/cyberframework/
• 5 funcții: Identify, Protect, Detect, Respond, Recover
• Referențiază alte standarde
• Voluntar
Identificarea controalelor
Standarde și cadre de referință
NIST SP 800-53 (?)
Identificarea controalelor
Standarde și cadre de referință
Scop și adaptare
• Scop – care/ce parte a standardului se va pune în practică
• Adaptare – la contextul organizației
Identificarea controalelor
Protejarea datelor „în mișcare„/tranzit (in
motion) și „în repaus„ (at rest)
Criptare și securitate fizică
• De regulă….dacă nu se poate asigura securitate fizică se scriptează.
• Date în tranzit – dacă nu se poate asigura securitatea fizică (router, switche, firewall, medii de
stocare), se criptează
• Date în repaus – dacă nu se poate asigura securitatea fizică (flash drive, laptop, datacenter,
birou, backup), se criptează