Documente Academic
Documente Profesional
Documente Cultură
- Securitatea fizică
- Securitatea personalului
- Securitatea informaţiilor
- Securitatea sistemelor informatice şi de comunicaţii
- Securitatea industrial
- Sănătatea şi securitatea muncii
- Apărarea împotriva incendiilor şi protecţia mediului
- Managementul situaţiilor special şi de urgenţă
- Instruirea, pregătirea şi dezvoltarea de securitate a personalului
- Activităţi de competitive intelligence şi counter competitive intelligence
- Deficienţe de instruire
- Conversaţii publice
- Furtul de informaţii
Soluţii:
- Identificarea vulnerabilităţilor
- Stabilirea de limitări de acces la informaţii
- Monitorizarea electronica
- Limitarea conflictelor interne
- Cunoaşterea stării generale a angajaţilor (financiară, juridică, ideologică, de sănătate etc.)
- Identificarea timpurie
- Performanţă scăzută
- Stress financiar crescut
- Exprimare publică a nemulţumirilor faţă de organizaţie
- Declanşarea unor conflicte
- Situaţie financiară nejustificată
- Orar de lucru neobişnuit
- Cereri frecvente pentru zile libere sau modificarea orarului
- Călătorii frecvente
Cea mai bună măsură de protecţie – construirea unei relaţii de încredere între angajaţi şi companie!
Aprilie 2012 - ISO22301 – Standardul de management pentru continuitatea afacerilor (spaţiul public şi
cel privat)
1. Stabilirea strategiei
- Compartimentarea comunicaţiilor, reţelei, serviciilor şi aplicaţiilor folosite
- Apărarea pe nivele
- Maniera de răspuns la incidente
- Alocarea resurselor pentru securizare
2. Stabilirea politicilor de securitate
Politici formale: Monitor, Graham-Denning, Sutherland, Bell-La Padula, Biba, Clark-Wilson, Latice,
Zidul Chinezesc (detalii: https://ipspecialist.net/fundamental-concepts-of-security-models-how-
they-work/ ) Concepte fundamentale ale modelelor de securitate
Un model de securitate într-un sistem informațional reprezintă setul de proceduri pentru evaluarea
și autentificarea politicilor de securitate, în scopul mapării obiectivelor intelectuale ale politicii la un
sistem informațional, specificând structuri de date explicite și tehnici necesare implementării
politicii de securitate. Un model de securitate este de obicei reprezentat în matematică și idei
analitice, care sunt mapate la specificațiile sistemului și apoi dezvoltate de programatori prin cod de
programare. Au fost dezvoltate mai multe modele de securitate pentru a aplica politicile de
securitate. Următoarea secțiune oferă concepte fundamentale ale modelelor de securitate care
trebuie să fie familiarizate cu acesta ca candidat CISSP.
Modelul Bell-LaPadula
Se afirmă că un subiect la un anumit nivel de securitate nu poate citi date care se află la un nivel de
securitate mai înalt.
Se afirmă că un subiect care are capacități de citire și scriere poate îndeplini ambele funcții la același
nivel de securitate; nimic mai sus și nimic mai jos.
Deci, pentru ca un subiect să poată citi și scrie un obiect, aprobarea subiectului și clasificarea
obiectului trebuie să fie egale.
Modelul Biba
Modelul Biba este un model de securitate care abordează integritatea datelor dintr-un sistem. Nu
este preocupat de nivelurile de securitate și confidențialitate. Modelul Biba folosește niveluri de
integritate pentru a împiedica fluxul datelor la orice nivel de integritate la un nivel de integritate mai
ridicat.
Biba are trei reguli principale pentru a oferi acest tip de protecție:
Subiectul nu poate scrie date unui obiect la un nivel de integritate mai ridicat.
Proprietatea de invocare
Aflați mai multe despre aceste modele în cursul nostru de certificare al CISSP aici.
Modelul Clark-Wilson
Modelul Clark-Wilson a fost dezvoltat după Biba și are diferite metode de protejare a integrității
informațiilor.
Elemente de date fără restricții (UDI): pot fi manipulate de utilizatori prin operații de citire și scriere
primitive
Proceduri de verificare a integrității (IVP): Verificați consistența CDI-urilor cu realitatea externă.
Model de non-interferență
Modelele Brewer și Nash sunt, de asemenea, cunoscute sub numele de modelul Chinese Wall. Se
afirmă că un subiect poate scrie unui obiect dacă și numai dacă subiectul nu poate citi un alt obiect
care se află într-un alt set de date. A fost creat pentru a oferi controale de acces care se pot schimba
dinamic în funcție de acțiunile anterioare ale unui utilizator. Scopul principal al acestui model este
protejarea împotriva conflictelor de interese prin încercările de acces ale utilizatorilor.
Modelul Graham-Denning
Modelul Graham-Denning se bazează pe trei părți: obiecte, subiecte și reguli. Oferă o abordare mai
granulară pentru interacțiunea dintre subiecți și obiecte.
Modelul Harrison-Ruzzo-Ullman
Creează obiect
Creează subiect
Distruge subiectul
Distruge obiectul
- Politici specifice: internet, e-mail, semnături electronice, criptare, management parole etc.
- Gestiunea securităţii fizice (echipamente, incinte, protecţie fizică) şi securităţii logice (drepturi
de acces şi drepturi la servicii)
IE Curs 12 - Culegerea de informatii “gri"si “negre" (informatiile care nu ar trebui divulgate)
(Sursa: Kevin Mitnick si William Simon, Arta de a stoarce informatii, Editura Teora, 2005)
Metode de atac
2) “Praf in ochi”- utilizarea unor siretlicuri - verific reteaua si as vrea sa stiu ce legaturi sa
restabilesc, mi s-a virusat calculatorul si trebuie sa verific rapid un client, realizez o
documentare pentru un articol/o carte, am o zi proasta/programare la medic/un eveniment
nefericit in familie si trebuie sa verific rapid o situatie fara a avea timp sa trec pe la birou, etc.
7) Siretlic de securitate de tip “drops”(invelis tare, miez lichid) - se folosesc cateva informatii de
suprafata, mai usor de obtinut, pentru a intra in sistem direct la un nivel superior si a ocoli
astfel procedurile de securitate
8) Securitatea “de carciuma” (plecand de la vremurile prohibitiei din SUA si accesul in carciumi
neoficiale, cunoscute doar de un anumit grup)- bazata pe cunoasterea locului in care se afla
informatia dorita si utilizarea numelui unei persoane sau a unor expresii specifice pentru a
capata acces
11) Inselatoria inversa - truc prin care persoana atacata ajunge sa ii ceara ajutorul chiar
atacatorului
Solutii
7) Verificarea permanenta a statutului unor persoane anterior de incredere - mai sunt angajati sau
nu, pe ce pozitie, au sau nu nevoie de informatia in cauza etc.
8) Proceduri de gestionare a apelurilor telefonice (pentru ca acestea cer de regula date imediate)
11) Proceduri pentru identificarea si raportarea de apeluri suspecte, contacte personale suspecte,
neconcordante descoperite, etc.