Modul 4

Managementul securitatii
sistemelor informatice
 Continut:

4.1 Managementul securitatii informatiei.

4.2 Gestiunea riscurilor in domeniul informatic.

4.3 Politica de securitate informatica a organizatiei.

 4.1 Managementul securitatii informatiei

Scopul fundamental al securitatii informatiei:

Crearea unui anumit nivel de non-vulnerabilitate a organizatiei, in

fata atacurilor voluntare/involuntare care au loc asupra:
 informatiilor;

 sistemelor si retelelor informatice;

 sistemelor si instrumentelor de comunicatie electronica.

 Ce cuprinde securitatea in sfera informatica?

Securitatea
IC&T

Securitatea
sistemelor informatice
si a TIC
Securitatea Securitatea
informatiei comunicatiilor
 Mizele securitatii in domeniul informatic

 Protejarea patrimoniului informational al organizatiei.

 Lupta impotriva actelor de rea-vointa de natura informatica (fenomenul
de criminalitate informatica)
 Asigurarea conformitatii cu reglementarile si normele in vigoare din
domeniul securitatii informatice (normele ISO 27000)
 Identificarea si gestionarea riscurilor informationale, informatice si de
comunicatie.
ISO 27001 – Sisteme de management a securităţii informaţiei.
ISO 27002 – Ghid de bune practici -măsuri de securitate.
ISO 27003 – Implementare.
ISO 27005 - Analiza şi gestiunea riscului.
ISO 27006 – Auditul SMSI (sisteme de management a securitatii
informatiei).
Securitatea in domeniul IC&T

 Conceptul de securitate aplicat informaţiei ia în considerare

protecţia activelor informaţionale – stocate, tratate, partajate,
transmise sau extrase de pe un suport electronic - în faţa
ameninţărilor care conduc la distrugere, divulgare, sau
inaccesibilitate.

 Noţiunea de securitate informatică se refera la diversele

mecanisme, instrumente, proceduri sau tehnici care asigură
protecţia sistemelor, a reţelelor informatice si de comunicatie.
 Parametrii de securitate a informatiei
 Disponibilitatea - garantarea accesului la informaţie a utilizatorilor abilitaţi, în
condiţii bine determinate de timp şi performanţă.

 Integritatea – garantarea exactitudinii şi a exhaustivităţii informaţiei, sub

aspectul nealterării ei voluntare sau involuntare, de către persoane
neautorizate.

 Confidenţialitatea – garanteaza că informaţia este redată doar utilizatorilor

autorizaţi, accesarea acesteia fiind efectuată în baza unor reguli predefinite.

 Controlul (trasabilitatea) –
 asigurarea atributului de non-repudiere al informaţiei (imposibilitatea
utilizatorului de a nega recepţionarea/transmiterea informaţiei);
 garantarea trasabilităţii - posibilitatea de a controla traseul informaţiei, prin
amprentele lăsate de aceasta in sistem.
Elemente vizate de securitatea IC&T

 activele informaţionale – baze şi bănci de date, documentaţii de

sisteme, proceduri de fabricaţie, planuri, programe, arhive, brevete de
invenţii, drepturi de autor, marcă, imagine etc;

 programe informatice – software de bază, aplicaţii, programe utilitare,

instrumente de dezvoltare software etc;

 materiale informatice – calculatoare, echipamente de comunicaţie,

suporturi de memorare etc;

 servicii electronice – telecomunicaţii, servicii de interes public, servicii

bancare etc.
 Managementul securitatii informatiei

Managementul securităţii informaţiei – proces prin care se asigura

pilotajul activitatilor referitoare la gestionarea informatiei si a sistemelor
informatice într-o manieră care să garanteze un nivel adecvat de protecţie
a acestora, în timp şi spaţiu.

Obiectivul fundamental - prevenirea producerii riscurilor in domeniul

IC&T care pot compromite patrimoniul organizaţiei, precum şi recuperarea
rapidă a pierderilor survenite în urma manifestării acestora.
 4.2 Gestiunea riscurilor in domeniul informatic

Definitie:

Coordonarea într-o manieră continuă, a activităţilor de identificare,

evaluare, control si eliminare a riscurilor specifice infrastructurii IC&T
a organizaţiei, precum şi operaţionalizarea unor sisteme corespunzătoare
de supraveghere şi de alertă.
 Riscurile din sfera informatica

Riscul = un pericol dovedit sau potential, previzibil sau nu,

care are un impact nefavorabil asupra capacitatii organizatiei
de a-si atinge obiectivele, precum si asupra nivelului sau
de performanta.
Delimitarea terminologica a riscurilor in domeniul
IC&T

 Riscul informaţional reprezintă un pericol dovedit sau potenţial, mai

mult sau mai puţin previzibil, care se manifestă asupra caracteristicilor,
a conţinutului, a operaţiilor la care este supusa informaţia, precum şi
asupra circuitului sau fluxului informaţional.

 Riscul informatic reprezintă un pericol dovedit sau potenţial, mai

mult sau mai puţin previzibil, care se manifestă asupra sistemelor
software de exploatare şi al programelor informatice.

 Riscul tehnologic reprezintă un pericol dovedit sau potenţial, mai

mult sau mai puţin previzibil, care se manifestă asupra echipamentelor
hardware, al instrumentelor şi sistemelor de comunicaţie electronică,
precum şi asupra tehnologiilor funcţionale pe platforme Internet.
 Componentele riscului

 Probabilitatea de aparitie
 Variaza de la imposibilitate la certitudine si se exprima pe o scara de
valori pe trei niveluri: mica – medie – mare.
 Nivelul de vulnerabilitate
 Exprima gradul de expunere la risc si se exprima pe trei niveluri:
redusa – medie – mare.
 Nivelul impactului
 Reprezinta efectele riscului in cazul producerii lui, scara valorica pe
trei niveluri: scazut – moderat – ridicat.
Masurarea riscului
 Aria de manifestare a riscului informatic

• grupuri de presiune
• piratare site
Externa • intruziunea informatica
(hacking)

Aria de risc in Interna • echipamente neperformante

sfera informatica • produse informatice
contrafacute
• gestiune defectuoasa a
Mixta inform.
 uzurparea identitatii

 atacuri virale

 deturnarea informatiei
 Tipuri de vulnerabilitati

- Arhitecturi informatice,
de comunicatie permisive
Organizationale - Administrare nesecurizata a
aplicatiilor

Tehnice - Deficiente de conceptie

- Conexiuni nesigure pt.
Vulnerabilitati comunicatii
Umane - Necunoasterea/ignorarea
amenintarilor
- Lipsa de implicare a cond.
Externe
- Defaimarea, decredibilizarea
imaginii si a notorietatii
 4.3 Politica de securitate informatica

Concept:
Componentă cu rol complementar şi de suport în cadrul celorlalte politici
existente în organizaţie, concepută pentru a asigura cadrul formal de
aplicare a măsurilor de securitate, destinate reducerii riscurilor IC&T
şi a pierderilor generate de acestea .

Obiectiv urmarit prin PSI

Asigurarea protecţiei activelor informaţionale ale organizatiei, în scopul
garantării continuităţii în funcţionare a propriului sistem.
 Elemente generale ale politicii de securitate
informatica
Elemente ale PSI Intrebari asociate
 
Organizarea securităţii Ce anume trebuie protejat? De ce?

 Atribuirea rolurilor şi a responsabilităţilor  Cine asigură protecţia? Care sunt

nivelurile de protecţie pentru fiecare actor
implicat?

 Identificarea ţintelor de securitate pentru Care sunt riscurile potenţiale, cauzele lor ?
fiecare domeniu din organizaţie Ce riscuri pot fi asumate?

 Definirea ameninţărilor, identificarea  Care este nivelul actual de securitate

vulnerabilităţilor
 Definirea măsurilor de securitate
informatică? Care este gradul de
vulnerabilitate, pe domenii?
 Care sunt practicile, soluţiile, procedurile
ce vor fi operaţionalizate în planul
informaţional, informatic şi al
comunicaţiilor?
Oportunitatea politici de securitate informatica
Perceptia manageriala
 Asigurarea securitatii in domeniul informatic este hotaritoare pentru castigarea
increderii din partea partenerilor organizatiei.
 Abordarea securitatii informatice din perspectiva tehnologica este o conditie
necesara (nu si suficienta) pentru protejarea patrimoniului organizatiei.
 Abordarea securitatii informatice din perspectiva manageriala (conditia de
suficienta) este in masura sa asigure o coerenta a scopurilor PSI cu obiectivele
strategice generale.
Perceptia economica (eficienta si eficacitate)
 Asigurarea securitatii informatice nu sporeste in mod direct si vizibil resursele
financiare ale organizatiei, dar in mod sigur, evita sa le piarda!!!
 Securitatea in domeniul informatic poseda o eficacitate “pasiva”, reflectata prin
efecte care ar apare ca urmare a insecuritatii informatice!
Securitatea informatica este o calatorie permanenta

si nu doar o destinatie.

(Club de la Securite de l’Information Francais)