Aureliu Zgureanu. Bazele securității informaționale.

TEMA 1: INTRODUCERE ÎN SECURITATEA INFORMAŢIEI

Obiectivele temei:
 Familiarizarea cu obiectul de studiu al securității informațiilor.
 Caracterizarea atributelor securității informațiilor.
 Analiza claselor de amenințări la adresa condidențialității, integrității și disponibilității
informației.
Cuvinte-cheie:
securitatea informației, integritate,
măsuri organizatorice, disponobilitate,
măsuri legislative, autenticitate,
măsuri tehnice, non-repudiere,
monfidențialitate, amenințare.

1.1. Obiectul de studiu al securității informațiilor

Securitatea informației este un proces care are scopul de a asigura protecția informației de
acțiuni neautorizate la adresa acesteia, cum ar fi de exemplu: accesul neautorizat, folosirea,
dezvăluirea, întreruperea, modificarea sau distrugerea neautorizată a informației. Tehnicile de
asigurare a securităţii pot fi aplicate la orice informaţie, indiferent de natura ei, şi este important de
remarcat că informaţia are valoare în special atunci când este subiect al schimbului sau procesării,
deci tocmai atunci când este vulnerabilă în faţa unor părţi ce nu pot fi considerate de încredere.
Astfel, fără a exclude valoarea informaţiei stocate, valoarea informaţiei creşte evident în acțiunea de
schimb sau de procesare şi este evident că o informaţie complet izolată nu conduce la riscuri de
securitate foarte mari, dar în acelaşi timp nici nu poate aduce foarte multe beneficii având în general
valoare scăzută.
Trebuie de menționat că uneori “Securitatea informației” este confundată cu “Securitatea
informatică”, care de fapt este o ramură a informaticii ce se ocupă cu identificarea riscurilor
implicate de folosirea dispozitivelor informative, cum sunt calculatoarele, smartphone-urile, dar și
rețelele de calculatoare atât publice cât și private, și cu oferirea de soluții pentru înlăturarea acestor
riscuri. Acest termen însă caracterizează un domeniu mai îngust, calculatoarele fiind doar o
componentă a sistemelor informatice. Securitatea informației este dependentă nu numai de tehnica
de calcul, ci și de infrastructura conexă, cum ar fi sistemele de alimentare cu energie, apă, căldură,
aparate de aer condiționat, mijloacele de comunicare, personalul.
În același timp o noțiune mai generală este “Securitatea informațională” prin care înțelegem
protejarea atât a informației cât și a sistemelor informatice care asigură depozitarea, accesul și
transportul informațiilor.
1
 Aureliu Zgureanu. Bazele securității informaționale.
Trebuie să fim conștienți de faptul că informaţia este un produs care, ca şi alte produse
importante rezultate din activitatea umană, are valoare şi în consecinţă, este necesar să fie protejată
corespunzător, iar aceasta se realizează prin:
 măsuri organizatorice, contra distrugerii datorate catastrofelor naturale, referitoare la
selecţia profesională a personalului, organizarea unui sistem de control a accesului,
organizarea păstrării şi utilizării suporturilor de informaţii;
 măsuri juridice, care cuprind documente normative care controlează şi reglementează
procesul prelucrării şi folosirii informaţiei;
 mijloace informatice, constituite din echipamente, programe şi tehnici de protecţie.
1.2. Atribute ale securității informațiilor
1.2.1. Triada confidențialității, integrității și disponibilității
Trei dintre obiectivele primare din domeniul securității informațiilor sunt confidențialitatea,
integritatea și disponibilitatea, cunoscute ca triada confidențialității, integrității și disponibilității –
CIA - (figura 1.1), care ne oferă un model prin intermediul căruia am putea să analizăm și să
discutăm diverse concepte de securitate.
Confidenţialitatea înseamnă asigurarea accesului la informaţii numai pe baza drepturilor de
acces aprobate ale persoanei, în acord cu nivelul de secretizare a informaţiei accesate şi a
permisiunii rezultate din aplicarea principiului nevoii de a cunoaşte (need-to-know). Cu alte
cuvinte, confidenţialitatea presupune interzicerea accesului neautorizat al persoanelor la informaţia
care nu le este destinată.
Confidențialitatea este o componentă necesară a vieții private și se referă la capacitatea
noastră de a ne proteja datele de cei care nu sunt autorizați să le vizualizeze. Confidențialitatea este
un concept care poate fi implementat la multe nivele ale unui proces.

Figura 1.1. Triada CIA

2
 Aureliu Zgureanu. Bazele securității informaționale.
De exemplu, dacă luăm în considerare cazul unei persoane care retrage bani de la un ATM
(bancomat), persoana în cauză va încerca probabil să păstreze confidențialitatea numărului personal
de identificare (PIN) care îi permite, în combinație cu cardul, să extragă cash de la bancomat. În
plus, proprietarul ATM-ului va păstra, sperăm, confidențialitatea numărului de cont, a soldului și a
oricăror alte informații necesare pentru a le comunica băncii din care provin fondurile. Banca va
păstra confidențialitatea tranzacției cu ATM-ul și modificarea soldului în cont după retragerea
fondurilor. Dacă, în oricare moment al tranzacției, confidențialitatea este compromisă, urmările ar
putea fi negative pentru individ, proprietarul ATM-ului și bancă, în rezultat apărând ceea ce numim
breșă de securitate. Confidențialitatea poate fi compromisă de pierderea unui laptop care conține
date, de o persoană care se uită peste umăr în timp ce introducem o parolă, un atașament de e-mail
trimis persoanei greșite, un atacator care penetrează sistemele noastre sau alte probleme similare.
Integritatea este interdicţia modificării, prin ştergere sau adăugare, ori a distrugerii în mod
neautorizat a informaţiilor. Acesta înseamnă că datele să nu poată fi alterate sau să nu poată fi
modificate decât de persoane autorizate. Prin alterarea datelor se înţelege atât modificarea voit
maliţioasă, cât şi distrugerea acestora. Dar datele pot fi alterate, sau chiar pierdute/distruse, nu
numai ca urmare a unei acţiuni răuvoitoare, ci şi ca urmare a unei erori hardware, erori software,
erori umane sau a unei erori a sistemelor de securitate. În acest caz se impune să existe un plan de
recuperare şi refacere a datelor (existenţa unei copii de siguranţă).
Un bun exemplu de mecanisme care ne permit să controlam integritatea îl reprezintă
sistemele de fișiere ale multor sisteme de operare moderne, cum ar fi Windows și Linux. În scopul
prevenirii modificărilor neautorizate, astfel de sisteme implementează adesea permisiuni care
restricționează acțiunile pe care un utilizator neautorizat le poate efectua pe un anumit fișier. În
plus, unele astfel de sisteme și numeroase aplicații, cum ar fi bazele de date, ne pot permite să
anulam sau să restabilim modificările nedorite.
Integritatea este deosebit de importantă atunci când se referă la datele care reprezintă
fundamentul pentru unele decizii. Spre exemplu dacă un atacator ar modifica datele care conțineau
rezultatele testelor medicale, s-ar putea ca medicul să prescrie greșit tratamentul, care ar putea duce
la moartea pacientului.
Disponibilitatea înseamnă asigurarea condiţiilor necesare regăsirii şi folosirii cu uşurinţă a
informaţiilor ori de câte ori este nevoie, cu respectarea strictă a condiţiilor de confidenţialitate şi
integritate. Aceasta înseamnă asigurarea utilizatorilor legali cu informaţia completă atunci când
aceştia au nevoie de ea, iar utilizatorii trebuie să aibă acces doar la datele care le sunt destinate.
În contextul triadei CIA Securitatea informației poate fi definită ca ansamblul măsurilor şi
structurilor îndreptate spre protecţia informaţiilor stocate, prelucrate sau transmise prin intermediul
sistemelor informatice și de comunicaţii sau a altor sisteme electronice, precum și împotriva
3
 Aureliu Zgureanu. Bazele securității informaționale.
ameninţărilor şi a oricăror acţiuni care pot afecta confidenţialitatea, integritatea și disponibilitatea
informaţiei sau funcţionarea sistemelor informatice, indiferent dacă acestea apar accidental sau
intenţionat.

1.2.2. Autenticitatea, responsabilitatea și non-repudierea

Odată cu atingerea nivelului înalt de informatizare pe care îl are societatea modernă la
conceptele fundamentale care alcătuiesc triada CIA au mai fost alăturate și autenticitatea,
responsabilitatea și non-repudierea, fără de care asigurarea nivelului corespunzător de protecție a
informației devine dificilă.
Autenticitatea este asigurarea că datele, tranzacțiile, comunicațiile sau documentele (în
format electronic sau fizic), sunt autentice. De asemenea, este important de a se valida faptul că
ambele părți implicate sunt cine pretind a fi.
Responsabilitatea este un concept esențial de securitate a informațiilor și înseamnă că
fiecare persoană care lucrează cu un sistem informatic trebuie să aibă responsabilități specifice
pentru asigurarea informațiilor. Sarcinile pentru care o persoană este responsabilă fac parte din
planul general de securitate a informațiilor și sunt ușor de măsurat de către o persoană care are
responsabilitatea managerială pentru asigurarea informațiilor. Un exemplu este declarația de
politică conform căreia toți angajații trebuie să evite instalarea software-ului extern pe o
infrastructură informatică deținută de companie. Persoana responsabilă cu securitatea informațiilor
trebuie să efectueze verificări periodice pentru a se asigura că politica este urmată.
Non-repudierea este o măsură prin care se asigură faptul că, după emiterea sau recepţionarea
unei informaţii într-un sistem de comunicaţii securizat, expeditorul sau destinatarul nu poate nega,
în mod fals, că a expediat sau primit informaţiile în cauză. Non-repudierea îşi propune să confirme
destinatarului unui mesaj electronic faptul că acest mesaj este scris şi trimis de persoana care
pretinde că l-a trimis. În acest fel se asigură încrederea părţilor. Non-repudierea stă la baza
semnăturilor digitale, asigurând autenticitatea acestora.

1.3. Amenințări la adresa securității informației

În acest compartiment vom face cunoștință doar cu noțiunea de amenințare la adresa
securității informației, fiind pus accentul pe amenințări la adresa confidențialității, integrității și
disponibilității, o descrierea mai detaliată și completă fiind dată în compartimentul 9 al acestei cărți.
1.3.1. Noțiune de amenințare la adresa securității informației
Ameninţare pentru securitatea informaţională este intenţia, acţiunea sau inacţiunea,
manifestate real sau potenţial, sau factorul cu caracter ecologic, tehnic sau de alt gen, realizarea sau

4
 Aureliu Zgureanu. Bazele securității informaționale.
dezvoltarea căruia contravine sau poate să contravină intereselor legale de bază ale persoanei,
societăţii şi statului în spaţiul informaţional.
Amenințarea este cauza potențială a unui incident nedorit care poate produce daune unui
sistem sau unei organizații (ISO/IEC 27005). O încercare de a pune în aplicare amenințarea se
numește atac, iar cel care face o astfel de încercare – un atacator. Atacatorii potențiali sunt numiți
surse de amenințare.
De obicei amenințarea este un rezultat a vulnerabilității, adică a slăbiciunii unei resurse sau
grup de resurse care poate fi exploatată de una sau mai multe amenințări (de exemplu posibilitatea
accesului persoanelor neautorizate la echipamentul de o importanță majoră sau existența unei erori
în software).
Perioada de la momentul apariției vulnerabilității până la eliminarea ei se numește ciclu de
viață al vulnerabilității. Atât timp cât persistă o vulnerabilitate sunt posibile atacuri asupra
sistemului informatic. Dacă vulnerabilitatea este generată de o eroare de software, atacul este
posibil de la apariția instrumentelor de exploatare a erorii până la înlăturarea acestei erori.
Pentru majoritatea vulnerabilităților perioada activă este relativ mare (câteva zile, uneori –
săptămâni), deoarece în acest timp trebuie să aibă loc următoarele evenimente:
 trebuie să fie cunoscute mijloacele de utilizare a breșei în apărare;
 trebuie să fie fabricat patch-ul1 respectiv;
 patch-ul trebuie să fie aplicat pe sistemul informatic.
Vulnerabilitățile și mijloacele de utilizare ale lor apar încontinuu, ceea ce înseamnă că
prezența lor trebuie verificată tot timpul, iar fabricarea și aplicarea patch-ului respectiv necesită
operativitate maximă.
Amenințările la adresa securității informației pot fi clasificate în conformitate cu mai multe
criterii:
 aspectul securității informației (confidențialitate, disponibilitate, integritate), spre care
amenințările se îndreaptă în primul rând;
 componentele sistemelor informatice, care sunt obiectul amenințărilor (date, software,
echipament, infrastructura);
 metoda de realizare (acțiuni accidentale/intenționate naturale/provocate de om);
 amplasarea sursei amenințării (în interior/afara sistemului).

1
Un patch (în romana plasture) este, de regulă, un mic program prin care se face actualizarea altor programe, se rezolvă
unele erori de funcționare ale programelor ori unele probleme de securitate informatică. De exemplu toate update-urile
diverselor programe sunt patch-uri.
5
 Aureliu Zgureanu. Bazele securității informaționale.

1.3.2. Amenințări la adresa confidențialității

Informația confidențială poate fi împărțită în două categorii: informație de serviciu și
informație de domeniu. Informația de serviciu (cum ar fi parolele) nu se referă la un anumit
domeniu, în sistemul informatic acesta joacă un rol tehnic, însă divulgarea ei este deosebit de
periculoasă, deoarece în rezultat se poate obține accesul neautorizat la toate informațiile, inclusiv
cele de domeniu.
Chiar dacă informația este stocată pe calculator sau este destinată utilizării calculatorului,
amenințările la adresa confidențialității ei ar putea să nu fie conexe calculatorului și, în general, ar
putea să nu aibă caracter tehnic.
Mulți dintre noi suntem utilizatorii nu numai a unui sistem informatic, ci a unui șir de
sisteme (servicii informatice). În cazul în care pentru accesul la astfel de sisteme sunt utilizate
parole reutilizabile sau altă informație confidențială, datele vor fi stocate nu numai în memoria
utilizatorului, ci mai probabil și într-o agendă sau pe foi de hârtie, care pot fi lăsate de către
utilizator pe masa de lucru. Este practic imposibil de memorizat mai multe parole diferite;
recomandările pentru o schimbare regulată a lor doar agravează situația, utilizatorul fiind impus să
utilizeze diverse scheme necomplicate de alternare a parolelor sau chiar poate încerca să le reducă
la două sau trei parole care sunt ușor de ținut minte și care pot fi ghicite.
Vulnerabilitățile expuse sunt caracterizate de amplasarea datelor confidențiale într-un mediu
care nu se bucură de o protecție adecvată. Același caracter îl are și transferul de date confidențiale
în clar (în conversație, într-o scrisoare, în rețea), ceea ce face posibilă interceptarea lor. Pentru
atacuri pot fi utilizate diverse mijloace tehnice (interceptarea convorbirilor, interceptarea pasivă în
rețea, etc.).
Interceptarea datelor este o amenințare foarte gravă, iar în cazul în care confidențialitatea
este cu adevărat critică și datele sunt transmise prin canale multiple, protecția lor poate fi foarte
dificilă și costisitoare. Mijloace tehnice de interceptare sunt bine concepute, disponibile, simple în
utilizare și ușor de instalat.
Furtul de echipamente de asemenea este o amenințare a confidențialității. Atât pentru
unitățile de stocare externe, cât și pentru calculatoare în general, în special cele portabile.
O amenințare periculoasă a confidențialității ce nu ține de metodele tehnice este mascarada –
realizarea de activități sub masca unei persoane cu autoritatea de acces la date.
Abuzul de putere este o amenințare de care este dificil de protejat. În multe tipuri de sisteme
utilizatorul privilegiat (administratorul de sistem), are posibilitatea de a citi orice fișier (necriptat),
poate avea acces la e-mailul oricărui utilizator, etc. Un alt exemplu constă în cauzarea daunelor în

6
 Aureliu Zgureanu. Bazele securității informaționale.
timpul deservirilor tehnice. În mod normal, inginerul de la service primește acces nelimitat la
echipament și este capabil de a ocoli mecanismele de protecție ale software-ului.
1.3.3. Amenințări la adresa integrității
Integritatea poate fi statică, în sensul imutabilității componentelor informatice, și dinamică,
care se referă la aplicarea corectă a acțiunilor complexe (tranzacții). Amenințări ale integrității
dinamice sunt încălcarea tranzacțiilor atomice2, reordonarea, furtul, duplicarea datelor sau
introducerea de mesaje suplimentare (pachete de rețea, etc.). Mijloacele de control ale integrității
dinamice se aplică în special la analiza fluxului de mesaje financiare.
Acțiunile corespunzătoare ale răuvoitorilor într-un mediu de rețea în scopul de a încălca
integritatea dinamică poartă denumirea de interceptare activă.
Printre acțiunile răuvoitorului (de obicei, membrul al personalului) în scopul de a încălca
integritatea statică se numără introducerea datelor incorecte sau modificarea datelor.
Pot fi falsificate de exemplu antetele de e-mail, întreg mesajul poate fi falsificat de către o
persoană care cunoaște parola. Acest lucru este posibil chiar și atunci când pentru integritate se
folosesc mijloace criptografice. Aici are loc o interacțiune a diferitelor aspecte ale securității
informației: în cazul în care se încălcă confidențialitatea, poate fi afectată integritatea. O amenințare
a integrității este nu numai falsificarea sau modificarea datelor, dar, de asemenea, și negarea actelor
comise, adică repudierea. În acest scop trebuie alocate resurse și pentru asigurarea „non-repudierii”.
Integritatea este cel mai important aspect al securității informațiilor în cazurile în care
informația este o instrucțiune sau un ghid pentru unele acțiuni exacte. Compoziția medicamentelor,
setul și caracteristicile componentelor unor produse, parcursul procesului tehnologic - sunt exemple
de informație, încălcarea integrității căreia nu este permisă. Este dezagreabilă și denaturarea
informației oficiale, fie textul unei legi sau pagina web a serverului oricărei organizații
guvernamentale.
Sunt potențial vulnerabile din punct de vedere al încălcării integrității nu doar date, ci și
aplicațiile software. Instalarea software-ului rău intenționat este un exemplu al unei astfel de
încălcări.

1.3.4. Amenințări la adresa disponibilității

Sistemele informatice sunt create pentru servicii informatice specifice. Dacă dintr-un motiv
sau altul este imposibilă furnizarea acestor servicii, aceasta va provoca daune utilizatorilor,
prestatorilor de servicii și dezvoltatorilor. Din aceste motive disponibilitatea poate fi numită cel mai
important element al securității informației. Rolul primordial al disponibilității se manifestă în

2
Caracterul atomic reprezintă proprietatea „tot sau nimic”. O tranzacţie atomică este o unitate indivizibilă, care ori este
efectuată în întregime, ori nu este efectuată de loc;
7
 Aureliu Zgureanu. Bazele securității informaționale.
deosebi în sistemele de gestiune a producției, a transportului etc. Aparent mai puțin dramatice, însă
la fel de periculoase pot fi consecințele (atât materiale cât și cele morale) indisponibilității pe
termen lung ale serviciilor informatice destinate unui număr mare de oameni (vânzarea biletelor la
tren sau avion, servicii bancare etc.).
Erorile neintenționate ale utilizatorilor ce fac parte din personalul întreprinderii, ale
operatorilor, administratorilor de sistem, și altor persoane care deservesc sistemele informatice sunt
destul de frecvente, iar unele dintre aceste erori sunt de fapt amenințări (datele introduse incorect
sau o eroare în program care a cauzat prăbușirea sistemului). Uneori aceste erori (care sunt de
obicei administrative) creează vulnerabilități pe care atacatorii le pot utiliza. Modul cel mai radical
de a lupta cu erorile neintenționate este automatizarea maximă și un control strict.
Alte amenințări ale disponibilității pot fi clasificate după componentele sistemului
informatic la care se referă amenințarea:
1. refuzul utilizatorului;
2. defectul intern al sistemului informatic;
3. refuzul infrastructurii sistemului.
Referitor la refuzul utilizatorilor de obicei sunt prezente următoarele amenințări:
 refuzul de a lucra cu sistemul informatic (cel mai adesea manifestat în necesitatea de
a învăța noile posibilități ale sistemului sau în discrepanțele între cerințele clientului
și capacitățile reale ale sistemului și caracteristicile tehnice ale lui);
 incapacitatea de a lucra cu sistemul din cauza lipsei de pregătire corespunzătoare
(lipsa generală de cunoaștere a calculatorului, incapacitatea de a interpreta mesajele
de diagnostic, incapacitatea de a lucra cu documentația etc.);
 incapacitatea de a lucra cu sistemul din cauza lipsei de suport tehnic (documentația
incompletă, lipsa de informații de fond etc.).
Principalele surse ale defectului intern al sistemului sunt:
 devierea (accidentală sau intenționată) de la normele stabilite de funcționare;
 ieșirea sistemului din modul normal de funcționare ca urmare a acțiunilor accidentale
sau intenționate ale utilizatorilor sau a personalului de întreținere (creșterea
numărului estimat de cereri, volumul excesiv de informații prelucrate, etc.);
 erorile în configurația sistemului;
 defecțiuni hardware și software;
 distrugerea datelor;
 distrugerea sau deteriorarea echipamentului.
În ceea ce privește infrastructura este recomandat să luăm în considerare următoarele
amenințări:
8
 Aureliu Zgureanu. Bazele securității informaționale.
 perturbări (accidentale sau intenționate) ale sistemelor de comunicații, de alimentare
cu energie electrică sau termică, apă, aer condiționat;
 distrugerea sau deteriorarea încăperilor;
 incapacitatea sau refuzul personalului și/sau utilizatorilor de a-și îndeplini sarcinile
(tulburări civile, accidente de transport, atac terorist sau amenințarea cu atac, grevă,
etc.).
De asemenea sunt periculoși și foștii sau actualii angajați “ofensați”, care potențial pot cauza
prejudicii organizației - “contravenientului”, cum ar fi de exemplu:
 deteriorarea echipamentului;
 încorporarea unei bombe logice care în cele din urmă va duce la distrugerea
sistemului și/sau a datelor;
 ștergerea datelor.
Angajații “ofensați”, fie ei și foști angajați, sunt familiarizați cu ordinea interioară a
organizației și pot provoca daune considerabile. Trebuie de avut grijă ca atunci când un angajat este
concediat drepturile sale de acces (logic și fizic) la resursele informaționale sunt anulate.
Sunt periculoase de asemenea și dezastrele naturale și evenimentele percepute ca fiind
dezastre naturale - incendiile, inundațiile, cutremurele, uraganele.
Amenințările disponibilității se pot dovedi destul de dure, cum este de exemplu deteriorarea
sau chiar distrugerea echipamentului. Astfel de daune pot fi provocate de cauze naturale (de multe
ori - de furtuni), sunt periculoase scurgerile sistemelor de instalații sanitare și de încălzire,
insuficiența aerului condiționat în cazul căldurii extreme. Este binecunoscut că trebuie de făcut
periodic copii de rezervă a datelor. Cu toate acestea, chiar și în cazul în care copiile sunt făcute, ele
sunt adesea depozitate neglijent.
Un mijloc de a perturba regimul normal de funcționare al sistemului poate fi consumul
agresiv de resurse (de obicei – a benzii de rețea, a puterii de lucru a procesoarelor sau a memoriei
operative). În funcție de localizarea sursei amenințării un astfel de consum poate fi local sau la
distanță. În cazul unor erori de configurare a sistemului o aplicație software locală poate practic
monopoliza procesorul și/sau memoria fizică, reducând viteza altor aplicații la zero, sau de
exemplu, numărul de utilizatori conectați la sistem care este limitat de resurse. Un exemplu de
consum de resurse la distanță sunt atacurile DoS – refuzul serviciului.
Metodele de protecţie specifice tehnologiei informației din ziua de astăzi sunt variate,
depinzând de tipul de vulnerabilităţi spre care sunt orientate. Soluţiile date de programele antivirus,
antispam, antispyware, echipamentele sau programele de tip firewall, VPN, programele de detecţie
şi prevenire a intruziunii (IDS, IPS) sau criptarea informaţiei sunt metode folosite pe scară largă de
toţi cei care sunt conştienţi de riscurile comunicaţiilor în epoca modernă.
9
 Aureliu Zgureanu. Bazele securității informaționale.
Dat fiind faptul că procesul de asigurare a securității informaţiei este o componentă esenţială
a societăţii informaţionale, au fost elaborate standarde internaţionale specifice conexe securității
informațiilor. Unele dintre cele mai importante standarde de acest tip se conțin în familia
standardelor de securitate ISO 27000 și au scopul de a ajuta organizațiile să obțină un nivel cat mai
ridicat al securității informaționale.

Întrebări și subiecte pentru aprofundarea cunoștințelor și lucrul individual

1. Care sunt cele trei obiective primare din domeniul securității informațiilor (CIA)? Ce
înseamnă fiecare dintre ele?
2. Descrieți o situație eventuală de compromitere a integrității, confidențialității,
disponibilității și non-repudierii. Care ar putea fi urmările acestor compromiteri?
3. Definiți Securitatea informației din punctul de vedere a triadei CIA.
4. Ce este o amenințare la adresa securității informației din punctul de vedere al
ISO/IEC 27005?
5. Faceți o descriere generală a amenințărilor la adresa triadei CIA. Subliniați cele mai
importante momente.
6. Faceți o descriere a amenințărilor la adresa autenticității, responsabilității și non-
repudierii.

10