Capitolul 4

Managementul securitatii
informatice
Obiectivele capitolului 4

Cunoasterea continutului procesului de securitate a informatiei,

in context managerial.

Familiarizarea cu conceptul de gestiune a riscurilor in domeniul

informatic si reliefarea tipologiei acestora.

Introducere in Sistemul de Management al Securitatii

Informatiei (SMSI). Politica de securitate informatica a
organizatiei.
 Continut:

4.1 Securitatea informatiei ca proces de management.

4.2 Gestiunea riscurilor in domeniul informatic.

4.3 Politica de securitate informatica a organizatiei.

 Capitolul 4 – Managementul securitatii informatice

4.1 Securitatea informatiei ca proces de management

Luind in considerare o abordare globala a domeniului informatic, scopul

fundamental al asigurarii securitatii rezida in:

Crearea unui anumit nivel de non-vulnerabilitate a

organizatiei, in fata atacurilor voluntare/involuntare
asupra:
informatiilor;
sistemelor si retelelor informatice;
sistemelor si instrumentelor de comunicatie electronica.
 Capitolul 4 – Managementul securitatii informatice

Ce cuprinde securitatea in sfera informatica?

Securitatea TIC
si a sistemelor
informatice

Securitatea
in
sfera informatica
Securitatea Securitatea
informatiei comunicatiilor
 Capitolul 4 – Managementul securitatii informatice

Mizele securitatii in domeniul informatic

Protejarea patrimoniului informational al organizatiei.

Lupta impotriva actelor de reavointa de natura informatica
(fenomenul de criminalitate informatica)
Asigurarea conformitatii cu reglementarile si normele in vigoare
din domeniul securitatii informatice.
Identificarea si gestionarea riscurilor informationale, informatice
si de comunicatie.
 Capitolul 4 – Managementul securitatii informatice

Elementele unui plan de actiune clasic in domeniul

informatic

Angajarea organizatiei in demersul de securitate informatica, via

Directia IT.
Stabilirea unui diagnostic de securitate (identificarea
amenintarilor si a vulnerabilitatilor organizatiei; identificarea
resurselor si informatiilor critice).
Definirea politicilor, procedurilor de securitate.
Analiza riscurilor si determinarea obiectivelor de control.
Operationalizarea masurilor de contra-risc.
Urmarirea ameliorarii continue a sistemului de management al
securitatii in sfera informatica.
 Capitolul 4 – Managementul securitatii informatice

Securitatea informatiei vs. securitatea informatica

Securitatea informatiei si securitatea informatica sunt

procese strans corelate, aflate intr-un raport de
interconditionare reciproca, dar care nu pot fi suprapuse la
nivelul scopului si al actiunilor pe care le includ. Astfel:
Conceptul de securitate aplicat informaŃiei ia în considerare protecŃia
activelor informaŃionale – stocate, tratate, partajate, transmise sau extrase
de pe un suport electronic - în faŃa ameninŃărilor care conduc la distrugere,
divulgare, sau inaccesibilitate.
NoŃiunea de securitate informatică se cantonează pe diversele mecanisme,
instrumente, proceduri sau tehnici care asigură protecŃia sistemelor şi a
reŃelelor informatice.
 Capitolul 4 – Managementul securitatii informatice

Securitatea informatiei

InformaŃia este considerată ca fiind un activ patrimonial important al

organizatiei, care se orienteaza sub aspectul securităŃii ei spre:

activele informaŃionale – baze şi bănci de date, documentaŃii de

sisteme, proceduri de fabricaŃie, planuri, programe, arhive, brevete de
invenŃii, drepturi de autor, marcă, imagine etc;
programe informatice – software de bază, aplicaŃii, programe utilitare,
instrumente de dezvoltare software etc;
materiale informatice – calculatoare, echipamente de comunicaŃie,
suporturi de memorare etc;
servicii electronice – telecomunicaŃii, servicii de interes public, servicii
bancare etc.
 Capitolul 4 – Managementul securitatii informatice

Securitatea informatiei – concept

Securitatea informaŃiei se defineşte ca fiind ansamblul de

măsuri prin care organizaŃia se asigură că resursele sale
materiale şi logice sunt în mod unic utilizate într-un cadru
predeterminat, conform strategiei şi politicii globale a
organizaŃiei.

Obiectivul fundamental al securitatii informaŃiei consta in

prevenirea producerii riscurilor informaŃionale, informatice şi
tehnologice care pot compromite patrimoniul organizaŃiei,
precum şi recuperarea rapidă a pierderilor survenite în urma
manifestării acestora.
 Capitolul 4 – Managementul securitatii informatice

Managementul securitatii informatiei

Securitatea informatiei devine un proces continuu, care trebuie abordat prin

natura lui, dintr-o perspectivă tehnologică, dar în egală măsură şi sub o
dimensiune managerială, care permite organizaŃiei să răspundă caracterului
dinamic al riscului.
Demersul de securitate a informaŃiei trebuie integrat a priori materializării lui
efective, într-o dimensiune managerială, el fiind o componentă a securităŃii
globale a organizaŃiei.

Managementul securităŃii informaŃiei apare ca un proces distinct la nivelul

guvernanŃei organizaŃiei, constituit dintr-un sistem organizat de activităŃi, care
converg în direcŃia gestionării informaŃiei şi a activelor legate de ea, într-o manieră
care să garanteze un nivel adecvat de protecŃie a acestora, în timp şi spaŃiu.
 Capitolul 4 – Managementul securitatii informatice

Niveluri de management in securitatea informatiei

Nivelul managementului operaŃional şi tactic – se regasesc procese de

organizare, coordonare si control a activitatilor de protectie a
informatiei şi a sistemelor informatice.

Nivelul managementului strategic – prin procesele de analiza si

gestiune a riscurilor in domeniul informatic, procesul de management al
securitatii informatiei constituie punctul de plecare in definirea
obiectivelor generale de securitate a organizatiei.
 Capitolul 4 – Managementul securitatii informatice

Parametrii de securitate a informatiei

Disponibilitatea - se referă la garantarea accesului la informaŃie a

utilizatorilor abilitaŃi, în condiŃii bine determinate de timp şi
performanŃă. Criteriul de disponibilitate se extinde şi asupra sistemelor
informaŃionale şi informatice, indicând capacitatea acestora de a putea
fi utilizate în aceleaşi condiŃii de termene şi performanŃă.
Integritatea – constă în garantarea exactitudinii şi a exhaustivităŃii
informaŃiei, sub aspectul nealterării ei voluntare sau involuntare, de
către persoane neautorizate.
ConfidenŃialitatea – conferă garanŃia faptului că, informaŃia este
redată doar utilizatorilor autorizaŃi, accesarea acesteia fiind efectuată în
baza unor reguli predefinite.
Controlul (trasabilitatea) – se referă pe de-o parte la asigurarea
atributului de non-repudiere al informaŃiei (imposibilitatea utilizatorului
de a nega recepŃionarea/transmiterea informaŃiei), iar pe de altă parte,
la garantarea trasabilităŃii (posibilitatea de a controla traseul
informaŃiei, prin amprentele lăsate în cadrul acestuia).
 Capitolul 4 – Managementul securitatii informatice

4.2 Gestiunea riscurilor in domeniul informatic

În Economia informatiei si a cunostintelor devine important ca organizaŃiile să

conştientizeze gradul lor de vulnerabilitate în faŃa apariŃiei riscurilor legate de
evoluŃia tehnologică. AmeninŃările puse în scenă de noua economie sunt pe
măsura mizelor pe care aceasta le reliefează, iar adoptarea unor acŃiuni
preventive sau corective în domeniul riscurilor constituie un demers
responsabil şi abil al organizaŃiei contemporane.

Conceptul de gestiune a riscurilor in domeniul informatic constă în coordonarea

într-o manieră continuă, a activităŃilor de identificare, analiză, evaluare şi
anticipare a riscurilor referitoare la sistemul informaŃional, informatic şi de
comunicaŃie, precum şi operaŃionalizarea unor sisteme corespunzătoare de
supraveghere şi de alertă.
 Capitolul 4 – Managementul securitatii informatice

Riscurile din sfera informatica

Riscul = un pericol dovedit sau potential, previzibil sau nu, care se

manifesta in sfera sistemului informational, a retelelor informatice si
a tehnologiilor de comunicatie si de prelucrare a informatiei .

Riscuri bazate pe notiunile de

Amenintari = tip de actiune
care provoaca daune.
Vulnerabilitati = nivel de
expunere la o amenintare
Risc = f( A + V)
Riscuri bazate pe scenarii
Simularea unei situatii de risc
prin prisma pagubei si contextului
de aparitie.
Risc = (nr.A *nr.V)/nr.contra-masuri
 Capitolul 4 – Managementul securitatii informatice

Delimitarea terminologica a riscurilor in domeniul

informatic

Riscul informaŃional reprezintă un pericol dovedit sau potenŃial, mai

mult sau mai puŃin previzibil, care se manifestă asupra caracteristicilor,
al conŃinutului, al operaŃiilor la care este supusa informaŃia, precum şi
asupra circuitului sau fluxului informaŃional.
Riscul informatic reprezintă un pericol dovedit sau potenŃial, mai
mult sau mai puŃin previzibil, care se manifestă asupra ansamblului
echipamentelor hardware, sistemelor software de exploatare şi al
programelor informatice.
Riscul tehnologic reprezintă un pericol dovedit sau potenŃial, mai
mult sau mai puŃin previzibil, care se manifestă asupra instrumentelor
şi sistemelor de comunicaŃie electronică, precum şi asupra
tehnologiilor funcŃionale pe platforme Internet.
 Capitolul 4 – Managementul securitatii informatice

Amenintari si vulnerabilitati

• grupuri de presiune
• piratare site
Externe • intruziunea informatica
(hacking)

Interne • echipamente neperformante

Amenintari • produse informatice
contrafacute
• gestiune defectuoasa a inform.

Mixte uzurparea identitatii

atacuri virale
deturnarea informatiei
 Capitolul 4 – Managementul securitatii informatice

Amenintari si vulnerabilitati

- Arhitecturi informatice,
de comunicatie permisive
Organizationale - Administrare nesecurizata a
aplicatiilor

Tehnice - Deficiente de conceptie

- Conexiuni nesigure pt.
Vulnerabilitati comunicatii

Umane - Necunoasterea/ignorarea
amenintarilor
- Lipsa de implicare a cond.

Externe
- Defaimarea, decredibilizarea
imaginii si a notorietatii
 Capitolul 4 – Managementul securitatii informatice

4.3 Politica de securitate informatica (PSI) a organizatiei

Urmăreşte exprimarea formală a obiectivelor de securitate ale

organizaŃiei, în planul informaŃional, informatic şi de comunicaŃie.

Politica de securitate informatica trebuie revizuită şi adaptată periodic,

în funcŃie de eficacitatea măsurilor adoptate, costurile şi impactul
auditului intern al activităŃilor informatice, efectele induse de evoluŃia
tehnologiilor informatice şi de comunicaŃie.

Deoarece securitatea informaŃiei reprezintă responsabilitatea partajată

a tuturor actorilor implicaŃi, politica de securitate prevede exprimarea
clară a rolurilor şi a responsabilităŃilor acestora.
 Capitolul 4 – Managementul securitatii informatice

Sistemul de Management al Securitatii Informatiei (SMSI)

SMSI - un ansamblu de elemente aflate în relaŃii de cauzalitate,

definite şi structurate conform normelor internaŃionale de bune practici,
prin intermediul cărora se asigură gestiunea globală şi coerentă a
tuturor proceselor de management a securităŃii informaŃiei, în scopul
atingerii unui nivel optimal al acesteia.
Familia de norme ISO 27000 (la nivelul anului 2005) care cuprinde:
ISO 27001 – Sisteme de management a securităŃii informaŃiei.
ISO 27002 (derivat din ISO 17799) - Măsuri de securitate.
ISO 27003 – Implementare.
ISO 27005 - Analiza şi gestiunea riscului.
ISO 27006 – Auditul SMSI.
 Capitolul 4 – Managementul securitatii informatice

Politica de securitate informatica – concept si obiectiv

Concept:
Componentă cu rol complementar şi de suport în cadrul celorlalte politici
existente în organizaŃie, concepută pentru a asigura cadrul formal de
aplicare al măsurilor de securitate, destinate reducerii riscurilor
informaŃionale, informatice şi tehnologice şi a pierderilor generate de
acestea .

Obiectiv urmarit de organizatie prin PSI

Asigurarea protecŃiei activelor sale informaŃionale, în scopul garantării
continuităŃii în funcŃionare a propriului sistem.
 Capitolul 4 – Managementul securitatii informatice

Politica de securitate informatica – delimitarea sferei de

aplicare si a elementelor vizate

Delimitarea sferei de aplicare a PSI

PSI se aplica tuturor activelor informationale, materiale,
software si serviciilor.

PSI se aplica tuturor indivizilor si partenerilor organizatiei.

Clasificarea si controlul activelor
Se indica prioritatea si gradul de protectie impus.
Active informationale – baze de date, manuale de utilizare,
documentatii, informatii arhivate etc.
Active materiale – echipamente de comunicatie,
calculatoare, medii magnetice.
Active logice – aplicatii software, utilitare.
Servicii – telecomunicatie, furnizare energie electrica .
 Capitolul 4 – Managementul securitatii informatice

Elemente generale ale politicii de securitate informatica

Elemente ale PSI Intrebari asociate

Organizarea securităŃii Ce anume trebuie protejat? De ce?

Atribuirea rolurilor şi a responsabilităŃilor Cine asigură protecŃia? Care sunt

nivelurile de protecŃie pentru fiecare actor
implicat?

Identificarea Ńintelor de securitate pentru Care sunt riscurile potenŃiale, cauzele lor ?
fiecare domeniu din organizaŃie Ce riscuri pot fi asumate?

Definirea ameninŃărilor, identificarea Care este nivelul actual de securitate

informatică? Care este gradul de
vulnerabilităŃilor vulnerabilitate, pe domenii?

Definirea măsurilor de securitate Care sunt practicile, soluŃiile, procedurile

ce vor fi operaŃionalizate în planul
informaŃional, informatic şi al
comunicaŃiilor?
 Capitolul 4 – Managementul securitatii informatice

Puncte de vedere referitoare la oportunitatea unei politici

de securitate informatica

Perceptia manageriala
Asigurarea securitatii in domeniul informatic este hotaritoare pentru castigarea
increderii din partea partenerilor organizatiei.
Abordarea securitatii informatice din perspectiva tehnologica este o conditie
necesara (nu si suficienta) pentru protejarea patrimoniului organizatiei.
Abordarea securitatii informatice din perspectiva manageriala (conditia de
suficienta) este in masura sa asigure o coerenta a scopurilor PSI cu obiectivele
strategice generale.

Perceptia economica (eficienta si eficacitate)

Asigurarea securitatii informatice nu sporeste in mod direct si vizibil resursele
financiare ale organizatiei, dar in mod sigur, evita sa le piarda!!!
Securitatea in domeniul informatic poseda o eficacitate “pasiva”, reflectata prin
efecte care ar apare ca urmare a insecuritatii informatice!
Dictionar de acronime
Bibliografie

Ghernaouti-Helie
SMSI – Sistem deS., Sécurité informatique
Management al SecuritatiietInformatiei
réseaux, cours et
exercices corrigés,
TIC – Tehnologii Informatice si de2006.
Dunod, Paris, Comunicatie
PSI – Politica
Guyot de Securitate
B., Dynamiques Informatica dans les organisations..
informationnelles
Hermes-Lavoisier, Paris, 2006.
Organizatia pentru Cooperare si Dezvoltare Economica « Guidelines for
the Security of Information Systems and Network. Toward a Culture of
Security”, Raport OCDE, 2002, www.ocde.org
Ursacescu M, Economia informatiei si a cunostintelor, Editura
Universitara, 2009.