MANAGEMENTUL SECURITATII

SISTEMELOR INFORMATICE
Managementul Sistemelor Informatice – Modul IV
An universitar 2020/2021
REPERE DE CONTINUT
▪ Managementul securitatii informatiei
• Scop principal
• Concepte fundamentale
▪ Principii privind securitatea informatiilor
• Clasificarea informatiilor prin prisma cerintelor de
securitate IT
• Principii generale
▪ Standarde privind securitatea IT
• ISO 27001
o Politica de securitate informatica
o Gestiunea riscurilor de securitate IT
o Securitatea personalului
o Controlul accesului
• GDPR
o Generalitati
o Procese specifice
o Drepturi ale persoanelor vizate de politica GDPR
• DIRECTIVA NIS
o Norme tehnice privind aplicarea directivei NIS
MANAGEMENTUL
SECURITATII
INFORMATIEI
MANAGEMENTUL Scop fundamental:
SECURITATII Crearea unui anumit nivel de non-vulnerabilitate a organizatiei,

INFORMATICE in fata atacurilor voluntare/involuntare care au loc asupra:

▪ informatiilor
▪ sistemelor si retelelor informatice
▪ sistemelor si instrumentelor de comunicatie electronica

Mize ale securitatii informatiei:

▪ protejarea patrimoniului informational al organizatiei

▪ lupta impotriva actelor de rea-vointa de natura informatica
(fenomenul de criminalitate informatica_
▪ identificarea si gestionarea riscurilor in domeniul informatic
▪ asigurarea conformitatii cu standardele de Securitate IT
 CONCEPTE FUNDAMENTALE

Securitate (in sensul Protecţia activelor informaţionale – stocate, tratate, partajate, transmise sau
extrase de pe un suport electronic - în faţa ameninţărilor care conduc la
aplicat informatiei) distrugere, divulgare, sau inaccesibilitate

Securitate Diferite mecanisme, instrumente, proceduri sau tehnici care asigură protecţia
informatica sistemelor, a reţelelor informatice si de comunicatie

Proces prin care se asigura pilotajul activitatilor referitoare la gestionarea

Managementul informatiei si a sistemelor informatice, într-o manieră care să garanteze un nivel
securitatii informatice adecvat de protecţie a acestora, în timp şi spaţiu

Scop principal al managementul securitatii informatice:

Prevenirea producerii riscurilor in domeniul IC&T care pot compromite

e

patrimoniul organizaţiei, precum şi recuperarea rapidă a pierderilor

survenite în urma manifestării acestora
Elemente vizate
de securitatea IT Active informationale Programe informatice
baze şi bănci de date, Software de bază, aplicaţii,
documentaţii de sisteme, programe utilitare, instrumente
proceduri de fabricaţie, planuri, de dezvoltare software, etc.
programe, arhive, brevete de
invenţii, drepturi de autor, marcă,
imagine etc.

Materiale informatice Servicii electronice

Calculatoare, echipamente de Telecomunicaţii, servicii de interes
comunicaţie, suporturi de public, servicii bancare, etc.
memorare, etc.
 92%
100%
90%

Securitatea informatica in
80% 61%
70%

organizatii
60%
50% 33%
40% 24% 21%
30% 13%
20% Date Eurostat (martie 2020)
10%
0%
Folosesc cel Detin politici si Politicile si
putin o masura proceduri scrise procedurile
Constientizeaza Au fost afectate Detin asigurari
utilizatorii de incidente de impotriva
Sursa:
de securitate
informatica
privind
securitatea
scrise au fost
revizuite in
privind securitate
obligatiile ce le informatica in
incidentelor de
securitate
https://ec.europa.eu/eurostat/statistics-
informatica ultimele 12 luni revin in
domeniul
anul anterior informatica explained/index.php?title=ICT_security_in
securitatii
informatice
_enterprises
 PRINCIPII
PRIVIND
SECURITATEA
INFORMATIILOR
 CLASIFICAREA INFORMATIILOR
prin prisma cerintelor de securitate informatica

Publice Interne Confidentiale Restrictionate

Informatii publicate folosind canale Informatii folosite exclusive in cadrul Informatii accesibile strict anumitor Informatii accesibile in general doar
de comunicare externa. organizatiei. categorii de utilizatori. managementului.

Exemple: Exemple: Exemple: Exemple:

- Date de contact - Proceduri de lucru - Facturi - Strategii
- Site-ul companiei - Regulament intern - Contracte - Planuri de afaceri
- Brosuri - Programul de lucru - Date marketing - Salarii
- Comunicate de presa - Machete documente - Date personale - Pachet de beneficii
- Date bilant contabil - Materiale training - Date vanzari - Rapoarte de audit
- Oferte - Instructaje SSM - Comenzi - Tablouri de bord
- Anunturi angajare etc. - Adrese email firma etc. - Rapoarte etc. - Rapoarte management etc.
 Principii privind securitatii informatiilor

Garantarea accesului la informaţie a utilizatorilor abilitaţi, în condiţii bine

Disponibilitatea determinate de timp şi performanţă

Garantarea exactitudinii şi a exhaustivităţii informaţiei, sub aspectul nealterării ei

Integritatea voluntare sau involuntare, de către persoane neautorizate

Garantarea faptului că informaţia este redată doar utilizatorilor autorizaţi,

Confidentialitatea accesarea acesteia fiind efectuată în baza unor reguli predefinite

▪ Asigurarea atributului de non-repudiere al informaţiei (imposibilitatea

Controlul (trasabilitatea) utilizatorului de a nega recepţionarea/transmiterea informaţiei)
▪ Garantarea trasabilităţii - posibilitatea de a controla traseul informaţiei, prin
amprentele lăsate de aceasta in sistem
 STANDARDE
PRIVIND
SECURITATEA IT
 STANDARDE SI REGLEMENTARI PRIVIND SECURITATEA IT
▪ ISO 27001 – Standard international de
certificare a sistemelor de securitate a
informatiilor
▪ Parte a familiei de standard ISO27000:
o ISO27002 – Ghid de bune
practice, Masuri de Securitate
o ISO27003 – Standard privind
proiectarea si implementarea
unui SMSI
o ISO27005 – Ghid pentru
managementul riscului securitatii
informatiei
o ISO27006 – Cerinte de audit si
certificare a SMSI
▪ GDPR – Regulament al Uniunii
Europene privind protecția datelor cu
caracter personal, aplicabil incepand
cu 25.05.2018
▪ Regulament pus in aplicare in Romania
prin Legea 190/2018
▪ Nerespectarea reglementarilor GDPR
atrage amenzi foarte ridicate (până la
20 milioane de euro sau 4% din cifra
de afaceri, oricare dintre acestea este
mai mare)
▪ Directiva NIS (Network and Information
Systems) privind asigurarea unui nivel
comun ridicat de securitate a rețelelor și
sistemelor informatice
▪ Reglementata in Romania prin Legea
362/2018, intrata in vigoare la 12.01.2019.
▪ Este aplicabila:
o Operatorilor de Servicii Esentiale
(OSE) din 7 sectoare economice
(energie, transport, banci, piata
financiara, sanatate, alimentare cu
apa, infrastructura digitala)
o Furnizorilor de Servicii Digitale (FSD):
piete online, motoare de cautare
online, servicii de cloud computing
 ISO 27001 – Politici principale

POLITICA DE SECURITATE SECURITATEA

INFORMATICA PERSONALULUI
Elementul central al Instruirea si constientizarea
sistemului de management utilizatorilor privind
al securitatii informatiei procedurile de securitate
informatica

GESTIUNEA RISCURILOR CONTROLUL ACCESULUII

DE SECURITATE IT
Politicile privind controlul de
Identificarea, evaluarea si utilizare si autorizare la
gestionarea riscurilor de nivelul sistemului informatic
securitate a informatiei
 Politica de securitate informatica
Componentă cu rol complementar
şi de suport în cadrul celorlalte
politici existente în organizaţie,
concepută pentru a asigura cadrul
formal de aplicare a măsurilor de
securitate, destinate reducerii
riscurilor IC&T şi a pierderilor
generate de acestea
Oportunitate:
Perceptie
manageriala
Perceptie
economica
Componente principale:
▪ Obiectivele de securitate informatica ale organizatiei
▪ Guvernanta securitatii informatiei in organizatie
▪ Principii privind securitatea si protectia informatiilor
▪ Reguli generale privind gestiunea riscurilor de securitate IT
▪ Rolurile si responsabilitatile actorilor implicati
▪ Descrierea generala a sub-politicilor de securitate informatica
▪ Politica de securitate informatica asigura integrarea obiectivelor
de securitate a informatiilor cu obiectivele strategice ale
organizatiei
▪ Politica de securitate informatica limiteaza pierderile potentiale
generate de aparitia unor incidente de securitate IT
 Gestiunea riscurilor de securitate informatica

Tipuri de riscuri: Evaluarea riscurilor

de securitate IT:
Riscul informaţional reprezintă un pericol dovedit
sau potenţial, mai mult sau mai puţin previzibil,
care se manifestă asupra caracteristicilor, a
Probabilitate
conţinutului, a operaţiilor la care este supusa
informaţia, precum şi asupra circuitului sau fluxului
informaţional

Riscul informatic reprezintă un pericol dovedit sau

potenţial, mai mult sau mai puţin previzibil, care
se manifestă asupra sistemelor software de
exploatare şi al programelor informatice

Riscul asociat tehnologiilor numerice reprezintă un Impact

pericol dovedit sau potenţial, mai mult sau mai
puţin previzibil, care se manifestă asupra Nivel risc = Probabilitate x Impact
tehnologiilor de prelucrare automata, al
instrumentelor şi sistemelor de comunicaţie
electronică
 Exemple de riscuri de securitate informatica

Securitate fizică Dificultăți în utilizarea aplicațiilor IT

(lipsa politicii de control al accesului; control inadecvat al (vulnerabilități cauzate de dificultatea în exploatare a aplicațiilor
accesului fizic în perimetrul de desfășurare a activității) informatice: interfețe neprietenoase, neintuitive sau greu de utilizat)

Autentificarea pe platformele terților Extinderea excesivă a perimetrului de încredere

(utilizarea acelorași parole pentru autentificarea pe (număr nejustificat de mare de persoane implicate în flux; numărul
platformele informatice ale furnizorilor, clientilor, etc.; nivelul nejustificat de mare de angajați care au acces la informații esențiale)
insuficient de securitate al platformelor gestionate de terți)

Nivelul redus de conștientizare Redundanță

(stocarea nejustificată a datelor pe mai mulți suporți de stocare
(lipsa sau nivelul redus de conștientizare al angajaților
– deficiență generală a sistemului informațional)
implicați în proces cu privire la aplicarea procedurilor de
securitate IT)

Standardizarea insuficientă a procesului Gestiunea inadecvată a parolelor

(lipsa sau nivelul redus de standardizare al procesului, (vulnerabilități privind accesul utilizatorilor în sistem: parole
generând vulnerabilități privind trasabilitatea și modul de simple, neschimbate de perioade mari de timp, etc.)
gestionare a informațiilor)

Dependența excesivă de operarea manuală Locație vulnerabilă la calamități

(dependența excesivă de factorul uman în procesul de (perimetrul de desfășurare a activității se află într-o zonă
colectare, prelucrare, stocare și arhivare a datelor) vulnerabilă din punct de vedere al riscurilor de calamitate)
 Securitatea personalului
Vizează respectarea normelor de
securitate IT la nivelul tuturor
proceselor de management al
resurselor umane, incepand cu
activitatea de recrutare si
continuand cu intreaga perioada
de angajare
Exemple de bune practici:
▪ Verificarea cunostintelor in domeniul securitatii informatice cu
prilejul activitatilor de recrutare si selectie
▪ Instruirea/constientizarea periodica a angajatilor
▪ Testarea periodica a cunostintelor privind securitatea IT
▪ Includerea unor criterii privind respectarea normelor de
securitate IT in procesul de evaluare profesionala a angajatilor
▪ Monitorizarea respectarii normelor generale de securitate IT pe
perioada angajarii, cum ar fi:
• setarea unor parole puternice si nedivulgarea acestora
• blocarea laptopului/calculatorului in cazul nefolosirii
• blocarea automata a ecranului
• actualizarea periodica a software-ului
• instalarea exclusiva a unor aplicatii autorizate
• efectuarea unui backup periodic, etc.
▪ Blocarea accesului in sistemul informatic la finalizarea perioadei
de angajare
 Controlul accesului

Tipuri de control

Control de utilizare Control de autorizare

▪ defineste care sunt modurile de utilizare ▪ stabileste nivelurile de acces la informatie

permise pentru materialele si resursele pentru fiecare utilizator ( “Unde” si “Cand” un
informatice ale organizatiei (desktop, laptop, utilizator poate accesa sistemele).
copiatoare, imprimante, suporturi externe de ▪ stabileste drepturile de acces (“Cum”):
memorie, Internet etc) consultare, actualizare etc.
▪ stabileste politica organizatiei in materie de
confidentialitate, responsabilitate utilizator,
limite de utilizare a resurselor informatice.
▪ defineste actiunile permise/nepermise si
consecintele nerespectarii acestora
 Generalitati privind GDPR

Date cu caracter Informatii referitoare la o persoană fizica identificata sau identificabila.

Exemple: CNP, nume, adresă, telefon, e-mail, cont bancar, stare de sanitate,
personal opinii politice, convingeri religioase, parole, etc.

Prelucrarea datelor Orice operațiune de prelucrare care implică date cu caracter personal.
Exemple: colectare, stocare, vizualizare, modificare, extragere, procesare,
cu caracter personal distribuire, stergere, distrugere, etc.

DPO (Data Responsabil la nivel de organizatie privind protectia datelor cu caracter

personal. Raspunde de implementarea politicii GDPR in conformitate cu
Protection Officer) reglementarile in vigoare

Bresa de securitate Incident de securitate a informatiilor care genereaza afectarea securitatii datelor
cu caracter personal (pierdere, alterare sau acces neautorizat). Rezolvarea
privind GDPR bresele de securitate privind GDPR se afla in competenta DPO
 Procese aflate sub incidenta protectiei
datelor cu caracter personal

Achizitii/aprovizionare Gestiune personal Salarizare Vanzari

Ex: incheiere contracte achizitii, Ex: gestiune contracte de munca, Ex: calculul si plata salariilor, Ex: incheiere contracte de
prelucrare oferte furnizori, comunicare decizii interne, stabilirea primelor si bonurilor de vanzare, comunicare in scop
comunicare in scop comercial, operare concedii medicale, performanta, setarea pachetelor comercial, procesare comenzi,
etc. instructaje SSM, etc. de beneficii, etc. generare rapoarte vanzari, etc.

Relatii cu clientii Marketing Financiar-contabilitate Alte procese

Ex: gestiunea nomenclatorului de Ex: prezentarea ofertelor Ex: operarea plăților și încasărilor, Ex: gestiune utilizatori si parole,
clienti, alocarea conturilor de comerciale si promotionale, semnarea contractelor, întocmirea raportari catre autoritati,
fidelitate, procesare solicitari gestiunea campaniilor de documentelor contabile conform mandate, imputerniciri sau
clienti, etc. marketing, etc, legislatiei, etc. procuri notariale, etc.
 Drepturi ale persoanelor vizate de politica GDPR

❑ Dreptul la informare – dreptul la informare al persoanelor vizate cu privire la faptul ca datele acestora sunt colectate,
utilizate, consultate, sau prelucrate, precum si in ce scopuri se realizează aceste proceduri
❑ Dreptul de acces la datele prelucrate – dreptul persoanelor vizate de a solicita si de a avea acces la datele personale
prelucrate la nivelul organizatiei
❑ Dreptul la rectificare – dreptul persoanelor vizate de a solicita rectificarea sau completarea datelor cu caracter personal
colectate, detinute sau stocate de organizatie
❑ Dreptul la stergerea datelor (dreptul de a fi uitat) – dreptul de a solicita stergerea informatiilor cu caracter personal in
situatii precum: persoana vizata isi retrage consimtamantul, persoana vizata se opune prelucrarii, exista neclaritati
priind legalitatea prelucrarii, datele nu mai sunt necesare pentru scopurile pentru care au fost colectate. etc.
❑ Dreptul la portabilitatea datelor - dreptul de a solicita portarea datelor cu caracter personal catre o alta organizatie
(alt operator de date)
❑ Dreptul la opozitie – dreptul garantat al persoanelor vizate de a se opune prelucrarii datelor sale cu caracter personal
(de ex., in scopuri de marketing difrect, crearea de profile automate, etc.)
❑ Dreptul de a retrage consimtamantul – dreptul de a revoca consimtamantul exprimat in prealabil (cu exceptia cazului
in care prelucrarea datelor nu poate inceta din motive legitime, cum ar fi efectul legii)
❑ Dreptul de a depune plangere la ANSPDCP (Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter
Personal)
 Directiva NIS – Norme tehnice (1)

Norme Tehnice din 9 noiembrie 2020 privind cerințele minime de

asigurare a securității rețelelor și sistemelor informatice
aplicabile operatorilor de servicii esențiale
 Directiva NIS – Norme tehnice (2)

Norme Tehnice din 9 noiembrie 2020 privind cerințele minime de

asigurare a securității rețelelor și sistemelor informatice
aplicabile operatorilor de servicii esențiale
 Directiva NIS – Norme tehnice (3)

Norme Tehnice din 9 noiembrie 2020 privind cerințele minime de

asigurare a securității rețelelor și sistemelor informatice
aplicabile operatorilor de servicii esențiale