Documente Academic
Documente Profesional
Documente Cultură
Securității în Organizații
1
Securitatea informaţiilor într-o instituție
Abstract
În cadrul aestui referat „Poate reprezenta înființarea unui compartiment/departament de
securitate organizațională – care să se ocupe de implementarea tuturor măsurilor de asigurare a
securității organizației – un model de bune practici?” voi încerca să dezvolt abordarea prin care,
Securitatea informațiilor are un rol extrem de important în gestionarea datelor la nivel instituțional.
Pentru însăși supraviețuirea acesteia este absolut necesar implementarea unui sistem de management
al securiății informațiilor în instituție. Este esențială și definitorie în acest scop mărimea și tipul
instituției. Într-o era a digitalizării, și a transformării digitale, principalele pericole în materie de risc,
amenințare și vulnerabilitate vin din mediul online, din manipularea instrumentelor care sunt
conectate la o sursă deschisă „internet”, datele deținute și gestionate de către instituții.
Așadar această lucrare se va concentra pe câteva elemente definitorii în funcționarea unei
instituții/organizații și anume: informația, gestionarea informației, accesul la informație, manipularea
și transformarea acesteia și rolul unui sistem de management al securității în cadrul instituției. Un al
element esențial din cadrul unei instituții este resursa umană, individul, care stă la baza procesului
decizional.
Introducere
Securitatea informațiilor şi a reţelelor de comunicaţii este un subiect care apare din ce în ce
mai des în problemele cu care se confruntă organizaţiile/instituțiile. Din punct de vedere managerial,
indiferent de domeniul public sau privat în care activează, practica organizațiilor care dețin sau
operează informații calsificate constituie un subiect deosebit de important de cercetare, având în
vedere specificul mecanismelor decizionale și gravitatea consecințelor în cazul unor incidente de
securitate.
Cuprins
În termeni de specialitate, incidentul de securitate este definit ca un eveniment prin care se
încearcă sau se realizează accesul la un sistem informatic, un atac asupra integrităţii şi/sau
confidenţialităţii informaţiei de pe un sistem informatic automatizat.
Aceasta include examinarea sau navigarea neautorizată, întreruperea sau anularea unui serviciu,
date alterate sau distruse, prelucrarea (procesarea), stocarea sau extragerea informaţiilor, modificarea
2
informaţiilor sistemului referitoare la caracteristicile componentelor hardware, firmware sau
software, cu sau fără ştiinţa ori intenţia utilizatorului.
Dintre cele mai semnificative şi grave evenimente, pot fi enumerate:
acces neautorizat şi transfer de date cu grade diferite de confidenţialitate: Secret de serviciu
național, NATO și UE echivalent; Secret de stat național (secret, strict secret, strict secret de
importanță deosebită), NATO și UE echivalent.
modificarea, ştergerea sau deteriorarea datelor;
perturbarea sistemelor informatice;
producerea, vânzarea, procurarea pentru utilizare şi distribuţie fără drept a dispozitivelor care
pot perturba grav sistemele informatice;
interceptarea parolelor şi a codurilor de acces în scopul sabotării sistemelor şi reţelelor de
calculatoare;
falsificarea datelor cu intenţia de a fi folosite ulterior ca date autentice;
înşelătorii sau fraude comise prin intermediul computerelor;
utilizarea neautorizată a programelor protejate prin dreptul de autor.
Instituția publică are implementat propriul său sistem de asigurare a securității informației.
S-a recurs la un set corespunzător de acțiuni care cuprinde politici, practici, instrumente și proceduri,
structuri organizaționale, precum și funcții software. Toate acțiunile au fost prevăzute, definite si
aplicate pentru a asigura că sunt întrunite obiectivele specifice de securitate ale instituției publice.
Sistemul integrat de securitate a informațiilor la nivelul instituției cuprinde nu mai puțin de
cinci domenii de securitate:
1. Organizarea și administrarea securității;
2. Securitatea fizică;
3. Securitatea personalului;
4. Securitatea documentelor naţionale, NATO, UE şi echivalente clasificate;
5. Securitatea informaţiilor clasificate în sistemele informatice şi de comunicaţii
(INFOSEC);
3
- a interzice accesul neautorizat, clandestin sau prin forţă la acestea;
- a detecta şi împiedica acţiunile subversive şi de spionaj;
- a delecta şi înlătura slăbiciunile ascunse ale sistemului de securitate adoptat;
- a preveni oricare alte situaţii, împrejurări sau fapte de natură a periclita ori compromite
protecţia informaţiilor clasificate.
Măsurile de protecţie fizică precum gratii la ferestre, geamuri antiefracţie, uși metalice,
încuietori la uşi, pază la intrări, sisteme automate pentru supraveghere, control acces, patrule de
securitate, dispozitive de alarmă, mijloace pentru detectarea observării, ascultării sau interceptării
sunt dimensionate în raport cu:
- nivelul de clasificare al informaţiilor, volumul şi localizarea acestora;
- tipul containerelor de securitate în care sunt depozitate informaţiile;
- caracteristicile clădirii şi zonei de amplasare;
- nivelul de protecţie fizică adecvat riscului rezultat;
- informaţiile furnizate de structurile specializate privind amenajările locale în domeniul
spionajului, sabotajului, terorismului şi activităţilor subversive, analizate prin prisma
vulnerabilităţilor exploatabile şi a nivelului de risc rezultat;
- prevederile Standardelor naţionale şi ale reglementarilor specifice Ministerului
Afacerilor Interne în vigoare, precum şi cu cerinţele standardelor NATO, referitoare la
domeniul protecţiei fizice;
- timpul de acţiune al forţelor de intervenţie.
Măsurile de protecţie fizică sunt cuprinse în Programul de prevenire a scurgerii de informaţii
clasificate care este întocmit de șeful structurii de securitate, conform legislației în vigoare şi
cuprinde:
- date privind delimitarea şi marcarea zonelor de securitate;
- sistemul de control al accesului în zonele de securitate;
- măsurile de avertizare şi alarmare pentru situaţii de urgenţă;
- procedura de raportare, cercetare şi evidenţă a incidentelor de securitate;
- măsurile întreprinse pentru evacuarea documentelor şi modul de acţiune în caz de
urgenţă.
5
informaţii secrete de stat, cât si informaţiile a căror dezvăluire ar putea aduce prejudicii unor persoane
juridice de drept public sau privat, care sunt definite drept informaţii secrete de serviciu.
Documentul clasificat este orice suport material care conţine informaţii clasificate, în
original sau în copie, precum hârtie – documente olografe, dactilografiate sau tipărite, schiţe, hărţi,
planşe, fotografii, desene, indigo, listing; medii de stocare a sistemelor informatice – dischete,
compact-discuri, hard-discuri, memorii PROM şi EPROM, riboane; este folosit pentru stocarea
informaţiilor:
4. Compartimentul INFOSEC
Modalităţile şi măsurile de protecţie a informaţiilor clasificate care se prezintă în format
electronic sunt similare celor pe suport de hârtie.
În procesul de asigurare a securităţii informaţiilor clasificate sunt avute în vedere următoarele
obiective:
- confidenţialitatea - asigurarea controlului asupra dezvăluirii şi accesului la
informaţiile clasificate şi la serviciile şi resursele aferente sistemelor;
- integritatea - asigurarea acurateţei şi completitudinii informaţiilor clasificate,
precum şi a serviciilor şi resurselor aferente sistemelor;
- disponibilitatea - asigurarea faptului că persoanele autorizate au acces şi pot
utiliza informaţiile clasificate, resursele şi serviciile aferente sistemelor;
- autenticitatea - asigurarea identificării şi autentificării de încredere a
persoanelor, dispozitivelor şi serviciilor SIC;
- nerepudierea - asigurarea unei capacităţi corespunzătoare de a dovedi faptul că
o acţiune sau un eveniment a avut loc, astfel încât să nu poată fi repudiată ulterior
respectiva acţiune sau eveniment.
Gradul de aplicabilitate a obiectivelor menționate anterior este specific fiecărui sistem
informatic și de comunicații (SIC) şi este determinat pe baza unei serii de factori, incluzând
obiectivele misiunii SIC, cerinţele de securitate minime impuse de politicile de securitate naţională,
NATO, UE şi/sau ale respectivului SIC şi, după caz, rezultatele analizei riscului la adresa securităţii.
Concluzii
Sistemul integrat de securitate al informației la nivelul instituției este unul complex, care
respectă prevederile normelor în vigoare de aplicare a legislației în domeniu. Se poate afirma fără
echivoc, faptul că sistemul este unul viabil cerințelor actuale la problemele de asigurare a protecției
informațiilor clasificate. Structura de securitate, care organizează și administrează securitatea la
6
nivelul instituției, este preocupată în permanență la respectarea regulilor, procedurilor, cerințelor în
domeniu având sprijinul necondiționat al echipei de comandă. Calificativele foarte bune obținute în
urma controalelor executate de structurile specializate ale ministerului, lipsa incidentelor de
securitate, dovedesc acest lucru și oferă garanția unui climat de securitate sănătos.