Managementul securitatii

informatiilor

Drd. ing. Gh. Muresanu

ghemuresanu@rdslink.ro

Managementul securitii informaiei

Obiectivele cursului

Caracterizarea informatiilor in format electronic

din punct de vedere al securitatii acestora;
Definirea principalelor caracteristici ale
mediului virtual;
Principiile care stau la baza realizrii unei
securiti moderne a informaiilor integrate n
mediul de lucru;
Managementul securitatii informatiilor pe baza
analizei de rsicuri;
Prezentarea cadrului de reglementare si
autoritatile competente;
Necesitatea unei comunitati a specilaistilor in
domeniul securitatii informatiilor.

Managementul securitii informaiei

Prezentarea cursului (1)

Notiuni introductive caracterizarea mediului

virtual

Caractristicile informatiilor in format electronic;

Atributele de securitate a informatiilor;
Clasificarea informatiilor;
Sistemul National de interventii in caz de urgenta;
Infrastructurile critice.

Criminalitatea informatica

Limitele sistemului judiciar;

Necesitatea unor puteri speciale pentru cercetarea
infractionalitatii informatice;
Necesitatea unei culturi de securitate.

Managementul securitii informaiei

Prezentarea cursului (2)

Abordarea sistemica a securitatii informatiilor;

Principiul supravietuirii sistemelor;

Imaginea holistica asecuritatii sistemelor;
Subsistemele de securitate a informatiilor;

Reglementarile mecanismelor de securitate;

Reglelementari adminstrative acorduri, legi etc.;

Reglementari locale;
Ghiduri de bune practici;
Standarde tehnice;
Autoritati de reglementare, certificare, impunere a
legii.

Managementul securitii informaiei

Prezentarea cursului (3)

Mecanismele de securitate

Politici formale de securitate;

Sisteme de incredere;
Sisteme practice de securitate;
Strategii si politici de securitate;
Mecanisme de secuirtate protective si reactive.

Evaluarea sistemelor de securitate

Certificarea, evaluarea si acreditarea;
Standarde de evaluare;
Autoritati de certificare, evaluare si acreditare.

Managementul securitii informaiei

Prezentarea cursului (4)

Managementul securitatii informatiilor

Mecanismul de formare a riscurilor;

Analiza de riscuri - erintele de securitate;
Politica de securitate;
Procedurile operationale de securitate fisa
postului;
Planurile de securitate, BCP, DRP;
Structura de securitate.
Practica managementului bugetarea
activitatii;

TEMA 1:

Notiuni introductive privind protectia

informatiei
Obiectivele temei:

Definirea si intelegerea caracteristicilor

informatiei (obiectului muncii specific
sistemul de securitate);
Locul si rolul informatiilor in format electronic in
societatea moderna necesitatea protectiei lor;
Clasificarea informatiilor;
Caracteristicile mediului de evolutie a
informatiilor (CYBERSPATIUL);

Informatia si informatia in format

electronic

Ce este informatia ?
De ce este importanta informatia in
societatea moderna ?
Cui foloseste informatia ?
Ce se intelege prin securitatea informatiei
?
Dar prin protectia ei ?

Introducere in Securitatea Informatiei

Informatia si informatia in format electronic

1. Definirea informatiei 1
Categorii filozofice: materie, energie i
informaie;
Caracterul imaterial independenta de suport;
Informaia exprimat prin forme;
Legatura cu suportul material sau energetic;
Definirea prin exemple;
Informaia ca form de percepie a lumii
nconjurtoare contiina;

Obiectivitatea si subiectivitatea informatiilor;

Informatiile din surse umane interpretari ale realitatii, ex:
procesele verbale de sedinta;
Informatiile de la senzori obiective dar mai sarace in
informatii neglijeaza contextul uman;

Introducere in Securitatea Informatiei

Informatia si informatia in format electronic

1.1 Definirea informatiei 2
Unitati de msur a informaiiei bitul, baytul, cuvntul;

Canale de comunicatii capacitatea canalului;

Tipuri de informatii (date si informatii):

Date informatii prelucrate fara sa conteze semnificatiile;

Mesaje informatii prelucrare in scopul obtineii semnificatiei;
Informatie - semnificaia mesajelor corelate;
Cunotiine Informatii agregate baze de date construite pe
baze relationale;

Informaia ca valoare (bun):

Castig;
Valoare prin prejudiciu posibil;
Valoarea prin incredere;

Necesitatea protectiei
informatiilor - 1

Mecanismele de putere (conducere) - locul si

rolul informatiilor in procesul de decizie;
Necesitatea informatiilor complete si credibile;
Raportul informatie interese, complexitatea
sferelor de interese;
Interese divergente necesitatea
confidentialitatii;
Razboiul informational;
Lupta pentru imagine - propaganda;
Reclama;
Legatura INTERNET MASSMEDIA;

Necesitatea protectiei
informatiilor - 2

Interdependentele economice fenomenul

de globalizare;
Dezvoltarea comertului migrarea fortei de
munca - permeabilizarea granitelor;
Magistrala informationala globala:
Integrarea retelelor de comunicatii;
Integrarea serviciilor de comunicatii;
Desfiintarea granitelor pentru informatii;
Socializarea serviciilor de comunicatii
scaderea costurilor;
Dezvoltarea tehnologiilor informatice - de
regula in avantajul atacatorului;

Necesitatea protectiei
informatiilor - 3

Societatea informationala:

Informatia ca valoare materiala (bani)

Software;
Jocuri;
Proiecte;
Reclame on line;
Licente drepturi de autor;

Intreprinderi virtuale:

Magazine on line;
Firme de productie on line;
Notari electronici;
Semnaturi electronice;

Bazele de date publice motoare de cautare;

Programe de tip: e-guv, e-administration, e-banking;
e-tax, e-Europe, e-ten etc.

Informatia in format electronic

(IFE) - 1

Informatia in format clasic (IFC) documentul

scris:

Identificarea cu suportul;
Protectia se refera la suport informatia nu are semnificatie;
Suportul poarta o multitudine de informatii colaterale despre
autor, momentul generarii informatiei si traseul acesteia si
chiar despre cititor;
Modificarea informatiei de pe document se face relativ greu
si lasa urme identifica falsificarea;
Generarea, sustragerea sau distrugerea lasa urme materiale
detectabile;
Senzitivitatea - documentelor olografe, documente batute la
masina, copii xerox etc;

Informatia in format electronic - IFE:

Informatia se identifica prin ea insasi;

Suportul nu are o semnificatie pentru protectie sau are una
secundara;

Informatia in format electronic

(IFE) - 2

Copiatul si modificatul se face foarte usor, nu lasa urme

asupra originalului si implica costuri nule;
In comparatie cu informatia in format clasic, informatia in
format electronic poate fi usor manipulata in scopuri
obscure;
Constatarea unei infractiuni privind informatia nu se poate
face examinand documentul original ci examinand
activitatile din sistem care sunt in legatura cu informatia;
Un utilizator poate folosi abuziv informatiile pastrandu-si
anonimatul;
Controlul accesului la informatiile in format electronic ( in
SIC) se face mult mai dificil decat in cazul accesului
persoanelor fizice la documente scrise;
Informatiile pot fi accesate si utilizate abuziv de la distanta;

Informatia in format electronic

(IFE) - 3

Este sarcina sistemului de protectie de a crea

urme prin care sa documenteze activitatile
din sistem si eventual si sa probeze folosirea
abuziva a informatiilor;
Imaginati-va efortul pe care ar trebui sa-l faca
un hot hotarat sa fure 10000 de volume a cate
200 de pagini din biblioteca institutiei si riscurile
la care se expune comparativ cu efortul riscurile
de a sustrage aceleasi carti de pe serverul
institutiei la care au acces toti angajatii;

Introducere in Securitatea Informatiei

Informatia si informatia in format electronic

2. Protectia informatiei

Atributele de securitate a sistemelor referitoare

la informatii:
Functii de utilitate:

Disponibilitatea;
Integritatea;
Confidentialitatea;

Functii de credibilitate (acoperirea prejudiciului):

Autenticitatea;
Nerepudierea;

Manipularea rau voitoare a sistemelor si

informatiilor criminalitatea electronica;

Disponibilitatea 1

Disponibilitatea este acea functie de securitate

sistemelor a sistemelor de a pune informatiile
la dispozitia utilizatorilor legali atunci cand
acestia au nevoie;
Disponibilitatea desi este o functie intrinseca a
informatiei, se manifesta prin intermediul
suportului ei si in consecinta este un rezultat al
mediului de prelucrare transmisie (retea,
echipamente, proceduri etc.)
Disponibilitatea este cea mai importanta functie
a informatiei (SIC-ului);
Informatia, in general, este cu atat mai utila
(mai productiva) cu cat este folosita mai mult.

Disponibilitatea 2

De retinut: informatia in mod natural este facuta

sa se multiplice si sa se transmita cu costuri
aproape nule este predestinata proliferarii;
Informatia produce, creaza valoare cu cat este
folosita de mai multi si mai des restrangerea
accesului este o pierdere;
In general disponibilitatea este asigurata prin
redundanta se def. infrastructura critica;
Informatiile de interes public LEGEA 544/2002
- obligatia de a asigura disponibilitatea
informatiilor de interes public pentru toti
utilizatorii;

Disponibilitatea 3

Traditional, disponibilitatea in SIC uri este tratata

ca o problema de fiabilitate si calitate a serviciilor
(QoS) caracteristic acestei abordari este cauza
aleatorie, necorelarea acesteia cu activitatea
sistemului, cu alte inputuri sau continuari ale
cauzei;
In contextul actual, datorita accentuarii factorului
intentional, este mai util sa fie tratata ca o
problema de securitate si inclusa in analiza de
riscuri factorul intentional implica o inteligenta
care are cunostiinte si capacitati de inteventie pe
care le foloseste in scopul atingerii obiectivelor sale;
Mijloace de protectie asigurarea redundantei;

Confidentialitatea - 1

Confidentialitatea este acea functie de

securitate prin care se blocheaza accesul
utilizatorilor nelegitimi la anumite informatii;
Confidentialitatea este definita ca o interdictie
si in general este o exceptie de la utilizarea
normala a informatiei;
Confidentialitatea este o consecinta a existentei
unor interese contrare in societate si in
consecinta folosirea informatiilor despre aceste
interese pot aduce prejudicii uneia din parti;
Acceptarea dreptului partilor de a-si proteja
interesele implica acceptarea confidentialitatii
(apararea secretului);

Confidentialitatea - 2

Interesele statului, interese de grup, interese

particulare restrangerea dreptului la
confidentialitate;
Asigurarea confidentialitatii se poate face prin
controlul accesului la suportul de informatie (masuri
de protectie fizica) si/sau controlul accesului la
semnificatia datelor (criptare);
Exista perceptia (falsa) ca prin protectia informatiilor
se intelege numai asigurarea confidentialitatii;
Tehnicile de asigurare a confidentialitatii au aparut
primele ca necesitati si s-au dezvoltat in mediul
militar si diplomatic- au inceput sa treaca in mediul
civil pe la mijlocul anilor 80 ca urmare a utilizatii pe
scara larga a informatiilor in format electronic in
economie;

Confidentialitatea - 3

Asigurarea confidentialitatii implica costuri

semnificative pentru utilizarea informatiilor in
conditii de siguranta (sa ajunga numai la un
grup bine definit de persoane);
Confidentialitatea implica o ierarhizare a
nivelurilor de clasificare a informatiilor;
Implica o ierarhie a drepturilor de acces
niveluri diferite de incredere (verificare) in
personalul care utilizeaza informatiile;
Principiul need to know dreptul de a accesa
o informatie clasificata il au toate presoanele
care au nevoie de ea in exercitarea atributiilor
de serviciu si dispun de nivelul corespunzator
de verificare. (nu este legata de functie sau de
dreptul de acces la informatii clasificate).

Confidentialitatea - 4

Privire generala asupra cadrului de reglementare al

confidentialitatii;
Informatiile secrete de stat (clasificate);
Informatiile firmelor (clasificate secrete de serviciu);
Informatiile firmelor in care este interesat statul (de interes
strategic);
Clase de informatii neprotejate;

Reglementarile privind protectia informatiilor UE;

Informatii clasificate NATO interferente cu informatiile
clasificate nationale;
Intelegeri bilaterale cu state partenere intelegeri
locale;
Asigurarea confidentialitatii se face in principiu prin
controlul accesului la echipamente, informatii, suporti
de memorie si prin criptare.

Confidentialitatea - 5

Cadrul legslativ care protejeaza confidentialitatea;

Legea 182/2002- privind protectia informatiilor
clasificate;
H.G. 585/2002 privind standardele nationale
de protectie a informatiilor clasificate;
H.G. 781/2002 privind protectia informatiilor
secrete de serviciu;
H.G. 353/2002 privind aprobarea normelor
privind protectia informatiilor NATO in Romania;
Legea 676/2002 privind protectia datelor cu
caracter personal in retelele de comunicatii;
Legea 677/2002 privind protectia datelor cu
caracter personal ;

Integritatea - 1

Integritatea este acea functie de securitate a sistemului de a

proteja informatia de modificarile neautorizate sau
accidentale;
Prin modificare se intelege: stergere, adaugare sau inlocuire
a unei parti sau a intregii informatii;
Integritatea a aparut ca o problema de securitate in
activitatile comerciale si este legata de functionarea bazelor
de date;
Asigurarea integritatii informatiilor stocate are importanta
majora in organizarea bazelor de date deoarece in absenta
mecanismelor de asigurare a integritatii, baza de date
acumuleaza erori si chiar daca acestea afecteaza o mica
parte din informatii se pierde increderea in intreaga baza de
date si trebuie refacuta in intregime.
Asigurarea integritatii informatiilor se face prin:
Adaugarea la aceasta a unui rezumat al informatiei facut cu o
functie tip paritate, CRC sau hash coduri detectoare de erori;
Folosirea semnaturii digitale;
Constituirea unor mecanisme de securitate a tranzactiilor pornind de
la ipoteza implicita ca informatiile sunt veridice (consistente);

Integritatea - 2

Producerea unor prejudicii prin manipularea

frauduloasa a informatiilor si/sau a sistemului prin
afectarea integritatii informatiilor in SIC-uri este
reglemetata direct prin lege C.P./2006 - Titlul X Alterarea datelor.
In general, fara mijloace specifice, este dificil de
departajat o modificare neintentionata sau
accidentala de una intentionata si cu atat mai
mult de identificat autorul si probat fapta. Un
avocat bun va gasi intodeuna o cale care sa
disculpe un inculpat.
Este sarcina sistemului de securitate sa creeze
urme cu valoare de probe pentru a se
instrumenta asfel de cazuri;

Autenticitatea - 1

Autenticitatea este acea functie de securitate a

sistemului de a permite asocierea informatiei cu
autorul ei.
Prin autorul unei informatii se intelege
generatorul ei sau cel care a introdus-o in sistem.
Autorul poate fi persoana sau echipament.
Informatia de autenticitate are rolul de a da
credibilitate in corectitudinea informatiei prin
responsabilzarea creatorului si posibilitatea
utilizatorilor de a verifica autenticitatea la sursa
pe alta cale.
Autentificarea informatiei este necesara pentru a
crea posibilitatea de a recupera eventualele
prejudicii ce ar putea rezulta prin folosirea
informatiei obtinuta din sistem cu buna credinta;

Autenticitatea - 2

Autentificarea prin semnatura electronica are

regim juridic echivalent cu semnatura olografa;
Documentul autentificat cu semnatura
electronica certificata are acelasi regim juridic
cu documentul autentificat sub semnatura
privata;
Anonimitatea:

Efectul anonimitatii asupra comportamentului uman;

Cadrul de reglementare Statele Unite;
Anonimitatea in INTERNET;

Autenticitatea - 3

Autentificarea informatiei se poate face prin:

Controlul accesului la sistem si activarea unui sistem adecvat de
fisiere de log rolul timpului;
Folosirea semnaturilor electronice pentru generarea si transmisia
informatiilor;

Cadrul legal de utilizare a semnaturii electronice este

stabilit de:
Legea 455/2001 privind regimul juridic al semnaturii electronice;
Hotararea 1259/2001 norme tehnice si metodologice de aplicare
a legii 455/2001;

Stampila de timp indicatie a momentului de timp

asociata documentului electronic autentificat cu
semnatura certificata care se aplica in momentul semnarii
documentului.
Stampila de timp este necesara pentru a stabili cronologia
unor documente si are valoare juridica;

Nerepudierea - 1

Nerepudierea este functia de securitate a sistemului de a

asocia unei informatii dovada ca o informatie a fost trimisa
de catre expeditor catre destinatarul legal iar acesta a
primit-o, fara ca acestia sa poata contesta acest fapt;
Proprietatea de nerepudiere confera informatiei acelasi
regim ca o scrisoare recomandata;
Nu sunt cunoscute reglementari cu referire directa la
informatiile in format electronic din SIC-uri;
Producerea dovezilor de nerepudiere este sarcina
sistemului de securitate care trebuie sa instituie si sa
conserve urme ale activitatii din sistem suficient de
veridice pentru a fi acceptate de autoritati;
Prin autoritati se intelege justitia sau administratia
organizatiei in functie de natura prejudiciului si
consistenta probelor;

Introducere in Securitatea Informatiei

Informatia si informatia in format electronic

2. Protectia informatiei

Protectia informatiilor (notiunea de sistem):

Sistem complex, de granita, la intersectia mai multor

discipline: (calculatoare, electronica, mecanica, TV,
optica, matemantica, fizica, sociologie, psihologie, drept )
Sistemul de protectie obiective: descurajare, detectare,
interventie, limitare a pierderilor, recuperare;
Protectia oferita prin lege definire infractiune,
documentare, probare, judecata - efectul retroactiv, nu
acopera cauzele naturale (intamplarea)
Protectia informatiilor subsistem al protectiei bunurilor;
Protectia suportului informatiei protectie fizica;
Protectia mediului informatiei (retele, echipamente)
protectie fizica si procedurala;
Protectia criptografica protectie informationala

Protectia informatiilor pe durata

ciclului de viata al acestora

Generarea informatiilor:
Informatii din surse umane gradul de subiectivism, nivel de
incredere;
Informatii de la senzori obiectivitatea datelor subiectivismul
interpretarii;
Clasificarea informatiilor (drepturile de acces) cnf. Legii 182/2002
si HG 585/2002
Asocierea informatiilor despre autor, timp, conditii de generare, la
informatia de baza;

Prelucrarea informatilor si functiile de securitate

(confidentialitatea, integritatea, autenticitatea,
nerepudierea):

Dezasamblarea (implica reclasificare prin declasificare);

Asamblarea (poate creste nivelul de clasificare);
Analize (implica reclasificare);
Sinteze (implica reclasificare sinteze din informatii publice pot fi
strict secrete);

Protectia informatiilor pe durata

ciclului de viata al acestora

Stocarea informatiilor:

Copii de siguranta;
Rezerva calda, retele RAID;
Clustering
Arhive;

Medii de stocare (durata de stocare, densitate,

conditii de stocare etc. ):
Hartie;
Hartie termica;
Suport magnetic;

CD;
Stick;
Harddisk-uri;

Protectia informatiilor pe durata

ciclului de viata al acestora

Suport optic:
CD-uri timp de viata limitat la aproximativ 10
ani;
DVD-uri proiectat pentru fluxuri mari de date;

Memorii semiconductoare:

RAM, (statice, dinamice);

ROM (Read Only Memory), EPROM;
EEROM memorii flash -sticuri;

Seifuri pentru suporti de memorie;

Rezistenta la incendiu;
Amplasare;

Protectia informatiilor pe durata

ciclului de viata al acestora

Declasificarea informatiilor
Perisabilitatea informatiilor secrete in timp toate devin
publice;

Informatii strategice protectie pe termen lung (ani, zeci de ani);

Informatii tactice protectie pe termen mediu (zile, luni);
Informatii operationale protectie pe termen scurt (ore, zile);

Transmisia informatiilor (mediul cel mai periculos):

Medii private definit juridic, - aflat sub responsabilitatea si
controlul unei entitati private accesul restrictionat de lege;
Medii publice - definit juridic, - aflat sub responsabilitatea si
controlul public;
- Transmisii on line transmisie pe masura ce se
genereaza;
- Transmisii off line transmisie dupa generare si o
prelucrare (criptare)

Protectia informatiilor pe
durata ciclului de viata al
acestora
Retele de comunicatii (vulnerabilitati specifice privind
disponibilitatea, confidentialitatea, integritatea, nerepudierea
informatiilor):

Radio;
Radiorelee;
Sateliti;
Cabluri telecomunicatii, cabluri electrice, conducte apa, gaze
etc.);
Fibra optica;
Retele Wireless
INTERNET;

Receptia si utilizarea informatiei;

Informatie destinata utilizarii umane supusa interpretarii;

Comenzi pentru echipamente executabila imediat;

Cadrul de reglementare privind protectia informatiilor in

prelucrare si transport;

Legea 676/2002 si legea 677/2002 privind prelucrarea datelor cu

caracter personal in retelele de comunicatii si de calculatoare;
Codul Penal interceptare neautorizata, interceptare in baza legii;
Normele interne de protectie;

Costurile de protectie

Costurile care trebuie platite pentru

securitate sunt relativ mari si uneori
depasesc costurile sistemului functional;
Necesitatea analizei cost beneficii de
securitate;

Principalele tipuri de costuri pt. securitate:

Creste complexitatea sistemului;

Scade functionalitatea;
Cresc cheltuielile (investitiile, intretinerea)
Resurse umane suplimentare + sarcini
suplimentare pt. personalul existent;

Tipuri de informatii
Clasificarea informatiilor

Informatii clasificate - conf. Lege 182/2002 si

H.G. 585/2002;
Informatii secrete de serviciu;

Informatii privind intimitatea persoanelor;

Proprietatea intelectuala brevete, licente
etc.;
Informatii publice;
Tipuri de informatii nereglementate:
Informatiile proprietare (unei entitati, institutii);
Informatii neclasificate sensibile pentru
organizatie;

Tipuri de informatii
Informatii clasificate

Sensurile notiunii de informatii clasificate:

Sensul general informatii care pot fi incadrate in niste

clase de informatii definite de o autoritate (ex.:
informatii neclasificate, informatii publice, brevete etc.)
In sensul asigurarii confidentialitatii conf. legislatiei in
vigoare (legea 183/2002 si HG 585/2002: SSID, SS, S,
SdS)
Insensul asiguratii integritatii (informatii certificate,
informatii necertificate)
Ex. Clasa informatiilor secrete de serviciu clasificarea
locala;

Criterii de clasificare:

Dupa afectarea confidentialitatii (in sensul legii)

Stict secret de importanta deosebita;

Strict secret;
Secret;
Secret de serviciu;

Clasificarea informatiilor
(sens general)
Dupa tipul de functie de securitate si nivelul de
prejudiciu;

Disponibilitate, integritate, autenticitate, nerepudiere;

Confidentialitate;
Utila in analiza de riscuri

Dupa nivelul prejudiciului produs prin afectarea functiilor

de securitate;

Estimarea prejudiciului determina nivelul de clasificare al

informatiei si deci nivelul necesar de protectie (costurile de
protectie);
Nivelul prejudiciului se apreciaza prin prejudiciul maxim ce se
poate produce afectand in orice fel functiile de securitate;
Aceasta abordare are avantajul utilizarii unei singure scari de
valori pentru fiecare informatie si a determina nivelul de
securitate ce se impune;
Abordarea este utila in sistemele integrate baze de date si servicii
de comunicatii;

Informatii clasificate
Informatii clasificate NATO si
UE
Definire informatiile care prin diseminare pot
produce prejudicii semnificative organizatiei;
Clasele de secret:
Top Secret
Secret;
Confidential;
Resticted;
Informatii neclasificate;
Unclasified reguli de diseminare relaxate,
nu pot fi facute publice ;
Public informatii care pot iesi in afara
NATO;
Etichetare (clasificare, domeniu, need to know):
Relatia de ordine (sisteme multinivel)

Informatii clasificate

Echivalarea nivelelor de clasificare NATO si UE cu cele

nationale;
Top Secret -------- SSID;
Secret
-------- Strict Secret;
Confidential -------- Secret;
Restricted -------- Secret de Serviciu;

Raportul dintre informatiile clasificate national si cele NATO

/UE
Exista o delimitare clara intre informatiile clasificate national, cele
NATO si UE. Echivalenta nivelelor de clasificare nu implica
posibilitatea trecerii unei informatii dintr-o parte in alta.
Informatiile elaborate de structurile nationale despre NATO si UE
sunt considerate informatii nationale;
Folosirea informatiilor clasificate NATO in realizarea unor
documente nationale trebuie facuta cu atentie, clasificata
corespunzator si pot fi utilizate numai cu avizul ORNISS (Ex:
directivele de securitate).
Echivalarea clasificarilor are rol numai pentru a stabili un nivel de
securitate asemanator prin sistemul de securitate

Autoritati responsabile

Oficiul Registrului National pentru

Informatii Secrete de Stat (ORNISS);
Serviciul Roman de Informatii;
Ministerul Comunicaiilor si
Tehnologiilor Informatice -;
Autoriti departamentale ADS uri
(MApN, MAI, STS, SRI, SIE, SPP) cu
aribuii n domeniul aprrii i ordinii
publice.

Atributiile ORNISS

Punct national de contact al NOS;

Responsabil pentru implementarea politicii NATO
in Romania privind securitatea informatiilor;
Elaboreaza politica NATO de protectie a
informatiilor in Romania;
Realizeaz politica nationala pentru sistemele de
protectie a informatiilor in forma electronica;
Coordonarea politicilor de protectie a
informatiilor in forma electonica la nivel national;
Elibereaza avizele de securitate pentru lucrul cu
informatii clasificate pentru persoane si firme;

Lucrul firmelor private cu

informatii clasificate

Evaluarea sistemului de protectie fizica;

Evaluarea sistemului de management al
documentelor clasificate;
Evaluarea si avizul de securitate pentru
persoane fizice;
Evaluarea si acreditarea sistemului de
securitate al informatiilor in format electronic
INFOSEC;
Avizul de securitate industriala.

Departamentul INFOSEC

Autoritatea de Acreditari de Securitate

(A.A.S.);
Are ca sarcina auditul si acreditarea SIC-urilor NATO din
Romania si a SIC-urilor care lucreaza cu informatii
clasificate;

Autoritatea de Securitate pentru Informatica

si Comunicatii (A.S.I.C.);
Autoritate de reglementare a securitatii in sistemele
informatice si de comunicatii la nivel national;

Autoritatea pentru Distributia Materialului

Criptografic (A.D.M.C.);
Autoritatea care se ocupa cu managementul cheilor de
criptare in retelele NATO din Romania si cu distributia
echipamentelor de criptare;

Fluxurile de informatii intr-o

firma/institutie

Necesitatea evidentierii fluxurilor de informatii;

Organizarea fluxurilor de informatii componenta
principala a managementului institutiei;
Din punct de vedere al securitatii informatiei organizarea
fluxurilor trebuie sa sprijine obtinerea: disponibilitatii,
confidentialitatii, integritatii autenticitatii si nerepudierii
informatiilor;
Practica fluxurilor de informatii:

Documente pe hartie (scrisori, faxuri);

Comunicatii de date (accese la baze de date interne si externe, email);
Comunicatii telefonice;

Factorii de influenta ai fluxurilor de informatii:

Structura institutiei (organigrama);

Nivelele si centrele de decizie;
Nivele si centrele de executie;
Cultura institutiei;

Fluxurile de informatii intr-o

firma/institutie

Punctele de intrare;
Punctele de iesire;
Etichetarea informatiilor formatul
documentelor;
Traseabilitatea informatiilor inregistrarea
documentelor;
Instrumente de management al informatiilor
Registre de predare primire;
Programe pentru managementul informatiilor;

Fisierele de audit (log).

Infrastructurile critice

Interdependentele activitatile sociale

caracteristici al activitatilor moderne;
Activitati vitale pentru viata si sanatatea
oamenilor;
Efectele de avalansa ale afectarii unor
activitati;
Necesitatea reglementarii de catre stat a
acestor activitati practica
reglementarilor (SUA, UE);

Infrastructuri critice tipice

Retelele de comunicatii, de baze de date si

prelucrare;
Retelele de producere si distributie a energiei
electrice;
Reteaua de transporturi (aerian, naval, terestru
drumuri, poduri, parc auto);
Retelele financiare;
Distributia de gaze, combustibil;
Retelele sanitare;
Retelele de interventie in caz de urgenta
(pompieri, politie, smurd, energie, comunicatii
etc.)
Retelele guvernamentale ( de decizie).

COMPONENTELE SISTEMULUI NAIONAL DE

MANAGEMENT AL SITUAIILOR DE URGEN

COMITETUL NAIONAL PENTRU

SITUAII DE URGEN
Secretariat
Permanent

Ministerul Internelor i
Reformei Administrative
COMITETE MINISTERIALE
COMITETE MINISTERIALE
PENTRU
PENTRU
SITUAII DE URGEN
SITUAII DE URGEN

Centre
Operative

Cu activitate
permanent

Organizaii
internaionale
(NATO-EADRCC,
UN-OCHA,
EU-MIC,
CMEPC-SEE etc.)

Secretariat
Permanent

Cu activitate
temporar

INSPECTORATUL GENERAL
PENTRU SITUAII DE URGEN

CENTRULOPERAIONAL
NAIONAL
PUNCT NAIONAL DE CONTACT

COMITETE JUDEENE
COMITETE JUDEENE
PENTRU
PENTRU
SITUAII DE URGEN (42)
SITUAII DE URGEN (42)

Centre
Operaionale

COMITETE LOCALE
PENTRU SITUAII DE URGEN

Secretariat
Permanent

INSPECIA DE
PREVENIRE

Secretariat
Permanent

SERVICII VOLUNTARE PENTRU

SITUAII DE URGEN

ALTE STRUCTURI

SERVICII DE URGEN
PROFESIONISTE

Rezumat

Caracteristicile speciale ale IFE:

Independenta de suport caracterul nematerial;

Inexistenta informatiei fara suport material sau energetic;
Virtualitatea prelucrarilor in sistemele de calcul si comunicatii;

Atributele de securitate ale informatiei;

Clasificarea informatiilor;
Caracteristicile mediului de evolutie al IFE
(CYBERSPATIUL):
Evolutia tehnologica dezvoltare exploziva creste diversitatea si
complexitatea SIC urilor tehnologia avansata avantajeaza
atacatorii;
Socializarea retelelor magistrala informationala globala
scaderea preturilor serviciilor si integrarea lor;
Caracterul pronuntat transfrontalier problemele juridice;
Cresterea sferei de cuprindere, a profunzimii si a complexitatii
intereselor economice datorita fenomenului de globalizare;

Concluzii privind
securitatea

Cerinte pentru sistemul de securitate al IFE:

Trebuie sa inregistreze urme credibile ale tuturor
activitatilor relevante pentru documentarea folosirii
abuzive a informatiilor si a sistemelor;
Trebuie sa autentifice (legalizeze) o serie de urme
care sa devina probe pentru justitie, pentru a putea
recupera prejudiciile;
Sa completeze sistemul juridic fara sa se substituie
acestuia;
Sa se adapteze rapid mediului de lucru (conflictelor
de interese) si evolutiei tehnologice;
Educatia mediului de lucru si cooperarea cu
autoritatile ;