Sunteți pe pagina 1din 62

Master INFOSEC

Abordarea sistemica a
securitatii retelelor
D-rand. Ing. Gh. Muresanu e-mail: ghemuresanu@rdslink.ro
:
Obiectivele cursului
Introducerea conceptului de securitate ca o
parte necesara oricarui sistem complex;
Intelegerea faptului ca securitatea informatiilor
intr-o organizatie este o problema complexa
care nu poate fi tratata in afara contextului
organizatiei.
Intelegerea necesitatii de a aborda problema
securitatii informatiilor si a retelelor ca o
problema interdisciplinara care include
echipamente, reglementari si oameni;
Formarea unui mod de gandire sistemic atunci
cand se pune problema realizarii unui sistem de
securitate pentru o organizatie;
Abordarea sistemica a
securitatii informatiilor
Viziunea holistica asupra securitatii informatiei;
Integrarea sarcinilor de securitate in organizatie;

Principiile generale ale organizarii securitatii

informatiilor in format electronic;


Responsabilitatile securitatii;

Structurile specializate de securitate;

Managementul securitatii;
Conceptul de sistem
Conceptul clasic de sistem:
Prin sistem, se nelege n general, un
ansamblu de pri (componente) care
interacioneaz ntre ele ntr-un mod
organizat (implic noiunea de
structur) pentru atingerea unui
obiectiv (trebuie s fac ceva).
Critica conceptului:
concepe sistemul simplist ca o cutie cu intrari
si iesiri;
vede sistemul izolat;
Conceptul modern de sistem
Conceptul clasic + caracteristicile:
Adugarea sau scoaterea unei componente schimb
sistemul;
O component este afectat prin includerea n sistem;
Componentele sunt percepute referitor la o structur
ierarhic;
Exist incluse metode de control i de comunicare
care promoveaz supravieuirea sistemului [1]
(funcia de securitate);
Sistemul are proprieti de emergen, dintre care unele
sunt dificil de prevzut (implic descriere probabilistic);
Sistemul are limite (chiar dac nu pot fi riguros definite);
n afara limitelor sistemului exist mediul care afecteaz
sistemul;
Sistemul aparine cuiva (cel care stabilete obiectivele).
Ce aduce nou conceptul modern
de sistem
Componenta sistemului: elemente, structuri si
procese;
Opereaza si cu marimi slab definite (vagi);
Capacitatea de predicie si control nu mai este
stricta;
Analiza sistemului include mediul de lucru;
Implica subsisteme cu ierarhii si rezoluii;
Existenta punctelor de vedere diferite care coexista:
proprietar, public, concurenta etc.;
Proprieti de emergenta (sistemul este mai mult decat
suma componentelor);
Rolul analistului (observatorului aduce informatie
noua nu trebuie sa fie neaparat neutru - obiectiv);
Principiile de baz ale teoriei sistemelor complexe

Postulatul integralitii
Principiul
Postulatul autonomiei
cauzalitii

Postulatul complementaritii

Principiul Postulatul nedeterminrii


modelrii
Postulatul aciunii

Postulatul recuperrii investitiei


Principiul
supravieuirii Postulatul conservrii
funciilor critice

Principiul
orientrii spre Postulatul alegerii
obiectiv
Tipuri de sisteme
Sisteme mecanice: ceas, pompa, bicicleta etc.;
Sisteme tehnice complexe: avioane, retele de
comunicatii;
Sisteme informatice: baze de date, retele de
calculatoare (echipamente + infomatii);
Sisteme biologice: plante, animale, virusi si
bacterii etc.;
Sisteme sociale: sistemul de sanatate, sistemul
de asigurari sociale, sistemul financiar etc.;
Sisteme simbolice: sistemul de numeratie,
sistemul limbajelor,
Sisteme artificiale complexe
Sisteme reale (mixte): fabrici, sistemul de
transport aerian;
Clasificarea sistemelor
Sisteme inchise si sisteme deschise
referitor la interactiunea cu mediul;
Sisteme naturale, artificiale si sociale
referitor la contributia umana la creare;
Sisteme ierarhice si distribuite (retele)
referitor la relatiile dintre elementele sale;
Sisteme critice si sisteme ordinare
referitor la capacitatea de supravietiure;
Analiza sistemelor
Aplica principiile teoriei sistemelor
pentru:
Identificarea sistemelor;
Constructia si reconstructia sistemelor;
Optimizarea si controlul sistemelor;
In conditii:
Obiective multiple;
Constrangeri de mediu;
Resurse limitate;
Se cauta cursuri de actiune asociate
cu riscuri, costuri si beneficii.
Mecanismul clasic al controlului
Controlul sistemului
Elementul controlor:
Constituit: reprezentarea elem controlat si
agentul de actionare;
Are ca parametrii de intrare: obiectivul
sistemului si perceptia asupra parametrilor
elem. controlat;
Elementul controlat:
Are o comportare dictata de legi si reguli;
Are parametrii de intrare: perturbatiile
mediului si actiunile agentului de control;
Furnizeaza o imagine a functionarii
Reflectarea mecanismului de control in
SMS - bazat de Manag. Risc. (RM)
Reflectarea mecanismului de control in
SMS - bazat de manag. riscurilor
Mecanismul de control implica mediul de lucru
stabilirea contextului;
Implica multiple bucle de control cu obiective
de control (reactie) diferite si agenti de decizie
(actiune) diferiti;
Buclele de control includ emente fizice,
reglemetari si oameni (observatori) cu puncte
de vedere diferite.
Actualizarea buclelor se face functie de context
(rata de incidente).
Prin acest mecanism se realizeaza implicit o
abordare sistemica a managementului
sistemului de securitate.
Definitia securitatii unui sistem
Deriva din principiul supravietuirii sistemelor;
Are la baza postulatele:
conservarii structurilor (functiilor) critice;
recuperarea investitiilor;
securitatea unui sistem este subsistemul
care ii asigura atingerea obiectivelor pentru
care a fost creat sistemul reactionand la
conditiile variabile impuse de mediu;
securitatea este funcia unui sistem de a-i
asigura supravieuirea n condiii de mediu
concurenial cu resurse limitate;
Relatia sistemului de management al
securitatii cu sistemul organizatiei (ISO 13335)
Impactul subsistemului de securitate
asupra sistemului (costurile securitatii)
Restrange functionalitatea (eficienta)
securitatea ridicata implica o functionalitate mai
redusa;
Creste controlul asupra elementelor sistemului
implica monitorizare, inregistrare, baze de
date restrange dreptul la intimitate
Implica investitii specifice in securitate si
deturneaza resurse de la dezvoltare scade
expansiunea sistemului;
Restrangerea functionalitatii si reducerea
dezvoltarii sunt certe castigul de securitate este
probabil (vinde cioara de pe gard);
Impactul subsistemului de securitate
asupra sistemului (costurile securitatii)
Nu exista sistem fara mecanisme, mijloace
si procese de securitate (subsistem de
securitate).
Cu cat sistemele sunt mai complexe cu
atat subsistemul de securitate este mai
evoluat, mai sofisticat si coordonat la
nivelul cel mai inalt.
Cele mai complexe sisteme naturale,
sistemele vii si sistemele sociale si-au
dezvoltat pe cale naturala sisteme de
securitate specializate vezi sistemul
imunitar biologic.
Afectarea sistemului de securitate duce la
disparitia sistemului din mediu.
Abordarea analizei sitemului de
securitate
Abordarea analitica descompune sistemul
in elemente componenete si analizeaza
interactiunea dintre ele si efectele fiecarui
parametru asupra iesirii;
Problema descompunerii - modelul;
Problema rezolutiei;
Abordarea sistemica se raporteaza la
obiectivele sistemului si la mediul de evolutie.
Priveste sistemul din punct de vedere al
perceptiei unui observator, urmareste
integrarea efectelor schimbatilor
pluridisciplinare.
Abordarea sistemica a securitatii
informatiei in mediul IT&C (virtual)
Stabileste obiectivele misiunile (sistemului si
ale securitatii);
Definiste limitele sist. + integrarea activitatilor;
Mediul de lucru mediul material + virtual;
Modelul (modele multiple + reprezentarile lor);
Legitatile de evolutie (ale mediului si ale
organizatiei);
Punctul de vedere al proprietarului;
Punctul de vedere al publicului;
Proprietatile de emergenta;
Observatorul;
Caracterizarea mediului
mediul este format din: echipamente, canale de
comunicatie, baze de date, reglementari si standarde
tehnice, oameni si mediul fizic (mediul intern, mediul
extern).
mediul IT&C este artificial (creat de om) si are ca
element de baza informatia (nemateriala) si tehnologia
(materiala);
evolutiile componentelor mediului se fac cu viteze
diferite.
este un mediu virtual cu o anumit reflectare a
realitii dar care interacioneaz strns cu mediul fizic
prin intermediul informaiilor folosite de oameni sau
maini i care are legiti specifice;
este probabil cel mai socializat mediu - acoper ntreg
globul, toate mediile de comunicaii i toat scara
social magistrala informaional global;
Caracterizarea mediului
multiplicatul valorilor (informaiilor) n
ciberspaiu se face foarte uor cu costuri nule i
operaia nu las urme asupra originalului;
valorile (informaiile) por fi manipulate de la
distane uriae, pot fi deplasate cu viteza
luminii (teleportate), distruse sau modificate
fr ca aceste operaii s lase urme n mediul
local sistemul de securitate trebuie sa asigure
trasabilitatea activitatilor;
utilizatorii beneficiaz de protecia anonimatului
(impusa prin lege sau dat. sistemului tehnic;
justiia clasic are dificulti n exercitarea
prerogativelor;
mediul este in continu schimbare datorit
progresului tehnologic exploziv;
Caracterizarea mediului
Evolutia tehnologica (1)

Civilizatia siliciului a ajuns la apogeu.


Posibilitatile de realizare a structurilor planare
prin litografie s-au epuizat (nu se mai pot
realiza densitati semnificativ mai mari
costurile sunt foarte mari si progresele mici).
Resursele acestor tehnologii se apreciaza ca vor
fi epuizate in urmatorii 10-15 ani.
In urmatorii ani se vor realiza progrese prin
trecerea la tehnologii spatiale (3D).
Caracterizarea mediului
evolutia tehnologica (2)
Sistemele TIC moleculare. Cercetrile din ultimii ani
au artat c nano tuburile din fibre de carbon pot avea
proprieti care pot fi folosite drept elemente de
memorie si comutaie. Aceast tehnologie permite
realizarea unui tranzistor din cteva molecule sau
chiar atomi. Dac n prezent se pot realiza cipuri de
complexitate de peste un tera transistoare, tehnologiile
moleculare permit creterea densitii cu 3 4 ordine
de mrime. Cipurile vor fi auto configurabile, masiv
paralele i vor integra probabil o serie de servicii de
baz. La nivelul utilizatorilor va fi practic imposibil s se
cunoasc funcionarea i s se estimeze
vulnerabilitile. Cipul va fi o cutie neagr a cror
funcii vor putea fi cunoscute parial i chiar se vor
schimba n timp n mod transparent pentru utilizator.
Caracterizarea mediului
evolutia tehnologica (3)

Sisteme de calcul biologice. Progresele


nregistrate de chimia organic din ultimul timp
au condus la realizarea unor arhitecturi spaiale
complexe care pot executa operaii logice i
chiar pot primi instruciuni ce s le execute.
Exist n laborator structuri care neleg
limbajul C++. Principalele caracteristici ale
acestor sisteme sunt: capacitatea de a se auto
reproduce, capacitatea de a se auto repara,
posibilitatea de a deveni autonome.
Caracterizarea mediului
evolutia tehnologica (4)
Sisteme informatice cuantice. Tehnologia exploateaz
capacitatea cuantic a unei particule elementare de a se afla n
dou locuri simultan i a comunica ntr-un fel ntre ele. Se
estimeaz c performanele acestor dispozitive nu au n prezent
echivalent n lumea real. Principala caracteristic a acestei
tehnologii este capacitatea de a efectua operaii paralele
nelimitate. Practic puterea de calcul a
Evolutia tehnologica acestor dispozitive va putea
a mediului
fi considerat infinit. Principala consecin a introducerii acestor
tehnologii va fi eliminarea echipamentelor de criptare bazate pe
algoritmii matematici cunoscui. Toate echipamentele de criptare
actuale se bazeaz pe ideea c tehnologia i algoritmul de calcul
permit o complexitate de calcul exponenial n raport cu cheia de
criptare i tehnologia folosit pentru criptanaliz poate fi constriuta
foarte mare dar nu infinit. Apariia acestor dispozitive (chiar n
numr extrem de limitat) va duce la scoaterea de pe pia a
tuturor acestor echipamente. Pentru protecie ar rmne n acest
caz numai dispozitivele bazate pe criptografia cuantic.
Caracterizarea mediului
evolutia tehnologica a mediului (5)
Interfee inteligente om main. In
ultimii ani tehnologia a realizat progrese mari in
interpretarea sunetelor (recunoaterea vorbirii,
detecia strii psihice) interpretarea imaginilor
(recunoaterea figurilor, a gesturilor, urmrirea
unei persoane ntr-o mulime etc.) i chiar a
realizrii unor dispozitive care s comunice
direct cu creierul. Aceste tehnologii vor
amplifica puterea informaional a individului n
reea foarte mult dar n acelai timp va
deschide calea unei invazii n intimitatea
individului fr precedent. Mecanismele i
sistemele de securitate vor trebui s marcheze
delimitarea dintre partea de intimitate care va
fi dezvluit reelei si cea care va fi pstrat i
va trebui s o garanteze.
Caracterizarea mediului
Evolutiile comunicatiilor (1)
Tendina ca toate sistemele s fie conectate
permanent la reea (vor dispare sistemele
izolate);
Sistemele vor lucra cooperativ, automat
(transparent pt. utilizator) i reeaua de
comunicaii va trebui s ofere suportul necesar;
Terminalele ca i echipamentele de reea se vor
baza pe tehnologiile paralele i vor rula in
paralel mai multe aplicaii (dificil de controlat
de utilizator);
Echipamentele de reea i terminalele vor
Caracterizarea mediului
evolutiile comunicatiilor (2)
Reeaua de comunicaii va fi puternic descentralizat i
va oferi servicii specializate pentru aproape toate
domeniile de activitate uman;
Va permite o mobilitate fr precedent i reeaua va
trebui s permit identificarea i urmrirea tuturor
echipamentelor i chiar a utilizatorilor pentru a oferi
servicii difereniate (utilitati, costuri, securitate etc.);
Din punct de vedere al securitii se poate considera c
fiecare terminal va evolua practic intr-un mediu n mare
parte necunoscut i trebuie s fie pregtit s
reacioneze la cele mai neateptate situaii.
Legile de miscare in mediu
Orice sistem este caraterizat de :
starile elementelor sale (initiala, finala);
legitatile de evolutie;
constrangerile pt. respectarea legitatilor;
Legi naturale (fizice, chimice, economice, sociale, psihologice etc.)
Reglementari sociale (facute de om dictate de interese):
Scrise (sistemul juridic): legi, norme, reglementari locale, ROF-
uri etc.;
Nescrise (sistemul etic): reguli de buna practica, de buna
purtare, sistemul de relatii umane;
Standardele tehnice (granita dintre leg. naturale si reglemetarile
sociale)
Reglemeteaza modul in care sunt utilizatelegile naturii in
constructiile umane devin legi naturale ale mediului facut de
om;
Pentru o problema de constructie exista de regula mai multe
standarde valabile;
Rolul autoritatilor de reglementare (adoptarea standardelor
aplicarea lor);
Punctul de vedere al proprietarului
Punctul de vedere al proprietarului trebuie
inteles ca pe un drept la decizie (Consiliul de
administratie, Consiliul Director, proprietarul);
Trebuie considerat pe diverse nivelui de decizie,
de responsabilitate: (superioara, departamente,
... loc de munca);
Proprietarul are dreptul si obligatia sa
intervina in sistem si sa schimbe regulile sau
chiar elemetele sistemului la provocarile
mediului;
Punctul de vedere se schimba cand se schimba
managementul;
Se materializeaza in principal in strategia si
politicile de securitate;
Punctul de vedere al publicului
Punctul sau punctele de vedere ale grupurilor de
indivizi fata de sistem (imaginea sistemului);
Grupuri din interior (angajati);
Grupuri din exterior (furnizori, clienti, parteneri,
autoritati, mass-media etc.) publicitate, cheltuieli
de reprezentare;
Sistemul interactioneaza strans cu mediul si numai o
parte relativ redusa din decizii sunt la latitudinea
managementului sistemului - majoritatea deciziilor se
iau functie de raspunsul mediului.
Imaginea sistemului de securitate supraevaluarea si
sub evaluarea sistemului de securitate;
Proprietatile de emergenta
Proprietatea elementelor sistemului ca
prin interactiune sa produca efecte care
nu sunt specifice nici unui element
constitutiv (nici unul din elementele unui
ceas nu au legatura cu timpul);
Efectul de avalansa (bulgare de zapada)
perturbatia mica a unui element se
amplifica la nivelul sistemului;
Definirea infrastructurilor critice
(elemente fizice, facilitati, activitati,
informatii, oameni etc.)
Observatorul
(analistul, consultantul - expertul)
Este elementul din afara sistemului care vine cu
un punct de vedere (si cunostiinte) diferite de
cele din organizatie;
Este consultat in momente importante din ciclul
de viata al sistemului sau periodic;
Are rolul de a aduce informatie proaspata in
sistem si a schimba functionarea acestuia;
Este de dorit sa fie cat mai obiectiv (neutru) fata
de interesele mediului;
Nu poate sa fie perfect obiectiv si intodeauna are
si limite;
Aduce un plus de credibilitate atat in interior cat
si in exterior (problema celei de a treia parti
partea de incredere)
Sistemul de securitate

Subsistemul de protectie fizica;


prot. perimetrala, control acces, det.
efractie;
prot. incendiu, prot. inundatii, TVCI,
Subsistemul de protectie IT&C;
COMPUSEC, COMSEC, TEMPEST, CRIPTO;
Control acces, IDS, prot. fizica, prot.
personal;
Subsistemul de protectie a personalului;
Subsistemul de protecie administrativasi al
Practica subordonarii
subsistemelor de securitate
Protectia fizica subordonata administratorului
cladirii (compartimentul logistic);
Controlul acces subordonat com. resurse
umane asociat cu pontajul;
Securitatea comunicatiilor si a calculatoarelor
subordonata compartimentului IT;
Securitatea informatiilor subordonata
secretariatului registratura;
Securitatea informatiilor clasificate conducerii
institutuiei prin lege.
Practic nu exista coordonare intre
componentele securitatii sau este foarte slaba.
Abordarea holistica
(puncte de vedere complementare)
Abordat ca un sistem bine delimitat, cu mrimi
msurabile i comportri in mare parte previzibile
abordarea din punct de vedere hard;
Abordat ca un sistem cu delimitri vagi care
interacioneaz puternic cu mediul, este descris de
mrimi nemsurabile i este supus aprecierilor
subiective, cu comportri imprevizibile abordarea
din punct de vedere soft,
Abordarea din punct de vedere al situaiilor de criz
(avarie) studiat atunci cnd unul sau mai multe
elemente critice sunt scoase din funciune datorit
unor cauze naturale sau provocate;
Abordat pe durata ciclului de via cu caracteristici de
securitate diferite in fazele dezvoltrii i utilizrii
sistemului: analiz sistem, proiectare, implementare,
Abordarea sistemica a sistemelor
reale
Abordarea sistemica din
punct de vedere al problemelor
hard
Definitia hard a sistemelor;
Formularea problemei in ipoteza hard;
Sisteme naturale;
Sisteme abstracte;
Natura problemelor;
Controlul sistemelor hard functiile
obiectiv;
Elemente metodologice;
Metodologia rezolvarii problemelor
hard
Identificarea problemelor;
Constientizare si intelegere;
Obiective si constrangeri;
Strategii;
Metode de evaluare a progreselor;
Modelarea;
Evaluarea modelului;
Selectia variantei (optimizarea);
Implementarea.
Abordarea sistemica din punct de vedere
hard a subsistemului de securitate
Integrarea securitatii in sistemul organizational
(ex.)
Definitia subsistemului de securitate;
Obiective securitatea sistemului;
Formularea problemei controlul riscurilor
Managementul securitatii;
Starea initiala standarde si norme de
securitate;
Subsisteme de securitate - interferente;
Controlul securitatii:
Auditul;
Evaluarea;
Acreditarea;
Controlul securitatii diagrama audit
Abordarea sistemica din punct de
vedere al problemelor soft
Definitia problemei soft a sistemelor;
Analiza problemei;
Rolul analistului;
Metodologia soft;
Caracteristici si actiuni;
Definitii de baza si aspecte relevante;
Modele conceptuale;
Starea initiala starea finala
Agenda de lucru discutia agendei;
Actiuni pentru schimbare.
Metodologia abordarii din punct de
vedere soft (1/3)

Culegerea informatiilor;
Analiza;
Definitii de baza si aspecte relevante;
Modelarea conceptuala;
Comparatii pentru constituirea agendei;
Discutia agendei cu factorii semnificativi;
Actiuni pentru schimbare.
Abordarea din punct de vedere soft
a subsistemului de securitate (2/3)
Culegerea de informatii:
Baza de date cu incidente de securitate
Auditul de securitate;
Analiza de securitate:
Analiza de riscuri;
Evaluarea de securitate;
Definitii de baza si aspecte relevante:
Tratarea neconformitatilor;
Prioritizarea riscurilor;
Analiza cost beneficii;
Abordarea din punct de vedere soft a
subsistemului de securitate (3/3)
Modelul conceptual:
Structura de securitate;
Atributii de securitate;
Echipe de lucru (audit, analize, evaluari
etc.)
Cultura de securitate - rolul educatiei;
Tratarea riscurilor;
Comparatii pentru stabilira agendei;
Stabilirea strategiei traseul de
abordare;
Politica de securitate;
Abordarea din punct de vedere soft
a subsistemului de securitate
Discutia agendei cu actorii:
Conducerea asumarea riscurilor;
Autoritatile standarde, acreditari de
securitate, puncte de contact interventii;
Departamentele implicate utilizatori;
Furnizori si beneficiari.
Actiuni pentru schimbare:
Planificare;
Proceduri operationale;
Controale, testare, audit intern si extern;
Masuri operationale.
Abordarea din punct de vedere al
comportarii sistemului in regim de criza

Caracterizarea abordarii catastrofice;


Implicatiile caderii sistemului
(subsistemelor);
Compararea modelelor;
Sistemul formal de paradigme;
Controlul paradigmelor;
Comunicarea;
Fiabilitatea paradigmelor;
Factorii umani;
Analiza caderii sistemelor.
Metodologia abordarii din punct de vedere
al comportarii in regim de criza

Descrierea situatiilor de cadere a


sistemului;
Compararea cu paradigmele;
Interpretarea comparatiilor
extragerea concluziilor;
Invatarea aplicarea concluziilor;
Abordarea securitatii din punct de vedere al
comportarii in regim catstrofic

Infrastructuri critice;
Misiuni critice;

Planurile de recuperare in caz de dezastre:


Cutremure plan de evacuare, site-uri in oglinda
etc. ;
Incendii sistemul de stingere a incendiilor
Inundatii;
Terorism - atac cu bombe;
Planurile de continuitate al afacerii;
Planul de raspuns la incidente scenarii de
raspuns;
Abordarea securitatii din punct de
vedere al ciclului de viata al sistemului
Fazele vietii unui sistem:
Analiza de sistem;
Proiectarea;
Constructia;
Mentenanta;
Casarea.
Politica de securitate in faza de dezvoltare a
unui proiect;
Securitatea sistemului pe durata utilizarii;
Securitatea informatiilor in faza de casare a
sistemului.
Concluzii (1)
Securitatea este o functie esentiala a oricarui
sistem functia de supravietuire in mediu;
Securitatea este intrinseca sistemului dar
foloseste caracteristicile mediului reprezinta
capacitatea de adaptare;
Mediul concurential cu resurse limitate
stimuleaza nevoia de securitate;
Securitatea foloseste facilitatile sistemului dar
se dezvolta si un subsistem specializat care
coordoneaza actiunile de supravietuire;
Concluzii (2)
Coordonerea subsistemului de securitate se
face la cel mai inalt nivel;
Se justifica studiul specializat al sistemului de
securitate;
Securitatea informatiilor joaca un rol
determinant in securitatea sistemelor
complexe, evoluate are ca obiect informatia
elemntul de baza al decizie.
Securitatea informatiilor include toate formele
si subsistemele de securitate.
Principiile generale ale organizarii
securitatii Recomandari OECD
Obiectivele principiilor de organizare a
protectiei informatiilor:
Promovarea unei culturi de securitate pentru toti
participantii;
Constientizarea riscurilor, diseminarea politicilor,
practicilor si a masurilor de securittate necesitatea
implementarii lor;
Crearea unui nivel ridicat de incredere in sistemele
informatice si de comunicatii;
Crearea suportului tehnic pentru securitate si
implemetarea masurilor si procedurilor de securitate;
Promovarea cooperarii intre participanti;
Principiile generale ale organizarii
securitatii Recomandari OECD
Princiipile organizarii securitatii;
Participantii trebuie sa fie convinsi de
necesitatea sistemelor de securitate si sa
poata decide nivelul acesteia;
Toti participantii sunt responsabili de
securitatea informatiilor si a sistemelor;
Participantii trebuie sa fie capabili sa
raspunda prompt, cooperant pentru a
preveni, detecta si raspunde la incidentele de
securitate.
Principiile generale ale organizarii
securitatii Recomandari OECD
Toti participantii trebuie sa respecte interesele
legitime ale celorlalti;
Masurile de securitate ale informatiilor si
retelelor trebuie sa fie in concordanta cu
principiile valorilor democratice;
Participantii trebuie sa isi faca propria analiza
de riscuri;
Participantii trebuie sa includa masurile de
securitate ca elemente esentiale ale sistemelor
informatice di de comunicatii;
Principiile generale ale organizarii
securitatii Recomandari OECD

Participantii trebuie sa fie liberi sa


adopte masurile de securitate adecvate
pe care le doresc;
Participantii trebuie sa isi revada si sa
adapteze periodic sistemul de securitate
al informatiilor si relelelor si sa refaca
politicile, practicile, masurile si
procedurile,
Principiile G8 pentru construirea
securitatii
Tarile trebuie sa aiba retele de atentionare
de urgenta cu privire la vulnerabilitati,
amenintari si incidente.
Tarile trebuie sa constientizeze existenta si
natura infrastructurilor informatice critice,
rolul pe care trebuie sa-l joace in
protejarea lor.
Tarile trebuie sa examineze infrastructura
existenta, iterdependentele dintre
componente si sa organizeze protectia
adecvata a acestora.
Principiile G8 pentru construirea
securitatii
Tarile trebuie sa promoveze parteneriate atat
public cat si private intre participanti pentru a
distribui responsabilitatea si analiza
infrastructurile critice pentru a preveni, investiga
si raspunde la distrugerea, sau atacul asupra
acestora.
Tarile vor crea si mentine o retea de comunicatii
de criza si o vor testa periodic pentru a se
asigura ca este functionala si sigura in situatii de
urgenta.
Tarile se vor asigura ca exista politici de
disponibilitate a datelor care tin cont de
necesitatile de protectie a infrastructurilor critice
Principiile G8 pentru construirea
securitatii
Tarile vor facilita urmarirea atacurilor infrastructurilor
critice si vor coopera cu celelalte tari prin diseminarea
acestor informatii.
Tarile vor organiza exercitii de antrenare pentru
cresterea capacitatii de raspuns si a testa continuitatea
si capacitatea de recuperare in caz de atac asupra
infrastructurilor critice si va incuraja pe
totimparticipantii da organizeze activitati similare.
Tarile se vor asigura ca au legislatie si proceduri
adecvate pentru a pune in practica Conventia
Consiliului Europei din23 Noiembrie 2001 privitoare al
Cibercriminalitate si va pregati personal specializat in
investigarea atacurilor asupra infrastructurii critice,
capabil sa coopereze adecvat cu celelalte tari.
Principiile G8 pentru construirea
securitatii
Tarile se angajeaza la cooperare internationala,
adecvata, pentru a securiza infrastructurile
critice prin dezvoltarea si coordonarea
sistemelor de avertizare de urgenta, impartind
si analizand informatiile referitoare la
vulnerabilitati, amenintari precum si in
coordonarea investigatiilor referitoare la
atacurile infrastructurii in conformitate cu
legilatia locala.
Tarile vor promova cercetarile nationale si
internationale care aplica tehnologiile de
securitate a informatiilor si retelelor certificate
in conformitate cu standardele internationale.