Managementul securitatii

informatiilor

Drd. ing. Gh. Muresanu – ghemuresanu@rdslink.ro

 Managementul securităţii informaţiei

Obiectivele cursului
 Caracterizarea informatiilor in format electronic din
punct de vedere al securitatii acestora;
 Definirea principalelor caracteristici ale mediului
virtual;
 Principiile care stau la baza realizării unei securităţi
moderne a informaţiilor integrate în mediul de lucru;
 Managementul securitatii informatiilor pe baza
analizei de rsicuri;
 Prezentarea cadrului de reglementare si autoritatile
competente;
 Necesitatea unei comunitati a specilaistilor in
domeniul securitatii informatiilor.
 Managementul securităţii informaţiei

Prezentarea cursului (1)

 Notiuni introductive – caracterizarea mediului virtual
– Caractristicile informatiilor in format electronic;
– Atributele de securitate a informatiilor;
– Clasificarea informatiilor;
– Sistemul National de interventii in caz de urgenta;
– Infrastructurile critice.
 Criminalitatea informatica
– Limitele sistemului judiciar;
– Necesitatea unor puteri speciale pentru cercetarea
infractionalitatii informatice;
– Necesitatea unei culturi de securitate.
 Managementul securităţii informaţiei

Prezentarea cursului (2)

 Abordarea sistemica a securitatii informatiilor;

– Principiul supravietuirii sistemelor;
– Imaginea holistica asecuritatii sistemelor;
– Subsistemele de securitate a informatiilor;
 Reglementarile mecanismelor de securitate;
– Reglelementari adminstrative – acorduri, legi etc.;
– Reglementari locale;
– Ghiduri de bune practici;
– Standarde tehnice;
– Autoritati de reglementare, certificare, impunere a legii.
 Managementul securităţii informaţiei

Prezentarea cursului (3)

 Mecanismele de securitate
– Politici formale de securitate;
– Sisteme de incredere;
– Sisteme practice de securitate;
– Strategii si politici de securitate;
– Mecanisme de secuirtate protective si reactive.
 Evaluarea sistemelor de securitate
– Certificarea, evaluarea si acreditarea;
– Standarde de evaluare;
– Autoritati de certificare, evaluare si acreditare.
 Managementul securităţii informaţiei

Prezentarea cursului (4)

 Managementul securitatii informatiilor
– Mecanismul de formare a riscurilor;
– Analiza de riscuri - erintele de securitate;
– Politica de securitate;
– Procedurile operationale de securitate – fisa
postului;
– Planurile de securitate, BCP, DRP;
– Structura de securitate.
– Practica managementului – bugetarea activitatii;
 TEMA 1:
Notiuni introductive privind protectia informatiei
Obiectivele temei:

 Definirea si intelegerea caracteristicilor informatiei

(“obiectului muncii” specific sistemul de securitate);
 Locul si rolul informatiilor in format electronic in
societatea moderna – necesitatea protectiei lor;
 Clasificarea informatiilor;
 Caracteristicile mediului de evolutie a informatiilor
(CYBERSPATIUL);
 Informatia si informatia in format
electronic

 Ce este informatia ?
 De ce este importanta informatia in societatea
moderna ?
 Cui foloseste informatia ?
 Ce se intelege prin securitatea informatiei ?
 Dar prin protectia ei ?
 Introducere in Securitatea Informatiei
Informatia si informatia in format electronic
1. Definirea informatiei 1
– Categorii filozofice: materie, energie şi informaţie;
– Caracterul imaterial – independenta de suport;
– Informaţia exprimată prin forme;
– Legatura cu suportul material sau energetic;
– Definirea prin exemple;
– Informaţia ca formă de percepţie a lumii
înconjurătoare – conştiinţa;
 Obiectivitatea si subiectivitatea informatiilor;
– Informatiile din surse umane – interpretari ale realitatii, ex:
procesele verbale de sedinta;
– Informatiile de la senzori – obiective dar mai sarace in informatii
– neglijeaza contextul uman;
 Introducere in Securitatea Informatiei
Informatia si informatia in format electronic
1.1 Definirea informatiei 2

– Unitati de măsură a informaţiiei – bitul, baytul, cuvântul;

– Canale de comunicatii – capacitatea canalului;
Tipuri de informatii (date si informatii):
 Date – informatii prelucrate fara sa conteze semnificatiile;
 Mesaje – informatii prelucrare in scopul obtineii semnificatiei;
 Informatie - semnificaţia mesajelor corelate;
 Cunoştiinţe – Informatii agregate baze de date construite pe baze
relationale;
– Informaţia ca valoare (bun):
 Castig;
 Valoare prin prejudiciu posibil;
 Valoarea prin incredere;
 Necesitatea protectiei
informatiilor - 1
 Mecanismele de putere (conducere) - locul si rolul
informatiilor in procesul de decizie;
 Necesitatea informatiilor complete si credibile;
 Raportul informatie – interese, complexitatea
sferelor de interese;
 Interese divergente – necesitatea confidentialitatii;
 Razboiul informational;
– Lupta pentru imagine - propaganda;
– Reclama;
– Legatura INTERNET – MASSMEDIA;
 Necesitatea protectiei
informatiilor - 2
 Interdependentele economice – fenomenul de
globalizare;
 Dezvoltarea comertului – migrarea fortei de munca
- permeabilizarea granitelor;
 Magistrala informationala globala:
– Integrarea retelelor de comunicatii;
– Integrarea serviciilor de comunicatii;
– Desfiintarea granitelor pentru informatii;
 Socializarea serviciilor de comunicatii – scaderea
costurilor;
 Dezvoltarea tehnologiilor informatice - de regula in
avantajul atacatorului;
 Necesitatea protectiei
informatiilor - 3
 Societatea informationala:
– Informatia ca valoare materiala – (bani)
 Software;
 Jocuri;
 Proiecte;
 Reclame “on line”;
 Licente – drepturi de autor;
– Intreprinderi virtuale:
 Magazine “on line”;
 Firme de productie “on line”;
 Notari electronici;
 Semnaturi electronice;
– Bazele de date publice – motoare de cautare;
– Programe de tip: e-guv, e-administration, e-banking;
e-tax, e-Europe, e-ten etc.
Informatia in format electronic
(IFE) - 1
 Informatia in format clasic (IFC) – documentul “scris”:
– Identificarea cu suportul;
– Protectia se refera la suport – informatia nu are semnificatie;
– Suportul poarta o multitudine de informatii colaterale despre autor,
momentul generarii informatiei si traseul acesteia si chiar despre
cititor;
– Modificarea informatiei de pe document se face relativ greu si lasa
urme – identifica falsificarea;
– Generarea, sustragerea sau distrugerea lasa urme materiale
detectabile;
– Senzitivitatea - documentelor olografe, documente batute la
masina, copii xerox etc;
 Informatia in format electronic - IFE:
– Informatia se identifica prin ea insasi;
– Suportul nu are o semnificatie pentru protectie sau are una
secundara;
 Informatia in format electronic
(IFE) - 2
 Copiatul si modificatul se face foarte usor, nu lasa urme
asupra originalului si implica costuri nule;
 In comparatie cu informatia in format clasic, informatia in
format electronic poate fi usor manipulata in scopuri obscure;
 Constatarea unei infractiuni privind informatia nu se poate
face examinand documentul original ci examinand activitatile
din sistem care sunt in legatura cu informatia;
 Un utilizator poate folosi abuziv informatiile pastrandu-si
anonimatul;
 Controlul accesului la informatiile in format electronic ( in SIC)
se face mult mai dificil decat in cazul accesului persoanelor
fizice la documente scrise;
 Informatiile pot fi accesate si utilizate abuziv de la distanta;
Informatia in format electronic
(IFE) - 3

 Este sarcina sistemului de protectie de a crea

“urme” prin care sa documenteze activitatile din
sistem si eventual si sa probeze folosirea abuziva a
informatiilor;
 Imaginati-va efortul pe care ar trebui sa-l faca un
hot hotarat sa fure 10000 de volume a cate 200 de
pagini din biblioteca institutiei si riscurile la care se
expune comparativ cu efortul riscurile de a sustrage
aceleasi carti de pe serverul institutiei la care au
acces toti angajatii;
 Introducere in Securitatea Informatiei
Informatia si informatia in format electronic
2. Protectia informatiei
 Atributele de securitate a sistemelor referitoare la
informatii:
– Functii de utilitate:
 Disponibilitatea;
 Integritatea;
 Confidentialitatea;
– Functii de credibilitate – (acoperirea prejudiciului):
 Autenticitatea;
 Nerepudierea;
 Manipularea rau voitoare a sistemelor si informatiilor –
criminalitatea electronica;
 Disponibilitatea 1
 Disponibilitatea este acea functie de securitate
sistemelor a sistemelor de a pune informatiile la
dispozitia utilizatorilor legali atunci cand acestia au
nevoie;
 Disponibilitatea desi este o functie intrinseca a
informatiei, se manifesta prin intermediul suportului ei
si in consecinta este un rezultat al mediului de
prelucrare – transmisie (retea, echipamente, proceduri
etc.)
 Disponibilitatea este cea mai importanta functie a
informatiei (SIC-ului);
 Informatia, in general, este cu atat mai utila (mai
productiva) cu cat este folosita mai mult.
 Disponibilitatea 2

 De retinut: informatia in mod natural este facuta sa

se multiplice si sa se transmita cu costuri aproape
nule – este “predestinata” proliferarii;
 Informatia “produce”, creaza valoare cu cat este
folosita de mai multi si mai des – restrangerea
accesului este o pierdere;
 In general disponibilitatea este asigurata prin
redundanta – se def. infrastructura critica;
 Informatiile de interes public – LEGEA 544/2002 -
obligatia de a asigura disponibilitatea informatiilor de
interes public pentru toti utilizatorii;
 Disponibilitatea 3
 Traditional, disponibilitatea in SIC – uri este tratata ca
o problema de fiabilitate si calitate a serviciilor (QoS) –
caracteristic acestei abordari este cauza aleatorie,
necorelarea acesteia cu activitatea sistemului, cu alte
“inputuri” sau continuari ale “cauzei”;
 In contextul actual, datorita accentuarii factorului
intentional, este mai util sa fie tratata ca o problema
de securitate si inclusa in analiza de riscuri – factorul
intentional implica o inteligenta care are cunostiinte si
capacitati de inteventie pe care le foloseste in scopul
atingerii obiectivelor sale;
 Mijloace de protectie – asigurarea redundantei;
 Confidentialitatea - 1
 Confidentialitatea este acea functie de securitate prin
care se blocheaza accesul utilizatorilor nelegitimi la
anumite informatii;
 Confidentialitatea este definita ca o interdictie si in
general este o exceptie de la utilizarea normala a
informatiei;
 Confidentialitatea este o consecinta a existentei unor
interese contrare in societate si in consecinta folosirea
informatiilor despre aceste interese pot aduce
prejudicii uneia din parti;
 Acceptarea dreptului partilor de a-si proteja interesele
implica acceptarea confidentialitatii (apararea
secretului);
 Confidentialitatea - 2
 Interesele statului, interese de grup, interese particulare –
restrangerea dreptului la confidentialitate;
 Asigurarea confidentialitatii se poate face prin controlul
accesului la suportul de informatie (masuri de protectie
fizica) si/sau controlul accesului la semnificatia datelor
(criptare);
 Exista perceptia (falsa) ca prin protectia informatiilor se
intelege numai asigurarea confidentialitatii;
 Tehnicile de asigurare a confidentialitatii au aparut primele
ca necesitati si s-au dezvoltat in mediul militar si diplomatic-
au inceput sa treaca in mediul civil pe la mijlocul anilor 80 ca
urmare a utilizatii pe scara larga a informatiilor in format
electronic in economie;
 Confidentialitatea - 3
 Asigurarea confidentialitatii implica costuri
semnificative pentru utilizarea informatiilor in conditii
de siguranta (sa ajunga numai la un grup bine definit
de persoane);
 Confidentialitatea implica o ierarhizare a nivelurilor de
clasificare a informatiilor;
 Implica o ierarhie a drepturilor de acces – niveluri
diferite de incredere (verificare) in personalul care
utilizeaza informatiile;
 Principiul “need to know” – dreptul de a accesa o
informatie clasificata il au toate presoanele care au
nevoie de ea in exercitarea atributiilor de serviciu si
dispun de nivelul corespunzator de verificare. (nu este
legata de functie sau de dreptul de acces la informatii
clasificate).
 Confidentialitatea - 4
 Privire generala asupra cadrului de reglementare al
confidentialitatii;
– Informatiile secrete de stat (clasificate);
– Informatiile firmelor (clasificate – secrete de serviciu);
– Informatiile firmelor in care este interesat statul (de interes strategic);
– Clase de informatii neprotejate;
 Reglementarile privind protectia informatiilor UE;
 Informatii clasificate NATO – interferente cu informatiile
clasificate nationale;
 Intelegeri bilaterale cu state partenere – intelegeri “locale”;
 Asigurarea confidentialitatii se face in principiu prin controlul
accesului la echipamente, informatii, suporti de memorie si prin
criptare.
 Confidentialitatea - 5
 Cadrul legslativ care protejeaza confidentialitatea;
– Legea 182/2002- privind protectia informatiilor
clasificate;
– H.G. 585/2002 – privind standardele nationale de
protectie a informatiilor clasificate;
– H.G. 781/2002 – privind protectia informatiilor secrete
de serviciu;
– H.G. 353/2002 – privind aprobarea normelor privind
protectia informatiilor NATO in Romania;
– Legea 676/2002 – privind protectia datelor cu caracter
personal in retelele de comunicatii;
– Legea 677/2002 – privind protectia datelor cu caracter
personal ;
 Integritatea - 1
 Integritatea este acea functie de securitate a sistemului de a
proteja informatia de modificarile neautorizate sau accidentale;
 Prin modificare se intelege: stergere, adaugare sau inlocuire a
unei parti sau a intregii informatii;
 Integritatea a aparut ca o problema de securitate in activitatile
comerciale si este legata de functionarea bazelor de date;
 Asigurarea integritatii informatiilor stocate are importanta
majora in organizarea bazelor de date deoarece in absenta
mecanismelor de asigurare a integritatii, baza de date
acumuleaza erori si chiar daca acestea afecteaza o mica parte
din informatii se pierde increderea in intreaga baza de date si
trebuie refacuta in intregime.
 Asigurarea integritatii informatiilor se face prin:
– Adaugarea la aceasta a unui “rezumat” al informatiei facut cu o functie
tip “paritate, CRC sau hash” – coduri detectoare de erori;
– Folosirea semnaturii digitale;
– Constituirea unor mecanisme de securitate a tranzactiilor pornind de la
ipoteza implicita ca informatiile sunt veridice (consistente);
 Integritatea - 2
 Producerea unor prejudicii prin manipularea
frauduloasa a informatiilor si/sau a sistemului prin
afectarea integritatii informatiilor in SIC-uri este
reglemetata direct prin lege – C.P./2006 - Titlul X -
Alterarea datelor.
 In general, fara mijloace specifice, este dificil de
departajat o modificare neintentionata sau
accidentala de una intentionata si cu atat mai mult de
identificat autorul si probat fapta. Un avocat bun va
gasi intodeuna o cale care sa disculpe un inculpat.
 Este sarcina sistemului de securitate sa creeze “urme”
cu valoare de probe pentru a se instrumenta asfel de
cazuri;
 Autenticitatea - 1
 Autenticitatea este acea functie de securitate a
sistemului de a permite asocierea informatiei cu
autorul ei.
 Prin autorul unei informatii se intelege generatorul ei
sau cel care a introdus-o in sistem. Autorul poate fi
persoana sau echipament.
 “Informatia” de autenticitate are rolul de a da
credibilitate in corectitudinea informatiei prin
responsabilzarea creatorului si posibilitatea
utilizatorilor de a verifica autenticitatea la sursa pe alta
cale.
 Autentificarea informatiei este necesara pentru a crea
posibilitatea de a recupera eventualele prejudicii ce ar
putea rezulta prin folosirea informatiei obtinuta din
sistem cu buna credinta;
 Autenticitatea - 2

 Autentificarea prin semnatura electronica are regim

juridic echivalent cu semnatura olografa;
 Documentul autentificat cu semnatura electronica
certificata are acelasi regim juridic cu documentul
autentificat sub semnatura privata;
 Anonimitatea:
– Efectul anonimitatii asupra comportamentului uman;
– Cadrul de reglementare – Statele Unite;
– Anonimitatea in INTERNET;
 Autenticitatea - 3
 Autentificarea informatiei se poate face prin:
– Controlul accesului la sistem si activarea unui sistem adecvat de fisiere
de log – rolul timpului;
– Folosirea semnaturilor electronice pentru generarea si transmisia
informatiilor;
 Cadrul legal de utilizare a semnaturii electronice este stabilit de:
– Legea 455/2001 – privind regimul juridic al semnaturii electronice;
– Hotararea 1259/2001 – norme tehnice si metodologice de aplicare a legii
455/2001;
 Stampila de timp – indicatie a momentului de timp asociata
documentului electronic autentificat cu semnatura certificata
care se aplica in momentul semnarii documentului.
 Stampila de timp este necesara pentru a stabili cronologia unor
documente si are valoare juridica;
 Nerepudierea - 1
 Nerepudierea este functia de securitate a sistemului de a asocia
unei informatii dovada ca o informatie a fost trimisa de catre
expeditor catre destinatarul legal iar acesta a primit-o, fara ca
acestia sa poata contesta acest fapt;
 Proprietatea de nerepudiere confera informatiei acelasi regim ca
o scrisoare recomandata;
 Nu sunt cunoscute reglementari cu referire directa la
informatiile in format electronic din SIC-uri;
 Producerea dovezilor de nerepudiere este sarcina sistemului de
securitate care trebuie sa instituie si sa conserve “urme” ale
activitatii din sistem suficient de veridice pentru a fi acceptate
de autoritati;
 Prin autoritati se intelege justitia sau administratia organizatiei
– in functie de natura prejudiciului si consistenta probelor;
 Introducere in Securitatea Informatiei
Informatia si informatia in format electronic
2. Protectia informatiei

 Protectia informatiilor (notiunea de sistem):

– Sistem complex, de granita, la intersectia mai multor
discipline: (calculatoare, electronica, mecanica, TV, optica,
matemantica, fizica, sociologie, psihologie, drept )
– Sistemul de protectie – obiective: descurajare, detectare,
interventie, limitare a pierderilor, recuperare;
– Protectia oferita prin lege – definire infractiune,
documentare, probare, judecata - efectul retroactiv, nu
acopera cauzele naturale (intamplarea)
– Protectia informatiilor – subsistem al protectiei bunurilor;
– Protectia suportului informatiei – protectie fizica;
– Protectia mediului informatiei (retele, echipamente) –
protectie fizica si procedurala;
– Protectia criptografica – protectie informationala
 Protectia informatiilor pe durata
ciclului de viata al acestora
 Generarea informatiilor:
– Informatii din surse umane – gradul de subiectivism, nivel de incredere;
– Informatii de la senzori – obiectivitatea datelor – subiectivismul
interpretarii;
– Clasificarea informatiilor (drepturile de acces) cnf. Legii 182/2002 si HG
585/2002
– Asocierea informatiilor despre autor, timp, conditii de generare, la
informatia de baza;
 Prelucrarea informatilor si functiile de securitate
(confidentialitatea, integritatea, autenticitatea, nerepudierea):
– Dezasamblarea (implica reclasificare prin declasificare);
– Asamblarea (poate creste nivelul de clasificare);
– Analize (implica reclasificare);
– Sinteze (implica reclasificare – sinteze din informatii publice pot fi strict
secrete);
 Protectia informatiilor pe durata
ciclului de viata al acestora
 Stocarea informatiilor:
– Copii de siguranta;
– Rezerva calda, retele RAID;
– Clustering
– Arhive;
 Medii de stocare (durata de stocare, densitate, conditii
de stocare etc. ):
– Hartie;
– Hartie termica;
– Suport magnetic;
 CD;
 Stick;
 Harddisk-uri;
 Protectia informatiilor pe durata
ciclului de viata al acestora
 Suport optic:
– CD-uri – timp de viata limitat la aproximativ 10 ani;
– DVD-uri – proiectat pentru fluxuri mari de date;
 Memorii semiconductoare:
– RAM, (statice, dinamice);
– ROM (Read Only Memory), EPROM;
– EEROM – memorii flash -sticuri;
 Seifuri pentru suporti de memorie;
– Rezistenta la incendiu;
– Amplasare;
 Protectia informatiilor pe durata
ciclului de viata al acestora
 Declasificarea informatiilor
– Perisabilitatea informatiilor secrete – in timp toate devin
publice;
 Informatii strategice – protectie pe termen lung (ani, zeci de ani);
 Informatii tactice – protectie pe termen mediu (zile, luni);
 Informatii operationale – protectie pe termen scurt (ore, zile);
 Transmisia informatiilor (mediul cel mai periculos):
– Medii private – definit juridic, - aflat sub responsabilitatea si
controlul unei entitati private – accesul restrictionat de lege;
– Medii publice - definit juridic, - aflat sub responsabilitatea si
controlul public;
- Transmisii “on line” – transmisie pe masura ce se genereaza;
- Transmisii “off line” – transmisie dupa generare si o
prelucrare (criptare)
Protectia informatiilor pe durata
ciclului de viata al acestora
 Retele de comunicatii (vulnerabilitati specifice privind
disponibilitatea, confidentialitatea, integritatea, nerepudierea
informatiilor):
– Radio;
– Radiorelee;
– Sateliti;
– Cabluri telecomunicatii, cabluri electrice, conducte apa, gaze etc.);
– Fibra optica;
– Retele Wireless
– INTERNET;
 Receptia si utilizarea informatiei;
– Informatie destinata utilizarii umane – supusa interpretarii;
– Comenzi pentru echipamente – executabila imediat;
 Cadrul de reglementare privind protectia informatiilor in prelucrare
si transport;
– Legea 676/2002 si legea 677/2002 privind prelucrarea datelor cu
caracter personal in retelele de comunicatii si de calculatoare;
– Codul Penal – interceptare neautorizata, interceptare in baza legii;
– Normele interne de protectie;
 Costurile de protectie
 Costurile care trebuie platite pentru securitate
sunt relativ mari si uneori depasesc costurile
sistemului functional;
– Necesitatea analizei cost – beneficii de securitate;
 Principalele tipuri de costuri pt. securitate:
– Creste complexitatea sistemului;
– Scade functionalitatea;
– Cresc cheltuielile (investitiile, intretinerea)
– Resurse umane suplimentare + sarcini suplimentare
pt. personalul existent;
 Tipuri de informatii
Clasificarea informatiilor
 Informatii clasificate - conf. Lege 182/2002 si
H.G. 585/2002;
– Informatii secrete de serviciu;
 Informatii privind intimitatea persoanelor;
 Proprietatea intelectuala – brevete, licente etc.;
 Informatii publice;
 Tipuri de informatii nereglementate:
– Informatiile proprietare (unei entitati, institutii);
– Informatii neclasificate – sensibile pentru
organizatie;
 Tipuri de informatii
Informatii clasificate
 Sensurile notiunii de informatii clasificate:
– Sensul general – informatii care pot fi incadrate in niste clase
de informatii definite de o autoritate (ex.: informatii
neclasificate, informatii publice, brevete etc.)
– In sensul asigurarii confidentialitatii conf. legislatiei in
vigoare (legea 183/2002 si HG 585/2002: SSID, SS, S, SdS)
– Insensul asiguratii integritatii (informatii certificate,
informatii necertificate)
Ex. – Clasa informatiilor secrete de serviciu – clasificarea
locala;
 Criterii de clasificare:
– Dupa afectarea confidentialitatii – (in sensul legii)
 Stict secret de importanta deosebita;
 Strict secret;
 Secret;
 Secret de serviciu;
 Clasificarea informatiilor
(sens general)
– Dupa tipul de functie de securitate si nivelul de prejudiciu;
 Disponibilitate, integritate, autenticitate, nerepudiere;
 Confidentialitate;
 Utila in analiza de riscuri
– Dupa nivelul prejudiciului produs prin afectarea functiilor de
securitate;
 Estimarea prejudiciului determina nivelul de clasificare al informatiei
si deci nivelul necesar de protectie (costurile de protectie);
 Nivelul prejudiciului se apreciaza prin prejudiciul maxim ce se poate
produce afectand in orice fel functiile de securitate;
 Aceasta abordare are avantajul utilizarii unei singure scari de valori
pentru fiecare informatie si a determina nivelul de securitate ce se
impune;
 Abordarea este utila in sistemele integrate baze de date si servicii de
comunicatii;
 Informatii clasificate
Informatii clasificate NATO si UE

 Definire – informatiile care prin diseminare pot

produce prejudicii semnificative organizatiei;
 Clasele de secret:
 Top Secret
 Secret;
 Confidential;
 Resticted;
 Informatii neclasificate;
 Unclasified – reguli de diseminare relaxate, nu
pot fi facute publice ;
 Public – informatii care pot iesi in afara NATO;
 Etichetare (clasificare, domeniu, need to know):
 Relatia de ordine (sisteme multinivel)
 Informatii clasificate
 Echivalarea nivelelor de clasificare NATO si UE cu cele
nationale;
Top Secret -------- SSID;
Secret -------- Strict Secret;
Confidential -------- Secret;
Restricted -------- Secret de Serviciu;
 Raportul dintre informatiile clasificate national si cele NATO /UE
– Exista o delimitare clara intre informatiile clasificate national, cele NATO
si UE. Echivalenta nivelelor de clasificare nu implica posibilitatea trecerii
unei informatii dintr-o parte in alta.
– Informatiile elaborate de structurile nationale despre NATO si UE sunt
considerate informatii nationale;
– Folosirea informatiilor clasificate NATO in realizarea unor documente
nationale trebuie facuta cu atentie, clasificata corespunzator si pot fi
utilizate numai cu avizul ORNISS (Ex: directivele de securitate).
– Echivalarea clasificarilor are rol numai pentru a stabili un nivel de
securitate asemanator prin sistemul de securitate
 Autoritati responsabile
 Oficiul Registrului National pentru
Informatii Secrete de Stat (ORNISS);
 Serviciul Roman de Informatii;
 Ministerul Comunicaţiilor si Tehnologiilor
Informatice -;
 Autorităţi departamentale – ADS – uri
(MApN, MAI, STS, SRI, SIE, SPP) cu
aribuţii în domeniul apărării şi ordinii
publice.
 Atributiile ORNISS
 Punct national de contact al NOS;
 Responsabil pentru implementarea politicii NATO in
Romania privind securitatea informatiilor;
 Elaboreaza politica NATO de protectie a informatiilor in
Romania;
 Realizeaz politica nationala pentru sistemele de
protectie a informatiilor in forma electronica;
 Coordonarea politicilor de protectie a informatiilor in
forma electonica la nivel national;
 Elibereaza avizele de securitate pentru lucrul cu
informatii clasificate pentru persoane si firme;
 Lucrul firmelor private cu
informatii clasificate
 Evaluarea sistemului de protectie fizica;
 Evaluarea sistemului de management al
documentelor clasificate;
 Evaluarea si avizul de securitate pentru persoane
fizice;
 Evaluarea si acreditarea sistemului de securitate al
informatiilor in format electronic – INFOSEC;
 Avizul de securitate industriala.
 Departamentul INFOSEC
 Autoritatea de Acreditari de Securitate (A.A.S.);
– Are ca sarcina auditul si acreditarea SIC-urilor NATO din
Romania si a SIC-urilor care lucreaza cu informatii
clasificate;
 Autoritatea de Securitate pentru Informatica si
Comunicatii (A.S.I.C.);
– Autoritate de reglementare a securitatii in sistemele
informatice si de comunicatii la nivel national;
 Autoritatea pentru Distributia Materialului
Criptografic (A.D.M.C.);
– Autoritatea care se ocupa cu managementul cheilor de
criptare in retelele NATO din Romania si cu distributia
echipamentelor de criptare;
 Fluxurile de informatii intr-o
firma/institutie
 Necesitatea evidentierii fluxurilor de informatii;
 Organizarea fluxurilor de informatii componenta principala a
managementului institutiei;
 Din punct de vedere al securitatii informatiei organizarea
fluxurilor trebuie sa sprijine obtinerea: disponibilitatii,
confidentialitatii, integritatii autenticitatii si nerepudierii
informatiilor;
 Practica fluxurilor de informatii:
– Documente pe hartie (scrisori, faxuri);
– Comunicatii de date (accese la baze de date interne si externe, e-mail);
– Comunicatii telefonice;
 Factorii de influenta ai fluxurilor de informatii:
– Structura institutiei (organigrama);
– Nivelele si centrele de decizie;
– Nivele si centrele de executie;
– Cultura institutiei;
 Fluxurile de informatii intr-o
firma/institutie
 Punctele de intrare;
 Punctele de iesire;
 Etichetarea informatiilor – formatul
documentelor;
 Traseabilitatea informatiilor inregistrarea
documentelor;
 Instrumente de management al informatiilor;
– Registre de predare primire;
– Programe pentru managementul informatiilor;
 Fisierele de audit (log).
 Infrastructurile critice
 Interdependentele activitatile sociale –
caracteristici al activitatilor moderne;
 Activitati vitale pentru viata si sanatatea
oamenilor;
 Efectele de avalansa ale afectarii unor activitati;
 Necesitatea reglementarii de catre stat a
acestor activitati – practica reglementarilor
(SUA, UE);
 Infrastructuri critice tipice
 Retelele de comunicatii, de baze de date si
prelucrare;
 Retelele de producere si distributie a energiei
electrice;
 Reteaua de transporturi (aerian, naval, terestru –
drumuri, poduri, parc auto);
 Retelele financiare;
 Distributia de gaze, combustibil;
 Retelele sanitare;
 Retelele de interventie in caz de urgenta (pompieri,
politie, smurd, energie, comunicatii etc.)
 Retelele guvernamentale ( de decizie).
 COMPONENTELE SISTEMULUI NAŢIONAL DE
MANAGEMENT AL SITUAŢIILOR DE URGENŢĂ

COMITETUL NAŢIONAL PENTRU

SITUAŢII DE URGENŢĂ
Ministerul Internelor şi Secretariat
Permanent
Reformei Administrative

COMITETE MINISTERIALE COMITETE JUDEŢENE

Centre Centre
PENTRU Operative Operaţionale PENTRU
SITUAŢII DE URGENŢĂ SITUAŢII DE URGENŢĂ (42)

Cu activitate Cu activitate
permanentă temporară

Organizaţii Secretariat
INSPECTORATUL GENERAL COMITETE LOCALE
internaţionale Permanent
PENTRU SITUAŢII DE URGENŢĂ PENTRU SITUAŢII DE URGENŢĂ
(NATO-EADRCC, Secretariat
UN-OCHA, Permanent
EU-MIC,
Secretariat SERVICII VOLUNTARE PENTRU
CMEPC-SEE etc.)
Permanent SITUAŢII DE URGENŢĂ

CENTRULOPERAŢIONAL INSPECŢIA DE SERVICII DE URGENŢĂ

ALTE STRUCTURI
NAŢIONAL PREVENIRE PROFESIONISTE

PUNCT NAŢIONAL DE CONTACT

 Rezumat
 Caracteristicile speciale ale IFE:
– Independenta de suport – caracterul nematerial;
– Inexistenta informatiei fara suport material sau energetic;
– Virtualitatea prelucrarilor in sistemele de calcul si comunicatii;
 Atributele de securitate ale informatiei;
 Clasificarea informatiilor;
 Caracteristicile mediului de evolutie al IFE (CYBERSPATIUL):
– Evolutia tehnologica – dezvoltare exploziva – creste diversitatea si
complexitatea SIC – urilor – tehnologia avansata avantajeaza atacatorii;
– Socializarea retelelor – magistrala informationala globala – scaderea
preturilor serviciilor si integrarea lor;
– Caracterul pronuntat transfrontalier – problemele juridice;
– Cresterea sferei de cuprindere, a profunzimii si a complexitatii intereselor
economice datorita fenomenului de globalizare;
 Concluzii privind securitatea
 Cerinte pentru sistemul de securitate al IFE:
– Trebuie sa inregistreze “urme” credibile ale tuturor
activitatilor relevante pentru documentarea folosirii abuzive a
informatiilor si a sistemelor;
– Trebuie sa autentifice (legalizeze) o serie de “urme” care sa
devina probe pentru justitie, pentru a putea recupera
prejudiciile;
– Sa “completeze” sistemul juridic fara sa se substituie
acestuia;
– Sa se adapteze rapid mediului de lucru (conflictelor de
interese) si evolutiei tehnologice;
– Educatia mediului de lucru si cooperarea cu autoritatile ;