Curs 10

Protejarea si promovarea intereselor firmei prin intelligence
CURSUL 10 - 2H
POLITICILE DE SECURITATE ALE

FIRMEI
1
Cuprins:
1. Conţinutul politicilor de securitate;

2. Elaborarea politicilor de securitate ale firmei;
3. Standarde, norme şi proceduri de securitate;
4. Accesarea şi aplicarea politicilor de securitate
în cadrul firmei;
5. Politica de asigurare a securităţii valorilor
informaţionale ale firmei.
2
1. Conţinutul politicilor de securitate
Elementele comune tuturor politicilor de securitate sunt

următoarele:
- declararea politicii top-managerilor – este un paragraf
care se include la începutul documentului şi în care se prezintă
scopul global al politicii;
- domeniul de aplicare – reprezintă o formulare scurtă,
plasată tot la începutul documentului (după declararea politicii
top-managerilor), prin care se prezintă intenţia vizată de
politica de securitate şi sfera de aplicare a acesteia la nivelul
firmei;
- responsabilităţile – sunt cuprinse într-o secţiune distinctă,
în care sunt consemnate persoanele implicate în implementarea
şi asigurarea bunei funcţionări a politicii de securitate;
3
Alte elemente comune tuturor politicilor de securitate

sunt următoarele:
- consecinţele – reprezintă formularea urmărilor posibile
(pierderi suferite de firmă, sancţiuni acordate vinovaţilor, măsuri
de recuperare a contravalorii prejudiciilor create etc.) în situaţia
nerespectării politicii de securitate;
- monitorizarea - specifică modul în care se urmăreşte
respectarea politicii de securitate şi se realizează actualizarea
continuă a acesteia în funcţie de evoluţia factorilor de influenţă
interni şi externi firmei;
- excepţiile – la această secţiune se precizează situaţiile în care
pot apărea excepţii de la aplicarea politicii de securitate şi modul
cum vor fi abordate acestea.
4
Experienţa acumulată la nivelul firmelor occidentale

a demonstrat că, în lipsa susţinerii la nivel înalt, o politică de
securitate va fi eficientă numai la nivelul persoanelor care o
elaborează şi în măsura în care acestea o pot impune singure,
angajaţii nefiind stimulaţi să respecte regulamentele care
asigură fundamentul teoretic al acesteia.
De asemenea, dacă ne referim doar la informaţiile
firmei, pentru a-şi proteja interesele de afaceri, o companie
poate impune respectarea propriei politici de securitate a
informaţiilor şi de către partenerii de afaceri care au acces la
informaţiile sale confidenţiale.
5
a) Etape de elaborare a politicilor de securitate:

1. Definirea obiectivului politicilor de securitate
De obicei, aceasta trebuie să fie o scurtă prezentare scrisă,
realizată de managerul general al firmei, în care respectivul
declară existenţa oficială a politicilor de securitate a firmei şi
prezintă faptul că respectarea lor nu este facultativă.
Declaraţia precizează, de regulă, cine este responsabil cu
securitatea în firmă, adică cine stabileşte şi aplică politicile.
Urmările încălcării politicilor de securitate (care sunt, în
general, mustrări sau demiteri) sunt, de regulă, prevăzute în
acest document.
6
2. Stabilirea principiilor directoare ale realizării

securităţii
Principiile directoare ale realizării securităţii constituie în

fapt declaraţii la nivel înalt în cadrul cărora sunt definite
principalele obiective privind protecţia valorilor informaţionale
ale firmei şi a infrastructurii companiei.
7
Prezentăm câteva exemple de astfel de principii:

- toate documentele firmei vor fi clasificate conform gradului
lor importanţă şi/sau sensibilitate şi vor fi tratate în consecinţă;
- toţi angajaţii din firmă vor utiliza şi prelucra informaţiile în
condiţiile respectării legislaţiei;
- toate mecanismele de control al accesului vor interzice
explicit accesul la informaţii a tuturor persoanelor, cu excepţia
celor cărora li se acordă acest drept într-un mod anume specificat.
Menţionăm că datele de mai sus reprezintă doar o serie
de exemple sintetice de principii esenţiale pe care orice firmă le-ar
putea folosi pentru definirea structurii unui set mai extins de
politici şi cerinţe de securitate.
8
3. Stabilirea conţinutului politicilor de

securitate ale firmei
Aceste instrucţiuni definesc, mai detaliat decât principiile
directoare (dar fără a intra în detalii tehnice), intenţiile firmei
legate de protejarea valorilor sale informaţionale şi a
infrastructurii. Păstrând un anumit nivel de generalitate, ele au
rolul de a arăta „cum se aplică securitatea" în firmă.
9
4. Definirea cerinţelor de securitate.

Cerinţele definesc modul de aplicare a politicilor de
securitate, mai precis instrumentele şi protocoalele care vor fi
utilizate. Acestea oferă indicaţii precise, specificând modul de
implementare a politicilor de securitate.
Cerinţele de securitate pot depinde în mare măsură de anumiţi
factori (legislaţie, posibilităţi sau limitări în utilizarea
tehnologiei). De aceea, este nevoie ca politicile de securitate şi
cerinţele de securitate să fie corelate între ele, pentru a fi în
concordanţă cu diverşii factori care influenţează crearea şi
funcţionarea sistemului de securitate al firmei.
10
5. Stabilirea procedurilor de securitate.
Procedurile de securitate sunt instrucţiuni amănunţite care

arată executanţilor, pas cu pas, cum trebuie să acţioneze pentru
a implementa (executa) cerinţele de securitate.
11
b) Aspecte practice privind elaborarea unor

politici de securitate a firmei
Pentru realizarea politicilor de securitate la nivelul unei

firme, se poate porni, de exemplu, de la vizitarea, contra cost, a
site-ului: www.information-security-policies-and-
standards.com, de pe care pot fi procurate politici pre-definite,
ce pot fi adaptate apoi cerinţelor firmei.
Tot pe acest site poate fi găsită şi structura standardului
internaţional de definire a politicii de securitate ISO 17799
(bazat pe standardul britanic BS7799).
12
Acest standard internaţional acoperă domenii/teme

diferite, după cum urmează[1]:
1. Planificarea funcţionării neîntrerupte a unităţii, cu

obiectivul contracarării întreruperilor de activitate ale unităţii şi ale proceselor
principale, ca efect al unor accidente majore sau dezastre.
2. Controlul accesului în sistem, cu obiectivele:
2.1. controlarea accesului la informaţii;
2.2. prevenirea accesului neautorizat în sistemul
informaţional;
2.3. asigurarea protecţiei serviciilor prestate în reţea;
2.4. prevenirea accesului neautorizat la calculatoare;
2.5. detectarea activităţilor neautorizate;
2.6. asigurarea securităţii informaţiilor când se folosesc
comunicaţiile mobile şi tele-activităţile.
[1] www.information-security-policies-and-standards.com
13
3. Dezvoltarea şi întreţinerea sistemului, cu obiectivele:

3.1. asigurarea securităţii prin sistemul operaţional;
3.2. prevenirea pierderilor, a modificărilor sau a folosirii
inadecvate a datelor din aplicaţiile sistemului;
3.3. protejarea confidenţialităţii, integrităţii şi autenticităţii
informaţiilor;
3.4. asigurarea că proiectele informatice şi activităţile
colaterale se derulează după proceduri sigure;
3.5. menţinerea securităţii softului şi a datelor din aplicaţiile
sistemului.
14
4. Securitatea fizică şi a mediului, cu

obiectivele:
4.1. prevenirea accesului neautorizat, a distrugerilor şi
interferenţelor cu informaţiile şi celelalte componente ale
sistemului;
4.2. prevenirea pierderilor, a distrugerilor sau a
compromiterii valorilor patrimoniale, precum şi stoparea
întreruperilor de activitate;
4.3. prevenirea compromiterii sau furtului de
informaţii şi al altor resurse informaţionale.
15
5. Maleabilitatea, cu obiectivele:
5.1. preîntâmpinarea încălcării cadrului juridic, a

celui statutar, regulamentar sau a oricărei obligaţii contractuale,
precum şi a cerinţelor pe linia securităţii;
5.2. asigurarea maleabilităţii sistemului la politicile şi
standardele organizaţionale pe linia securităţii;
5.3. maximizarea eficienţei procesului de auditare a
sistemului şi minimizarea interferenţelor cu acesta.
16
 6. Securitatea personalului, cu obiectivele:

6.1. diminuarea riscurilor provocate de factorul uman,
de fraude sau de folosirea ilegală a componentelor sistemului;
6.2. asigurarea că utilizatorii sunt conştienţi şi
preocupaţi de preîntâmpinarea sau diminuarea ameninţărilor
asupra securităţii informaţiilor, susţinând politica de securitate a
organizaţiei prin tot ceea ce fac zi de zi;
6.3. minimizarea pagubelor provocate de incidentele
apărute în sistem sau de proasta funcţionare a acestuia, precum
şi reţinerea incidentelor ca lecţii pentru viitor.
17
7. Organizarea securităţii, cu obiectivele:
7.1. asigurarea managementului securităţii

informaţionale în cadrul organizaţiei;
7.2. asigurarea securităţii componentelor folosite în
prelucrarea informaţiilor organizaţiei accesate de către terţi;
7.3. asigurarea securităţii informaţiilor când
responsabilitatea prelucrării acestora revine unei alte
organizaţii, ca serviciu externalizat.
18
8. Managementul, resurselor informatice şi al

exploatării lor, cu obiectivele:
8.1 asigurarea funcţionării corecte şi sigure a componentelor sistemului

informatic;
8.2. minimizarea riscului căderii sistemului;
8.3. protejarea integrităţii softului şi a informaţiilor;
8.4. asigurarea integrităţii şi a disponibilităţii informaţiilor prelucrate şi
comunicate;
8.5. asigurarea încrederii în informaţiile din reţele şi protejarea
infrastructurii corespunzătoare;
8.6. prevenirea pierderilor de valori patrimoniale şi a întreruperilor de
activitate;
8.7. prevenirea pierderilor, modificărilor sau utilizărilor ilegale în
schimburile de informaţii cu alte organizaţii.
19
9. Clasificarea şi controlarea valorilor

patrimoniale, cu obiectivele:
9.1. menţinerea unei protecţii corespunzătoare a valorilor

patrimoniale ale organizaţiei;
9.2. oferirea încrederii că valorile patrimoniale
informaţionale au asigurat un nivel de protecţie corespunzător.
20
10. Politica de securitate, cu obiectivele:
10.1. oferirea de direcţii manageriale;

10.2. sprijinirea acţiunilor întreprinse pe planul securităţii
informaţionale.
Mai trebuie precizat că structura fiecăreia dintre cele zece

secţiuni prezentate mai sus, cuprinde descrieri detaliate, care,
împreună, definesc conţinutul standardului ISO 17799.
21
Elementele de bază pentru implementarea politicilor

de securitate sunt[1]: standardele, normele şi procedurile.
Acestea conţin detaliile politicilor şi trebuie făcute
publice la nivelul firmei prin cursuri specializate, ghiduri de
aplicare etc., sau prin intermediul portalului de intelligence.
[1] Oprea, D. - Protecţia şi securitatea informaţiilor, Editura Polirom, Iaşi, 2003.
22
Standardele sunt cele care specifică utilizarea

anumitor tehnologii de implementare a politicilor de securitate
la nivelul firmei, într-o viziune uniformă.
De regulă, standardele sunt obligatorii şi au rolul de
a asigurare a uniformităţii în desfăşurarea activităţilor legate
de securitatea firmei.
23
Normele sunt oarecum asemănătoare standardelor,

întrucât se referă la metodologiile care se aplică pentru a
asigura securizarea valorilor firmei, numai că ele sunt acţiuni
recomandate, nu obligatorii.
Ele garantează respectarea principiilor generale ale
securităţii firmei, specifică modalităţile de aplicare a
standardelor de securitate, dar sunt mult mai flexibile decât
acestea, întrucât iau în considerare situaţiile concrete de la
nivelul firmei.
24
Procedurile prezintă paşii detaliaţi care trebuie

efectuaţi pentru realizarea unei activităţi. Prin ele se descriu
acţiunile concrete pe care trebuie să le deruleze personalul
firmei, oferindu-se detalii amănunţite despre modul de
implementare a politicilor, standardelor şi normelor.
25
Politicile de securitate trebuie să poată fi accesate la

nivelul firmei, conform competenţelor.
Astfel, departamentul de intelligence trebuie să stabilească
modul în care pune conţinutul politicilor de securitate la dispoziţia
tuturor beneficiarilor din firmă.
Firma nu îşi poate securiza valorile informaţionale decât
dacă angajaţii săi sunt conştienţi despre existenţa şi conţinutul
politicilor de securitate.
Pentru aceasta, toţi, indiferent de poziţia ocupată în cadrul
firmei, trebuie să deţină următoarele informaţii fundamentale: unde
pot găsi politicile de securitate, cum trebuie să le folosească şi cum
trebuie să acţioneze în cazul în care consideră că acestea au fost
încălcate.
26
Este important ca întreaga colecţie de politici de

securitate şi cerinţe să fie redusă la un set de principii
universale, care să poată fi înţelese şi reţinute uşor de către toţi
angajaţii din firmă.
Pentru toţi angajaţii, accesul la politicile de securitate
ale firmei trebuie să fie simplu de realizat, dar nu la toate
subiectele şi secţiunile, ci în funcţie de necesităţi şi competenţe.
27
Angajaţii trebuie să cunoască cel puţin următoarele

aspecte:
- Care sunt principiile de securitate esenţiale care trebuiesc
cunoascute de toată lumea?
- Au fost puse în practică măsurile necesare pentru
protejarea valorilor informaţionale ale firmei?
- Cunosc persoana la care trebuie să apeleze dacă
suspectează că a avut loc o încălcare a politicii de securitate?
- Ştiu că pot obţine mai multe informaţii despre
politicile/cerinţele de securitate utilizând portalul de
intelligence sau apelând la un specialist al departamentului de
intelligence?
28
Deoarece responsabilii cu securitatea firmei doresc

ca toţi angajaţii să cunoască cât mai multe despre cum să
protejeze valorile acesteia, ei trebuie să acţioneze pentru
integrarea problematicilor de securitate în cultura firmei.
Este important ca, în cadrul firmei, fiecare angajat
nu numai să citească politicile de securitate ale companiei, ci
să le şi înţeleagă.
29
Pentru aceasta, departamentul de intelligence şi/sau

departamentul juridic pot crea un document al cărui esenţă să fie „Am
studiat şi priceput cerinţele politicii de securitate a firmei”, pe care
fiecare angajat trebuie să-l citească şi să-l semneze.
Astfel, firma va avea o dovadă scrisă care îi va permite să
întocmească o evidenţă a celor care au studiat, conform nivelului de
acces, politica de securitate a firmei şi, de asemenea, va deţine o probă
a asumării juridice a respectării cerinţelor acesteia.
Atunci când consideră necesar, firma poate stabili ca
proprii angajaţi să fie testaţi, pentru a avea certitudinea că aceştia,
dincolo de semnarea unui document, cunosc şi înţeleg conţinutul
politicilor de securitate.
30
Politicile şi cerinţele de securitate sunt eficiente numai

dacă sunt aplicate.
În lipsa responsabilităţii şi aplicării, politicile de
securitate şi departamentul responsabil cu aplicarea acestora ar putea
chiar să nu existe.
Este evident că un departament de intelligence care nu
reuşeşte să aplice politicile de securitate ale firmei va fi considerat
ineficient.
Principalele pârghii pe care DepINT le poate folosi
pentru a impune respectarea politicilor de securitate, după
constatarea unor încălcări ale reglementărilor specifice, sunt
înaintarea de propuneri către managerul general al firmei pentru
sancţionarea sau demiterea angajaţilor care încalcă politicile de
securitate.
31
Aceste măsuri extreme, pe care departamentul de

intelligence le are la dispoziţie pentru a impune respectarea
politicilor de securitate, trebuie folosite numai în situaţii
deosebite, ţinându-se cont că pedeapsa trebuie să fie pe
măsura greşelii (sau a riscului unei greşeli).
32
DepINT trebuie să se afle într-un dialog şi comunicare

continuă cu celelalte departamente ale firmei, în vederea influenţării
acţiunilor acestora în sensul respectării politicilor de securitate.
Astfel, se impune stabilirea din timp a unor relaţii
puternice, astfel încât, atunci când departamentul de intelligence va
solicita unui alt departament să-i acorde sprijinul pentru a asigura
respectarea politicilor de securitate, cooperarea să nu fie considerată
un eveniment generator de tensiuni, ci să se deruleze ca o activitate
obişnuită.
Măsurile de securitate derulate într-un astfel de context,
trebuie să poată fi realizate eficient, fără disfuncţionalităţi, chiar şi
atunci când apar controverse.
33
Unele dintre incidentele de securitate pot fi puţin

importante şi, în cazul acestora, se poate face un compromis,
persoanele implicate fiind lăsate să-şi continue activitatea. În
acest caz însă, situaţia trebuie consemnată, iar responsabilii cu
securitatea trebuie să se asigure totuşi (să aibă certitudinea) că
angajaţii în cauză vor respecta ulterior reglementările.
Fiind răspunzător de securizarea întregii firme,
departamentul de intelligence trebuie să admită că în
activitatea firmei apar permanent noi riscuri şi vulnerabilităţi a
căror eliminare/diminuare necesită o adecvare permanentă a
politicilor de securitate, sau chiar situaţii de exceptare faţă de
cerinţele acestora.
34
Într-o economie de piaţă modernă, este necesar ca o

firmă să aibă încredere într-o firmă parteneră, din punct de
vedere al modului în care aceasta îşi obţine, protejează şi
transmite informaţiile care prezintă interes pentru afacerile
realizate în comun.
Acest lucru este posibil numai dacă cele două
companii dispun de un management al securităţii informaţiei
de niveluri sensibil egale.
35
Unul dintre cele mai importante avantaje create de o

politică adecvată a securităţii informaţiilor firmei, este cel al asigurării
unui nivel controlat şi optimizat al protejării informaţiilor, din
următoarele puncte de vedere:
- managementul clar al proprietăţii bunurilor
informaţionale;
- managementul continuu al riscurilor;
- proceduri şi sisteme eficiente de monitorizare, prevenire,
răspuns şi raportare în caz de incidente;
- reducerea pierderilor comerciale şi de imagine;
- investiţiile în securitate (care pot fi astfel prioritizate şi
justificate);
- asigurarea unui avantaj competitiv faţă de concurenţă.
36
La nivelul unei firme, fundamentul protejării valorilor

informaţionale îl constituie politicile, standardele, normele şi
procedurile de securitate.
O politică de securitate a valorilor informaţionale ale
unei firme trebuie să includă:
- responsabilităţile angajaţilor firmei;
- descrierea valorilor informaţionale ce trebuie protejate, inclusiv
un model de clasificare care specifică nivelurile de
protecţie/confidenţialitate necesare;
- descrierea modului de autorizare a utilizatorilor şi a modalităţilor
în care aceştia au acces la informaţii ;
- descrierea funcţiilor de control al accesului, realizat pentru
protejarea valorilor informaţionale;
37
- măsurile necesare pentru a garanta disponibilitatea informaţiilor;

- măsurile necesare pentru a asigura confidenţialitatea
informaţiilor;
- măsurile necesare pentru a garanta integritatea informaţiilor;
- prezentarea modului de realizare a evaluărilor de securitate şi a
modului de prezentare a acestora personalului autorizat;
- modalităţile de reacţie în cazul unor incidente şi de gestionare a
acestora;
- măsurile de protecţie fizică ce trebuie luate pentru securizarea
valorilor informaţionale, inclusiv prin prisma accesului personal la
acestea.
38
VĂ MULȚUMESC PENTRU ATENȚIE !
39

Curs 10

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Curs 10

Încărcat de

Drepturi de autor:

Formate disponibile

Protejarea si promovarea intereselor firmei prin intelligence

POLITICILE DE SECURITATE ALE

1. Conţinutul politicilor de securitate;

1. Conţinutul politicilor de securitate

Elementele comune tuturor politicilor de securitate sunt

Alte elemente comune tuturor politicilor de securitate

Experienţa acumulată la nivelul firmelor occidentale

a) Etape de elaborare a politicilor de securitate:

2. Stabilirea principiilor directoare ale realizării

Principiile directoare ale realizării securităţii constituie în

Prezentăm câteva exemple de astfel de principii:

3. Stabilirea conţinutului politicilor de

4. Definirea cerinţelor de securitate.

5. Stabilirea procedurilor de securitate.

Procedurile de securitate sunt instrucţiuni amănunţite care

b) Aspecte practice privind elaborarea unor

Pentru realizarea politicilor de securitate la nivelul unei

Acest standard internaţional acoperă domenii/teme

1. Planificarea funcţionării neîntrerupte a unităţii, cu

3. Dezvoltarea şi întreţinerea sistemului, cu obiectivele:

4. Securitatea fizică şi a mediului, cu

5.1. preîntâmpinarea încălcării cadrului juridic, a

 6. Securitatea personalului, cu obiectivele:

7. Organizarea securităţii, cu obiectivele:

7.1. asigurarea managementului securităţii

8. Managementul, resurselor informatice şi al

8.1 asigurarea funcţionării corecte şi sigure a componentelor sistemului

9. Clasificarea şi controlarea valorilor

9.1. menţinerea unei protecţii corespunzătoare a valorilor

10. Politica de securitate, cu obiectivele:

10.1. oferirea de direcţii manageriale;

Mai trebuie precizat că structura fiecăreia dintre cele zece

Elementele de bază pentru implementarea politicilor

[1] Oprea, D. - Protecţia şi securitatea informaţiilor, Editura Polirom, Iaşi, 2003.

Standardele sunt cele care specifică utilizarea

Normele sunt oarecum asemănătoare standardelor,

Procedurile prezintă paşii detaliaţi care trebuie

Politicile de securitate trebuie să poată fi accesate la

Este important ca întreaga colecţie de politici de

Angajaţii trebuie să cunoască cel puţin următoarele

Deoarece responsabilii cu securitatea firmei doresc

Pentru aceasta, departamentul de intelligence şi/sau

Politicile şi cerinţele de securitate sunt eficiente numai

Aceste măsuri extreme, pe care departamentul de

DepINT trebuie să se afle într-un dialog şi comunicare

Unele dintre incidentele de securitate pot fi puţin

Într-o economie de piaţă modernă, este necesar ca o

Unul dintre cele mai importante avantaje create de o

La nivelul unei firme, fundamentul protejării valorilor

- măsurile necesare pentru a garanta disponibilitatea informaţiilor;

S-ar putea să vă placă și