Modele de asigurare a securității

fizice informației în cadrul unei

companii.

Au efectuat:
Masteranzi gr. TIA-191
Eni-Carp Maxim
Bunescu Ivan
Stoleru Dragoș
Introducere

Securitatea fizică a resurselor informaționale vizează, în primul rând, prevenirea accesului

neautorizat, deteriorarea și impactul în raport cu spațiile și informațiile organizației, precum și
asigurarea securității mijloacelor de procesare a informațiilor de serviciu critice, prin utilizarea
diferitelor instrumente de control al penetrării, precum și a barierelor de protecție.

Pentru a construi în mod competent securitatea fizică a resurselor informaționale în mod

corespunzător, trebuie să înțelegeți principalele amenințări la adresa securității, precum și
metodele de soluționare a acestora.
Putem evidenția următoarele amenințări de
securitate:
● Activități ilegale ale concurenților, grupurilor infracționale, precum și ale terților sau ale
angajaților companiei în legătură cu proprietatea și angajații companiei, care pot duce la
pierderi materiale și financiare ale companiei sau la deteriorarea sănătății personalului
companiei;
● Acțiuni intenționate ale angajaților companiei care au acces la resurse financiare,
materiale și informaționale;
● Încălcări neintenționate ale cerințelor stabilite pentru contabilitate, depozitare, circulație
și vânzare de articole de inventar, resurse financiare, documente și informații oficiale,
care duc la pierderea resurselor și furt;
 ● Acțiuni deliberate care duc la defecțiuni:
○ Sisteme tehnice (surse de alimentare, ventilație, încălzire, sisteme de răcire etc.)
care pot duce la defecțiuni și pierderi de producție;
○ Echipamente de securitate (supraveghere video, alarme de securitate și incendiu,
comunicații) care vor permite unui atacator să pătrundă pe teritoriul companiei și
poate duce la furt de resurse materiale, financiare și informaționale;
● Urgențe: incendii, accidente, distrugeri, dezastre provocate de om și dezastre naturale.

Departamentele IT nu sunt singurele care rezolvă problemele de asistență tehnică

pentru securitatea informațiilor unei întreprinderi. Conducerea și alte servicii ale companiei
sunt interesate de utilizarea în siguranță a resurselor informaționale.
Obiecte de protecție

În mod tradițional, obiectele de protecție sunt:

● noduri ale Sistemului Informațional (servere, stații de lucru);
● hardware, routere;
● canale de comunicare, protocoale de acces la distanță;
● software, indiferent dacă sunt dezvoltate independent sau de către dezvoltatori terți;
● baze de date, proprii și localizate în cloud;
● și chiar metode de protecție a datelor tot au nevoie de protecție.

Obiectele sunt adesea împrăștiate în spațiu; în instalațiile industriale, multe dintre ele pot fi
amplasate în locuri greu accesibile. Fiecare articol care trebuie protejat trebuie descris într-un
concept de securitate, ținând cont de valoarea sa relativă și de înlocuire.
 Clasificarea utilizatorilor
Adesea, alegerea suportului tehnic pentru securitatea informațiilor unei întreprinderi
depinde de tipurile de utilizatori și de numărul de grupuri de utilizatori din întreprindere. În
sens general, un utilizator este un angajat care este identificat în sistem sub propriul nume de
utilizator și parolă și care are acces la date în conformitate cu sarcinile sale oficiale.
Într-o companie obișnuită, este suficient să selectați persoane cu drepturi de utilizator și
drepturi de administrator. Într-o întreprindere producătoare, se disting următoarele grupuri
de utilizatori:
● conducere;
● ingineri și dezvoltatori;
● reglaje pentru echipamente;
● personal care deservește echipamente,
inclusiv obiecte în mișcare;
● angajați de birou;
● angajații unor companii de externalizare.
 Pentru toate este necesar să se stabilească regulile de admitere, precum și procedura de
modificare a acestora. Drepturile sunt acordate pe baza minimului necesar pentru
soluționarea sarcinilor oficiale.
Resurse informaționale ale întreprinderii
Următoarele grupuri de resurse informaționale se disting adesea:
● datele personale ale angajaților și clienților, al căror mod de protecție este determinat
de legislația;
● date legate de secretele de stat;
● informații despre servicii;
● secretul comercial al întreprinderii, pentru protecția acestuia este necesar să se
introducă un regim de protecție a secretului comercial;
● corespondența internă a angajaților, scrisori în e-mail;
● proiectare și documentație tehnologică, planuri pe termen lung de dezvoltare,
modernizare a producției, vânzări de produse și alte informații care constituie informații
științifice, tehnice și tehnologice protejate de brevete sau legate de date confidențiale.
 Obiectele protejate pot fi structurate și
stocate în baze de date gestionate de un DBMS
sau pot fi dispersate pe computerele
angajaților. Un audit al resurselor
informaționale vă va ajuta să vă faceți o idee
despre obiectul protecției și să dezvoltați un
mecanism optim de protecție. Cantități mari
de date disponibile publicului nu necesită
protecție suplimentară și diversificarea
resurselor pentru aceste sarcini.

Atunci când construiți un model de securitate a informațiilor, este necesar să acordați atenție
structurii fluxurilor de informații care circulă în cadrul întreprinderii și care provin din surse externe.
Fiecare a noua scurgere de date confidențiale are
loc prin documente pe hârtie
Pe 22 aprilie 2019, Centrul Analitic InfoWatch a prezentat un rezumat al scurgerilor de
informații confidențiale pe hârtie. În organizațiile din întreaga lume, în 2018 ponderea
scurgerilor de informații prin fișiere pe hârtie a crescut de la 8,2% la 11%.
Procentul ridicat de scurgeri prin documentele pe hârtie pare neașteptat doar la prima
vedere. De fapt, acest fapt nu este surprinzător, întrucât o parte semnificativă a fluxului de
documente corporative din întreaga lume este încă realizată sub formă non-electronică.
Cea mai obișnuită schemă pentru compromiterea datelor cu caracter personal prin
hârtie este asociată cu încălcarea de către organizații a regulilor de eliminare și distrugere a
documentelor.
Cazuri reale:
● De exemplu, în or.Novosibirsk, cutiile companiei de administrare închise au fost plasate lângă
coșul de gunoi. Facturile cu numele și adresele chiriașilor au fost în access public.
● Un tehnician de rețea magazinelor, dorind să demonstreze clientului că imprimanta funcționează
după reparații, a pus accidental documente cu date confidențiale de câteva zeci de persoane
într-un teanc de tipăriri.
● Informațiile personale despre aproximativ 3.700 de
pacienți din statul american Michigan ar fi putut fi
compromise în timpul trimiterii incorecte. Biroul
local de dezvoltare medicală a constatat că, din
cauza erorilor în procesarea informațiilor originale,
unele plicuri au fost trimise la adrese greșite. În
plus față de numele și adresele de domiciliu ale
pacienților, în unele cazuri au fost difuzate numere
de telefon și adrese de e-mail.
 Insiderul rămâne cel mai frecvent
vinovat pentru încălcarea datelor în organizații.
Ponderea scurgerilor din vina unui insider în
2018 a crescut cu 3 % până la 63% din numărul
total de scurgeri pe an. Fiecare al doilea
incident a avut loc din vina unui specialist
obișnuit și aproximativ 10% din cazuri au fost
cauzate de utilizatori „privilegiați” (manageri și
administratori de sistem), contractori și foști
angajați ai companiilor.

29 din cele 47 de mega-scurgeri din

2018 au fost declanșate de acțiunile unui
insider. De-a lungul anului, numărul
„mega-scurgerilor” a crescut cu 20%.
 Au fost înregistrate și scurgeri mari de informații de la companii comerciale:
dezvoltatorul de software Veeam (440 milioane intrări), lanțul hotelier Marriott (383 milioane),
firma de marketing Exactis (340 milioane), compania de logistică SF Express (300 milioane),
startup de servicii Apollo (200 milioane), Compania IT VNG (aproximativ 163 milioane) și
aplicațiile Under Armour (150 milioane).

Cel mai popular canal de scurgere de

informații rămâne resursa de rețea (72%).
Comparativ cu 2017, ponderea incidentelor
legate de utilizarea e-mailului a scăzut cu
cinci puncte procentuale (pp), de
asemenea, cu 0,8 pp. ponderea scurgerilor
datorate furtului sau pierderii de
echipamente a scăzut cu 0,2 puncte
procentuale. - utilizarea dispozitivelor
mobile.
Mijloace de asigurare a securității fizice a
resurselor informaționale
● Sprijin de reglementare:
○ Este necesar să se dezvolte, să se documenteze și să se actualizeze periodic politici
pentru protecția fizică și protecția mediului sistemului informațional;
○ Este necesar să se dezvolte proceduri și măsuri legate de punerea în aplicare a
politicii de protecție fizică și de protecție a mijloacelor sistemului informațional.
● Personal și niveluri de acces:
○ Este necesar să se elaboreze liste ale personalului căruia i se va permite accesul în
conformitate cu politica de securitate, precum și un mecanism de identificare
(ecusoane, carduri de informații etc.);
○ Oficialii competenți ar trebui să revizuiască și să aprobe listele de acces și să
revizuiască listele în funcție de frecvența stabilită.
● Controlul accesului fizic:
○ Nivelul de securitate al spațiilor trebuie să fie proporțional cu riscurile posibile;
○ Este necesar să existe un sistem de control al accesului în toate punctele de acces
la resursele și activele informaționale;
○ Perimetrele de securitate clar definite ar trebui utilizate pentru a proteja încăperile
și zonele în care sunt amplasate instalațiile de procesare a informațiilor;
○ Perimetrele de securitate clar definite ar trebui utilizate pentru a proteja spațiile și
zonele instalațiilor de procesare a informațiilor;
○ Accesul la clădiri și clădiri trebuie acordat numai personalului autorizat;
○ Înainte de a oferi acces fizic la active, trebuie efectuată o procedură de autorizare a
accesului;
○ Este necesar să se analizeze și să se revizuiască în mod regulat drepturile de acces
ale angajaților la zonele de securitate;
○ Zonele de intrare perimetrală ar trebui să fie monitorizate continuu pentru acces,
pentru a se asigura că numai personalul autorizat are acces.
● Monitorizarea accesului fizic:
○ În procesul de monitorizare, ar trebui utilizate dispozitive de monitorizare și
semnalizare în timp real, precum și mijloace automate care să asigure
recunoașterea încălcărilor și să inițieze acțiuni de răspuns;
○ Controlul accesului fizic la sediu trebuie asigurat folosind cele mai stricte metode
de identificare / autentificare.
● Protecția echipamentului:
○ Echipamentele ar trebui amplasate și protejate pentru a reduce riscurile de mediu
și posibilitatea accesului neautorizat;
○ Echipamentul trebuie protejat împotriva întreruperilor de curent și a altor
defecțiuni electrice (surse de alimentare de rezervă, generatoare etc.);
○ Este necesar să se asigure protecția împotriva incendiilor, precum și protecția
împotriva altor dezastre de mediu și de factor uman;
○ Este necesar să se protejeze rețelele de cablu de telecomunicații de interceptarea
informațiilor sau daune;
○ Echipamentul trebuie să fie întreținut corespunzător pentru a asigura
funcționalitatea și integritatea sa continue.
● Controlul vizitatorilor:
○ Ar trebui alocată o zonă de
înregistrare a vizitatorilor;
○ Toți vizitatorii trebuie să fie
însoțiți către site-uri;
○ Jurnalele de acces ale
vizitatorilor trebuie păstrate;
○ Jurnalele de acces ale
vizitatorilor trebuie revizuite
periodic de către oficialii
competenți;
○ Ar trebui utilizate jurnalele de
acces automat ale vizitatorilor.
 O altă modalitate de a proteja informațiile de
scurgeri este de a motiva angajații.
Dacă controlul accesului și prevenirea furtului
sunt sarcini de lungă durată ale serviciilor de securitate,
atunci securitatea informațiilor este încă destul de
tânără. Prin urmare, problema motivației angajaților se
află în primul rând în legătură cu acest domeniu din
cadrul serviciului de securitate. Motivația angajaților va
crește atunci când directorul de securitate înțelege
importanța protejării informațiilor. La prima vedere,
acum nu există nicio companie care să nu vorbească
despre atenția asupra problemelor de securitate a
informațiilor, dar adesea interesul pentru acest
domeniu este pur formal și se limitează la angajarea
unui angajat care dezvoltă un pachet de documente
privind protecția datelor cu caracter personal. În același
timp, restul angajaților știu bine că nimeni nu
controlează acțiunile lor și le folosește în avantajul lor.
Chiar și în cadrul serviciului de securitate, profesioniștii
în securitatea informațiilor nu sunt adesea luați în serios.
Securitatea informațiilor ar trebui să devină un
obicei și un stil de lucru al angajaților. El nu ar trebui să SAU
acorde atenție eforturilor speciale pentru menținerea
nivelului de securitate a informațiilor. Așa cum se
dezvoltă din copilărie obiceiul de a se spăla pe mâini
înainte de a mânca, trebuie să se dezvolte treptat
obiceiul de a respecta măsurile de securitate a
informațiilor atunci când lucrează pe un computer și cu
documente confidențiale pe hârtie. Nu ar trebui să
existe drepturi suplimentare.
Concluzii
Securitatea fizică a resurselor informaționale este un set de informații și măsuri tehnice,
a căror respectare va proteja în mod eficient afacerea de eventualele atacuri ale organizațiilor
concurente, atacuri interne, precum și posibilele dezastre naturale.
Amenințările organizaționale sunt ușor de realizat și, de regulă, implementarea lor
afectează sistemul informațional nu mai puțin critic decât implementarea amenințărilor
tehnologice. Sursele amenințărilor organizaționale sunt angajații companiei, prin urmare,
măsurile de protecție împotriva amenințărilor organizaționale ar trebui să aibă ca scop
educarea angajaților companiei cu privire la problemele de securitate a informațiilor,
determinarea responsabilității acestora pentru nerespectarea cerințelor documentelor de
reglementare privind securitatea informațiilor și limitarea acțiunilor nedorite ale angajaților
companiei care utilizează software de securitate a informațiilor și impact psihologic pozitiv. O
atenție deosebită ar trebui acordată asigurării îmbunătățirii regulate și continue a metodelor
organizaționale pentru protejarea informațiilor, deoarece, așa cum a spus Bruce Schneier,
„securitatea este un proces, nu un rezultat”.
Mulțumim pentru atenție!