Sunteți pe pagina 1din 32

Masterat E- Business

Securitatea sistemelor de
E-Business
- Curs 10 -

Lector. Dr. Ana-Maria Ghiran


anamaria.ghiran@econ.ubbcluj.ro
Controlul si Auditul IT

 Controale IT
 Standarde in auditul IT
 Familia de standarde ISO 27000
 CobIT
 Standardele germane BSI
 Continuitatea afacerii și recuperarea în caz de dezastre
(Business Continuity and Disaster Recovery)

01/29/2021
Controale IT

 Controalele IT includ acele procese care asigură 


informaţia şi sistemele informaţionale şi care ajută  la
reducerea riscurilor asociate cu folosirea tehnologiei în
cadrul organizaţiei .
 Aici pot fi incluse de la politicile organizaţiei la
implementările fizice, de la protecţia fizică  a accesului, la
abilitatea de a depista acţiunile şi tranzacţiile în sistemul
informatic de care se face responsabil fiecare individ, de la
editările automate la analiza unor seturi mari de date
Controale IT

 Controalele pot clasificate în funcţie de mai multe criterii,


toate însă fiind dimensiuni diferite ale aceleiaşi realităţi.
Controale IT

 Controale ale Guvernanţei – stabilite de membrii


conducerii executive şi sunt legate de principiile
Guvernanţei Corporative, şi anume de strategiile şi
obiectivele organizaţiei
 Controale ale Managementului – stabilite de către
managerii companiei şi privesc în general aplicarea
controalelor guvernanţei; aceste controale sunt dezvoltate
ca urmare a procesului de management al riscului
 Controale Tehnice – sunt controalele de bază, specifice cu
tehnologiile folosite în cadrul fiecărei organizaţii sau cu
infrastructura IT
Controale IT

 NIST National Institute of Standards and Technology priveşte


controalele la un nivel mai jos şi astfel împarte controalele în:
 controale manageriale: sunt tehnici care sunt aplicate de către
management şi care în general sunt axate pe managementul
riscurilor şi proiectarea, gestionarea celorlalte controale
 controale operaţionale: sunt tehnici executate de către
oameni, necesită expertiză tehnică
 controale tehnice: sunt tehnici executate de sistem, fiind
dependente de funcţionarea adecvată a sistemului,
implementarea acestor controale necesită consideraţii
operaţionale şi de asemenea este necesar să fie în
concordanţă cu managementul
Controale IT

Controale generale (cunoscute şi sub denumirea de controale


ale infrastructurii)

 Sunt legate de mediu şi se aplică asupra tuturor


componentelor, proceselor sau datelor unui sistem.
 Aici se includ dezvoltarea şi implementarea unei strategii, a
unei politici de securitate, împărţirea personalului pentru
separarea sarcinilor etc.
Controale IT

Controale ale aplicaţiei

 Sunt legate în general de tranzacţii şi date.


 Aici pot fi incluse: validări ale intrărilor de date, tehnici de
criptare a datelor transmise etc.

 Operarea sigură, faptul că ne putem baza pe controalele


generale este necesară pentru a ne putea încrede şi în
controalele aplicative.
Controale IT

 Controlul preventiv - urmăreşte o detectare a problemelor


înainte de apariţie, o prevenire a erorilor, omisiunilor înainte
de apariţie. Aici este inclus şi controlul restrictiv deşi unii
autori îl tratează separat.
 Controlul detectiv are ca obiectiv descoperirea şi
corectarea erorilor care au apărut.
 Controlul corectiv urmăreşte minimizarea impactului
ameninţărilor, remedierea problemelor descoperite de
controlul detectiv, identificarea cauzelor problemelor,
corectarea erorilor asignate acestora, ceea ce implică
proceduri de back-up, proceduri de reluare a execuţiei.
Modele de evaluare a sistemelor informatice:
 - TCSEC şi ITSEC
 - Common Criteria
 - ISO27000
 - CobIT
 - BSI
TCSEC şi ITSEC

 TCSEC Trusted Computer Security Evaluation Criteria


(TCSEC) este un sistem de evaluare realizat de USA,
cunoscut sub denumirea Orange Book, ce adresează
confidenţialitatea informaţiilor
 ITSEC Information Technology Security Evaluation Criteria
– este standardul european pentru evaluare a sistemelor
informatice. Dacă TCSEC, avea în vedere doar
confidenţialitatea informaţiilor, ITSEC adresează şi
integritatea şi disponibilitatea acestora
 Ambele au fost înlocuite de către Common Criteria
Common Criteria

 Common Criteria for Information Technology Security


Evaluation pe scurt Common Criteria este un cadru de
lucru dezvoltat de guvernele mai multor ţări (SUA, Marea
Britanie, Canada, Franţa, Germania) care urmăreşte o
evaluare comună pentru produsele şi sistemele IT din
punctul de vedere al securităţii.
www.commoncriteriaportal.org
 Produsul sau sistemul evaluat, denumit ţintă a evaluării
(Target of Evaluation - ToE), va primi o evaluare numerică
EAL (Evaluation Assurance Level) de la 1 la 7, care
reprezintă gradul de încredere care poate fi acordat
rezultatului evaluării.
ISO 27000
Familia de standarde ISO 27000 adesea sunt aplicate împreună.
 ISO 27001 specifică în mod formal un sistem de management pentru
securitatea informaţiei (Information Security Management System -
ISMS) ce are ca scop aducerea securităţii informaţionale sub controlul
direct al managementului.
 ISO 27002, Code of Practice, va furniza obiectivele de control pentru
securitatea informaţiilor.
 ISO 27003 Ghid de implementare a ISMS
 ISO 27004 Masuratori pentru managementul securitatii informatice
 ISO 27005 Managementul riscului securitatii informatice
ISO 27000

ISO 27001
 O specificaţie formală înseamnă că solicită anumite cerinţe
specifice care pot fi verificate în cazul realizării unui audit iar
organizaţiile care îl implementează pot fi certificate ca fiind
conforme cu standardul.
 Cele mai multe organizaţii au numeroase controale pentru
securitatea informaţiilor. Fără un sistem de management al
informaţiei, controalele ajung să fie dezorganizate şi
independente fiind de cele mai multe ori implementate ca şi
soluţii punctuale la anumite situaţii specifice sau uneori doar
din motive de convenţie. Modelele de maturitate se referă la
acest stadiu ca fiind ad-hoc.
ISO 27000

ISO27001 solicită ca managementul:


• să examineze sistematic riscurile de securitate
informaţională luând în considerare ameninţările,
vulnerabilităţile şi impacturile
• să proiecteze şi să implementeze un set coerent şi
cuprinzător de controale ale securităţii informaţiei precum şi
alte forme pentru tratarea riscului (transfer, evitare)
• adoptarea unui proces de management care să asigure
existenţa unor controale de securitate ce vor adresa în mod
continuu nevoile de securitate informaţională ale
organizaţiei
ISO 27000
 Ca şi orice alt proces de management, un ISMS trebuie să rămână
eficient şi eficace pe termen lung, adaptându-se la schimbările din
interiorul organizaţiei dar şi din mediul extern.
 ISO 27001 încorporează ciclul Plan-Do-Check-Act (PDCA):
 Plan - se referă la proiectarea ISMS, evaluarea riscurilor securităţii
informaţiilor şi selectarea controalelor
 Do - implementarea şi operarea controalelor
 Check - reevaluare, evaluarea performanţelor ISMS
 Act - realizarea de modificări în vederea aducerii ISMS la performanţe
maxime
ISO 27000

ISO27002
 conţine recomandări legate de managementul securităţii
informatice pentru a fi folosite de cei responsabili în
iniţierea, implementarea, menţinerea sistemului de
management pentru securitatea informatice descris formal
prin ISO27001
 Conţine diverse obiective de control ce pot fi urmărite de
organizaţii şi care sunt controale de securitate ce pot fi
implementate pentru îndeplinirea obiectivelor respective.
CobIT
 CobIT priveşte controalele interne informaţionale (nu doar
cele de securitate) din trei puncte de vedere: resurse,
procese şi criterii informaţionale
CobIT
 Prima faţă a cubului face referire la procesele IT în care sunt organizate
principiile Guvernanţei IT
 Cuprinde 4 mari domenii care se detaliază în 34 de procese IT şi care la
rândul lor cuprind mai multe activităţi (215).
 Pentru fiecare activitate, cadrul de referinţă CobiT oferă recomandări de audit
sau "audit guidelines", dar independente de implementările tehnologice a
elementelor IT.
 Toate activităţile celor 4 domenii sunt aplicate într-o manieră ciclică urmărind
continuu principiile de Guvernanţă IT.
 Cele patru domenii se referă la:
1. Planificare şi Organizare
2. Achiziţie şi Implementare
3. Furnizare şi Suport
4. Monitorizare şi Evaluare
CobIT

 Cele şapte criterii furnizate de CobIT pot fi folosite pentru a


defini cerinţele afacerii faţă de tehnologia informaţională:
• Eficacitate,
• Eficienţă,
• Confidenţialitate,
• Integritate,
• Disponibilitate,
• Conformitate,
• Fiabilitate.
CobIT

 CobiT are o secţiune pentru evaluarea maturităţii fiecărui


control. Această evaluare se face în funcţie de mărimile sau
metricile oferite de CMMI (Capability Maturity Model
Integration)
 CMMI îşi are originile în CMM (Capability Maturity Model),
model ce a fost conceput pentru a fi aplicat procesului de
realizare software cu scopul de a avea o abordare eficientă
în îmbunătăţirea acestuia, însă s-a observat că modelul
poate fi aplicat şi altor procese
CobIT
 În cadrul modelului sunt identificate următoarele nivele:

• nivelul 0, inexistent, controlele sunt aproape inexistente şi există un risc


ridicat de incidente

• nivelul 1, iniţial sau ad-hoc, adică controalele sunt puţine la număr şi care
există sunt dezorganizate neavând o comunicare între ele, iar deficienţele nu
sunt identificate

• nivelul 2, repetabil dar intuitiv, există controale care sunt operaţionale dar care
nu sunt documentate, operarea acestora depinde de luarea la cunoştinţă sau
de motivaţia angajaţilor (există indivizi care nu sunt conştienţi de
responsabilităţile lor), astfel pentru rezolvarea problemelor de control,
managementul adesea nu reuşeşte să găsească soluţii, nu reuşeşte să
prioritizeze acţiunile sale sau să le realizeze constant
CobIT

• nivelul 3, definit, adică controalele se desfăşoară şi sunt


documentate adecvat, în schimb procesul de evaluare a acestora
nu este documentat; astfel managementul poate rezolva
majoritatea problemelor de control, însă unele puncte slabe ale
controlului încă mai persistă

• nivelul 4, administrat şi măsurabil, reprezintă un mediu de control


intern eficient şi în acelaşi timp de management al riscului

• nivelul 5, optimizat, reprezintă nivelul spre care doar tind


organizaţiile; există un program pentru control şi riscuri extins în
toată compania şi aplicabil continuu
Standardele germane BSI

 Standardele germane BSI sunt oferite de către Biroul


Federal pentru Securitatea Informaţiei (Bundesamt fur
Sicherheit in der Informationstechnik) şi conţin recomandări
referitoare la metode, procese, abordări şi măsuri
referitoare la securitatea informaţiei.
 Standardele oferă suportul tehnic necesar persoanelor
implicate în tehnologia informaţiei, putând fi adaptate în
funcţie de nevoile specifice fiecărei organizaţii.
Standardele germane BSI
Aceste standarde sunt:
 BSI 100-1 Sistemul de Management al Securităţii Informaţiei,
defineşte cerinţele generale pentru un astfel de sistem, complet
compatibil cu standardul ISO 27001; standardul german prezintă
standardul ISO în contextul propriu pentru a descrie anumite
aspecte mult mai detaliat şi astfel facilitând prezentarea
conţinutului

 BSI 100-2 Metodologia pentru protecţia de bază (Grundshutz


Methodology) descrie progresiv (pas cu pas) cum ar trebui
implementat şi modul cum ar trebui să opereze practic
managementul securităţii informaţiei
Standardele germane BSI
 BSI 100-3 Analiza de Risc; Pentru cerinţe de securitate
mai mari decât cele întâlnite în mod obişnuit, BSI pune la
dispoziţie o metodă de analiză a riscurilor ce are la bază
metodologia pentru protecţia de bază

 BSI 100-4 Managementul Continuităţii Afacerii oferă o


metodă sistematică pentru a dezvolta, implementa şi
menţine la nivelul întregii organizaţii un sistem intern
pentru managementul continuităţii afacerii. Scopul
acestuia este de a se asigura că procesele de afaceri sunt
întrerupte doar temporar sau chiar deloc în situaţii critice.
Business Continuity and
Disaster Recovery
 Business Continuity Planning = setul de activități necesare
pentru a asigura continuitatea proceselor de afacere critice
în cazul producerii unui dezastru
 Disaster Recovery Planning = setul de activități legate de
evaluarea, păstrarea și restaurarea elementelor și a
bunurilor folosite în procesele de afacere critice și care ar fi
distruse
 Activitățile de BCDR au în vedere în primul rând aspectul
disponibilității datelor dar fără a exclude confidențialitatea și
integritatea datelor (care trebuie asigurate chiar și în caz de
dezastre)

01/29/2021
Business Continuity and
Disaster Recovery
Rolul activităților de BCDR este de a dezvolta procese, proceduri și
elemente înlocuitoare la care s-ar putea apela în cazul producerii unor
dezastre
Pentru întocmirea eficientă există o metodologie adoptată:
Activități inițiale:
1. Obținerea sprijinului din partea executivului
2. Definirea formală a scopului pentru care se realizează BCDR
3. Alegerea persoanelor ce se vor ocupa de proiectarea BCDR
4. Realizarea unui plan
5. Stabilirea unor termene în realizarea planului si trasarea
responsabilităților pentru membrii echipei ce se va ocupa de proiectarea
BCDR

01/29/2021
Business Continuity and
Disaster Recovery
Activități de proiectare/planificare BCDR:
1. Analiza Impactului asupra afacerii
2. Realizarea planului de execuție în caz de eveniment nedorit
3. Testarea planului de execuție
Activități post planificare BCDR
4. Menținerea planurilor de BCDR
5. Verificare și revizuire planuri BCDR

01/29/2021
Business Continuity and
Disaster Recovery
1. Analiza Impactului asupra afacerii: catalogarea tuturor proceselor de afacere
importante împreună cu informații legate de nivelul criticalității
a) Identificarea tuturor proceselor de afacere
b) Realizarea unor analize și evaluări de risc/amenințări
c) Determinarea timpului maxim tolerabil pentru inactivitate (maximum tolerable
downtime MTD) dar și a altor indicatori precum costul procesului, costul
inactivității procesului, profitul realizat/nerealizat din procesul respectiv
d) Stabilirea principalelor ținte pentru recuperare: Recovery Time Objective și
Recovery Point Objective
RTO = perioada maximă de timp în care un proces de afacere sau un sistem IT va
deveni nefuncțional în cazul producerii unui eveniment
RPO = exprimată de asemenea în unități de timp, exprimă perioada maximă pentru
care s-ar putea pierde date sau muncă dintr-un anumit proces în cazul producerii
unui incident.
e) Analiza nivelului critic – procesele de afacere sunt comparate și ierarhizate în
funcție de indicatorii anteriori pentru a se identifica acele procese ce au un nivel
01/29/2021
critic mai mare
Business Continuity and
Disaster Recovery
2. Realizarea planului de execuție în caz de eveniment nedorit
 Selectare membrilor care se vor ocupa de activitățile de
recuperare
 Procesul de răspuns în caz de producere a evenimentului
 Modalitățile de intervenție și de notificare
 Siguranța acordată personalului
 Menținerea comunicării, infrastructurii, a logisticii
 Îmbunătățirea recuperării și a rezistentei (resilience)
 Educarea personalului în legătură cu planul de execuție a
activităților BCDR

01/29/2021
Business Continuity and
Disaster Recovery
3. Testarea planului de execuție
 Re-evaluarea planului de execuție
 Simulare
 Teste paralele

01/29/2021