Politici, standarde, norme

și proceduri de securitate
 Motivația
• Orice organizație are ca scop apărarea valorilor
informaționale, motiv pentru care este important să realizeze
o modalitate de protejare a acestora, ținând seamă de
recomandările legale în domeniu.

• Organizațiile au preluat o parte din modelul militar, împărțind

informațiile în informații clasificate și publice.
 Modele de securitate
multinivel
• Aceste sisteme au o delimitare pe orizontală a nivelurilor de
secretizare.
• O persoană poate avea acces la informațiile de pe un anumit
nivel doar dacă autorizarea sa este cel puțin egală cu nivelul
clasificării informației respective.

...
STRICT
SECRETE
SECRETE

CONFIDENȚIALE

PUBLICE
 Modelul Bell-la Padula
Modelul Bell-la Padula introduce trei principii:

• Proprietatea de securitate simplă afirmă că un subiect la un

anumit nivel de securitate nu poate citi un obiect la un nivel de
securitate superior (No Read Up).

• Proprietatea de securitate stea afirmă că un subiect la un

anumit nivel de securitate nu poate scrie pe niciun obiect la un
nivel de securitate inferior (No Write Down).

• Proprietatea de securitate discreționară utilizează o matrice de

acces pentru a specifica controlul accesului discreționar.
(Trusted Subject)
 Modelul Biba
Cunoscut ca model al integrității datelor.

Modelul Biba definește un set de reguli de securitate, primele două fiind

similare cu modelul Bell – LaPadula:

• Proprietatea de integritate simplă afirmă că un subiect la un anumit nivel de

integritate nu trebuie să citească date la un nivel de integritate inferior (fără citire).

• Proprietatea de integritate stea afirmă că un subiect la un anumit nivel de

integritate nu trebuie să scrie la date la un nivel mai înalt de integritate (fără
scriere).

• Proprietatea de invocare afirmă că un proces de mai jos nu poate solicita un

acces mai mare; numai cu subiecte la un nivel egal sau inferior.
 Modelul Clark - Wilson
Abordarea constă din trei principii de bază, existând:
• subiecte de securitate
• obiecte de securitate (constrângeri)
• un set de tranzacții bine formate.

Utilizatorii au restricția de a executa doar un anumit set de

tranzacții care le sunt permise și fiecare tranzacție operează
numai pe un set atribuit de obiecte de date.
 Modele de securitate
multilaterale
• Aceste sisteme au o delimitare pe verticală a nivelurilor.
• Previne migrarea informațiilor între departamente.

Date partajate

Departament Departament Departament

...
1 2 N
 Compartimentarea

• Utilizarea compartimentelor permite modelelor de securitate

să exprime politicile „nevoii de a ști” în cadrul sistemului.

• Astfel, dacă nu este necesară cunoașterea unei informații în

procesul de lucru, aceasta nu va fi dezvăluită, chiar dacă
persoana are autorizație pentru nivelul respectiv.

• Această concept al ”nevoii de a ști” provine din procedurile

pentru informații clasificate, în special din domeniul militar și
de informații.
 Modelul zidului chinezesc
• A fost realizat de David F.C. Brewer si Michael J. Nash și combină aspecte
legate de confidențialitate, dar și integritate.

• Este utilizat pentru a modela situații de conflict de interese în

organizații.

• Are rolul de a separa persoanele care fac investiții, de cei care sunt la
curent cu informațiile confidențiale care ar putea influența
necorespunzător deciziile. Firmele sunt obligate prin lege să protejeze
informațiile privilegiate și să se asigure că nu se tranzacționează
necorespunzător.

• Un alt exemplu poate fi o persoană care a lucrat recent la o companie

dintr-un anumit domeniu, nu poate să aibă acces la documentele
companiilor din acel domeniu, cel puțin pentru o perioadă stabilită.
 Programe de securitate
informațională
• La baza întocmirii programelor de securitate informațională
stau politicile, standardele, normele și procedurile de
securitate.

• Politicile sunt descrise și implementate cu ajutorul:

-standardelor;
-normelor;
-procedurilor.
 Politici
• Politicile de securitate obligatorii sunt prevăzute în acorduri,
regulamente sau alte prevederi legal și se întâlnesc în cadrul
instituțiilor care deservesc interesul public.

• Politicile obligatorii au ca scopul de a asigura că o organizație

urmează procedurile standard din domeniul său de activitate
și de a oferi încredere.

• Politicile recomandate sunt puternic susținute, devenind

obligatorii pentru angajați la nivelul unei organizații.

• Politicile informative au scopul de informare, fie pentru cei

din interiorul organizației, fie pentru partenerii acesteia.
 Standarde
Scop : asigurarea uniformității

Elementele principale ale unui standard de securitate

informațională:
- Scopul și aria de aplicare – descrierea intenției standardului;
- Roluri și responsabilități în procesul definirii, execuției și
promovării standardului;
- Standardele cadrului de bază – declarațiile de pe cel mai înalt
nivel;
- Standardele tehnologiei – declarații și descrieri, configurări;
- Standardele administrării – reglementează administrarea
inițială și pe parcurs.
 Norme
• Sunt acțiuni recomandate, nu obligatorii ca în cazul
standardelor.
• Normele se referă la metodologiile sistemelor, specificând
modalități de dezvoltare a standardelor.

Componente:
• Scopul și aria de aplicare;
• Roluri și responsabilități;
• Declarații de orientare;
• Declarații de exploatare.
 Proceduri
• Se mai numesc și practici.

• Descriu detaliat etapele care trebuie parcurse într-un proces,

ajutând la implementarea politicilor de securitate.

• Procedurile sunt publice la nivel de organizație și sunt specifice

personalul care le va utiliza.
 Standarde naționale și
internaționale
Organizația Internațională pentru Standardizare (ISO) și
Comisia Internațională Electrotehnică (IEC) formează un forum
specializat în standardizare.

• ISO – își concentrează activitatea pe controlul materialelor și al

procesului;
• IEC – este focusat pe fabricarea și testarea bunurilor finale.

ISO și IEC participă la dezvoltarea standardelor internaționale prin

intermediul comitetelor tehnice.
 La nivel internațional
ISO / IEC 27001 este cunoscut pe scară largă, oferind cerințe pentru un sistem
de management al securității informațiilor (ISMS) și face parte din familia ISO /
IEC 27000.

Sistemul de management al securității informațiilor conferă încredere, păstrând

confidențialitatea, integritatea și disponibilitatea informațiilor.

Utilizarea acestora permite organizațiilor de orice fel să gestioneze securitatea

activelor, cum ar fi informațiile financiare, proprietatea intelectuală, detaliile
angajaților sau informațiile încredințate de terți.

ISO/IEC 27001 are ca ultima versiune varianta din 2018, în România fiind
denumit SR EN ISO/IEC 27001 – Tehnologia Informației. Tehnici de securitate.
Sisteme de management al securității informației.
 ISO / IEC 27001
• Are ca politică de securitate faptul că orice organizație trebuie să aibă
un document care să descrie și să explice securitatea informațională.

• Standardul cuprinde 10 capitole, care definește aspecte legate de:

- Principiile managementului securității;
- Securitatea personalului;
- Securitatea fizică;
- Controlul accesului;
- Managementul operațional și al comunicațiilor;
- Conformitatea;
- Dezvoltarea și întreținerea sistemelor.
 La nivel internațional
• ISO/IEC 17799 și-a schimbat denumirea în ISO/IEC 27002, în anul
2007 și este un cod de practică pentru gestionarea securității
informațiilor. Varianta din 2007 are adăugată o nouă secțiune
despre gestionarea incidentelor de securitate a informațiilor.

• Poate fi utilizat de orice organizație care trebuie să stabilească un

program cuprinzător de gestionare a securității informațiilor sau să
își îmbunătățească practicile actuale de securitate a informațiilor.

• Standardul de securitate ISO/IEC 27002 răspunde nevoilor

organizaţiilor de orice tip, publice sau private, printr-o serie de
practici de gestiune a securităţii informaţiilor.
 La nivel național
• În România, organismul național de standardizare este ASRO.

• ASRO – platformă națională pentru elaborarea și adoptarea

standardelor europene și internaționale.

• Este membru ISO, IEC, CEN (Comitetul European de

Standardizare), CENELEC (Comitetul European de
Standardizare în domeniul Electrotehnicii), ETSI (Institutul
European de Standardizare în domeniul Telecomunicațiilor).

ASRO acordă mărcile naționale de conformitate:

• SR (conformitatea cu standardele române de produs)
• SR-S (conformitatea cu standardele române de securitate).
 Bibliografie
• Dumitru Oprea, Protecția și securitatea sistemelor informaționale, Ediția
a II-a, Editura Polirom, 2007.
• Ross Anderson, Security Engineering: A Guide to Building Dependable
Distributed Systems, First Edition, Chapter 8.
• Susan Beth Chin, Shiu-Kai, Access control, security, and trust a logical
approach Chapman & Hall CRC, 2011.
• https://en.wikipedia.org/wiki/ISO/IEC_27001
• https://en.wikipedia.org/wiki/ISO/IEC_27002
Vă mulțumesc!