Securitatea Datelor si Sistemelor

 Definirea spațiului cibernetic

Spațiul cibernetic, din perspectiva economiei naționale, reprezintă rețeaua integrală și integrată de infrastructuri interdependente de tehnologie a informației, reţelele de telecomunicaţii şi sisteme de prelucrare de date pe calculator.
Din punct de vedere social și economic, spațiul cibernetic este un mediu informațional dinamic bazat pe interoperabilitate şi servicii specifice societăţii informaționale unde organizațiile și persoanele fizice pot
interacţiona, schimba idei, informații, să ofere asistenţă socială, derula afaceri sau activități artistice, politice și de mass-media, derula activități economice și financiare, folosind sisteme electronice de plată și tranzacționare.

Din punct de vedere fizic, spațiul cibernetic înglobează totalitatea serverelor, computerelor, echipamentelor de comunicații, de interconectare, centrale telefonice digitale, magistrale de fibră optică, rețele de cabluri de orice tip, echipamente de transmisie wireless, antene, dispozitive de stocare, prelucrare, transmitere, codare, protejare a datelor, precum și spațiile dedicate în care echipamentele sunt utilizate.

Spaţiul cibernetic se caracterizează prin lipsa frontierelor, dinamism şi anonimat, generând deopotrivă, atât oportunităţi de dezvoltare a societăţii informaționale bazate pe cunoaştere care insa prezinta și riscuri la adresa funcționării acesteia.

Pe măsura creșterii gradului de informațizare al societății românești, aceasta este mai vulnerabilă la atacuri, iar asigurarea securităţii spaţiului cibernetic trebuie să constituie o preocupare majoră a tuturor organizațiilor (sau organismelor) implicate.

Securitatea sistemelor informaționale

Securitatea sistemului informațional trebuie să fie o responsabilitate asumată de către structurile de conducere ale oricărei organizații din mediul privat sau public. Structurile de conducere trebuie să asigure o direcţie clară şi gestionată corespunzator pentru indeplinirea obiectivelor stabilite prinpolitica de securitate, având în vedere următoarele elemente:
a) revizuirea și aprobarea politicii de securitate şi stabilirea de responsabilităţi legate de aceasta;
b) monitorizarea schimbărilor semnificative de expunere a sistemului informațional la ameninţări majore;
c) revizuirea și monitorizarea incidentelor de securitate a sistemului informațional;
d) aprobarea măsurilor de sporire a securității informațiilor.

În vederea stabilirii și menținerii politicilor de securitate este esențială implicarea specialiștilor din domeniu în vederea adoptării deciziilor privind securitatea sistemului informațional.

Accesul la echipamentele de prelucrare informaţiilor organizației de către terţe părţi trebuie să se facă sub supraveghere. Pentru accesul terţilor, o evaluare a riscului ar trebui să fie efectuată pentru a stabili implicaţiile de securitate şi cerinţele de control. Măsurile de protecție trebuie să fie puse de acord şi incluse într-un contract cu terţele părţi. De asemenea în acordurile/contractele de externalizare ar trebui să se abordeze riscurile, controalele și procedurile de securitate pentru sistemele informatice, rețelele şi / sau echipamentele de birou.

Toate activele sistemului informațional ar trebui să fie contabilizate şi să aibă un responsabil desemnat. Responsabilitatea pentru active ajută să se asigure că protecţia corespunzătoare este menţinută. Responsabilul unui element din sistemul informațional trebuie să poată fi identificat pentru toate activele majore și să aibă responsabilități pentru menţinerea și implementarea de controale adecvate. Responsabilitățile pentru control pot fi delegate.

Informațiile trebuie să fie clasificate pentru a indica priorităţile și gradul de protecţie necesare. Informațiile au diferite grade de sensibilitate şi de importanţă, unele dintre acestea necesitând un nivel suplimentar de protecţie sau o manipulare specială. Un sistem de clasificare a informațiilor ar trebui să fie utilizat pentru a defini un set adecvat de niveluri de protecţie, precum şi necesitatea de a institui măsuri speciale de manipulare.

Pentru a reduce riscurile de eroare umană, furt, fraudă sau de abuz de încredere, responsabilităţi de securitate trebuie să fie implementate încă din etapa de recrutare, incluse în contractele de muncă şi monitorizate în timpul activității la locul de muncă.

Toți angajații proprii sau terțele persoane care au acces la sistemul informațional al unei companii ar trebui să semneze un acord de confidențialitate.

Pentru a ne asigura că utilizatorii sunt conştienţi de ameninţările de securitate a informațiilor şi sunt pregătiți pentru a sprijini politica de securitate organizaţională în cursul activităţii lor la locul de muncă, angajații proprii sau terțele persoane ar trebui să fie instruiţi cu privire la procedurile de securitate şi utilizarea corectă a sistemelor de prelucrare a informațiilor.

Toate incidentele de securitate trebuie raportate și în acest sens trebuie implementat un sistem eficient și rapid de raportare a incidentelor de securitate, care să fie cunoscut de către toți angajații.

Informațiile de business critice sau sensibile trebuie să fie adăpostite în locuri sigure, protejate într-un perimetru de securitate adecvat, cu bariere de securitate corespunzătoare și controale de acces. Acestea ar trebui să fie protejate fizic împotriva accesului neautorizat, deteriorare şi interferenţe. Protecţia oferită trebuie să fie proporţională cu riscurile identificate.

Echipamentele IT&C trebuie să fie protejate fizic împotriva ameninţărilor de securitate şi de pericolele de mediu.
Responsabilităţi şi proceduri pentru gestionarea și exploatarea tuturor sistemelor de prelucrare a informațiilor ar trebui să fie stabilite. Aceasta presupune dezvoltarea unor instrucţiuni de utilizare şi proceduri de răspuns la incidente aprobate de conducerea unității și cunoscute de către tot personalul.

Măsuri de precauţie sunt necesare pentru a preveni şi detecta introducerea de software rău intenţionat. Software-ul și echipamentele de calcul sunt vulnerabile la introducerea de software rau intentionat, cum ar fi viruşi, viermi de rețea, cai troieni. Utilizatorii ar trebui să fie conştienţi de pericolele software-ului neautorizat sau rău intenţionat şi managerii ar trebui, acolo unde este cazul, să introducă controale speciale pentru a detecta sau a preveni introducerea de software rău intenționat.

În special, este esenţial să se ia măsuri de precauţie pentru a detecta şi a preveni infectarea cu viruşi informatici ale calculatoarelor angajaților.

Proceduri de rutină ar trebui să fie stabilite pentru efectuarea de back-up-uri strategice, simularea periodică a restaurării de pe copiile realizate, logarea evenimentelor și a defectelor, acolo unde este posibil și monitorizarea permanentă a echipamentelor critice.

Schimburile de informații şi de software între organizații ar trebui să fie controlate, şi trebuie să fie conforme cu legislaţia în vigoare. Proceduri şi standarde care să protejeze informațiile și datele în tranzit ar trebui să fie stabilite iar acestea să fie parafate în acorduri semnate de toate părțile implicate.

 Atributele securității informatice

Securitatea informatică asigură cunoaşterea, prevenirea și contracararea unui atac împotriva spaţiului cibernetic, inclusiv managementul consecinţelor.

Atributele securității informatice sunt următoarele:

– Cunoaşterea trebuie să asigure informațiile necesare în elaborarea măsurilor pentru prevenirea efectelor unor incidente informatice.

– Prevenirea este principalul mijloc de asigurare a securităţii informatice. Acţiunile preventive reprezintă cea mai eficientă modalitate atât de a reduce extinderea mijloacelor specifice ale unui atac cibernetic, cât și de a limita efectele utilizării acestora.

– Contracararea trebuie să asigure o reacţie eficientă la atacuri cibernetice, prin identificarea şi blocarea acţiunilor ostile în spaţiul cibernetic, menţinerea sau restabilirea disponibilităţii infrastructurilor cibernetice vizate şi identificarea şi sancţionarea potrivit legii, a autorilor.

Succesul activităţilor desfăşurate pentru asigurarea securității sistemelor informatice depinde în mod esenţial de cooperarea, inclusiv în formule de parteneriat public-privat, între deţinătorii infrastructurilor cibernetice și autorităţile statului abilitate să întreprindă măsuri de prevenire, contracarare, investigare şi eliminare a efectelor unei ameninţări materializate printr-un atac.

De altfel atributele enumerate mai sus se suprapun peste atributele fundamentale ale informației:
Disponibilitatea informației este acea proprietate a sistemului sau rețelei de a asigura utilizatorilor legali informația completă atunci când aceştia au nevoie de ea.

Confidenţialitatea este acea proprietate a sistemului sau a reţelei de a permite accesul la informații numai utilizatorilor cărora le este destinată şi să ofere garanţii suficiente pentru a interzice accesul celorlalţi utilizatorilor.

Integritatea informației este acea proprietate a sistemului sau a reţelei de a asigura livrarea informației fără modificări accidentale sau neautorizate.

Autenticitatea informației este acea proprietate a sistemului sau a reţelei de a permite asocierea informației cu sursa legală de producere a ei.

Nerepudierea informației este acea proprietate a sistemului sau a reţelei de a asocia informației dovada că informația a fost transmisă de o entitate identificată și a fost recepţionată de o altă entitate identificată fără posibilitate de contestare.

Securitatea informatiei este obtinuta prin implementarea unui set adecvat de politici, practici, proceduri, structuri organizationale si functii software. Aceste elemente trebuie implementate in masura in care se asigura atingerea obiectivelor specifice de securitate.

Este important ca fiecare organizatie sa poata sa-si identifice propriile cerinte de securitate. Pentru aceasta ea trebuie sa faca apel la trei surse principale:

* evaluarea riscurilor: se identifica amenintarile asupra resurselor, se evalueaza vulnerabilitatea la aceste amenintari si probabilitatea de producere a lor si se estimeaza impactul potential;
* legislatia existenta pe care o organizatie trebuie sa o respecte;
* analiza securitatii: setul specific de principii, obiective si cerinte pentru procesarea informatiei, pe care organizatia le dezvolta pentru a-si sustine activitatile.

Pentru a analiza riscurile o organizatie isi poate identifica propriile cerinte legate de securitate. Un astfel de proces presupune in general patru etape principale:

1. identificare resurselor care trebuie protejate;
2. identificarea riscurilor/amenintarilor specifice fiecarei resurse;
3. ierarhizarea riscurilor;
4. identificarea controalelor prin care vor fi eliminate/diminuate riscurile.

Analiza a securitatii trebuie sa cuprinda urmatorii pasi:

  • selectia solutiilor viabile;
  • stabilirea strategiei de asigurare a securitatii;
  • compartimentarea si controlul conexiunilor:
  • compartimentarea comunicatiilor;
  • compartimentarea retelei;
  • compartimentarea serviciilor si aplicatiilor folosite;
  • apararea pe nivele;
  • strategia de raspuns la incidente;
  • alocarea resurselor pentru securizare.
  • stabilirea politicilor de securitate:

Politici formale: Monitor, Graham-Denning, Bell La-Padula, Biba, Clark-Wilson, Latice sau Zidul Chinezesc;
Politici particulare: utilizare Internet, utilizare e-mail, utilizare criptografie, utilizare semnatura electronica, management parole, etc.;

Realizarea mecanismelor si procedurilor de securitate:

Documentarea sistemului:
Politica de securitate – aprobata de conducere la cel mai inalt nivel;
Setul de inregistrari de securitate (trasabilitate activitati, incidente de securitate, controale, instruiri, rapoarte de audit si de evaluare etc.)
Completarea fiselor de post cu atributiile de securitate;
Realizarea procedurilor operationale de securitate (orientate pe procese).
Certificarea de securitate – controlul periodic al conformitatii functionarii sistemului cu documentatia intocmita (audit intern si extern);

Evaluari ale sistemului de securitate prin teste de securitate – evaluarea nivelului in care documentatia si functionarea mecanismelor de securitate satisfac nevoile de securitate impuse de mediu;

Acreditarea de securitate – decizia autoritatii competente (proprietarul) de a autoriza functionarea si implicit asumarea riscurilor remanente.

Pentru a-si defini politica de securitate compania trebuie sa se decida:
-care amenintari trebuie eliminate si care se pot tolera;
-care resurse trebuie protejate si la ce nivel;
-cu ce mijloace poate fi implementata securitatea;
-care este pretul (financiar, uman, social etc.) masurilor de securitate care poate fi acceptat.

Un aspect important in stabilirea mecanismelor de securitate o constituie partea financiara. Un mecanism de control nu trebuie sa depaseasca valoarea bunului ce trebuie protejat.

Odata stabilite obiectivele politicii de securitate, urmatoare etapa consta in selectia serviciilor de securitate – functiile individuale care sporesc securitatea. Fiecare serviciu poate fi implementat prin metode (mecanisme de securitate) variate pentru implementarea carora este nevoie de asa-numitele functii de gestiune a securitatii. Gestiunea securitatii consta in controlul si distributia informatiilor catre toate sistemele in scopul utilizarii serviciilor si mecanismelor de securitate si al raportarii evenimentelor de securitate ce pot aparea catre administratorii de retea.

Urmatorul pas este realizarea modelului de securitate. Modelul de securitate pentru un sistem informatic poate fi vazut ca avand mai multe straturi ce reprezinta nivelurile de securitate ce inconjoara subiectul ce trebuie protejat. Fiecare nivel izoleaza subiectul si il face mai dificil de accesat in alt mod decat cel in care a fost prevazut.

Securitatea fizica reprezinta nivelul exterior al modelului de securitate si consta, in general, in inchiderea echipamentelor informatice intr-o alta incinta precum si asigurarea pazei si a controlului accesului.

O problema o constituie salvarile sub forma de copii de rezerva ale datelor si programelor, precum si siguranta pastrarii suportilor de salvare (backup). Retelele locale sunt, in acest caz, de mare ajutor, copiile de rezerva putandu-se face prin retea pe o singura masina ce poate fi mai usor securizata.

Securitatea fizica trebuie abordata foarte serios deoarece toate masurile de securitate logice, cum ar fi stabilirea de parole pe sistemul respectiv, devin nesemnificative in cazul accesului neautorizat la echipamente. O alta problema importanta in securitatea fizica unui sistem informatic o constituie pur si simplu sustragerile de echipamente sau a suportilor de backup.

Securitatea logica consta din acele metode logice (software) care asigura controlul accesului la resursele si serviciile sistemului. Ea are, la randul ei, mai multe niveluri impartite in doua grupe mari : niveluri de securitate a accesului si niveluri de securitate a serviciilor.

Securitatea accesului cuprinde:

    •  accesul la sistem, care este raspunzator de a determina in ce conditii si in ce moment este sistemul accesibil utilizatorilor. El poate fi raspunzator de asemenea si de gestionarea evidentei accesului. Accesul la sistem poate efectua si deconectarea fortata in anumite cazuri (ex. expirarea contului, ora de varf, …);
    • accesul la cont care verifica daca utilizatorul ce incearca sa se conecteze are un nume si o parola valida;
    • drepturile de acces (la fisiere, resurse, servicii etc.) care determina de ce privilegii dispune un utilizator (sau un grup de utilizatori) dat.

Securitatea serviciilor controleaza accesul la serviciile unui sistem (calculator, retea). Din acest nivel fac parte:

  • controlul serviciilor care este responsabil cu functiile de avertizare si de raportare a starii serviciilor, precum si de activarea si dezactivarea diverselor servicii oferite de catre sistemul respectiv;
  • drepturile la servicii care determina exact cum foloseste un anumit cont un serviciu dat (acces la fisiere, resurse, prioritate,…)

Data Systems Solutions  va ofera servicii de consultanta si de externalizare a managementului securitatii informatiilor. Prin intermediul serviciilor noastre companiile isi pot creste nivelul de securitate IT, atat prin implementarea de noi politici si procese de securitate cat si prin extinderea capacitatii echipei proprii de IT, prin contractarea serviciilor noastre si monitorizare a infrastructurii de securitate.

Serviciile oferite de compania noastra includ, dar nu se limiteaza la:

-Auditul de securitate si implementarea politicilor conform standardelor in vigoare;
-Securitatea retelei si sistemului informatic;
-Securitatea aplicatiilor;
-Securitatea segmentelor e-business.

Pentru o oferta personalizata nu ezitati sa ne contactati AICI