Securitatea informaional a businessuluiBoris DELIMARSCHIstud09b@gmail.com Cat. Cibernetic i Informatic Economic

ASEM1 06.09.2010 4:41:01

Surse de informare/documentareDumitru Oprea: Protecia i Securitatea informaiilor, Editura Polirom, Bucuresti 2003 Mihaela Crstea: Securitatea ca mod de viata, revista PC Magazine Romnia, aprilie 2002 Tudor Amza, Costin-Petronel Amza Criminalitatea Informatic - Editura LuminaLex, Bucuresti 2003 Ion Bica, Victor Valeriu Patriciu: Securitatea Comertului Electronic, Editura All, Bucuresti 2001

www.security.ase.md+ Surse Internet menionate pe parcursul prelegerilor2

+ Delimarschi B. Notie de curs.

Planul cursului1. Introducere n Securitatea Informaional. 2. Analiza riscurilor informaionale a businessului. 3. Crime i fraude informatice 4. Metode i tehnici de securizare a informaiei n

business 5. Bazele criptrii informaiei 6. Evaluarea eficacitii securitaii informaionale n business

3

Lecia 1 Introducere n securitatea informaional1.Informaia ca obiect de valoare i protecie 2.Conceptele de baz ale Securitii Informaionale 3.Obiecte de Securitate Informaional 4.Subiecte de Securitate Informaional

4

06.09.2010 4:41:01

Locul informaiei n afaceri

1. Afacerea sa bazeaz pe organizarea activitilor 2. Activitile au loc in baza deciziilor 3. Informatia materia prima pentru luarea deciziei5

Afacerea s bazeaz pe Informaii !!

Aplicarea informaiei n afaceriInformaia mijloc de corelare iinteraciune ntre factorii vii ale naturiiActivitatea companiei necesita corelarea cu:1. Colaboratori/Parteneri 2. Furnizori 3. Concureni 4. Organe publice 5. Clieni6

Activiti legate de informaie Memorarea faptelor/datelor Transformarea datelor Comunicare (expediere-recepie a datelor) Forme de percepere a informaiei Biologic /Sensitiva (sunet/ miros /gust/ atimgere Tehnic (semnale fizice)

Era informaieiInteraciunea orizontal i vertical a companiilor; Globalizarea social-economic; Integrarea interramural a afacerilor

Decizia ntreprinztorului factor de producie (la rnd cu Munca, Natura [pmntul], Capital) Resurse pentru producie - Meteriale, Energie, Fora uman/Intelectul, Informaie

Era informaticii50-100% de informaii n companii deja sunt n forma digital !!~anul 2020 99% ~anul 2030 100% Sursa: Comisia pentru dezvoltare ONU

Mediul informatic modernInternet, Documente electronice, Produse informatice comercializate, Servicii electronice Activiti economice electronice

Obiectivele securitii informaionale(pentru Stabilitatea i durabilitatea afacerii):1. 2. 3. 4. 5.

Determinarea obiectelor de risc Determinarea subiectelor de risc Prevenirea posibilelor tulburri, Restabilirea strii normale dup afectare Minimalizarea pierderilor

Pentru atingerea obiectivelor s formeaz Sistemul de securitate informaional a afacerii

10

Noiunile principaleSecuritatea informaional n sens larg [include fiabilitatea] gradul de protecie a informaiei contra aciunilor cu efecte nocive din partea factorilor externi i interni Securitatea informaional n sens ngust [exclude fiabilitatea] gradul de protecie a informaiei contra aciunilor intenionate cu efecte nocive (maliioase) din partea factorului uman extern i intern Fiabilitatea informaional gradul de protecie a informaiei contra aciunilor neintenionate umane, a efectelor naturii sau a altor factori de for major, care au efecte negative asupra informaiei Securizarea informaiei activitatea de protecie a informaiei de aciuni nocive (maliioase)

11

Noiunile principaleRisc informaional - forma probabilistic de afectare a unei (sau a mai multor) caracteristici ale informaiei, dup care valoarea ei scade Ameninarea - o potenial (ipotetic) violare a securitii Atac asupra informaiei aciune maliioas contra informaiei i/sau contra sistemului de securitate informaional (o ncercare real de spargere a sistemului de securitate informaional) Atacul poate fi accidental sau deliberat (planificat) Este mai uor s te protejezi mpotriva abuzurilor accidentale dect mpotriva celor deliberate

12

Formele moderne ale informaiei n afaceri:Tradiionaldocumente tiprite pe hrtie sau alti supori operabili convorbiri orale i inregistrri sonore imagini ne- sau puin structurate (fotografii, picturi etc.) etc.

Digitaloptic electronic

Alte forme (analog, termic, biologic, bionic etc.)13

Particularitile securitii informaiilor in format tradiional (document hrtie):S protejeaz suportul de informaii; Suportul (hrtia) poart o multitudine de informaii colaterale despre autor, cititor, mprejurri redactare etc., care pot fi utilizate n cercetri criminalistice; Modificrile informaiei afecteaz suportul, sunt relativ dificil de fcut i pot fi detectate uor; Pentru manipulare frauduloas este necesar accesul fizic la suport lucru care este relativ uor de detectat i probat cu un sistem de protecie fizic.

14

Particularitile securitii informaiilor nformat digital (~>electronic): [90-100% de inf. n companie!!] 1. Informaia nu are caracter material; 2. Uor trece de pe un suport pe altul; 3. Necesit componente informaionale suplimentare colaterale de protecie pentru necesiti de identificare i securitate; 4. Accesul la informaie nu implic prezena fizic i poate fi fcut anonim de la distan; 5. Uor i fr urme s modific dac sistemul sau reeaua nu sunt instruite (configurate) s fac asta; 6. Accesul la informaii poate fi tehnic (automat) delimitat pentru diferite persoane, procese i echipamente;15

Condiiile de Securitate a informaieiO informatie este securizata (protejata) daca se asigura : Disponibilitatea - accesul la informatie a persoanelor autorizate nlimita drepturilor asociate Confidentialitatea - accesul la informatie doar pentru utilizatorii autorizati si mpiedicarea accesului pentru persoanele neautorizate; Integritatea - consistena informatiilor (n cazul transmiterii unui mesaj prin retea, integritatea se refer la protectia mpotriva unor tentative de falsificare a mesajului); Autentificarea - determinarea identittii persoanei cu care se comunic;

Ne-repudierea - asumarea responsabilittii unor mesaje saucomenzi, la autenticitatea lor. Acest aspect este foarte important n cazul contractelor realizate ntre firme prin intermediul mesajelor electronice.16

Obiecte de risc informaional1. Infrastructura fizic (Componente elctronice /Hardware

pentru IT)Furt, deteriorarea, substituirea, blocarea, utilizare neautorizat

2. Programe - numai pentru IT (Software) Furt, deteriorare, substituire, utilizare neautorizat, copierea neautorizat, blocarea 3. Canale de comunicare Deteriorare, utilizare neautorizat, monitorizare neautorizat, blocarea 4. Informaia Furt, deteriorare, substituire, consultare neautorizat, copierea/multiplicare neautorizat, compromiterea, blocarea accesului 5. Componenta uman (persoanele care folosesc i cunosc

informaia)17

Influiena fizic sau moral (ameninare sau realizare), compromitere,

Clasificarea riscurilor:de FiabilitateDe Natura: Tehnogenice /Accidentale/:

Riscuri informaionale- cutrenur - furtuna - inundaii - tulburri n alimentare cu curent electric - ruperea unui cablu -defecte n echipamente din cauza uzurii, -coliziuni infrastructurale

de SecuritateFactor Uman /Intenionate/: - sabotaj - spionaj - concurena neloial - profit ilicit - rzbunare - etc.

Factor uman /Accidentale/:

-erori funcionale din oboseal, -scpri n realizarea funciilor de serviciu

Clasificarea ameninrilorAfectarea integritii fizice Deteriorarea / modificarea Afectarea integritii logice Modificarea algoritmelor Afectarea coninutului Modificarea neautorizat Afectarea confidenialitii Obinerea neautorizat Afectarea dreptului de proprietate nproprietrire drepturilor strine

Subiecte de risc informaional (fptaii criminalii informaionali) i ponderea lor n volumul pierderilor Naturale ~