Modul 4

Managementul securitatii sistemelor informatice

Continut:

4.1 Managementul securitatii informatiei.

4.2 Gestiunea riscurilor in domeniul informatic.

4.3 Politica de securitate informatica a organizatiei.

4.1 Managementul securitatii informatiei

Scopul fundamental al securitatii informatiei:

Crearea unui anumit nivel de non-vulnerabilitate a

organizatiei, in fata atacurilor voluntare/involuntare care au loc asupra:

informatiilor; sistemelor si retelelor informatice; sistemelor si instrumentelor de comunicatie electronica.

Ce cuprinde securitatea in sfera informatica?

Securitatea sistemelor informatice

si a TIC

Securitatea IC&T

Securitatea informatiei

Securitatea comunicatiilor

Mizele securitatii in domeniul informatic

Protejarea patrimoniului informational al organizatiei. Lupta impotriva actelor de rea-vointa de natura informatica

(fenomenul de criminalitate informatica) Asigurarea conformitatii cu reglementarile si normele in

vigoare din domeniul securitatii informatice (normele ISO 27000)

Identificarea si gestionarea riscurilor informationale, informatice si de comunicatie.

ISO 27001 – Sisteme de management a securităţii informaţiei.ISO 27002 – Ghid de bune practici -măsuri de securitate.ISO 27003 – Implementare.ISO 27005 - Analiza şi gestiunea riscului.ISO 27006 – Auditul SMSI (sisteme de management a securitatiiinformatiei).

Securitatea in domeniul IC&T

Conceptul de securitate aplicat informaţiei ia în considerare protecţia activelor informaţionale – stocate, tratate, partajate, transmise sau extrase de pe un suport electronic - în faţa ameninţărilor care conduc la distrugere, divulgare, sau inaccesibilitate.

Noţiunea de securitate informatică se refera la diversele mecanisme, instrumente, proceduri sau tehnici care asigură protecţia sistemelor, a reţelelor informatice si de comunicatie.

Parametrii de securitate a informatiei

Disponibilitatea - garantarea accesului la informaţie a utilizatorilor abilitaţi, în condiţii bine determinate de timp şi performanţă.

Integritatea – garantarea exactitudinii şi a exhaustivităţii informaţiei, sub aspectul nealterării ei voluntare sau involuntare, de către persoane neautorizate.

Confidenţialitatea – garanteaza că informaţia este redată doar utilizatorilor autorizaţi, accesarea acesteia fiind efectuată în baza unor reguli predefinite.

Controlul (trasabilitatea) – asigurarea atributului de non-repudiere al informaţiei

(imposibilitatea utilizatorului de a nega recepţionarea/transmiterea informaţiei);

garantarea trasabilităţii - posibilitatea de a controla traseul informaţiei, prin amprentele lăsate de aceasta in sistem.

Elemente vizate de securitatea IC&T

activele informaţionale – baze şi bănci de date, documentaţii de sisteme, proceduri de fabricaţie, planuri, programe, arhive, brevete de invenţii, drepturi de autor, marcă, imagine etc;

programe informatice – software de bază, aplicaţii, programe utilitare, instrumente de dezvoltare software etc;

materiale informatice – calculatoare, echipamente de comunicaţie, suporturi de memorare etc;

servicii electronice – telecomunicaţii, servicii de interes public, servicii bancare etc.

Managementul securitatii informatiei

Managementul securităţii informaţiei – proces prin care se asigura pilotajul activitatilor referitoare la gestionarea informatiei si a sistemelor informatice într-o manieră care să garanteze un nivel adecvat de protecţie a acestora, în timp şi spaţiu.

Obiectivul fundamental - prevenirea producerii riscurilor in domeniul IC&T care pot compromite patrimoniul organizaţiei, precum şi recuperarea rapidă a pierderilor survenite în urma manifestării acestora.

4.2 Gestiunea riscurilor in domeniul informatic

Definitie:

Coordonarea într-o manieră continuă, a activităţilor de identificare,

evaluare, control si eliminare a riscurilor specifice infrastructurii IC&T

a organizaţiei, precum şi operaţionalizarea unor sisteme corespunzătoare

de supraveghere şi de alertă.

Riscurile din sfera informatica

Riscul = un pericol dovedit sau potential, previzibil sau nu,

care are un impact nefavorabil asupra capacitatii organizatiei

de a-si atinge obiectivele, precum si asupra nivelului sau

de performanta.

Delimitarea terminologica a riscurilor in domeniul IC&T

Riscul informaţional reprezintă un pericol dovedit sau potenţial, mai mult sau mai puţin previzibil, care se manifestă asupra caracteristicilor, a conţinutului, a operaţiilor la care este supusa informaţia, precum şi asupra circuitului sau fluxului informaţional.

Riscul informatic reprezintă un pericol dovedit sau potenţial, mai mult sau mai puţin previzibil, care se manifestă asupra sistemelor software de exploatare şi al programelor informatice.

Riscul tehnologic reprezintă un pericol dovedit sau potenţial, mai mult sau mai puţin previzibil, care se manifestă asupra echipamentelor hardware, al instrumentelor şi sistemelor de comunicaţie electronică, precum şi asupra tehnologiilor funcţionale pe platforme Internet.

Componentele riscului

Probabilitatea de aparitie Variaza de la imposibilitate la certitudine si se exprima pe o

scara de valori pe trei niveluri: mica – medie – mare. Nivelul de vulnerabilitate

Exprima gradul de expunere la risc si se exprima pe trei niveluri: redusa – medie – mare.

Nivelul impactului Reprezinta efectele riscului in cazul producerii lui, scara

valorica pe trei niveluri: scazut – moderat – ridicat.

Masurarea riscului

Aria de manifestare a riscului informatic

Aria de risc in sfera informatica

Externa

Interna

Mixta

• grupuri de presiune• piratare site• intruziunea

informatica (hacking)

• echipamente neperformante

• produse informatice contrafacute• gestiune defectuoasa a

inform. uzurparea

identitatii atacuri virale deturnarea

informatiei

Tipuri de vulnerabilitati

Vulnerabilitati

Organizationale

Tehnice

Umane

Externe

- Arhitecturi informatice, de comunicatie permisive- Administrare nesecurizata aaplicatiilor

- Deficiente de conceptie- Conexiuni nesigure pt. comunicatii

- Necunoasterea/ignorarea amenintarilor- Lipsa de implicare a cond.

- Defaimarea, decredibilizarea imaginii si a notorietatii

4.3 Politica de securitate informatica

Concept:Componentă cu rol complementar şi de suport în cadrul celorlalte politici existente în organizaţie, concepută pentru a asigura cadrul formal de aplicare a măsurilor de securitate, destinate reducerii riscurilor IC&T şi a pierderilor generate de acestea .

Obiectiv urmarit prin PSI Asigurarea protecţiei activelor informaţionale ale organizatiei, în scopul garantării continuităţii în funcţionare a propriului sistem.

Elemente generale ale politicii de securitate informatica

Elemente ale PSI Intrebari asociate

Organizarea securităţii Ce anume trebuie protejat? De ce?

Atribuirea rolurilor şi a responsabilităţilor

Cine asigură protecţia? Care sunt nivelurile de protecţie pentru fiecare actor implicat?

Identificarea ţintelor de securitate pentru fiecare domeniu din organizaţie

Care sunt riscurile potenţiale, cauzele lor ? Ce riscuri pot fi asumate?

Definirea ameninţărilor, identificarea

vulnerabilităţilor Care este nivelul actual de securitate informatică? Care este gradul de vulnerabilitate, pe domenii?

Definirea măsurilor de securitate Care sunt practicile, soluţiile, procedurile ce vor fi operaţionalizate în planul informaţional, informatic şi al comunicaţiilor?

Oportunitatea politici de securitate informatica

Perceptia manageriala Asigurarea securitatii in domeniul informatic este hotaritoare pentru

castigarea increderii din partea partenerilor organizatiei. Abordarea securitatii informatice din perspectiva tehnologica este o

conditie necesara (nu si suficienta) pentru protejarea patrimoniului organizatiei.

Abordarea securitatii informatice din perspectiva manageriala (conditia de suficienta) este in masura sa asigure o coerenta a scopurilor PSI cu obiectivele strategice generale.

Perceptia economica (eficienta si eficacitate) Asigurarea securitatii informatice nu sporeste in mod direct si vizibil

resursele financiare ale organizatiei, dar in mod sigur, evita sa le piarda!!!

Securitatea in domeniul informatic poseda o eficacitate “pasiva”, reflectata prin efecte care ar apare ca urmare a insecuritatii informatice!

Securitatea informatica este o calatorie permanenta

si nu doar o destinatie.

(Club de la Securite de l’Information Francais)