PROTECȚIA ȘI SECURITATEA INFORMAȚIEI ÎN CADRUL BĂNCII BRD

7/28/2019 PROTECIA I SECURITATEA INFORMAIEI N CADRUL BNCII BRD

1/9

PROTECIA I SECURITATEA INFORMAIEI N

CADRUL BNCII BRD

Realizator: Isil Paula-Irina

Profesor ndrumtor: Valentin Mzreanu


2/9

Informaia este o valoare cu o importanta deosebita pentru o persoana fizic sau pentru

o organizaie i, n consecin, necesit o protecie adecvat. Securitatea informaiei

protejeaz informaia de o gam larg de ameninri. n acest context, securitatea informaiei

este caracterizat ca fiind cea care asigur i menine urmtoarele:

Confidenialitatea: asigurarea faptului c informaia este accesibil doar persoanelorautorizate;

Integritatea:pstrarea acurateei i completitudinii informaiei precum i a metodelorde procesare;

Disponibilitatea: asigurarea faptului c utilizatorii autorizai au acces la informaie ila resursele asociate atunci cnd este necesar

DISPONIBILITATE

CONFINDENIALITATE INTEGRITATE

Securitatea informaiei este obinut prin implementarea unui set adecvat de politici,

practici, proceduri, structuri organizaionale i funcii software. Aceste elemente trebuieimplementate n msura n care asigur atingerea obiectivelor specifice de securitate.

Acolo unde este vorba despre reea, este i normal s apar conceptul de securitatea a

informaiilor, fapt care a fost luat n seam de ctre productori, i implementat sub forma

unei parole de rulare a programului sau de conectare spre alt staie prin remote control.

Securitatea informaiei reprezint un lucru extrem de important pentru fiecare

computer conectat la internet, sau aflat intr-o alt reea de tip intranet, extranet i chiar o reea

local.

INFORMAII


3/9

Asigurarea securitii n sistemele de calcul presupune concentrarea n principal pe

asigurarea fizic mpotriva dezastrelor naturale i pe lupta mpotriva atacurilor care vin din

partea oamenilor. Atacurile asupra sistemelor de calcul sunt defapt o extrapolare a atacurilor

n general. Si de o parte i de alta a baricadei atacat i atacator se afl oameni.

Aadar, sistemul informatic primete, prelucreaz i comunic date, fiind o

component a unui ansamblu de dispozitive interconectate; datele existente la nivelul

sistemului informatic trebuie protejate folosind diverse procedurisoftware i/sau hardware

mpotriva atacurilor interne sau externe sistemului.

Informaii generale

BRD - Groupe Socit Gnrale este a doua banca din Romania, ca dimensiune, cu o

cota medie de piata de 20%. Cu o capitalizare de peste 5 miliarde de euro, banca ocupa locul

doi n topul companiilor listate la Bursa de Valori Bucuresti.

BRD apartine unuia dintre cele mai importante grupuri bancare din Europa: Grupul

Socit Gnrale. Banca are aproximativ 2.300.000 clienti si activeaza pe in principal pe trei

piete: persoane fizice si IMM-uri (banca de retail), banca marilor clienti corporate si banca de

investitii.

Obiectivul BRD - Groupe Socit Gnrale este sa isi dezvolte intr-o maniera durabila

activitatea pe toate cele trei piete. In acest sens, banca duce o politica de crestere durabila,

bazata pe o imbunatatire continua a calitatii serviciilor, pe o dezvoltare selectiva a produselor

si serviciilor sale si pe o extindere sustinuta a retelei sale de agenii.

Audit de secur itate

Un audit de securitate este o valoare sistematic, msurabil i tehnic a modului ncare politica de securitate a organizaiei este aplicat la o anumit locaie. Auditorii desecuritate lucreaz cu cunotine depline despre organizaie, uneori cu informaii

confideniale, n scopul de nelege resursele care trebuiesc auditate.


4/9

Auditurile de securitate lucreaz prin interviuri personale, scanri de vulnerabiliti,examinarea setrilor sistemului de operare, analiza shares n reea, loguri, etc. Acetia suntinteresai, n primul rnd, de modul n care politicile de securitate fundamentul oricreistrategii de securitate organizaional eficient sunt de fapt folosite .

n continuare am realizat un chestionar de audit pe care l-am aplicat directorului de labanca BRD.

CHESTIONAR DE AUDIT

1. Folosii parole a v proteja informaiile de mare importan n unitate ?

2. A-i imprtit vreodat parolele contului de utilizator deinute pentru aceste informaii cualte persoane din afara unitii?

3. Exist un proces de a ntrerupe drepturile de acces la informaii pentru angajaii careprsesc compania?

4. Ce fel de controale se aplic pentru a preveni accesul neautorizat la informaiirestricionate?

5. Angajaii au acces doar la ce este relevant muncii lor?6. n incinta unde se afl sistemul exist un sistem de alarm i accesul este autorizat?7. Sursele de curent protejate? Cum ?8. Se verific cu regularitate dac exist incercri neautorizate de conectare la sistemul din

aceast unitate?

9. Se verific cu regularitate dac exist programe care ruleaz pe sistemul n cauz i care arputea permite conectarea persoanelor de la distan?

10.Credei c este nevoie n mod regulat de contientizare a importanei securitiiinformaiilor?


5/9

n urmaaplicrii acestui chestionar rspunsurile au fost urmtoarele:

La prima ntrebare Folosii parole a v proteja informaiile de mare importan n

unitate ? am avut un rspuns pozitiv. n banc un angajat deine mai multe parole pentru aaccesa diferite aplicaii.

La a doua ntrebare A-i imprtit vreodat parolele contului de utilizator deinute

pentru aceste informaii cu alte persoane din afara unitii? directorul mi-a spus c este

strict interzis predarea parolei ctre ali utilizatori. Pentru asta se semneaz un contract chiar

de la angajare n care se precizeaz c este strict interzis divulgarea de informaii

confideniale din cadrul unitii altor utilizatori.

La a treia ntrebare Exist un proces de a ntrerupe drepturile de acces la informaii

pentru angajaii care prsesc compania? mi s-a spus c n momentul ncetrii contractului

de munc sau suspendrii acestuia parolele accesului la informaii se sisteaz automat.

La ntrebarea Ce fel de controale se aplic pentru a preveni accesul neautorizat la

informaii restricionate? n unitate se aplic controale fizice de catre persoane autorizate i

controale non-fizice prin parole, camere de supravegheat, sisteme de alarm, s. a.

La ntrebarea cinci Angajaii au acces doar la ce este relevant muncii lor? accesul

n aplicaii este n concordan cu atributele din fia postului. Accesul la alte adrese de email

sau retele de socializare este stict interzis. Directorul are dreptul sa acceseze adresa de email a

unitii sau o persoana care l inlocuiete cnd el nu este disponibil.

La ntrebarea ase n incinta unde se afl sistemul exist un sistem de alarm i

accesul este autorizat? accesul n unitate se face pe baza unor cartele personalizate de acces

i bineneles exist un sistem de alarm pentru a detecta apariia accesul neautorizat nunitate.

La ntrebarea apte dac sursele de curent sunt protejate i cum sunt acestea protejate

mi s-a spus c sunt protejate pe baza unor acumulatori de energie electric. Aceti acumulatori

se numesc ups-uri si sunt surse alternative de curent. n cazul n care apare o pan de curent

aceti acumulatori funcioneaz pentru ca angajaii unitii sa ii poat desfura n cele mai

bune condiii munca.


6/9

ntrebarea cu numrul opt Se verific cu regularitate dac exist ncercri

neautorizate de conectare la sistemul din aceast unitate? rspunsul a fost ct se poate de

explicit, n cazul n care sunt ncercri neautorizate de conectare la sistem se declaneaz

automat alarma.

La ntrebarea a noua Se verific cu regularitate dac exist programe care ruleaz

pe sistemul n cauz i care ar putea permite conectarea persoanelor de la distan? mi s-a

spus c se verific cu regularitate dac ruleaz programe care ar putea permite con ectarea

persoanelor la distan. Calculatoarele au antivirus instalai pentru eventuali virui care pot s

apar.

Accesul la aplicaiile se poate permite de la distan doar de persoanele autorizate pe

serviciile de internet banking.

La ultima ntrebare Credei c este nevoie n mod regulat de contientizare a

importanei securitii informaiilor?directorul unitii mi-a spus c este foarte important ca

n mod regulat angajaii s fie informai de importana securitii informaiei, mai ales c

aceast instituie are un sistem binepus la punct de control a deoarece lucreaz cu date

confindeiale.

Controlul operaiunilor din punct de vedere a securitii se face pe mai multe nivele :

1. Autocontrolul ( se face zilnic de ctre fiecare persoan care lucreaz cu dateconfideniale ) ;

2. Controlul ef- ierarhic ( zilnic prin sondaj operaiune );3. Organele de control intern ( lunar prin sondaj operaiune )4. Auditul intern ( se face la 1-2 ani prin sondaj sau aciuni de control )

1. Identificarea utilizatorilor cheie din organizaie :- Directorul;- Consilier persoane fizice;- Consilier persoane juridice;- Casier;- Operator ghieu universal ;- Gardian.


7/9

2. Identificareavalorilor informaionale din organizaie:- Informaii personale clieni;- Ordin de plat;- Baza de date cu clieni;- Baza de date cu firmele care au primit credite;- Baza de date cu persoanele fizice care au depozite bancare;- Baza de date cu persoanele fizice care au primit credite.

3. I dentif icarea tehnologiilor hardware din organizaie :- Memorie Ram;- Scannere;- Imprimante;- Hard disk.

4. Idenificarea tehnologiilor software din organizaie:- Antivirus ;- Microsoft office;- Sistemul informatic IBANK;- Web site.

Pe baza utilizatorilor cheie din organizaie si a valorilor informaionale am realizat o matricede control al accesului.

MATRICEA CRUD

R- read ; C- create ; U- update ; D- delete.

Subiect/Obiect Informaiipersonaleclieni

Ordin de plat Baz de datecu clieniunitii

Baz de datecu firmele careau primitcredite

Baz de date cupersoanele fizicecare au depozitebancare

Baz de datecu persoanefizice care au

primit credite

Director R, U, C, D R, C R, C, U, D R, C, U, D R, C, U, D R, C, U, DCosilier persoane

juridice

R, C, U* R, C R, C, U* R, C, U*, D* R R

Consilierpersoane fizice

R, C, U* R, C R, C, U* R R, C, U*, D* R, C, U*, D*

Casier R R R R R ROperator ghieuuniversal

R, C R, C R, C, U*, D* R, R R

Gardian R R R R R R


8/9

Vulnerabiliti n cazul tehnologiilor software

Infractorii cibernetici se folosesc adesea de vulnerabilitile pentru care nu au fost

lansate patch-uri din software-urile expirate, pentru a ptrunde n infrastructura IT a

companiei.Acetiautilizeaz un instrument foarte popular -exploit-urile - pentru a-i atingescopurile. Exploit-urile sunt elemente care folosesc vulnerabilitile sistemului de operare i

ale aplicaiilor pentru a infecta computerele. Aceste exploit-uri sunt utilizate adesea pentru a

lansa atacuri asupra companiilor, de aceea soluiile de securitate pentru companii ncearc s

le detecteze i s le distrug. O modalitate eficient de a preveni i de a elimina aceste

vulnerabiliti ct mai rapid posibil este instalarea de patch-uri pentru software

Software-ul ru intenionat este un tip de software proiectat intenionat pentru

deteriorarea unui computersau infiltrarea n el, sau/i deteriorarea ori infiltrarea n

ntregireele de computere, fr consimmntul proprietarului respectiv.Noiunea se

utilizeaz generalizat de ctre informaticieni pentru a desemna orice form ostil, intruziv

sau suprtoare de software sau cod de program.

Alte vulnerabiliti care apar o dat cu instalarea de programe software intr-o

organizaie ar mai fi software infecios: virui i viermi informatici care afecteaz fiierele i

programele aflate n memorie sau pe disc, inclusiv sistemul de operare sau componente ale

acestuia.

Cteva dintre efectele pe care le genereaz viruii software:

distrugerea unor fiiere;

modificarea dimensiunii fiierelor;

tergerea total a informailorde pe disc, inclusiv formatarea acestuia;

distrugerea tabelei de alocare a fiierelor, care duce la imposibilitatea citiriiinformaiei de pe disc;

diverse efecte grafice/sonore, inofensive sau i duntoare;

ncetinirea vitezei de lucru (util) a calculatorului, pn la blocarea acestuia;

nmulirea fiierelor pn la umplerea memoriei;

ascunderea fiierelor si blocarea anumitor spaii.
http://ro.wikipedia.org/wiki/Softwarehttp://ro.wikipedia.org/wiki/Computerhttp://ro.wikipedia.org/wiki/Re%C8%9Bea_de_calculatoarehttp://ro.wikipedia.org/wiki/Re%C8%9Bea_de_calculatoarehttp://ro.wikipedia.org/wiki/Programhttp://ro.wikipedia.org/wiki/Programhttp://ro.wikipedia.org/wiki/Re%C8%9Bea_de_calculatoarehttp://ro.wikipedia.org/wiki/Computerhttp://ro.wikipedia.org/wiki/Software


9/9

n urma aplicrii chestionarul am identificat urmtoarele scenarii de lucru:

1. Toi angajaii ii incep munca la acceiaior i pentru a intra n unitate folosesc cartelede acces personalizate.

2. Exist o persoan angajat care se ocup de buna funcionarea a camerelor desupravegheat , a alarmei i a acumulatorilor de energie electric.

3. Camerele de supravegheat funcioneaz cu regularitate, iar n cazul n care sedefecteaz se remediaz problema ct mai repede.

4. Angajaii ii fac foarte bine treaba, ei nu acceseaz adrese de socializare sau intr peadrese de email personale, doar directorul acceseaz adresa de email a unitii.

5. Directorul acceseaz baza de date cu clieni. Pentru autentificare folosete o parol,dup intr n aplicaia de tipul Microsoft Office Excel.

6. Dup incheierea programul de munc dou persoane parseasc incinta unitii.Concluzii

PROTECȚIA ȘI SECURITATEA INFORMAȚIEI ÎN CADRUL BĂNCII BRD

Documents

Transcript of PROTECȚIA ȘI SECURITATEA INFORMAȚIEI ÎN CADRUL BĂNCII BRD