PROTECȚIA ȘI SECURITATEA INFORMAȚIEI ÎN CADRUL BĂNCII BRD
-
Upload
isaila-paula-irina -
Category
Documents
-
view
214 -
download
0
Transcript of PROTECȚIA ȘI SECURITATEA INFORMAȚIEI ÎN CADRUL BĂNCII BRD
-
7/28/2019 PROTECIA I SECURITATEA INFORMAIEI N CADRUL BNCII BRD
1/9
PROTECIA I SECURITATEA INFORMAIEI N
CADRUL BNCII BRD
Realizator: Isil Paula-Irina
Profesor ndrumtor: Valentin Mzreanu
-
7/28/2019 PROTECIA I SECURITATEA INFORMAIEI N CADRUL BNCII BRD
2/9
Informaia este o valoare cu o importanta deosebita pentru o persoana fizic sau pentru
o organizaie i, n consecin, necesit o protecie adecvat. Securitatea informaiei
protejeaz informaia de o gam larg de ameninri. n acest context, securitatea informaiei
este caracterizat ca fiind cea care asigur i menine urmtoarele:
Confidenialitatea: asigurarea faptului c informaia este accesibil doar persoanelorautorizate;
Integritatea:pstrarea acurateei i completitudinii informaiei precum i a metodelorde procesare;
Disponibilitatea: asigurarea faptului c utilizatorii autorizai au acces la informaie ila resursele asociate atunci cnd este necesar
DISPONIBILITATE
CONFINDENIALITATE INTEGRITATE
Securitatea informaiei este obinut prin implementarea unui set adecvat de politici,
practici, proceduri, structuri organizaionale i funcii software. Aceste elemente trebuieimplementate n msura n care asigur atingerea obiectivelor specifice de securitate.
Acolo unde este vorba despre reea, este i normal s apar conceptul de securitatea a
informaiilor, fapt care a fost luat n seam de ctre productori, i implementat sub forma
unei parole de rulare a programului sau de conectare spre alt staie prin remote control.
Securitatea informaiei reprezint un lucru extrem de important pentru fiecare
computer conectat la internet, sau aflat intr-o alt reea de tip intranet, extranet i chiar o reea
local.
INFORMAII
-
7/28/2019 PROTECIA I SECURITATEA INFORMAIEI N CADRUL BNCII BRD
3/9
Asigurarea securitii n sistemele de calcul presupune concentrarea n principal pe
asigurarea fizic mpotriva dezastrelor naturale i pe lupta mpotriva atacurilor care vin din
partea oamenilor. Atacurile asupra sistemelor de calcul sunt defapt o extrapolare a atacurilor
n general. Si de o parte i de alta a baricadei atacat i atacator se afl oameni.
Aadar, sistemul informatic primete, prelucreaz i comunic date, fiind o
component a unui ansamblu de dispozitive interconectate; datele existente la nivelul
sistemului informatic trebuie protejate folosind diverse procedurisoftware i/sau hardware
mpotriva atacurilor interne sau externe sistemului.
Informaii generale
BRD - Groupe Socit Gnrale este a doua banca din Romania, ca dimensiune, cu o
cota medie de piata de 20%. Cu o capitalizare de peste 5 miliarde de euro, banca ocupa locul
doi n topul companiilor listate la Bursa de Valori Bucuresti.
BRD apartine unuia dintre cele mai importante grupuri bancare din Europa: Grupul
Socit Gnrale. Banca are aproximativ 2.300.000 clienti si activeaza pe in principal pe trei
piete: persoane fizice si IMM-uri (banca de retail), banca marilor clienti corporate si banca de
investitii.
Obiectivul BRD - Groupe Socit Gnrale este sa isi dezvolte intr-o maniera durabila
activitatea pe toate cele trei piete. In acest sens, banca duce o politica de crestere durabila,
bazata pe o imbunatatire continua a calitatii serviciilor, pe o dezvoltare selectiva a produselor
si serviciilor sale si pe o extindere sustinuta a retelei sale de agenii.
Audit de secur itate
Un audit de securitate este o valoare sistematic, msurabil i tehnic a modului ncare politica de securitate a organizaiei este aplicat la o anumit locaie. Auditorii desecuritate lucreaz cu cunotine depline despre organizaie, uneori cu informaii
confideniale, n scopul de nelege resursele care trebuiesc auditate.
-
7/28/2019 PROTECIA I SECURITATEA INFORMAIEI N CADRUL BNCII BRD
4/9
Auditurile de securitate lucreaz prin interviuri personale, scanri de vulnerabiliti,examinarea setrilor sistemului de operare, analiza shares n reea, loguri, etc. Acetia suntinteresai, n primul rnd, de modul n care politicile de securitate fundamentul oricreistrategii de securitate organizaional eficient sunt de fapt folosite .
n continuare am realizat un chestionar de audit pe care l-am aplicat directorului de labanca BRD.
CHESTIONAR DE AUDIT
1. Folosii parole a v proteja informaiile de mare importan n unitate ?
2. A-i imprtit vreodat parolele contului de utilizator deinute pentru aceste informaii cualte persoane din afara unitii?
3. Exist un proces de a ntrerupe drepturile de acces la informaii pentru angajaii careprsesc compania?
4. Ce fel de controale se aplic pentru a preveni accesul neautorizat la informaiirestricionate?
5. Angajaii au acces doar la ce este relevant muncii lor?6. n incinta unde se afl sistemul exist un sistem de alarm i accesul este autorizat?7. Sursele de curent protejate? Cum ?8. Se verific cu regularitate dac exist incercri neautorizate de conectare la sistemul din
aceast unitate?
9. Se verific cu regularitate dac exist programe care ruleaz pe sistemul n cauz i care arputea permite conectarea persoanelor de la distan?
10.Credei c este nevoie n mod regulat de contientizare a importanei securitiiinformaiilor?
-
7/28/2019 PROTECIA I SECURITATEA INFORMAIEI N CADRUL BNCII BRD
5/9
n urmaaplicrii acestui chestionar rspunsurile au fost urmtoarele:
La prima ntrebare Folosii parole a v proteja informaiile de mare importan n
unitate ? am avut un rspuns pozitiv. n banc un angajat deine mai multe parole pentru aaccesa diferite aplicaii.
La a doua ntrebare A-i imprtit vreodat parolele contului de utilizator deinute
pentru aceste informaii cu alte persoane din afara unitii? directorul mi-a spus c este
strict interzis predarea parolei ctre ali utilizatori. Pentru asta se semneaz un contract chiar
de la angajare n care se precizeaz c este strict interzis divulgarea de informaii
confideniale din cadrul unitii altor utilizatori.
La a treia ntrebare Exist un proces de a ntrerupe drepturile de acces la informaii
pentru angajaii care prsesc compania? mi s-a spus c n momentul ncetrii contractului
de munc sau suspendrii acestuia parolele accesului la informaii se sisteaz automat.
La ntrebarea Ce fel de controale se aplic pentru a preveni accesul neautorizat la
informaii restricionate? n unitate se aplic controale fizice de catre persoane autorizate i
controale non-fizice prin parole, camere de supravegheat, sisteme de alarm, s. a.
La ntrebarea cinci Angajaii au acces doar la ce este relevant muncii lor? accesul
n aplicaii este n concordan cu atributele din fia postului. Accesul la alte adrese de email
sau retele de socializare este stict interzis. Directorul are dreptul sa acceseze adresa de email a
unitii sau o persoana care l inlocuiete cnd el nu este disponibil.
La ntrebarea ase n incinta unde se afl sistemul exist un sistem de alarm i
accesul este autorizat? accesul n unitate se face pe baza unor cartele personalizate de acces
i bineneles exist un sistem de alarm pentru a detecta apariia accesul neautorizat nunitate.
La ntrebarea apte dac sursele de curent sunt protejate i cum sunt acestea protejate
mi s-a spus c sunt protejate pe baza unor acumulatori de energie electric. Aceti acumulatori
se numesc ups-uri si sunt surse alternative de curent. n cazul n care apare o pan de curent
aceti acumulatori funcioneaz pentru ca angajaii unitii sa ii poat desfura n cele mai
bune condiii munca.
-
7/28/2019 PROTECIA I SECURITATEA INFORMAIEI N CADRUL BNCII BRD
6/9
ntrebarea cu numrul opt Se verific cu regularitate dac exist ncercri
neautorizate de conectare la sistemul din aceast unitate? rspunsul a fost ct se poate de
explicit, n cazul n care sunt ncercri neautorizate de conectare la sistem se declaneaz
automat alarma.
La ntrebarea a noua Se verific cu regularitate dac exist programe care ruleaz
pe sistemul n cauz i care ar putea permite conectarea persoanelor de la distan? mi s-a
spus c se verific cu regularitate dac ruleaz programe care ar putea permite con ectarea
persoanelor la distan. Calculatoarele au antivirus instalai pentru eventuali virui care pot s
apar.
Accesul la aplicaiile se poate permite de la distan doar de persoanele autorizate pe
serviciile de internet banking.
La ultima ntrebare Credei c este nevoie n mod regulat de contientizare a
importanei securitii informaiilor?directorul unitii mi-a spus c este foarte important ca
n mod regulat angajaii s fie informai de importana securitii informaiei, mai ales c
aceast instituie are un sistem binepus la punct de control a deoarece lucreaz cu date
confindeiale.
Controlul operaiunilor din punct de vedere a securitii se face pe mai multe nivele :
1. Autocontrolul ( se face zilnic de ctre fiecare persoan care lucreaz cu dateconfideniale ) ;
2. Controlul ef- ierarhic ( zilnic prin sondaj operaiune );3. Organele de control intern ( lunar prin sondaj operaiune )4. Auditul intern ( se face la 1-2 ani prin sondaj sau aciuni de control )
1. Identificarea utilizatorilor cheie din organizaie :- Directorul;- Consilier persoane fizice;- Consilier persoane juridice;- Casier;- Operator ghieu universal ;- Gardian.
-
7/28/2019 PROTECIA I SECURITATEA INFORMAIEI N CADRUL BNCII BRD
7/9
2. Identificareavalorilor informaionale din organizaie:- Informaii personale clieni;- Ordin de plat;- Baza de date cu clieni;- Baza de date cu firmele care au primit credite;- Baza de date cu persoanele fizice care au depozite bancare;- Baza de date cu persoanele fizice care au primit credite.
3. I dentif icarea tehnologiilor hardware din organizaie :- Memorie Ram;- Scannere;- Imprimante;- Hard disk.
4. Idenificarea tehnologiilor software din organizaie:- Antivirus ;- Microsoft office;- Sistemul informatic IBANK;- Web site.
Pe baza utilizatorilor cheie din organizaie si a valorilor informaionale am realizat o matricede control al accesului.
MATRICEA CRUD
R- read ; C- create ; U- update ; D- delete.
Subiect/Obiect Informaiipersonaleclieni
Ordin de plat Baz de datecu clieniunitii
Baz de datecu firmele careau primitcredite
Baz de date cupersoanele fizicecare au depozitebancare
Baz de datecu persoanefizice care au
primit credite
Director R, U, C, D R, C R, C, U, D R, C, U, D R, C, U, D R, C, U, DCosilier persoane
juridice
R, C, U* R, C R, C, U* R, C, U*, D* R R
Consilierpersoane fizice
R, C, U* R, C R, C, U* R R, C, U*, D* R, C, U*, D*
Casier R R R R R ROperator ghieuuniversal
R, C R, C R, C, U*, D* R, R R
Gardian R R R R R R
-
7/28/2019 PROTECIA I SECURITATEA INFORMAIEI N CADRUL BNCII BRD
8/9
Vulnerabiliti n cazul tehnologiilor software
Infractorii cibernetici se folosesc adesea de vulnerabilitile pentru care nu au fost
lansate patch-uri din software-urile expirate, pentru a ptrunde n infrastructura IT a
companiei.Acetiautilizeaz un instrument foarte popular -exploit-urile - pentru a-i atingescopurile. Exploit-urile sunt elemente care folosesc vulnerabilitile sistemului de operare i
ale aplicaiilor pentru a infecta computerele. Aceste exploit-uri sunt utilizate adesea pentru a
lansa atacuri asupra companiilor, de aceea soluiile de securitate pentru companii ncearc s
le detecteze i s le distrug. O modalitate eficient de a preveni i de a elimina aceste
vulnerabiliti ct mai rapid posibil este instalarea de patch-uri pentru software
Software-ul ru intenionat este un tip de software proiectat intenionat pentru
deteriorarea unui computersau infiltrarea n el, sau/i deteriorarea ori infiltrarea n
ntregireele de computere, fr consimmntul proprietarului respectiv.Noiunea se
utilizeaz generalizat de ctre informaticieni pentru a desemna orice form ostil, intruziv
sau suprtoare de software sau cod de program.
Alte vulnerabiliti care apar o dat cu instalarea de programe software intr-o
organizaie ar mai fi software infecios: virui i viermi informatici care afecteaz fiierele i
programele aflate n memorie sau pe disc, inclusiv sistemul de operare sau componente ale
acestuia.
Cteva dintre efectele pe care le genereaz viruii software:
distrugerea unor fiiere;
modificarea dimensiunii fiierelor;
tergerea total a informailorde pe disc, inclusiv formatarea acestuia;
distrugerea tabelei de alocare a fiierelor, care duce la imposibilitatea citiriiinformaiei de pe disc;
diverse efecte grafice/sonore, inofensive sau i duntoare;
ncetinirea vitezei de lucru (util) a calculatorului, pn la blocarea acestuia;
nmulirea fiierelor pn la umplerea memoriei;
ascunderea fiierelor si blocarea anumitor spaii.
http://ro.wikipedia.org/wiki/Softwarehttp://ro.wikipedia.org/wiki/Computerhttp://ro.wikipedia.org/wiki/Re%C8%9Bea_de_calculatoarehttp://ro.wikipedia.org/wiki/Re%C8%9Bea_de_calculatoarehttp://ro.wikipedia.org/wiki/Programhttp://ro.wikipedia.org/wiki/Programhttp://ro.wikipedia.org/wiki/Re%C8%9Bea_de_calculatoarehttp://ro.wikipedia.org/wiki/Computerhttp://ro.wikipedia.org/wiki/Software -
7/28/2019 PROTECIA I SECURITATEA INFORMAIEI N CADRUL BNCII BRD
9/9
n urma aplicrii chestionarul am identificat urmtoarele scenarii de lucru:
1. Toi angajaii ii incep munca la acceiaior i pentru a intra n unitate folosesc cartelede acces personalizate.
2. Exist o persoan angajat care se ocup de buna funcionarea a camerelor desupravegheat , a alarmei i a acumulatorilor de energie electric.
3. Camerele de supravegheat funcioneaz cu regularitate, iar n cazul n care sedefecteaz se remediaz problema ct mai repede.
4. Angajaii ii fac foarte bine treaba, ei nu acceseaz adrese de socializare sau intr peadrese de email personale, doar directorul acceseaz adresa de email a unitii.
5. Directorul acceseaz baza de date cu clieni. Pentru autentificare folosete o parol,dup intr n aplicaia de tipul Microsoft Office Excel.
6. Dup incheierea programul de munc dou persoane parseasc incinta unitii.Concluzii