ACADEMIA DE ADMINISTRARE PUBLICĂ

Catedra Tehnologii Informaţionale Aplicate

TEZA DE AN:

„UTILIZAREA INSTRUMENTELOR

DE SECURIZARE A

INFORMAŢIEI”

Masterandul gr. 228 MP,Nadejda SCRIPNIC

Coordonator ştiinţific:Lector superior universitar

Olga CERBU

Chişinău, 2013CUPRINSUL

1

INTRODUCERE...........................................................................................................................3

1. Securitatea reţelelor...............................................................................................................7

2. Administrarea performanţei...............................................................................................12

2.1. Administrarea securităţii................................................................................................................12

2.2. Abordarea problemei securităţii datelor într-o reţea.....................................................................13

2.3. Modelul de securitate pentru un sistem.........................................................................................14

2.4. Diferenţe între OSI şi TMN..............................................................................................................16

3. Soluţii de securitate hardware şi software.........................................................................17

4. Securizarea unui sistem de operare....................................................................................22

4.1. Configurarea securității în sisteme Windows XP, Vista, Win7........................................................22

4.2. Configurarea securizarea sistemelor de operare de tip server.......................................................25

5. Cerinţe privind securitatea informaţiei în sistemul bancar.............................................28

5.1. Reglementări privind securitatea informaţiei în România..............................................................28

5.2. Standarde de securitate a informaţiei............................................................................................29

5.3. Securitatea informaţiei din perspectiva riscului operaţional..........................................................30

5.4. Securitatea informaţiei la nivel de sistem.......................................................................................32

CONCLUZII................................................................................................................................34

BIBLIOGRAFIE.........................................................................................................................37

INTRODUCERE

2

Securitatea informaţiilor este acum o problemă majoră cu care se

confruntă societatea electronică. Indiferent de dimensiunea organizaţiei, odată cu

creşterea explozivă a fluxului informaţional, o companie trebuie să găsească

elementele care să asigure protecţia potrivită la nivel de reţea şi nivel de aplicaţie

în faţa atacurilor din ce în ce mai sofisticate. 

Securitatea informației se ocupă cu protejarea informației și sistemelor

informatice, de accesul neautorizat, folosirea, dezvăluirea, întreruperea,

modificarea ori distrugerea lor. Cele trei componente ale securității informației

sunt: confidențialitatea, integritatea și disponibilitatea. Confidențialitatea este

asigurată prin criptarea informației. Integritatea se obține prin mecanisme și

algoritmi de dispersie. Disponibilitatea e asigurată prin întărirea securității rețelei

sau rețelelor de sisteme informatice și asigurarea de copii de siguranță.

Sistemele informaţionale sunt ameninţate atît din interior cît şi din exterior.

Pot fi persoane bine intenţionate care fac diferite erori de operare sau persoane rău

intenţionate, care sacrifică timp şi bani pentru penetrarea sistemelor

informaţionale. Dintre factorii tehnici care permit fisuri de securitate pot fi anumite

erori ale software-ului de prelucrare sau de comunicare sau anumite defecte ale

echipamentelor de calcul sau de comunicaţie. De asemenea, lipsa unei pregătiri

adecvate a administratorului, operatorilor şi utilizatorilor de sisteme amplifică

probabilitatea unor probleme de securitate. Folosirea abuzivă a unor sisteme

(piraterie informatică) reprezintă, de asemenea, unul din factorii de risc major

privind securitatea sistemelor informatice.

Ameliorarea securităţii sistemelor informatice trebuie să fie un obiectiv

important al oricărei organizaţii.Trebuie însă avută în vedere asigurarea unui bun

echilibru între costurile aferente şi avantajele concrete obţinute. Măsurile trebuie să

descurajeze tentativele de penetrare neautorizată, să le facă mai costisitoare decît

obţinerea legală a accesului la aceste programe şi date.

3

Orice reţea conectată la internet are un potenţial ridicat de vulnerabilitate în

faţa unor atacuri sau acţiuni cu efecte distructive pentru resursele informaţionale

din această reţea.

Securitatea înseamnă de obicei că utilizatorii să nu poată executa decât

task-urile pe care sunt autorizaţi să le execute şi să obţină informaţiile pe care sunt

autorizaţi să le aibă. Utilizatorii nu trebuie să poată deteriora datele, aplicaţiile sau

sistemul de operare. Cuvântul securitate implică protecţia împotriva atacurilor rău-

voitoare; de asemenea implică controlul efectelor pe care le au erorile şi

defecţiunile echipamentelor. Dacă un sistem de securitate poate proteja împotriva

unui atac wireless probabil va preveni, de asemenea, şi alte tipuri de probleme.

Astfel pentru implimentarea unu sistem integrat de securitate a unei reţele

este necesar de a se identifica mai întîi marea parte de ameninţări ce urmează să

apară şi împotriva cărora se cere o protecţie maximă.

Securitatea informatică a devenit una din compenentele majore ale

internetului. Analiştii acestui concept au sesizat o contradicţie între nevoia de

comunicaţii şi conectivitate, pe de o parte, şi necesitatea asigurării

confidenţialităţii, integrităţii şi autenticităţii informaţiilor, pe de altă parte.

Domeniul relativ nou al securităţii informatice caută soluţii tehnice pentru

rezolvarea acestei contradicţii aparente. Viteza şi eficienţa

comunicaţiilor “instantanee” de documente şi mesaje conferă numeroase atuuri

actului decizional într-o societate modernă, bazată pe economie concurenţială. Însă

utilizarea serviciilor de poştă electronică, web, transfer de fodnuri etc. se bazează

pe un „sentiment”, adeseori fals de securitate a comunicaţiilor, care poate

transforma potenţialele cîştiguri generate de accesul rapid la informaţii, în pierderi

majore, cauzate de furtul de date sau de înserarea de date false ori denaturate.

Studiile arată că în medie 90% din breşele de securitate identificate nu sunt

datorate problemelor tehnologice ci instalării şi configurării necorespunzătoare sau

datorită nerespectării unor proceduri de utilizare şi administrare a sistemului. În

4

multe cazuri, aceste proceduri nici nu există. Trebuie deci să privim problema pe

ansamblu, adresând tehnologia, oamenii şi procedurile interne ale

companiei/organizaţiei.

Fig. 1. Securitatea la nivel de acces perimetral

Fig. 2. Securitatea la nivel informaţional

Securitatea trebuie să fie o caracteristică intrinsecă a sistemului. Un sistem

sigur este unul bine proiectat, implementat, utilizat şi administrat.

5

Pentru a avea o abordare de ansamblu, trebuie pornit de la lucrurile

elementare: uniformitatea infrastructurii din punct de vedere al sistemelor folosite,

administrarea centralizată, menţinerea la zi a sistemelor din punct de vedere al

patch-urilor şi fix-urilor (pentru sistemele de operare şi aplicaţiile instalate),

aplicarea unor configurări standard de securitate pe toate serverele şi staţiile de

lucru, în funcţie de rolul funcţional al acestora precum şi realizarea unor proceduri

standard de utilizare şi administrare.

Fig. 3. Penetrarea unei reţele de calculatore

Securitatea rețelelor de calculatoare este în acest moment parte

integrantă a domeniului rețelelor de calculatoare  și ea implică 

protocoale, tehnologii, sisteme, instrumente și tehnici pentru a securiza

și opri atacurile rău intenționate. Atacurile cibernetice au crescut

considerabil în ultimii ani, iar conform unor rapoarte Europol,

infracțiunile comise în spațiul cibernetic provoacă pagube anual de peste

1 trilion de dolari.[1]

1. Securitatea reţelelor

6

Fiind un domeniu complex, au fost create domenii de diviziune pentru a

putea face administrarea mai facilă. Acesta împărțire permite profesionistilor o

abordare mai precisă în privința instruirii, cercetării și diviziuni muncii în acest

domeniu. Sunt 12 domenii ale securității rețelelor specificate de International

Organization for Standardization (ISO)/International Electrotechnical

Commission(IEC):

1. Evaluarea Riscului  e primul pas în administrarea riscului și

determină valoarea cantitativă și calitativă a riscului legat de o situație specifică

sau o amnințare cunoscută;

2. Politica de Securitate  este un document care tratează măsurile

coercitive și comportamentul membrilor unei organizații și specifică cum vor fi

accesate datele, ce date sunt accesibile și cui;

3. Organizarea Securității Informației e un model de guvernare

elaborat de o organizatie pentru securitatea informației

4. Administrarea Bunurilor reprezintă un inventar potrivit unei scheme

clasificate pentru bunurile informaționale

5. Securitatea Resurselor Umane defineste procedurile de securitate

privind angajarea, detașarea și părăsirea de către un angajat a organizației din care

va face, face sau a făcut parte

6. Securitatea Fizica și a Mediului descrie măsurile de protectie pentru

centrele de date din cadrul unei organizații

7. Administrarea Comunicațiilor și Operațiunilor descrie controalele

de securitate pentru rețele și sisteme

8. Controlul Accesului priveste restricțiile aplicate accesului direct la

rețea, sisteme, aplicații și date

9. Achiziția, Dezvoltarea și Păstrarea Sistemelor

Informatice definește aplicarea măsurilor de securitate în aplicații

7

10. Administrarea Incidentelor de Securitate a Informației tratează

cum anticipează și răspunde sistemul la breșele de securitate

11. Administrarea Continuității Afacerii descrie mîsurile de protecție,

întreținere și recuperare a proceselor critice pentru afacere și sisteme

12. Conformitatea descrie procesul de asigurare a conformității cu

politicile de securitate a informației, standarde și reguli

Aceste 12 domenii au fost create pentru a servi ca bază comună pentru

dezvoltarea de standarde și practici de securitate eficiente și pentru a da încredere

activităților desfășurate între organizații.

Tot pe criterii de eficiență în abordare și usurință în învațare, atacurile de

securitate la adresa rețelelor sunt împartite cu carater general în: recunoaștere,

acces și de imposibilitate onorări cererii(DoS).

Atacuri interne

Multe atacuri privind securitatea rețelei provin din interiorul ei. La atacurile

interne se referă furt de parole (care pot fi utlizate sau vândute), spionaj industrial,

angajați nemulțumiți care tind de a cauza daune angajatorului, sau simpla utilizare

necorespunzătoare. Majoritatea acestor încălcări pot fi soluționate cu ajutorul

ofițerului de securitate a companiei, care monitorizează activitatea utilizatorilor

rețelei.

Puncte de acces nesecurizate

Aceste puncte de acces nesecurizate fără fir sunt foarte slabe împotriva

atacurilor din exterior. Ele des sunt prezentate pe comunitățile locale ale hakerilor.

Punctul slab este că orice persoană poate conecta un ruter fără fir ceea ce ar putea

da acces neautorizat la o rețea protejată.

8

Back Doors

Comenzi rapide administrative, erori de configurare, parole ușor

descifrabile pot fi utilizate de către hackeri pentru a avea acces. Cu ajutorul

căutătorilor computerizați (bots), hackerii pot găsi punctul slab al rețelei.

Denial of Service (DoS și DDoS)

Fig. 1.1. Sniffing şi spoofing

Un atac cibernetic de tip DoS (Denial of Service) sau DDoS (Distributed

Denial of service) este o încercare de a face ca resursele unui calculator să devină

indisponibile utilizatorilor. Deși mijloacele și obiectivele de a efectua acest atac

sunt variabile, în general el constă în eforturile concentrate ale unei, sau ale mai

multor persoane de a împiedica un sit sau serviciu Internet să funcționeze eficient,

temporar sau nelimitat. Inițiatorii acestor atacuri țintesc de obicei la situri sau

servicii găzduite pe servere de nivel înalt, cum ar fi băncile, gateway-uri pentru

plăți prin carduri de credite, și chiar servere întregi.

Hackers, Crackers, Script Kiddies

Hackerii Cuvântul hacker în sine are o mulțime de interpretări. Pentru

mulți, ei reprezintă programatori și utilizatori cu cunoștinte avansate de calculator

9

care încearcă prin diferite mijloace să obțină controlul sistemelor din internet, fie

ele simple PC-uri sau servere. Se referă de asemeni la persoanele care ruleaza

diferite programe pentru a bloca sau încetini accesul unui mare număr de

utilizatori, distrug sau șterg datele de pe servere. Hacker are și o interpretare

pozitivă, descriind profesionistul in rețele de calculatoare care-și utilizează

aptitudinile în programarea calculatoarelor pentru a descoperi rețele vulnerabile la

atacuri de securitate. Actiunea in sine, aceea de hacking e privită ca cea care

impulsionează cercetarea în acest domeniu.

Crackerii sunt niște persoane care au un hobby de a sparge parole și de a

dezvolta programe și virusuri de tip calul troian (en:Trojan Horse), numite Warez.

De obicei ei folosesc programele pentru uz propriu sau pentru a le relizeaza pentru

profit.

Script kiddies sunt persoane care nu au cunoștințe sau aptitudini despre

penetrarea unui sistem ei doar descarcă programe de tip Warez pe care apoi le

lansează cu scopul de a produce pagube imense. Aceste persoane sunt angajați

nemulțumiți, teroriști, cooperativele politice.

Viruși și viermi

Virușii și viermii reprezintă programe care au proprietatea de a se

automultiplica sau fragmente de cod care se atașează de alte programe (viruși) sau

calculatoare (viermii). Virușii de obicei stau în calculatoarele gazdă, pe când

viermii tind să se multiplice și să se extindă prin intermediul rețelei.

Trojan Horse

Acest virus este principala cauză a tuturor atacuri a sistemelor

informaționale. Calul Troian se atașează de alte programe. Când se descarcă un

10

fișier care este infectat cu acest virus el la urma sa infectează sistemul, unde oferă

hakerilor acces de la distanță unde ei pot manipula cu sistemul.

Botnets

Îndată ce un calculator (sau probabil mai multe calculatoare) au fost

compromise de un Troian, hackerul are acces la aceste calculatoare infectate, unde

de aici el poate lansa atacuri cum ar fi DDoS (Distribuited Denial of Service).

Grupa de calculatoare care sunt sub controlul hakerului se numesc botnets.

Cuvântul botnet provine de la robot, aceasta însemnând că calculatoarele

îndeplinesc comenzile proprietarului lor și rețea însemnând mai multe calculatoare

coordonate.

Sniffing/Spoofing

Sniffing se referă la actul de interceptare a pachetelor TCP (Transmission

Control Protocol). Spoofing se referă la actul de trimitere nelegitimă a unui packet

de așteptare ACK.

2. Administrarea performanţei

11

Permite colectarea, salvarea şi interpretarea statisticilor, optimizarea reţelei

cu resurse disponibile, detectarea modificărilor de performanţă, asigurarea călitaţii

serviciilor.

Detectează schimbările în performanţa reţelei cu ajutorul datelor statistice

(cronometre şi contoare) oferind astfel siguranţă şi calitate în funcţionarea reţelei.

Performanţa poate fi utilă şi pentru managementul faulturilor (pentru a

detecta erorile), pentru administrarea conturilor (pentru a adapta costurile) şi pentru

administrarea configuraţiei (ce modificare este necesară pentru o configuraţie

optimă).

2.1. Administrarea securităţii

O reţea de calculatoare este o structură deschisă la care se pot conecta noi

tipuri de echipamente (terminate, calculatoare, modem-uri etc.), lucru care conduce

la o lărgire nu întotdeauna controlată a cercului utilizatorilor cu acces nemijiocit la

resursele reţelei (programe, fişiere, baze de date, trafic etc.).

Administrarea securităţii permite administratorului să iniţializeze şi să

modifice funcţiile care protejează reţeaua de accese neautorizate. Părţile

importante ale administrării securităţii sunt:

• protecţia împotriva tuturor ameninţărilor asupra resurselor, serviciilor şi

datelor din reţea;

• asigurarea autorizării, autentificării, confidenţialităţii şi controlului

drepturilor de acces ale utilizatorilor;

• administrarea cheilor de criptare;

• întreţinerea zidurilor de protecţie;

• crearea conectării securizate.

Vulnerabilitatea reţelelor se manifestă pe două planuri: atacul la

integritatea ei fizică (distnigeri ale suportuiui informaţiei) şi pe de altă parte

12

folosirea sau modificarea neautorizată a informaţiilor şi a resurselor reţelei

(scurgerea de informaţii din cercul limitat de utilizatori stabilit, respectiv utilizarea

abuzivă a resurselor reţelei de către persoane neautorizate).

Dintre factorii tehnici care permit fisuri de securitate pot fi anumite defecte

ale echipamentelor de calcul sau de comunicaţie sau anumite erori ale software-

ului de prelucrare sau de comunicare. De asemenea, lipsa unei pregătiri adecvate a

administratorilor, operatorilor şi utilizatorilor de sisteme amplifică probabilitatea

unor breşe de securitate.

Folosirea abuzivă a unor sisteme (piraterie informatică) reprezintă, de

asemenea, unul din factorii de risc major privind securitatea sistemelor

informatice.

În lucrarea de faţă administrarea securităţii este împărţită în securitatea

echipamentelor fizice, numită şi securitate fizică, securitatea aplicaţiilor, numită şi

securitate logică şi securitatea informaţiei.

2.2. Abordarea problemei securităţii datelor într-o reţea.

Abordarea problemei securităţii datelor într-o reţea presupune în primul

rând identificarea cerinţelor de funcţionare pentru acea reţea, apoi identificarea

tuturor ameninţărilor posibile împotriva cărora este necesară protecţia. Această

analiză constă în principal în 3 sub-etape:

• analiza vulnerabilităţilor: identificarea elementelor potenţial slabe ale

reţelei;

• evaluarea ameninţărilor: determinarea problemelor care pot apărea

datorită elementelor slabe ale reţelei şi modurile în care aceste probleme interferă

cu cerinţele de funcţionare;

• analiza riscurilor: posibilele consecinţe pe care problemele le pot crea.

13

Următoarea etapă constă în definirea politicii de securitate, ceea ce

înseamna să se decidă:

• care ameninţări trebuie eliminate şi care se pot tolera;

• care resurse trebuie protejate şi la ce nivel;

• cu ce mijloace poate fi implementată securitatea

• care este preţul (financiar, uman, social etc.) măsurilor de securitate care

poate fi acceptat.

Odată stabilite obiectivele politicii de securitate, următoarea etapă constă în

selecţia serviciilor de securitate, adică funcţiile individuale care sporesc securitatea

reţelei. Fiecare serviciu poate fi implementat prin metode (mecanisme de

securitate) variate pentru implementarea cărora este nevoie de aşa-numitele funcţii

de gestiune a securităţii. Gestiunea securităţii într-o reţea constă în controlul şi

distribuţia informaţiilor către toate sistemele deschise ce compun acea reţea în

scopul utilizării serviciilor şi mecanismelor de securitate şi al raportării

evenimentelor de securitate ce pot apărea către administratorii de reţea.

2.3. Modelul de securitate pentru un sistem

Modelul de securitate pentru un sistem (un calculator sau o reţea de

calculatoare) poate fi văzut ca avînd mai multe straturi ce reprezintă nivelurile de

securitate ce înconjoară subiectul ce trebuie protejat. Fiecare nivel izolează

subiectul şi îl face mai dificil de accesat în alt mod decît cel în care a fost prevăzut.

Securitatea fizică reprezintă nivelul exterior al modelului de securitate şi

constă, în general, în protecţia sub cheie a echipamentelor informatice într-un birou

sau într-o altă incintă precum şi asigurarea pazei şi a controlului accesului. Această

securitate fizică merită o consideraţie specială. Tot o problemă de securitate fizică

o constituie siguranţa păstrării suportilor de salvare (backup) a datelor şi

programelor. Reţelele locale sunt, în acest caz, de mare ajutor, copiile de rezervă 14

putându-se face prin reţea pe o singură maşină ce poate fi mai uşor securizată. O

altă problemă importantă în securitatea fizică a unui sistem informatic o constituie

pur şi simplu sustragerile de echipamente. În plus, celelalte măsuri de securitate

logică (parole etc.) devin nesemnificative în cazul accesului fizic neautorizat la

echipamente.

Într-un sistem în care prelucrarea este distribuită, prima măsură de

securitate fizică care trebuie avută în vedere este prevenirea accesului la

echipamente.

Securitatea logică constă din acele metode logice (software) care asigură

controlul accesului la resursele şi serviciile sistemului. Ea are, la rândul ei, mai

multe niveluri impartite în două grupe mari : niveluri de securitate a accesului (SA)

si niveluri de securitate a serviciilor (SS).

Securitatea accesului (SA) cuprinde:

• accesul la sistem (AS), care este răspunzător de a determina dacă şi când

reţeaua este accesibilă utilizatorilor şi în ce conditii.

• accesul la cont (AC) cu nume şi parolă validă;

• drepturile de acces (DA) la fişiere, servicii, resurse ale utilizatorului sau

grupului.

Securitatea serviciilor (SS), care se află sub SA, controlează accesul la

serviciile sistem, cum ar fi fire de aşteptare, I/O la disc şi gestiunea serverului. Din

acest nivel fac parte:

• controlul serviciilor (CS) avertizează şi raportează starea serviciilor,

activează sau dezactivează serviciile oferite de sitem;

• drepturile la servicii (DS) cum se foloseşte un seviciu dat.

Accesul intr-un sistem de securitate perfect trebuie să se facă prin aceste

niveluri de securitate, de sus în jos.

15

2.4. Diferenţe între OSI şi TMN

OSI are definit o singură arhitectură de administrare, în timp ce TMN

defineşte arhitecturi multiple la diferitele nivele de organizare a reţelei.

A doua diferenţă este că TMN oferă o structură pentru managementul

multi-nivel, cerinţă care există în reţelele reale. Managementul OSI nu oferă o

asemenea structură.

TMN sugerează o separare conceptuală între reţeaua de telecomunicaţii

care este administrată şi reţeaua care transferă informaţia ce trebuie administrată.

Această separare previne problemele de la administrare a erorilor, astfel încât

TMN are capacităţi mai bune la acest capitol decât OSI.

Reţeaua de comunicaţii de date (DCN - Data Communication Network)

cere introducerea de echipament suplimentar şi de sisteme de transmisie.

Problemele care pot apărea la DCN nu trebuie excluse, ceea ce implică necesitatea

unei administrări şi pentru DCN.

Reţeaua de telecomunicaţii nu are facilităţi de transport a informaţiei de

administrat, de aceea folosim DCN (reţelele de telefonie oferă un tip izocron de

servicii care este diferit de cel asincrom (orientat pe pachete)). Reţelele de

comunicaţii de date oferă capabilităţi mai bune de administrare a erorilor, astfel

încât avantajele acestor reţele depăşesc costurile lor.

16

3. Soluţii de securitate hardware şi software

Conceptul de securitate hardware se referă la posibilităţile de a preveni

furtul, vandalismul şi pierderea datelor. Se identifică patru mari concepte:

a) securizarea accesului – posibilitatea de a restricţiona şi urmări accesul

la reţea (posibilităţile de a îngrădi clădirile şi de a securiza punctele de acces în

cadrul unităţii)

b) securizarea infrastructurii – protejarea caburilor, echipamentelor de

telecomunicaţii şi dispozitivelor de reţea – gruparea pe cât posibil în locaţii

puternic securizate a tuturor echipamentelor de comunicaţie, camere de

supravegheat – cu conectare wireless pentru zone greu accesibile – firewall-uri la

nivel hardware, posibilitatea de a monitoriza modificarea cablării şi a

echipamentelor intermediare de comunicaţie – ex. monitorizarea switch-urilor,

routerelor etc.;

c) securizarea accesului la calculatoare – folosind lacăte pentru cabluri –

mai ales pentru laptopuri – carcase ce se pot închide, eventual cutii securizate ce

conţin unităţile centrale ale desktop-urilor;

d) securizarea datelor – în special pentru prevenirea accesului la sursele de

date – ca de ex. Hard disk-urile externe vor trebui ţinute în carcase prevăzute cu

lacăte, precum şi dispozitive de siguranţă pentru stick-uri USB. O atenţie foarte

mare trebuie oferită soluţiilor de back-up folosite, suporturile acestor date trebuiesc

să fie stocate şi transportate în locaţii şi în condiţii foarte sigure(stricte).

Implementarea unei soluţii de securitate foarte puternice este o procedură foarte

dificilă ce implică de multe ori costuri foarte mari, cât şi personal calificat şi foarte

disciplinat.

Cum s-a menţionat şi în fişa 1.3 se încearcă să se găsească un compromis

între nivelul de securizare dorit şi implicaţiile implementării acestor restricţii. O

dezvoltare a ideii de securizare hardware o reprezintă aşa-numitele elemente de

17

monitorizare hardware a reţelelor. Aceste soluţii sunt echipamente special

concepute a întreţine reţele întregi de calculatoare şi vin să înlocuiască

echipamentele uzuale.

De multe ori aceste echipamente conţin un întreg ansamblu de soluţii –

firewall, antivirus, criptări, IDS (Intrusion Detection System), VPN (virtial private

network), trafic snaping. Aceste soluţii se bazează pe cipuri ASIC (Application-

Specific Integrated Circuit) care sunt circuite integrate personalizate să efectueze o

anumită sarcină (se elimină cazurile generale, implementându-se algoritmi speciali,

specializaţi şi optimizaţi). Versiuni similare sunt aşa numitele SoC (System on a

Cip) care conţin şi alte blocuri funcţionale (procesare pe 32 de biţi, memorie ROM,

RAM, EEPROM, Flash). Aceste echipamente totuşi au preţuri foarte mari,

prohibitive pentru companiile mici şi mijlocii, ele folosindu-se în special în cadrul

marilor companii multi-naţionale.

Menirea unei soluţii de securitate software este de a înlocui şi eventual de a

îmbunătăţi soluţia de tip hardware (decizie luată în special din cauza preţului

dispozitivelor hardware specializate). Astfel şi soluţiile software se pot organiza cu

precizările următoare:

a) la nivelul „accesului” se pot folosi sistemele de monitorizare folosindu-

se de coduri de acces, camere de supraveghere cu detecţia mişcării

b) la nivel de „infrastructură” firewall-uri software, sisteme de

monitorizare ale reţelei în vederea detectării de modificări la nivel de cablări,

schimbări de configurare, declanşări de alarme, etc.;

c) la nivel de „date” – posibilităţi de backup automate, păstrate în diferite

locaţii, programe de criptare, etc;

d) la nivelul „calculatoarelor” - IDS (Intrusion Detection Systems) – care

pot monitoriza modificările din cadrul codului programelor şi sesizează activitatea

„neobişnuită” a reţelei, folosirea de aplicaţii de detectare a elementelor de tip

malaware (viruşi, spyware, adware, grayware);

18

Din alt punct de vedere este foarte important de evidenţiat faptul că aceste

soluţii de securitate se mai clasifică şi în funcţie de importanţa lor, astfel,

deosebim:

a) aplicaţii de tip firewall – pentru filtrarea datelor din cadrul unei reţele;

b) aplicaţii pentru detectarea codurilor dăunătoare: aplicaţii antivirus,

aplicaţii anti-spamware, anti-adware, anti-grayware la nivel de reţea;

c) obligativitatea actualizării de patch-uri pentru sistemele de operare şi

aplicaţii instalate pentru a minimiza posibilităţile de infectare folosind breşele de

securitate nou apărute.

Toate aceste aplicaţii sunt absolut necesare în orice reţea care este conectată

la Internet. Întrucât soluţiile de securitate care se pot seta la nivel de desktop (sau

laptop) sunt relativ limitate – în special prin prisma puterii de procesare şi de

disciplina şi cunoştinţele utilizatorilor – rămâne să se instaleze şi configureze

soluţii dedicate de securitate la nivel de reţea, soluţii de care să se folosească toţi

utilizatorii din cadrul ei.

Conform unui studiu al companiei Blue Coat1 care prezintă primele 5 cele

mai bune practici de securitate pentru conectarea la internet, se disting direcţiile de

urmat în următoarea perioadă (luni, ani) şi anume:

1. Alăturarea la o comunitate de supraveghere (community watch). Din ce

în ce mai mulţi utilizatori, se unesc în comunităţi de supraveghere păstrate în aşa

numitele „cloud services” – reţele între care există relaţii bine-stabilite, de

încredere şi dependenţă, bazându-se pe concepte de procesare în reţea(folosindu-se

astfel de puterea de procesare oferită de fiecare calculator din cadrul ei) – pentru a

se proteja unii pe alţii. Când o persoană detectează o ameninţare, aceasta este

percepută de fiecare utilizator din cadrul norului (cloud) astfel ajungând să se apere

fiecare utilizator. Aceste comunităţi sunt un pas foarte important în asigurarea

1 Solution Brief: Top Five Security Best Practices for you Web Gateway în 2009, din 06.05.2009, link http://networking.ittoolbox.com/research/top-five-security-best-practices-for-your-web-gateway-în-2009-19108

19

securităţii deoarece conferă avantaje foarte puternice comparativ cu alte soluţii

singulare, deoarece are la dispoziţie mai multe resurse şi soluţii defensive.

2. Schimbarea mentalităţii defensive „one against the Web” (singur

împotriva Internetului). Soluţiile personale de protejare împotriva atacurilor

criminale care vizează furtul de date, de orice natură, devin foarte repede

„învechite” întrucât aceste atacuri devin din ce în ce mai complexe şi mai

sofisticate tehnologic. Sistemele de protecţie bazate pe semnături actualizate zilnic

sunt forme de protecţie depăşite. Nu se compară aceste soluţii cu ceea ce se poate

oferi prin soluţiile cu design hibrid folosite de comunităţile de supraveghere, care

se bazează pe servicii de protecţie ce se actualizează odată la 5 minute, beneficiind

de serviciile defensive a peste 50 de milioane de utilizatori.

3. Schimbarea politicilor bazate pe „producţie” în politici bazate pe

„protecţie”. Dacă soluţia existentă la momentul actual este mai veche de 1 an,

atunci această soluţie este bazată pe „producţie” – adică la momentul instalării s-a

luat în calcul mărirea productivităţii utilizatorilor prin blocarea de site-uri cu

conţinut obscen şi neproductiv(ex. jocuri online). Cum s-a ajuns ca peste 90% din

conţinutul malaware să vină de la site-uri populare şi „de încredere”, Internetul-ca

un tot unitar - a ajuns să fie principalul „furnizor” de acest conţinut. Pentru

protejare de atacuri venite din Internet este necesar să se blocheze toate formele de

download venite din partea unor site-uri necunoscute sau cu reputaţii ştirbe,

blocând astfel o întreagă cale de acces al ameninţărilor de tip malaware în reţeaua

locală.

4. Folosirea de servicii Web real-time (în timp real) de evaluare. Conţinutul

Web cuprinde o multitudine de metode de filtrare de adrese URL care actualizează

zilnic listele URL statice conţinute de fiecare site. Serviciile Web care oferă

posibilitatea de a evalua site-urile devin unelte foarte puternice şi necesare pentru a

suplimenta valoare de protecţie oferită de soluţiile de filtrare de URL. Dealtfel

aceste servicii oferă un real ajutor şi utilizatorilor finali, oferind informaţii în timp

20

real cu privire la conţinutul paginilor vizitate, utilizatorii bucurându-se de navigări

relativ sigure folosind politici de securitate acceptabile.

5. Protejarea utilizatorilor ce se conectează de la distanţă. Posibilitatea de a

lucra la distanţă a devenit o foarte importantă unealtă de lucru pentru majoritatea

utilizatorilor. Adăugarea unui agent de tip client, legat la o comunitate de

supraveghere poate proteja mai bine utilizatorii la distanţă. Centralizarea politicilor

de management poate oferi protecţia necesară oferită de filtrarea de conţinut şi

blocarea de malware de pe site-urile detectate de o întreaga reţea defensivă a unei

comunităţi de supraveghere.

Producătorii de hardware au venit cu soluţia simplă de a oferi un nivel de

securitate crescut folosind funcţii bazate pe parole (maxim 8 caractere) pentru

accesul la resursele unui calculator, această formă de acces fiind o formă des

întâlnită, şi la îndemâna oricui. Este aşa-numita „parolare din BIOS”.

Sunt câteva aspecte care conferă acestei forme de securizare anumite

avantaje şi dezavantaje:

- este la îndemâna oricui (se regăseşte în orice laptop sau desktop);

- oferă un grad suplimentar de securitate sistemului, reţelei, etc.;

- se poate securiza doar setările BIOS sau şi partea de bootare (prin

parolarea doar a BIOS-ului se pot dezactiva de ex. alte surse pentru bootare);

- are un număr de 3 încercări pentru a introduce parola validă;

- nu se pot securiza datele de pe HDD (cu excepţia unor cazuri speciale – ex.

seria IBM ThinkPad), acestea fiind accesibile prin montarea în altă unitate;

- odată blocat sistemul este necesară intervenţia specializată (posibile soluţii

pentru utilizatorul obişnuit: resetarea BIOS-ului prin acţionarea unui buton, setarea

unui jumper sau scoaterea bateriei CMOS);

- pentru anumite tipuri de BIOS sunt deja cunoscute unele parole

„backdoor” care pot oferi acces pe sistem, făcând această formă de securizare

inutilă.

21

4. Securizarea unui sistem de operare

4.1. Configurarea securită ii în sisteme Windows XP, Vista, Win7ț

Windows XP și Windows 7 sunt cunoscute pentru stabilitatea şi eficienţa sa,

în contrast cu versiunile 9x de Microsoft Windows. Prezintă o interfaţă semnificant

modificată, mai prietenoasă pentru utilizator decât în celelalte versiuni de

Windows. Capacităţile de management noi al software-ului au fost introduse

pentru a evita "iadul DLL-urilor" care a marcat celelalte versiuni de Windows. Este

prima versiune de Windows care necesită activare pentru a combate pirateria

informatică, o facilitate care nu a fost primită cu plăcere de toţi utilizatorii.

Windows XP a fost criticat pentru vulnerabilităţile legate de securitate, pentru

integrarea aplicaţiilor ca Internet Explorer sau Windows Media Player şi pentru

aspecte legate de interfaţa implicită a spaţiului de lucru.

Pentru Windows deosebim câteva aspecte foarte importante în vederea

asigurării unui nivel de securitate minim:

discurile să fie formatate în sistem NTFS – prin acest sistem oferindu-se

posibilităţi de administrare foarte importante;

activarea Windows Firewall (sau instalarea unui program de la terţi);

realizarea de politici clare pentru parole şi obligativitatea introduceri

secvenţei CTRL+Alt+Delete pentru logare (anumite programe pot simula această

secvenţă pentru realizarea unei conexiuni ascunse);

Realizarea unor politici la fel de clare privind realizarea de backup–uri la

intervale regulate şi nu numai – pentru protejarea datelor în cazuri nedorite;

Activarea serviciului de Restore Point – procedura ce oferă posibilitatea

salvării unor stări de moment ale sistemului;

Stabilirea unor reguli de acces la Internet Explorer (Zona Local Intranet,

pentru site-urile din cadrul organizaţiei sau care se află în spatele firewall-ului

22

utilizatorului, Zona Trusted Sites, pentru site-uri care nu se află în spatele firewall-

ului utilizatorului, dar pentru care utilizatorul are încredere totală, Zona Restricted

Sites, pentru site-uri cunoscute de utilizator că fiind maliţioase, Zona Internet

Zone, pentru restul de site-uri, Zona My Computer, care însă de obicei nu e

configurabilă, deoarece controalele ActiveX pe care chiar sistemul de operare le

instalează rulează pe setările de securitate din această zonă)

Nu în ultimul rând este necesară acordarea de atenţie mărită datelor

critice cu caracter personal (conturi, parole, documente private) folosindu-se de

criptări EFS.

Windows Xp nu vine instalat cu un program antivirus şi de aceea este necesar să se

instaleze şi o astfel de aplicaţie (de preferat o soluţie Internet Suite – care conţine

şi alte aplicaţii gen anti-spyware, firewall, back-up, etc.).

Windows 7 are sute de facilităţi noi, cum ar fi o interfaţă grafică modernă şi

un stil vizual nou, Windows Aero, tehnologia de căutare îmbunătăţită, noi unelte

multimedia, precum şi sub-sistemele complet remodelate de reţea, audio,

imprimare şi afişare (display). Vista va îmbunătăţi comunicarea dintre maşini pe o

reţea casnică folosind tehnologia peer-to-peer, şi va facilita folosirea în comun a

fişierelor, parolelor, şi mediilor digitale între diverse computere şi dispozitive.

Pentru proiectanţii de software, Vista pune de asemenea la dispoziţie versiunea 4.0

a sistemului de proiectare numit .NET Framework.

De o securitate îmbunătăţită putem beneficia folosind şi ultima versiune a

aplicaţiei "Windows Firewall" inclusă în sistemul de operare Windows 7. Dar

securitate înseamnă mult mai mult decât updatarea sistemului de operare, o

aplicaţie antispyware/antivirus sau o aplicaţie firewall. Un sistem de operare

trebuie să ofere încredere utilizatorilor şi să protejeze datele (mai mult sau mai

puţin confidenţiale) stocate pe aceste sisteme. În acest domeniu al securităţii

(protecţia datelor, identitate şi control acces) intră şi tehnologiile "User Account

Control" sau "Internet Explorer 7 – Protected Mode".

23

"User Account Control" - tehnologie care nu există în Windows XP, apărând

prima dată în Windows Vista şi în Windows Server 2008 - reduce posibilitatea că o

aplicaţie cu privilegii minime (low) să dobândească în mod automat şi

necontrolat privilegii sporite şi să aibă acces la fişierele utilizatorului fără

consimţământul acestuia.

Această posibilitate există în Windows 2000/XP unde un utilizator (cu

drepturi de administrator) putea fi indus în eroare mai uşor să execute un anumit

cod (aplicaţie ostilă acelui sistem) şi care putea duce la compromiterea acestuia.

Internet Explorer rulează în mod normal la un nivel "Low" de integritate.

Orice aplicaţie care se descarcă din Internet va dobândi un nivel de integritate

"Low" (egal cu al procesului Internet Explorer) şi nu va putea să se execute şi să-şi

eleveze privilegiile compromiţând sistemul respectiv. Acesta este modul protejat

(Protected mode) în care rulează IE7 pe Windows Vista. Modul protejat oferit de

IE8 este o facilitate prezentă numai pe sistemul de operare Windows 7.

Un utilizator poate accesa şi modifica un obiect în Windows Vista numai

dacă nivelul sau de integritate este mai mare decât cel al obiectului.

În acest scop în Windows 7 sunt definite 3 politici obligatorii de acces:

No WRITE UP – o entitate nu poate modifica un obiect dacă posedă un

nivel de integritate mai mic decât al obiectului respective

No READ UP – o entitate nu poate citi un obiect dacă poseda un nivel de

integritate mai mic decât al obiectului respective

No EXECUTE UP – o entitate nu poate executa un obiect dacă posedă un

nivel de integritate mai mic decât al obiectului respectiv

Principii de securitate

Putem privi aceste tehnologii şi prin prisma altui principiu de securitate –

"principle of least privilege" sau "principle of minimal privilege" - "principiul

privilegiului minim" în care utilizatorul trebuie să aibă privilegii minime pentru

24

accesarea unui sistem informatic conform fişei postului şi sarcinilor pe care trebuie

să le îndeplinească.

În acest fel, în Windows 7 toţi utilizatorii au acelaşi nivel de integritate

(încredere) pe un sistem iar privilegiile administrative se folosesc doar în cazul în

care este necesar.

4.2. Configurarea securizarea sistemelor de operare de tip server

Windows Server 2003, 2008, 2012 sunt construite pe structura sistemului

Windows 2000 şi include toate facilităţile pe care un client le aşteaptă de la un

sistem de operare Windows Server: siguranţă, securitate şi scalabilitate. Familia

cuprinde patru produse:

Windows Web Server reprezintă o bună platformă pentru dezvoltarea

rapidă a aplicaţiilor şi desfăşurarea serviciilor pe Web. Este uşor de administrat şi

se poate gestiona, de la o staţie de lucru aflată la distanţă, cu o interfaţă de tip

browser.

Windows Standard Server este un sistem de operare în reţea care oferă

soluţii pentru firmele de toate mărimile. Acceptă partajarea fişierelor şi

imprimantelor, oferă conectivitate sigură la Internet, permite desfăşurarea

centralizată a aplicaţiilor din spaţiul de lucru, oferă colaborare între angajaţi,

parteneri şi clienţi, acceptă multiprocesarea simetrică cu două căi şi până la 4 GO

de memorie.

Windows Enterprise Server este destinat firmelor medii şi mari. Este un

sistem de operare cu funcţionare completă care acceptă până la 8 procesoare de tip

Intel Itanium.

Windows Data Center Server este o platformă pentru firmele cu un

volum mare de tranzacţii şi cu baze de date scalabile. Este cel mai puternic şi mai

funcţional sistem de operare pentru servere oferit de Microsoft.

25

În general, sistemele Windows se compun din trei clase de programe:

programele sistemului de bază; programele API (Application Programming

Interface) şi programele „maşini virtuale”.

Programele sistemului de bază asigură controlul fişierelor, servicii de

comunicare şi control în reţea, controlul maşinii virtuale, controlul memoriei,

controlul implementării standardului de interconectare „plag&play”.

Sistemul API cuprinde trei componente: nucleul Windows – Kernel,

interfaţa grafică cu echipamentele periferice GDI (Graphic Devices Interface) şi

componenta USER. Aceste componente sunt biblioteci de programe adresate

programatorului de aplicaţii şi mai puţin utilizatorului obişnuit.

Sistemul „maşini virtuale” asigură interfaţa cu utilizatorul şi aplicaţiile sale,

modulele din această clasă fiind apelate de sistemul API. Această componentă

asigură încărcarea şi folosirea corectă a spaţiului de adresare. Din această clasă

face parte şi programul Explorer.

Atunci când se ia în calcul politica de securitate pentru platformele

Windows Server 2003 şi 2008 trebuie evaluate obligatoriu următoarele:

Domain Level Acount Polices – reguli ce se pot seta la nivel de Group

Policies, setări care sunt aplicate la întreg domeniul: politici cu privire la parole,

blocarea conturilor, autentificarea folosind protocolul Kerberos – tot ceea ce uzual

se înţelege prin „acount polices” – politici de cont;

Audit Policy – posibilităţile de utilizare a politicilor de audit pentru a

monitoriza şi forţa setările de securitate instalate. Este obligatoriu să se explice

diferitele setări, folosindu-se de exemple, pentru a se înţelege ce informaţii se

modifică când acele setări sunt modificate;

User Rights – tratează diferitele posibilităţi de logon – drepturi şi

privilegii ce sunt puse la dispoziţie de sistemul de operare şi oferirea de îndrumare

privind care conturi ar trebui să primească drepturi distincte – şi natura acestor

drepturi;

26

Security Options – tratarea setărilor de securitate cu privire la date

criptate cu semnături digitale(digital data signature), statutul conturilor

„Administrator” şi „Guest”, accesul la unităţile de dischetă şi CD-ROM(sau

echivalent), instalarea driver-elor şi posibilităţile de logare(logon prompts);

Event Log – configurarea setărilor pentru diferitele jurnale care există

sum Windows Server 2003(respectiv 2008);

System services – utilizarea serviciilor care sunt absolut necesare şi

documentarea lor – dezactivarea serviciilor care nu sunt folosite sau necesare.

Personalizarea pe cât posibil a acestor servicii – pentru eliminarea setărilor „by

default”;

Software restriction polices – descrierea pe scurt a software-ului instalat

şi mecanismele folosite pentru restricţia rulării acestora;

Additional System Countermeasures – descrierea unor măsuri

suplimentare de securitate care sunt necesare, setări care rezultă din discuţia

privind rolul acelui server, posibilităţile de implementare, disponibilitatea

utilizatorilor şi existenţă personalului calificat – setări cum ar fi:setări care nu pot

fi introduse îîntr-o maniera compactă în cadrul Group Policies, setări la nivel de

drepturi pe fisiere (NTFS), SNMP, dezactivarea NetBIOS, setări Terminal

Services, setări IPsec, Dr. Watson, nu în ultimul rând setările cu privire la

Windows Firewall.

Additional Registry Entries – documentarea modificărilor necesare la

nivel de registri;

Este de reţinut faptul că în Windows 2008 s-a pus un accent mai mare pe

securitate , ca un exemplu dacă în Windows 2003 server cu SP1 erau în jur de

1700 de setări în Group Polices în Windows 2008 Server a crescut la aproximativ

2400.

27

5. Cerinţe privind securitatea informaţiei în sistemul bancar

Informaţia - cel mai important activ al oricărei organizaţii - este expusă în

prezent unui număr din ce în ce mai divers de ameninţări provocate de factori

interni sau externi. Conferinţa CYBERTHREATS 2007, organizată la sfîrşitul lunii

mai de Institutul Bancar Român, a reluat un subiect fierbinte pentru mediul bancar

şi nu numai: securitatea informaţiei, punînd în discuţie tendinţele şi ameninţările

actuale, reglementări, standarde şi proceduri în domeniu, implicaţiile Basel II,

impactul problemelor de securitate asupra riscului operaţional şi alte probleme

privind securitatea informaţiei în mediul bancar.

5.1. Reglementări privind securitatea informaţiei în România

Instituţiile de credit trebuie să se conformeze unor acte legislative, norme şi

regulamente care conţin prevederi privind securitatea informaţiei. Reglementări

specifice sistemului bancar sunt conţinute de Legea bancară, precum şi de norme

BNR, precum Norma 16/2004, privind tehnicile echivalente pentru garantarea

autenticităţii semnăturii, şi Norma 17/2003, pentru organizarea şi controlul intern

al activităţii instituţiilor de credit şi administrarea riscurilor semnificative.

În domeniul plăţilor electronice, cele mai importante reglementări sunt

Ordinul MCTI 218/14.06.2004 şi Regulamentul BNR 6/2006 privind tranzacţiile

efectuate prin intermediul instrumentelor de plată electronice şi relaţiile dintre

participanţi. 

Alte reglementări privesc semnatura electronică (Legea 455/2001 a

semnăturii electronice, Legea 451/2004 privind marca temporală) şi comerţul

electronic (Legea nr. 365/2002, cu modificările aduse de Legea nr. 121/2006).

Dispunem şi de legislaţie privind prevenirea şi combaterea criminalităţii

informatice, Legea nr. 161/19.04.2003.

28

Un capitol aparte îl constituie legislaţia privind viaţa privată: Legea

677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor personale,

precum şi Legea 506/2004 privind prelucrarea datelor cu caracter personal şi

protecţia vieţii private în sectorul comunicaţiilor electronice. 

La toate acestea se adaugă un număr important de Directive Europene în

domeniul securităţii informaţiei. Reglementările în vigoare acoperă doar parţial

spectrul problemelor pe care le ridică securitatea informaţiei, controlul în domeniul

tehnologiei informaţiilor, administrarea riscurilor şi calitatea serviciilor

informatice.

5.2. Standarde de securitate a informaţiei

Pentru tot mai multe instituţii bancare din România, standardele

internaţionale în domeniu constituie baza organizării activităţilor informatice şi a

securităţii. Printre cele mai importante standarde şi documente publicate privind

controlul securităţii informaţiei se numără: 

-CobiT - Control OBjectives for Information and related Technology, dezvoltat

de IT Governance Institute, standard ce permite dezvoltarea de politici şi bune

practici pentru controlul informaţiei şi o mai bună aliniere între tehnologia

informaţiei şi afacere.

-Standardele ISO / IEC 

•ISO / IEC 17799 - Code of Practice for Information Security Management, ce

defineşte principiile generale pentru implementarea sistemului de administrare a

securităţii informaţiei, precum şi cele mai bune practici privind obiectivele de

control.

•ISO / IEC 27001 - Specification for an Information Security Management System,

în baza căruia pot fi certificate sistemele de administrare a securităţii informaţiei.

29

De altfel, ISO a rezervat seria 27000 pentru standarde referitoare la administrarea

securităţii informaţiei, unele deja publicate, altele în curs de elaborare. 

•ISO / IEC 20000 – Service Management, primul standard internaţional pentru

administrarea serviciilor informatice, ce conţine specificaţii de administrare a

serviciilor, precum şi un cod de practică.

-ITIL – Information Technology Infrastructure Library, un set de documente

create cu scopul de a facilita implementarea unei structuri pentru administrarea

serviciilor informatice. ITIL a fost adoptat rapid ca standard ’de facto’ pentru cele

mai bune practici în furnizarea serviciilor informatice.

-NIST Special Publications, documente dezvoltate de United States National

Institute of Standards and Technology, destinate agenţiilor federale, printre care

seria 500 - Information Technology şi seria 800 - Computer Security. 

-Standard of Good Practice for Information Security, dezvoltat de Information

Security Forum, care priveşte securitatea informaţiei din perspectiva afacerii,

furnizînd o bază practică pentru evaluarea sistemului de securitate a informaţiei.

5.3. Securitatea informaţiei din perspectiva riscului operaţional 

Riscul operaţional, elementul de noutate adus de Basel II, este definit ca

riscul de pierderi directe şi indirecte cauzate de factori interni şi de factori externi.

Riscul operaţional este cel mai controversat, cel mai puţin definit şi cel mai

probabil să evolueze major în următorii ani. Impactul riscului operaţional poate

afecta relaţia cu clienţii şi partenerii, iar implicaţiile sale valorice sunt greu de

măsurat cu precizie.

Printre factorii interni care influenţează riscul operaţional putem enumera:

derularea ineficientă a unor procese interne, pregătirea necorespunzătoare a

personalului, calitatea sistemelor utilizate. Problemele legate de securitatea

informaţiei intră şi ele în categoria factorilor care au implicaţii directe asupra 30

riscului operaţional: căderile parţiale sau complete ale sistemelor informatice,

problemele generate de atacuri informatice sau pătrunderi neautorizate, fraudele,

greşelile de operare, întreruperea activităţii pentru o perioadă oarecare, şi multe

altele. 

Pentru a defini o bună practică privind asigurarea continuităţii operaţionale a

instituţiilor financiare, Joint Forum for Business Continuity - constituit în cadrul

Comitetului Basel - a emis documentul consultativ High-level Principles for

Business Continuity, adresat instituţiilor bancare, dar şi autorităţilor financiare,

avînd ca scop creşterea rezilienţei sistemului financiar global. 

Planificarea corespunzătoare a continuităţii operaţionale, prin politici, standarde şi

proceduri pentru asigurarea menţinerii sau reluării în timp util a operaţiunilor în

eventualitatea producerii unor întreruperi, contribuie la reducerea riscurilor

organizaţiei şi adaugă valoare acesteia.

Cîteva standarde care pot constitui baza pentru organizarea asigurării

continuităţii operaţionale pentru instituţiile bancare sunt Good Practice Guidelines,

emis de Business Continuity Institute, PAS 56 si BS 25999, noul standard pentru

administrarea continuităţii operaţionale, emise de British Standards Institution.

Prima parte BS 25999-1:2006 Code of practice for business continuity

management, lansat în 2006, furnizează o bază pentru înţelegerea, dezvoltarea şi

implementarea continuităţii operaţionale într-o organizaţie. Cea de a doua parte BS

25999-2:2006 - Specification for business continuity management va cuprinde

cerinţe pentru definirea, implementarea, operarea, monitorizarea, verificarea,

întreţinerea şi perfecţionarea unui sistem documentat de administrare a

continuităţii operaţionale.

31

5.4. Securitatea informaţiei la nivel de sistem

Cerinţele de securitate a informaţiei cresc în contextul conectării instituţiilor

de credit la infrastructuri de plăţi, de decontări, la sisteme de raportări, constituite

la nivel naţional, regional sau global. Necesitatea asigurării securităţii la nivel de

sistem se traduce în cerinţe minime de securitate pentru fiecare participant,

problemele de securitate ale unui participant putînd afecta funcţionarea întregului

sistem. 

Intrarea în funcţiune a Sistemului Electronic de Plăţi a impus condiţii

minime de securitate pentru participanţi şi condiţii de certificare tehnică pentru

participanţii cu procesare integrată (STP) în sistemul SENT. Luînd în considerare

cerinţele specifice impuse de Bank of International Settlement pentru sisteme de

tipul SENT, TransFonD îşi propune să modifice pentru viitor condiţiile de

certificare tehnică STP, în sensul solicitării unui audit anual de certificare de către

un auditor extern autorizat. Se va pune un accent mai mare pe analiza de riscuri şi

pe faptul că politica şi strategiile de securitate ale fiecărei bănci trebuie să acopere

această analiză de riscuri.

Noul sistem de raportări al instituţiilor de credit către BNR, devenit

operaţional la începutul acestui an, va impune şi un upgrade de securitate al reţelei

interbancare şi introducerea semnăturii digitale. Tot din 2007, raportările periodice

ale băncilor către Oficiul Naţional de Prevenire şi Combatere a Spălării Banilor,

raportări făcute anterior pe suport magnetic, se fac prin reţeaua inter-bancară, cu

cerinţe de securitate corespunzătoare. 

În octombrie 2007, băncile din Romania au efectuat etapa a doua de migrare

la SWIFTNet, constînd în actualizarea mecanismelor de securitate şi

instrumentelor de administrare a relaţiilor cu băncile corespondente pentru

platforma SWIFTNet. Astfel, va fi introdus un model de securitate unic - bazat pe

32

infrastructura de cheie publica (PKI) - pentru accesul la toate serviciile

SWIFTNet. 

Nu în ultimul rînd, prin aderarea României la Uniunea Europeană, instituţiile

de credit au acces la infrastructuri regionale de plăţi precum TARGET2,

TARGET2 Securities, sistemele EBA Clearing (EURO1, STEP1, STEP2) sau alte

infrastructuri de plăţi, care impun cerinţe specifice de securitate. 

Tot în zona Euro, proiectul SEPA al zonei unice de plăţi în Euro implică

standardizarea instrumentelor de plată în Euro şi cerinţe noi pentru infrastructurile

de plăţi şi plăţile cu card-uri, incluzând şi o strategie de prevenire a fraudelor cu

card-uri, prin migrarea în tot spaţiul Euro la standardul EMV şi implementarea

3DSecure. 

Fiind necesar să se conformeze acestui număr mare de reglementări,

standarde şi cerinţe, securitatea informaţiei trebuie considerată o problemă

generală a organizaţiei, necesită implicarea managementului la cel mai înalt nivel

şi trebuie să angreneze toate compartimentele de activitate ale unei organizaţii, de

la profesioniştii în domeniu pînă la utilizatorii informaţiei. Crearea unei culturi de

securitate a organizaţiei este esenţială, prin educarea continuă a personalului, prin

colaborarea permanentă cu partenerii în vederea unei abordări comune a

problemelor de securitate, dar şi prin constientizarea clienţilor asupra riscurilor

privind securitatea informaţiei.

33

CONCLUZII

Securitatea informatică a devenit una din compenentele majore ale

internetului. Analiştii acestui concept au sesizat o contradicţie între nevoia de

comunicaţii şi conectivitate, pe de o parte, şi necesitatea asigurării

confidenţialităţii, integrităţii şi autenticităţii informaţiilor, pe de altă parte.

Domeniul relativ nou al securităţii informatice caută soluţii tehnice pentru

rezolvarea acestei contradicţii aparente. Viteza şi eficienţa comunicaţiilor

“instantanee” de documente şi mesaje conferă numeroase atuuri actului decizional

într-o societate modernă, bazată pe economie concurentiaţă. Însă utilizarea

serviciilor de poştă electronică, web, transfer de fonduri etc. se bazează pe un

sentiment, adeseori fals, de securitate a comunicaţiilor, care poate transforma

potenţialele cîştiguri generate de accesul rapid la informaţii, în pierderi majore,

cauzate de furtul de date sau de înserarea de date false ori denaturate.

Deoarece niveluri diferite de conectivitate Internet devin esenţiale pentru

menţinerea competitivităţii companiilor, asigurarea securităţii infrastructurii de

reţea devine o cerinţă esenţială.

Companiile trebuie să conceapă o arhitectură a securităţii reţelelor, bazată

pe o politică de securitate a companiei.

În loc de a se focaliza numai pe un anumit tip de securitate, este important

să înţelegeţi că o astfel de soluţie completă de securitate a reţelelor este necesară

companiei pentru aşi proteja datele şi resursele informatice. Această soluţie trebuie

să includă autentificare şi autorizare, confidenţialitatea datelor şi securitatea

perimetrului.

O reţea de calculatoare reprezintă un sistem de calcul complex, format

din mai multe echipamente informatice individuale, omogene sau eterogene,

interconectate prin intermediul unui canal de comunicaţie, astfel încât să poată

folosi în comun anumite resurse hardware şi software. Aceste resurse pot fi 34

unităţile de disc, fişierele, bazele de date, imprimantele, echipamentele de

comunicaţie sau alte periferice.

Ar trebui ca toată lumea să folosească un antivirus şi un firewall, sunt

destul de user-friendly şi intuitive, nu vreau să încep să recomand eu vreun

antivirus sau firewall fiecare este liber să aleagă cel pe care-l doreşte. Ar mai fi

câteva chestii de zis, dar cred ca m-am lungit destul de mult. În concluzie ar trebui

să ţinem cont de câteva lucruri elementare şi de bun simţ:

- ce site-uri vizităm

- ce mail-uri deschidem, pe cine acceptăm în lista noastră de messenger, ce

link-uri accesăm şi de la cine

- sub nicio formă să nu deschidem programe dubioase sau link-uri primite

pe mail de la persoane necunoscute şi chiar şi cunoscute

- să nu oferim informaţii legate de conturile noastre pe diverse site-uri

- să nu avem activată opţiunea din browsere noastre care ne permite să

rulăm java script-urile automat, deoarece pot conţine coduri maliţioase care ne pot

afecta ulterior.

- tot timpul să fim cu update-urile la zi la toate soft-urile pe care le deţinem

în mod legal sau free

- periodic să dăm o scanare să vedem dacă totul funcţionează la parametri

normali

- să folosim parole diferite pentru toate conturile noastre, pentru că dacă un

cont a fost compromis şi avem aceaşi parolă peste tot, este foarte posibil să putem

rămîne fără toate conturile

- de preferat ar fi dacă am schimba parolele periodic

- nu scriţi parolele și nu le lăsaţi în locuri evidente, cum ar fi pe birou sau

pe monitor

- evitați cuvintele dicționar, nume, numere de telefon, și datele. Folosind

cuvinte dicționarul face parolele vulnerabile la atacuri de tip dictionar

35

- combină litere, numere și simboluri. Includeţi cel puțin o literă mică,

majusculă, cifre, şi caracter special

- scriţi greşit în mod intenţionat o parolă. De exemplu, Smith poate fi scris

ca Smyth sau poate include, de asemenea, numere, cum ar fi 5mYth. Un alt

exemplu ar putea fi să scriem cuvântul security scris ca 5ecur1ty

- asiguraţi-vă că parolele sunt suficient de lungi. Cea mai bună practică este

de a avea un minim de 8 caractere

- schimbați parolele cât mai des posibil. Ar trebui să aveţi o politică de

definire când și cât de des parolele trebuie să fie schimbate

- schimbarea parolei oferă frecvent două avantaje. Această practică

limitează fereastra de oportunitate în care un hacker poate sparge o parolă şi

limitează fereastra de expunere, după ce parola a fost compromisă.

36

BIBLIOGRAFIE

1. Bruce Hallberg, Reţele de calculatoare. Ghidul începătorului, Rosetti

Educaţional, Bucureşti, 2006. – 456 p.

2. Corneliu Buraga, Reţele de calculatoare - Introducere în securitate,

Universitatea A. I. Cuza Iasi, 2007

3. Habracken Joe, Reţele de calculatoare pentru începători, Editura ALL

4. Gil Held, Kent Hundley, Arhitecturi de securitate, Editura Teora, 2003

5. Ioan-Cosmin Mihai, Securitatea informațiilor, Editura Sitech, 2012

6. Ioan-Cosmin Mihai, Securitatea sistemului informatic, Editura Dunărea de

Jos, 2007

7. Mircea F. V., Tehnologii de securitate alternative pentru aplicaţii în reţea,

Universitatea Tehnică din Cluj Napoca, 2009

8. Ramón J. Hontanon, Securitatea rețelelor, Editura Teora, 2003

9. Victor Valeriu Patriciu, Monica Ene Pietroşanu, Ion Bica, Justin Priescu,

Semnături electronice și securitate informatică, Editura All, 2006

10. www.cisco.com

11. www.wikipedia.org

12. www.google.com

37