Securitatea informaional a businessuluiBoris [email protected] Cat. Cibernetic i Informatic Economic
ASEM1 06.09.2010 4:41:01
Surse de informare/documentareDumitru Oprea: Protecia i Securitatea informaiilor, Editura Polirom, Bucuresti 2003 Mihaela Crstea: Securitatea ca mod de viata, revista PC Magazine Romnia, aprilie 2002 Tudor Amza, Costin-Petronel Amza Criminalitatea Informatic - Editura LuminaLex, Bucuresti 2003 Ion Bica, Victor Valeriu Patriciu: Securitatea Comertului Electronic, Editura All, Bucuresti 2001
www.security.ase.md+ Surse Internet menionate pe parcursul prelegerilor2
+ Delimarschi B. Notie de curs.
Planul cursului1. Introducere n Securitatea Informaional. 2. Analiza riscurilor informaionale a businessului. 3. Crime i fraude informatice 4. Metode i tehnici de securizare a informaiei n
business 5. Bazele criptrii informaiei 6. Evaluarea eficacitii securitaii informaionale n business
3
Lecia 1 Introducere n securitatea informaional1.Informaia ca obiect de valoare i protecie 2.Conceptele de baz ale Securitii Informaionale 3.Obiecte de Securitate Informaional 4.Subiecte de Securitate Informaional
4
06.09.2010 4:41:01
Locul informaiei n afaceri
1. Afacerea sa bazeaz pe organizarea activitilor 2. Activitile au loc in baza deciziilor 3. Informatia materia prima pentru luarea deciziei5
Afacerea s bazeaz pe Informaii !!
Aplicarea informaiei n afaceriInformaia mijloc de corelare iinteraciune ntre factorii vii ale naturiiActivitatea companiei necesita corelarea cu:1. Colaboratori/Parteneri 2. Furnizori 3. Concureni 4. Organe publice 5. Clieni6
Activiti legate de informaie Memorarea faptelor/datelor Transformarea datelor Comunicare (expediere-recepie a datelor) Forme de percepere a informaiei Biologic /Sensitiva (sunet/ miros /gust/ atimgere Tehnic (semnale fizice)
Era informaieiInteraciunea orizontal i vertical a companiilor; Globalizarea social-economic; Integrarea interramural a afacerilor
Decizia ntreprinztorului factor de producie (la rnd cu Munca, Natura [pmntul], Capital) Resurse pentru producie - Meteriale, Energie, Fora uman/Intelectul, Informaie
Era informaticii50-100% de informaii n companii deja sunt n forma digital !!~anul 2020 99% ~anul 2030 100% Sursa: Comisia pentru dezvoltare ONU
Mediul informatic modernInternet, Documente electronice, Produse informatice comercializate, Servicii electronice Activiti economice electronice
Obiectivele securitii informaionale(pentru Stabilitatea i durabilitatea afacerii):1. 2. 3. 4. 5.
Determinarea obiectelor de risc Determinarea subiectelor de risc Prevenirea posibilelor tulburri, Restabilirea strii normale dup afectare Minimalizarea pierderilor
Pentru atingerea obiectivelor s formeaz Sistemul de securitate informaional a afacerii
10
Noiunile principaleSecuritatea informaional n sens larg [include fiabilitatea] gradul de protecie a informaiei contra aciunilor cu efecte nocive din partea factorilor externi i interni Securitatea informaional n sens ngust [exclude fiabilitatea] gradul de protecie a informaiei contra aciunilor intenionate cu efecte nocive (maliioase) din partea factorului uman extern i intern Fiabilitatea informaional gradul de protecie a informaiei contra aciunilor neintenionate umane, a efectelor naturii sau a altor factori de for major, care au efecte negative asupra informaiei Securizarea informaiei activitatea de protecie a informaiei de aciuni nocive (maliioase)
11
Noiunile principaleRisc informaional - forma probabilistic de afectare a unei (sau a mai multor) caracteristici ale informaiei, dup care valoarea ei scade Ameninarea - o potenial (ipotetic) violare a securitii Atac asupra informaiei aciune maliioas contra informaiei i/sau contra sistemului de securitate informaional (o ncercare real de spargere a sistemului de securitate informaional) Atacul poate fi accidental sau deliberat (planificat) Este mai uor s te protejezi mpotriva abuzurilor accidentale dect mpotriva celor deliberate
12
Formele moderne ale informaiei n afaceri:Tradiionaldocumente tiprite pe hrtie sau alti supori operabili convorbiri orale i inregistrri sonore imagini ne- sau puin structurate (fotografii, picturi etc.) etc.
Digitaloptic electronic
Alte forme (analog, termic, biologic, bionic etc.)13
Particularitile securitii informaiilor in format tradiional (document hrtie):S protejeaz suportul de informaii; Suportul (hrtia) poart o multitudine de informaii colaterale despre autor, cititor, mprejurri redactare etc., care pot fi utilizate n cercetri criminalistice; Modificrile informaiei afecteaz suportul, sunt relativ dificil de fcut i pot fi detectate uor; Pentru manipulare frauduloas este necesar accesul fizic la suport lucru care este relativ uor de detectat i probat cu un sistem de protecie fizic.
14
Particularitile securitii informaiilor nformat digital (~>electronic): [90-100% de inf. n companie!!] 1. Informaia nu are caracter material; 2. Uor trece de pe un suport pe altul; 3. Necesit componente informaionale suplimentare colaterale de protecie pentru necesiti de identificare i securitate; 4. Accesul la informaie nu implic prezena fizic i poate fi fcut anonim de la distan; 5. Uor i fr urme s modific dac sistemul sau reeaua nu sunt instruite (configurate) s fac asta; 6. Accesul la informaii poate fi tehnic (automat) delimitat pentru diferite persoane, procese i echipamente;15
Condiiile de Securitate a informaieiO informatie este securizata (protejata) daca se asigura : Disponibilitatea - accesul la informatie a persoanelor autorizate nlimita drepturilor asociate Confidentialitatea - accesul la informatie doar pentru utilizatorii autorizati si mpiedicarea accesului pentru persoanele neautorizate; Integritatea - consistena informatiilor (n cazul transmiterii unui mesaj prin retea, integritatea se refer la protectia mpotriva unor tentative de falsificare a mesajului); Autentificarea - determinarea identittii persoanei cu care se comunic;
Ne-repudierea - asumarea responsabilittii unor mesaje saucomenzi, la autenticitatea lor. Acest aspect este foarte important n cazul contractelor realizate ntre firme prin intermediul mesajelor electronice.16
Obiecte de risc informaional1. Infrastructura fizic (Componente elctronice /Hardware
pentru IT)Furt, deteriorarea, substituirea, blocarea, utilizare neautorizat
2. Programe - numai pentru IT (Software) Furt, deteriorare, substituire, utilizare neautorizat, copierea neautorizat, blocarea 3. Canale de comunicare Deteriorare, utilizare neautorizat, monitorizare neautorizat, blocarea 4. Informaia Furt, deteriorare, substituire, consultare neautorizat, copierea/multiplicare neautorizat, compromiterea, blocarea accesului 5. Componenta uman (persoanele care folosesc i cunosc
informaia)17
Influiena fizic sau moral (ameninare sau realizare), compromitere,
Clasificarea riscurilor:de FiabilitateDe Natura: Tehnogenice /Accidentale/:
Riscuri informaionale- cutrenur - furtuna - inundaii - tulburri n alimentare cu curent electric - ruperea unui cablu -defecte n echipamente din cauza uzurii, -coliziuni infrastructurale
de SecuritateFactor Uman /Intenionate/: - sabotaj - spionaj - concurena neloial - profit ilicit - rzbunare - etc.
Factor uman /Accidentale/:
-erori funcionale din oboseal, -scpri n realizarea funciilor de serviciu
Clasificarea ameninrilorAfectarea integritii fizice Deteriorarea / modificarea Afectarea integritii logice Modificarea algoritmelor Afectarea coninutului Modificarea neautorizat Afectarea confidenialitii Obinerea neautorizat Afectarea dreptului de proprietate nproprietrire drepturilor strine
Subiecte de risc informaional (fptaii criminalii informaionali) i ponderea lor n volumul pierderilor Naturale ~