Standardele de Securitate Iso 27001 Si 27002

CAPITOLUL I

INTRODUCERE

În era digitală actuală în care trăim și muncim, cetățenii și companiile consideră tehnologia informației și a comunicațiilor (TIC) ca fiind de o valoare inestimabilă în activitatea zilnică. În același timp, tot mai mulți cetățeni și companii sunt expuși riscului de încălcare a securității informației. Aceasta se datorează vulnerabilităților acestor tehnologii noi și actuale, alături de convergență, utilizarea în creștere a conexiunilor “întotdeauna active” și răspândirea continuă și exponențială a utilizatorilor. Astfel de încălcări ale securitații pot fi legate de domeniu informatic, de exemplu prin virușii de calculator, ori aceștia pot fi motivați social, de exemplu prin furtul de echipamente. Într-o epocă și mai mult bazată pe informații digitale, există un număr din ce în ce mai mare de pericole. Un număr considerabil de cetățeni nu cunosc riscurile de securitate la care sunt expuși.

Datorită progresului și proliferării acestor pericole, soluțiile actuale de securitate a informațiilor vor fi măine depășite. Perspectiva securității este în continuă schimbare. Majoritatea analiștilor raportează faptul că elementul uman din orice cadru de securitate a informațiilor reprezintă cea mai slabă verigă. În acest caz, numai o schimbare semnificativă în percepția sau cultura organizațională a utilizatorului poate să reducă în mod efectiv numărul de încălcări ale securității informațiilor.

De exemplu, utilizatorii nu cunosc faptul că acele calculatoare personale, ale lor, pot fi controlate fără știrea lor de intenția hackerilor de fraudare a identității electronice sau, în cadrul unei rețele, de lansare a unui atac de respingere a serviciilor.

Atacurile asupra unui sistem informațional de acasă sau de la locul de muncă sunt o amenințare reală în ziua de azi. Tot mai multe tehnologii și unelte avansate sunt disponibile pe internet la îndemâna oricui. Oricine cu puțină experiență în domeniul informatic și cu o unealtă puternică de atac poate ataca și provoca daune unui sistem neprotejat.

Securitatea informației se ocupă cu protejarea informației și sistemelor informaționale de accesul neautorizat, folosirea, dezvăluirea, întreruperea, modificarea ori distrugerea lor. Componente de bază ale securității informației sunt: confidențialitatea, integritatea și disponibilitatea. Confidențialitatea este asigurată prin criptarea informației. Integritatea se obține prin mecanisme și algoritmi de dispersie. Disponibilitatea este asigurată prin întărirea securității rețelei sau rețelelor de sisteme informatice și asigurarea de copii de siguranță. Astfel pentru a oferi securitate maximă sistemului nostru informațional urmează a fi îndeplinit câtiva pași în analiza acestuia și evidențierea punctelor forte ce țin de atacurile ce pot interveni atât din interiorul instituției cât și din exteriorul acesteia.

Pentru a putea realiza un program de securitate eficient este nevoie de politici, proceduri, practici, standarde, descrieri ale sarcinilor și responsabilităților de serviciu, precum și de o arhitectură generală a securității.

CAPITOLUL II

PREZENTAREA STANDARDELOR DE SECURITATE ISO 27001 si 27002

Definirea noțiunii de securitatea informațiilor

Organizația Internaționala pentru Standardizare (ISO) împreuna cu Comisia Internațională Electrotehnică (IEC) alcătuiesc un forum specializat pentru standardizare. Organismele naționale care sunt membre ale ISO și IEC participă la dezvoltarea standardelor internaționale prin intermediul comitetelor tehnice. Statele Unite ale Americii, prin Institutul Național de Standardizare, ocupă poziția de Secretar, 24 de țări au statut de Participanți (Brazilia, Franța, Regatul Unit al Marii Britanii, Coreea, Cehia, Germania, Danemarca, Belgia, Portugalia, Japonia, Olanda, Irlanda, Norvegia, Africa de Sud, Australia, Canada, Finlanda, Suedia, Slovenia, Elveția, Noua Zeelandă și Italia) și alte 40 de țări au statut de observatori.

Ca și acțiunile prin care o organizație își apără angajații și bunurile, securitatea informațiilor este folosită în primul rând pentru a oferi asigurări că drepturile care derivă din proprietatea intelectuală sunt protejate în mod corespunzător. Obiectivul principal al unui program pentru protecția informațiilor îl reprezintă asigurarea încrederii partenerilor de afaceri, avantajul competitiv, conformitatea cu cerințele legale și maximizarea investițiilor. Indiferent de forma pe care o îmbracă, mijloacele prin care este memorată, transmisă sau distribuită, informația trebuie protejată.

ISO/IEC 27001 tratează securitatea informațiilor prin prisma a trei elemente

principale:

Confidențialitatea – informațiile sunt accesibile doar persoanelor autorizate;

Integritatea – asigurarea acurateței și completitudinii metodelor prin care se realizează prelucrarea informațiilor

Disponibilitatea – utilizatorii autorizați au acces la informații și la activele asociate în momente oportune.

Pentru a putea realiza un program de securitate eficient este nevoie de politici, proceduri, practici, standarde, descrieri ale sarcinilor și responsabilităților de serviciu, precum și de o arhitectură generală a securității. Aceste controale trebuie implementate pentru a se atinge obiectivele specifice ale securității și pe cele generale ale organizației.

Dependența din ce în ce mai mare de sistemele informaționale conduce la creșterea tipologiei vulnerabilităților cărora organizațiile trebuie să le facă față. Mai mult, problema protecției trebuie să aibă în vedere de multe ori interconectarea rețelelor private cu serviciile publice. Dacă la acest aspect mai adăugam și problema partajării informațiilor se conturează un tablou destul de complicat în care implementarea unor controale eficiente devine o sarcină dificilă pentru specialistul IT&C. Multe din sistemele existente pe piață au fost proiectate după metodologia structurată dar nu au avut ca principal obiectiv și asigurarea unui anumit grad de securitate pentru că la momentul respectiv tehnologia nu era atât de dezvoltată și nici atât de accesibilă neinițiaților.

Odată însă cu proliferarea internetului ca și mijloc important al comunicării moderne nevoia unor mecanisme de securitate proactivă a devenit o certitudine. În practică remarcăm că multe instituții apelează la soluții tehnice externe care să le rezolve problemele de securitate fără a căuta să-și identifice nevoile și cerințele specifice. Identificarea controalelor interne care să asigure un grad corespunzător de securitate activelor informaționale ale unei instituții presupune o planificare riguroasă și identificarea exactă a obiectivelor respectivei instituții. Pentru a fi însă eficiente aceste controale trebuie să aibă în vedere pe toți angajații și nu doar pe cei din compartimentul IT sau care au legătură directă cu acest domeniu.

Securitatea informațiilor nu este doar o problemă tehnică. Ea este în primul rând o problemă managerială.

Standardul de securitate ISO/IEC 27001 răspunde nevoilor organizațiilor de orice tip, publice sau private, printr-o serie de practici de gestiune a securității informațiilor.

Standardul poate fi folosit în funcție de gradul de expunere a fiecărei organizații în parte, pentru a conștientiza la nivelul conducerii aspectele legate de securitatea informației, sau pentru a crea o cultură organizațională în ceea ce privește securitatea informațiilor, sau pentru a obține certificarea sistemului de securitate.

Gradul de expunere a sistemelor informaționale variază cu industria în care activează fiecare organizație. Cu cât acest risc este mai mare, atenția care trebuie acordată securității datelor ar trebui să fie mai mare. Instituțiile financiare, industria apărării, aerospațială, industria tehnologiei informației, industria electronică sunt sectoarele cu cel mai mare grad de risc în ceea ce privește securitatea informațiilor. Tot în această categorie de risc ridicat intră și instituțiile guvernamentale, motiv pentru care adoptarea unei culturi organizaționale pe baza standardului ISO/IEC 27001 are un rol fundamental.

Stabilirea cerințelor

Este important ca fiecare organizație să poată să-și identifice propriile cerințe de securitate. Pentru aceasta ea trebuie sa facă apel la trei surse principale:

• analiza riscurilor;

• legislația existentă;

• standardele și procedurile interne.

Folosind o metodologie corespunzătoare pentru a analiza riscurile organizația își poate identifica propriile cerințe legate de securitate. Un astfel de proces presupune în general patru etape principale:

• identificare activelor care trebuie protejate;

• identificarea riscurilor/amenințărilor specifice fiecărui activ;

• ierarhizarea riscurilor;

• identificarea controalelor prin care vor fi eliminate/diminuate riscurile

Nu trebuie însă trecute cu vederea nici aspectele financiare.

Fiind un obiectiv comun, dictat de cerințele de afacere, pentru că până la urmă orice activitate derulată de o organizație are o rațiune economica, în implementarea unei arhitecturi de securitate trebuie puse în balanță costurile și beneficiile. Un mecanism de control nu trebuie să coste organizația mai mult decât bunul ce trebuie protejat. Stabilirea cerințelor de securitate, a măsurilor necesare pentru a asigura nivelul de control dorit, are o componentă deseori subiectivă, fiind dificil de cuantificat în termeni monetari pierderea suferită în cazul unui incident de securitate. Aspectele intangibile precum alterarea imaginii organizației pe piață, credibilitatea în fața clienților sau efectele indirecte ale unui incident de securitate major, sunt cel mai greu de apreciat. Aceasta este rațiunea și pentru care adoptarea unor standarde și practici general acceptate, susținute de evaluări periodice independente este de recomandat.

Acest proces nu este unul static, altfel spus trebuie avute în permanenta în vedere schimbările care intervin în viata organizației pentru a fi reflectate corespunzător în planul de securitate. Dacă spre exemplu apare o modificare legislativă cu impact asupra instituției, trebuie avut în vedere din nou modelul folosit pentru evaluarea riscurilor pentru a vedea dacă acesta reflectă riscurile apărute ca urmare a acestei modificări.

În acest sens, ISO/IEC 27001 propune o serie de obiective de securitate și controale din rândul cărora profesioniștii le pot selecta pe acelea care corespund afacerii în care funcționează. Pe de altă parte acest standard nu trebuie considerat un panaceu al securității informațiilor atât timp cât el oferă doar recomandări celor care răspund de implementarea și managementul unui sistem de securitate în cadrul unei organizații.

De unde se începe

Controalele interne pot fi considerate principiile care stau la baza implementării unui sistem de management al securității. Chiar dacă sursele unor astfel de măsuri pot fi destul de variate, punctul de plecare într-un astfel de demers îl reprezintă legislația aplicabilă. Este foarte important ca cel care se ocupă de implementarea unui sistem de management al securității să aibă cunoștințe despre actualele cerințe legislative:

• Legea nr. 161 din 19 aprilie 2003 privind unele măsuri pentru asigurarea transparenței în exercitarea demnitarilor publice, a funcțiilor publice și în mediul de afaceri, prevenirea și sancționarea corupției.

• Legea nr. 506 din 17 noiembrie 2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice.

• Legea nr. 677 din 21 noiembrie 2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date.

• Legea nr. 455 din 18 iulie 2001 privind semnătura electronică.

• Legea nr. 544 din 12 octombrie 2001 privind liberul acces la informațiile de interes public.

• Hotărârea nr. 1259 din 13 decembrie 2001 privind aprobarea Normelor tehnice și metodologice pentru aplicarea Legii nr. 455-2001 privind semnătura electronică.

• Ordinul Avocatului Poporului nr. 52 din 18 aprilie 2002 privind aprobarea Cerințelor minime de securitate a prelucrărilor de date cu caracter personal.

• Ordinul Avocatului Poporului nr. 53 din 18 aprilie 2002 privind aprobarea formularelor tipizate ale notificărilor prevăzute de Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date.

• Ordinul Avocatului Poporului nr. 54 din 18 aprilie 2002 privind stabilirea unor situații în care nu este necesară notificarea prelucrării unor date cu caracter personal care cad sub incidența Legii nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date.

• Hotărârea nr. 781 din 25 iulie 2002 privind protecția informațiilor secrete de serviciu.

• Legea nr. 182 din 12 aprilie 2002 privind protecția informațiilor clasificate.

Pe lângă legislația internă trebuie avute în vedere și Convențiile internaționale și Reglementările comunitare semnate de România sau în care România este parte. Selectarea controalelor trebuie să țină cont de specificul organizației. Nu toate recomandările pot fi aplicate, cum nu toate sunt justificate din punct de vedere al costurilor. Eficacitatea sistemului de securitate depinde de:

stabilirea unor obiective de securitate care să reflecte cerințele organizației;

sprijinului conducerii;

existența abilităților necesare realizării analizei riscurilor, a vulnerabilităților și a analizei de impact;

instruirea angajaților;

monitorizarea controalelor implementate.

ISO/IEC 27001 a fost dezvoltat ca punct de plecare în dezvoltarea unui sistem de management al securității specific fiecărei instituții în parte. De aici rezultă caracterul său general, controalele prezentate în standard putând fi luate ca exemple pentru situații specifice fiecărei instituții în parte. Primele două secțiuni ale standardului prezintă Scopul respectiv Termeni și Definiții. Scopul standardului ISO/IEC 27001 stabilește rolul acestui document ca fiind un ghid pentru domeniul securității informaționale.

Prin prezentarea Termenilor și Definițiilor din secțiunea a doua, standardul asigură un limbaj comun pentru profesioniștii domeniului. Următoarele secțiuni prezintă obiectivele de control și măsurile prin care se pot atinge aceste obiective.

Politica de securitate

Obiectivul politicii de securitate este să ofere managementului instituției sprijinul necesar asigurării securității informațiilor din cadrul organizației.

Conducerea oricărei instituții trebuie să ofere suportul necesar prin elaborarea unui document intitulat Politica de Securitate, document care trebuie adus la cunoștință tuturor angajaților.

Fără un astfel de document există riscul ca rolurile și responsabilitățile relative la asigurarea securității informaționale să fie greșit înțelese. Nedezvoltarea unui astfel de document și neaducerea la cunoștința angajaților a politicii de securitate a companiei induce de cele mai multe ori o stare de superficialitate în tratarea acestor aspecte. Existenta unei viziuni clare a conducerii și o comunicare efectivă a acesteia către angajați este fundamentală pentru asigurarea eficienței oricăror proceduri și măsuri de securitate specifice.

Organizarea securității

Organizarea securității are ca obiectiv asigurarea unei administrări unitare în cadrul organizației. Fiecare utilizator al sistemului informațional este responsabil cu asigurarea securității datelor pe care le manipulează. Existența unei structuri organizatorice unitare care să inițieze și să controleze implementarea mecanismelor de securitate în cadrul organizației, presupune un punct central de coordonare – responsabil cu securitatea.

Rolul și atribuțiile persoanei care ocupă poziția de responsabil cu securitatea informațiilor se referă la coordonarea și urmărirea respectării procedurilor și politicilor de securitate.

Organizarea securității nu se limitează doar la personalul intern, trebuie avute în vedere și riscurile induse de terți sau subcontractori care au acces la sistemul informațional. Acest risc nu este deloc de neglijat, ultimele tendințe ale pieței globale ne arată o reconsiderare a poziției companiilor față de externalizarea funcțiilor IT, tocmai datorită riscului mare indus de subcontractarea acestora.

Obiectivul organizării securității, așa cum este documentat în standard este și menținerea securității tuturor facilităților IT și activelor informaționale accesate de către terțe persoane, fiind recomandată stabilirea unui proces prin care accesul terților să fie controlat.

Clasificarea și controlul activelor

Măsurile de protecție sunt proiectate în funcție de gradul de senzitivitate, și de semnificația economică a resurselor vizate. Perimetrele în care sunt amplasate echipamentele de procesare, vor fi protejate cu bariere de acces suplimentare. La fel și telecomunicațiile cu un nivel ridicat de confidențialitate ar trebui criptate. Pentru a avea totuși o abordare coerentă asupra măsurilor specifice de protecție, în funcție de gradul de senzitivitate al fiecărei resurse în parte se practică o clasificare a informațiilor.

Clasificarea informațiilor este necesară atât pentru a permite alocarea resurselor necesare protejării acestora, cât și pentru a determina pierderile potențiale care pot să apară ca urmare a modificărilor, pierderii/distrugerii sau divulgării acestora.

Obiectivul clasificării este crearea premizelor necesare asigurării unei protecții corespunzătoare valorii activelor instituției. Toate activele organizației trebuie să aibă asociat un proprietar. Politica de securitate trebuie să identifice angajații cu rol de proprietar, custode, client, utilizator.

Securitatea personalului

Cele mai multe incidente de securitate sunt generate de personal din interiorul organizației, prin acțiuni rău intenționate sau chiar erori sau neglijență în utilizarea resurselor informaționale.

Standardul ISO/IEC 27001 tratează riscurile de natură umană ce pot fi induse din interiorul organizației prin măsuri specifice precum includerea responsabilităților legate de securitatea informațiilor în descrierea și sarcinile de serviciu ale postului, implementarea unor politici de verificare a angajaților, încheierea unor acorduri de confidențialitate și prin clauze specifice în contractele de muncă.

Securitatea informațiilor este un aspect ce trebuie avut în vedere încă din etapa de selecție a angajaților. Angajații trebuie monitorizați pe întreaga perioadă de valabilitate a contractului de muncă și trebuie să aibă cunoștință de prevederile politicilor de securitate. Clauzele de confidențialitate, definirea conflictelor de interese, distribuirea și divulgarea informațiilor trebuie avute în vedere pentru fiecare post în parte.

Pentru a evita neglijența sau greșelile de operare, utilizatorii ar trebui informați cu privire la amenințările la care sunt supuse informațiile manipulate. Utilizatorii trebuie instruiți cu privire la procedurile de securitate ce trebuie urmate și utilizarea facilităților IT în conformitate cu politica organizației. Ar trebui să existe un program coerent de instruire a angajaților pe diverse niveluri de interes, pe lângă o instruire generală în gestiunea securității fiind necesare și specializări pentru administratorii sistemului informatic în tehnologii de securitate specifice.

Chiar dacă securitatea unei anumite zone IT, cum ar fi securitatea rețelei revine unei entități externe, este o practică bună ca și în interiorul organizației să existe competențele și abilitatea de a evalua cum sunt satisfăcute cerințele de securitate. Instruirea este necesară și pentru a crea abilitatea de reacție la apariția unor incidente de securitate.

Raportarea incidentelor de securitate are ca obiectiv minimizarea efectelor negative sau a incorectei funcționări a echipamentelor. Monitorizarea unor astfel de incidente permite determinarea performanței sistemelor de securitate și îmbunătățirea continuă. Politicile și procedurile de securitate trebuie implementate astfel încât să asigure un răspuns consistent la astfel de incidente.

Securitatea fizică

Delimitarea zonelor securizate are ca obiectiv prevenirea accesului neautorizat sau afectarea facilităților oferite de sistemul informațional. Aceasta secțiune vizează mecanismele prin care se asigură securitatea fizică a imobilului în care organizația își desfășoară activitatea.

Alt aspect important al securității fizice este cel legat de protecția echipamentelor, prin prevenirea pierderii, distrugerii sau compromiterii funcționării echipamentelor care pot afecta funcționarea organizației.

Echipamentele de calcul trebuie să fie protejate fizic împotriva amenințărilor voite sau accidentale. În acest sens trebuie dezvoltate standarde și proceduri pentru securizarea atât a serverelor, cât și a stațiilor de lucru ale utilizatorilor. Măsurile de control al accesului, implementate la nivelul aplicației, bazelor de date sau rețelei pot deveni inutile dacă există și o protecție fizică corespunzătoare.
Managementul comunicațiilor și al operării

Operarea calculatoarelor trebuie să asigure funcționarea fără riscuri și în bune condiții a resurselor organizației. Această funcție vizează atât echipamentele și aplicațiile software, cât și celelalte elemente necesare procesării informației și susținerii funcțiilor de afacere.

Practicile de control recomandate pentru asigurarea operării de o manieră corectă și sigură, constau în documentarea procedurilor de operare, controlul modificărilor aduse sistemului informatic, atât la nivel hardware cât și software, formalizarea tratării incidentelor de securitate și separarea responsabilităților.

Dinamica mediului informațional dată de schimbările tehnologice continue cât și de apariția de noi cerințe din partea afacerii supune sistemul informatic la noi dezvoltări. Dezvoltarea și testarea modificărilor aduse sistemului existent pot cauza probleme serioase operării curente. Pentru a controla aceste riscuri sunt recomandate separări clare ale responsabilităților între dezvoltare, testare și exploatare susținute și de o separare a mediilor folosite pentru aceste activități.

Accesul programatorilor pe mediul de producție nu ar trebui permis, iar dacă anumite situații excepționale o cer, atunci ar trebui controlat îndeaproape.

Planificarea capacității sistemului este un alt obiectiv al operării calculatoarelor care are ca obiectiv minimizarea riscurilor întreruperii sistemului ca urmare a atingerii capacității maxime de procesare.

Asigurarea unei capacități corespunzătoare de procesare implică o planificare riguroasă a activităților sprijinite de sistemul informațional. Trebuie dezvoltate proceduri și mecanisme de raportare care să identifice utilizarea necorespunzătoare a resurselor precum și perioadele de utilizare. Protecția împotriva software-ului malițios este un aspect important întru-cât cea mai mare amenințare a activelor informatice este dată de pierderea sau indisponibilitatea datelor ca urmare a infestării cu viruși informatici. În toate sondajele, virușii se află printre primele locuri ca sursă a incidentelor de securitate.

Milioane de viruși informatici sunt raportați anual. Protecția împotriva virușilor nu o asigură doar administratorul sistemului, ci și utilizatorul. Asigurarea integrității datelor și a aplicațiilor software necesită măsuri de protecție prin care să se prevină și să se detecteze introducerea unor aplicații ilegale în sistemul organizației.

Aplicațiile tip antivirus trebuie instalate pe toate calculatoarele din sistem iar utilizatorii trebuie instruiți cu privire la folosirea acestora.

Alte aspecte ce fac obiectul managementului operării și comunicațiilor vizează:

• întreținerea sistemului, incluzând realizarea copiilor de siguranță, întreținerea jurnalelor de operare, menținerea înregistrărilor cu erori de operare și execuție.

• managementul rețelei, necesar asigurării rețelelor de calculatoare.

• manipularea și securitatea mediilor de stocare, pentru a preveni întreruperea activităților afacerii.

• schimbul de aplicații și date între organizații, pentru a preveni pierderea, alterarea sau utilizarea improprie a informației.

Întreținerea sistemului are ca obiectiv menținerea disponibilității și integrității serviciilor IT. Trebuie dezvoltate proceduri specifice care să descrie acțiunile prin care se realizează întreținerea serviciilor și echipamentelor IT. Întreținerea sistemului trebuie să fie un proces continuu care să includă obligatoriu instalarea corecțiilor de securitate a aplicațiilor, sistemelor de operare și sistemelor de gestiune a bazelor de date, realizarea copiilor de siguranță, jurnalizarea activităților realizate în și de către sistem. Managementul rețelei are ca obiectiv asigurarea protecției datelor transmise prin rețea și a infrastructurii fizice a rețelei. Pentru protecția rețelei sunt disponibile tehnologii specializate ce pot fi folosite în implementarea măsurilor de securitate și atingerea obiectivelor de control:

• filtru – set de reguli implementate la nivelul unui router sau firewall prin care acesta permite tranzitarea sau nu a traficului către și dinspre rețeaua unei companii;

• firewall – dispozitiv prin care este controlat traficul dintre rețeaua companiei și rețelele externe acesteia;

• Sistem pentru Detectarea Intruziunilor (IDS – Intrusion Detection System), dispozitiv (hardware sau software) dedicat inspectării traficului unei rețele cu scopul identificării automate a activităților ilicite;

• criptare comunicații – procesul prin care datele sunt aduse într-o formă neinteligibilă persoanelor neautorizate;

• Rețea Virtuală Privată (VPN – Virtual Private Network) – o rețea care permite comunicarea între două dispozitive prin intermediul unei infrastructuri publice (nesigure) ;

• zona demilitarizată (DMZ) este o parte a rețelei care permite accesul controlat din rețeaua Internet. Mașinile dependente de accesul direct la rețeaua Internet, cum ar fi serverele de email și cele de web sunt adesea plasate în astfel de zone, izolate de rețeaua internă a organizației.

Măsurile tehnice singure nu pot asigura nivelul de protecție necesar, fără un management corespunzător. Standardul ISO/IEC 27001 prezintă controalele necesare gestiunii corespunzătoare a securității comunicațiilor.

Prevenirea distrugerii mediilor de stocare al cărei efect s-ar concretiza în întreruperea serviciilor sistemului informatic s-ar putea asigura prin controlarea și protejarea mediilor de stocare. Trebuie dezvoltate proceduri prin care este controlat accesul la orice mediu de stocare și la documentația sistemului.

Controlul accesului

Confidențialitatea vizează protejarea informațiilor împotriva oricărui acces neautorizat. Uneori este interpretat în mod greșit ca această cerință este specifică domeniului militar și serviciilor de informații care trebuie să-și protejeze planurile de luptă, amplasamentul depozitelor de muniție sau al rachetelor strategice, notele informative. Este însă la fel de importantă pentru o organizație care dorește să-și apere proprietatea intelectuală, rețetele de producție, datele despre personalul angajat, etc.

Pentru o instituție publică, datorită caracterului informației pe care o gestionează este important să asigure în primul rând integritatea și disponibilitatea datelor.

Controlul accesului începe cu stabilirea cerințelor de acordare a drepturilor de utilizare a informațiilor. Accesul la facilitățile și serviciile oferite de sistemul informațional trebuie controlat în funcție de specificul și cerințele mediului în care își desfășoară activitatea organizația.

Pentru a răspunde acestor cerințe sunt în general definite o serie de reguli de acces corelate cu atribuțiile fiecărui utilizator al sistemului informatic. Menținerea acestor reguli în linie cu cerințele organizației implică un proces de gestiune a accesului utilizatorilor sistemului. Obiectivul acestui proces este să prevină utilizarea neautorizată a calculatoarelor.

Trebuie să existe proceduri formale prin care să se controleze alocarea drepturilor de acces la serviciile și resursele IT. Utilizatorii autorizați trebuie instruiți cu privire la maniera în care trebuie raportate activitățile sau acțiunile considerate suspecte.

Fiecare componentă a sistemului informațional trebuie să facă obiectul măsurilor de control al accesului, datele trebuie protejate indiferent de forma sau starea care le caracterizează, fie că este vorba de aplicații software, sisteme de operare, baze de date sau rețele de comunicații.

Dezvoltarea și întreținerea sistemului

Aproape mereu, atunci când e vorba de dezvoltarea și implementarea unui sistem informatic, cerințele de securitate sunt neglijate. Eforturile sunt îndreptate mai mult spre aspectele funcționale și mai puțin pe controlul riscurilor de integritate și confidențialitate a informațiilor. Organizațiile se expun la riscuri majore de operare ce pot rezulta în pierderi financiare semnificative prin neglijarea unor măsuri minimale de control al procesului de dezvoltare și implementare. Testarea aplicațiilor nu este formalizată, ceea ce nu garantează calitatea dezvoltărilor, programatorilor li se permite accesul la mediul de producție pentru corectarea unor erori nedetectate în procesul de testare, inducând riscuri de integritate și disponibilitate a datelor.

Aspectele de securitate nu trebuie neglijate în partea de dezvoltare și implementare, deși acestea s-ar putea să deranjeze și să nu aducă aparent nici un beneficiu. Fără a ține cont de recomandările de control ale acestui proces, organizația riscă să investească într-o aplicație sau echipament care să nu-i ofere nici o garanție asupra informațiilor gestionate.

Obiectivele de control prevăzute în această secțiune a standardului sunt menite să asigure că noile sisteme dezvoltate au prevăzute mecanisme de securitate, prin:

• dezvoltarea cerințelor și analiza specificațiilor de securitate;

• validarea datelor de intrare

• controlul procesării interne

• autentificarea mesajelor transmise electronic

• validarea datelor de ieșire

• utilizarea tehnicilor de criptare

• utilizarea mecanismelor de semnare electronică

• protejarea codului aplicațiilor și a fișierelor sistemului de operare

De asemenea, este necesară și asigurarea securității mediilor de dezvoltare și a serviciilor suport. Mediile în care se dezvoltă aplicații sau proiecte noi trebuie strict controlate. Mediul de testare trebuie separat de mediul de producție, datelor de test asigurându-li-se protecția corespunzătoare.

Planificarea continuității afacerii

Un plan de continuitate a afacerii reprezintă o serie de măsuri de reacție în caz de urgență, de operare alternativă și de restaurare a situației în caz de dezastru pentru a asigura disponibilitatea resurselor critice și pentru a permite continuarea activității în cazul unor incidente majore. Majoritatea companiilor nu au un astfel de plan de continuitate, de cele mai multe ori aceste aspecte sunt neglijate sau sunt limitate la achiziționarea unor echipamente de rezervă sau tolerante la defecte.

Scopul unui plan de continuitate este de a asista organizațiile în a continua să funcționeze atunci când activitatea normală este întreruptă. Este mult mai bine ca acest lucru să fie planificat în avans, printr-o atitudine proactivă. Planurile pentru continuitatea afacerii trebuie să asigure disponibilitatea proceselor considerate critice pentru funcționarea organizației în cazul apariției unor dezastre sau întreruperi de funcționare.

Asigurarea continuității afacerii presupune parcurgerea etapelor de documentare, testare și implementare a planului de continuitate a afacerii.

Implementarea presupune instruirea personalului și dezvoltarea unor procese speciale de gestiune a situației de criză, precum și de actualizare periodică.
Conformitatea

Proiectarea, operarea sau gestiunea sistemelor informaționale pot face obiectul unor reglementari, legi sau angajamente contractuale în ceea ce privește securitatea.

Pentru a evita încălcarea dispozițiilor statutare sau legale, standardul prevede o serie de măsuri precum:

• identificarea legislației aplicabile

• utilizarea adecvată a licențelor software sau a materialelor protejate de drepturi de autor ;

• protejarea înregistrărilor organizației (înregistrări contabile, chei de criptare, jurnale de activitate, medii de stocare, proceduri de lucru).

Pentru a asigura conformitatea cu politicile și standardele de securitate ale organizației, securitatea sistemului informațional trebuie revizuită periodic pentru a eflecta schimbările tehnologice sau organizatorice.

III. Domeniul de securitate a informației

. Securitatea informației din ziua de azi

Securitate…un termen foarte vehiculat în ultimul timp. Pe de o parte o necesitate de a proteja datele împotriva atacurilor, atât externe cât și, în multe cazuri, chiar cele mai periculoase, interne; pe de altă parte un standard care specifică în mod clar cerințele necesare pentru a defini, implementa și documenta un sistem de management al securității informației, activitățile și documentele de securitate care trebuie controlate precum și ce activități de control al sistemului de securitate a informației trebuie implementate în concordanță cu cerințele specifice fiecărei organizații. Multă lume crede că securitatea înseamnă doar să folosești un antivirus, să criptezi anumite fișiere pe care le trimiți pe Internet, eventual un firewall bine administrat.

Cu alte cuvinte, securitatea este tratată cu foarte mare superficialitate, mai ales în România. Ingeniozitatea umană dar și dexteritatea de a se folosi de anumite breșe de securitate în diferite programe deja existente crează în fiecare zi noi amenințări pe căi din ce în ce mai puțin așteptate pentru utilizatorul de rând care habar nu are ce îl așteaptă când “browse-ază Internetul” sau când mai “ia niște muzică”. Răspândit și intens traficul făcut nu este filtrat de nici un firewall sau antivirus, fiind teoretic trafic “bine intenționat”, de care utilizatorul este conștient.

Acest lucru este posibil prin utilizarea unor exploit-uri a căror existență până și firmele producătoare de mesagerie instantanee le-au confirmat. Totodată, nu mulți știu că textul conversațiilor este trimis pe internet ca plain – text și poate fi ușor interceptat.

Importanța securității

Securitatea datelor este esențială pentru o bună desfășurare a activității, de exemplu activitatea unei instituții. De multe ori ignorată, aceasta intră în centrul atenției, în 95% din cazuri, abia după ce s-a consumat un eveniment ce a afectat în mod negativ activitatea companiei.

Majoritatea companiilor nu sunt precaute și apelează la servicii de securitate IT numai după ce au fost atacate. Soluțiile de IT, precum business intelligence (BI) sau planificarea resurselor întreprinderii (ERP), pentru companii devine din ce în ce mai complexe și mai inteligente, iar un firewall și un program antivirus nu mai sunt suficiente pentru a asigura securitatea datelor din toate organizațiile.

Securizarea datelor reprezintă “un alt tip de asigurare”, un management al riscului, care garantează continuitatea afacerii.

Mai precis, este primul din ultimele două decenii în care nu a apărut nici măcar un singur virus de periculozitate mare și al doilea an de când nu a mai apărut nici un virus nou de periculozitate maximă.

Practic, virușii nu mai sunt principala amenințare cu care se confruntă computerele. Cauzele sunt multiple și merg la scăderea interesului creatorilor de malware în a se mai ocupa de scrierea de viruși și pănă la optimizarea puternică a programelor antivirus. Creatorii de malware s-au reprofilat pe obținerea de profit și actualmente se organizează în structuri de tip mafiot care au drept singur obiectiv traficul cu informații, contra cost.

Fenomenul spyware tinde să depășească virușii informatici sub raportul gravității incidentelor, scopul urmărit de spyware fiind furtul de informații, cu implicații mult mai serioase decât atacurile virale.

O altă amenințare pentru companii sunt proprii angajați. Aproape jumătate dintre angajații care își desfășoară activitatea într-o varietate de domenii au recunoscut că au luat date cu ei când și-au schimbat locul de muncă, mergând de la documente și persoane de contact pănă la contracte și liste de prețuri.

În general măsurile de securitate și regulile de conduită fie nu sunt luate în considerare, fie sunt ocolite. Conform Information Security Survey utilizatorii chestionați au declarat că nu văd un obstacol în politicile de securitate IT ale companiilor la care lucrează, fiind capabili să obțină date din afara sediului companiei sau să iasă nestânjeniți pe ușă cu diverse suporturi de stocare-stick-uri USB, discuri optice inscripționate în companie.

Dat fiind că atâți de mulți angajați au recunoscut că au “păstrat” informații la schimbarea locului de muncă, 50% dintre aceștia suspectează că datele ce țin de prioritatea intelectuală a companiei sunt folosite de concurență. În jur de 42% dintre respondenți au apreciat că măsurile de securitate ale companiilor sunt fie inexistente sau insuficiente, fie nu sunt adaptate specificului activității sau sunt restrictive.

Pentru a reduce riscurile de securitate în utilizarea și administrarea sistemelor IT, cea mai bună strategie este cea pe ansamblu (security in depth). Aceasta presupune evaluarea pe ansamblu a infrastructurii IT și clasificarea expunerii la riscuri de securitate. Pentru fiecare dintre riscurile identificate trebuie realizate planuri de măsuri, fie pentru reducerea expunerii la acele riscuri (mitigation), fie pentru reducerea impactului odată ce riscul s-a produs (contingency).

Problema securității informaționale

Utilizarea Internetului, pe lângă beneficiile pe care le aduce, generează și o serie de probleme, printre care este și problema securității informaționale. În acest sens, aproape 2/3 din participanții la sondaj (64,6%) susțin că în timpul navigării pe Internet s-au confruntat cu probleme legate de accesul nesancționat la sistem (viruși, hakeri etc.).

Analiza răspunsurilor în funcție de profilul socio-demografic al utilizatorilor Internet nu a înregistrat diferențe semnificative, cu excepția variabilei ocupații – confruntarea cu problema securității informaționale a fost menționată mai des de către angajații organizațiilor internaționale (85,2%) comparativ cu respondenții cu alte ocupații.

Pentru a preveni problemele legate de accesul nesancționat la informație se impune necesitatea instalării unor programe/ mecanisme de securizare a informației.

Analiza corelată evidențiază faptul că utilizatorii de sex masculin acordă puțin mai mare atenție necesității de a instala programele de securizare a informației, comparativ cu utilizatorii de sex feminin.

Totuși, odată cu instalarea programelor de securizare a informației, problema respectivă nu dispare, deoarece apar noi viruși, se inventează noi modalități de accesare nesancționată a informației. Din aceste considerente programele și mecanismele instalate trebuie reînnoite periodic.

DIVERSE DOMENII DE SECURITATE

Securitatea serverelor și a stațiilor de lucru

Atunci când instalăm servere și stații de lucru în rețea, trebuie să avem în vedere 2 lucruri importante:

Acestea trebuie să fie menținute la zi din punct de vedere al aplicării patch-urilor și fix-urilor de securitate.

Trebuie să realizăm o configurare standard din punct de vedere al setărilor de securitate, în funcție de rolul funcțional al serverului sau al stației de lucru și al nivelului de securitate dorit.

La aplicarea unei configurări de securitate asupra serverelor, a sistemelor informatice sau a stațiilor de lucru trebuie realizat un compromis între funcționalitate și securitate. Gradul de securitate dorit trebuie aplicat în funcție de importanța resurselor stocate sau utilizate pe acel server sau stație de lucru. Cel mai simplu mod de aplicare al unor template-uri de securitate este cu ajutorul lui Active Directory și Group Policy. În acest fel ne asigurăm și de faptul că setările de securitate aplicate sunt și menținute.

Securitatea perimetrului

Datorită accentului pus pe comunicații și accesului la informație de oriunde pentru utilizatori, problema securizării perimetrului rețelei este destul de complexă, în primul rând deoarece perimetrul nu e simplu de definit. Securizarea perimetrului implică nu doar instalarea și configurarea unui firewall pentru controlul traficului dinspre și către Internet, ci și securizarea conexiunilor RAS sau VPN pentru utilizatorii mobili sau pentru rețele la distanță.

Securitatea comunicației în rețea

Un sistem IT sigur este unul bine proiectat, instalat și administrat. Securitatea comunicației pleacă de la designul arhitecturii rețelei.

Securitatea aplicațiilor

Fiecare aplicație implementată în cadrul infrastructurii IT trebuie să aibă incluse facilități de securitate specifice. Este recomandat ca aplicațiile să folosească facilitățile de securitate oferite de platformă, de exemplu pentru autentificarea utilizatorilor și autorizarea accesului la resurse.

Securitatea datelor

În general orice server de aplicație trebuie să aibă caracteristici de protecție și recuperarea datelor.

Soluții pentru managementul patch-urilor:

Securizarea rețelei nu poate fi completă fără menținerea la zi a sistemelor din punctul de vedere al patch-urilor de securitate. De foarte multe ori se întamplă ca, deși majoritatea sistemelor, servere și stații de lucru din rețea, au fost actualizate cu ultimele patch-uri, au fost uitate undeva prin rețea sisteme configurate implicit, și care o dată infectate au generat probleme în întreaga rețea.

Pentru a ne asigura că toate sistemele sunt menținute la zi din punct de vedere al patch-urilor, în nici un caz nu trebuie să ne lăsăm în grija utilizatorilor. Un e-mail cu textul: instalați ultimele patch-uri și fix-uri nu rezolvă problema. Automatizarea este cuvântul cheie.

Pentru scanarea sistemelor din rețea din punct de vedere al aplicării patch-urilor și fix-urilor pentru sistemele de operare și aplicațiile de bază Microsoft putem folosi Microsoft Baseline Security Analyzer.

Nu putem pretinde că am făcut o tratare exhaustivă a tuturor ariilor de securitate posibile. Am pornit de la convingerea că orice construcție solidă începe cu fundația. Asigurând securitatea de bază a rețelei putem minimiza majoritatea riscurilor de securitate tipice, după care ne putem concentra asupra unor arii specifice.

Doar investind în securitate cap-coadă vom putea avea sisteme IT mai sigure. De multe ori vom constata că beneficiile vor fi mai mari, iar investițiile și eforturile făcute vor fi mai mici dacă vom avea o abordare pe ansamblu, decât dacă am trata problema punctual. Sau, mai rău, vom acționa pentru a înlătura efectele abia după producerea unui incident de securitate.

Securitatea informației

Securitatea informației nu mai trebuie tratată doar din punct de vedere tehnic, ea trebuie inclusă în managementul companiei. Securitatea informației poate fi pusă la încercare de viruși, acces neautorizat, procesarea neadecvată de către angajații companiei (așa-numitele erori umane), defecțiuni sau dezastre naturale ce au ca rezultat oprirea sau defectarea echipamentelor IT.

Păstrarea datelor a devenit o problemă tot mai importantă atât datorită faptului că se manipulează un volum tot mai mare de date, dar și modului de accesare al acestor informații care trebuie să fie rapid, eficient, optim din punct de vedere al raportului timp accesare/valoare informație.

Securitatea accesului asupra informațiilor

Sistemele informatice conțin baze de date care reprezintă sursa principală de informație și este prezentată utilizatorilor și prin acces la distanță în rețelele sau via Internet. Acestea trebuie să fie protejate de eventualele intruziuni sau atacuri. Protejarea se bazează pe tehnici de control a accesului constând în principal din controlul accesului și acordarea de drepturi de acces, în cadrul intregului sistem sau doar la nivelul obiectelor ce compun sistemul.

Accesul prin parole a persoanelor autorizate

Autentificarea se poate face prin intermediul parolelor. Principiul parolelor, cunoscut din lumea basmelor, este într-o oarecare măsură asemănator întrebuințat și în lumea calculatoarelor. Uneori, dintr-o dragoste excesivă față de trecut, utilizatorii greșesc, rămânând în aceeași lume, și ca, atare, apelează și în acest caz la arhicunoscutele cuvinte magice ale copilăriei. Un astfel de comportament este intuit și de spărgătorii de sisteme, care, nu de puține ori, reușesc să le acceseze pe această cale.

Așadar, parolele sunt utilizate pentru a ni se permite accesul la un calculator, fie ca utilizator, fie sub forma grupărilor de utilizatori, fie ca personal al sistemului de prelucrare automata a datelor.

Dupa identificarea sau “legitimarea” persoanei, prin metodele amintite anterior, și eventual, oferirea unui jeton de acces, cei interesați prezintă sistemului propria lor parolă, fie prin tastarea de la un terminal, fie prin introducearea unui echipament special a unui document care să conțină parola.

Menționăm că sistemul parolelor, căt de complex ar fie el, nu realizează o securitate sigură, ea depinzând în mod substanțial de modul de păstrare a secretului parolei. Să nu uităm că și cele mai solide uși, cu cele mai inteligente lacăte, sunt vulnerabile în fața celor care au intrat în posesia cheilor.

Problema parolelor nu este încă suficient de bine înțeleasă de utilizatorii lor, apelându-se la forme foarte scurte, la nume ale eroilor din filme, din basme, la numele soției sau soțului, al copiilor, la numărul autoturismului (etc), foarte vulnerabile în fața unor spărgători calificați. O altă greșeală, constă în scrierea parolelor de teama de a nu fi uitate, dar suportul lor este lăsat la vederea tuturor persoanelor.

Parolele trebuie să fie eliberate doar persoanelor autorizate ce exercită anumite funcții în sistem și nu trebuie să fie un proces generalizat, dându-se tuturor celor ce dețin poziții importante în conducerea unei companii. A da astfel de parole în folosința unor persoane echivalează cu permisiunea acestora de a accesa cele mai importante averi ale tuturor sistemelor informatice. Din cele relatate, rezultă că o parolă este și o cheie ce trebuie să i se poarte de grijă ca și obiectelor sau valorilor protejate prin ea.

Din această cauză se impun câteva reguli de controlare a parolelor:

parolele trebuie să fie schimbate cam la 6 luni, dar pentru datele deosebit de importante se impun termene și mai scurte;

parolele comune trebuie schimbate imediat ce o persoană parăsește grupul sau nu mai are dreptul utilizării lor;

parolele trebuie să fie schimbate imediat ce se constată unele bănuieli din cunoașterea lor de persoane neautorizate atunci când, din motive de forță majoră secretul lor a trebuit să fie dezvăluit

pentru redresarea unor stări anormale temporare;

parolele nu vor fi afișate niciodatăt pe echipamentele din configurația sistemului, iar la introducerea lor de la tastatură nu trebuie să se afle persoane străine în preajmă;

odată ce au pătruns în sistem, utilizatorilor nu trebuie să li se permită să-si schimbe identitatea cu care au efectuat deschiderea sesiunii, nici să poată pătrunde în partițiile alocate altor utilizatori;

la deschiderea unei noi sesiuni de lucru, utilizatorului trebuie să i se aducă la cunoștință ultimul timp de accesare a sistemului cu parola respectivă, pentru a se verifica dacă altcineva a folosit-o între timp.

Acces securizat prin parolă

Pentru preîntâmpinarea unor aspecte vulnerabile din sistemul de protecție prin parole se recomandă apelarea la un semn special sau la o dovadă de recunoaștere a utilizatorului. Ele pot fi: o cheie de descuiere a consolei, o cartelă magnetică bazată pe microprocesor, astfel încăt să poată stabili cine, cum, când și unde să o folosească.

De ultimă oră sunt produsele care apelează la echipamente ce acționează pe principiul calculatoarelor portabile. Ele sunt sisteme speciale

de criptare, care generează valori de autentificare personală a utilizatorilor și care se preiau de la tastatura terminalelor, ca la sistemul clasic, pentru a se compara cu ceea ce generează un echipament similar aflat în calculator.

Atacuri împotriva sistemelor informatice

Spre deosebire de problematica accesului persoanelor autorizate, prevenirea accesului persoanelor neautorizate complică mult proiectarea și administrarea sistemelor informatice. Principalele consecințe ale accesului persoanelor neautorizate sunt infectarea rețelei și a calulatoarelor acesteia cu malware și atacuri de tip oprirea serviciilor. Malware este un termen nou folosit pentru acele programe care se infiltrează sau deteriorează un sistem. Prin acesta se întelege nu numai diverși viruși de tip troian, ci și pentru căștig financiar spyware, botnets loggers și dialers.

Virușii informatici

Denumirea de virus a fost folosită în literatura de specialitate pentru prima dată în anul 1983, de către expertul american Fred Coen, de la Universitatea Southern California, care a atras atenția asupra unor programe cu două proprietăți tipice:

sunt capabile să realizeze copii după ele însele și să infecteze alte programe prin includerea codului lor în noile programe care devin gazde;

sunt capabile să execute o acțiune definită, în particular să distrugă alte programe.

Denumirea de "viruși" se utilizeaza pentru programele sau secvențele de program care prin modul lor de funcționare posedă cele două caracteristici fundamentale prezentate mai sus.

1. Caracterizarea generala a virușilor

În esență, prin mecanismul funcționării sale, un program de viruși se aseamănă, din punct de vedere formal, cu virusul biologic. Voi încerca în cele ce urmează să evidențiez această asemănare.

Din punct de vedere biologic, virusul nu este capabil să trăiască independent, el având nevoie de un organism gazdă. De asemenea, virusul, în evoluția sa, are o perioadă de infectare a unor organisme, care devin astfel organisme gazdă, o perioadă de latență și o perioadă de erupție, când poate cauza diferite boli. În concepția general recunoscută, virusul biologic este o forma a materiei vii care cauzează diferite neplăceri, cu implicații mai grave sau mai puțin grave asupra altor organisme vii.

Cele enumerate mai sus nu caracterizează virușii în mod exhausiv și sunt departe de rigurozitatea științelor biologice, dar cuprind acele aspecte datorită cărora programele cu comportare asemănătoare au fost denumite programe de virusare sau, mai pe scurt, viruși.

Dinamica evoluției virușilor și a programelor de prevenire și combatere a acestora este extreme de rapidă. Problemele care apar sunt deseori surprinzătoare chiar și pentru cei familiarizați cu acest domeniu al tehnicii de calcul, dar, din motive bine întemeiate, ele nu sunt publicate. Fenomenul urmărește evoluția tehnologică atât la nivelul hardware-lui, cât și al software-ului.

Acțiunea distructivă a virușilor devine din ce în ce mai puternică, modul lor de penetrare în sistemele de calcul este tot mai sofisticat, cu toate măsurile deosebite de siguranță pe care le oferă software-ul.

Lupta dintre "teroriștii" calculatoarelor și cei nevoiți să ia masuri de securitate împotriva lor este inegală, deoarece timpul care stă la dispoziția producătorilor de viruși este nelimitat, pe când utilizatorul cinstit intră în criză de timp la orice funcționare anormală, suportând pagubele materiale și morale ce decurg din infectarea sistemului său. Fiecare nou mecanism de protecție incită producătorul de virus la noi metode de distrugere.

2. Criterii de clasificare a virușilor

Criteriile de clasificare sunt multiple și nu se poate afirma că s-a ajuns la o clasificare unanim acceptată. Vom preenta trei criterii de clasificare a virușilor.O primă clasificare privește capacitatea virusului de a se multiplica și de a distruge. Există, astfel:

-viruși propriu-ziși, cu capacitate de autoreproducere, infectare și distrugere;

-viruși care nu se reproduc, dar se infiltrează în sistem și provoacă distrugeri lente, fără a lăsa urme. Ei au capacitatea de a furniza informații confidențiale despre parole, cuvinte cheie sau date cu caracter secret pe care le înscriu in fișiere speciale. Unele versiuni se autodistrug după un anumit timp sau după ce și-au încheiat activitatea.

Ei pot distruge volume mari de date, fără ca utilizatorul să observe acest lucru. În terminologia engleză ei se numesc "worms", termen care reflectă modul lor de infiltrare. Se cunosc cazuri când asemenea programe au "traversat" întreg software-ul unui sistem sau au distrus și alterat toate bazele de date existente. Datorită modului specific de acțiune, ei sunt greu de localizat, greu de izolat și ca atare foarte greu de studiat. În multe cazuri, codul lor pare inofensiv, acțiunea lor bazande-se pe interacțiunea cu secvențele de program ale software-ului. Din acest motiv sunt și deosebit de periculoși.

A doua clasificare are în vedere tipul distrugerilor provocate în sistem. Există trei categorii principale de viruși:

-prima categorie o constituie virușii care determină blocarea sistemului, facându-l inutilizabil, distrugând de obicei programul în care este inclus. Se cunosc diferite versiuni ale acestui virus. Astfel, pe motiv că realizează protecția software-ului la copieri neautorizate, sistemul de gestiune a bazelor de date Clipper avea implementat un mecanism care, după 750 de execuții, ștergea produsul.

Astfel de metode, implementate inițial de firmele producătoare de software sub motivul protecției la copieri neautorizate, sunt interzise prin lege.

-a doua categorie cuprinde virușii care nu provoacă distrugeri, dar incomodează și fac uneori imposibil lucrul la calculator.

Formele de manifestare sunt diferite și cuprind:

-încetinirea vitezei de lucru până la limita intolerabilității, se ajunge la cazuri în care o operație banală, care în mod normal se efectuează în câteva secunde, poate dura zeci de minute;

-afișarea unor texte de felicitare cu ocazia unor sărbători, prin verificarea datei din calculator, sau afișarea unor texte ironice, cu conținut stupid, mai rar colorarea ecranului sau înnegrirea acestuia;

-blocarea tastaturii, fapt care necesită reinițializarea calculatorului;

-reinițializarea aleatoare a calculatorului;

-activarea generatorului audio și "interpretarea" periodică a unor melodii sau în funcție de ora din calculator;

-modificarea aleatoare a generatorului de caractere; utilizatorul apasă o tastĂ, iar codul transmis și afișat în ecou este cu totul altul, editarea unei liniid e comandă devenind astfel imposibilă;

-modificarea generatorului de caractere pe interfețele calculatorului sau la imprimantă; textul imprimat de vine neinteligibil;

-transmiterea aleatoare la imprimantă a codului de salt la pagină nouă, ceea ce duce la o mare risipă de hartie.

-a treia categorie o constituie virușii cu o mare putere de distrugere, care afectează nu numai programele infectate, ci întreg sistemul de calcul. Din această categorie fac parte virușii care distrug tabela de partiționare a hard-discului, alterează tabela de alocare a fișierelor (File Allocation Table – FAT) și/sau modifică informațiile din directorul rădăcină.Aceștia pot, de asemenea, formata hard-discul, distruge sectorul de boot sau șterge informațiile dintr-un director sau de pe întrg discul.

Se cunosc viruși care schimbă aleator numele fișierelor, "aranjează" în ordine alfabetică numele de directoare, respectiv de fișiere, lăsând însă nemodificate toate celelalte informații. Se ajunge la situația în care utilizatorul lansează un program care face cu totul altceva decât la o lansare anterioară, deoarece i s-a schimbat numele, dar nu și informațiile legate de poziția sa pe suportul magnetic.

Virușii din această categorie pot modifica din proprie inițiativă structura arborescentă a virusului, alternând integral și irecuperabil informația existentă. O performanță în sens negativ este și posibilitatea virusării programelor memorate pe dischete protejate la scriere, prin ocolirea întreruperii care inhibă scrierea dischetei protejate. Nu este nici o problemă pentru asemenea programe să modifice atributele convenționale de fișier. În majoritatea acestor cazuri programele lucrează la nivel fizic, și nu prin intermediul funcțiilor sistemului de operare.

A treia clasificare, cea mai utilizată și poate cea mai adecvată, împarte virușii calculatoarelor în următoarele tipuri:

-viruși de zonă de sistem sunt cei mai numeroși. Penru a "achiziționa" un astfel de virus este suficient să lansăm sistemul de operare cu o dischetă virusată introdusă în unitatea floppy. Chiar dacă facem întotdeauna această operațiune de pe hard-disk tot există riscul să uităm o dischetă în unitate la relansarea calculatorului. Din fericire, virușii de zonă sistem sunt cel mai ușor de depistat și înlăturat. În plus, unele programe antivirus rezolvă și problema dischetei unitate. Atunci când închidem Windows-ul, acesta verifică dacă există o dischetă în unitate și o scanează în căutare de viruși.

-viruși de fișier sunt, de obicei, infiltrați în fișierele executabile *.exe sau *.com. Virușii "de calitate" din această clasă se pot replica fără a interfera cu activitățile normale ale calculatorului. Cei mai periculoși, se raspândesc până la o anumită dată când distrug fișierele. Viruși de fișiere nu sunt greu de găsit, dar distrugerile pe care le pot provoca programelor necesită de obicei ștergerea și reinstalarea acestora.

-virușii multipartiți sau duali reprezintă un hibrid între primele două categorii, infectând atât fișiere, cât și zonele de sistem. Aceasta le oferă un mecanism mai variat de răspândire și îngreuneză descoperirea și eradicarea lor.

În lupta între virus și programele antivirus apar mereu progrese tehnologice. Cele mai noi sunt reprezentate de: virușii polimorfici, Stealth și de macro.

Virușii polimorfici suferă mutații continue în structură, astefel încât nu se poate defini o "amprentă" a virusului.

Virușii stealth, printre alte trucuri aceștia se pot autoextrage din memorie, astfel încât la scanarea acesteia de către un antivirus nu pot fi identificați.

Virușii macro au apărut după anul 1995. Până în 1995 se putea spune ci un mare grad de siguranță că virușii sunt doar de fișiere executabile. Acest lucru s-a schimbat în momentul apariției primului virus pentru documente Word- ce purta numele de Concept. El s-a răspândit foarte rapid în lume datorită noutății ideii și este relativ inofensiv. Dar alți viruși mult mai puțin prietenoși din familia macro-programelor au apărut între timp pentru fișierele de Word sau Excel. Pentru a ne alege cu un virus macro este suficient să deschidem un fișier Word sau Excel infectat. Partea bună este că toate pachetele antivirus moderne detectează viruși macro, iar până și Office 97 vine cu protecție încorporată împotriva acestui tip de viruși.

Nici una din clasificările existente nu este integral corectă, deoarece în majoritatea cazurilor un virus are mai multe forme de manifestare.

3. Mecanismul de contaminare

În general, virusul este o secvență de program ascunsă într-un program independent, având o funcție bine definită.

Programele care transportă viruși sunt în general programe de jocuri cu mare priză la public, programe demonstrative de grafică cu imagini atrăgătoare, sau programe utilitare de interes general.

3.1 Mecanismul de contaminare clasic

Procedeul clasic de infectare constă în faptul că după rularea programului purtător de virus, secvența de cod a acestuia rămâne rezidentă în memoria calculatorului. Lansarea unui nou program în execuție nu se va face direct, ci prin controlul secvenței de virus; astfel, noul program lansat va fi modificat, secvența de virus se înscrie la începutul sau la sfârșitul sau, schimbându-i lungimea. Programul modificat, cu secvența de virus încorporată, este salvat pe suportul de pe care a fost lansat, fiind deci un nou purtător de virus.

Decuplarea calculatorului sau repornirea lui prin "hard-reset" elimină sodul rezident din memorie. Primul program infectat va transporta însă din nou codul în memorie , ca urmare secvența de virus și procesul se repetă. Infectarea este un proces exponențial.

Repornirea "la cald" a calculatorului prin combinația de taste CTRL/ALT/DEL nu garantează ștergerea memoriei și deci nici eliminarea modulelor rezidente.

Versiuni mai performante de programare de virusare realizează din inițiativă proprie virusarea unui întreg director sau a unui întreg disc. Este suficientă lansarea unui singur program infectat pentru ca acesta să viruseze dintr-o dată toate programele de pe suportul magnetic de memorie.

Există o tehnică de contaminare mai evoluată, care constă în introducerea secvenței de virus în urma procesului de instalare a unui produs. În timpul instalării și pe suporții de memorare de pe care se face instalarea, codul de virus este de negăsit. În urma procesului de instalare, la produsul în cauză se alipesc instrucțiuni executabile, într-o secvență care definește un cod de virus. Procesul este practic imposibil de urmărit, dar reprezintă nouă "cucerire" a acestui domeniu.

Cele mai vulnerabile fișiere sunt fișierele executabile.

Predilecția infectării fișierelor are o explicație simplă: aceste fișiere conțin coduri executabile, prin urmare probabilitatea răspândirii virusului este foarte mare. De asemenea, virușii pot fi conținuți în diferite fișiere de baze de date. Șansa infectării este mult mai mică decat in cazul fișierelor de tip .COM sau .EXE, dar pagubele produse, chiar la o singură contaminare, sunt foarte mari.

Rezultă tendința de a mări, în sens negativ, performanțele distructive ale virușilor, atâat prin perfecționarea mecanismului de infectare, cât și prin pagubele produse.

Din datele de care dispunem se poate trage concluzia că există două mecanisme de contaminare: "pas cu pas" și instantanee.

Mecanismul de contaminare "pas cu pas" atacă și infectează de fiecare dată un singur program, de obicei pe cel care este în curs de execuție. Acest mecanism este lent, există programe care nu vor fi infectate, iar virușii care îl folosesc au o perioadă latentă mai lungă. În acest caz, mecanismul de infectare este aleator.

Mecanismul de contaminare instantanee este caracterizat prin faptul că un virus instalat în sistem infectează imediat și necondiționat toate fișierele de un anumit tip din directorul curent sau de pe întreg suportul magnetic. În unele cazuri, infectarea este simultană, atît pe hard-disk cât și pe discul flexibil, dacă acesta din urmă este operațional.

3.2 Mecanisme de contaminare în rețele de calculatoare

Tipul mecanismelor de virusare se modifică atunci când este vorba de rețele de calculatoare. Virusul activ într-o rețea de calculatoare trebuie să cunoască facilitățile suplimentare oferite de software-ul de rețea. În cazul în care este vorba de viruși mai inteligenți, aceștia pot ocoli mecanismele de protecție ale rețelei, trecând peste tabela de parole și modificând drepturile de acces. Din acest motiv, dacă virusul este bine construit, nu are importanță din ce punct al rețelei este introdus în sistem.

Experiența a arătat că virusul produce în rețea pagube imense, iar uneori proliferarea lui este necontrolată. Fred Cohen a demonstrat în studiile sale că utilizarea în comun a unor resurse de calculator și folosirea poștei electronice sunt mijloace prielnice pentru propagarea virușilor.

Virusul poate deveni activ numai într-un mediu care îi este prielnic. Astfel, în cazul rețelelor eterogene, un virus lansat în rețea atacă selectiv numai anumite tipuri de calculatoare, respectiv contaminează numai calculatoarele care lucrează cu un anumit sistem de operare. O explicație este aceea că virusul trebuie să aibă un cod cât mai scurt, deci nu se construiesc secvențe de cod care să analizeze tipul sistemului de operare și în funcție de aceasta să stabilească mecanismul de infecție și distrugere. Virusul este construit pentru a "supraviețui" în rețeaua dată și este tolerat de cel mai mult un sistem de operare. Pentru celelalte sisteme de operare care nu recunosc codul virusului, acesta nu reprezintă nici un pericol.

După cum s-a arătat, virusul poate provoca pagube numai software-ului de rețea:

-alterarea sau modificarea tabelelor de parole;

-alterarea sau midificarea tabelelor de adrese pentru terminalele aflate în rețea;

-alterarea sau modificarea tabelelor care conțin starea terminalelor aflate în rețea;

-modificarea traseelor de transmisie a pachetelor în rețelele cu comutare de pachete.

În urma acestor acțiuni, se ajunge foarte simplu la declararea unor terminale defecte, chiar dacă starea lor reală este complet alta, sau la direcționarea incorectă a informației. Dacă procesul nu este prevenit din timp, se poate ajunge repede la congestionarea fluxului de informație și la interblocări ale rețelei. În cazul în care virusul atacă numai rețeaua, indiferent de tipolugia acesteia și indiferent de tipul ei (omogen sau eterogen), vor fi afectate toate calculatoarele cuplate, precum și toți utilizatorii, iar refacerea unei rețele blocate este un proces complex și costisitor.

Un caz alarmant a fost cel al studentului Robert T.Morris jr. De la Universitatea din Marzland, care la 2 noiembrie 1988 a pătruns cu un program de virus în rețeaua Ministerului Apărării al SUA. Într-un timp record, circa 6000 de calculatoare au fost blocate, iar eliminarea virusului din rețea a durat mai mult de 1000 de ore.

4. Mecanismul de autocunoaștere al virusului

Indiferent de modul de contaminare al virusului acesta trebuie să conțină un mecanism de autocunoaștere. În acest fel, se poate evita contaminarea repetată a aceluiași fișier, cu același tip de virus.

Un virus care nu se autorecunoaște este foarte ușor de descoperit și anihilat, deoarece prin implantări repetate în același program, ei își declină lungimea și locul de implantare. Programul infectat de mai multe ori conține deosebit de multe informații pentru vânătorii de viruși.

În cazul în care virusul nu se autorecunoaște, spațiul liber disponibil pe suportul magnetic se ocupă foarte repede, ceea ce este un indiciu pentru utilizatori că sistemul are anomalii de funcționare.

Mecanismele de autorecunoaștere sunt diferite. Cel mai corect și complet mecanism de autorecunoaștere se bazează pe "semnătura" virusului. Prin semnătură se înțelege un șir hexazecimal de caractere care este specific virusului, șir care nu apare în altă parte. Semnătura este deci diferită de la virus la virus. Semnăturile pot avea lungimi variabile, ce nu depășesc însă 80 de octeți.

Înainte de a infecta un nou fișier, virusul analizează dacă semnătura sa este sau nu prezentă în corpul fișierului care urmează să fie infectat; dacă se autorecunoaște, atunci procesul de contaminare nu mai are sens și este abandonat.

Există viruși care verifică și semnătura altor tipuri de viruși și decid dacă contaminarea este posibilă și are sau nu are sens.

Există și posibilitatea infectării unui singur fișier cu mai mulți viruși, dacă virușii respectivi se "tolerează" și acțiunea lor poate fi conjugată.

Specialiștii în crearea virușilor au găsit multe metode de autorecunoaștere, prin utilizarea unor octeți nefolosiți din fișierele de sistem, din interpretorul de comenzi sau chiar din structura fișierului executabil.

5. Mecanismele distructive și obictivele virușilor

Acțiunea distructivă reprezintă în concepția autorului de virus scopul scrierii programului.

Mecanismele distructive sunt foarte diverse, de la simple afișări de texte până la distrugerea întregului software existent pe calculatorul în cauză, de la transmiterea prin rețea a unui mesaj de felicitare până la blocarea întregii rețele.

Mecanismele distructive sunt declanșate la îndeplinirea unor condiții logice, condiții pe care secvența de viruși le verifică de fiecare dată. Condițiile de declanșare pot avea la bază cele mai fanteziste idei ale programatorilor. Printre acestea, le amintim pe cele care apar mai des:

– declanșarea după un anumit numar de execuții a programului infectat;

– declanșarea după un anumit numar de fișiere virusate;

– declanșarea după un anumit număr de articole scrise în baza de date contaminată;

– declanșarea in funcție de data calendaristică;

– declanșarea in functie de ora din calculator;

– declanșarea după un interval de timp scurs de la pornirea calculatorului;

– declanșarea în momentul activării virusului, fără fază de contaminare;

– declanșarea după un anumit număr de taste apăsate;

– declanșarea în funcție de orice alt context detectabil prin program.

Îndeplinirea condițiilor pentru declanșarea acțiunilor distructive este momentul trecerii din faza latentă în faza virulentă.

Faza latentă și cea de infectare pot fi suprapuse în timp, în sensul că un program infectat poate conține virusul în faza latentă, dar, în același timp, virusul poate fi activ pe același calculator și poate infecta noi fișiere.

Virușii atacă în cele mai diferite moduri prectic tot software-ul, indiferent că este vorba de software de bază sau programe utilizator. Obiectivul lor fundamental este distrugerea informațiilor din sistem. Vom prezenta in continuare distrugerile cauzate mai frecvent.

Hacker-ul

Are o minte sclipitoare și are soarta lupilor singuratici, fiind obsedat numai de tehnologiile de vărf, de ultimă oră. Deseori se consideră neglijat de societatea care nu-și dă seama cât de isteț este. Astfel de cazuri sunt ușor de întâlnit în mediile universitare, persoanele în cauză petrecându-și zilnic 16-18 ore în fața calculatorului sau a unui terminal, fără să mai facă nimic altceva. De cele mai multe ori sunt căzuți la examenele de matematică și engleză, dar la calculatoare sunt mai buni decăt directorii centrelor de calcul sau profesorii care le predau limbaje de programare sau sisteme de operare. Nici nu le pasă ce se întamplă în jurul lor.

După ani, dacă mediul le permite, pot deveni unii dintre cei mai buni specialiști în domenii cheie de activitate: ofițeri ai serviciilor secrete, oameni de afaceri cu mult succes etc.

Aceștia sunt unii dintre cei mai pricepuți și periculoși atacatori ale informațiilor și sistemelor; ei procedează de regulă după un scenar clasic: colectarea informației despre ținta atacului, identificarea serviciilor publice oferite de țintă; studierea vulnerabilităților țintei și se constată care sunt configurațiile defectuase; exploatarea vulnerabilităților în încercarea de a ajunge în interiorul țintei; utilizarea accesului obținut, hacker-ul devenind utilizator cu drepturi depline și aparent autorizate.

STUDIU DE CAZ

4.1. DATE GENERALE DESPRE ORGANIZATIE

Denumire organizatie: Liceul „Preda Buzescu”

Locatie: Localitatea Berbesti,strada Principala nr.11, Judetul Valcea.

Profil de activitate: Educatie

Liceul „Preda Buzescu” este un liceu cu traditie, prima atestare fiind in anul 1838, functionare in cladire moderna in anul 1960, initial pentru invatamant primar, apoi cu extindere treptata spre liceal-10 clase (1971), urmat de liceal si scoala de maistri (1990). Datorita activitatilor miniere din zona Berbesti, profilul de activitate al liceului a fost, pana in anii 1997-1998 pentru domeniul mineritului, ulterior s-a produs o reorientare in functie de cerintele pietei fortei de munca pentru profil teoretic si umanist dar si profil tehnic in domenii ca mecanica, electromecanica/ electronica/ electric, transporturi.

Actualmente, se realizeaza pregatirea si educatia in aceste domenii, cu rezultate bune, dovada acestor afirmatii fiind cererea de clase incepatoare la toate nivelurile de pregatire si realizarea claselor propuse la fiecare inceput de an scolar.

Calitatea pregatirii profesionale a cadrelor didactice (cadre calificate si titulare in proportie de 99 %) ofera garantia unui invatamant de calitate in cadrul liceului.

Liceul "Preda Buzescu" își propune să pună la dispoziția comunității oportunități de educație și instruire de înaltă calitate în domeniile școlarizate, să fíe o școala bazată pe valori, care folosește și place. Prin acțiuni de mare responsabilitate și de calitate, vom urmări satisfacerea nevoilor de învățare, pentru ca absolvenții să se integreze profesional și să realizeze activități performante, compatibile cu cele din UE.

Formarea profesională și asigurarea accesului absolvenților din învățământul gimnazial spre școlile care pregătesc profesioniștii domeniilor prioritare stau la baza dezvoltării sistemului învățământului profesional și tehnic în cadrul unității școlare în viitorul apropiat. Toți cei implicați în acest vast și important sistem, este oportun să manifeste această nouă viziune, prin care să fie dispuși și să aibă capacitatea de a aplica punctual, la locul de muncă, o sumă de competențe dobândite, accesate atât de la nivel local, dar mai ales de la nivel național și european.

Trebuie trase consecințe din foarte probabilul apus al calificării simple, clasice și revenirea pe scenă a colaboratorului multifuncțional, a specialistului în profil multidisciplinar.

Valorile promovate de școala sunt: încrederea, onestitatea, competența, performanța, inteligența social,curajul acțiunii civice, creativitatea, implicarea personal, motivația emoțională pozitivă, responsabilitatea, forța echipei.

Deviza noastră este: " învață alături de noi ca să fi printer cei mai buni!"

Misiunea școlii este de a fi deschisă pentru toți cetățenii, spre a le oferi șanse egale de dezvoltare personală și profesională.

Școala va interveni în analizarea și prognozarea nevoilor fiecărui elev de a se simți competent în a deține și utiliza informația, deschis spre schimbare, învățare și respectarea valorilor unei societăți democratice compatibilă cu dimensiunea europeana a educației.

Școala va asigura condițiile de împlinire profesională a cadrelor didactice, într-un climat de muncă sănătos, bazat pe responsabilitate, spirit de echipă, performanță și excelență.

Misiunea unității școlare este cunoscută și asumată de către toate grupurile de interes reprezentate în școală: părinți, elevi, profesori, autorități locale, agenți economici, alți reprezentanți ai comunității.

Avem nevoie de un învățământ profesional și tehnic de specialitate:

Bine susținut de societate, de comunitatea locală;

Retehnologizat;

Recuplat cu nevoile resimțite în economia, viața socială, administrația și cultura societății noastre, dar bine ancorat în realitățile europene;

Care oferă o varietate de oportunități, mobilitate și flexibilitate pe piață;

Care dezvoltă interesul pentru educație și formare continuă;

Care să asigure formarea profesională în condiții de calitate a procesului educațional, centrat pe elev și cu respectarea standardelor de calitate;

În continuare vă prezint organigrama unității școlare:

APLICAȚII PRACTICE ÎN ORGANIZAȚIE

Firewall-urile

În rețelele de calculatoare, un firewall este un dispozitiv sau o serie de dispozitive configurate în așa fel încât să filtreze, să cripteze sau să intermedieze traficul între diferite domenii de securitate pe baza unor reguli predefinite.

Un paravan de protecție (firewall-ul) poate ține la distanță traficul Internet care poate afecta sistemul calculatorului: hackeri, worms și anumite tipuri de viruși. Acesta mai poate împiedica participarea computerului la un atac împotriva altor calculatoare, fără cunoștința sau voința utilizatorului.

Sarcina unui firewall este de a ne asigura că doar comunicațiile autorizate sunt transmise către exteriorul sistemelor informatice, dar și de a împiedica hackerii să acceseze informațiile din interiorul rețelei.

Poate fi o metodă extrem de eficientă pentru a preveni accesul neautorizat, ceea ce înseamnă blocarea unor tipuri de comunicații și filtrare a datelor cărora nu le este permisă trecerea.

Schema unui sistem firewall

Firewall de rețea

Ca prim element în sistemul defensiv al unui sistem informatic, un firewall, poate rezolva, în funcție de configurația sa, parțial sau în totalitate, următoarele probleme:

concentrează căile de pătrundere în spațiul privat din sistem, permițând în felul acesta o mai bună monitorizare a traficului și o usoară detectare a încercărilor de penetrare;

realizează selecția acceselor în spațiul privat, pe baza informațiilor conținute în pachete. Poate permite sau interzice anumite servicii, blocarea accesului de sau pe anumite stații, accesul anumitor utilizatori;

poate bloca complet traficul într-un anumit sens;

poate izola spațiul privat de cel public și realizează interfața între cele două.

Instalarea și configurarea unui firewall sunt absolut necesare în orice sistem informatic, acestea realizându-se prin constituirea unui firewall cu mijloace proprii și /sau folosind software disponibil gratuit pe internet, sau prin cumpărarea unui produs firewall “la cheie”, certificat.

Instalarea (utilizarea) unui firewall

Firewall-ul poate împiedica persoanele străine să intre pe computerul dvs prin Internet. Dacă utilizați Microsoft Windows XP, activați firewall-ul predefinit – Internet Connection Firewall.

Trebuie să vă asigurați că sistemul de operare este Windows XP. Pentru aceasta faceți clic pe Start, apoi pe Executare. În caseta de dialog Executare, tastați winver. Faceți clic pe OK. Vi se va arăta ce versiune de Windows utilizați.

Faceți clic pe Start, apoi pe Panou de control.

Faceți clic pe Conexiuni de rețea și Internet, apoi pe Conexiuni în rețea.

Sfat: Dacă nu este vizibilă categoria Conexiuni de rețea și Internet, faceți clic pe Comutare la Vizualizare pe categorii, în partea din stânga sus a ecranului.

Sub categoria Linie comutată sau LAN sau Internet de mare viteză, faceți clic pe pictogramă pentru a selecta conexiunea pentru care doriți o mai bună protecție.

Dacă bara de activitate este la stânga, sub Activități în rețea, faceți clic pe Schimbarea setărilor acestei conexiuni (sau faceți clic cu butonul drept pe conexiunea pentru care doriți o mai bună protecție, apoi faceți clic pe Proprietăți).

În fila Complex, sub Paravan de protecție a conexiunii la Internet, selectați caseta din dreptul Protejare computer și rețea prin limitarea sau prevenirea accesului la acest computer din Internet.

4.3. Tehnici de siguranță în contextul acceselor neautorizate

Odată cu trecerea spre prelucrarea masivă a datelor cu ajutorul calculatoarelor electronice, datorită volumului mare al investițiilor și al trasferării “grijii” informației către sistemele electronice de calcul, problema protejării și a securității sistemelor informatice, a devenit mult mai complexă. În vederea obținerii unei noi performanțe datele prelucrate sunt supuse unor operațiuni suplimentare în faza de culegere, astfel încăt să poată fi valorificate ulterior în mai multe direcții.

Cu noile sisteme informaționale și cu transferarea către acestea a secretelor din cadrul sistemelor, trebuie văzute în ele, în același timp, ajutorul numărul unu, dar și elementele cele mai tentante pentru noii “criminali”. Prevenirea acceselor neautorizate poate fi comparată cu o cursă a înarmărilor.

Sistemele informatice sunt dotate cu instrumente mereu perfecționate de control al accesului și încercările de acces neautorizat devin din ce în ce mai sofisticate.

Mecanisme de apărare a informației

Literatura de specialitate consemnează șapte mecanisme de asigurare a eficienței securității sistemelor informatice.

Securitatea fizică – se referă la controlul accesului fizic în sistem și se va concretiza în diverse moduri: de la împrejmuiri ale amplasamentelor și uși, la lacăte și sisteme de alarmă, mergând până la crearea cadrului de intervenție în cazuri de urgență.

Securitatea personalului – presupune selecția, urmărirea, autorizarea și supravegherea angajaților.

Criptarea angajaților – înseamnă protejarea datelor comunicate la distanță, făcându-le neinteligibile pentru orice alte persoane decât cele autorizate a le recepționa.

Studierea tehnicilor specializate ale intrușilor – astfel încât echipamentele acestora să poată pătrunde în configurația sistemului.

Rețele folosite în centrele de prelucrare automată a datelor – produc radiații acustice și electromagnetice care pot fi interceptate și analizate. Este cazul consolelor, imprimantelor, cablurilor de legătură, al echipamentelor de vizualizare.

Securitatea liniilor de comunicație – se referă la garantarea comunicării corecte pe liniile care interconectează componentele sistemului, astfel încât intrușii să nu le poată penetra.

Securitatea sistemelor de prelucrare automată a datelor – se ocupă de protejarea datelor din sistem împotriva accesului neautorizat, prin prisma autorizării utilizatorilor și a protejării datelor, stabilindu-se reguli foarte precise de folosire a lor.

Criptografia și criptanaliza

Scitalul din Grecia Antică, probabil, ca și această reconstrucție modernă, a fost unul din cele mai vechi dispozitive de implementare a unui cifru. Înainte de epoca modernă, criptografia se ocupa doar cu asigurarea confidențialității mesajelor (criptare) — conversia de mesaje dintr-o formă comprensibilă într-una incomprensibilă, și inversul acestui proces, pentru a face mesajul imposibil de înțeles pentru cei care interceptează mesajul și nu au cunoștințe secrete adiționale (anume cheia necesară pentru decriptarea mesajului). În ultimele decenii, domeniul s-a extins dincolo de problemele de confidențialitate și include, printre altele, și tehnici de verificare a integrității mesajului, autentificare a trimițătorului și receptorului, semnătură electronică, calcule securizate. Cele mai vechi forme de scriere secretizată necesitau doar puțin mai mult decât hârtie și creion (sau unelte similare acestora), întrucât majoritatea oamenilor nu știau să citească.

Creșterea alfabetizării a necesitat creșterea complexității criptografiei. Principalele tipuri clasice de cifruri sunt cifrurile cu transpoziție, care modifică ordinea literelor dintr-un mesaj (de exemplu „ajutor” devine „ojartu” într-o schemă trivială de rearanjare), și cifrurile cu substituție, care înlocuiesc sistematic litere sau grupuri de litere cu alte litere și grupuri de litere (de exemplu, „conexiune” devine „dpofyjvof” înlocuind fiecare literă cu următoarea din alfabet). Versiuni simple ale celor două tipuri de cifruri ofereau un grad mic de confidențialitate în cazul oponenților instruiți. Unul din primele cifruri cu substituție a fost Cifrul lui Cezar, în care fiecare literă din textul clar era înlocuită cu o literă aflată la un număr fix de poziții distanță de ea în alfabet.

Cifrul lui Cezar

Criptarea încearcă să asigure secretul comunicațiilor cum sunt cele între spioni, lideri militari, și diplomați, dar a avut și aplicații religioase. De exemplu, vechii creștini foloseau criptografia pentru a ascunde unele aspecte ale scrierilor lor religioase pentru a evita persecuțiile ce i-ar fi așteptat dacă ar fi fost mai puțin atenți; numărul 666 sau, în unele manuscrise mai vechi, 616, Numărul fiarei din Apocalipsă, este uneori considerat a fi o referință la împăratul roman Nero, ale cărui politici includeau persecuția creștinilor. Există și referințe, chiar mai vechi, la anumite cifruri evreiești.

Criptografia este recomandată în Kama Sutra ca modalitate a îndrăgostiților de a comunica fără a fi descoperiți. Steganografia (ascunderea existenței mesajului) a fost și ea dezvoltată în antichitate.

Textele cifrate produse de cifrurile clasice (și de unele moderne) dezvăluie informații statistice despre textul clar, care pot fi adesea folosite pentru spargerea acestora. După descoperirea analizei frecvenței (poate de către înțeleptul arab al-Kindi) în preajma secolului al IX-lea, aproape toate aceste cifruri au devenit mai mult sau mai puțin ușor de spart de un atacator informat.

Aproape toate cifrurile rămân vulnerabile la această tehnică de criptanaliză până la inventarea cifrurilor polialfabetice, de către Leon Battista Alberti în preajma anului 1467 (deși se pare că acesta era cunoscut înainte și de arabi). Inovația lui Alberti a constat în folosirea de cifruri diferite pe părți diferite ale mesajului (la limită, pentru fiecare literă diferită).

Tehnologii criptografice

Cele două tipuri principale de tehnologii criptografice sunt criptografia prin chei simetrice (chei secrete sau chei private) și criptografia prin chei asimetrice (chei publice). În criptografia prin chei simetrice atât emițătorul căt și receptorul folosesc o cheie secretă comună. În cazul criptografiei cu chei asimetrice, transmițătorul și receptorul folosesc, în partaj, o cheie publică și, individual, căte una privată. Pentru întelegerea metodelor de criptare și a tehnologiilor folosite în criptanaliză, o trecere în revistă a oportunităților fundamentale de criptare este strict necesară.

Vom constata că, de-a lungul celor 4000 de ani evoluțiile au fost spectaculoase, și înțelepciunea acelor vremuri ne încântă și acum. Plăcerea este cu atât mai mare, cu cât concepte și tehnici foarte vechi se regăsesc în sistemele moderne de criptare, beneficiind, în mod firesc, de acumulările de-a lungul timpului.

Sisteme de criptare a informațiilor prin chei secrete (simetrice)

O astfel de criptografie, după cum sugerează și numele din paranteză, apelează la o singură cheie la ambele capete ale comunicării: emițătorul și receptorul. Emițătorul sau expeditorul criptează textul clar cu ajutorul unei chei secrete, iar receptorul sau destinatarul va decripta mesajul criptat folosind aceeași cheie; în mod firesc reușita este asigurată de securizarea cheii. Succesul cheii simetrice este și mai mare dacă ele se schimbă și mai des. Ideal ar fi ca o cheie simetrică să fie folosită o singura dată.

Un sistem de criptare prin cheie secretă are în structura sa formație publică și privată din cadrul unei sistem. Singura problemă a sistemului în folosire în comun a cheii de criptare de către emițător și receptor, ceea ce înseamnă că emițătorul trebuie să folosească o paletă largă de chei pentru o mare diversitate a utilizatorilor. Trebuie să se știe că sistemele bazate pe chei simetrice nu oferă mecanismele necesare autentificării și nerepudierii.

Sisteme de criptare a informațiilor prin chei publice (asimetrice)

Spre deosebire de sistemele de criptare bazate pe chei secrete, care presupun o singură cheie cunoscută de emițător și receptor, sistemele bazate pe chei publice folosesc două chei: una publică și una privată. Cheia publică este pusă la dispoziția oricărei persoane care dorește să transmită un mesaj criptat. Cheia privată este utilizată pentru descrierea mesajului, iar nevoia de a face schimb de chei secrete este eliminată.

Criptografia prin chei publice este posibilă în aplicațiile care funcționează într-un singur sens. O funcție în sens unic este aceea care este ușor de calculat într-o direcție, dar care este dificil de calculat în sens invers. Pentru că funcțiile cu sens unic să fie utile în contextul criptografiei bazate pe chei publice, ele trebuie să aibă o trapă, adică un mecanism secret, care să permită realizarea cu ușurință a funcției inverse funcției în sens unic.

Infrastructura cheilor publice (PKY)

Infrastructura cheilor publice își propune să rezolve probleme manageriale din domeniul cheilor publice, integrând semnături și certificate digitale cu o mare diversitate față de alte servicii specifice comerțului electronic, prin care se solicită oferirea integrității, controlul accesului, confidențialitații autentificării și a nerepudierii tranzacțiilor electronice.

Infrastructura cheilor publice cuprinde certificatele digitale, autoritățile de certificare, autoritățile de înregistrare, politicile și procedurile cu chei publice, revocarea certificatelor, nerepudierea, marcarea timpului, certicarea încrucișată și aplicațiile de securitate.

Realizarea unei infrastructuri a cheilor publice la nivel internațional, dar și național, este o mare problemă, nu din punct de vedere tehnic sau managerial, ci al legislației.

Certificatele cheilor publice pot fi eliberate în regim on-line sau

off-line. În sistemul off-line, o persoană trebuie să se legitimize cu carnetul de șofer sau un alt act de identitate. În variantă on-line, certificatele se pot oferi ca răspuns al unei cereri formulate prin e-mail sau direct de pe un site specializat.

Semnătura electronică (digitală)

Inventarea criptografiei prin chei publice a adus două importante mutații valoroase. Prima permite transmiterea unui secret către o altă persoană fără să fie nevoie de o a treia persoană de încredere sau de un canal de comunicație, off-line pentru a transmite cheia secretă. A doua mutație s-a produs pe planul calculării semnăturii digitale.

O semnatură digitală este un bloc de date ce se atașează unui mesaj sau document pentru a întări încrederea unei alte persoane sau entității, legându-le de un anumit emitățor. Legătura este astfel realizată încât semnătura digitală poate fi verificată de receptor sau de o terță persoană și

nu se poate spune că a fost uitată. Dacă doar o cifră binară nu corespunde, semnătura va fi respinsă în procesul de validare. Semnătura digitală stabilește autenticitatea sursei mesajului. Dacă o persoană nu-și dă în vileag cheia personală privată, nimeni nu poate să îi “imite” semnătura.

O semnătură digitală nu înseamnă și recunoașterea dreptului de prioritate asupra textului transmis, ci ea atestă faptul că persoana semnată a avut acces la el și la semnat.

Documente arhivate cu aplicatia WinRar

Pentru a parola un fișier ce se dorește a fi arhivat cu extensia .rar, se deschide WinRar. Se execută clic pe fișierul ce se dorește a fi arhivat și protejat cu parolă, apoi – din bara de butoane – se execută clic pe butonul Add.

În fereastra Archive Name And Parameters, se alege fila Advanced, iar în această filă se apasă butonul Set Password. Se deschide astfel fereastra Archiving With Password, iar în cele două casete de text se completează parola dorită și se apasă butonul OK.

Ascunderea documentelor cu aplicația FolderLock

FolderLock este un program de securitate care poate proteja prin parolă, blocare, ascundere și criptare orice număr de fișiere, foldere, unități de stocare, imagini și documente în câteva secunde.

Fișierele protejate sunt ascunse, inaccesibile și extrem de sigure.

Parolă la un document word

Când restricționați formatarea unui document, împiedicați utilizatorii să aplice stilurile pe care nu le faceți disponibile în mod explicit. De asemenea, îi împiedicați să aplice formatare direct textului, cum ar fi liste numerotate sau cu marcatori sau să aplice caracteristici de font. Când formatarea este restricționată, nu sunt disponibile comenzile din meniuri și comenzile rapide de la tastatură pentru formatarea directă.

Din meniul Instrumente, faceți clic pe Protejare document.

În panoul de activitate Protejare document, selectați caseta de selectare Limitarea formatării la o selecție de stiluri.

Faceți clic pe Setări.

În lista de stiluri de formatare din caseta de dialog Restricții la formatare, selectați casetele de selectare pentru stilurile pe care doriți să le permiteți și goliți casetele de selectare pentru stilurile pe care nu doriți să le permiteți în document.

Faceți clic pe Da, pornire cu impunere protecție.

Tastați o parolă în caseta Introducere parolă nouă (opțional), apoi confirmați parola.

Realizarea unei parole în Windows XP

1. Se dă clic pe butonul Start – Control Panel – User Accounts.

2. Se alege opțiunea Create A New Account.

3. În caseta Type A Name For The New Account se scrie numele contului pe care dorim să-l creem, apoi se trece la pasul următor apăsând butonul Next.

4. Trebuie ales tipul contului dintre cele două opțiuni oferite de sistemul de operare Windows XP : – administrator;

– utilizator cu drepturi limitate.

5. Se crează, apoi, efectiv contul prin apăsarea butonului Create Account.

Odată contul creat, acestuia i se atribuie o parolă :

În fereastra User Accounts se execută clic pe contul creat anterior, apoi se alege opțiunea Create A Password, se completează în caseta de text parola, cât și un indiciu care să ne conducă spre parolă, în caz că o uităm.

Procedeul se termină prin apăsarea butonului Create Password.

V. IMPLEMENTAREA SISTEMULUI DE CERTIFICARE

Cerințe referitoare la certificarea Sistemului de Management

Certificarea Sistemului de Management de Securitate al Informațiilor (SMSI) al unei organizații constituie unul din mijloacele prin care se garantează, de către un organism specializat, că aceasta este capabilă să țină sub control factorii de risc aferenți activităților de procesare, stocare și transferare a informațiilor manipulate și a activităților auxiliare care contribuie la realizarea securității acestor informații, precum și că a stabilit, implementat și realizează funcționarea, monitorizarea, întreținerea și îmbunătățirea acestui Sistem de Management al Securității Informațiilor.

Nu este neapărat necesară certificarea unui sistem de management de către un organism specializat recunoscut în domeniu, uneori anumite părți interesate, de regulă beneficiari, pot evalua sistemul de management în conformitate cu cerințele lor proprii iar această evaluare le conferă suficientă încredere în serviciile oferite. Există însă o serie de organisme de certificare care pot evalua și certifica sistemul, iar dacă acestea au recunoaștere internațională, certificarea obținută oferă credibilitate și o poziție privilegiată pe piață.

Certificarea sistemelor de management al securității informațiilor de către un organism de certificare se realizează pe baza unui audit de certificare. Acest organism este specializat, recunoscut drept competent și de încredere pentru efectuarea certificării unui anumit sistem de management. In unele țări organismele care evaluează conformitatea sistemelor de management cu standardele specificate sunt la rândul lor evaluate pe baza unui referențial și apoi monitorizate de către o autoritate în domeniu. Aceste organisme se numesc organisme de certificare, în altele se numesc organisme de înregistrare sau organisme de evaluare și înregistrare.

Auditul de certificare are ca scop evaluarea modului de implementare a sistemului de management, respectării prevederilor documentelor de referință pentru sistemul de management care se dorește certificat, ale documentelor sistemului de management elaborate, adecvanței și eficacității sistemului de management adoptat precum și a cerințelor legale și de reglementare aplicabile.

Organismul de certificare este o organizație care are propriile reguli de procedură și de management pentru efectuarea evaluării și care emite un document de certificare (pe care în această carte îl vom numi certificat de conformitate) și dispune de proceduri proprii, specifice sistemului de management care urmează a fi certificat, elaborate pe baza unui anume standard de referință, care se constituie ca referențial unic, indiferent de organismul de certificare cu criterii comune de evaluare și ținte prestabilite.

Certificarea pentru un anumit sistem de management nu este echivalentă cu autorizarea acordată de organele specializate ale statului pentru anumite activități în condițiile legii. Organizația cu sistemul de management certificat poartă întreaga răspundere pentru produsele/serviciile realizate/prestate și pentru ținerea sub control a factorilor de risc identificați și nu se pot prevala de certificatul de conformitate a sistemului de management pentru a fi exonerați de răspundere sau pentru împărțirea răspunderii în caz de urmărire penală, așa cum am specifica în capitolul.

Rolul organismului de certificare este să evalueze modul în care organizația auditată a stabilit, documentat, implementat și menținut proceduri și politici pentru identificarea, examinarea și evaluarea securității informațiilor referitoare la amenințări, vulnerabilități și impactul asupra afacerii organizației, precum și pentru evaluarea și reducerea riscurilor. Pentru aceasta OC va analiza dacă organizația poate demonstra că analiza amenințărilor este adecvată pentru funcționarea în condiții de securitate a organizației, în raport cu criteriile proprii definite, dacă politicile stabilite sunt respectate și dacă procedurile elaborate sunt implementate în mod adecvat. De asemenea, va verifica dacă organizația a identificat cerințele legale pe care trebuie să le respecte referitor la securitate, riscuri și impact și dacă le respectă efectiv, precum și modul în care măsurile de securitate implementate (atât pentru software cât și pentru hardware) sunt corecte din punct de vedere tehnic.

Organizația auditată poate să elaboreze documente comune cu celelalte forme de management (calitate, mediu, sănătate și securitate în muncă etc.) cu condiția să identifice clar sistemele, activitățile și interferențele (de exemplu proceduri de sistem, plan de acționare în caz de incendiu, de cutremur etc., o serie de înregistrări referitoare la personal, la accesul în incintă, evaluarea subcontractanților, satisfacția clienților etc.). Un astfel de sistem se numește, așa cum am mai specificat, sistem de management integrat (SMI). Chiar dacă sistemul funcționează în mod unitar, integrat, și auditarea de certificare se face după același referențial, la această dată, în România, sistemele de management se auditează și certifică separat.

Certificarea se poate solicita (și acorda) pentru întreaga organizație, pentru toate activitățile desfășurate sau pe un anumit domeniu de activitate, pentru un anume serviciu sau produs oferit sau pentru au anumit beneficiar (de exemplu pentru o organizație care oferă anumite servicii pentru armată sau guvern, într-o locație separată de restul activităților ei, cu personal și sisteme de calcul separate).

Documentul de certificare emis de organismul de certificare este valabil un număr de ani care poate să fie diferit de la OC la OC, perioadă în care sunt efectuate un număr de audituri de supraveghere periodice, planificate de către acesta.

Cerințe pentru organizațiile care solicită certificare

Pentru certificarea sistemului de management al securității informațiilor unei organizații se parcurg mai multe etape adaptate necesităților organizației și cerințelor referențialului, care pot să difere de la un organism de certificare la altul.

Organismul de certificare, așa cum am mai specificat, are procedură proprie de certificare elaborată în conformitate cu referențialul valabil la un moment dat, pentru un anumit sistem de management și care să permită organizației evaluate să demonstreze că și-a efectuat auditurile interne proprii, că procedurile, politicile și programele de securitate elaborate în raport cu cerințele standardului de referință pentru certificare sunt complete, operaționale și implementate, că ține sub control întregul sistem de management, inclusiv riscurile și incidentele de securitate. El nu oferă modele de implementare, proceduri sau înregistrări, ci numai stabilește măsura în care organizația respectă standardul de referință, solicitările și obiectivele stabilite, că interferențele dintre servicii și activități sunt complet identificate și incluse în evaluarea riscurilor de securitate. în cazul în care organizația are mai multe locații (pregătită pentru reluarea activității în caz de dezastru), organismul de certificare va evalua sistemul de management al securității la nivelul fiecărei locații și va ține seama de interacțiunile dintre activitățile organizației și dintre procesele critice.

Condițiile pe care trebuie să le îndeplinească organizațiile care solicită certificarea sistemelor de management sunt:

– să-și identifice necesarul de certificare și să aleagă organismul pentru certificarea sistemului, precum și necesarul de documente;

– să-și elaboreze și implementeze efectiv documentele de care are nevoie;

să facă dovada că sistemul de management este implementat și funcționează efectiv, că este adecvat și eficient;

să ia măsuri pentru a-și proteja informațiile sensibile dar în același timp să nu împiedice auditarea unor anumite zone sau domenii;

să colaboreze permanent în mod deschis și constructiv cu echipele de audit ale organismului de certificare în desfășurarea procesului de auditare pentru certificare și respectiv, de supraveghere, după acordarea certificatului de confonnitate a sistemului de management;

să respecte reglementările obligatorii, valabile domeniului pentru care solicită certificare, atât în timpul procesului de certificare și de supraveghere până la acordarea certificatului, cât și pe toată durata valabilității acestuia, așa cum s-a angajat prin politica de conformitate.

După obținerea certificării, organizația are o serie de obligații contractuale față de organismul de certificare dintre care menționăm:

– să nu utilizeze certificatul în mod abuziv;

să facă referire la certificare numai pentru domeniile de activitate și locațiile pentru care a fost certificat sistemul de management și numai pe perioada valabilității certificatului;

să informeze în scris organismul de certificare despre toate modificările care intervin în statutul său legal, în structura organizatorică, despre modificările majore ale sistemului de management adoptat, întreruperea activității mai mult de șase luni pentru analizarea oportunității unor acțiuni suplimentare, eventuale accidente și situații de urgență apărute etc.;

– să înregistreze și să pună la dispoziția organismului de certificare datele referitoare la incidentele și neconformitățile semnalate de părțile interesate referitoare la factorii de risc asociați securității sistemelor și activităților proprii pentru realizarea produselor, serviciilor livrate precum și a activităților auxiliare.

Auditul de supraveghere

Organismul de certificare va efectua audituri de supraveghere și recertificare la intervale regulate, apropiate pentru a verifica măsura în care organizația certificată continuă să respecte cerințele avute în vedere la certificarea inițială.

Perioada adoptată de cele mai multe organisme de certificare pentru auditurile de supraveghere este de un an.

Programul auditului de supraveghere include:

-verificarea modului în care obiectivele asumate de organizația auditată referitor la securitate sunt îndeplinite;

auditurile interne, analizele interne de securitate, analiza de management, acțiunile preventive și corective efectuate;

feedback-ul de la părțile externe referitor la modul în care sunt respectate cerințele documentelor de securitate și normativele specifice;

modificări ale documentelor sistemului;

zonele în care au avut loc modificări;

Perioada de valabilitate a certificatului de conformitate a sistemului de management este de 3-5 ani în condițiile supravegherii efectuate de organismul de certificare.

Acțiunea de supraveghere se efectuează pe baza unui act adițional la contractul de certificare, încheiat la data emiterii certificatului de conformitate și se realizează prin audituri de supraveghere programate și chiar prin audituri suplimentare.

Auditurile suplimentare sunt inițiate de organismul de certificare în următoarele cazuri:

a) la notificarea organismului de certificare de către titularul certificatului asupra:

modificării statutului său legal;

modificări intervenite în structura sa organizatorică (procese, personal);

-sistemului propriu în cazul modificării condițiilor de certificare ale organismului de certificare;

modificării majore ale sistemului de management implementat;

ca acțiune corectivă în urma suspendării certificatului.

b) în cazul primirii la organismul de certificare a unor reclamații sau informații referitoare la sistemul de management certificat, inclusiv la obiectul activității acestuia, în cazul apariției unor situații de urgență, accidente sau incidente cu impact semnificativ asupra afacerii.

IMPLEMENTARE ISO 27001 IN UNITATE

Start

Organizația decide să implementeze prevederile standardului ISO 27001.

În această etapă se stabilește necesitatea implementării ISMS 27001 și se definesc pașii de implementare. Managerul de proiect poate folosi SPF2010 în sensul gestionării proiectului:

În planul de proiect se definesc etapele și perioadele de timp necesare implementării. Pentru cei familiarizați cu instrumentele de project management, crearea și gestionarea ativităților este foarte simplă. Activitățile pot fi grupate pe categorii, conținând următoarele criterii:

Componenta de noutate în SPF2010 față de versiunile anterioare de SharePoint este dată de Diagrama Gantt.

Un proiect din SPF2010 poate fi exportat în Access, Excel, Outlook și, în cazul în care aveți instalat pe calculatorul client, în Microsoft Project.

SPF2010 deține un instrument destul de avansat de control al erorilor. În exemplul de mai jos, este prezentată modul în care data a fost introdusă greșit.

Pentru gestionarea sedinței de deschidere se poate utiliza crearea unui eveniment în calendarul organizației și un site de tip Meeting Workspace, în care se pot posta prezentări, agenda, documentele de tip minuta ședinței, permițând integrarea agendei și invitațiilor folosind sistemul de e-mail.

1. Obținerea sprijinului din partea conducerii:

Dacă s-a luat decizia de implementare, conducerea trebuie să desemneze o echipă care să elaboreze Politica de Securitate a organizației. Acest document trebuie revizuit, aprobat și adus la cunoștința tuturor angajaților, pentru a cunoaște faptul că organizația va trece la implementarea SMSI.

Pentru această etapă în SPF2010 se poate defini un Document Workspace sau o listă de documente distinctă la care să aibă acces toți angajații cu permisiuni de Read pentru consultare.

Esențial în faza de construcție este înregistrarea versiunilor pentru a reflecta toate modificările aduse documentului.

2. Definirea scopului SMSI:

Pentru definirea scopului nu avem un exemplu de implementare în SPF2010 fiind o rezultantă a discuției de la ședința de deschidere. Putem utiliza în schimb un Decisionmeetingworkspace pentru a vedea rezultatele voturilor, etc.

3. Inventarierea activelor informaționale:

În cadrul Scopului trebuie identificate activele organizației (și valoarea asociată acestora) care trebuie protejate, rezultând documentul sau baza de date Inventarul activelor.

Sunt convinsă că în orice organizație există cel puțin un fișier Excel în care sunt stocate informații despre activele informaționale, cel puțin cele fizice. Sau o parte din aceste active se pot obține din aplicațiile financiar-contabile din cadrul organizației.

Varianta cea mai simplă este să centralizăm într-un fișier aceste active și să le completăm cu informațiile necesare unei liste corecte de inventar conform ISO27001.

În Excel (2007) creem această listă centralizată, după care o definim ca un tabel și o exportăm într-o nouă listă SharePoint. Ulterior putem personaliza și îmbunătăți această listă nou creată prin adăugarea de noi coloane sau personalizarea coloanelor existente. Elementele din listă se pot actualiza permanent.

Foarte interesantă este funcția de versionare în 2010. De exemplu, dacă unui activ de tip server îi schimbăm memoria sau alte caracteristici tehnice, la actualizarea listei se păstrează și versiunea anterioară. Trebuie să știți că versionarea nu este activată implicit și putem stabili numărul maxim de versiuni. Nu trebuie să omitem prezența funcțiilor de validate a datelor introduse pentru a elimina inadvertențele sau greșelile:

Adăugarea unui element nou este reprezentată schematic mai jos.

Owner-ul poate fi validat prin preluarea sa automată din sistemul de autentificare.

Pe o listă se pot activa filtre, sortări asemănător cu majoritatea operațiunilor aplicabile listelor din Excel, sau poate fi exportată direct în Excel pentru efectuarea de sinteze pivot sau importul în aplicațiile de Analiză a riscurilor.

Lista completă de operațiuni este prezentată în Ribonul List.

O altă versiune de lucru, este ca fiecare departament să aibă propria sa librărie de documente sau o librărie de documente Excel comună în care să se salveze direct fișierele cu date, fiecare actualizare trebuind în acest fel să se realizeze doar prin deschiderea în aplicația client.

 4. Stabilirea gradului de risc asociat activelor informaționale:

Pe baza Inventarului activelor, se va realiza Analiza de Risc, care constă în identificarea pentru fiecare activ a amenințărilor, vulnerabilitățilorși impactului din prisma triadei Confidențialitate-Integritate-Disponibilitate.

Modelul prezentat în figură este implementat într-o listă personalizată SharePoint care preia amenințările și vulnerabilitățile din alte două liste specifice. Sunt multe metodologii de evaluare a riscurilor, dar prin articolul curent am încercat să exemplificăm tehnica utilizată de aplicația  care după o serie de articole este menționat ca cel mai complet produs software pentru analiza de riscuri pentru implementarea și gestionarea ISO 27001.

Trebuie să mai amintim că în modelul referit nu am inclus și Planul de tratare a riscurilor care ar presupune adăugarea unei coloane noi în lista Planul de evaluare a riscurilor (PER).

Adăugarea unuei noi intrări în PER:

Avantajul incontestabil al acestei metode, în contextul în care nu avem o altă aplicație de management al riscurilor este acela că anual sau ori de câte ori este cazul putem reface analiza de risc și poate fi partajată pentru mai mulți untilizatori simultan.

Lista generată în SharePoint poate fi migrată în alte aplicații de tip Office pentru analize avansate.

În continuare voi face trimitere la Anexa nr. 1 care este compusă din Procedura oprațională privind securitatea tuturor informațiilor din unitate.

NORME DE PROTECȚIE A MUNCII

Am observat ca multă lume nu e conștientă de importanța securitații muncii in activitațile  desfașurate în mediul electric și destul de frecvent ne întâlnim cu cazuri de accidente, uneori deosebit de grave soldate chiar cu deces . De cele mai multe ori partea de securitate a muncii este luată în neserios, eventual făcută fictiv sau fără a fi conștienți de importanța ei. Abia când este prea târziu ne dăm seama de importanța securității muncii și din păcate numarul accidentelor de natură electrică mai minore sau mai grave se menține înca mare. Curentul electric este poate cea mai periculoasă componentă a vieții noastre, acesta nu este vizibil în mod liber, nu are miros si este destul de “pasiv” ca să apară acolo unde nu ne așteptăm. Importanța protejării atât a instalațiilor și receptorilor dar mai ales a oamenilor ar trebui să fie principala preocupare a celor care lucreaza in domeniul electric. Incepând de la proiectare pâna la execuția finală. Din păcate în prea multe cazuri se întâmplă exact invers. Adică partea de protecție a instalației respective este ignorată sau nerealistă, iar normele de securitate a muncii celor care au acces la instalații nu e respectată. În plus masurătorile, verificările și încercările instalațiilor de obicei nu se mai execută, eliberându-se buletine fictive. Nu putem renunța la măsurile de securitate pentru absolut nici un motiv. E foarte important sa conștientizăm necesitatea respectării acestor norme și să le aplicăm cu bună credință, nu de frica amenzilor sau altor neplăceri, ci ințelegând adevăratul scop al acestora.

Aparatele și montajele vor fi folosite numai la tensiunea pentru care au fost construite.

Nu se vor efectua montaje sau se vor repara aparate aflate sub tensiune.

Nu se lucrează cu conductori neizolați și de asemenea nu se lucrează cu mâini ude .

Masa de lucru trebuie să fie uscată și acoperită cu un material izolator .

Alimentarea de la rețea se va face printr-un tablou cu siguranțe fuzibile calibrate sau întrerupătoare automate .

Părțile metalice ale aparatului sub tensiune vor fi legate la pământ .

Uneltele de lucru vor avea mânere izolate, rezistente la tensiunile folosite.

Cablurile calculatoarelor vor fi izolate .

Pentru evitarea oricăror accidente în procesul de depanare a calculatoarelor se impun respectarea cu strictețe a normelor de protecție și securitate a muncii. Măsurile generale ce trebuiesc știute sunt urmatoarele:

Efectuarea instructajului de protecța muncii la angajare și periodic.

2. Interzicerea desfășurării activitații într-un loc de muncă daca nu are instructajul consemnat în fișe.

Calculatoarele care sunt alimentate direct la rețea sau prin transformator se vor alimenta printr-un transformator separator având raportul de transformare 1:1.

Conectare la una sau mai multe prize de pământ a carcaselor exterioare ale aparatului de măsură și a învelișului metalic al ciocanului de lipit.

5. Conectarea aparatelor de măsură în interiorul calculatorului atunci când acesta este alimentat de la rețea, se recomandă a fi făcută cu o singură mână, pentru cealaltă având grijă să nu vină în contact cu părțile metalice de pe masă ale altor aparate de măsură aflate în montaj.

6. Măsurile în circuit FIT se vor face respectând următoarea ordine

de lucru:

– conectarea aparatului de măsură în interiorul circuitului în care se face măsurarea ;

– deconectarea calculatorului de la rețea ;

– descărcarea condensatoarelor electrolitice sau de FIT și apoi deconectarea aparatului de măsură.

7. Evitarea atingerii anexelor metalice ale organelor de comandă exterioare în cazul scoaterii sau căderii butoanelor care le izolau electronic la calculator fără transformator pe rețea,perioada când cordonul de alimentare este introdus în priza retea.

8. La efectuarea oricăror operații de depanare se recomandă ca operatorul să aibă măinile uscate, să poarte eventual manuși de cauciuc, iar sub picioare să aibă un covor izolat din cauciuc sau material plastic.

9. După deconectarea de la rețea a calculatorului înainte de a atinge orice piesă, condensatoarele electrice și cele FIT se vor descărca la masă, iar anodul TK se va descărca de sarcinile electrice reziduale cu ajutorul unui conductor care are capăt conectat la masă.

Banc de lucu pentru depanarea computerelor

CONCLUZII

Cetățenii se deplasează și se conectează la internet din ce în ce mai mult. În consecință, aceștia doresc o conectivitate asigurată și de încredere, oriunde și oricând. Această nouă tendință oferă deschiderea spre mii de posibilități din Europa. Totuși, această creștere în comunicare push-and-pull antrenează și probleme de securitate pe care guvernele actuale sunt obligate să le rezolve.

Orice sistem este la fel de puternic ca și cea mai slabă componentă a sa. Eroarea umană poate submina chiar și cel mai stingent cadru de securitate a informațiilor. Sensibilizarea în ceea ce privește riscurile și măsurile de protecție disponibile este prioritaea pentru securitatea rețelelor și a sistemelor informatice.

Securizarea informațiilor reprezintă o provocare imensă în sine. Sensibilizarea unor grupuri de public țintă selectate reprezintă un prim pas imoprtant spre înfruntarea acestei provocări.

Pentru dezvoltarea sistemelor de securitate în condiții de costuri optime este necesară analiza factorilor ce influențează securitatea informatică. Este necesară dezvoltarea unui sistem de caracteristici de calitate și realizarea corelării sale cu factorii de influență ai securității informatice.

Rezultatele cercetării sunt reprezentate de modele de cost eficiente ce sunt testate în practică. Sunt prezentate modele de cost ce țin cont de necesitățile actuale ale dezvoltării de software performant pentru securitatea informatică. Este prezentat un model de risc ce ajută la estimarea parametrilor din modelele de cost pentru securitatea informatică.

Produsul software pentru validarea identificatorilor organizației este destinat alegerii unei denumiri de organizație cât mai clare și cât mai diferite față de cele existente în bazele de date. Sunt implementate modele de ortogonalitate testate și se realizează o analiză completă a denumirilor de organizație.

BIBLIOGRAFIE

Protecția și securitatea informațiilor – Dumitru Oprea

Criza securitatatii informațiilor – Ioan Alexandru

Securitatea informațională – Pietroșanu Ene

Sisteme informaționale pentru afaceri – Dumitru Oprea

Internet – surse virtuale:

– Protecția informațiilor clasificate www.sri.ro/biblioteca_art_infclas.html

– Securizarea informațiilor în administrații

– www. securizare.ro

– Standardul ISO/ IEC 27001

– http://biblioteca.regielive.ro/referate/calculatoare/virusi-si-antivirusi-14465.html

– http://www.securitatea-informatica.ro/securitatea-informatica/securitatea-it/

– http://valygreavu.com/2010/02/24/sharepoint-fundation-instrument-pentru-iso-2

– http://www.datasecurity.ro/?p=8

Compartimentul: Informatizare

PROCEDURĂ OPERAȚIONALĂ

pentru securitatea informațiilor în unitate

Ediția: I

Lista RESPONSABILILOR cu elaborarea, verificarea și

aprobarea EDIȚIEI sau a REVIZIEI ÎN CADRUL EDIȚIEI procedurii de lucru:

Situația EDIȚIILOR și a REVIZIILOR ÎN CADRUL EDIȚIILOR

procedurii de lucru:

3. Lista PERSOANELOR la care se difuzează ediția / revizia în cadrul ediției procedurii de lucru

PROCEDURA OPERAȚIONALĂ

pentru obținerea avizului Inspectoratului Școlar Județean Vâlcea

în securitatea informațiilor din unitate

4. Scopul procedurii operaționale

Procedura este întocmită pentru a controla dacă rezultatele prelucrărilor efectuate în interiorul securității informațiilor utilizate respectă condițiile prestabilite și ieșirile furnizate de acestea sunt cele solicitate de instituție, indiferent de volumul de activitate .

Scopul securității informațiilor este folosit pentru protejarea si accesul neautorizat a tututror departamentelor din unitatea școlară

Domeniul de aplicare al procedurii operaționale.

Procedura se aplică în cadrul Liceului Preda Buzescu la toate compartimentele care folosesc prelucrarea automată și securitatea datelor în funcție de activitățile specifice.

Documente de referință (reglementări) aplicabile activității procedurate

3.1. Fișa postului

3.2. Decizia nr.75/ 22.09.2013 de constituire a responsabilului privind activitatea securității informațiilor.

3.3. Ordinul ministrului finantelor publice nr. 3512/2008 privind registrele si formularele contabile

3.4.Ordinul 1235/2003 republicat în 2007, pentru aprobarea Normelor metodologice de aplicare a prevederilor OUG 146/2002 privind formarea și utilizarea resurselor derulate prin trezoreria statului, aprobată cu modificări prin Legea 202/2003.

3.5.OMF 281/2004 privind aprobarea modelului și conținutului formularului Declarație privind obligațiile de plată la bugetul consolidat „cod 14.13.01.01/a , cu modificările și completările ulterioare.

Definiții și abrevieri ale termenilor utilizați în procedurii operaționale

Securitatea informațiilor = Securitatea informației se ocupă cu protejarea informației și sistemelor informationale de accesul neautorizat, folosirea, dezvăluirea, întreruperea, modificarea ori distrugerea lor.în conformitate cu reglementările și legislația în vigoare;

intrări = totalitatea datelor supuse prelucrarilor;

prelucrări = totalitatea operațiilor efectuate asupra datelor pentru obținerea informațiilor care stau la baza deciziilor;

ieșiri = rezultatele prelucrărilor efectuate asupra datelor;

hardware = totalitatea sistemelor de calcul folosite pentru prelucrarea, securitatea si/sau evidenta datelor;

software = totalitatea programelor folosite pentru prelucrarea, securitatea si/sau evidenta datelor;

colecții organizate de date = Baza de date – BD ; mulțimea datelor supuse prelucrărilor și/sau evidenței computerizate;

sistem de comunicatii = intranet , internet ,telecomunicatii etc.;

resurse umane = personal tehnic , utilizatori;

BD = baza de date ;

SI = sistem informatic.

Descriere procedurii operaționale

8.1. Generalităti

– îmbunătățirea preciziei rezultatelor prelucrărilor, prin eliminarea erorilor umane care pot aparea într-un sistem manual de prelucrare și prin procesarea uniformă a datelor, pe măsura apariției acestora, privind securitatea lor;

– creșterea vitezei de procesare, prin prelucrarea automată a datelor și eliminarea accesului neautorizat a acestora, oferind utilizatorilor informații solicitate, în momentul când aceștia au nevoie de ele;

– sporirea volumului de informații oferite utilizatorilor într-un interval dat de timp, prin creșterea volumului de date prelucrat pe unitatea de timp determinată de prelucrarea automată a acestora;

– posibilitatea apariției unor defecte hardware, erori software, virusarea programelor care pot determina pierderea datelor, drept pentru care periodic se salvează datele pe discheta sau CD, se schimbă parolele la un interval mai mic de timp

Controalele organizatorice sunt metode și tehnici de organizare a activităților desfășurate de instituție, folosite pentru prevenirea pierderilor și/sau alterărilor de date determinate de fraudă, neatenție și/sau neglijență, în vederea asigurării unui control intern eficient în sistemele de prelucrare și securitatea datelor utilizate de acestea.

În asigurarea controlului oricărui tip de sistem de prelucrare și evidență a datelor este definirea clara a funcțiilor, urmată de definirea și separarea locală a sarcinilor și responsabilităților (răspunderilor) angajaților pentru fiecare funcție, nici un angajat nu trebuie sa aibă sarcina și răspunderea completă pentru efectuarea unei activități; operația executată de o persoană trebuie verificată de o alta persoană, care îndeplinește o altă sarcină, vizavi de activitatea respectivă.

8.2. Conținutul securității informațiilor

Sisteme de procesare pe loturi se caracterizează prin faptul că datele de intrare sunt adunate și procesate periodic, în grupuri individuale; introducerea datelor în sistem (de la tastatura calculatorului) se face într-un compartiment specializat în culegerea de date.

Sisteme on-line permit accesul direct al utilizatorilor la date, pentru actualizarea sau consultarea lor din locatii diferite aflate la distanță de sistemul de calcul în care sunt stocate, prin parole.

Sisteme tip bază de date în care sunt stocate (memorate, înregistrate ) o singura dată, într-o bază de date comună tuturor secțiunilor aplicației (un singur fișier), stocat pe un suport de memorie externa (unitate de disc magnetic), cu acces securizat.

Sisteme de prelucrare distribuită securității informațiilor, formate, de regula, dintr-o mulțime de sisteme de calcul de putere mai mică, plasate în diferite departamente, care permit utilizatorilor să prelucreze datele la locul producerii lor, în vederea obținerii de informații specifice departamentului respectiv .

Utilizarea de software (programe)

Software de sistem, pachete de programe utilitare care controlează și coordonează componentele hardware ale sistemului și oferă suport pentru celelalte categorii de software; sunt scrise de specialiști în domeniu, cel mai utilizat este sistemul de operare Microsoft Windows.

Software pentru dezvoltare de aplicații, pachete de programe folosite în dezvoltarea de aplicații specializate pentru informatizarea diferitelor tipuri de activități; exemplu: Sisteme de Gestiune a Bazelor de date – SGBD (Access, FoxPro etc.) folosite pentru informatizarea activitatilor economice; sunt scrise de specialisti in domeniu – informaticieni.

Independent de activitatea de bază a unui organism economic, este scris de specialiști în software de aplicație și este disponibil pe piață, exemplu: aplicație de contabilitate, salarii (CIEL), procesor de text (MicrosoftWord), procesor de tabele (MicrosoftExcel)grupate pe domenii de activitate.

RESPONSABILITĂTI :

Responsabilul departamentului de informatică are sarcinile de a coordona activitatea departamentului de informatică și de a autoriza tranzacțiile pentru prelucrarea securității informațiilor. Pentru securitatea datelor de salarizare, evidența personalului si cele contabile-financiare impotriva pierderilor voite sau accidentale, accesul persoanelor neautorizate in sistemul automat de evidenta si prelucrare a acestor date sa fie controlat prin parola si nivel de acces.

Notă: Parolele de acces vor fi înmânate conducătorului unității și șefului de compartiment SIGILATE, se vor desigila doar cu proces verbal.

Grupul de exploatare (operatorii ) are următoarele sarcini:

– folosirea aplicației software, în conformitate cu instrucțiunile scrise de programatori;

– sesizarea și corectarea erorilor semnalate în timpul rulării programului.

– pentru a evita pierderea, distrugerea datelor se salvează toate fișierele și programele pe dichete sau CD-uri periodic la fiecare compartiment. Pentru accesul neautorizat asupra informațiilor se vor stabili parole de acces si instalarea unui firewall pentru a impiedica personelor străine să intre pe computer prin intermediul internettului

Actuala procedură va fi revizuită în cazul în care apar modificări organizatorice sau alte reglementări cu caracter general sau intern pe baza cărora se fac obiectul acestei proceduri.

Se va întocmi de fiecare compartiment (contabilitate, secretariat, administrativ, informatic) listă cu programele utilizate, parole de acces ȘI CU URMĂTOARELE DATE:

DENUMIRE PROGRAM

FURNIZOR

DATE DE INDENTIFICARE/REPREZENTAT

Alte date necesare utilizării (Contract, regulamente……)

10 . Anexe

Cuprins

BIBLIOGRAFIE

Protecția și securitatea informațiilor – Dumitru Oprea

Criza securitatatii informațiilor – Ioan Alexandru

Securitatea informațională – Pietroșanu Ene

Sisteme informaționale pentru afaceri – Dumitru Oprea

Internet – surse virtuale:

– Protecția informațiilor clasificate www.sri.ro/biblioteca_art_infclas.html

– Securizarea informațiilor în administrații

– www. securizare.ro

– Standardul ISO/ IEC 27001