1. INTRODUCERE ………………………….. ………………………….. ………………………….. …………………….. 8 1.1…. [621405]

1

LUCRARE DE DISERTAȚIE

Coordonator Științific
Lect. Univ. Dr.
Alina -Claudia PETRESCU -NIȚA

Absolvent: [anonimizat]
2017

2

3
UNIVERSITATEA “POLITEHNICĂ” BUCUREȘTI
FACULTATEA DE ȘTIINȚE APLICATE

REGLEMETĂRI INFOSEC DIN
PERSPECTIVA AUTORITĂȚII
NAȚIONALE DE SECURITATE

Coordonator Științific
Lect. Univ. Dr.
Alina -Claudia PETRESCU -NIȚA

Absolvent: [anonimizat]
2017

4

5
Cuprins

1. INTRODUCERE ………………………….. ………………………….. ………………………….. …………………….. 8
1.1. Motivația alegerii temei ………………………….. ………………………….. ………………………….. ……… 8
1.2. Gradul de noutate a temei ………………………….. ………………………….. ………………………….. …… 9
1.3. Obiectivele generale ale lucrării ………………………….. ………………………….. ………………………. 9
1.4. Metodologia folosită ………………………….. ………………………….. ………………………….. ………….. 9
1.5. Structura lucrării ………………………….. ………………………….. ………………………….. ……………….. 9
2. CADRU LEGISLATIV ………………………….. ………………………….. ………………………….. ………….. 10
2.1. STA BILIREA INSTITUȚIILOR CU ATRIBUȚIUNI ÎN DOMENIUL INFOSEC ……… 11
2.2. CLASELE DE SECURITATE ………………………….. ………………………….. ………………………. 11
2.3. ELEMENTE CONSTITUTIVE ALE SECRETELOR DE STAT ………………………….. …… 12
3. PROTECTIA INFORMAȚIILOR CLASIFICATE ………………………….. ………………………….. …. 14
3.1. Protecția juridică ………………………….. ………………………….. ………………………….. ……………… 14
3.2. Protecția personalului ………………………….. ………………………….. ………………………….. ………. 14
3.3. Protecția fizică ………………………….. ………………………….. ………………………….. ………………… 14
3.4. Protecția TEMPEST ………………………….. ………………………….. ………………………….. ………… 15
3.5. Protecția comunicațiilor COMSEC ………………………….. ………………………….. ………………… 15
4. STANDARDE DE SECURITATE ………………………….. ………………………….. ……………………….. 16
4.1. Audit ISO/IEC 27001 (ISMS) ………………………….. ………………………….. ……………………….. 16
4.2. ISO/IEC 27000 ………………………….. ………………………….. ………………………….. ……………….. 16
4.3. ISO/IEC 27002 – Cod de practică pentru managementul securității informației .. 17
4.4. ISO/IEC 27003 – Ghid de implementare a sistemului de management a securității
informației ………………………….. ………………………….. ………………………….. ………………………….. …… 18
4.5. ISO/IEC 27004 – Managementul securității informației – Evaluări ………………………….. … 18
4.6. ISO/IEC 27005 – Managementul riscului securității informației ………………………….. …….. 19
4.7. ISO/IEC 27006 – Cerințe pentru organizațiile ce efectuează audit și certificare a sistemelor
de management a securității informației ………………………….. ………………………….. …………………… 19
4.8. ISO/IEC 27011 – Ghidul managementului securității informației pentru organizațiile
din domeniul telecomunicațiilo r bazat pt standardul ISO/IEC 27002 ………………………….. ……….. 20
4.9. Audit ISO/IEC 27013 – IT Security & Service Management ………………………….. ………….. 20
4.10. Audit ISO/IEC 20000 (IT Service Management) ………………………….. ………………………. 21
4.11. Audit ISO/IEC 27035 (Incident Management) ………………………….. ………………………….. 22
5. Recomandari ale comunitații internationale SANS ………………………….. ………………………….. …. 23
5.1. Inventarierea dispozitivelor autorizate și neautorizate ………………………….. …………………… 23
5.2. Inventarierea software -ului autorizat și neautorizat ………………………….. ………………………. 23
5.3. Configurații securizate pentru hardware și software pe dispozitive mobile, laptopuri, stații
de lucru și servere ………………………….. ………………………….. ………………………….. ……………………… 24
5.4. Evaluarea continuă a vulnerabilității și remedierea acesteia ………………………….. …………… 24
5.5. Utilizarea controlată a privilegiilor administrative ………………………….. ………………………… 25
5.6. Întreținerea, monitorizarea și an aliza jurnalelor de audit ………………………….. ……………….. 25
5.7. Protecția emailului și a browserului web ………………………….. ………………………….. …………. 26
5.8. Apărări malware ………………………….. ………………………….. ………………………….. ……………… 26
5.9. Limitarea și controlul porturilor de rețea, protocoalelor și serviciilor ………………………….. . 26
5.10. Capacitatea de recuperare a datelor ………………………….. ………………………….. ……………… 27

6
5.11. Configurații securizate pent ru dispozitive de rețea ( cum ar fi firewall -uri, router -uri și
switch -uri) ………………………….. ………………………….. ………………………….. ………………………….. …… 27
5.12. Protecția frontalieră ………………………….. ………………………….. ………………………….. ………. 28
5.13. Protejarea datelor ………………………….. ………………………….. ………………………….. …………. 28
5.14. Acces controlat bazat pe nevoia de a ști ………………………….. ………………………….. ………. 29
5.15. Control acces wireless ………………………….. ………………………….. ………………………….. …… 30
5.16. Monitorizarea și controlul conturilor ………………………….. ………………………….. …………… 30
5.17. Evaluarea competențelor de securitate și instruirea personalului ………………………….. …. 30
5.18. Securitatea software pentru aplicații ………………………….. ………………………….. ……………. 31
5.19. Răspunsul la incidente ………………………….. ………………………….. ………………………….. ….. 31
5.20. Teste de penetrare ………………………….. ………………………….. ………………………….. ………… 32
6. STUDIU DE CAZ ………………………….. ………………………….. ………………………….. ………………….. 33
Bibliografie: ………………………….. ………………………….. ………………………….. ………………………….. …….. 35

7

8
1. INTRODUCERE

În contextul tehnologic actual, se discută din ce în ce mai des de protecția datelor atât la nivel
personal cât și la nivel de instituții sau firme private. Cu cât facilitățile tehnologice evoluează, cu
atât mai mult se vorbește și despre securitatea datelor deținute. Măsurile de securitate necesare cresc
odată cu nivelul de sensibilitate al datel or protejate , iar la nivelul datelor clasificate sunt imperios
necesare și stabilite prin legislație .

1.1. Motivația alegerii temei
Toate activitățile umane, indiferent de domeniu, privat sau public, productiv sau social, au
devenit sau tind să devină total d ependente de tehnologia informației în toate procesele de inițiere,
înregistrare, vehiculare și stocare a informațiilor și cunoștințelor. Extinderea continuă a noilor
tehnologii informaționale în cadrul marilor organizații conduce la infrastructuri inform atice și de
comunicații din ce în ce mai complexe și neomogene, ca rezultat al „contaminării” de
neoprit a unui spectru tot mai larg al activităților. Tehnologiile avansate pentru rețele util izate
în scopul susținerii afacerilor nu mai este doar monopolul companiilor. Internetul este răspândit
pretutindeni, asigurând infrastructură și interfață pentru comunicarea mulți -la-mai-mulți, fie
între cetățeni și/sau firme, fie cu reprezentanți ai statului eServiciile su nt de o mare varietate,
atât în ceea ce privește serviciul oferit cât și în ceea ce privește modalitatea de implementare în
fiecare țară. Aspectele prezentate conduc la ideea de securitate a datelor deținute și, implicit a unor
măsuri care se impun în vede rea prevenirii și contracarării unor tentative de exploatare a posibilelor
vulnerabilități existente la nivelul sistemelor/device -urilor utilizate în exploatarea datelor.
O valență deosebită privind informațiile gestionate se conturează în situați ile în ca re sunt
deținute, accesate, vehiculate și procesate :
 date sensibile (de interes personal sau corporatist/guvernamental etc.)
 date cu caracter personal
 informații clasificate naționale / informații clasificate care fac obiectul
activităților contractuale
 informații clasificate NATO/UE
Pentru protecția acestora pot fi implementate măsuri de securitate oferite de soluții hardware
și software în pachetele de instalare a sistemelor prin care sunt exploatate aceste informații, însă
pentru asigurarea unei protecții eficiente și garantarea unu i nivel de securitate adecvat pentru tipul
de informații s -au creat mecanisme legislative pentru implementarea măsurilor de securitate
adecvate/eficiente.
În acest sens, pe parcursul lucrării sunt prezentate legi, hotărâri de guvern, standarde de
securitat e naționale și externe vizând o gamă largă de tipuri de date și informații în format
electronic, precum și un studiu de caz care vizează domeniul securității informațiilor în format
electronic (INFOSEC).
De asemenea, așa cum relevă și titlul: REGLEMETĂRI INFOSEC DIN PERSPECTIVA
AUTORITĂȚII NAȚIONALE DE SECURITATE , pe lângă aspecte generale de reglementare sunt
prezentate și noțiuni referitoare la autoritățile în domeniul INFOSEC, precum și legislația în vigoare
aplicabilă de aceste autorități în vederea ex ercitării controlului și atestării de securitate a sistemelor
informatice și de comunicații deținute (acreditare sisteme, certificare aplicații, autorizații de acces).

9
1.2. Gradul de noutate a temei

Tema securității sistemelor informatice și de comunicații sau de protecție a informațiilor
vehiculate prin sistemele informatice și de comunicații este un domeniu relativ nou raportat la
vechimea domeniului informaticii, însă elementul de noutate al lucrării îl conferă posibilitatea unei
analize asupra regulilor de implementare a unor măsuri de securitate impuse de anumite autorități
raportat la necesitatea preluării aspectelor și pentru securitatea sistemelor prin care nu sunt
vehiculate informații clasificate ci doar sensibile (studiul de caz).
1.3. Obiectivele generale ale lucrării
 prin analiza și prelucrarea materialului de către persoane care au atribuții privind
asigurarea securității sistemelor informatice și de comunicații și a protecției
datelor vehiculate prin acestea , pot implementa măsuri impuse de legislația în
domeniul protecției informațiilor clasificate.
 să pună la dispoziția personalului specializat un curs de specialitate concis,
documentat tehnic/științific;
 posibilitatea de a integra materialul ca parte a unor bune practici interne la nivelu l
marilor organizații .
1.4. Metodologia folosită

Metodologia și tehnicile utilizate sunt cele specifice analizei și documentării, iar instrumente,
echipamentele cercetării sunt materiale documentare cu privire la utilizarea celor specifice asigurării
securită ții datelor și a legislației aferente.

1.5. Structura lucrării

Lucrarea cuprinde 6 capitole în care sunt prezentate aspecte specifice fiecărui titlu, pentru
conturarea unui conținut consistent și documentat, astfel:

1. INTRODUCERE care prezintă aspecte privind descrierea lucrării și argumente pentr u
elaborarea acesteia cu subcapitole precum : m otivația alegerii temei ,gradul de noutate a
temei ; obiectivele generale ale lucrării ; metodologia folosită ; structura lucrării
2. CADRU LEGISLATIV în care sunt prezentate instituțiile cu atribuții în domeniul
INFOSEC , clasele de securitate, noțiuni despre informațiile secrete de stat
3. PROTECTIA INFORMAȚIILOR CLASIFICATE prezentate pe subdomeniile de protecție
juridică , a personalului , fizică , TEMPEST și COMSEC
4. STANDARDE DE SECURITATE – ISO/IEC
5. Recomand ări ale comunit ății interna ționale SANS referitoare la: i nventarierea dispozitivelor
autorizate și neautorizate , inventarierea software -ului autorizat și neautorizat , configurații
securizat e pentru hardware și software pe dispozitive mobile, laptopuri, stații de lucru și servere
, evaluarea continuă a vulnerabilității și remedierea acesteia , utilizarea controlată a
privilegiilor administrative , întreținerea, monitorizarea și analiza jurnalel or de audit , protecția

10
emailului și a browserului we b, apărări malware , limitarea și controlul porturilor de rețea,
protocoalelor și serviciilo r, capacitatea de recuperare a datelo r, configurații securizate pentru
dispozitive de rețea , protecția frontalier e, m onitorizarea și controlul conturilo r, evaluarea
competențelor de securitate și instruirea personalului , securitatea software pentru aplicați i,
răspunsul la incidente , teste de penetrare.
6. STUDIU DE CAZ este fundamentat pe impactul negativ pe care îl poa te avea orice eroare
umană asupra securită ții cibernetice in cadrul oricărei organizații în cazul nerespectării
normelor elementare de securitate .

2. CADRU LEGISLATIV

Conform H.G.nr.585 din 13.06.2002 pentru aprobarea s tandardelor naționale de protecț ie a
informațiilor clasificate in Romania , INFOSEC reprezintă “ansamblul măsurilor și structurilor de
protecție a informațiilor clasificate care sunt prelucrate, stocate sau transmise prin intermediul
sistemelor informatice de comunicații și al altor sisteme electronice, împotriva amenințărilor și a
oricăror acțiuni care pot aduce atingere confidențialității, integrității, disponibilității autenticității și
nerepudierii informațiilor clasificate precum și afectar ea funcționării sistemelor informatice,
indiferent dacă acestea apar accidental sau intenționat. Măsurile INFOSEC acoperă securitatea
calculatoarelor, a transmisiilor, a emisiilor, securitatea criptografică, precum și depistarea și
prevenirea amenințărilor la care sunt expuse informațiile și sistemele”
Oficiul Registrului Național al Informațiilor Secrete de Stat este instituția care aplică la nivel
național implementarea măsurilor de securitate a informațiilor naționale clasificate. ORNISS este și
structu ra națională de leg ătură cu organismele de securitate NATO si UE. Pentru ca Româ nia să
poată adera la structurile Uniunii Europene și la NATO a fost nevoie și de o armonizare a legislației
naționale cu cea a structurilor la care doream să aderam. Încă din anul 1991 guvernele Statelor
Unite ,Canadei si cu sprijinul Uniunii Europene au elaborat criteriile comune pentru definirea
standardelor de securitate in domeniul informațiilor si reț elelor. Consiliul Europei stabilește
standar dul internațional ISO – 15408 (prin rezoluția adop tată in 28.01.2002) care define ște cerințele
de securitate minime necesare pentru calculatoarele si rețelele care gestionează informații
clasificate.
În conformitate cu acordul de securitate semnat cu NATO prin care România s -a angajat să
protejeze și să apere materialele și informațiile clasificate ale Alianței Nord -Atlantice ,este adoptă
hotărârea de guvern 535 din 15.04.2002 în care sunt stipulate normele de protecție a informațiilor
clasificate ale NATO. Documentele clasifica te NATO privesc informații de natură m ilitară ,politică
și economică .

11
2.1. STABILIREA INSTITUȚIILOR CU ATRIBUȚIUNI ÎN
DOMENIUL INFOSEC

Pe lângă Oficiul Registrului Național al Infor mațiilor Secrete de Stat , atribuțiuni privind
protecția informațiilor c lasificate mai au competențe și :
 Serviciul Roman de Informații
 Serviciul de Informații Externe
 M.A. N. – Direcția Generală de Informații a Apărării
 Serviciul de Telecomunicații Speciale
 Ministerul Afacerilor Interne
 Serviciul de Pază si Protecție
Prin aprobare in parlament a legii privind protejarea informațiilor clasificate avem definite
informațiile clasificate ,clasele de secretizare, informațiile secrete de stat si certificatele de securitate .
In legea 182/2002 ne mai sunt precizate obl igațiile, răspunderile dar si san cțiunile ce decurg din
nerespectarea prezentului act normativ. H.G. 585/2002 prezintă normele de a plicare ale legii
182/2002 și stabilește standardele de protecție a i nformațiilor clasificate . Standardele n aționale de
protecție a informațiilor clasificate se referă la :
 Clasificarea ș i declasificarea informațiilor
 Reguli privind întocmirea, evidența , păstrarea , procesarea, multiplicarea, transportul,
transmiterea și distrugerea informațiilor clasificate
 Protecția informați ilor secrete de stat
 Condițiile de cartografiere , filmare sau fotografiere in obiectivele care gestioneaz ă informații
secrete de stat.
 Protecția surselor generatoare de informații
 Securitatea industrială
 Contravenții si sancțiuni

2.2. CLASELE DE SECURITATE

Accesul la informații clasificate este acordat , la cererea angajatorului, de către ORNISS in
urma verificărilor minuțioase efectu ate de către organismul de securitate .Dobândirea unui certificat
de securitate nu atrage dup ă sine și accesul total la toate informațiile ce intră sub incidența
certificatului dobândit .Conform principiului “nevoia de a cunoa ște “ orice deținător de certificat de

12
securitate are obligația să consulte numai acele documente care îi sunt necesare indeplinirii
atribuțiunilor de serviciu.
Secretul de serviciu este repreze ntat de acele informații care divulgate sunt de natură să
aducă prejudicii în intere sul unei instituții . Șefii persoanelor juridice sunt abilitați să stabilească
informațiile care pot constitui secret de servi ciu și regulile de protecție a acestora. Este interzis prin
lege sa se clasifice ca secret de serviciu informații de interes public , de natură să favorizeze
încălcarea legii sau obstrucționarea justiției.
Secrete de stat sunt materiale și informațiile care prin divulgarea lor pot aduce prejudicii
siguranței naționale sau sistemului național de apărare. În funcție de importanța lor sau sta bilit
nivelurile de secretizare.

2.3. ELEMENTE CONSTITUTIVE ALE SECRETELOR DE
STAT

1. “strict secret de importan ță deosebi tă” – informațiile a căror divulgare neautorizată este de
natură să producă pagube de o gravitate excepțională siguranței naționale.
2. “ strict secret ” – informațiile a căror divulgare neautorizată riscă să produc ă daune grave
securi tății naționale.
3. “secret” – informa țiile și datele care divulgate pot produce daune securit ății naționale.
Informațiile care pot face parte din categoria secretelor de stat sunt potrivit legii:
a. Elementele de bază ale sistemului de apărare ,caracteristicile armamentului din
dotarea for țelor armate,tehnologii de fabricație ,tehnici si tactici de lupta.
b. Dispozitivele militare,planurile misiunilor și efectivele angajate în desf ășurarea
misiunilor.
c. Rețelele speciale de comunicații și de calculatoare cu mecanismele de securitate al e
acestora,planurile de apărare și protecție a obiectivelor de interes național.
d. Activit ățile specifice desfă șurate de autorit ățile stabilite prin lege sa apere siguranța și
integritatea națională.
e. Hărțile ,termogramele si planurile topografice în care sunt prezentate obiective
clasificate secret de stat.
f. Echipamentele de lucru metodele ,mijloacele ,tehnica și sursele de informa ții specifice
care sunt folosite de autorit ățile publice ce -și desf ășoară activitatea în domeniul
informațiilor.

13
g. Studiile si prospec țiunile geologice de evaluare a rezervelor naționale de metale
prețioase ,minereuri rare sau radioactive ,precum și rezervele materiale ale
Administrației Naționale a Rezervelor de Stat.
h. Planurile și sistemele de alimentare cu apa ,energie electrica și termic ă necesare bunei
funcționări a obiectivelor strategice clasificate secrete de stat.
i. Cercetările din domeniul tehnologiilor nucleare , securitatea și protecția materialelor
și instalaților nucleare .
j. Tipărirea și imprimarea înscrisurilor de valoare de natura titlurilor de
stat,obligațiunilor de stat și bonurilor de tezaur,emiterea de bancnote și batere a
monedelor metalice precum si elementele de siguranță nedestinate publicității.

14
3. PROTECTIA INFORMAȚIILOR CLASIFICATE

3.1. Protecția juridică

Protecția juridică reprezintă totalitatea legilor,dispozițiilor și normelor
constituționale ce reglementează aspecte privind accesul și clasificarea informațiilor
clasificate. Șefii instituțiilor care dețin si gestionează informații clasificate au
obligaț ia ca împreună cu structura de securitate să asigure condițiile necesare ca
angajații să cunoască reglementările în vigoare și riscurile nerespectării acestora .

3.2. Protecț ia personalului

Protecția personalului se realizează printr -un ansamblu de măsuri de verificare a
angajaților în vederea obținerii certificatului de securitate ,a prevenirii incidentelor de
securitate și identificării surselor de risc. Semnarea acordurilor de confidențialitate și
includerea responsabilit ăților privitoare la securitatea d atelor în fișa postului sunt
măsuri incluse în standardul de securitate IAO/IEC17799.

3.3. Protecția fizică

Protecția fizică presupune măsurile de control -acces ,dispozitivul de pază și
securitate ,controlul fizic și prin mijloace tehnice în spațiile unde sunt gestionate si
stocate informații cu caracter clasificat. Rolurile principale urmărite de securitatea
fizica îl constituie prevenirea pătrunderii neautorizate în spațiile protejate și accesul
celor autorizați în baza certificatului de securitate, cu re spectarea principiu lui “nevoia
de a cunoaș te “

15
3.4. Protecția TEMPEST

Protecția TEMPEST reprezintă totalitatea măsurilor de limitare a emisiilor de
radiații electroma gnetice sau electrice parazite în urma funcționării echipamentelor
electronice. Un risc imp ortant în scurgerea de informații il prezintă folosirea cablurilor
de date sau cablurilor telefonice neecranate.

3.5. Protecția comunicațiilor COMSEC

Protecția COMSEC î nsumează toate măsurile de securitate în telecomunicații,cu
scopul de a proteja mesajele tr ansmise printr -un sis tem de telecomunicații, evitându -se
astfel riscul de a fi interceptate și analizate și prin reconstituire să compromită integritatea
informațiilor clasificate .

16
4. STANDARDE DE SECURITATE

4.1. Audit ISO/IEC 27001 (ISMS)

Familia ISO/IEC 27000 (generic denumită “ISO27k”) include standardele de securitate
concepute și asumate în comun de către Organizația Internațională pentru Standardizare (ISO) și
Comisia Electrotehnică Internațională (IEC). Seria oferă recomandări r eferitoare la cele mai
bune practici de gestionare a informațiilor de securitate și de control a riscurilor din prisma unui
sistem de management al securităț ii informa ției (ISMS).
Seria are un spectr u larg de aplicare, care acoperă mai mult decât conf idenț ialitatea si
problemele tehnice și de securitate IT.
Aplicabilitatea este generală pentru toate organizațiile indiferent de forme și dimensiuni.
Toate organizațiile sunt încurajate să își evalueze atent riscurile de securitate a informațiilor, și s ă
pună în aplicare măsurile adecvate de control și de securitate în funcție de nevoile propr ii,
uzitând de orientare și sugestii dacă este cazul. Luând în calcul natura dinamică a informațiilor de
securitate, ISMS încorpor ează un concept co ntinuu de fetdback permanent și de
îmbunătățire a activităților conform ciclului Deming PDCA (plan -do-chtck -act) de abordare
continuă.
Standardele sunt produsul activității comitetului ISO / IEC JTC1, subcomitetului
SC27, o comisie internațion ală care se întrunește de două ori pe an.
În prezent, din seria de standarde dedicate securității informației ISO 27k, pe lângă ISO/IEC
27001 – ”Specificații ale sistemelor de management a securității informației” mai fac parte:

4.2. ISO/IEC 27000

Acest sta ndard conferă o imagine de ansamblu a sistemelor de management a securității
informației ce fac parte din familia de standarde ISMS (Sisteme de Management a Securității
Informației) și definește termenii din domeniu.
Un sistem de management a securității informației (ISMS) reprezintă o abordare sistematică
a managementului informației astfel încât aceasta să îndeplinească toate cele trei aspecte ale
securității: confidențialitatea, disponibilitatea și integritatea. Sistemul de management a securității
informați ei include atât echipamentele hardware și programele software cât și întreg personalul unei
organizații ce are acces la acest sistem informațional.

17
În urma implementării standardului ISO/IEC 27000, toate tipurile de organizații (de
exemplu societățile comerciale, agențiile guvernamentale sau organizațiile non -profit) pot ob ține:
 imagine de ansamblu asupra familiei ISMS de standarde;
 introducere în sistemele de management a securității informați ei (ISMS);
 scurtă descriere a pr ocesului PDCA – Plan-Do-Check -Act (Planifică –
Implementează -Verifică -Actionează);
 Însușirea termenilor utilizați și înțelegerea definițiilor în întreaga familie ISMS de standarde.
Acest standard definește cerințele pentru sistemele de manageme nt a securității informației și
pentru cele care certifică aceste sisteme;
 oferă suport, îndrumare detaliată și interpretare a cerințelor și proceselor PDCA;
 asigură îndrumări pentru secțiunile specifice din familia ISMS de standarde;
 oferă eva luări pentru familia ISMS.

4.3. ISO/IEC 27002 – Cod de practică pentru
managementul securității informației

Standardul ISO/IEC 27002 derivă din fostul ISO/IEC 17799 căruia i s -a schimbat numele
pentru a face parte din seria ISO 27000 și est e dedicat securității informației. Impune principiile
generale pentru inițierea, implementarea, dar și menținerea și îmbunătățirea managementului
securității informației într -o organizație.
Obiectivul său este să ofere indicații generale privind ob iectivele universal acceptate în
managementul securității informațiilor. Standardul ISO/IEC 27002 conține cele mai bune practici de
control în următoarele domenii de mana gement al securității informați i:
 politica de securitate;
 organizarea securității info rmației;
 managementul activelor;
 securitatea resurselor umane;
 securitatea fizică și a mediului înconjurător;
 managementul comunicațiilor și al operațiilor;
 controlul accesului;
 achiziționarea sistemelor informaționale, dezvoltarea și mentenan ță lor;
 managementul incidentelor de securitate a informațiilor;
 managementul continuității afacerii.
Obiectivele de control în standardul ISO/IEC 27002 sunt destinate să fie puse în
aplicare pentru a îndeplini cerințele identificate printr -o evaluare a riscului.

18
Standardul este conceput ca un ghid practic pentru dezvoltarea standardelor de
securitate organizațională și practicile efective de management a securității și pentru a ajuta la
construirea încrederii în activități interorganizaționa le.

4.4. ISO/IEC 27003 – Ghid de implementare a sistemului
de management a securității informației

Standardul ISO/IEC 27003 se concentrează pe aspectele critice necesare pentru proiectarea și
implementarea cu succes a unui sistem de management a securității informațiilor (ISMS), în
conformitate cu ISO / IEC 27001.
Acesta descrie procesul de design și specificații pentru un sistem de management a securității
informațiilor de la iniți ere și până la realizarea planur ilor de implementare.
Standardul ISO/IEC 27003 descrie procesul de obținere a aprobării de implementare a unui
ISMS, definește proiectul de implementare și oferă îndrumări cu privire la modul de concepere a
unui proiect ISMS.
Standardul ISO /IEC 27003 este destinat a fi utilizat împreună cu standardele ISO/IEC
27001 și ISO/IEC 27002, fără a modifica sau elimina nici o prevedere stipulată de cele doua
standarde. Acest standard oferă concepte legate de planificarea și proiectarea unui sistem de
management a securității informației, rezultând într -un final un plan riguros de implementare a unui
proiect ISMS.

4.5. ISO/IEC 27004 – Managementul securității informației –
Evaluări

Standardul ISO/IEC 27004 oferă îndrumări cu privire la dezvoltarea și uti lizarea unor matrici
și măsur ători în scopul de a evalua eficacitatea unui sistem de management a securității informației
(ISMS) implementat. Acest standard oferă îndrumări în privința unor controale sau grupuri de
controale așa cum se specifică în standar dul ISO/IEC 27001. Standardul ISO/IEC 27004 se aplică
tuturor tipurilor de organizații.

19
4.6. ISO/IEC 27005 – Managementul riscului securității
informației

Standardul ISO/IEC 27005 stabilește ghidul pentru managementul riscului utilizat în
securitatea informației. Susține conceptele generale specificate în ISO/IEC 27001 și este
conceput pentru a asista la punerea cu succes în aplicare a securității informațiilor bazate pe o
abordare de management a riscului.
Cunoașterea de concepte, modele, procese și terminologia descrisă în ISO/IEC 27001 si
ISO/IEC 27002 este importantă pentru o înțelegere completă a ISO/IEC 27005. Cadrul
prezentat în ISO/IEC 27005 a fost revizuit și actualizat pentru a ține cont de conținutul
documentelor de management al riscului:
 ISO 31000:2009, Managementul riscului – Principii și linii directoare
 ISO/CEI 31010:2009, Managementul riscului – Tehnici de evaluar et a riscurilor
 Ghidul ISO 73:2009, Managementul riscului – Vocabular
Standardul este destinat să se alinieze standardului ISO 31000:2009 pentru a ajuta
organizațiile să gestioneze riscurile privind securitatea informați ei în mod similar cu
gestionarea altor riscuri.
ISO/IEC 27005 va ajuta utilizatorii să implementeze standardul ISO/CE I 27001 pentru
sistemul de management al securității informației, care este bazat pe abordarea managementului
riscului.
Acest standard este aplicabil tuturor tipurilor de organizații (socite tăți comerciale,
agenții guvernamentale sau organi zații non -profit) care intenționează să gestioneze riscurile care
ar putea compromite securitatea informațiilor dintr -o organizație.

4.7. ISO/IEC 27006 – Cerințe pentru organizațiile ce efectuează
audit și certificare a sistemelor de management a securității
informației

Standardul ISO/IEC 27006 specifică cerințele și oferă îndrumări pentru organizațiile ce
efectuează audit și certificare a sistemului de management a securității informațiilor (ISMS).
Standardul este în esență destinat să sprijine acreditarea organismelor de certificare ce ofer ă
certificare a sistemului de management a securității informațiilor.
Cerin țele cuprinse în ISO/IEC 27006 trebuie să fie demonstrate în termeni de
competență și fiabilitate de către orice organizaț ie de certificare ISMS și orientările cuprinse în

20
ISO/IEC 27006 oferă servicii de interpretare adiționale a acestor cerințe pentru orice
organizație de certificare ISMS.

4.8. ISO/IEC 27011 – Ghidul managementului securității
informației pent ru organizațiile din domeniul
telecomunicațiilor bazat p e standardul ISO/IEC 27002

Scopul acestui standard este de a defini îndrumări în sprijinul implementării
managementului securității informațiilor în cadrul organizațiilor de telecomunic ații.
Adoptarea prezentului standard va permite companiilor de telecomunicații să
întrunească cerințele de bază ale managementului securității informațiilor: confidențialitate,
integritate și disponibilitate precum și orice altă proprietat e relevantă de securitate.

4.9. Audit ISO/IEC 27013 – IT Security & Service Management

ISO (International Organization for Standardization) și IEC (International Electrotechnical
Commission) au publicat acest standard internațional pentru a oferi organizațiilor un ghid cu
privire la integrarea standardelor cu privire la managementul securității informațiilor (ISO/ISC
27001) și respectiv managementul serviciilor IT (ISO/IEC 20000).
Corelația dintre managementul serviciilor IT și securi tatea informațiilor este atât de apreciată
încât multe organizații recunosc deja beneficiile adoptării celor doua standarde în tandem: ISO/IEC
27001 pentru securitatea informațiilor și ISO/IEC 20000 -1 pentru managementul serviciilor IT.
ISO 27013 îndrumă organizațiile în efortul lor de a realiza un sistem de management integrat
care să poată acoperi atât serviciile prestate cât și păstrarea în condiții de maximă siguranță a
activelor informaționale. Noul standard conține îndrumări care acoperă cazurile în care unul dintre
standarde este implementat mai întâi, cât și situațiile în care sunt simultan implementate
ambele standarde.
Implementarea integrată folosită de noul standard oferă un num ăr mare de beneficii at ât
pentru auditori cât și pentru organizațiile implicate în certificarea sistemelor de management și
acreditarea conformității în urma evaluării.
Printre beneficiile principale ale implementării integrate includem:
Asigurarea credibilității în fața partenerilor interni sau externi ai organizației în ceea ce
privește serviciile IT eficiente și sigure:
 Scăderea semnificativă a costurilor datorită programului integrat

21
 Reducerea timpului de implementare a proceselor comune celor doua standarde datorită
dezvolt ării integr ate
 Simplificarea acțiunilor pentru implementare
 Promovarea comunicării între personalul de management al serviciilor IT și cel al securității
informațiilor
 Îmbunătățirea proceselor de certificare.

4.10. Audit ISO/IEC 20000 (IT Service Management)

ISO/ IEC 20000 este primul standard mondial destinat exclusiv gestionării activităților
specifice serviciilor IT. Standardul cuprinde un set integrat de proceduri de management
eficient pentru furnizarea a serviciilor IT în mediul de afaceri. IS O 20000 este armonizat cu
abordarea procesuală definită în cadrul ITIL (Information Technology Infrastructure Library) și
complementar cu aceasta.
Multe din procesele operaționale cheie au la bază serviciile IT, iar modificările din cadrul
acestor procese presupun și modificarea sistemelor IT – fie că este vorba de hardware, software,
infrast ructură de comunicații sau servicii suport.
ISO/IEC 20000 este compus din două părți:
Prima parte, ISO/IEC 20000 -1 cuprinde cerințele domeniului de management a
serviciilor IT. Acest sistem poate fi folosit de un furnizor de servicii IT (intern sau extern) pentru a
avea certitudinea că serviciile oferite clienților (interni sau externi) au un nivel calitativ de control și
siguranță stabilit și aprobat.
Partea a doua, ISO/IEC 20000 -2 defin ește codul de practici și descrie cele mai bune
soluții pentru procesele de management al serviciilor, definite în cadrul ISO/IEC 20000 -1.
Codul de bune practici este utilizat în special de structurile care se pregătesc p entru auditul
ISO 20000 sau care planifică o serie de modificări ale serviciilor interne.ISO/IEC 20000 -1 este
necesar organizațiilor care vor să își certifice sistemul de management al serviciilor IT furnizate.
Beneficiile implementării acestui standard:
 Reducerea costurilor – ISO/IEC 20000 -1 este conceput ca sistem de management bazat pe
ciclul Deming PDCA (Plan -Do-Chtck -Act) comun majorității celorlalte standarde ce privesc
sistemele de management. Acest lucru permite operarea unui sistem integrat, în care se evită
duplicarea datelor și implicit reducerea costurilor.
 Încrederea partenerilor – acest standard va certifica că utilizați cele mai sigure practici pentru
oferirea serviciilor de calitate. Standardul a fost conceput cu scopul de a îmbunătăți modul de
gestionare a serviciilor IT.

22
4.11. Audit ISO/IEC 27035 (Incident Management)

Impactul generat de varietatea de amenințări legate de securitatea informației poate fi redus
prin folosirea abordărilor managementului incidentelor din domeniul securităț ii informației,
abordare inclusă în standardul interna țional ISO 27035 : 2011.
Breșele de securitatea a informației pot compromite sistemele afacerii și pot cauza
întreruperi ale activității. Răspunsul eficient și imediat face diferența dintre un incid ent minor și un
dezastru total. Folosirea corectă a unui sistem de management al incidentelor de securitate a
informației asigură organizațiilor măsurile și procedurile de control necesare gestionării unei game
largi de vulnerabilități și de incidente l egate de securitate.
ISO/IEC 27035:2011 – „Managementul incidentelor legate de securitatea informației” este
necesar pentru detectarea, raportarea și evaluarea vulnerabilit ăților și incidentelor legate de
securitatea informației.
Standardul ISO 2703 5 asigură organizațiilor posibilitatea de răspuns la incidentele legate
de securitatea informației, activarea măsurilor de control necesare pentru prevenirea și reducerea
impactului incidentelor menționate și recuperarea în urma acestora .
Avantajele integrării in sistem a ISO 27035:
 Îmbunătățirea securități a informației;
 Reducerea impactului negativ asupra afacerii;
 Consolidarea atenției acordate prevenirii incidentelor, strângerea dovezilor
referitore la ele și stabilirea lor ca prioritate;
 Îmbun ătățirea evalu ării riscului legat de securitatea informației și a
rezultatelor manageriale;
 Tratarea în timp util și eficientă a incidentelor majore face diferența între
supraviețuirea și “moartea” un ei organizații. Noul standard ISO/IEC 27035
pune la d ispoziția organizațiilor proceduri încercate și testate și metodele
care trebuiesc aplicate pentru a asigura gestionarea eficientă a incidentelor.

23
5. Recomand ări ale comunit ății interna ționale SANS

5.1. Inventarierea dispozitivelor autorizate și neautorizate

Atacatorii, care pot fi localizați oriunde în lume, scanează permanent spațiul de adrese al
organizațiilor țintă, așteptând ca sistemele noi și neprotejate să fie atașate la rețea. Atacatorii caută,
de asemenea, dispozitive (în special l aptop -uri) care vin și ies din rețeaua instituțiilor și, astfel, se
sincronizează cu patch -uri sau actualizările de securitate. Atacurile pot profita de noul hardware care
este instalat în rețea într -o seară, dar nu este configurat și actualizat cu update de securitate
corespunzătoare până în ziua următoare. Chiar și dispozitivele care nu sunt vizibile de pe Internet
pot fi folosite de c ătre atacatori care au obținut deja acces intern și care vânează puncte de salt
interne sau victime. Sistemele suplimentar e care se conectează la rețeaua instituției (de exemplu,
sisteme demonstrative, sisteme de testare temporară, rețele de clienți) ar trebui, de asemenea,
gestionate cu atenție sau izolate, pentru a împiedica accesul neautorizat la securitatea operațiunilor
gestionate. Pe măsură ce noua tehnologie continuă să apară, BYOD (aduceți propriul dispozitiv) – în
care angajații aduc la dispoziție echipamentele personale și le conectează la rețea – devine foarte
comună. Aceste dispozitive ar putea fi deja compromise ș i pot fi utilizate de către atacatori pentru a
infecta resursele interne. Gestionarea controlată a tuturor dispozitivelor joacă, de asemenea, un rol
esențial în planificarea și executarea sistemului de backup și recuperare

5.2. Inventarierea software -ului autorizat și neautorizat

Atacatorii scanează în permanență organizațiile țintă și caută variante vulnerabile ale
software -ului care pot fi exploatate de la distanță. Unii atacatori distribuie, de asemenea, pagini web
ostile, fișiere de documente, fișiere media și alte tipuri de conținut prin propriile pagini web sau prin
alte site -uri terțe de încredere. Atunci când victimele accesează acest conținut cu un browser
vulnerabil sau cu alt program client pot compromite dispozitivele , instalând adesea programe
backdoor care dau atacatorului controlul pe termen lung al sistemului. Unii atacatori sofisticați pot
folosi vulnerabilitățile necunoscute anterior (de zi zero) pentru care nu a fost încă lansat niciun patch
de către dezvoltatorul de software. Fără cunoașt erea sau controlul adecvat al software -ului folosit
într-o organizație, managerii de sistem nu își pot asigura corespunzător bunurile. Aparatele cu
control slab sunt predispuse fie să ruleze programe care nu sunt necesare în scopuri proprii
(introducând vu lnerabilități de securitate potențiale), fie să ruleze programe după ce un sistem este
compromis. Odată ce o singură mașină a fost exploatată, atacatorii o folosesc adesea ca punct de

24
așteptare pentru colectarea de informații sensibile din sistemul comprom is și din alte sisteme
conectate la acesta. În plus, mașinile compromise sunt utilizate ca punct de lansare pentru mișcarea
în rețea și în rețelele de parteneriat. În acest fel, atacatorii pot transforma rapid o mașină compromisă
în multe. Organizațiile ca re nu dispun de inventare complete de software nu pot găsi sisteme care
rulează programe vulnerabile sau software rău intenționate pentru a atenua problemele sau a elimina
atacatorii. Gestionarea controlată a întregului software joacă, de asemenea, un rol esențial în
planificarea și executarea sistemului de backup și recuperare.

5.3. Configurații securizate pentru hardware și software pe
dispozitive mobile, laptopuri, stații de lucru și servere

Configurațiile implicite furnizate de c ătre producători pentru sis temele de operare și aplicații
sunt în mod obișnuit orientate spre ușurința utilizării și nu spre securitate. Sunt folosite comenzi de
bază, servicii deschise și porturi, conturi implicite sau parole simple ( ex.1234,0000) .Toate acestea
pot fi exploatate de către atacatori in scopul compromiterii echipamentelor. Dezvoltarea setărilor de
configurare cu proprietăți de securitate bune reprezintă o sarcină complexă dincolo de capacitatea
utilizatorilor individuali. Chiar dacă se dezvoltă și se instalează o con figurație inițială puternică,
trebuie să fie gestionată permanent pentru a evita orice bre șa de securitate. Software -ul necesită
actualizare regulată sau patch -uri, altfel există riscul să apară vulnerabilități de securitate și
configurațiile pot fi păcăli te pentru de atacatori care vor găsi oportunități de a exploata atât servicii
accesibile din rețea, cât și software -ul client.

5.4. Evaluarea continuă a vulnerabilității și remedierea acesteia

Personalul desemnat cu securitatea trebuie să opereze într -un flux constant de informații noi:
actualizări de software, patch -uri, sfaturi de securitate, buletine de amenințări etc. Înțelegerea și
gestionarea vulnerabilităților au devenit o activitate continuă, necesitând timp, atenție și resurse
semnificative. Ataca torii au acces la aceleași informații și pot profita de decalajele dintre apariția
noilor amenințări și remediere. De exemplu, atunci când cercetătorii raportează noi vulnerabilități,
începe o cursă între atacatorii pe deoparte (pentru a "arma", a lansa u n atac, a exploata), furnizorii
de software pe de alta (pentru a dezvolta, implementa patch -uri sau actualizări) și apărători (pentru a
evalua riscurile, patch -urile de test si instalarea update -urilor). Organizațiile care nu scanează
vulnerabilități și ad resează în mod proactiv defectele descoperite se confruntă cu o probabilitate
semnificativă de compromitere a sistemelor lor de computere. Apărătorii se confruntă cu dificultăți

25
deosebite în reducerea timpilor de remediere în întreaga instituție și priori tizarea acțiunilor cu
priorități conflictuale și uneori cu efecte secundare nesigure.

5.5. Utilizarea controlată a privilegiilor administrative

Utilizarea incorectă a privilegiilor administrative este o cauză principală care facilitează
atacatorilor accesul într-o organizație țintă. Două tehnici de atac foarte frecvente profită de
privilegiile administrative necontrolate. În primul rând, un utilizator de stație de lucru care rulează
ca utilizator privilegiat, este păcălit în deschiderea unui atașament de e -mail rău intenționat,
descărcând și deschizând un fișier de pe un site rău intenționat sau pur și simplu navigând la un site
care găzduiește un conținut de atacator care poate exploata automat browserele. Fișierul sau exploit –
ul conține cod executabil care r ulează pe mașina victimei fie automat, fie prin păcălirea utilizatorul
în executarea conținutului atacatorului. Dacă contul utilizatorului victimă are privilegii
administrative, atacatorul poate prelua complet aparatul victimei și poate instala programe de
înregistrare a tastaturii, sonerii și software -ul de control la distanță pentru a găsi parole
administrative și alte date sensibile. Atacurile de acest gen au loc in general prin intermediul e -mail.
Un administrator malware introduse d deschide neintențio nat un e -mail care conține un atașament
infectat și acesta este folosit pentru a obține un punct de plecare în rețea care este utilizat pentru a
ataca alte sisteme.
Cea de -a doua tehnică comună folosită de atacatori este ridicarea privilegiilor prin ghici tul
sau cracarea unei parole pentru ca un utilizator administrativ să obțină acces la o mașină vizată.
Dacă privilegiile administrative sunt libere și larg răspândite sau identice cu parolele utilizate în
sistemele mai puțin critice, atacatorul reușește m ult mai ușor de a obține controlul complet al
sistemelor, deoarece există mult mai multe conturi care pot servi drept cale pentru atacator pentru a
compromite privilegiile administrative .

5.6. Întreținerea, monitorizarea și analiza jurnalelor de audit

Atunc i când lipsesc jurnalele de audit și analiză a securității atacatorii pot să își ascundă
locația, software -ul rău intenționat și activitățile asupra mașinilor victime. Chiar dacă victimele știu
că sistemele lor au fost compromise, fără înregistrări protej ate și complete, ele sunt orbe la detaliile
atacului și la acțiunile ulterioare ale atacatorilor. Fără un registru solid de audit, un atac poate trece
neobservat pe o perioadă nedeterminată, iar daunele provocate pot fi ireversibile. Uneori,
înregistrările atacului sunt singurele dovezi care pot determina amploarea pagubelor. Multe

26
organizații păstrează înregistrările de audit pentru a respecta obiectivele, dar atacatorii se bazează pe
faptul că astfel de organizații privesc rareori jurnalele de audit, astf el încât nu știu că sistemele lor au
fost compromise. Din cauza proceselor de analiză precară sau inexistentă, atacatorii uneori
controlează mașinile victime timp de luni sau ani fără ca nimeni din organizația țintă să știe, chiar
dacă dovezile atacului au fost înregistrate în fișierele jurnal neexaminate.

5.7. Protecția emailului și a browserului web

Browserele web și clienții de e -mail sunt puncte de intrare și atac foarte frecvente datorită
complexității și flexibilității lor tehnice ridicate și interacțiunii lor directe cu utilizatorii și cu
celelalte sisteme și site -uri Web. Conținutul poate fi creat pentru a atrage utilizatorii sau pentru ai
determina să întreprindă acțiuni care cresc considerabil riscul și care permit introducerea codului rău
intenționat, pierderea datelor valoroase și alte atacuri.

5.8. Apărări malware

Software -ul rău intenționat este un aspect integrat și periculos al amenințărilor la adresa
internetului și poate fi conceput pentru a ataca sistemele, dispozitivele sau datele ut ilizatorilor.
Atacul de tip malware poate viza un număr mare de puncte de penetrare, cum ar fi dispozitivele
utilizatorilor finali, atașamentele de e -mail, paginile web, serviciile cloud și mediile portabile.
Malware -ul modern poate fi proiectat pentru a e vita apărarea sau pentru a ataca -o sau dezactiva.
Protecția împotriva malware -ului trebuie să fie capabilă să funcționeze în acest mediu dinamic prin
automatizarea la scară largă, actualizarea rapidă și integrarea cu procese precum Incident Response.
De as emenea, acestea trebuie să se desfășoare în mai multe puncte de atac, pentru a detecta, a opri
mișcarea sau a controla executarea unui software rău intenționat. Este recomandată folosirea
protecției de tip endpoint Enterprise care oferă funcții administra tive pentru a verifica dacă toate
sistemele de protecție sunt active și curente în fiecare sistem gestionat.

5.9. Limitarea și controlul porturilor de rețea, protocoalelor și
serviciilor

Atacatorii caută servicii de rețea accesibile de la distanță care sunt vulnerabile la
exploatare. Printre exemplele obișnuite se numără serverele web, serverele de poștă electronică,

27
serverele de fișiere și de imprimare și serverele de nume de domenii (DNS ) instalate în mod
prestabilit pe o varietate e c ătre atacator mare de dispozitive, adesea fără o nevoie de afaceri pentru
serviciul dat. Multe pachete software instalează automat servicii și le pornesc ca parte a instalării
pachetului software principal f ără a informa un utilizator sau un administrator că serviciile au fost
activate. Atacatorii scanează astfel de vulnerabilit ăți și încearcă să exploateze aceste servicii, de
multe ori încercând codurile de utilizator implicite și parolele sau codul de exploatare disponibil pe
scară largă.

5.10. Capacitatea de recuperare a datelor

Când atacatorii reușesc să compromită mașinile, aceștia fac adesea schimbări
semnificative în configurații și software. Uneori atacatorii fac modificări subtile ale datelor stoca te
pe mașinile compromise, putând pune în pericol eficiența organizațională cu informații denaturate.
Atunci când atacatorii sunt descoperiți, poate fi extrem de dificil pentru organizațiile care nu au o
capacitate de recuperare a datelor demnă de încreder e să elimine toate aspectele prezenței
atacatorului pe mașină. Soluțiile de backup sunt o necesitate atunci când ne confruntăm cu atacuri de
tip ransomware și nu numai.

5.11. Configurații securizate pentru dispozitive de rețea ( cum ar
fi firewall -uri, router -uri și switch -uri)

Producă torii comercializează echipamentele cu porturile și serviciile deschise, conturi
implicite (inclusiv conturi de servicii) sau parole, suport pentru protocoalele mai vechi (vulnerabile).
Toate pot fi exploatate în configurația lor implicită. Atacatorii folosesc dispozitivele de rețea care
devin mai puțin configurate în timp, deoarece utilizatorii solicită excepții pentru nevoile specifice
ale afacerii. Uneori, excepțiile sunt implementate și apoi rămân anulate când nu mai sunt apli cabile
nevoilor afacerii. În unele cazuri, riscul de securitate al excepției nu este nici analizat în mod
corespunzător, nici măsurat în funcție de nevoile de afaceri asociate și se poate schimba în timp.
Atacatorii caută setări implicite vulnerabile, găur i electronice în firewall -uri, routere și switch -uri și
le folosesc pentru a pătrunde în apărare. Ei exploatează deficiențe în aceste dispozitive pentru a avea
acces la rețele, pentru a redirecționa traficul într -o rețea și a intercepta informații în timpu l
transmisiei. Prin astfel de acțiuni, atacatorul obține accesul la date sensibile și poate modifica
informații importante .

28
5.12. Protecția frontalieră

Atacatorii se concentrează pe exploatarea sistemelor pe care le pot accesa de pe internet,
incluzând nu numai sistemele DMZ (DeMilitarizedZone), ci și computerele de stații de lucru și
laptopurile care trag conținutul de pe internet prin granițele rețelei. Amenințările, cum ar fi grupurile
de crimă organizată și statele -națiuni, utilizează deficiențe de conf igurare și arhitectură găsite pe
sistemele perimetrice, dispozitivele de rețea și mașinile de client care accesează Internetul pentru a
obține accesul inițial într -o organizație. Apoi, cu o bază de operații pe aceste mașini, atacatorii
adesea pivotează pen tru a ajunge mai adânc în interiorul frontierei pentru a fura sau schimba
informații sau pentru a stabili o prezență persistentă pentru atacurile ulterioare împotriva gazdei
interne. În plus, se produc multe atacuri între rețelele de parteneri de afaceri, în timp ce atacatorii
alunecă de la o rețea la alta, exploatând sistemele vulnerabile pe perimetrele extranetului.
Pentru a controla fluxul de trafic prin frontierele rețelei este esențial să filtrați atât traficul de intrare,
cât și cel de ieșire folosind mai multe niveluri de protec ție bazate pe firewall -uri, proxy -uri, rețele de
perimetru DMZ și IPS și IDS bazate pe rețea.
Trebuie remarcat faptul că liniile de frontieră dintre rețelele interne și cele externe se diminuează ca
urmare a creșterii intercon ectivită ții în interiorul și între organizații, precum și a creșterii rapide a
implementării tehnologiilor fără fir. Aceste linii de estompare uneori permit atacatorilor să obțină
acces în interiorul rețelelor în timp ce ocolește sistemele de această estom pare a limitelor,
implementările eficiente de securitate se bazează în continuare pe apărări de frontieră atent
configurate, care separă rețele cu diferite niveluri de amenințare, seturi de utilizatori și niveluri de
control. Și în ciuda estompării rețelel or interne și externe, sistemele de protecție periferice eficiente
în mai multe straturi contribuie la scăderea numărului de atacuri reușite, permițând personalului de
securitate să se concentreze asupra atacatorilor care au conceput metode de a ocoli rest ricțiile de
frontieră.

5.13. Protejarea datelor

Protecția datelor se realizează cel mai bine prin aplicarea unei combinații de tehnici de
criptare, de protecție a integrității și de prevenire a pierderilor de date. Întrucât organizațiile își
continuă trecerea spre cloud computing și accesul la dispozitive mobile, este important să se acorde
atenție necesară limitării și rapoartelor privind exfiltrarea datelor, precum și atenuarea efectelor
compromiterii datelor. Adoptarea de criptare a datelor, atât în tranz it, cât și în repaus, oferă
atenuarea compromiterii datelor. Acest lucru este valabil dacă au fost luate în considerare procesele
și tehnologiile asociate cu operațiunile de criptare. Un exemplu este gestionarea cheilor criptografice

29
utilizate de diferiții algoritmi care protejează datele. Procesul de generare, utilizare și distrugere a
cheilor ar trebui să se bazeze pe procese dovedite, astfel cum sunt definite în standardele NIST SP
800-57. De asemenea, ar trebui să se asigure că produsele utilizate în ca drul unei organiza ții
implementează algoritmi criptografici binecunoscuți și verificați, identificați de NIST. Reevaluarea
algoritmilor și dimensiunilor de chei utilizate anual în cadrul institu ției este, de asemenea,
recomandată pentru a se asigura că org anizațiile nu se află în urmă în ceea ce privește puterea de
protecție aplicată datelor lor. Pentru organizațiile care transferă date către cloud, este important să
înțelegem controalele de securitate aplicate datelor din mediul multi -chiriaș al cloud și s ă
determinăm cel mai bun mod de acțiune pentru aplicarea comenzilor de criptare și securitatea
cheilor. Când este posibil, cheile ar trebui să fie stocate în containere sigure, cum ar fi modulele de
securitate hardware (HSM). Criptarea datelor oferă un niv el de asigurare că, chiar dacă datele sunt
compromise, este imposibil să accesați textul fără resurse semnificative, dar ar trebui, de asemenea,
să se introducă controale pentru a atenua amenințarea de exfiltrație a datelor în primul rând. In multe
cazuri atacurile trec neo bservate datorită faptului ca victimele nu își monitorizează ieșirile de date
.Scăderea controlului asupra datelor protejate sau sensibile de către organizații reprezintă o
amenințare gravă la adresa operațiunilor de afaceri și o potenția lă amenințare la adresa securității
naționale. În timp ce unele date sunt scurgeri sau pierdute ca urmare a furtului sau a spionajului,
marea majoritate a acestor probleme rezultă din practicile de date greșit înțelese, lipsa unor
arhitecturi de politici e ficiente și erorile utilizatorilor. Controalele DLP (Data Loss Prevention) se
bazează pe politici de securitate și includ clasificarea datelor sensibile din cadrul unei organiza ții,
controlul și raportarea și auditul pentru a asigura respectarea normelor d e securitate .

5.14. Acces controlat bazat pe nevoia de a ști

Unele organizații nu identifică cu atenție și nu separă activitățile cele mai sensibile și
critice de informațiile mai puțin sensibile și accesibile publicului în rețelele lor interne. În multe
medii, utilizatorii interni au acces la toate sau cele mai mul te dintre activele critice. Bunurile
sensibile pot include, de asemenea, sisteme care asigură gestionarea și controlul sistemelor fizice (de
exemplu, SCADA Supervisory Control And Data Aquisition). Odată ce atacatorii au pătruns într -o
astfel de rețea, ei pot găsi cu ușurință și pot sustrage informații importante, pot provoca daune fizice
sau pot perturba operațiunile cu rezistență redusă. De exemplu, în mai multe încălcări de profil în
ultimii ani, atacatorii au putut accesa date sensibile stocate pe acele ași servere, cu același nivel de
acces ca și datele mai puțin importante.

30
5.15. Control acces wireless

Cantit ăți de date importante au fost sustrase de atacatorii care au obținut acces wireless la
organizații din afara clădirii fizice, ocolind perimetrele d e securitate ale organizațiilor conectându -se
fără fir la punctele de acces din cadrul organizației. Clienții care folosesc acest tip de conexiune
pentru a accesa re țelele vizate sunt infectați în mod regulat prin exploatare la distanță în timpul
călători ilor cu avionul sau în cafenele a re țelelor wireless . Astfel de vulnerabilit ăți sunt exploatate și
folosite ca uși din spate atunci când sunt reconectate la rețeaua unei organizații țintă. Multe
organizații au raportat descoperirea unor puncte de acces fă ră fir neautorizate în rețelele lor, plantate
și uneori ascunse pentru acces nelimitat la o rețea internă. Deoarece nu necesită conexiuni fizice
directe, dispozitivele wireless reprezintă un vector convenabil pentru atacatori pentru a menține
accesul pe te rmen lung într -un mediu țintă.

5.16. Monitorizarea și controlul conturilor

Atacatorii descoperă frecvent și exploatează conturi de utilizatori legitimi, dar inactivi,
pentru a se infiltra ca utilizatorii legitimi, ceea ce face ca descoperirea atacatorilor să fie dificilă
pentru observatorii din rețea. Conturile clien ților care au fost reziliate și conturile create anterior
pentru testarea re țelei au fost adesea folosite în mod abuziv în acest fel. De asemenea, foști angajați
rău-intenționați au accesat conturi rămase într -un sistem mult timp după expirarea contractului ,
păstrând accesul la sistemul de calcul al unei organizații și date sensibile pentru scopuri neautorizate
și uneori rău intenționate.

5.17. Evaluarea competențelor de securitate și instruirea
personal ului

Este tentant să ne gândim la apărarea cibernetică în primul rând ca o provocare tehnică, dar
acțiunile oamenilor joacă, de asemenea, un rol esențial în succesul sau eșecul unei organiza ții.
Angajații îndeplinesc funcții importante în fiecare etapă a proiectării, implementării, funcționării,
utilizării și supravegherii sistemului. Exemplele includ: dezvoltatori de sisteme și programatori (care
nu conștientizează gravitatea unei vulnerabilități); Profesioniști în domeniul operațiunilor IT (care
pot să nu recunoască implicațiile de securitate ale jurnalelor IT); Utilizatorii finali (care pot fi
susceptibili de scheme de inginerie socială , cum ar fi phishing -ul); Analiști de securitate (care

31
încearcă să țină pasul cu o explozie de informații noi); Și dire ctori și proprietari de sisteme (care
încearcă să facă economie minimiz ând rolul securității informatice) .
Atacatorii sunt foarte conștienți de aceste aspecte și le folosesc pentru a -și planifica atacurile, de
exemplu: realizarea cu atenție a unor mesaje de tip phishing care arată ca un trafic obișnuit pentru un
utilizator neatent; Exploatarea lacunelor din politica de securitate ex ploatând intervalul de timp al
patch -urilor sau al revizuirii jurnalului;
Nici o abordare de apărare cibernetică exclude efic ient riscul, fără a dispune de mijloace pentru
remedierea vulnerabilități. În schimb, instruirea periodică a angajaților poate spori considerabil
securitatea organizației.
5.18. Securitatea software pentru aplicații

Atacurile utilizează adesea vulnerabilităților constatate în software -ul bazat pe web și alte
aplicații. Vulnerabilitățile pot fi prezente din mai multe motive, printre care erorile de codare, erorile
logice, cerințele incomplete și incapacitatea de a testa condițiile neobișnuite sau neașteptate.
Exemple de erori specifice includ: eșecul de a verifica dimensiunea de intrare de utilizator; Eșecul
de filtrare a secvențelor de caractere inutile, dar potențial dăunătoare din fluxurile de intrare; Eșecul
de a inițializa și de a clarifica v ariabilele. Se pot afla fără efort informații publice și private despre
astfel de vulnerabilități disponibile atacatorilor și apărătorilor, precum și o piață solidă pentru
instrumente și tehnici care să permită eliminarea vulnerabilităților în exploatare. Atacatorii pot
injecta exploatări specifice, inclusiv depășiri de tampon, atacuri de injecție SQL(Structured Query
Language), r ăufăcătorul potențial poate schimba cererea la baza de date, as tfel fiind posibil furtul
datelor private. Într -un atac, mai mult de 1 milion de servere web au fost exploatate și transformate
în motoare de infecție pentru vizitatorii acelor site -uri folosind injecție SQL. În timpul acestui atac,
site-urile de încredere au fost compromise de atacatori și au fost folosite pentru a infe cta sute de mii
de browsere care au accesat site -urile respective. Multe vulnerabilități ale aplicațiilor web și non –
web sunt descoperite în mod regulat.

5.19. Răspunsul la incidente

Incidentele cibernetice sunt acum doar o parte a modului nostru de viață. Ch iar și
organizațiile mari, bine finanțate și sofisticate din punct de vedere tehnic se străduiesc să țină pasul
cu frecvența și complexitatea atacurilor. Problema unui atac cibernetic împotriva unei organizații nu
este "dacă" se va produce ci "când".

32
Când se produce un incident de securitate este esențial să se demareze proceduri de
raportare, colectarea datelor, responsabilitatea managementului, protocoalele juridice și strategia de
răspuns care vor permite organizației să înțeleagă, să gestioneze și să -și revină dupa atac. Fără un
plan de răspuns la incident, o organizație nu poate descoperi un atac în primul rând sau, în cazul în
care atacul este detectat, organizația nu poate să urmeze proceduri bune pentru a contabiliza daunele,
eradica prezenței atac atorului și pentru a se restabili într -un mod activitatea. Astfel, atacul poate
avea un impact mult mai mare, provocând mai multe daune, infectând mai multe sisteme și, eventual
să extragă date mai sensibile decât ar fi fost posibil în cazul în care ar fi fost un plan eficient de
reacție la incidente.

5.20. Teste de penetrare

Testarea de penetrare începe de la identificarea și evaluarea vulnerabilităților care pot fi
identificate în organizație. Prin conceperea și executarea de teste care demonstrează în mod specific
modul în care un atacator poate să submineze obiectivele de securitate (de exemplu, stabilirea unei
infrastructuri ascunse de comandă și control). Rezultatul oferă o perspectivă concretă, prin
demonstrație, asupra diferitelor vulnerabilități.
Atacatorii exploatează deseori decalajul dintre modelele bune de apărare și intențiile și
implementarea sau întreținerea. Exemplele includ: fereastra de timp dintre anunțarea unei
vulnerabilități, disponibilitatea unui patch furnizat și instalarea reală pe f iecare mașină; Politici bine
intenționate care nu dispun de mecanisme de aplicare (în special cele menite să limiteze acțiunile de
natură umană riscante); Eșecul de a aplica configurații bune și alte practici pentru întreaga
organizației sau pentru mașinil e care intră în și în afara rețelei; Și neînțelegerea interacțiunii dintre
mai multe instrumente defensive sau cu operații normale ale sistemului care au implicații de
securitate.
În plus, apărarea cu succes necesită un program amplu de apărare tehnică, o bună politică
de securitate și o gestionare corespunzătoare a resursei umane. Într -un mediu complex, în care
tehnologia evoluează în mod constant, iar atacatori apar regulat, organizațiile ar trebui să -și testeze
periodic apărările pentru a identifica lac unele și pentru a -și evalua disponibilitatea de răspuns.

33

6. STUDIU DE CAZ

În contextul digitalizării vieții cotidiene și în plină a scensiune a rețelelor sociale precum
Facebook și Twitter, mediul online a căpătat o importanță deosebită atât pentru in formarea cât și
pentru influențarea opiniei publice. Riscul dezvăluirii unor informații, fotografii, păreri sau idei ale
unei persoane publice poate avea urmări neașteptate .Nu neapărat informația în sine are un rol
hotărâtor cât abilitatea de a o folosi.
Alegerile prezidențiale din anul 2016 din Statele Unite ale Americii au arătat lumii o noua
fața a atacurilor cibernetice. Deși aparent ținte atacului a fost directorul de campanie al partidului
democrat în realitate a fost vizată întreaga administrație p olitică și însăși democrația americană.
Pentru realizarea unui astfel de atac țintit este nevoie de o planificare laborioasă, de resurse
însemnate și de o echipă de informaticieni pricepuți. În aceste condiții specialiștii in domeniu sunt
unanim de acord că atacul a fost unul concertat și dirijat de o entitate ce dispune de resurse
semnificative și urmărește un scop bine definit.
Înainte de desfășurarea convenției Partidului Democrat pe 22.07.2016 site -ul WikiLeacks a
dat publicit ății in jur de 20000 de ma il-uri private care aparțineau unui număr de șapte responsabili
ai partidului. Mail -urile sensibile arătau disprețul și neâncrederea față de Bernie Sanders
(contracandidat al lui Hillary Clinton în alegerile din cadrul Partidului Democrat pentru desemnarea
candidatului pentru fun cția de președinte al Statelor Unite ale Americii).
Fondatorul site -ului WikiLeacks Julian Assange susține că atacurile cibernetice la adresa
Partidului Democrat și ale lui Hillary Clinton pot aparține și unui copil de paisprezece ani. James
Clapper director al NSA (Agenția pentru Siguranță Națională) i -a sugerat președintelui Donald
Trump că dându -i crezare lui Assange comite o eroare.
În urma dezvăluirilor apărute in mediul onnline și a influențelor acestora asupra procesului
electoral, James Comey (director al FBI la acea dată) a dispus deschiderea unei anchete privind
ingerințele unei entități străine în alegerile prezidențiale din SUA.
Potrivit anchetei FBI responsabili cu atacurile cibernetice din perioada alegerilor sunt
hackerii Fancy Bear care sunt suspectați de legături strânse cu serviciile de informații ale Rusiei
(GRU).
Anchetele independente întreprinse de către Serviciul Național de Informații al Statelor
Unite, CIA și FBI au relevat faptul că originea atacul cibernet ic, la care a fost supus Partidul
Democrat,este din Rusia. Președintele rus Vladimir Putin nu a negat existen ța atacului sau locul de
unde a fost declanșat însă a respins orice acuzație de implicare a administrației de la Moscova.

34
Prejudiciul de imagine ad us Statelor Unite și serviciilor de informații americane nu poate fi
estimat cu precizie și la fel de gravă este incertitudinea că rezultatul alegerilor ar fi fost același fără
ingerințele străine.
Siguranța cibernetică ar trebui să ne preocupe la fel de m ult ca și siguranța fizică. Trăim
vremuri în care nu ne mai caracterizează doar numele, înălțimea, greutatea,CNP -ul sau imaginea ci
și adresa de mail, IP -adress, profilul dintr -o rețea de socializare, PIN -urile și parolele. Răufăcătorii
timpurilor noastre nu mai au nevoie de arme albe și de cagule , pentru ași atinge o biectivul le sunt
suficiente „o tastatură ” și ignoranța noastră . Oricine poate s ă cadă victim ă și este absolut necesar să
cunoaștem riscurile la care suntem sup uși, să respectăm un minim de măsuri de securitate și să fim
pregătiți în permanență pregătiți pentru că „primejdia nu dă de veste”.

35

Bibliografie:

[1] legea 182/2002
[2] H.G.353/2002
[3] H.G.585/2002
[4] SR EN/ISO CEI 27001:2005, Tehnologia informației – Tehnici de securitate -sisteme de
management al securității informației.
[5] SR EN/ISO CEI 27002:2007, Tehnologia informației – Tehnici de securitate – Cod de buna
practica pentru managementul securității informației
[6] www.orniss.ro
[7] www.securitatea -informatiilor.ro/standarde -de-securitate
[8] www.intelligence. sri.ro/standardizarea -si-evaluarea -masurilor -de-protectie -surselor –
generatoare -de-informatii
[9] www.sri.ro/protectia -informatiilor -clasificate/ghid practic
[10] www.certlab.ro/audit/audit -iso-iec-27001.php
[11] www.certlab.ro/consultanta/consultanta -iso-iec-27035.php
[12] www.certlab.ro/audi t/audit -iso-iec-27000.php
[13] www.certlab.ro/audit/audit -iso-iec-27013.php
[14] https://ionmuntean.com/2009/09/15/familia -de-standarde -isoiec -27000/