1. INTRODUCERE ………………………….. ………………………….. ………………………….. …………………….. 8 1.1…. [621406]

1

LUCRARE DE DISERTAȚIE

Coordonator Științific
Lect. Univ. Dr.
Alina -Claudia PETRESCU -NIȚA

Absolvent: [anonimizat]
2017

2

3
UNIVERSITATEA “POLITEHNICĂ” BUCUREȘTI
FACULTATEA DE ȘTIINȚE APLICATE

REGLEMETĂRI INFOSEC DIN
PERSPECTIVA AUTORITĂȚII
NAȚIONALE DE SECURITATE

Coordonator Științific
Lect. Univ. Dr.
Alina -Claudia PETRESCU -NIȚA

Absolvent: [anonimizat]
2017

4

5
Cuprins

1. INTRODUCERE ………………………….. ………………………….. ………………………….. …………………….. 8
1.1. Motivația alegerii temei ………………………….. ………………………….. ………………………….. ……… 8
1.2. Gradul de noutate a temei ………………………….. ………………………….. ………………………….. …… 9
1.3. Obiectivele generale ale lucrării ………………………….. ………………………….. ………………………. 9
1.4. Metodologia folosită ………………………….. ………………………….. ………………………….. ………….. 9
1.5. Structura lucrării ………………………….. ………………………….. ………………………….. ……………….. 9
2. CADRU LEGISLATIV ………………………….. ………………………….. ………………………….. ………….. 10
2.1. STA BILIREA INSTITUȚIILOR CU ATRIBUȚIUNI ÎN DOMENIUL INFOSEC ……… 11
2.2. CLASELE DE SECURITATE ………………………….. ………………………….. ………………………. 11
2.3. ELEMENTE CONSTITUTIVE ALE SECRETELOR DE STAT ………………………….. …… 12
3. PROTECTIA INFORMAȚIILOR CLASIFICATE ………………………….. ………………………….. …. 14
3.1. Protecția juridică ………………………….. ………………………….. ………………………….. ……………… 14
3.2. Protecția personalului ………………………….. ………………………….. ………………………….. ………. 14
3.3. Protecția fizică ………………………….. ………………………….. ………………………….. ………………… 14
3.4. Protecția TEMPEST ………………………….. ………………………….. ………………………….. ………… 15
3.5. Protecția comunicațiilor COMSEC ………………………….. ………………………….. ………………… 15
4. STANDARDE DE SECURITATE ………………………….. ………………………….. ……………………….. 16
4.1. Audit ISO/IEC 27001 (ISMS) ………………………….. ………………………….. ……………………….. 16
4.2. ISO/IEC 27000 ………………………….. ………………………….. ………………………….. ……………….. 16
4.3. ISO/IEC 27002 – Cod de practică pentru managementul securității informației .. 17
4.4. ISO/IEC 27003 – Ghid de implementare a sistemului de management a securității
informației ………………………….. ………………………….. ………………………….. ………………………….. …… 18
4.5. ISO/IEC 27004 – Managementul securității informației – Evaluări ………………………….. … 18
4.6. ISO/IEC 27005 – Managementul riscului securității informației ………………………….. …….. 19
4.7. ISO/IEC 27006 – Cerințe pentru organizațiile ce efectuează audit și certificare a sistemelor
de management a securității informației ………………………….. ………………………….. …………………… 19
4.8. ISO/IEC 27011 – Ghidul managementului securității informației pentru organizațiile
din domeniul telecomunicațiilo r bazat pt standardul ISO/IEC 27002 ………………………….. ……….. 20
4.9. Audit ISO/IEC 27013 – IT Security & Service Management ………………………….. ………….. 20
4.10. Audit ISO/IEC 20000 (IT Service Management) ………………………….. ………………………. 21
4.11. Audit ISO/IEC 27035 (Incident Management) ………………………….. ………………………….. 22
5. Recomandari ale comunitații internationale SANS ………………………….. ………………………….. …. 23
5.1. Inventarierea dispozitivelor autorizate și neautorizate ………………………….. …………………… 23
5.2. Inventarierea software -ului autorizat și neautorizat ………………………….. ………………………. 23
5.3. Configurații securizate pentru hardware și software pe dispozitive mobile, laptopuri, stații
de lucru și servere ………………………….. ………………………….. ………………………….. ……………………… 24
5.4. Evaluarea continuă a vulnerabilității și remedierea acesteia ………………………….. …………… 24
5.5. Utilizarea controlată a privilegiilor administrative ………………………….. ………………………… 25
5.6. Întreținerea, monitorizarea și an aliza jurnalelor de audit ………………………….. ……………….. 25
5.7. Protecția emailului și a browserului web ………………………….. ………………………….. …………. 26
5.8. Apărări malware ………………………….. ………………………….. ………………………….. ……………… 26
5.9. Limitarea și controlul porturilor de rețea, protocoalelor și serviciilor ………………………….. . 26
5.10. Capacitatea de recuperare a datelor ………………………….. ………………………….. ……………… 27

6
5.11. Configurații securizate pent ru dispozitive de rețea ( cum ar fi firewall -uri, router -uri și
switch -uri) ………………………….. ………………………….. ………………………….. ………………………….. …… 27
5.12. Protecția frontalieră ………………………….. ………………………….. ………………………….. ………. 28
5.13. Protejarea datelor ………………………….. ………………………….. ………………………….. …………. 28
5.14. Acces controlat bazat pe nevoia de a ști ………………………….. ………………………….. ………. 29
5.15. Control acces wireless ………………………….. ………………………….. ………………………….. …… 30
5.16. Monitorizarea și controlul conturilor ………………………….. ………………………….. …………… 30
5.17. Evaluarea competențelor de securitate și instruirea personalului ………………………….. …. 30
5.18. Securitatea software pentru aplicații ………………………….. ………………………….. ……………. 31
5.19. Răspunsul la incidente ………………………….. ………………………….. ………………………….. ….. 31
5.20. Teste de penetrare ………………………….. ………………………….. ………………………….. ………… 32
6. STUDIU DE CAZ ………………………….. ………………………….. ………………………….. ………………….. 33
Bibliografie: ………………………….. ………………………….. ………………………….. ………………………….. …….. 35

7

8
1. INTRODUCERE

În contextul tehnologic actual, se discută din ce în ce mai des de protecția datelor atât la nivel
personal cât și la nivel de instituții sau firme private. Cu cât facilitățile tehnologice evoluează, cu
atât mai mult se vorbește și despre securitatea datelor deținute. Măsurile de securitate necesare cresc
odată cu nivelul de sensibilitate al datel or protejate , iar la nivelul datelor clasificate sunt imperios
necesare și stabilite prin legislație .

1.1. Motivația alegerii temei
Toate activitățile umane, indiferent de domeniu, privat sau public, productiv sau social, au
devenit sau tind să devină total d ependente de tehnologia informației în toate procesele de inițiere,
înregistrare, vehiculare și stocare a informațiilor și cunoștințelor. Extinderea continuă a noilor
tehnologii informaționale în cadrul marilor organizații conduce la infrastructuri inform atice și de
comunicații din ce în ce mai complexe și neomogene, ca rezultat al „contaminării” de
neoprit a unui spectru tot mai larg al activităților. Tehnologiile avansate pentru rețele util izate
în scopul susținerii afacerilor nu mai este doar monopolul companiilor. Internetul este răspândit
pretutindeni, asigurând infrastructură și interfață pentru comunicarea mulți -la-mai-mulți, fie
între cetățeni și/sau firme, fie cu reprezentanți ai statului eServiciile su nt de o mare varietate,
atât în ceea ce privește serviciul oferit cât și în ceea ce privește modalitatea de implementare în
fiecare țară. Aspectele prezentate conduc la ideea de securitate a datelor deținute și, implicit a unor
măsuri care se impun în vede rea prevenirii și contracarării unor tentative de exploatare a posibilelor
vulnerabilități existente la nivelul sistemelor/device -urilor utilizate în exploatarea datelor.
O valență deosebită privind informațiile gestionate se conturează în situați ile în ca re sunt
deținute, accesate, vehiculate și procesate :
 date sensibile (de interes personal sau corporatist/guvernamental etc.)
 date cu caracter personal
 informații clasificate naționale / informații clasificate care fac obiectul
activităților contractuale
 informații clasificate NATO/UE
Pentru protecția acestora pot fi implementate măsuri de securitate oferite de soluții hardware
și software în pachetele de instalare a sistemelor prin care sunt exploatate aceste informații, însă
pentru asigurarea unei protecții eficiente și garantarea unu i nivel de securitate adecvat pentru tipul
de informații s -au creat mecanisme legislative pentru implementarea măsurilor de securitate
adecvate/eficiente.
În acest sens, pe parcursul lucrării sunt prezentate legi, hotărâri de guvern, standarde de
securitat e naționale și externe vizând o gamă largă de tipuri de date și informații în format
electronic, precum și un studiu de caz care vizează domeniul securității informațiilor în format
electronic (INFOSEC).
De asemenea, așa cum relevă și titlul: REGLEMETĂRI INFOSEC DIN PERSPECTIVA
AUTORITĂȚII NAȚIONALE DE SECURITATE , pe lângă aspecte generale de reglementare sunt
prezentate și noțiuni referitoare la autoritățile în domeniul INFOSEC, precum și legislația în vigoare
aplicabilă de aceste autorități în vederea ex ercitării controlului și atestării de securitate a sistemelor
informatice și de comunicații deținute (acreditare sisteme, certificare aplicații, autorizații de acces).

9
1.2. Gradul de noutate a temei

Tema securității sistemelor informatice și de comunicații sau de protecție a informațiilor
vehiculate prin sistemele informatice și de comunicații este un domeniu relativ nou raportat la
vechimea domeniului informaticii, însă elementul de noutate al lucrării îl conferă posibilitatea unei
analize asupra regulilor de implementare a unor măsuri de securitate impuse de anumite autorități
raportat la necesitatea preluării aspectelor și pentru securitatea sistemelor prin care nu sunt
vehiculate informații clasificate ci doar sensibile (studiul de caz).
1.3. Obiectivele generale ale lucrării
 prin analiza și prelucrarea materialului de către persoane care au atribuții privind
asigurarea securității sistemelor informatice și de comunicații și a protecției
datelor vehiculate prin acestea , pot implementa măsuri impuse de legislația în
domeniul protecției informațiilor clasificate.
 să pună la dispoziția personalului specializat un curs de specialitate concis,
documentat tehnic/științific;
 posibilitatea de a integra materialul ca parte a unor bune practici interne la nivelu l
marilor organizații .
1.4. Metodologia folosită

Metodologia și tehnicile utilizate sunt cele specifice analizei și documentării, iar instrumente,
echipamentele cercetării sunt materiale documentare cu privire la utilizarea celor specifice asigurării
securită ții datelor și a legislației aferente.

1.5. Structura lucrării

Lucrarea cuprinde 6 capitole în care sunt prezentate aspecte specifice fiecărui titlu, pentru
conturarea unui conținut consistent și documentat, astfel:

1. INTRODUCERE care prezintă aspecte privind descrierea lucrării și argumente pentr u
elaborarea acesteia cu subcapitole precum : m otivația alegerii temei ,gradul de noutate a
temei ; obiectivele generale ale lucrării ; metodologia folosită ; structura lucrării
2. CADRU LEGISLATIV în care sunt prezentate instituțiile cu atribuții în domeniul
INFOSEC , clasele de securitate, noțiuni despre informațiile secrete de stat
3. PROTECTIA INFORMAȚIILOR CLASIFICATE prezentate pe subdomeniile de protecție
juridică , a personalului , fizică , TEMPEST și COMSEC
4. STANDARDE DE SECURITATE – ISO/IEC
5. Recomand ări ale comunit ății interna ționale SANS referitoare la: i nventarierea dispozitivelor
autorizate și neautorizate , inventarierea software -ului autorizat și neautorizat , configurații
securizat e pentru hardware și software pe dispozitive mobile, laptopuri, stații de lucru și servere
, evaluarea continuă a vulnerabilității și remedierea acesteia , utilizarea controlată a
privilegiilor administrative , întreținerea, monitorizarea și analiza jurnalel or de audit , protecția

10
emailului și a browserului we b, apărări malware , limitarea și controlul porturilor de rețea,
protocoalelor și serviciilo r, capacitatea de recuperare a datelo r, configurații securizate pentru
dispozitive de rețea , protecția frontalier e, m onitorizarea și controlul conturilo r, evaluarea
competențelor de securitate și instruirea personalului , securitatea software pentru aplicați i,
răspunsul la incidente , teste de penetrare.
6. STUDIU DE CAZ este fundamentat pe impactul negativ pe care îl poa te avea orice eroare
umană asupra securitătii cibernetice a unei organizații în cazul nerespectării normelor
elementare de securitate

2. CADRU LEGISLATIV

Conform H.G.nr.585 din 13.06.2002 pentru aprobarea s tandardelor naționale de protecț ie a
informațiilor clasificate in Romania , INFOSEC reprezintă “ansamblul măsurilor și structurilor de
protecție a informațiilor clasificate care sunt prelucr ate, stocate sau transmise prin intermediul
sistemelor informatice de comunicații și al altor sisteme electronice, împotriva amenințărilor și a
oricăror acțiuni care pot aduce atingere confidențialității, integrității, disponibilității autenticității și
nerepudierii informațiilor clasificate precum și afectarea funcționării sistemelor informatice,
indiferent dacă acestea apar accidental sau intenționat. Măsurile INFOSEC acoperă securitatea
calculatoarelor, a transmisiilor, a emisiilor, securitatea criptogra fică, precum și depistarea și
prevenirea amenințărilor la care sunt expuse informațiile și sistemele”
Oficiul Registrului Național al Informațiilor Secrete de Stat este instituția care aplică la nivel
național implementarea măsurilor de securitate a infor mațiilor naționale clasificate. ORNISS este și
structura națională de leg ătură cu organismele de securitate NATO si UE. Pentru ca Româ nia să
poată adera la structurile Uniunii Europene și la NATO a fost nevoie și de o armonizare a legislației
naționale cu cea a structurilor la care doream să aderam. Încă din anul 1991 guvernele Statelor
Unite ,Canadei si cu sprijinul Uniunii Europene au elaborat criteriile comune pentru definirea
standardelor de securitate in domeniul informațiilor si reț elelor. Consiliul E uropei stabilește
standar dul internațional ISO – 15408 ( prin rezoluția adop tată in 28.01.2002) care define ște cerințele
de securitate minime necesare pentru calculatoarele si rețelele care gestionează informații
clasificate.
În conformitate cu acordul de securitate semnat cu NATO prin care România s -a angajat să
protejeze și să apere materialele și informațiile clasificate ale Alianței Nord -Atlantice ,este adoptă
hotărârea de guvern 535 din 15.04.2002 în care sunt stipulate normele de protecție a informații lor
clasificate ale NATO. Documentele clasificate NATO privesc informații de natură m ilitară ,politică
și economică .

11
2.1. STABILIREA INSTITUȚIILOR CU ATRIBUȚIUNI ÎN
DOMENIUL INFOSEC

Pe lângă Oficiul Registrului Național al Infor mațiilor Secrete de Stat , atribuțiuni privind
protecția informațiilor c lasificate mai au competențe și :
 Serviciul Roman de Informații
 Serviciul de Informații Externe
 M.A. N. – Direcția Generală de Informații a Apărării
 Serviciul de Telecomunicații Speciale
 Ministerul Afacerilor In terne
 Serviciul de Pază si Protecție
Prin aprobare in parlament a legii privind protejarea informațiilor clasificate avem definite
informațiile clasificate ,clasele de secretizare, informațiile secrete de stat si certificatele de securitate .
In legea 182/2002 ne mai sunt precizate obligațiile, răspunderile dar si san cțiunile ce decurg din
nerespectarea prezentului act normativ. H.G. 585/2002 prezintă normele de alicare ale legii
182/2002 și stabilește standardele de protecție a i nformațiilor clasificate . Standardele n aționale de
protecție a informațiilor clasificate se referă la :
 Clasificarea ș i declasificarea informațiilor
 Reguli privind întocmirea, evidența , păstrarea , procesarea, multiplicarea, transportul,
transmiterea și distrugerea info rmațiilor clasificate
 Protecția informațiilor secrete de stat
 Condițiile de cartografiere , filmare sau fotografiere in obiectivele care gestioneaza informații
secrete de stat.
 Protecția surselor generatoare de informații
 Securitatea industrială
 Contravenț ii si sancțiuni

2.2. CLASELE DE SECURITATE

Accesul la informații clasificate este acordat , la cererea angajatorului, de către ORNISS in
urma verificărilor minuțioase efectu ate de cătrae organismul de securitate .Dobândirea unui
certificat de securitate nu atrage dupa sin e și accesul total la toate informațiile ce intră sub incidența
certificatului dobândit .Conform principiului “nevoia de a cunoa ște “ orice deținător de certificat de

12
securitate are obligația să consulte numai acele documente care îi s unt necesare indeplinirii
atribuțiunilor de serviciu.
Secretul de serviciu este repreze ntat de acele informații care divulgate sunt de natură să
aducă prejudicii în intere sul unei instituții . Șefii persoanelor juridice sunt abilitați să stabilească
informațiile care pot constitui secret de serviciu și regulile de protecție a acestora. Este interzis prin
lege sa se clasifice ca secret de serviciu informații de interes public , de natură să favorizeze
încălcarea legii sau obstrucționarea justiției.
Secrete de stat sunt materiale și informațiile care prin divulgarea lor pot aduce prejudicii
siguranței naționale sau sistemului național de apărare. În funcție de importanța lor sau sta bilit
nivelurile de secretizare.

2.3. ELEMENTE CONSTITUTIVE ALE SECRETELOR DE
STAT

1. “strict secret de importantță deosebită” – informațiile a căror divulgare neautorizată este de
natură să producă pagube de o gravitate excepțională siguranței naționale.
2. “ strict secret ” – informațiile a căror divulgare neautorizată riscă să producă daune grave
securităii naționale.
3. “secret” -informațiile și datele care divulgate pot produce daune securitații naționale.
Informațiile care pot face parte din categoria secretelor de stat sunt potrivit legii:
a. Elementele de bază ale sistemului de apăra re,caracteristicile armamentului din
dotarea fortelor armate,tehnologii de fabricație ,tehnici si tactici de lupta.
b. Dispozitivele militare,planurile misiunilor și efectivele angajate în desfașurarea
misiunilor.
c. Retelele speciale de comunicații și de calcula toare cu mecanismele de securitate ale
acestora,planurile de apărare și protecție a obiectivelor de interes național.
d. Activitațile specifice desfăsurate de autoritațile stabilite prin lege sa apere siguranța și
integritatea națională.
e. Hărțile ,termogramele si planurile topografice în care sunt prezentate obiective
clasificate secret de stat.
f. Echipamentele de lucru metodele ,mijloacele ,tehnica și sursele de informatii specifice
care sunt folosite de autoritațile publice ce -și desfasoară activitatea în domen iul
informațiilor.

13
g. Studiile si prospecțiunile geologice de evaluare a rezervelor naționale de metale
prețioase ,minereuri rare sau radioactive ,precum și rezervele materiale ale
Administrației Naționale a Rezervelor de Stat.
h. Planurile și sistemele de aliment are cu apa ,energie electrica și termică necesare bunei
funcținări a obiectivelor strategice clasificate secrete de stat.
i. Cercetările din domeniul tehnologiilor nucleare , securitatea și protecția materialelor
și instalaților nucleare .
j. Tipărirea și imprimar ea înscrisurilor de valoare de natura titlurilor de
stat,obligațiunilor de stat și bonurilor de tezaur,emiterea de bancnote și batere a
monedelor metalice precum si elementele de siguranță nedestinate publicității.

14
3. PROTECTIA INFORMAȚIILOR CLASIFICATE

3.1. Protecția juridică

Protecția juridică reprezintă totalitatea legilor,dispozițiilor și normelor
constituționale ce reglementează aspecte privind accesul și clasificarea informațiilor
clasificate. Șefii instituțiilor care dețin si gestionează informații clasificate au
abligația ca împreună cu structura de securitate să asigure condițiile necesare ca
angajații să cunoască reglementările în vigoare și riscurile nerespectării acestora .

3.2. Protecț ia personalului

Protecția personalului se realizează printr -un ansamblu de măsuri de verificare a
angajaților în vederea obținerii certificatului de securitate ,a prevenirii incidentelor de
securitate și identificării surselor de risc. Semnarea acordurilor de confidențialitate și
includerea res ponsabilit ăților privitoare la securitatea datelor în fișa postului sunt
măsuri incluse în standardul de securitate IAO/IEC17799.

3.3. Protecția fizică

Protecția fizică presupune măsurile de control -acces ,dispozitivul de pază și
securitate ,controlul fizic și prin mijloace tehnice în spațiile unde sunt gestionate si
stocate informații cu caracter clasificat. Rolurile principale urmărite de securitatea
fizica îl constituie prevenirea pătrunderii neautorizate în spațiile protejate și accesul
celor autorizați î n baza certificatului de securitate, cu respectarea principiu lui “nevoia
de a cunoaș te “

15
3.4. Protecția TEMPEST

Protecția TEMPEST reprezintă totalitatea măsurilor de limitare a emisiilor de
radiații electroma gnetice sau electrice parazite în urma funcționăr ii echipamentelor
electronice. Un risc important în scurgerea de informații il prezintă folosirea cablurilor
de date sau cablurilor telefonice neecranate.

3.5. Protecția comunicațiilor COMSEC

Protecția COMSEC î nsumează toate măsurile de securitate în telecomu nicații,cu
scopul de a proteja mesajele transmise printr -un sis tem de telecomunicații, evitându -se
astfel riscul de a fi interceptate și analizate și prin reconstituire să compromită integritatea
informațiilor clasificate .

16
4. STANDARDE DE SECURITATE

4.1. Audit ISO/IEC 27001 (ISMS)

Familia ISO/IEC 27000 (generic denumită “ISO27k”) include standardele de securitate
concepute și asumate în comun de către Organizația Internațională pentru Standardizare (ISO) și
Comisia Electrotehnică Internațio nală (IEC). Seria oferă recomandări referitoare la cele mai
bune practici de gestionare a informațiilor de securitate și de control a riscurilor din prisma unui
sistem de management al securităț ii informa ției (ISMS).
Seria are un spectr u larg de a plicare, care acoperă mai mult decât confidenț ialitatea si
problemele tehnice și de securitate IT.
Aplicabilitatea este generală pentru toate organizațiile indiferent de forme și dimensiuni.
Toate organizațiile sunt încurajate să își evalueze atent riscurile de securitate a informațiilor, și să
pună în aplicare măsurile adecvate de control și de securitate în funcție de nevoile propri,
uzitând de orientare și sugestii dacă este cazul. Luând în calcul natura dinamică a informațiilor de
secur itate, ISMS încorportază un concept continuu de fetdback permanent și de îmbunătățire
a activităților conform ciclului Deming PDCA (plan -do-chtck -act) de abordare continuă.
Standardele sunt produsul activității comitetului ISO / IEC JTC 1, subcomitetului
SC27, o comisie internațională care se întrunește de două ori pe an.
În prezent, din seria de standarde dedicate securității informației ISO 27k, pe lângă ISO/IEC
27001 – ”Specificații ale sistemelor de management a securității informaț iei” mai fac parte:

4.2. ISO/IEC 27000

Acest standard conferă o imagine de ansamblu a sistemelor de management a securității
informației ce fac parte din familia de standarde ISMS (Sisteme de Management a Securității
Informației) și definește termenii din do meniu.
Un sistem de management a securității informației (ISMS) reprezintă o abordare sistematică
a managementului informației astfel încât aceasta să îndeplinească toate cele trei aspecte ale
securității: confidențialitatea, disponibilitatea și integri tatea. Sistemul de management a securității
informațiti include atât echipamentele hardware și programele software cât și întreg personalul unei
organizații ce are acces la acest sistem informațional.
În urma implementării standardului ISO/IEC 27000, t oate tipurile de organizații (de
exemplu societățile comerciale, agențiile guvernamentale sau organizațiile non -profit) pot obtine:

17
 imagine de ansamblu asupra familiei ISMS de standarde;
 introducere în sistemele de management a securității informați ti (ISMS);
 scurtă descriere a procesului PDCA – Plan-Do-Check -Act (Planifică –
Implementează -Verifică -Actionează);
 Însușirea termenilor utilizați și înțelegerea definițiilor în întreaga familie ISMS de standarde.
Acest standard defineș te cerințele pentru sistemele de management a securității informației și
pentru cele care certifică aceste sisteme;
 oferă suport, îndrumare detaliată și interpretare a cerințelor și proceselor PDCA;
 asigură îndrumări pentru secțiunile specific e din familia ISMS de standarde;
 oferă evaluări pentru familia ISMS.

4.3. ISO/IEC 27002 – Cod de practică pentru
managementul securității informației

Standardul ISO/IEC 27002 derivă din fostul ISO/IEC 17799 căruia i s -a schimbat numele
pentru a face parte din seria ISO 27000 și este dedicat securității informației. Impune principiile
generale pentru inițierea, implementarea, dar și menținerea și îmbunătățirea managementului
securității informației într -o organizație.
Obiectivul său e ste să ofere indicații generale privind obiectivele universal acceptate în
managementul securității informațiilor. Standardul ISO/IEC 27002 conține cele mai bune practici de
control în următoarele domenii de mana gement al securității informați i:
 politica de securitate;
 organizarea securității informației;
 managementul activelor;
 securitatea resurselor umane;
 securitatea fizică și a mediului înconjurător;
 managementul comunicațiilor și al operațiilor;
 controlul accesului;
 achiziționarea sistemelor informați onale, dezvoltarea și mentenanța lor;
 managementul incidentelor de securitate a informațiilor;
 managementul continuității afacerii.
Obiectivele de control în standardul ISO/IEC 27002 sunt destinate să fie puse în
aplicare pentru a îndeplini cer ințele identificate printr -o evaluare a riscului.

18
Standardul este conceput ca un ghid practic pentru dezvoltarea standardelor de
securitate organizațională și practicile efective de management a securității și pentru a ajuta la
construirea încre derii în activități interorganizaționale.

4.4. ISO/IEC 27003 – Ghid de implementare a sistemului
de management a securității informației

Standardul ISO/IEC 27003 se concentrează pe aspectele critice necesare pentru proiectarea și
implemtentarea cu succes a unui sistem de management a securității informațiilor (ISMS), în
conformitate cu ISO / IEC 27001.
Acesta descrie procesul de design și specificații pentru un sistem de management a securității
informațiilor de la inițitre și până la realizarea planurilor de implementare.
Standardul ISO/IEC 27003 descrie procesul de obținere a aprobării de implementare a unui
ISMS, definește proiectul de implementare și oferă îndrumări cu privire la modul de concepe re a
unui proiect ISMS.
Standardul ISO/IEC 27003 este destinat a fi utilizat împreună cu standardele ISO/IEC
27001 și ISO/IEC 27002, fără a modifica sau elimina nici o prevedere stipulată de cele doua
standarde. Acest standard oferă concepte legate de pla nificarea și proiectarea unui sistem de
management a securității informației, rezultând într -un final un plan riguros de implementare a unui
proiect ISMS.

4.5. ISO/IEC 27004 – Managementul securității informației –
Evaluări

Standardul ISO/IEC 27004 oferă înd rumări cu privire la dezvoltarea și utilizarea unor matrici
și măsuratori în scopul de a evalua eficacitatea unui sistem de management a securității informației
(ISMS) implementat. Acest standard oferă îndrumări în privința unor controale sau grupuri de
controale așa cum se specifică în standardul ISO/IEC 27001. Standardul ISO/IEC 27004 se aplică
tuturor tipurilor de organizații.

19
4.6. ISO/IEC 27005 – Managementul riscului securității
informației

Standardul ISO/IEC 27005 stabilește ghidul pentru managementul riscului utilizat în
securitatea informației. Susține conceptele generale specificate în ISO/IEC 27001 și este
conceput pentru a asista la punerea cu succes în aplicare a securității informațiilor bazate pe o
abordare de management a riscului.
Cunoașterea de concepte, modele, procese și terminologia descrisă în ISO/IEC 27001 si
ISO/IEC 27002 este importantă pentru o înțelegere completă a ISO/IEC 27005. Cadrul
prezentat în ISO/IEC 27005 a fost revizuit și actualizat pentru a ține c ont de conținutul
documentelor de management al riscului:
 ISO 31000:2009, Managementul riscului – Principii și linii directoare
 ISO/CEI 31010:2009, Managementul riscului – Tehnici de evaluart a riscurilor
 Ghidul ISO 73:2009, Managementul riscului – Vocabular
Standardul este destinat să se alinieze standardului ISO 31000:2009 pentru a ajuta
organizațiile să gestioneze riscurile privind securitatea informațiti în mod similar cu
gestionarea altor riscuri.
ISO/IEC 27005 va ajuta utilizatorii să implementeze standardul ISO/CEI 27001 pentru
sistemul de management al securității informației, care este bazat pe abordarea managementului
riscului.
Acest standard este aplicabil tuturor tipurilor de organizații (sociteăți comerciale,
agenții guvernamentale sau organizații non -profit) care intenționează să gestioneze riscurile care
ar putea compromite securitatea informațiilor dintr -o organizație.

4.7. ISO/IEC 27006 – Cerințe pentru organizațiile ce efectuează
audit și certificare a sist emelor de management a securității
informației

Standardul ISO/IEC 27006 specifică cerințele și oferă îndrumări pentru organizațiile ce
efectuează audit și certificare a sistemului de management a securității informațiilor (ISMS).
Standardul este în esenț ă destinat să sprijine acreditarea organismelor de certificare ce ofera
certificare a sistemului de management a securității informațiilor.
Cerintele cuprinse în ISO/IEC 27006 trebuie să fie demonstrate în termeni de
competență și fiabilitate d e către orice organizație de certificare ISMS și orientările cuprinse în

20
ISO/IEC 27006 oferă servicii de interpretare adiționale a acestor cerințe pentru orice
organizație de certificare ISMS.

4.8. ISO/IEC 27011 – Ghidul managementului securităț ii
informației pentru organizațiile din domeniul
telecomunicațiilor bazat pt standardul ISO/IEC 27002

Scopul acestui standard este de a defini îndrumări în sprijinul implementării
managementului securității informațiilor în cadrul organi zațiilor de telecomunicații.
Adoptarea prezentului standard va permite companiilor de telecomunicații să
întrunească cerințele de bază ale managementului securității informațiilor: confidențialitate,
integritate și disponibilitate precum ș i orice altă proprietate relevantă de securitate.

4.9. Audit ISO/IEC 27013 – IT Security & Service Management

ISO (International Organization for Standardization) și IEC (International Electrotechnical
Commission) au publicat acest standard internațional pentru a oferi organizațiilor un ghid cu
privire la integrarea standardelor cu privire la managementul securității informațiilor (ISO/ISC
27001) și respectiv managementul serviciilor IT (ISO/IEC 20000).
Corelația dintre managementul serviciil or IT și securitatea informațiilor este atât de apreciată
încât multe organizații recunosc deja beneficiile adoptării celor doua standarde în tandem: ISO/IEC
27001 pentru securitatea informațiilor și ISO/IEC 20000 -1 pentru managementul serviciilor IT.
ISO 27013 indrumă organizațiile în efortul lor de a realiza un sistem de management integrat
care să poată acoperi atât serviciile prestate cât și păstrarea în condiții de maximă siguranță a
activelor informaționale. Noul standard conține indrumă ri care acoperă cazurile în care unul dintre
standarde este implementat mai întâi, cât și situațiile în care sunt simultan implementate
ambele standarde.
Implementarea integrată folosită de noul standard oferă un numar mare de beneficii atăt
pentru auditori căt și pentru organizațiile implicate în certificarea sistemelor de management și
acreditarea conformității în urma evaluării.
Printre beneficiile principale ale implementării integrate includem:
Asigurarea credibilității în fața parteneri lor interni sau externi ai organizației în ceea ce
privește serviciile IT eficiente și sigure:
 Scăderea semnificativă a costurilor datorită programului integrat

21
 Reducerea timpului de implementare a proceselor comune celor doua standarde datorită
dezv oltarii integrate
 Simplificarea acțiunilor pentru implementare
 Promovarea comunicării între personalul de management al serviciilor IT și cel al securității
informațiilor
 Îmbunătățirea proceselor de certificare.

4.10. Audit ISO/IEC 20000 (IT Service Man agement)

ISO/IEC 20000 este primul standard mondial destinat exclusiv gestionării activităților
specifice serviciilor IT. Standardul cuprinde un set integrat de proceduri de management
eficient pentru furnizarea a serviciilor IT în mediul d e afaceri. ISO 20000 este armonizat cu
abordarea procesuală definită în cadrul ITIL (Information Technology Infrastructure Library) și
complementar cu aceasta.
Multe din procesele operaționale cheie au la bază serviciile IT, iar modificările din cadrul
acestor procese presupun și modificarea sistemelor IT – fie că este vorba de hardware, software,
infrastuctură de comunicații sau servicii suport.
ISO/IEC 20000 este compus din două părți:
Prima parte, ISO/IEC 20000 -1 cuprinde cerințele domeniului de management a
serviciilor IT. Acest sistem poate fi folosit de un furnizor de servicii IT (intern sau extern) pentru a
avea certitudinea că serviciile oferite clienților (interni sau externi) au un nivel calitativ de control și
siguranță stabilit și apro bat.
Partea a doua, ISO/IEC 20000 -2 defintște codul de practici și descrie cele mai bune soluții
pentru procesele de management al serviciilor, definite în cadrul ISO/IEC 20000 -1.
Codul de bune practici este utilizat în special de structurile care se pregătesc pentru auditul
ISO 20000 sau care planifică o serie de modificări ale serviciilor interne.ISO/IEC 20000 -1 este
necesar organizațiilor care vor să își certifice sistemul de management al serviciilor IT furnizate.
Beneficiile implementării ace stui standard:
 Reducerea costurilor – ISO/IEC 20000 -1 este conceput ca sistem de management bazat pe
ciclul Deming PDCA (Plan -Do-Chtck -Act) comun majorității celorlalte standarde ce privesc
sistemele de management. Acest lucru permite operarea unui sistem integrat, în care se evită
duplicarea datelor și implicit reducerea costurilor.
 Încrederea partenerilor – acest standard va certifica că utilizați cele mai sigure practici pentru
oferirea serviciilor de calitate. Standardul a fost conceput cu scopul de a îmbunătăți modul de
gestionare a serviciilor IT.

22
4.11. Audit ISO/IEC 27035 (Incident Management)

Impactul generat de varietatea de amenințări legate de securitatea informației poate fi redus
prin folosirea abordărilor managementului incidentelor din do meniul securității informației,
abordare inclusă în standardul international ISO 27035 : 2011.
Breșele de securitatea a informației pot compromite sistemele afacerii și pot cauza
întreruperi ale activității. Răspunsul eficient și imediat face diferența dintre un incident minor și un
dezastru total. Folosirea corectă a unui sistem de management al incidentelor de securitate a
informației asigură organizațiilor măsurile și procedurile de control necesare gestionării unei game
largi de vulnerabilități ș i de incidente legate de securitate.
ISO/IEC 27035:2011 – „Managementul incidentelor legate de securitatea informației” este
necesar pentru detectarea, raportarea și evaluarea vulnerabilitaților și incidentelor legate de
securitatea informației.
Stand ardul ISO 27035 asigură organizațiilor posibilitatea de răspuns la incidentele legate
de securitatea informației, activarea măsurilor de control necesare pentru prevenirea și reducerea
impactului incidentelor menționate și recuperarea în urma acest ora .
Avantajele integrării in sistem a ISO 27035:
 Îmbunătățirea securități a informației;
 Reducerea impactului negativ asupra afacerii;
 Consolidarea atenției acordate prevenirii incidentelor, strângerea dovezilor
referitore la ele și stabilirea lor ca p rioritate;
 Îmbunătățirea evaluarii riscului legat de securitatea informației și a
rezultatelor manageriale;
 Tratarea în timp util și eficientă a incidentelor majore face diferența între
supraviețuirea și “moartea” unte organizații. Noul standard ISO/IEC 27035
pune la dispoziția organizațiilor proceduri încercate și testate și metodele
care trebuiesc aplicate pentru a asigura gestionarea eficientă a incidentelor.

23
5. Recomandari ale comunitații internationale SANS

5.1. Inventarierea dispozitivelor autorizate și neautorizate

Atacatorii, care pot fi localizați oriunde în lume, scanează permanent spațiul de adrese al
organizațiilor țintă, așteptând ca sistemele noi și neprotejate să fie atașate la rețea. Atacatorii caută,
de asemenea, dispozitive (în special laptop -uri) care vin și ies din rețeaua instituțiilor și, astfel, se
sincronizează cu patch -uri sau actualizările de securitate. Atacurile pot profita de noul hardware care
este instalat în rețea într -o seară, dar nu este configurat și actuali zat cu update de securitate
corespunzătoare până în ziua următoare. Chiar și dispozitivele care nu sunt vizibile de pe Internet
pot fi folosite de catre atacatori care au obținut deja acces intern și care vânează puncte de salt
interne sau victime. Sisteme le suplimentare care se conectează la rețeaua instituției (de exemplu,
sisteme demonstrative, sisteme de testare temporară, rețele de clienți) ar trebui, de asemenea,
gestionate cu atenție sau izolate, pentru a împiedica accesul neautorizat la securitatea operațiunilor
gestionate. Pe măsură ce noua tehnologie continuă să apară, BYOD (aduceți propriul dispozitiv) – în
care angajații aduc la dispoziție echipamentele personale și le conectează la rețea – devine foarte
comună. Aceste dispozitive ar putea fi dej a compromise și pot fi utilizate de către atacatori pentru a
infecta resursele interne. Gestionarea controlată a tuturor dispozitivelor joacă, de asemenea, un rol
esențial în planificarea și executarea sistemului de backup și recuperare

5.2. Inventarierea so ftware -ului autorizat și neautorizat

Atacatorii scanează în permanență organizațiile țintă și caută variante vulnerabile ale
software -ului care pot fi exploatate de la distanță. Unii atacatori distribuie, de asemenea, pagini web
ostile, fișiere de documen te, fișiere media și alte tipuri de conținut prin propriile pagini web sau prin
alte site -uri terțe de încredere. Atunci când victimele accesează acest conținut cu un browser
vulnerabil sau cu alt program client pot compromite dispozitivele , instalând ades ea programe
backdoor care dau atacatorului controlul pe termen lung al sistemului. Unii atacatori sofisticați pot
folosi vulnerabilitățile necunoscute anterior (de zi zero) pentru care nu a fost încă lansat niciun patch
de către dezvoltatorul de software. Fără cunoașterea sau controlul adecvat al software -ului folosit
într-o organizație, managerii de sistem nu își pot asigura corespunzător bunurile. Aparatele cu
control slab sunt predispuse fie să ruleze programe care nu sunt necesare în scopuri proprii
(introducând vulnerabilități de securitate potențiale), fie să ruleze programe după ce un sistem este
compromis. Odată ce o singură mașină a fost exploatată, atacatorii o folosesc adesea ca punct de

24
așteptare pentru colectarea de informații sensibile din sist emul compromis și din alte sisteme
conectate la acesta. În plus, mașinile compromise sunt utilizate ca punct de lansare pentru mișcarea
în rețea și în rețelele de parteneriat. În acest fel, atacatorii pot transforma rapid o mașină compromisă
în multe. Orga nizațiile care nu dispun de inventare complete de software nu pot găsi sisteme care
rulează programe vulnerabile sau software rău intenționate pentru a atenua problemele sau a elimina
atacatorii. Gestionarea controlată a întregului software joacă, de aseme nea, un rol esențial în
planificarea și executarea sistemului de backup și recuperare.

5.3. Configurații securizate pentru hardware și software pe
dispozitive mobile, laptopuri, stații de lucru și servere

Configurațiile implicite furnizate de catre producători pentru sistemele de operare și aplicații
sunt în mod obișnuit orientate spre ușurința utilizării și nu spre securitate. Sunt folosite comenzi de
bază, servicii deschise și porturi, conturi implicite sau parole simple ( ex.1234,0000) .Toate aces tea
pot fi exploatate de catre atacatori in scopul compromiterii echipamentelor. Dezvoltarea setărilor de
configurare cu proprietăți de securitate bune reprezintă o sarcină complexă dincolo de capacitatea
utilizatorilor individuali.Chiar dacă se dezvoltă ș i se instalează o configurație inițială puternică,
trebuie să fie gestionată permanent pentru a evita orice bresa de securitate.Software -ul necesită
actualizare regulată sau patch -uri, altfel există riscul să apară vulnerabilități de securitate și
configur ațiile pot fi păcălite pentru de atacatori care vor găsi oportunități de a exploata atât servicii
accesibile din rețea, cât și software -ul client.

5.4. Evaluarea continuă a vulnerabilității și remedierea acesteia

Personalul desemnat cu securitatea trebuie să opereze într -un flux constant de informații noi:
actualizări de software, patch -uri, sfaturi de securitate, buletine de amenințări etc. Înțelegerea și
gestionarea vulnerabilităților au devenit o activitate continuă, necesitând timp, atenție și resurse
semnificative. Atacatorii au acces la aceleași informații și pot profita de decalajele dintre apariția
noilor amenințări și remediere. De exemplu, atunci când cercetătorii raportează noi vulnerabilități,
începe o cursă între atacatorii pe deoparte (pentru a "arma", a lansa un atac, a exploata), furnizorii
de software pe de alta (pentru a dezvolta, implementa patch -uri sau actualizări) și apărători (pentru a
evalua riscurile, patch -urile de test si instalarea update -urilor). Organizațiile care nu scanează
vulnerabilități și adresează în mod proactiv defectele descoperite se confruntă cu o probabilitate
semnificativă de compromitere a sistemelor lor de computere. Apărătorii se confruntă cu dificultăți

25
deosebite în reducerea timpilor de remediere în întreaga instituție și prioritizarea acțiunilor cu
priorități conflictuale și uneori cu efecte secundare nesigure.

5.5. Utilizarea controlată a privilegiilor administrative

Utilizarea incorectă a privilegiilor administrative este o cauză principală care facilitează
atacatorilor accesul într -o organizație țintă. Două tehnici de atac foarte frecvente profită de
privilegiile administrative necontrolate. În primul rând, un utilizator de stație de lucru care rulează
ca utilizator privilegiat, este păcălit în deschiderea un ui atașament de e -mail rău intenționat,
descărcând și deschizând un fișier de pe un site rău intenționat sau pur și simplu navigând la un site
care găzduiește un conținut de atacator care poate exploata automat browserele. Fișierul sau exploit –
ul conține c od executabil care rulează pe mașina victimei fie automat, fie prin păcălirea utilizatorul
în executarea conținutului atacatorului. Dacă contul utilizatorului victimă are privilegii
administrative, atacatorul poate prelua complet aparatul victimei și poate instala programe de
înregistrare a tastaturii, sonerii și software -ul de control la distanță pentru a găsi parole
administrative și alte date sensibile. Atacurile de acest gen au loc in general prin intermediul e -mail.
Un administrator malware introduse d deschide neintenționat un e -mail care conține un atașament
infectat și acesta este folosit pentru a obține un punct de plecare în rețea care este utilizat pentru a
ataca alte sisteme.
Cea de -a doua tehnică comună folosită de atacatori este ridicarea priv ilegiilor prin ghicitul
sau cracarea unei parole pentru ca un utilizator administrativ să obțină acces la o mașină vizată.
Dacă privilegiile administrative sunt libere și larg răspândite sau identice cu parolele utilizate în
sistemele mai puțin critice, at acatorul reușește mult mai ușor de a obține controlul complet al
sistemelor, deoarece există mult mai multe conturi care pot servi drept cale pentru atacator pentru a
compromite privilegiile administrative .

5.6. Întreținerea, monitorizarea și analiza jurnalelor de audit

Atunci cănd lipsesc jurnalele de audit și analiză a securității atacatorii pot să își ascundă
locația, software -ul rău intenționat și activitățile asupra mașinilor victime. Chiar dacă victimele știu
că sistemele lor au fost compromis e, fără înregistrări protejate și complete, ele sunt orbe la detaliile
atacului și la acțiunile ulterioare ale atacatorilor. Fără un registru solid de audit, un atac poate trece
neobservat pe o perioadă nedeterminată, iar daunele provocate pot fi ireversib ile. Uneori,
înregistrările atacului sunt singurele dovezi care pot determina amploarea pagubelor. Multe

26
organizații păstrează înregistrările de audit pentru a respecta obiectivele, dar atacatorii se bazează pe
faptul că astfel de organizații privesc rareo ri jurnalele de audit, astfel încât nu știu că sistemele lor au
fost compromise. Din cauza proceselor de analiză precară sau inexistentă, atacatorii uneori
controlează mașinile victime timp de luni sau ani fără ca nimeni din organizația țintă să știe, chia r
dacă dovezile atacului au fost înregistrate în fișierele jurnal neexaminate.

5.7. Protecția emailului și a browserului web

Browserele web și clienții de e -mail sunt puncte de intrare și atac foarte frecvente datorită
complexității și flexibilității lor teh nice ridicate și interacțiunii lor directe cu utilizatorii și cu
celelalte sisteme și site -uri Web. Conținutul poate fi creat pentru a atrage utilizatorii sau pentru ai
determina să întreprindă acțiuni care cresc considerabil riscul și care permit introduc erea codului rău
intenționat, pierderea datelor valoroase și alte atacuri.

5.8. Apărări malware

Software -ul rău intenționat este un aspect integrat și periculos al amenințărilor la adresa
internetului și poate fi conceput pentru a ataca sistemele, dispozitiv ele sau datele utilizatorilor.
Atacul de tip malware poate viza un număr mare de puncte de penetrare, cum ar fi dispozitivele
utilizatorilor finali, atașamentele de e -mail, paginile web, serviciile cloud și mediile portabile.
Malware -ul modern poate fi pro iectat pentru a evita apărarea sau pentru a ataca -o sau dezactiva.
Protecția împotriva malware -ului trebuie să fie capabilă să funcționeze în acest mediu dinamic prin
automatizarea la scară largă, actualizarea rapidă și integrarea cu procese precum Inciden t Response.
De asemenea, acestea trebuie să se desfășoare în mai multe puncte de atac, pentru a detecta, a opri
mișcarea sau a controla executarea unui software rău intenționat. Este recomandată folosirea
protecției de tip endpoint Enterprise care oferă f uncții administrative pentru a verifica dacă toate
sistemele de protecție sunt active și curente în fiecare sistem gestionat.

5.9. Limitarea și controlul porturilor de rețea, protocoalelor și
serviciilor

Atacatorii caută servicii de rețea accesibile de la distanță care sunt vulnerabile la
exploatare. Printre exemplele obișnuite se numără serverele web, serverele de poștă electronică,

27
serverele de fișiere și de imprimare și serverele de nume de domenii (DNS ) instalate în mod
prestabilit pe o varietate e catre atacator mare de dispozitive, adesea fără o nevoie de afaceri pentru
serviciul dat. Multe pachete software instalează automat servicii și le pornesc ca parte a instalării
pachetului software principal f ără a informa un utilizator sau un administrator că serviciile au fost
activate. Atacatorii scanează astfel de vulnerabilitați și încearcă să exploateze aceste servicii, de
multe ori încercând codurile de utilizator implicite și parolele sau codul de explo atare disponibil pe
scară largă.

5.10. Capacitatea de recuperare a datelor

Când atacatorii reușesc să compromită mașinile, aceștia fac adesea schimbări
semnificative în configurații și software. Uneori atacatorii fac modificări subtile ale datelor stocate
pe mașinile compromise, putând pune în pericol eficiența organizațională cu informații denaturate.
Atunci când atacatorii sunt descoperiți, poate fi extrem de dificil pentru organizațiile care nu au o
capacitate de recuperare a datelor demnă de încredere să elimine toate aspectele prezenței
atacatorului pe mașină.Soluțiile de backup sunt o necesitate atunci când ne confruntăm cu atacuri de
tip ransomware și nu numai.

5.11. Configurații securizate pentru dispozitive de rețea ( cum ar
fi firewall -uri, router -uri și switch -uri)

Producatorii comercializează echipamentele cu porturile și serviciile deschise, conturi
implicite (inclusiv conturi de servicii) sau parole, suport pentru protocoalele mai vechi (vulnerabile).
Toate pot fi exploatate în configurația lor impli cită. Atacatorii folosesc dispozitivele de rețea care
devin mai puțin configurate în timp, deoarece utilizatorii solicită excepții pentru nevoile specifice
ale afacerii. Uneori, excepțiile sunt implementate și apoi rămân anulate când nu mai sunt aplicabile
nevoilor afacerii. În unele cazuri, riscul de securitate al excepției nu este nici analizat în mod
corespunzător, nici măsurat în funcție de nevoile de afaceri asociate și se poate schimba în timp.
Atacatorii caută setări implicite vulnerabile, găuri elec tronice în firewall -uri, routere și switch -uri și
le folosesc pentru a pătrunde în apărare. Ei exploatează deficiențe în aceste dispozitive pentru a avea
acces la rețele, pentru a redirecționa traficul într -o rețea și a intercepta informații în timpul
transmisiei. Prin astfel de acțiuni, atacatorul obține accesul la date sensibile și poate modifica
informații importante .

28
5.12. Protecția frontalieră

Atacatorii se concentrează pe exploatarea sistemelor pe care le pot accesa de pe internet,
incluzând nu numai sistemele DMZ (DeMilitarizedZone), ci și computerele de stații de lucru și
laptopurile care trag conținutul de pe internet prin granițele rețelei. Amenințările, cum ar fi grupurile
de crimă organizată și statele -națiuni, utilizează deficiențe de configurar e și arhitectură găsite pe
sistemele perimetrice, dispozitivele de rețea și mașinile de client care accesează Internetul pentru a
obține accesul inițial într -o organizație. Apoi, cu o bază de operații pe aceste mașini, atacatorii
adesea pivotează pentru a ajunge mai adânc în interiorul frontierei pentru a fura sau schimba
informații sau pentru a stabili o prezență persistentă pentru atacurile ulterioare împotriva gazdei
interne. În plus, se produc multe atacuri între rețelele de parteneri de afaceri, în tim p ce atacatorii
alunecă de la o rețea la alta, exploatând sistemele vulnerabile pe perimetrele extranetului.
Pentru a controla fluxul de trafic prin frontierele rețelei este esențial să filtrați atât traficul de intrare,
cât și cel de ieșire folosind mai m ulte niveluri de protectie bazate pe firewall -uri, proxy -uri, rețele de
perimetru DMZ și IPS și IDS bazate pe rețea.
Trebuie remarcat faptul că liniile de frontieră dintre rețelele interne și cele externe se diminuează ca
urmare a creșterii interconectivi tății în interiorul și între organizații, precum și a creșterii rapide a
implementării tehnologiilor fără fir. Aceste linii de estompare uneori permit atacatorilor să obțină
acces în interiorul rețelelor în timp ce ocolește sistemele de această estompare a limitelor,
implementările eficiente de securitate se bazează în continuare pe apărări de frontieră atent
configurate, care separă rețele cu diferite niveluri de amenințare, seturi de utilizatori și niveluri de
control. Și în ciuda estompării rețelelor int erne și externe, sistemele de protecție periferice eficiente
în mai multe straturi contribuie la scăderea numărului de atacuri reușite, permițând personalului de
securitate să se concentreze asupra atacatorilor care au conceput metode de a ocoli restricții le de
frontieră.

5.13. Protejarea datelor

Protecția datelor se realizează cel mai bine prin aplicarea unei combinații de tehnici de
criptare, de protecție a integrității și de prevenire a pierderilor de date. Întrucât organizațiile își
continuă trecerea spre cloud computing și accesul la dispozitive mobile, este important să se acorde
atenție necesară limitării și rapoartelor privind exfiltrarea datelor, precum și atenuarea efectelor
compromiterii datelor. Adoptarea de criptare a datelor, atât în tranzit, câ t și în repaus, oferă
atenuarea compromiterii datelor. Acest lucru este valabil dacă au fost luate în considerare procesele
și tehnologiile asociate cu operațiunile de criptare. Un exemplu este gestionarea cheilor criptografice

29
utilizate de diferiții algor itmi care protejează datele. Procesul de generare, utilizare și distrugere a
cheilor ar trebui să se bazeze pe procese dovedite, astfel cum sunt definite în standardele NIST SP
800-57. De asemenea, ar trebui să se asigure că produsele utilizate în cadrul u nei organizatii
implementează algoritmi criptografici binecunoscuți și verificați, identificați de NIST. Reevaluarea
algoritmilor și dimensiunilor de chei utilizate anual în cadrul institutiei este, de asemenea,
recomandată pentru a se asigura că organizaț iile nu se află în urmă în ceea ce privește puterea de
protecție aplicată datelor lor. Pentru organizațiile care transferă date către cloud, este important să
înțelegem controalele de securitate aplicate datelor din mediul multi -chiriaș al cloud și să
determinăm cel mai bun mod de acțiune pentru aplicarea comenzilor de criptare și securitatea
cheilor. Când este posibil, cheile ar trebui să fie stocate în containere sigure, cum ar fi modulele de
securitate hardware (HSM). Criptarea datelor oferă un nivel de asigurare că, chiar dacă datele sunt
compromise, este imposibil să accesați textul fără resurse semnificative, dar ar trebui, de asemenea,
să se introducă controale pentru a atenua amenințarea de exfiltrație a datelor în primul rând.In multe
cazuri atacuri le trec neopservate datorită faptului ca victimele nu își monitorizează ieșirile de date
.Scăderea controlului asupra datelor protejate sau sensibile de către organizații reprezintă o
amenințare gravă la adresa operațiunilor de afaceri și o potențială amen ințare la adresa securității
naționale. În timp ce unele date sunt scurgeri sau pierdute ca urmare a furtului sau a spionajului,
marea majoritate a acestor probleme rezultă din practicile de date greșit înțelese, lipsa unor
arhitecturi de politici eficient e și erorile utilizatorilor. Controalele DLP (Data Loss Prevention) se
bazează pe politici de securitate și includ clasificarea datelor sensibile din cadrul unei organizatii,
controlul și raportarea și auditul pentru a asigura respectarea normelor de secur itate .

5.14. Acces controlat bazat pe nevoia de a ști

Unele organizații nu identifică cu atenție și nu separă activitățile cele mai sensibile și
critice de informațiile mai puțin sensibile și accesibile publicului în rețelele lor interne. În multe
medii, uti lizatorii interni au acces la toate sau cele mai multe dintre activele critice. Bunurile
sensibile pot include, de asemenea, sisteme care asigură gestionarea și controlul sistemelor fizice (de
exemplu, SCADA Supervisory Control And Data Aquisition). Odată ce atacatorii au pătruns într -o
astfel de rețea, ei pot găsi cu ușurință și pot sustrage informații importante, pot provoca daune fizice
sau pot perturba operațiunile cu rezistență redusă. De exemplu, în mai multe încălcări de profil în
ultimii ani, atacat orii au putut accesa date sensibile stocate pe aceleași servere, cu același nivel de
acces ca și datele mai puțin importante.

30
5.15. Control acces wireless

Cantitați de date importante au fost sustrase de atacatorii care au obținut acces wireless la
organiza ții din afara clădirii fizice, ocolind perimetrele de securitate ale organizațiilor conectându -se
fără fir la punctele de acces din cadrul organizației. Clienții care folosesc acest tip de conexiune
pentru a accesa retelele vizate sunt infectați în mod re gulat prin exploatare la distanță în timpul
călătoriilor cu avionul sau în cafenele a retelelor wireless . Astfel de vulnerabilitați sunt exploatate și
folosite ca uși din spate atunci când sunt reconectate la rețeaua unei organizații țintă. Multe
organiza ții au raportat descoperirea unor puncte de acces fără fir neautorizate în rețelele lor, plantate
și uneori ascunse pentru acces nelimitat la o rețea internă. Deoarece nu necesită conexiuni fizice
directe, dispozitivele wireless reprezintă un vector conven abil pentru atacatori pentru a menține
accesul pe termen lung într -un mediu țintă.

5.16. Monitorizarea și controlul conturilor

Atacatorii descoperă frecvent și exploatează conturi de utilizatori legitimi, dar inactivi,
pentru a se infiltra ca utilizatorii legitimi, ceea ce face ca descoperirea atacatorilor să fie dificilă
pentru observatorii din rețea. Conturile clientilor care au fost reziliate și conturile create anterior
pentru testarea retelei au fost adesea folosite în mod abuziv în acest fel. De aseme nea, foști angajați
rău-intenționați au accesat conturi rămase într -un sistem mult timp după expirarea contractului ,
păstrând accesul la sistemul de calcul al unei organizații și date sensibile pentru scopuri neautorizate
și uneori rău intenționate.

5.17. Evalu area competențelor de securitate și instruirea
personalului

Este tentant să ne gândim la apărarea cibernetică în primul rând ca o provocare tehnică, dar
acțiunile oamenilor joacă, de asemenea, un rol esențial în succesul sau eșecul unei organizatii.
Anga jații îndeplinesc funcții importante în fiecare etapă a proiectării, implementării, funcționării,
utilizării și supravegherii sistemului. Exemplele includ: dezvoltatori de sisteme și programatori (care
nu conștientizează gravitatea unei vulnerabilități); P rofesioniști în domeniul operațiunilor IT (care
pot să nu recunoască implicațiile de securitate ale jurnalelor IT); Utilizatorii finali (care pot fi
susceptibili de scheme de inginerie socială , cum ar fi phishing -ul); Analiști de securitate (care

31
încearcă să țină pasul cu o explozie de informații noi); Și directori și proprietari de sisteme (care
încearcă să facă economie minimizind rolul securității informatice) .
Atacatorii sunt foarte conștienți de aceste aspecte și le folosesc pentru a -și planifica atac urile, de
exemplu: realizarea cu atenție a unor mesaje de tip phishing care arată ca un trafic obișnuit pentru un
utilizator neatent; Exploatarea lacunelor din politica de securitate exlpoatănd intervalul de timp al
patch -urilor sau al revizuirii jurnalulu i;
Nici o abordare de apărare cibernetică exclude eficient riscul, fără a dispune de mijloace pentru
remedierea vulnerabilități. În schimb, instruirea periodică a angajaților poate spori considerabil
securitatea organizației.
5.18. Securitatea software pentru a plicații

Atacurile utilizează adesea vulnerabilităților constatate în software -ul bazat pe web și alte
aplicații. Vulnerabilitățile pot fi prezente din mai multe motive, printre care erorile de codare, erorile
logice, cerințele incomplete și incapacitatea de a testa condițiile neobișnuite sau neașteptate.
Exemple de erori specifice includ: eșecul de a verifica dimensiunea de intrare de utilizator; Eșecul
de filtrare a secvențelor de caractere inutile, dar potențial dăunătoare din fluxurile de intrare; Eșecul
de a inițializa și de a clarifica variabilele. Se pot afla fără efort informații publice și private despre
astfel de vulnerabilități disponibile atacatorilor și apărătorilor, precum și o piață solidă pentru
instrumente și tehnici care să pe rmită eliminarea vulnerabilităților în exploatare. Atacatorii pot
injecta exploatări specifice, inclusiv depășiri de tampon, atacuri de injecție SQL(Structured Query
Language), raufacatorul potențial poate schimba cererea la baza de date, asfel fiind posib il furtul
datelor private. Într -un atac, mai mult de 1 milion de servere web au fost exploatate și transformate
în motoare de infecție pentru vizitatorii acelor site -uri folosind injecție SQL. În timpul acestui atac,
site-urile de încredere au fost comprom ise de atacatori și au fost folosite pentru a infecta sute de mii
de browsere care au accesat site -urile respective. Multe vulnerabilități ale aplicațiilor web și non –
web sunt descoperite în mod regulat.

5.19. Răspunsul la incidente

Incidentele cibernetice su nt acum doar o parte a modului nostru de viață. Chiar și
organizațiile mari, bine finanțate și sofisticate din punct de vedere tehnic se străduiesc să țină pasul
cu frecvența și complexitatea atacurilor. Problema unui atac cibernetic împotriva unei organi zații nu
este "dacă" se va produce ci "când".

32
Când se produce un incident de securitate este esențial să se demareze proceduri de
raportare, colectarea datelor, responsabilitatea managementului, protocoalele juridice și strategia de
răspuns care vor permi te organizației să înțeleagă, să gestioneze și să -și revină dupa atac. Fără un
plan de răspuns la incident, o organizație nu poate descoperi un atac în primul rând sau, în cazul în
care atacul este detectat, organizația nu poate să urmeze proceduri bune pe ntru a contabiliza daunele,
eradica prezenței atacatorului și pentru a se restabili într -un mod activitatea. Astfel, atacul poate
avea un impact mult mai mare, provocând mai multe daune, infectând mai multe sisteme și, eventual
să extragă date mai sensibil e decât ar fi fost posibil în cazul în care ar fi fost un plan eficient de
reacție la incidente.

5.20. Teste de penetrare

Testarea de penetrare începe de la identificarea și evaluarea vulnerabilităților care pot fi
identificate în organizație. Prin conceperea și executarea de teste care demonstrează în mod specific
modul în care un atacator poate să submineze obiectivele de securitate (de exemplu, stabilirea unei
infrastructuri ascunse de comandă și control). Rezultatul oferă o perspectivă concretă, prin
demonstrație, asupra diferitelor vulnerabilități.
Atacatorii exploatează deseori decalajul dintre modelele bune de apărare și intențiile și
implementarea sau întreținerea. Exemplele includ: fereastra de timp dintre anunțarea unei
vulnerabilități, dis ponibilitatea unui patch furnizat și instalarea reală pe fiecare mașină; Politici bine
intenționate care nu dispun de mecanisme de aplicare (în special cele menite să limiteze acțiunile de
natură umană riscante); Eșecul de a aplica configurații bune și alt e practici pentru întreaga
organizației sau pentru mașinile care intră în și în afara rețelei; Și neînțelegerea interacțiunii dintre
mai multe instrumente defensive sau cu operații normale ale sistemului care au implicații de
securitate.
În plus, apărarea cu succes necesită un program amplu de apărare tehnică, o bună politică
de securitate și o gestionare corespunzătoare a resursei umane. Într -un mediu complex, în care
tehnologia evoluează în mod constant, iar atacatori apar regulat, organizațiile ar trebu i să-și testeze
periodic apărările pentru a identifica lacunele și pentru a -și evalua disponibilitatea de răspuns.

33

6. STUDIU DE CAZ

În contextul digitalizării vieții cotidiene și în plină accensiune a rețelelor sociale precum
Facebook și Twitter, mediul online a căpătat o importanță deosebită atât pentru informarea cât și
pentru influențarea opiniei publice. Riscul dezvăluirii unor informații, fotografii, păreri sau idei ale
unei persoane publice poate avea urmări neașteptate .Nu neapărat informaț ia în sine are un rol
hotărâtor cât abilitatea de a o folosi.
Alegerile prezidențiale din anul 2016 din Statele Unite ale Americii au arătat lumii o noua
fața a atacurilor cibernetice. Deși aparent ținte atacului a fost directorul de campanie al partidulu i
democrat în realitate a fost vizată întreaga administrație politică și insăși democrația americană.
Pentru realizarea unui astfel de atac țintit este nevoie de o planificare laborioasă, de resurse
însemnate și de o echipă de informaticieni pricepuți. În aceste condiții specialiștii in domeniu sunt
unanim de acord că atacul a fost unul concertat și dirijat de o entitate ce dispune de resurse
semnificative și urmărește un scop bine definit.
Înainte de desfășurarea convenției Partidului Democrat pe 22.07.20 16 site -ul WikiLeacks a
dat publicitații in jur de 20000 de mail -uri private care aparțineau unui număr de șapte responsabili
ai partidului. Mail -urile sensibile arătau disprețul și neâncrederea față de Bernie Sanders
(contracandidat al lui Hillary Clinton în alegerile din cadrul Partidului Democrat pentru desemnarea
candidatului pentru funția de președinte al Statelor Unite ale Americii).
Fondatorul site -ului WikiLeacks Julian Assange susține că atacurile cibernetice la adresa
Partidului Democrat și ale lui Hillary Clinton pot aparține și unui copil de paisprezece ani. James
Clapper director al NSA (Agenția pentru Siguranță Națională) i -a sugerat președintelui Donald
Trump că dându -i crezare lui Assange comite o eroare.
În urma dezvăluirilor apărute in m ediul onnline și a influențelor acestora asupra procesului
electoral, James Comey (director al FBI la acea dată) a dispus deschiderea unei anchete privind
ingerințele unei entități străine în alegerile prezidențiale din SUA.
Potrivit anchetei FBI responsab ili cu atacurile cibernetice din perioada alegerilor sunt
hackerii Fancy Bear care sunt suspectați de legături strânse cu serviciile de informații ale Rusiei
(GRU).
Anchetele independente întreprinse de către Serviciul Național de Informații al Statelor
Unite, CIA și FBI au relevat faptul că originea atacul cibernetic, la care a fost supus Partidul
Democrat,este din Rusia. Președintele rus Vladimir Putin nu a negat existen ța atacului sau locul de
unde a fost declanșat insă a respins orice acuzație de implic are a administrației de la Moscova.

34
Prejudiciul de imagine adus Statelor Unite și serviciilor de informații americane nu poate fi
estimat cu precizie și la fel de gravă este incertitudinea că rezultatul alegerilor ar fi fost același fără
ingerințele străin e.
Siguranța cibernetică ar trebui să ne preocupe la fel de mult ca și siguranța fizică.Trăim
vremuri în care nu ne mai caracterizează doar numele, înălțimea, greutatea,CNP -ul sau imaginea ci
și adresa de mail, IP -adress, profilul dintr -o rețea de socializ are, PIN -urile și parolele.

35

Bibliografie:

[1] www.intelligence.sri.ro/standardizarea -si-evaluarea -masurilor -de-protectie -surselor –
generatoare -de-informatii
[2] www.sri.ro/protectia -informatiilor -clasificate /ghid practic
[3] www.orniss.ro
[4] scribd.com
[5] legea 182/2002
[6] H.G.353/ 2002
[7] H.G.585/2002
[8] SR EN/ISO CEI 27001:2005, Tehnologia informației – Tehnici de securitate -sisteme de
management al securității informației.
[9] SR EN/ISO CEI 27002:2007, Tehnologia informației – Tehnici de securitate – Cod de buna
practica pentru managementu l securității informației