Managementul Securitatii Informatiei

MANAGEMENTUL SECURITĂȚII INFORMAȚIEI

CUPRINS

INTRODUCERE

CAPITOLUL I

I.1. Informații generale

I.2. Cadrul legal

I.3. Infrastructura de Chei Publice (PKI)

I.4. Obiectivele Infrastructurii de Chei Publice (PKI) la nivelul Ministerului Afacerilor Interne (MAI)

I.5. Infrastructura de Chei Publice (PKI) central Ministerul Afacerilor Interne (MAI)

I.5.1. Cerințe tehnice și funcționale

I.5.2. Bridge CA

I.6. Criptografia

I.6.1 Cheile de criptare

I.7 Serviciu de directoare central

I.8 Serviciu de validare a stării certificatelor

CAPITOLUL II

II.1. Infrastructura de Chei Publice – structuri Ministerul Afacerilor Interne

II.1.2. Gestiune certificatelor digitale

II.1.3 Serviciul de validare a stării certificatelor

II.1.4 Serviciul de marcare temporală

II.1.5 Serviciul de recuperare a cheilor private de criptare

II.1.6. Modulul de administrare al token-urilor

II.1.7. Serviciul de directoare local

II.2. Echipamente hardware și de comunicații

II.3. Sistemul de securitate fizică

II.3.1 Structura sistemului de securitate fizică

II.3.2.Subsistemul de televiziune cu circuit închis

II.3.3.Subsistemul de control acces

II.3.4.Subsistemul de detecție și avertizare a efracției

II.3.5.Subsistemul de detecție a inundațiilor

II.3.6.Subsistemul de protecție perimetrală

II.3.7.Subsistemul dispecerat

II.3.8. Management centralizat

II.4. Sistemul de detecție și stingere incendiu

II.4.1. Subsistemul de stingere incendiu

II.4.2. Protecție TEMPEST

II.5. Aplicații ce utilizează PKI

II.5.1. Aplicație pentru autentificare unitară la aplicații Web pe bază de certificat digital

II.5.2. Aplicație de securitate pentru stațiile de lucru

II.6 Cerințe funcționale și tehnice

II.6.1. Asigurarea confidențialității informațiilor

II.6.2.Aplicație pentru management securizat de documente

II.6.3.Cerințe funcționale

II.6.4.Caracteristici avansate de securitate

II.6.5. Managementul ciclului de viață al documentelor

II.6.6 Lucrul în comun pe documente

II.6.7. Managementul fluxurilor de lucru

II.6.8. Arhivarea documentelor

II.6.9 Registratură electronică

CONCLUZII

BIBLIOGRAFIE

Abrevieri și termeni folosiți în lucrare

Termen Explicație termen

PKI Public Key Infrastructure- Infrastructură de Chei Publice

MAI Ministerul Afacerilor Interne

SIS Sistemul Informațional Schengen

ISO Organizație Internațională de Standardizare

CEI Comisia Electrotehnică Internațională

SMSI Sistem de Management pentru Securitatea Informației

SIMS Sistemul Informatic Național de Semnalări

STS Serviciul de Telecomunicații Speciale

CA Autoritatea de Certificare

CRL Lista Certificatelor Revocate

USB Magistrală Serială Universală

PIN Număr Personal de Identificare

SNMP Simple Network Management Protocol

IDS Detecție ale Intruziunilor

IPS Sistem de Prevenire ale Intruziunilor

DMZ Zone Demilitarizate

TVCI Subsistemul de televiziune cu circuit închis

TEMPEST Incintă ecranată

ORNISS Oficiul Registrului al Informațiilor Secrete de Stat

Introducere

Instaurarea erei informatice constituie în prezent una dintre cele mai mari realizări tehnico-științifice, având un impact pozitiv asupra tuturor laturilor vieții societății contemporane. La etapa actuală, activitatea celor mai multe organizații depinde în proporție de peste 65 % de propriul lor sistem informatic. Dezvoltarea și ampla implementare a tehnologiilor informaționale a generat însă, un șir de probleme legate de asigurarea integrității, confidențialității și a disponibilității informației aflate pe suport electronic. Problema securității informației se acutizează pe măsură ce sunt inventate și puse în aplicare metode tot mai sofisticate de atac asupra informației.

În aceasta lucrare voi discuta despre necesitatea implementării Public Key Infrastructure (PKI) la nivelul Ministerului Afacerilor Interne (MAI), necesitate apărută odată cu aderarea ca membru cu drepturi depline la Uniunea Europeana, la 1 ianuarie 2007. Atunci Romania a intrat într-o nouă etapă, care presupune pregătirea și adoptarea măsurilor necesare aderării ulterioare la spațiul Schengen.

Necesitatea implementarii Public Key Infrastructure (PKI) la nivelul Ministerului Afacerilor Interne (MAI), a apărut odată cu obligativitatea securizării accesului tuturor utilizatorilor Sistemului Informațional Schengen (SIS) la sistemele ce au făcut obiectul finanțării „Schengen Facility” sau cu care acestea interacționează, ca urmare a nivelul de securizare al acestui tip de acces extrem de scăzut și care, nu permitea integrarea cerințelor SIS, naționale și europene cu privire la manipularea datelor cu caracter personal și a altor tipuri de informații.

Obligativitatea implementării acestui tip de infrastructura Public Key Infrastructure (PKI) – rezultă din cadrul său funcțional, bazat pe standarde, pentru o mare varietate de componente, aplicatii, politici și practici al caror scop este atingerea celor patru funcționalități principale ale schimbului de informații:

• confidențialitatea – secretizarea informației;

• integritatea – asigurarea împotriva manipulării frauduloase a informației;

• autentificarea – verificarea identității unui individ sau a unei aplicații;

• non-repudierea – asigurarea paternității mesajului;

În secțiunea practică a tezei voi analiza „Extinderea Infrastructurii de Chei Publice (PKI) la Nivelul Sistemelor Informatice Sectoriale din Cadrul Ministerul Afacerilor Interne (MAI)”. Principalul obiectiv a fost sporirea nivelului de protecție a informațiilor procesate, stocate și transmise de către structurile din cadrul Ministerului Afacerilor Interne (MAI) precum și pentru asigurarea cadrului de interoperabilitate pentru schimbul protejat de informații cu instituții externe. Acest schimb de informații a fost necesar în principal pentru îndeplinirea aquis-ului Schengen și în secundar pentru buna realizare a altor proiecte de cooperare în spațiul Schengen.

Implementarea unei asemenea soluții tip PKI la nivelul Ministerul Afacerilor Interne (MAI) a îmbunătățit confidențialitatea, siguranța și nivelul de încredere al datelor schimbate între instituțiile Ministerului Afacerilor Interne (MAI) (și între utilizatori) în concordanță cu aquis-ul Schengen (în special pentru controlul la frontiere).

Principalele obiective ale implementării unui asemenea sistem au fost:

a. întărirea controlului la frontiere (în special în punctele de trecere) prin utilizarea unei metode de autentificare de un înalt nivel de securizare;

b. creșterea eficienței pentru supraveghere și control la frontierele externe;

c. securizarea datelor schimbate între autoritățile de la frontieră .

CAPITOLUL I

I.1.Informații Generale

Informația este importantă pentru o varietate largă de motive și timp de foarte multe secole omul a fost capabil să transmită date valoroase de la o persoana la alta. Metoda transferului și stocarea acestor informații au fost mult mai primitive, dar la bază, principiile de securitate ale informațiilor nu s-au schimbat prea mult de atunci.

Securitatea informației este acum bine fondată in trei concepte majore – cele de confidențialitate, integritate și disponibilitate. Mecanismele pe care le folosim pentru a gestiona informațiile sunt domeniile în care am vazut schimbări importante , în special în ultimele decenii. Apariția calculatoarelor a modificat modul în care gestionăm informațiile și a însemnat de asemenea , faptul că avem mai multe informații pentru care să ne facem griji , decât oricând înainte. Informația a devenit cheia succesului în aproape orice domeniu și astfel securitatea a câștigat o importanță și mai mare , în special în mediul afacerilor și al organizațiilor.

ISO (Organizația Internațională de Standardizare) și CEI (Comisia Electrotehnică Internațională) formează sistemul internațional specializat pentru standardizare. Organismele naționale care sunt membre ale ISO sau CEI participă la dezvoltarea standardelor internaționale prin comitetele tehnice stabilite de respectiva organizație pe domenii specifice de activitate tehnică. Standardul internațional ISO/IEC 27001 a fost elaborat de Comitetul tehnic comun ISO/CEI JTC 1, Information technology, Subcomitetul SC 27, IT Security techniques.

Acest standard internațional a fost elaborat pentru a procura un model pentru stabilirea, implementarea, funcționarea, monitorizarea, revizuirea, întreținerea și îmbunătățirea unui Sistem de Management pentru Securitatea Informației (SMSI).

Abordarea bazată pe proces pentru managementul securității informației prezentată în acest standard internațional încurajează utilizatorii acestuia să accentueze importanța următoarelor aspecte:

a) înțelegerea cerințelor de securitate a informației ale unei organizații și stabilirea de politici și obiective pentru securitatea informației;

b) introducerea și utilizarea măsurilor pentru a administra riscurile securității informației;

c) monitorizarea și bilanțul performantei și eficienței SMSI;

d) îmbunătățirea neîncetată bazată pe măsurarea obiectivă.

Acest standard internațional adoptă modelul "Plan-Do-Check-Act" (Planifică- Implementează-Verifică-Acționează.), care este aplicat pentru a structura toate procesele SMSI.

Părțile interesate Părțile interesate

Cerințe și așteptări, privind

Securitatea informației Gestionarea securității informației

Figura 1 — Modelul PDCA aplicat proceselor SMSI

Sistemul de management pentru securitatea informației reprezintă acea parte a unui sistem general de management, care se bazează pe abordarea riscului afacerii, în scopul stabilirii, implementării, funcționării, monitorizării, analizei, menținerii și îmbunătățirii securității informației.

Securitatea informației este caracterizată de următoarele atribute fundamentale:

• confidențialitate

• integritate

• disponibilitate

Securitatea informației înseamnă protejarea informației de acces, utilizare, divulgare, modificare, dislocare sau distrugere neautorizate în scopul continuității afacerii, diminuării pierderilor, maximizării rentabilității investițiilor și oportunităților de afaceri.

I.2.Cadrul legal

LEGISLAȚIA PRIVIND SECURITATEA INFORMAȚIEI

a) Legislația în domeniul securității informației este în continuă dezvoltare și perfecționare pentru a oferi un cadru de reglementare coerent aliniat la cerințele impuse de dezvoltarea socio-economică și tehnologică. Câteva dintre legile de bază sunt:

• Legea nr. 8/1996–privind dreptului de autor și a drepturilor conexe;

• Legea nr. 182/2002 –privind protecția informațiilor clasificate;

• HG nr. 585/2002 –privind standardele naționale de protecție a informațiilor clasificate în România;

• HG nr. 781/2002 –privind protecția informațiilor secrete de serviciu;

• HG nr. 353/2002 –privind aprobarea normelor de protecție a informațiilor clasificate NATO în România;

• Legea nr. 544 /2001 –privind informațiile de interes public;

• Legea nr. 676/2002 –privind protecția datelor cu caracter personal în rețelele de comunicații;

• Legea nr. 677/2001 –privind protecția datelor cu caracter personal și libera circulație a acestor date;

• Legea nr. 455/2001 –privind semnătura electronică;

• Legea nr. 365/2002 –privind comerțul electronic

b) LEGISLAȚIA NAȚIONALĂ ȘI EUROPEANĂ OPOZABILĂ IMPLEMENTĂRII PKI LA NIVELUL MAI ESTE URMATOAREA:

a. OUG nr. 128 din 15 septembrie 2005 privind înființareat" (Planifică- Implementează-Verifică-Acționează.), care este aplicat pentru a structura toate procesele SMSI.

Părțile interesate Părțile interesate

Cerințe și așteptări, privind

Securitatea informației Gestionarea securității informației

Figura 1 — Modelul PDCA aplicat proceselor SMSI

Sistemul de management pentru securitatea informației reprezintă acea parte a unui sistem general de management, care se bazează pe abordarea riscului afacerii, în scopul stabilirii, implementării, funcționării, monitorizării, analizei, menținerii și îmbunătățirii securității informației.

Securitatea informației este caracterizată de următoarele atribute fundamentale:

• confidențialitate

• integritate

• disponibilitate

Securitatea informației înseamnă protejarea informației de acces, utilizare, divulgare, modificare, dislocare sau distrugere neautorizate în scopul continuității afacerii, diminuării pierderilor, maximizării rentabilității investițiilor și oportunităților de afaceri.

I.2.Cadrul legal

LEGISLAȚIA PRIVIND SECURITATEA INFORMAȚIEI

a) Legislația în domeniul securității informației este în continuă dezvoltare și perfecționare pentru a oferi un cadru de reglementare coerent aliniat la cerințele impuse de dezvoltarea socio-economică și tehnologică. Câteva dintre legile de bază sunt:

• Legea nr. 8/1996–privind dreptului de autor și a drepturilor conexe;

• Legea nr. 182/2002 –privind protecția informațiilor clasificate;

• HG nr. 585/2002 –privind standardele naționale de protecție a informațiilor clasificate în România;

• HG nr. 781/2002 –privind protecția informațiilor secrete de serviciu;

• HG nr. 353/2002 –privind aprobarea normelor de protecție a informațiilor clasificate NATO în România;

• Legea nr. 544 /2001 –privind informațiile de interes public;

• Legea nr. 676/2002 –privind protecția datelor cu caracter personal în rețelele de comunicații;

• Legea nr. 677/2001 –privind protecția datelor cu caracter personal și libera circulație a acestor date;

• Legea nr. 455/2001 –privind semnătura electronică;

• Legea nr. 365/2002 –privind comerțul electronic

b) LEGISLAȚIA NAȚIONALĂ ȘI EUROPEANĂ OPOZABILĂ IMPLEMENTĂRII PKI LA NIVELUL MAI ESTE URMATOAREA:

a. OUG nr. 128 din 15 septembrie 2005 privind înființarea, organizarea și funcționarea Sistemului Informatic Național de Semnalări , aprobată și completată prin LEGEA nr. 345 din 29 noiembrie 2005;

b. HG nr. 1.411 din 11 octombrie 2006 pentru aprobarea Normelor de aplicare a OUG nr. 128/2005 privind înființarea, organizarea și funcționarea Sistemului Informatic Național de Semnalări;

c. HG nr. 769 din 14 iunie 2006 privind aprobarea Planului de implementare a Sistemului Informatic Național de Semnalări;

d. Strategia Națională privind aderarea la spațiul Schengen punctul „4.1. Adoptarea și implementarea acquis-ului Schengen”, sub-punctul „Sistemul Informatic Schengen”;

e. Directiva Parlamentului și Consiliului European 1999/93/EC din 13 decembrie 1999 privind cadrul comunitar de reglementare a semnăturilor electronice;

f. Directiva Parlamentului și Consiliului European 2002/58/EC din 12 iulie 2002 privind procesarea datelor cu caracter personal și protejarea intimității în sectorul comunicațiilor electronice (Directiva privind intimitatea și comunicațiile electronice) ;

g. Directiva Parlamentului și Consiliului European 2003/98/EC din 17 noiembrie 2003 privind reutilizarea informației din sectorul public;

h. Regulamentul Parlamentului si Consiliului European 526 din 2006 privind stabilirea unui cod comunitar referitor la circulația persoanelor între frontiere-art. 7;

i. Convenția de Aplicare a Acordului Schengen – art. 92, 94, 97, 98, și capitolul 3;.

j. Tratatul de Aderare la Uniunea Europeană – art.32;

k. Catalogul Schengen de recomandari si bune practici;

l. Planul de Acțiune Schengen, revizuit 2007;

m. ISO 27001:2005 – Tehnologia Informației – Tehnici de Securitate – Sistemul de Management al Securității Informației.

Pentru realizarea aderării la Conventia de Aplicarea a Acordului Schengen s-a creat Sistemul Informatic Național de Semnalări (SINS) și conectarea acestuia cu sistemul central SIS ca măsură necesară pentru accesul la informații privind situația operativă a frontierelor Uniunii Europene și identificarea semnalărilor apărute.

SINS permite organizațiilor abilitate din Romania să realizeze după caz căutări automate în sistem sau modificări/adăugiri de date și astfel să aibă acces la semnalările privind persoane și bunuri pentru desfășurarea activităților specifice de control al frontierei, eliberare vize și permise de ședere, verificare a respectării regimului vamal în condițiile de stat membru Schengen.

Cerințele de securitate ale SINS sunt definite in OUG nr 128/2005 și cuprind:

a. controlul accesului la echipamente pentru a împiedica accesul persoanelor neautorizate la echipamentele de prelucrare a datelor cu caracter personal;

b. controlul suportului de date pentru a împiedica citirea, copierea, modificarea sau ștergerea suportului de date în mod neautorizat;

c. controlul stocării pentru a împiedica introducerea neautorizată de date și inspectarea, modificarea sau ștergerea neautorizată a datelor cu caracter personal;

d. controlul utilizării pentru a împiedica utilizarea sistemelor de prelucrare automată a datelor de către persoane neautorizate cu ajutorul echipamentelor de transmitere a datelor;

e. controlul accesului la date pentru a limita accesul persoanelor autorizate să utilizeze un sistem de prelucrare automată a datelor, numai la datele pentru care au fost autorizate;

f. controlul comunicațiilor astfel încât să se poată asigura verificarea și stabilirea organismelor cărora le pot fi transmise datele cu caracter personal folosind echipamentele de comunicații;

g. controlul introducerii de date pentru a se asigura că este posibil ulterior să se verifice și să se stabilească ce date cu caracter personal au fost introduse în sistemele de prelucrare automată a datelor, când și pentru cine au fost introduse datele;

h. controlul transportului de date pentru a împiedica citirea, copierea, modificarea sau ștergerea neautorizată a datelor cu caracter personal în timpul transmiterii acestora sau în timpul transportului de suporturi de date.

Cerințele de securitate pentru accesul la resursele sistemului informatic Schengen sunt cuprinse în Volumul al 2-lea al catalogului Schengen, SCHENGEN INFORMATION SYSTEM, SIRENE: Recommendations and Best Practices. Aceste cerințe se împart în următoarele categorii:

a. Securitatea personalului și accesul controlat al utilizatorilor la resurse;

b. Protecția echipamentelor ce stochează informații ale SIS împotriva accesului neautorizat la informații, pierdere sau distrugere;

c. Securitatea stațiilor de lucru și a sesiunilor de acces la distantă;

d. Managementul rețelei, asigurarea confidențialității informațiilor transmise, protecția rețelelor împotriva accesului neautorizat;

e. Controlul accesului utilizatorilor, asigurarea unor elemente unice și sigure de indentificare a utilizatorilor, posibilitatea revocării rapide a drepturilor de acces;

f. Visa Information System (VIS) este un alt proiect al Uniunii Europene de interes pentru verificari în procesul de control al traficului la frontieră.

I.3. Infrastructura de Chei Publice (PKI)

Infrastructura de Chei Publice (PKI – Public Key Infrastructure) este acea componentă de infrastructură a unei organizații care furnizează din punct de vedere tehnic și procedural mecanismele de securitate necesare într-o organizație.

Infrastructura de Chei Publice combină certificatele digitale, criptografia de chei publice și autoritățile de certificare pentru a forma arhitectura de securitate a unei rețele. De obicei, se utilizează infrastructura de chei publice pentru a emite certificate digitale pentru utilizatorii individuali , calculatoare și servicii; pentru a publica certificate și chei publice în directoare, astfel încât mesajele să poată fi criptate iar semnăturile digitale să poată fi verificate.

Infrastructura de Chei Publice oferă fundament pentru toate aplicațiile și pentru securitatea rețelei, inclusiv controlul accesului la resursele informaționale de la motoare de căutare web, mesajele de e-mail securizate și semnarea formelor digitale .

O Infrastructura de Chei Publice constă în certificate digitale, Autoritatea de Certificare (CA) și alte autorități de înregistrare care verifică și autentifică validitatea fiecărui utilizator, serviciu, sau computer care este implicat într-o tranzacție electronică .

Proiectarea unui infrastructuri implică configurarea unor șabloane certificate și a Autorităților de Certificare (CA), dezvoltând proceduri de sprijin și stabilind un sistem de control și echilibrare pentru autoritatea administrativă .

Infrastructura de Chei Publice este o combinație de software, tehnologii de criptare, procese și servicii care permit unei organizații să își securizeze comunicările și tranzacțiile sale de afaceri . O Infrastructura de Chei Publice se bazează pe schimbul de certificate digitale între utilizatorii autentificați și resurse de încredere. Se utilizează certificate pentru a asigura date și pentru a gestiona acreditările de identificare de la utilizatori și computere atât în interiorul cât și în exteriorul organizației .

Există posibilitatea de a proiecta o soluție a Infrastructurii de Chei Publice astfel încât să îndeplinească următoarele cerințe de securitate și tehnice ale organizației:

Confidențialitate: Se folosește Infrastructura de chei publice pentru a cripta datele care sunt stocate sau transmise.

Integritate: Se folosește Infrastructura de Chei Publice pentru a semna digital datele. O semnătură digitală ajută la identificarea unui alt user sau proces care au modificat datele.

Autenticitate: O Infrastructura de Chei Publice asigură diverse mecanisme de autenticitate.

Non-repudiere: Atunci când datele sunt semnate digital , semnătura digitală oferă dovada integrității datelor semnate și dovada originii datelor.

Disponibilitate: Se pot instala multiple Autorități de Certificare în ierarhia Autorității de Certificare (CA) pentru a se elibera un certificat. Daca o Autoritate de Certificare nu este valabilă in ierarhia Autorității de Certificare (CA , o alta Autoritate poate elibera certificatul.

I.4. Obiectivele Infrastructurii de Chei Publice în Ministerul Afacerilor Interne

În Ministerul Afacerilor Interne, Infrastructura PKI asigură:

a. identitatea utilizatorilor electronici;

b. autentificarea și autorizarea accesului la sistemele informatice ale MAI;

c. servicii de securizare a schimbului de informații între utilizatorii și/sau sistemele informatice ale MAI;

d. servicii de validare în timp real a certificatelor digitale;

e. servicii de recuperare a cheilor private de criptare;

f. servicii de marcare temporală;

g. suport pentru interconectarea cu PKI ale instituțiilor externe ca element de bază pentru schimbul securizat de informații între acestea și MAI;

h. suport pentru interconectarea cu STS (Serviciul de Telecomunicații Speciale) în vederea verificării și validării certificatelor emise de Furnizorii de Servicii de Certificare externe MAI;

i. scalabilitate pentru dezvoltări ulterioare, care nu țin neaparat de aderarea la Spațiul Schengen, ținând cont de atribuțiile instituționale ale MAI.

Serviciile oferite de PKI se împart în două categorii:

I. Servicii publice, accesibile tuturor utilizatorilor. Aceste servicii se află într-o zonă publică a rețelei de comunicații a structurii.

II. Servicii interne, care țin de operarea și administrarea PKI a structurii. Aceste servicii sunt Autoritatea de Certificare (CA) și Serviciul de recuperare chei private de criptare, componentele cele mai importante din punct de vedere al securității pentru PKI. Din acest motiv, serviciile interne, ale CA, vor fi separate fizic de serviciile publice.

Pentru îndeplinirea obiectivelor PKI MAI prin implementarea arhitecturii PKI a MAI și a unora dintre aplicațiile ce utilizeză serviciile PKI MAI s-au achiziționat sisteme software, hardware și de securitate, precum și servicii asociate necesare.

PKI MAI este compus din:

– Bridge CA ( București);

– soluții PKI implementate la nivelul unor structuri ale MAI , toate din București;

– centrul de back-up și recuperare în caz de dezastru.

I.5. Infrastructura de Chei Publice (PKI) central Ministerul Afacerilor Interne (MAI)

PKI central al MAI este format din Bridge CA și are rolul de a stabili relațiile de încredere atât în interiorul Ministerului Afacerilor Interne cât și cu instituțiile externe.

I.5.1. Cerințe tehnice și funcționale

Implementarea Bridge CA a avut în vedere următoarele cerințe:

• Implementarea unei autorități de certificare;

• Crearea unui șablon de politică de certificare.

I.5.2. Bridge CA

Serviciul de gestiune a certificatelor digitale reprezintă componenta principală a Bridge CA MAI. Acest serviciu este responsabil cu administrarea certificatelor proprii și certificatele autorităților care se conectează la Bridge CA pe tot ciclul de viată și presupune o serie de operații privind certificatele digitale :

a) Generare și administrare chei private proprii ale Bridge CA;

b) Generare certificat digital Bridge CA;

c) Generare cerere de certificat în vederea certificării încrucișate cu autoritățile care se vor conecta la Bridge CA;

d) Înregistrare cereri de certificate digitale;

e) Emitere certificate digitale;

f) Revocare certificate digitale;

g) Reînnoire certificate digitale;

h) Implementarea corespondenței între politicile de certificare ale Bridge CA cu cele ale autorităților care se vor conecta ;

i) Publicarea certificatelor și a Listei Certificatelor Revocate (CRL) emise.

Pentru sporirea gradului de siguranță a certificatelor gestionate, Bridge CA MAI a permis crearea unei arhitecturi structurată pe două domenii de securitate, care aprobă accesul separat al operatorilor. Acestea sunt domeniul de înregistrare a autorității și domeniul de administrare a cheilor și certificatelor . Domeniul de înregistrare a autorității cuprinde serviciile cu caracter public a autorității de certificare:

a) Publicarea certificatului și CRL-urilor autorității;

b) Înregistrare cereri de certificate digitale;

c) Publicarea certificatelor și a CRL-urilor emise .

În zona de administrare a certificatelor și cheilor au fost plasate serviciile cu caracter sensibil:

a) generarea și administrarea cheilor private proprii ale Bridge CA;

b) generarea certificatului digital al Bridge CA;

c) generarea cererii de certificat pentru certificare încrucișată cu autoritățile care se vor conecta la Bridge CA;

d) importul certificatelor emise de autoritățile care se vor conecta la Bridge CA;

e) semnarea CRL-urilor autorităților;

f) semnarea certificatelor autorităților partenere;

g) administrarea politicilor de utilizare a certificatelor;

h) administrarea corespondenței între politicile de certificare ale Bridge CA cu cele ale autorităților care se vor conecta;

i) administrarea operatorilor autorității de certificare.

Autoritatea de certificare va utiliza dispozitive criptografice hardware pentru toate operatiunile ce implică generarea și utilizarea cheilor private.

Pentru sporirea gradului de siguranță a funcționării autorității de certificare, a fost implementat un sistem de autentificare, sistem ce a permis criptarea identității certe a datelor transmise si a celor doua entități care comunică.

Figura 2 – Schema de principiu PKI MAI

I.6. Criptografia

Criptografia oferă un mijloc de protejare a datelor prin conversia ei într-o formă ce nu poate fi citită, pentru a asigura transmiterea între rețele sau organizații, sau pentru a stoca în siguranță date pe hard.

Există două tipuri de tehnici criptografice – criptare simetrică si asimetrică. Se pot folosi împreuna chei simetrice și chei asimetrice pentru a oferi o gamă variată de funcții de securitate pentru a asigura rețele și informații.

I.6.1. Cheile de criptare

Criptarea simetrică

Se mai folosește și termenul de cheie secretă.

Criptarea și decriptarea se realizează cu aceeași cheie.

Este nevoie de cel puțin două entități pentru a avea un secret.

Figura 3 – Exemplu criptare simetrica

Criptarea asimetrică

Se mai folosește și termenul de cheie publică;

Utilizează o pereche de chei : cheie privată + cheie publică;

Cunoașterea cheii publice nu implică deducerea cheii private;

Fiecare entitate posedă o pereche de chei;

Oricine poate trimite mesaje criptate (cu cheia publică a destinatarului) dar numai posesorul cheii private (asociate) le poate decripta.

Figura 3 – Exemplu criptare asimetrică

I.7. Serviciu de directoare central

Autoritatea de certificare (CA) permite utilizatorilor, prin implementarea serviciului de directoare central, accesul la certificatele autorității, la listele de certificate revocate si accesul certificatelor autorităților partenere, fără necesitatea autentificării utilizatorilor.

I.8. Serviciul de validare a stării certificatelor

Serviciul de validare online a stării certificatelor a fost introdus pentru furnizarea în timp real a stării certificatelor. Acest serviciu folosește un dispozitiv criptografic atestat pentru stocarea cheilor folosite pentru semnarea răspunsurilor trimise către client.

CAPITOLUL II

II.1. PKI – structuri MAI

Implementarea arhitecturii PKI la nivelul fiecărei structuri subordonate MAI, s-a realizat pe cale ierarhică.

Pentru fiecare structură a fost necesară implementarea unei infrastructuri cu chei publice pentru a raspunde cerințelor de confidențialitate și non-repudiere, de integritate, autenticitate. In cadrul fiecarei structuri, implementarea infrastructurii cu chei publice a avut în vedere următoarele cerințe:

a) Implementarea unei autorități de certificare;

b) Depozitarea (stocarea) materialului criptografic al utilizatorilor pe token USB;

c) Crearea unui model de politică de certificare;

Infrastructura cu Chei Publice a inclus toate serviciile aferente unei astfel de soluții:

a) Serviciul de gestiune a certificatelor digitale;

b) Modul de recuperare a cheilor private de criptare;

c) Serviciul de validare online a stării certificatului ;

d) Serviciul de marcare temporală .

II.1.2. Gestiunea certificatelor digitale

Serviciul de gestiune a certificatelor digitale este responsabil cu administrarea cheilor și certificatelor utilizatorilor din cadrul unei structuri pe toată durata acestora de viață. Acest serviciu a fost implementat de autoritatea de certificare din fiecare structură. Aceasta a impus următoarele operații:

a) Generarea cheilor private și generarea certificatelor autorității de certificare precum și ale autorităților subordonate;

b) Instalarea certificatelor autorităților de certificare subordonate;

c) Instalarea certificatelor emise de Bridge CA;

d) Generarea cheilor certificatelor utilizatorilor;

e) Înregistrarea cererilor de certificat ale utilizatorilor;

f) Emiterea certificatelor utilizatorilor;

g) Revocarea certificatelor utilizatorilor;

h) Reînnoirea certificatelor utilizatorilor;

i) Recuperarea cheilor private de criptare;

j) Publicarea certificatelor și lista certificatelor relocate autorităților de certificare precum și certificatele utilizatorilor;

Pentru crearea și obținerea unui grad înalt de încredere în certificatele gestionate de către autoritate, s-a introdus o arhitectură împărțită în două zone de securitate, separate atât fizic cât și logic. Această arhitectură a delimitat, în mod evident, administrarea certificatelor și a cheilor de înregistrarea utilizatorilor.

Pentru obținerea unui grad sporit de securitate si protejarea zonelor publice si private ale autorității de certificare este necesara separarea fizica a echipamentelor, fără a fi legate la echipamentele ce accesează rețeaua publică. In acest fel zona privată este protejată față de zona publică , în cazul compromiterii acesteia.

O altă modalitate de creștere a securității și protejării sistemului informatic constă în nepermiterea utilizării aceleiași chei criptografice de către autoritatea de certificare și certificatele utilizatorului. Din acest motiv s-a implementat o infrastructură PKI complet separată.

Cheile operatorilor sistemului sunt generate obligatoriu pe dispozitive criptografice de tip smartcard.

Fiecare structură are propriul personal pentru operarea autorității de certificare.

II.1.3. Serviciul de validare a stării certificatelor

Serviciul de validare a stării certificatelor, este serviciul care ține evidența tuturor evenimentelor și acțiunilor ce au loc și care le păstrează în siguranță, în vederea analizării și verificările ulterioare. Acest serviciu permite, pe baza informațiilor extrase din baza de date a autorității de certificare, validarea certificatelor digitale.

II.1.4. Serviciul de marcare temporală

Acest serviciu constă în cunoașterea cu exactitate a momentului semnării unui anumit document și asigură nerepudierea acțiunilor prin emiterea unor mărci temporale semnate ce conține cel puțin următoarele:

a) Data și ora la care s-a realizat marcarea temporală;

b) Semnătura electronică a seriviciului de marcare pe amprentă electronică a documentului (rezumatul documentului);

c) Informații prin care se poate identifica unic marca temporală în lista mărcilor emise de serviciu.

II.1.5. Serviciul de recuperare a cheilor private de criptare

Serviciul de recuperare a cheilor private de criptare presupune existența unei proceduri, prin care, în cazul pierderii sau defecțiunii, etc., dispozitivului criptografic, documentele criptate să poată fi recuperate. Astfel, pentru păstrarea cheilor private de criptare se utilizează chei de criptare distincte de cheile de semnare ale autorităților de certificare.

II.1.6. Modulul de administrare al token-urilor USB

Modulul de administrare al token-urilor USB oferă următoarele funcționalități:

a) administrarea token-urilor (schimbare pin, deblocare token, administrarea certificatelor de pe token) ;

b) posibilitate de administrarea a token-urilor ;

c) integrare cu modulul de recuperare a cheilor criptografice.

Pentru cazurile în care token-ul nu mai este accesibil (PIN pierdut, token pierdut sau distrus), modulul trebuie sa fie accesibil prin intermediul administratorilor care vor modifica corespunzător în sistem starea token-ului și de asemenea se va genera o cerere de revocare a certificatelor de pe acel token.

II.1.7.Serviciul de directoare local

La nivelul fiecărei structuri s-a implementat un serviciu de directoare accesibil utilizatorilor structurii fără a fi necesară autentificarea la acesta, serviciu în care se publică cel puțin următoarele elemente:

I. certificatele autorității de certificare;

II. listele de certificate revocate emise de autoritatea de certificare;

III. certificatele emise ale utilizatorilor.

II.2.Echipamente hardware si de comunicatii

Pentru securizarea infrastructurilor PKI se utilizează echipamente hardware dedicate care asigură următoarele funcționalități minimale:

• securizare perimetrală – prin implementarea de filtre/drepturi de acces în funcție de porturi, aplicații, adrese IP sursă/destinație;

• protecție antivirus ;

• protecție împotriva programelor de spionare cibernetică;

• criptare trafic;

• compatibilitate cu sistemele de management (SNMP) existente la nivelul structurilor MAI.

Echipament IDS-IPS : Pentru detectarea și prevenirea unor posibile atacuri din interiorul dar și din exteriorul rețelelor publice PKI se utilizează echipamente Sistem de Detecție ale Intruziunilor (IDS) / Sistem de Prevenire al Intruziunilor (IPS) hardware dedicate. Acestea permit conectarea în rețelele interne, externe și în Zonele Demilitarizate (DMZ), și pot realiza captarea și inspectarea traficului înspre și dinspre zonele PKI .

Dispozitive criptografice pentru operatori și utilizatori : Pentru fiecare structură s-au furnizat carduri ce permit accesul în locațiile în care sunt instalate componentele PKI , smart carduri acces la resursele software ce țin de administrarea și operarea PKI structură și dispozitivele criptografice de tip token USB pentru utilizatorii PKI din MAI.

II.3. Sistemul de securitate fizică

Sistemul de securitate fizică implementat pentru protejarea zonelor în care au fost instalate componentele PKI MAI asigură integrarea tuturor subsistemelor componente: televiziune cu circuit inchis, control acces, alarmare la efracție și dispeceratul sistemului.

Sistemul este tolerant la defecte (defectarea unor echipamente nu va afecta funcționalitatea sistemului). Este conceput într-o structură modulară și este realizat în concepția "sistem deschis" și poate fi extins prin introducerea de noi senzori și echipamente. În cazul folosirii unor noi tipuri de echipamente acestea vor fi integrate în aplicația deja existentă.

Aplicația de management a securității asigură stocarea într-o bază de date a tuturor evenimentelor apărute în sistem și asigură posibilitatea reconstituirii în orice moment, atât a evenimentelor stocate cât și a măsurilor luate.

II.3.1. Structura sistemului de securitate fizică

Sistemul de securitate fizică este compus din mai multe sisteme de securitate care asigură detecția tentativelor de pătrundere în incintele în care operează aparatura PKI, întârzierea accesului la acesta după momentul detecției și înregistrarea imaginilor referitoare la intruziune.

Sistemul dispune de un dispecerat central care va integra toate sistemele din obiective.

Există următoarele categorii de sisteme:

a) Sistem de securitate pentru Bridge, conținând un sistem de securitate pentru camera Bridge și dispecerat local;

b) Sistem de securitate pentru camere tehnice PKI, conținând sisteme de securitate pentru camera PKI și dispecerate locale;

c) Sistem de securitate pentru containerele PKI, conținând sisteme de securitate pentru containere PKI și dispecerate locale;

d) Dispecerat national de monitorizare pentru toate sistemele .

II.3.2. Subsistemul de televiziune cu circuit inchis

Sistemul de televiziune cu circuit închis este destinat supravegherii următoarelor zone:

a) Puncte de acces

b) Zone interioare

c) Zone exterioare (in cazul containerelor)

Subsistemul TVCI asigură supravegherea pe timp de zi și noapte. Subsistemul permite monitorizarea tuturor camerelor instalate, din dispecerat.

Se asigură evaluarea automată a alarmelor date de sistemele de efracție, control acces și detecție incendiu (pentru zonele unde există camere TV), prin afișarea automată a imaginilor din zona în care s-a generat alarma.

Imaginile video sunt înregistrate pentru analize post-eveniment și furnizare de probe. Se asigură stocarea imaginilor înregistrate și arhivarea lor pe suport optic.

Subsistemul TVCI permite interconectarea cu celelalte subsisteme de securitate.

Subsistemul TVCI este compus din:

a) camere video fixe de interior;

b) camere video mobile de exterior;

c) înregistratoare video digitale;

d) monitoare .

II.3.3. Subsistemul de control acces

Scopul sistemului de control acces este acela de a restricționa, selecta și ordona mișcarea persoanelor în interiorul unor zone definite din cadrul obiectivului, prin verificarea dreptului de acces a fiecărei persoane care solicită accesul în zonă.

Pentru controlul/dirijarea persoanelor se folosesc sisteme de control acces ce utilizează cititoare de cartele, cod și de caracteristici biometrice.

Subsistemul de control acces, interzice accesul neautorizat al persoanelor în zonele de securitate ale obiectivului.

Subsistemul permite obținerea de situații și rapoarte privind prezența în zonele de securitate ale obiectivului.

Subsistemul de control acces permite dezactivarea manuală a filtrelor de control acces în situații de panică.

Subsistemul de control acces permite interconectarea cu celelalte subsisteme pentru integrare.

II.3.4. Subsistemul de detecție și avertizare a efracției

Subsistemul este proiectat în așa fel încât să asigure detecția tentativelor de pătrundere neautorizată în zonele protejate și alarmarea forțelor de intervenție în timp util.

Subsistemul de detecție și avertizare a efracției asigură detecția încercărilor de intruziune în zonele protejate.

II.3.5. Subsistemul de detecție a inundațiilor

Pentru detecția inundațiilor se utilizează detectoare de inundație montate pe pereți, cu zona de detecție la nivelul pardoselii sau sub pardoseală falsă, acolo unde aceasta este instalată.

Detectoarele dispun de ieșiri tip contact care sunt monitorizate pe intrările modulelor centralei de efracție.

II.3.6. Subsistemul de protecție perimetrală

Sistemul de protecție perimetrală asigură protecția perimetrului containerului care conține echipamentele PKI.

Sistemul de protecție perimetrală este compus din:

a) Gard perimetral cu poarta de acces persoane;

b) Sistem de detecție cu cablu sensibil la vibrații;

c) Contact magnetic (montat pe poarta de acces persoane).

II.3.7. Subsistemul dispecerat

Dispeceratul este concentratorul tuturor informațiilor care provin direct de la echipamentele amplasate în exteriorul și / sau interiorul zonelor protejate. Dispeceratele sunt implementate la nivel local și sunt formate dintr-o încăpere dotată cu un birou, calculator și monitor pentru supraveghere și un dupal încuiat care găzduiesc echipamente de înregistrare video și centrală de securitate. În această încăpere este localizat un operator.

Sistemul asigură atât memorarea evenimentelor, a fișelor de tratare a acestora (conținând reacțiile și observațiile operatorilor – jurnalul de operare) cât și a acțiunilor operatorilor. Fiecare înregistrare conține marca de timp.

Sistemul asigură înregistrarea digitală cu dată / oră / minut, a imaginilor de la toate camerele video, cu posibilitatea exportării clipurilor video către mijloace de arhivare externă.

Pornind de la bazele de date astfel create, subsistemul permite realizarea de rapoarte sintetice, folosind diverse criterii de selecție.

II.3.8. Management centralizat

Aplicațiile de management a securității din obiective, sunt conectate la un dispecerat central.

Aplicația de la nivel central afișează elementele sistemului în format grafic, în aceeași manieră ca și aplicațiile instalate în obiective.

Alarmele de efracție se transmit în timp real către eșalonul superior.

Aplicația de la nivel central permite conectarea la obiective pentru vizualizarea imaginilor de la camerele video în timp real.

Drepturile de acces pentru cartelele de acces sunt gestionate atât de la nivel central, cât și local, pe fiecare obiectiv in parte.

II.4. Sistemul de detecție și stingere incendiu

II.4.1.Subsistemul de stingere incendiu

Sistemul de stingere incendiu cu gaz inert trebuie să asigure protecția persoanelor, precum și a echipamentelor electrice și electronice din camerele de protejat.

Camerele de protejat sunt ocupate sau posibil ocupate de personal operator sau de întreținere și intervenții, care trebuie sa fie protejat de compuși toxici.

Echipamentul electric și electronic trebuie să fie protejat de orice compuși corozivi posibil a fi produși in urma deversării agentului de stingere.

Sistemul de stingere incendiu cu gaz inert, asigură stocarea cantității de gaz necesară, precum și rețeaua de țevi de transport, distribuție și duze de deversare necesare pentru fiecare zonă de stingere.

Sistemul de stingere incendiu trebuie să îndeplinească următoarele cerințe de bază:

a) stingerea cât mai rapidă a unui incendiu incipient, ceea ce presupune existența unui sistem de detecție și alarmare prompt, iar agentul de stingere să aibă efect în adâncime;

b) protejarea personalului care își desfășoară activitățile zilnice în zonă, cu realizarea condiției de siguranță totală în cazul producerii unui incendiu, fără părăsirea locului de muncă, dar și cu posibilitatea luării deciziei corecte în acțiunea de stingere a incendiului;

c) protejarea în întregime a bunurilor existente, de exemplu echipamente de comunicații și calculatoare, precum și a informațiilor stocate de acestea;

d) asigurarea atingerii concentrației de amestec gazos de stingere în zonelor supravegheate;

e) asigurarea unei durate maxime de 72 ore de repunere în funcțiune după o descărcare accidentală sau reală a sistemului;

f) cost de exploatare cât mai redus;

g) nu trebuie sa producă "șoc termic" asupra materialelor și echipamentelor stocate în zonele protejate;

h) atmosfera în camere dupa deversarea agentului de stingere trebuie sa fie respirabilă minim 20 de minute, fără urmări biologice asupra oamenilor aflați în zona protejată;

i) să protejeze toate spațiile din incintă, pardoseala tehnologică, tavan fals.

II.4.2. Protecție TEMPEST

Locațiile fizice în care s-au instalat și funcționează componentele PKI MAI trebuie să fie protejate TEMPEST (incintă ecranată care se stabilește în funcție de echipamentul utilizat sau propus a fi utilizat în interiorul ecranului electromagnetic). Această cameră TEMPEST este utilă pentru a preveni scurgerea de informatii clasificate procesate de sisteme informatice comerciale, prin emisii electromagnetice neintenționate. Incintele protejate TEMPEST sunt destinate pentru atenuarea semnalelor purtătoare de informație confidențială. Metodele fizice de protecție cuprind atât măsuri de ecranare arhitecturală asupra pereților, tavanului și pardoselilor, de filtrare a circuitelor electrice de alimentare, de comunicații, curenți slabi, cât și măsuri de protecție electromagnetică a ușilor, ferestrelor, țevilor, a gurilor de ventilație etc. care străpung pereții încăperilor protejate.

Calculatorul și echipamentele de comunicație primesc și emit energie în forme variate, cum ar fi: curent electric, căldură, lumină, unde electromagnetice conductoare sau radiante, sunet si vibrații. Majoritatea energiei consumate este eliberată sub formă de căldură sau este folosită pentru formarea unor simboluri intenționate pe canalele de comunicare. Restul energiei este corelată in diverse feluri pentru procesarea datelor și poate forma o scurgere de informații neintenționată. In acest fel se deschid oportunități neconvenționale pentru intrușii care dispun de tehnologie sofisticată putând obține acces neautorizat la informația confidențială.

II.5. Aplicații ce utilizează PKI

II.5.1.Aplicație pentru autentificare unitară la aplicații Web pe bază de certificat digital

Pentru a oferi un context unitar de autentificare la aplicațiile de tip web s-a implementat un serviciu care execută operațiunile de autentificare și autorizare. Acest serviciu oferă următoarele funcționalități:

a) Autentificarea utilizatorilor pe baza certificatului digital deținut. Certificatul digital trebuie să fie emis de o autoritate de certificare de încredere;

b) Autorizarea utilizatorilor pe baza listelor de acces deținute de acest serviciu;

c) Criptarea canalului de comunicație între clientul web (browser) și serviciul de autentificare;

d) Single Sign On la aplicații. Odată autentificat cu certificatul digital, utilizatorului nu trebuie să i se mai ceară alte informații, pentru oricare dintre aplicațiile ce urmează a fi accesate.

II.5.2. Aplicație de securitate pentru stațiile de lucru

Informațiile create, accesate, stocate sau transmise de pe stațiile de lucru ale utilizatorilor MAI trebuiesc protejate în conformitate cu cerințele ce privesc confidențialitatea, autenticitatea, integritatea și non-repudierea datelor.

Confidențialitatea datelor se asigură prin criptarea acestora și prin distrugere prin rescriere cu informații aleatoare.

Autenticitatea, integritatea și non-repudierea se asigură prin utilizarea semnăturii electronice și marcarea temporală a datelor semnate.

Pentru toate aplicațiile de securitate pentru stațiile de lucru s-a avut în vedere evaluarea si certificarea națională ca produse de securitate la nivel minim Secret de Serviciu, sub coordonarea Oficiul Registrului Național al Informațtiilor Secrete de Stat (ORNISS).

II.6.Cerințe funcționale și tehnice

II.6.1.Asigurarea confidențialității informațiilor

Confidențialitatea informațiilor trebuie asigurată în conformitate cu prevederile legale din Romania, normele interne ale MAI și cerințele Schengen. Pe stațiile de lucru ale utilizatorilor MAI există aplicații care implementează mecanismele de asigurare a confidențialității informațiilor, prin utilizarea certificatelor digitale emise de PKI ale structurilor Ministerului. Astfel, sunt necesare urmatoarele elemente:

a) Criptarea/Decriptarea informațiilor la nivelul partițiilor sistemului de operare;

b) Criptarea/Decriptarea fișierelor individuale;

c) Criptarea/Decriptarea mesajelor e-mail;

d) Distrugerea informațiilor prin rescriere cu date aleatoare . Această operațiune nu implica utilizarea certificatelor digitale dar este o măsură de securitate importantă pentru asigurarea confidențialității.

II.6.2.Aplicație pentru management securizat de documente

Sistemul informatic de management securizat al documentelor trebuie să acopere necesitățile de operare ale MAI, rezultate din reglementările care definesc cadrul de organizare si funcționare, în concordanță cu strategia de dezvoltare adoptată.

II.6.3. Cerințe funcționale

Sistemul de management al documentelor și fluxurilor de lucru digitale trebuie să asigure următoarele funcționalități:

a) Managementul ciclului de viață al documentelor electronice;

b) Managementul fluxurilor electronice de documente;

c) Arhivarea electronică a documentelor;

d) Raportare;

e) Administrare facilă.

Sistemul de management al documentelor și fluxurilor de lucru trebuie să asigure conformitatea cu standarde internaționale recunoscute în domeniu.

Sistemul trebuie să permită lucrul cu documente clasificate, conform legislației în vigoare (Legea 182 din 2002).

Sistemul de management al documentelor trebuie să ruleze într-o singură instanță centrală dar să permită următoarele:

a) Definirea de spații de lucru izolate, corespunzătoare nivelului unei structuri MAI, în care să se poate face gestiunea independentă a structurii organizatorice, fluxurilor de lucru, documentelor, utilizatorilor și rolurilor asociate.

b) Posibilitatea ca spațiile de lucru enunțate anterior să poată comunica între ele în mod nativ, prin schimbul de documente prin fluxuri electronice comune de lucru.

II.6.4. Caracteristici avansate de securitate

Dat fiind caracterul senzitiv al informațiilor vehiculate în sistemul de management de documente și fluxurile electronice al MAI, sistemul PKI asigură un set de funcționalități avansate de securizare a lucrului cu acest tip de informații. Astfel, sistemul PKI este capabil să ofere:

a) Autentificare pe bază certificatului digital si a echipamentului de tip token;

b) Folosirea semnăturii digitale pentru adăugarea si modificarea documentelor;

c) Verificarea semnăturii digitale de către sistem, pe baza datelor deținute de sistem;

d) Verificare strictă a accesului la documente;

e) Monitorizarea accesului la documente și evidența operațiilor;

f) Semnarea și criptarea informațiilor folosind certificate digitale emise de PKI MAI;

g) Certificatele digitale ale utilizatorilor sunt stocate pe dispozitive de token USB. Operațiunile criptografice care implică utilizarea cheii private se vor desfășura numai pe dispozitive de tip token;

h) Asigurarea legăturii cu serviciul de marcare temporală de la nivelul structurilor MAI;

i) Folosirea unor certificate digitale separate pentru operațiunile de criptare și semnare;

j) Autentificarea utilizatorilor în sistem se realizeză pe bază de nume si parolă, precum și de certificate emise de PKI MAI, cu garantarea validității stării certificatelor digitale la acel moment de timp;

k) Comunicația între partea client a subsistemului și partea server este garantată din punct de vedere al confidențialității în orice moment de timp;

l) La fiecare operațiune senzitivă, de aprobare sau avizare pe fluxurile de documente sistemul solicită utilizatorului semnarea formularului de date.

II.6.5. Managementul ciclului de viată al documentelor

Pentru gestionarea ciclului de viată al documentelor electronice managementul ciclului de viată al documentelor trebuie să ofere următoarele funcționalități:

a) Permiterea adăugării de documente in orice format electronic , in sistem;

b) Adăugarea de formulare electronice si definirea acestora prin completarea acestora cu metadate specifice (date despre date);

c) Exportul documentelor in format PDF;

d) Salvarea imediata a documentelor la orice modificare, cu menținerea versiunilor anterioare;

e) Permiterea adăugării de adnotări asupra documentelor de toti utilizatorii care au drept de editare;

f) Pentru fiecare document, trebuie să se poată adăuga cuvinte cheie. Cuvintele cheie definesc un set de cuvinte reprezentative asociate unui document, pentru ca ulterior să ajute la căutarea facilă a documentului;

g) Semnarea digitală a versiunii curente a documentelor și posibilitatea de verificare și validare a semnăturii de către alți utilizatori;

h) Posibilitatea de a vizualiza documente în formate proprietare fără a fi necesară instalarea de aplicații suplimentare. Astfel de formate includ: Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Project, Adobe Acrobat, fișiere imagine în formatele consacrate (jpg, etc.);

i) Integrare cu suite de aplicații Microsoft Office (Word, Excel, Powerpoint) care să permită salvarea directă în sistem a documentelor editate cu această suită;

j) Posibilitatea de a organiza documentele pe categorii de documente în scopul regăsirii facile a informațiilor prin intermediul explorării ierarhice folosind mai multe criterii;

k) Posibilitatea de a organiza documentele în dosare (grupuri de documente);

l) Posibilitatea de a copia documentele, iar noul document (copia) trebuie să păstreze o legătură către original;

m) Sistemul trebuie să fie capabil să ofere fiecarui utilizator un spațiu privat de lucru, în care acesta să-și păstreze și organizeze documentele;

n) Suport pentru integrarea cu echipamente de scanare/indexare a documentelor în format hârtie;

II.6.6. Lucrul în comun pe documente

Sistemul de document management trebuie să pună la dispoziție diferite tipuri de lucru în comun cu documentele electronice prin metode de colaborare în elaborarea documentelor.

a) Colaborare formală: presupune parcurgerea etapelor pe care le suporta un document (draft, avizat, aprobat). Conform unor proceduri de lucru, sunt definite fluxurile electronice. La executarea acestora, utilizatorul participant execută sarcina alocată și trimite documentul/documentele către receptor.

b) Colaborare informală: presupune posibilitatea partajării documentelor:

1. între utilizatori, prin publicarea unui document sau a unui set de documente către o listă a utilizatorilor în vederea colaborării.

2. prin folosirea unei biblioteci de lucru, cu configurarea drepturilor de access. Documentele pot fi vizualizate și preluate pentru modificare sau pot fi retrase complet, având în vedere drepturile alocate fiecărui utilizator.

II.6.7. Managementul fluxurilor de lucru

În cazul colaborării formale între utilizatori, prin intermediul fluxurilor electronice de lucru, se solicită următoarele funcționalități:

a) Definirea metadatelor în funcție de nume, perioada de valabilitate, durata maximă de execuție, etc;

b) Denumirea setului de activități referitoare la drepturile de acces și prelucrare asupra documentelor;

c) Acordarea unui set de decizii configurabile la nivel administrativ, decizii care trebuie sa conțină comentarii textuale sau comentarii vocale (înregistrare de mesaje);

d) Pe lângă administrator, trebuie ca și inițiatorul unui flux să poată configura următorii parametrii: timpul maxim de execuție al întregului proces, timpul maxim de execuție al fiecărei activități;

e) Posibilitatea de a configura sistemul astfel încât să ia decizii automate prestabilite în cazul în care termenul limită al unei activități din cadrul unui flux a fost depășit.

II.6.8. Arhivare

Funcționalități solicitate:

a) Să permită stocarea datelor pe trei nivele:

1. online (în baza de date);

2. nearline (suport accesibil direct din aplicație);

3. offline (pe medii interne și externe magnetice sau optice).

b) Să permită definirea politicilor de arhivare pe baza unui set extins de criterii de arhivare (tip document, autor, grad de clasificare)

c) Să permită facilități de auto-arhivare;

d) Să execute arhivarea documentelor la terminarea ciclului de viată al acestora;

e) Să permită semnarea digitală în momentul arhivării, pentru a garanta integritatea ulterioară a documentelor în arhivă;

f) Să respecte legislația română în vigoare privind arhivările;

g) Să permită dezarhivarea documentelor ;

h) Aplicația de arhivare să permită criptarea/decriptarea automată folosind certificate digitale emise în cadrul soluției PKI.

II.6.9. Registratura electronică

Sistemul va pune la dispoziție un modul de tip registratură electronică cu următoarele funcționalități:

a) Numerotarea documentelor ;

b) Asocierea unui registru de documente personale pe nivele de clasificare, pentru tinerea evidentei tuturor documentelor adăugate în sistem de către utilizator;

c) Asocierea unui registru de documentelor electronice procesate pe nivele de clasificare, pentru evidenta tuturor documentelor primite de fiecare utilizator prin intermediul fluxurilor electronice de lucru;

d) Asociarea unui registru general pe fiecare structură din sistem, registru electronic în care vor fi înregistrate toate documente oficiale ale acelei structuri. Acest registru va ține evidența documentelor intrate în structură, precum și evidenta documentelor care ies din structură sau sunt depuse în arhivă;

e) Toate registrele trebuie inregistrate intr-un registru unic în care se ține evidența tuturor registrelor folosite în sistem.

CONCLUZII

Rezultatele pe care acest proiect le-a produs sunt următoarele:

a. accesul securizat al utilizatorilor SINS la celelalte aplicații și/sau baze de date relevante;

b. un instrument sigur de schimb de date între autoritățile competente de la frontierele externe ale Romaniei și U.E.;

c. reducerea timpului de control al documentelor la punctele de trecere a frontierelor;

d. dezvoltarea securizării controlului de documente și detectarea eficientă a persoanelor care au facut fapte care fac obiectul unor restricții la punctele de trecere a frontierelor;

e. creează posibilitatea întocmirii unor rapoarte complete și eficiente ale personalului de la punctele de trecere prin accesul la informații furnizate de alte surse;

f. dezvoltarea unor condiții preliminare pentru interconectarea cu sisteme informatice similare europene și internaționale.

Bibliografie

Legea nr. 8/1996–privind dreptului de autor și a drepturilor conexe;

Legea nr. 182/2002 –privind protecția informațiilor clasificate;

HG nr. 585/2002 –privind standardele naționale de protecție a informațiilor clasificate în România;

HG nr. 781/2002 –privind protecția informațiilor secrete de serviciu;

HG nr. 353/2002 –privind aprobarea normelor de protecție a informațiilor clasificate NATO în România;

Legea nr. 544 /2001 –privind informațiile de interes public;

Legea nr. 676/2002 –privind protecția datelor cu caracter personal în rețelele de comunicații;

Legea nr. 677/2001 –privind protecția datelor cu caracter personal și libera circulație a acestor date;

Legea nr. 455/2001 –privind semnătura electronică;

Legea nr. 365/2002 –privind comerțul electronic

OUG nr. 128 din 15 septembrie 2005 privind infiintarea, organizarea si functionarea Sistemului Informatic National de Semnalari , aprobata si completata prin LEGEA nr. 345 din 29 noiembrie 2005;

HG nr. 1.411 din 11 octombrie 2006 pentru aprobarea Normelor de aplicare a OUG nr. 128/2005 privind infiintarea, organizarea si functionarea Sistemului Informatic National de Semnalari;

HG nr. 769 din 14 iunie 2006 privind aprobarea Planului de implementare a Sistemului Informatic National de Semnalari;

Strategia Nationala privind aderarea la spatiul Schengen punctul „4.1. Adoptarea si implementarea acquis-ului Schengen”, sub-punctul „Sistemul Informatic Schengen” ;

Directiva Parlamentului si Consiliului European 1999/93/EC din 13 decembrie 1999 privind cadrul comunitar de reglementare a semnaturilor electronice

Directiva Parlamentului si Consiliului European 2002/58/EC din 12 iulie 2002 privind procesarea datelor cu caracter personal si protejarea intimitatii in sectorul comunicatiilor electronice (Directiva privind intimitatea si comunicatiile electronice).

Directiva Parlamentului si Consiliului European 2003/98/EC din 17 noiembrie 2003 privind reutilizarea informatiei din sectorul public.

Regulamentul Parlamentului si Consiliului European 526 din 2006 privind stabilirea unui cod comunitar referitor la circulatia persoanelor intre frontiere-art. 7

Conventia de Aplicare a Acordului Schengen – art. 92, 94, 97, 98, si capitolul 3.

Tratatul de Aderare la Uniunea Europeana – art.32;

Catalogul Schengen de recomandari si bune practici;

Planul de Actiune Schengen, revizuit 2007;

ISO 27001:2005 –Tehnologia Informației – Tehnici de Securitate – Sistemul de Management al Securității Informației.

Ioan-Cosmin Mihai „Securitatea informațiilor”, Editura Sitech, Craiova, 2012

Victor Valeriu Patriciu, Monica Ene Pietrosanu, Ion Bica, Justin Priescu , „Semnături electronice și securitate informatică”, Editura All, Bucuresti , 2006

Bogdan-Dumitru Țigănoaia , „Asigurarea securității informațiilor în organizații” , Iasi, 2013

Meda Udroiu, Cristian Popa, „Securitatea informațiilor în societatea informatională”, Editura Universitară , Bucuresti, 2010

Microsoft Official Course , „Designing and Managing a Microsoft Windows Public Key Infrastructure 2821A” , 2003

Michael Land, Truett Ricks, Bobby Ricks, „Security Management: A Critical Thinking Approach” , CRC Press , 2013

J.J. Stapleton, „Security without Obscurity: A Guide to Confidentiality, Authentication, and Integrity”, Auerbach Publications 2014

Douglas Landoll, „The Security Risk Assessment Handbook: A Complete Guide for Performing Security Risk Assessments, Second Edition”, CRC Press 2011

Andy Taylor , David Alexander , Amanda Finch , David Sutton , Andy Taylor, „Information Security Management Principles -2nd edition” , 2013

Brook S. E. Schoenfield, „Securing Systems: Applied Security Architecture and Threat Models”, CRC Press, 2015

Richard O'Hanley, James S. Tiller, „Information Security Management Handbook, Sixth Edition, Volume 7” , Auerbach Publications , 2013

Conceptul de securitate a suferit de-a lungul timpului mai multe transformări și îmbunătățiri. În literatura de specialitate securitatea are mai multe definiții și accepțiuni.

În unele securitatea este privită ca o componentă a calității generale a unui sistem, proces sau entitate, fiind legată de aspectul general al fiabilității [I, U 1].

Din propria mea perspectivă cred că securitatea a încetat demult să mai fie un simplu serviciu atașat unui sistem, proces sau entitate și a devenit un element integrator, care trebuie luat în calcul din primele faze ale proiectării, de la emiterea cerințelor inițiale.

Într-un fel va arăta un sistem, proces sau entitate fără a se avea în vedere cerințele de securitate și în cu totul alt fel va fi respectivul sistem având implementate cerințele de securitate emise inițial. Topologia fizică și cea logică, fluxul informațional, structura și managementul unui sistem, proces sau entitate, pentru care s-au emis și implementat cerințele corespunzătoare de securitate, vor fi fundamental diferite față de cazul în care aceste cerințe nu au fost emise, respectiv implementate.

Lucrarea de față tratează câteva aspecte legate de managementul securității în sistemele de comunicații și informatică .

Cine și-ar mai putea închipui azi o lume fără calculatoare și fără acces la Internet. Până și adolescenții folosesc termeni din acest domeniu cu ușurința cu care, mai ieri se vorbea doar de abac.

Dezvoltarea tehnicilor și tehnologiilor digitale, a industriei IT&C a deschis oportunități nebănuite acum câțiva ani. Întreg mapamondul este conectat permanent la informație. Volumul traficului, al schimbului informațional și al utilizatorilor Internetului crește continuu într-un ritm exponențial. O mulțime de activități și operațiuni s-au "mutat" pe Internet folosind infrastructura acestuia pentru ușurarea accesului la informații, comunicații și transfer de date (mai mult sau mai puțin confidențiale) între instituții și persoane, realizarea de activități comerciale și bancare etc. Afacerile au migrat spre Internet folosindu-l ca pe un mijloc rapid și global în activitățile curente. Organismele guvernamentale folosesc Internetul pentru schimb de informații, tratative, acorduri cu caracter confidențial sau chiar secret. Internetul, o super-rețea de rețele, este al tuturor și al nimănui.

Devin astfel deosebit de "atractive" interceptarea, aflarea și modificarea conținutului unor informații transmise prin Internet, pentru hackeri, teroriști, hoți, persoane rău intenționate, servicii de informații secrete, firme concurente, diferite organizații sau puștii care încearcă să acceseze sisteme din teribilism sau pur și simplu din plictiseală.

În aceste condiții, guvernele, firmele, diversele organizații și persoanele fizice au început să-și pună problema protejării accesului la propriile rețele și sisteme de comunicații și informatică precum și la traficul dintre acestea și altele rețele.

S-a dezvoltat o adevărată cultură pentru accesarea celor mai protejate sisteme și rețele. În aceiași măsură s-au dezvoltat strategii noi de apărare împotriva atacurilor, au apărut noi dispozitive, tehnici și tehnologii de acces și păstrare a confidențialității informațiilor stocate, procesate și transmise prin rețelele de comunicații și informatică. Problematica securității a devenit la fel de importantă ca dezvoltarea în sine a științei IT&C, fiind parte componentă a acesteia.[MD 6]

Există o mulțime de abordări și definiții ale securității, pornind de la înțelesul și sfera generală a securității până la securitatea specifică unui anumit domeniu. Datorită multitudinii acestor abordări, a costurilor care le implică, precum și a implicațiilor administrative, procedurale și tehnice securitatea oricărui sistem nu mai poate fi privită ca un element ce se poate atașa oricând unui sistem ci ca un element integrator de sistem. Acest aspect va fi dezvoltat mai târziu în prezenta lucrare. [MD 1]

Bibliografie

Legea nr. 8/1996–privind dreptului de autor și a drepturilor conexe;

Legea nr. 182/2002 –privind protecția informațiilor clasificate;

HG nr. 585/2002 –privind standardele naționale de protecție a informațiilor clasificate în România;

HG nr. 781/2002 –privind protecția informațiilor secrete de serviciu;

HG nr. 353/2002 –privind aprobarea normelor de protecție a informațiilor clasificate NATO în România;

Legea nr. 544 /2001 –privind informațiile de interes public;

Legea nr. 676/2002 –privind protecția datelor cu caracter personal în rețelele de comunicații;

Legea nr. 677/2001 –privind protecția datelor cu caracter personal și libera circulație a acestor date;

Legea nr. 455/2001 –privind semnătura electronică;

Legea nr. 365/2002 –privind comerțul electronic

OUG nr. 128 din 15 septembrie 2005 privind infiintarea, organizarea si functionarea Sistemului Informatic National de Semnalari , aprobata si completata prin LEGEA nr. 345 din 29 noiembrie 2005;

HG nr. 1.411 din 11 octombrie 2006 pentru aprobarea Normelor de aplicare a OUG nr. 128/2005 privind infiintarea, organizarea si functionarea Sistemului Informatic National de Semnalari;

HG nr. 769 din 14 iunie 2006 privind aprobarea Planului de implementare a Sistemului Informatic National de Semnalari;

Strategia Nationala privind aderarea la spatiul Schengen punctul „4.1. Adoptarea si implementarea acquis-ului Schengen”, sub-punctul „Sistemul Informatic Schengen” ;

Directiva Parlamentului si Consiliului European 1999/93/EC din 13 decembrie 1999 privind cadrul comunitar de reglementare a semnaturilor electronice

Directiva Parlamentului si Consiliului European 2002/58/EC din 12 iulie 2002 privind procesarea datelor cu caracter personal si protejarea intimitatii in sectorul comunicatiilor electronice (Directiva privind intimitatea si comunicatiile electronice).

Directiva Parlamentului si Consiliului European 2003/98/EC din 17 noiembrie 2003 privind reutilizarea informatiei din sectorul public.

Regulamentul Parlamentului si Consiliului European 526 din 2006 privind stabilirea unui cod comunitar referitor la circulatia persoanelor intre frontiere-art. 7

Conventia de Aplicare a Acordului Schengen – art. 92, 94, 97, 98, si capitolul 3.

Tratatul de Aderare la Uniunea Europeana – art.32;

Catalogul Schengen de recomandari si bune practici;

Planul de Actiune Schengen, revizuit 2007;

ISO 27001:2005 –Tehnologia Informației – Tehnici de Securitate – Sistemul de Management al Securității Informației.

Ioan-Cosmin Mihai „Securitatea informațiilor”, Editura Sitech, Craiova, 2012

Victor Valeriu Patriciu, Monica Ene Pietrosanu, Ion Bica, Justin Priescu , „Semnături electronice și securitate informatică”, Editura All, Bucuresti , 2006

Bogdan-Dumitru Țigănoaia , „Asigurarea securității informațiilor în organizații” , Iasi, 2013

Meda Udroiu, Cristian Popa, „Securitatea informațiilor în societatea informatională”, Editura Universitară , Bucuresti, 2010

Microsoft Official Course , „Designing and Managing a Microsoft Windows Public Key Infrastructure 2821A” , 2003

Michael Land, Truett Ricks, Bobby Ricks, „Security Management: A Critical Thinking Approach” , CRC Press , 2013

J.J. Stapleton, „Security without Obscurity: A Guide to Confidentiality, Authentication, and Integrity”, Auerbach Publications 2014

Douglas Landoll, „The Security Risk Assessment Handbook: A Complete Guide for Performing Security Risk Assessments, Second Edition”, CRC Press 2011

Andy Taylor , David Alexander , Amanda Finch , David Sutton , Andy Taylor, „Information Security Management Principles -2nd edition” , 2013

Brook S. E. Schoenfield, „Securing Systems: Applied Security Architecture and Threat Models”, CRC Press, 2015

Richard O'Hanley, James S. Tiller, „Information Security Management Handbook, Sixth Edition, Volume 7” , Auerbach Publications , 2013