Protectia informatiilor din perspectiva autoritatii nationale de securitate [621408]

1 UNIVERSITATEA “POLITEHNICĂ” BUCUREȘTI
FACULTATEA DE ȘTIINȚE APLICATE
MASTER: TEORIA CODĂRII SI STOCĂRII INFORMAȚIEI

REGLEMETĂRI INFOSEC DIN PERSPECTIVA AUTORITĂȚII
NAȚIONALE DE SECURITATE

Protectia informatiilor din perspectiva autoritatii nationale de securitate

Coordonator:
Lect.Univ.Dr.Alina -Claudia PETRESCU -NIȚA

Absolvent: [anonimizat] 2017 –

2 CUPRINS ;
1 CADRU LEGISLATIV
1.1 STABILIREA INSTITUȚIILOR CU ATRIBUȚIUNI IN
DOMENIUL INFOSEC
1.2 CLASELE DE SECURITATE
1.3 ELEMENTE CONSTITUTIVE ALE SECRETELOR DE STAT
2 PROTECTIA INFORMAȚIILOR CLASIFICATE
2.1 PROTECȚI JURDICĂ
2.2 PROTECȚIA PER SONALULUI
2.3 PROTECȚIA FIZICĂ
2.4 PROTECȚIA TEMPEST
2.5 PROTECȚIA COMSEC
3 STANDARDE INTERNAȚIONALE DE CERTIFICARE ALE SISTEMELOR DE
SECURITATE A IFNFORMAȚIEI
3.1 ISO/IEC 2700 0 (ISMS) – ISO/IEC 270011
3.2 AUDIT ISO/IEC 27013
3.3 AUDIT ISO 14001
3.4 AUDIT ISO 22000/HACCP
3.5 AUDIT ISO/IEC 20000
3.6 AUDIT ISO/IEC 27035
3.7 AUDIT ISO 18001/OHSAS
3.8 AUDIT SA8000
4 RECOMANDĂRI LE COMUNITĂȚII INTERNAȚIONALE DE
CYBERSECURITY
5 sudiu de caz -atacul cibernetic asupra pardidului democrat in contextul
alegerilor prezidentiale in sua

3
1 CADRU LEGISLATIV

Conform H.G.nr.585 din 13.06.2002 pentru aprobarea standardelor naționale de
protectie a informațiilor clasificate in Romania , INFOSEC reprezintă “ansamblul
măsurilor și structurilor de protecție a informațiilor clasificate care sunt prelucrat e,
stocate sau transmise prin intermediul sistemelor informatice de comunicații și al altor
sisteme electronice, împotriva amenințărilor și a oricăror acțiuni care pot aduce atingere
confidențialității, integrității, disponibilității autenticității și nere pudierii informațiilor
clasificate precum și afectarea funcționării sistemelor informatice, indiferent dacă acestea
apar accidental sau intenționat. Măsurile INFOSEC acoperă securitatea calculatoarelor, a
transmisiilor, a emisiilor, securitatea criptografi că, precum și depistarea și prevenirea
amenințărilor la care sunt expuse informațiile și sistemele”
Oficiul Registrului Național al Informațiilor Secrete de Stat este instituția care
aplică la nivel național implementarea măsurilor de securitate a informațiilor naționale
clasificate .ORNISS este este și structura națională de legatură cu organismele de
securitate NATO si UE.
Pentru ca Romania să poată adera la structurile Uniunii Europene și la NATO a fost
nevoie și de o armonizare a legislației naționale cu cea a structurilor la care doream să
aderam. Încă din anul 1991 guvernele Statelor Unite ,Canadei si cu sprijinul Uniunii
Europene au elaborat criteriile comune pentru definirea standardelor de securitate in
domeniul informațiilo r si retelelor.Consiliul Europei stabilește standardul internațional
ISO- 15408 ( prin rezoluția adoptată in 28.01.2002) care definesște cerințele de securitate
minime necesare pentru calculatoarele si rețelele care gestionează informații clasificate.
În conformitate cu acordul de securitate semnat cu NATO prin care România s -a
angajat să protejeze și să apere materialele și informațiile clasificate ale Alianței Nord –
Atlantice ,este adoptă hotărârea de guvern 535 din 15.04.2002 în care sunt stipul ate
normele de protecție a informațiilor clasificate ale NATO.Documentele clasificate
NATO privesc informații de natură m ilitară ,politică și economică .
1.1 STABILIREA INSTITUȚIILOR CU ATRIBUȚIUNI IN
DOMENIUL INFOSEC

Pe lângă Oficiul Registrului Național al Infornațiilor Secrete de Stat ,atribuțiuni privind
protecția informațiilor clasificate mai au competențe și :

4 – Serviciul Roman de Informații
– Serviciul de Informații Externe
-Direcția Gen eralăde Informații a Apărării din cadrul M.A. N.
-Serviciul de Telecomunicații Speciale
-Ministerul Afacerilor Interne
-Serviciul de Pază si Protecție
Prin aprobare in parlament a legii privind protejarea informațiilor clasificate avem
definite informațiile clasificate ,clasele de secretizare,informațiile secrete de stat si
certifivatele de securitate . In legea 182/2002 ne mai sunt precizate
obligațiile,răspunderile dar si sanțiunile ce decurg din nerespectarea prezentului act
normativ. H.G. 585/2002 prezintă normele de alicare ale legii 182/2002 și stabilește
standardele de protecție a ifnormațiilor clasificate .Standardele naționale de prote cție a
informatiilor clasificate se refera la :
-Clasificarea si declasificarea informațiilor
-Reguli privind intocmirea,evidența ,păstrarea ,procesarea,
multiplicarea,transportul,transmiterea și distrugerea informațiilor clasificate
-Protecția inf ormațiilor escrete de stat
-Condițiile de cartografiere , filmare sau fotografiere in obiectivele care gestioneaza
informații secrete de stat.
-Protecția surselor generatoare de informații
-Securitatea industrială
-Contravenții si sancțiuni

1.2 CLASEL E DE SECURITATE
Accesul la informații clasificate este acordat , la cererea angajatorului, de către
ORNISS in urma verificărilor minuțioase efectuete de cătrae organismul de securitate
.Dobândirea unui certificat de securitate nu atrage dupa sin e ș i accesul total la toate
informațiile ce intră sub incidența certificatului dobândit .Conform principiului “nevoia
de a cunoaste “ orice deținător de certificat de securitate are obligația să consulte numai
acele documente care îi sunt necesare indeplini rii atribuțiunilor de serviciu.

5 – Secretul de serviciu este reprezintat de acele informații care divulgate sunt de natură să
aducă prejudicii în interesul unei instituții . Sefii persoanelor juridice sunt abilitați să
stabilească informațiile care pot con stitui secret de serviciu și regulile de protecție a
acestora.Este interzis prin lege sa se clasifice ca secret de serviciu informații de interes
public , de natură să favorizeze încalcarea legii sau obstrucționarea justiției.
-Secrete de stat sunt mate rialete și in informațiile care prin divulgarea lor pot aduce
prejudicii siguranței naționale sau sistemului național de apărare.In funcție de importanța
lor sau stabilit nivelurile de secretizare:
1.3 ELEMENTE CONSTITUTIVE ALE SECRETELOR DE STAT
1- “strict secret de importantță deosebită” – informațiile a căror divulgare neautorizată
este de natură să producă pagube de o gravitate excepțională siguranței naționale.
2- “ strict secret ” – informațiile a căror divulgare neautorizată riscă să produc ă daune
grave securităii naționale.
3-“secret” -informațiile și datele care divulgate pot produce daune securitații naționale.
Informațiile care pot face parte din categoria secretelor de stat sunt potrivit legii:
a) Elementele de bază ale sistemului de apă rare ,caracteristicile armamentului din dotarea
fortelor armate,tehnologii de fabricație ,tehnici si tactici de lupta.
b) Dispozitivele militare,planurile misiunilor și efectivele angajate în desfașurarea
misiunilor.
c) Retelele speciale de comunicații și de calculatoare cu mecanismele de securitate ale
acestora,planurile de apărare și protecție a obiectivelor de interes național.
d) Activitațile specifice desfăsurate de autoritațile stabilite prin lege sa apere siguranța și
integritatea națională.
e) Hărț ile ,termogramele si planurile topografice în care sunt prezentate obiective
clasificate secret de stat.
e) Echipamentele de lucru metodele ,mijloacele ,tehnica și sursele de informatii specifice
care sunt folosite de autoritațile publice ce -și desfasoară activitatea în domeniul
informațiilor.
f) Studiile si prospecțiunile geologice de evaluare a rezervelor naționale de metale
prețioase ,minereuri rare sau radioactive ,precum și rezervele materiale ale Administrației
Naționale a Rezervelor de Stat.

6 g) Pla nurile și sistemele de alimentare cu apa ,energie electrica și termică necesare bunei
funcținări a obiectivelor strategice clasificate secrete de stat.
h) Cercetările din domeniul tehnologiilor nucleare , securitatea și protecția materialelor și
instalaților nucleare .
i) Tipărirea și imprimarea înscrisurilor de valoare de natura titlurilor de stat,obligațiunilor
de stat și bonurilor de tezaur,emiterea de bancnote și batere a monedelor metalice precum
si elementele de siguranță nedestinate publici tății.

2 PROTECTIA INFORMAȚIILOR CLASIFICATE
2.1 – Protecția juridică reprezintă totalitatea legilor,dispozițiilor și normelor
constituționale ce reglementează aspecte privind accesul și clasificarea
informațiilor clasificate .Sefii instituțiilor care dețin si gestionează informații
clasificate au abligația ca împreună cu structura de securitate săasigure
condițiile necesare ca angajații să cunoască reglementările în vigoare și
riscurile nerespectării acestora.
2.2 – Protecțtia personalului se realizea ză printr -un ansamblu de măsuri de
verificare a angajaților în vederea obținerii certificatului de securitate ,a
prevenirii incidentelor de securitate și indentificării surselor de risc.
Semnarea acordurilor de confidențialitate și includerea responsabili taților
privitoare la securitatea datelor în fișa postului sunt măsuri incluse în
standardul de securitate IAO/IEC17799.
2.3 – Protecția fizică presupune măsurile de control -acces ,dispozitivul de
pază și securitate ,controlul fizic și prin mijloace tehn ice în spațiile unde sunt
gestionate si stocate informații cu caracter clasificat.Rolurile principale
urmărite de securitatea fizica îl constituie prevenirea pătrunderii neautorizate
în spațiile protejate și accesul celor autorizați în baza certificatului de
securitate, cu respectarea principiului “nevoia de a cunoaste “
2.4- Protecția TEMPEST reprezintă totalitatea măsurilor de limitare a
emisiilor de radiații electromacnetice sau electrice parazite în urma
funcționării echipamentelor electronice.Un risc i mportant în scurgerea de
informații il prezintă folosirea cablurilor de date sau cablurilor telefonice
neecranate.
2.5- Protecția comunicațiilor COMSEC insumează toate măsurile de
securitate în telecomunicații,cu scopul de a proteja mesajele transmise prin tr-

7 un sintem de telecomunicații,evitându -se astfel riscul de a fi interceptate și
analizate și prin reconstituire să compromită integritatea informațiilor clasificate .

Recomandari ale comunitații internationale SANS
1. Inventarierea dispozitivelor aut orizate și neautorizate

Atacatorii, care pot fi localizați oriunde în lume, scanează permanent spațiul de adrese
al organizațiilor țintă, așteptând ca sistemele noi și neprotejate să fie atașate la rețea.
Atacatorii caută, de asemenea, dispozitive (în special laptop -uri) care vin și ies din
rețeaua instituțiilor și, astfel, se sincronizează cu patch -uri sau actualizările de securitate.
Atacurile pot profita de noul hardware care este instalat în rețea într -o seară, dar nu este
configurat și actualizat cu update de securitate corespunzătoare până în ziua următoare.
Chiar și dispozitivele care nu sunt vizibile de pe Internet pot fi folosite de catre atacatori
care au obținut deja acces intern și care vânează puncte de salt interne sau victime.
Sistemele s uplimentare care se conectează la rețeaua instituției (de exemplu, sisteme
demonstrative, sisteme de testare temporară, rețele de clienți) ar trebui, de asemenea,
gestionate cu atenție sau izolate, pentru a împiedica accesul neautorizat la securitatea
operațiunilor gestionate. Pe măsură ce noua tehnologie continuă să apară, BYOD (aduceți
propriul dispozitiv) – în care angajații aduc la dispoziție echipamentele personale și le
conectează la rețea – devine foarte comună. Aceste dispozitive ar putea fi deja
compromise și pot fi utilizate de către atacatori pentru a infecta resursele interne.
Gestionarea controlată a tuturor dispozitivelor joacă, de asemenea, un rol esențial în
planificarea și executarea sistemului de backup și recuperare

2. Inventarierea s oftware -ului autorizat și neautorizat

Atacatorii scanează în permanență organizațiile țintă și caută variante vulnerabile ale
software -ului care pot fi exploatate de la distanță. Unii atacatori distribuie, de asemenea,
pagini web ostile, fișiere de documente, fișiere media și alte tipuri de conținut prin
propriile pagini web sau prin alte site -uri terțe de încredere. Atunci când victimele
accesează acest conținut cu un browser vulnerabil sau cu alt program client pot
compromite dispozitivele , instal ând adesea programe backdoor care dau atacatorului
controlul pe termen lung al sistemului. Unii atacatori sofisticați pot folosi vulnerabilitățile
necunoscute anterior (de zi zero) pentru care nu a fost încă lansat niciun patch de către
dezvoltatorul de so ftware. Fără cunoașterea sau controlul adecvat al software -ului folosit
într-o organizație, managerii de sistem nu își pot asigura corespunzător bunurile.
Aparatele cu control slab sunt predispuse fie să ruleze programe care nu sunt necesare în
scopuri pro prii (introducând vulnerabilități de securitate potențiale), fie să ruleze
programe după ce un sistem este compromis. Odată ce o singură mașină a fost exploatată,
atacatorii o folosesc adesea ca punct de așteptare pentru colectarea de informații sensibile
din sistemul compromis și din alte sisteme conectate la acesta. În plus, mașinile

8 compromise sunt utilizate ca punct de lansare pentru mișcarea în rețea și în rețelele de
parteneriat. În acest fel, atacatorii pot transforma rapid o mașină compromisă în mul te.
Organizațiile care nu dispun de inventare complete de software nu pot găsi sisteme care
rulează programe vulnerabile sau software rău intenționate pentru a atenua problemele
sau a elimina atacatorii. Gestionarea controlată a întregului software joacă, de asemenea,
un rol esențial în planificarea și executarea sistemului de backup și recuperare.

3. Configurații securizate pentru hardware și software pe dispozitive mobile,
laptopuri, stații de lucru și servere

Configurațiile implicite furnizate de catre producători pentru sistemele de operare și
aplicații sunt în mod obișnuit orientate spre ușurința utilizării și nu spre securitate. Sunt
folosite comenzi de bază, servicii deschise și porturi, conturi implicite sau parole simple (
ex.1234,0000) .Toate ace stea pot fi exploatate de catre atacatori in scopul compromiterii
echipamentelor. Dezvoltarea setărilor de configurare cu proprietăți de securitate bune
reprezintă o sarcină complexă dincolo de capacitatea utilizatorilor individuali.Chiar dacă
se dezvoltă și se instalează o configurație inițială puternică, trebuie să fie gestionată
permanent pentru a evita orice bresa de securitate.Software -ul necesită actualizare
regulată sau patch -uri, altfel există riscul să apară vulnerabilități de securitate și
configu rațiile pot fi păcălite pentru de atacatori care vor găsi oportunități de a exploata
atât servicii accesibile din rețea, cât și software -ul client.

4. Evaluarea continuă a vulnerabilității și remedierea acesteia

Personalul desemnat cu securitatea trebuie să opereze într -un flux constant de informații
noi: actualizări de software, patch -uri, sfaturi de securitate, buletine de amenințări etc.
Înțelegerea și gestionarea vulnerabilităților au devenit o activitate continuă, necesitând
timp, atenție și resu rse semnificative. Atacatorii au acces la aceleași informații și pot
profita de decalajele dintre apariția noilor amenințări și remediere. De exemplu, atunci
când cercetătorii raportează noi vulnerabilități, începe o cursă între atacatorii pe deoparte
(pentru a "arma", a lansa un atac, a exploata), furnizorii de software pe de alta (pentru a
dezvolta, implementa patch -uri sau actualizări) și apărători (pentru a evalua riscurile,
patch -urile de test si instalarea update -urilor). Organizațiile care nu scanea ză
vulnerabilități și adresează în mod proactiv defectele descoperite se confruntă cu o
probabilitate semnificativă de compromitere a sistemelor lor de computere. Apărătorii se
confruntă cu dificultăți deosebite în reducerea timpilor de remediere în între aga instituție
și prioritizarea acțiunilor cu priorități conflictuale și uneori cu efecte secundare nesigure.

5. Utilizarea controlată a privilegiilor administrative

Utilizarea incorectă a privilegiilor administrative este o cauză principală care facilit ează
atacatorilor accesul într -o organizație țintă. Două tehnici de atac foarte frecvente profită
de privilegiile administrative necontrolate. În primul rând, un utilizator de stație de lucru
care rulează ca utilizator privilegiat, este păcălit în deschide rea unui atașament de e -mail
rău intenționat, descărcând și deschizând un fișier de pe un site rău intenționat sau pur și
simplu navigând la un site care găzduiește un conținut de atacator care poate exploata

9 automat browserele. Fișierul sau exploit -ul con ține cod executabil care rulează pe mașina
victimei fie automat, fie prin păcălirea utilizatorul în executarea conținutului atacatorului.
Dacă contul utilizatorului victimă are privilegii administrative, atacatorul poate prelua
complet aparatul victimei și poate instala programe de înregistrare a tastaturii, sonerii și
software -ul de control la distanță pentru a găsi parole administrative și alte date sensibile.
Atacurile de acest gen au loc in general prin intermediul e -mail. Un administrator
malware intro duse d deschide neintenționat un e -mail care conține un atașament infectat
și acesta este folosit pentru a obține un punct de plecare în rețea care este utilizat pentru a
ataca alte sisteme.

Cea de -a doua tehnică comună folosită de atacatori este ridicare a privilegiilor prin
ghicitul sau cracarea unei parole pentru ca un utilizator administrativ să obțină acces la o
mașină vizată. Dacă privilegiile administrative sunt libere și larg răspândite sau identice
cu parolele utilizate în sistemele mai puțin criti ce, atacatorul reușește mult mai ușor de a
obține controlul complet al sistemelor, deoarece există mult mai multe conturi care pot
servi drept cale pentru atacator pentru a compromite privilegiile administrative .

6. Întreținerea, monitorizarea și anali za jurnalelor de audit

Atunci cănd lipsesc jurnalele de audit și analiză a securității atacatorii pot să își ascundă
locația, software -ul rău intenționat și activitățile asupra mașinilor victime. Chiar dacă
victimele știu că sistemele lor au fost comprom ise, fără înregistrări protejate și complete,
ele sunt orbe la detaliile atacului și la acțiunile ulterioare ale atacatorilor. Fără un registru
solid de audit, un atac poate trece neobservat pe o perioadă nedeterminată, iar daunele
provocate pot fi irevers ibile. Uneori, înregistrările atacului sunt singurele dovezi care pot
determina amploarea pagubelor. Multe organizații păstrează înregistrările de audit pentru
a respecta obiectivele, dar atacatorii se bazează pe faptul că astfel de organizații privesc
rareori jurnalele de audit, astfel încât nu știu că sistemele lor au fost compromise. Din
cauza proceselor de analiză precară sau inexistentă, atacatorii uneori controlează mașinile
victime timp de luni sau ani fără ca nimeni din organizația țintă să știe, ch iar dacă
dovezile atacului au fost înregistrate în fișierele jurnal neexaminate.

7. Protecția emailului și a browserului web

Browserele web și clienții de e -mail sunt puncte de intrare și atac foarte frecvente datorită
complexității și flexibilității lor tehnice ridicate și interacțiunii lor directe cu utilizatorii și
cu celelalte sisteme și site -uri Web. Conținutul poate fi creat pentru a atrage utilizatorii
sau pentru ai determina să întreprindă acțiuni care cresc considerabil riscul și care permit
introducerea codului rău intenționat, pierderea datelor valoroase și alte atacuri.

8. Apărări malware

Software -ul rău intenționat este un aspect integrat și periculos al amenințărilor la adresa
internetului și poate fi conceput pentru a ataca sistemele, dispozitivele sau datele
utilizatorilor. Atacul de tip malware poate viza un număr mare de puncte de pen etrare,
cum ar fi dispozitivele utilizatorilor finali, atașamentele de e -mail, paginile web,

10 serviciile cloud și mediile portabile. Malware -ul modern poate fi proiectat pentru a evita
apărarea sau pentru a ataca -o sau dezactiva. Protecția împotriva malware -ului trebuie să
fie capabilă să funcționeze în acest mediu dinamic prin automatizarea la scară largă,
actualizarea rapidă și integrarea cu procese precum Incident Response. De asemenea,
acestea trebuie să se desfășoare în mai multe puncte de atac, pentru a detecta, a opri
mișcarea sau a controla executarea unui software rău intenționat. Este recomandată
folosirea protecției de tip endpoint Enterprise care oferă funcții administrative pentru a
verifica dacă toate sistemele de protecție sunt active și curen te în fiecare sistem gestionat.

9. Limitarea și controlul porturilor de rețea, protocoalelor și serviciilor

Atacatorii caută servicii de rețea accesibile de la distanță care sunt vulnerabile la
exploatare. Printre exemplele obișnuite se numără serverele web, serverele de poștă
electronică, serverele de fișiere și de imprimare și serverele de nume de domenii (DNS)
instalate în mod prestabilit pe o varietate e catre atacator mare de dispozitive, adesea fără
o nevoie de afaceri pentru serviciul dat. Multe pa chete software instalează automat
servicii și le pornesc ca parte a instalării pachetului software principal fără a informa un
utilizator sau un administrator că serviciile au fost activate. Atacatorii scanează astfel de
vulnerabilitați și încearcă să expl oateze aceste servicii, de multe ori încercând codurile de
utilizator implicite și parolele sau codul de exploatare disponibil pe scară largă.

10. Capacitatea de recuperare a datelor

Când atacatorii reușesc să compromită mașinile, aceștia fac adesea sch imbări
semnificative în configurații și software. Uneori atacatorii fac modificări subtile ale
datelor stocate pe mașinile compromise, putând pune în pericol eficiența organizațională
cu informații denaturate. Atunci când atacatorii sunt descoperiți, poate fi extrem de dificil
pentru organizațiile care nu au o capacitate de recuperare a datelor demnă de încredere să
elimine toate aspectele prezenței atacatorului pe mașină.Soluțiile de backup sunt o
necesitate atunci când ne confruntăm cu atacuri de tip rans omware și nu numai.

11. Configurații securizate pentru dispozitive de rețea ( cum ar fi firewall -uri,
router -uri și switch -uri)

Producatorii comercializează echipamentele cu porturile și serviciile deschise, conturi
implicite (inclusiv conturi de servici i) sau parole, suport pentru protocoalele mai vechi
(vulnerabile). Toate pot fi exploatate în configurația lor implicită. Atacatorii folosesc
dispozitivele de rețea care devin mai puțin configurate în timp, deoarece utilizatorii
solicită excepții pentru ne voile specifice ale afacerii. Uneori, excepțiile sunt
implementate și apoi rămân anulate când nu mai sunt aplicabile nevoilor afacerii. În unele
cazuri, riscul de securitate al excepției nu este nici analizat în mod corespunzător, nici
măsurat în funcție d e nevoile de afaceri asociate și se poate schimba în timp.
Atacatorii caută setări implicite vulnerabile, găuri electronice în firewall -uri, routere și
switch -uri și le folosesc pentru a pătrunde în apărare. Ei exploatează deficiențe în aceste
dispozitive pentru a avea acces la rețele, pentru a redirecționa traficul într -o rețea și a

11 intercepta informații în timpul transmisiei. Prin astfel de acțiuni, atacatorul obține accesul
la date sensibile și poate modifica informații importante .

12. Protecția fronta lieră

Atacatorii se concentrează pe exploatarea sistemelor pe care le pot accesa de pe internet,
incluzând nu numai sistemele DMZ (DeMilitarizedZone), ci și computerele de stații de
lucru și laptopurile care trag conținutul de pe internet prin granițele rețelei. Amenințările,
cum ar fi grupurile de crimă organizată și statele -națiuni, utilizează deficiențe de
configurare și arhitectură găsite pe sistemele perimetrice, dispozitivele de rețea și
mașinile de client care accesează Internetul pentru a obține a ccesul inițial într -o
organizație. Apoi, cu o bază de operații pe aceste mașini, atacatorii adesea pivotează
pentru a ajunge mai adânc în interiorul frontierei pentru a fura sau schimba informații sau
pentru a stabili o prezență persistentă pentru atacuril e ulterioare împotriva gazdei interne.
În plus, se produc multe atacuri între rețelele de parteneri de afaceri, în timp ce atacatorii
alunecă de la o rețea la alta, exploatând sistemele vulnerabile pe perimetrele extranetului.
Pentru a controla fluxul de t rafic prin frontierele rețelei este esențial să filtrați atât traficul
de intrare, cât și cel de ieșire folosind mai multe niveluri de protectie bazate pe firewall –
uri, proxy -uri, rețele de perimetru DMZ și IPS și IDS bazate pe rețea.
Trebuie remarcat fap tul că liniile de frontieră dintre rețelele interne și cele externe se
diminuează ca urmare a creșterii interconectivității în interiorul și între organizații,
precum și a creșterii rapide a implementării tehnologiilor fără fir. Aceste linii de
estompare u neori permit atacatorilor să obțină acces în interiorul rețelelor în timp ce
ocolește sistemele de această estompare a limitelor, implementările eficiente de securitate
se bazează în continuare pe apărări de frontieră atent configurate, care separă rețele cu
diferite niveluri de amenințare, seturi de utilizatori și niveluri de control. Și în ciuda
estompării rețelelor interne și externe, sistemele de protecție periferice eficiente în mai
multe straturi contribuie la scăderea numărului de atacuri reușite, pe rmițând personalului
de securitate să se concentreze asupra atacatorilor care au conceput metode de a ocoli
restricțiile de frontieră.

13.Protejarea datelor

Protecția datelor se realizează cel mai bine prin aplicarea unei combinații de tehnici de
criptar e, de protecție a integrității și de prevenire a pierderilor de date. Întrucât
organizațiile își continuă trecerea spre cloud computing și accesul la dispozitive mobile,
este important să se acorde atenție necesară limitării și rapoartelor privind exfiltra rea
datelor, precum și atenuarea efectelor compromiterii datelor. Adoptarea de criptare a
datelor, atât în tranzit, cât și în repaus, oferă atenuarea compromiterii datelor. Acest lucru
este valabil dacă au fost luate în considerare procesele și tehnologi ile asociate cu
operațiunile de criptare. Un exemplu este gestionarea cheilor criptografice utilizate de
diferiții algoritmi care protejează datele. Procesul de generare, utilizare și distrugere a
cheilor ar trebui să se bazeze pe procese dovedite, astfel cum sunt definite în standardele
NIST SP 800 -57. De asemenea, ar trebui să se asigure că produsele utilizate în cadrul
unei organizatii implementează algoritmi criptografici binecunoscuți și verificați,
identificați de NIST. Reevaluarea algoritmilor și dim ensiunilor de chei utilizate anual în

12 cadrul institutiei este, de asemenea, recomandată pentru a se asigura că organizațiile nu se
află în urmă în ceea ce privește puterea de protecție aplicată datelor lor. Pentru
organizațiile care transferă date către cl oud, este important să înțelegem controalele de
securitate aplicate datelor din mediul multi -chiriaș al cloud și să determinăm cel mai bun
mod de acțiune pentru aplicarea comenzilor de criptare și securitatea cheilor. Când este
posibil, cheile ar trebui să fie stocate în containere sigure, cum ar fi modulele de
securitate hardware (HSM). Criptarea datelor oferă un nivel de asigurare că, chiar dacă
datele sunt compromise, este imposibil să accesați textul fără resurse semnificative, dar ar
trebui, de asemene a, să se introducă controale pentru a atenua amenințarea de exfiltrație a
datelor în primul rând.In multe cazuri atacurile trec neopservate datorită faptului ca
victimele nu își monitorizează ieșirile de date .Scăderea controlului asupra datelor
protejate sau sensibile de către organizații reprezintă o amenințare gravă la adresa
operațiunilor de afaceri și o potențială amenințare la adresa securității naționale. În timp
ce unele date sunt scurgeri sau pierdute ca urmare a furtului sau a spionajului, marea
majoritate a acestor probleme rezultă din practicile de date greșit înțelese, lipsa unor
arhitecturi de politici eficiente și erorile utilizatorilor. Controalele DLP ( Data Loss
Prevention ) se bazează pe politici de securitate și includ clasificarea datelor sensibile din
cadrul unei organizatii, controlul și raportarea și auditul pentru a asigura respectarea
normelor de securitate .

14. Acces controlat bazat pe nevoia de a ști

Unele organizații nu identifică cu atenție și nu separă activitățile cele mai sensibile și
critice de informațiile mai puțin sensibile și accesibile publicului în rețelele lor interne. În
multe medii, utilizatorii interni au acces la toate sau cele mai mul te dintre activele critice.
Bunurile sensibile pot include, de asemenea, sisteme care asigură gestionarea și controlul
sistemelor fizice (de exemplu, SCADA Supervisory Control And Data Aquisition ). Odată
ce atacatorii au pătruns într -o astfel de rețea, ei pot găsi cu ușurință și pot sustrage
informații importante, pot provoca daune fizice sau pot perturba operațiunile cu rezistență
redusă. De exemplu, în mai multe încălcări de profil în ultimii ani, atacatorii au putut
accesa date sensibile stocate pe acele ași servere, cu același nivel de acces ca și datele mai
puțin importante.

15. Control acces wireless
frontieră. Cu toate acestea, chiar și cu Cantitați de date importante au fost sustrase de
atacatorii care au obținut acces wireless la organizații din af ara clădirii fizice, ocolind
perimetrele de securitate ale organizațiilor conectându -se fără fir la punctele de acces din
cadrul organizației. Clienții care folosesc acest tip de conexiune pentru a accesa retelele
vizate sunt infectați în mod regulat prin exploatare la distanță în timpul călătoriilor cu
avionul sau în cafenele a retelelor wireless . Astfel de vulnerabilitați sunt exploatate și
folosite ca uși din spate atunci când sunt reconectate la rețeaua unei organizații țintă.
Multe organizații au rap ortat descoperirea unor puncte de acces fără fir neautorizate în
rețelele lor, plantate și uneori ascunse pentru acces nelimitat la o rețea internă. Deoarece
nu necesită conexiuni fizice directe, dispozitivele wireless reprezintă un vector
convenabil pentr u atacatori pentru a menține accesul pe termen lung într -un mediu țintă.

13 16.Monitorizarea și controlul conturilor

Atacatorii descoperă frecvent și exploatează conturi de utilizatori legitimi, dar inactivi,
pentru a se infiltra ca utilizatorii legitimi, c eea ce face ca descoperirea atacatorilor să fie
dificilă pentru observatorii din rețea. Conturile clientilor care au fost reziliate și conturile
create anterior pentru testarea retelei au fost adesea folosite în mod abuziv în acest
fel.Deasemenea ofsti ang ajați rău -intenționați au accesat conturi rămase într -un sistem
mult timp după expirarea contractului, păstrând accesul la sistemul de calcul al unei
organizații și date sensibile pentru scopuri neautorizate și uneori rău intenționate.

17. Evaluarea compe tențelor de securitate și instruirea personalului

Este tentant să ne gândim la apărarea cibernetică în primul rând ca o provocare tehnică,
dar acțiunile oamenilor joacă, de asemenea, un rol esențial în succesul sau eșecul unei
organizatii. Angajații îndep linesc funcții importante în fiecare etapă a proiectării,
implementării, funcționării, utilizării și supravegherii sistemului. Exemplele includ:
dezvoltatori de sisteme și programatori (care nu conștientizează gravitatea unei
vulnerabilități); Profesionișt i în domeniul operațiunilor IT (care pot să nu recunoască
implicațiile de securitate ale jurnalelor IT); Utilizatorii finali (care pot fi susceptibili de
scheme de inginerie socială, cum ar fi phishing -ul); Analiști de securitate (care încearcă
să țină pas ul cu o explozie de informații noi); Și directori și proprietari de sisteme (care
încearcă să facă economie minimizind rolul securității informatice) .
Atacatorii sunt foarte conștienți de aceste aspecte și le folosesc pentru a -și planifica
atacurile, de e xemplu: realizarea cu atenție a unor mesaje de tip phishing care arată ca un
trafic obișnuit pentru un utilizator neatent; Exploatarea lacunelor din politica de securitate
exlpoatănd intervalul de timp al patch -urilor sau al revizuirii jurnalului;
Nici o abordare de apărare cibernetică exclude eficient riscul, fără a dispune de mijloace
pentru remedierea vulnerabilități. În schimb, instruirea periodică a angajaților poate spori
considerabil securitatea organizației.

18. Securitatea software pentru aplicaț ii

Atacurile utilizează adesea vulnerabilităților constatate în software -ul bazat pe web și alte
aplicații. Vulnerabilitățile pot fi prezente din mai multe motive, printre care erorile de
codare, erorile logice, cerințele incomplete și incapacitatea de a testa condițiile
neobișnuite sau neașteptate. Exemple de erori specifice includ: eșecul de a verifica
dimensiunea de intrare de utilizator; Eșecul de filtrare a secvențelor de caractere inutile,
dar potențial dăunătoare din fluxurile de intrare; Eșecul de a inițializa și de a clarifica
variabilele. Se pot afla fără efort informații publice și private despre astfel de
vulnerabilități disponibile atacatorilor și apărătorilor, precum și o piață solidă pentru
instrumente și tehnici care să permită eliminarea vu lnerabilităților în exploatare.
Atacatorii pot injecta exploatări specifice, inclusiv depășiri de tampon, atacuri de injecție
SQL( Structured Query Language ), raufacatorul potențial poate schimba cererea la baza
de date, asfel fiind posibil furtul datelor p rivate . Într -un atac, mai mult de 1 milion de
servere web au fost exploatate și transformate în motoare de infecție pentru vizitatorii
acelor site -uri folosind injecție SQL. În timpul acestui atac, site -urile de încredere au fost

14 compromise de atacatori și au fost folosite pentru a infecta sute de mii de browsere care
au accesat site -urile respective. Multe vulnerabilități ale aplicațiilor web și non -web sunt
descoperite în mod regulat.

19. Răspunsul la incidente

Incidentele cibernetice sunt acum doar o p arte a modului nostru de viață. Chiar și
organizațiile mari, bine finanțate și sofisticate din punct de vedere tehnic se străduiesc să
țină pasul cu frecvența și complexitatea atacurilor. Problema unui atac cibernetic
împotriva unei organizații nu este "d acă" se va produce ci "când".
Când se produce un incident de securitate este esențial să se demareze proceduri de
raportare, colectarea datelor, responsabilitatea managementului, protocoalele juridice și
strategia de răspuns care vor permite organizației s ă înțeleagă, să gestioneze și să -și
revină dupa atac. Fără un plan de răspuns la incident, o organizație nu poate descoperi un
atac în primul rând sau, în cazul în care atacul este detectat, organizația nu poate să
urmeze proceduri bune pentru a contabiliz a daunele, eradica prezenței atacatorului și
pentru a se restabili într -un mod activitatea. Astfel, atacul poate avea un impact mult mai
mare, provocând mai multe daune, infectând mai multe sisteme și, eventual să extragă
date mai sensibile decât ar fi fos t posibil în cazul în care ar fi fost un plan eficient de
reacție la incidente.

20.Teste de penetrare

Testarea de penetrare începe de la identificarea și evaluarea vulnerabilităților care pot fi
identificate în organizație. Prin conceperea și executarea de teste care demonstrează în
mod specific modul în care un atacator poate să submineze obiectivele de securitate (de
exemplu, stabilirea unei infrastructuri ascunse de comandă și control). Rezultatul oferă o
perspectivă concretă, prin demonstrație, asupr a diferitelor vulnerabilități.

Atacatorii exploatează deseori decalajul dintre modelele bune de apărare și intențiile și
implementarea sau întreținerea. Exemplele includ: fereastra de timp dintre anunțarea unei
vulnerabilități, disponibilitatea unui patch furnizat și instalarea reală pe fiecare mașină;
Politici bine intenționate care nu dispun de mecanisme de aplicare (în special cele menite
să limiteze acțiunile de natură umană riscante); Eșecul de a aplica configurații bune și alte
practici pentru întrea ga organizației sau pentru mașinile care intră în și în afara rețelei; Și
neînțelegerea interacțiunii dintre mai multe instrumente defensive sau cu operații normale
ale sistemului care au implicații de securitate.
În plus, apărarea cu succes necesită un pr ogram amplu de apărare tehnică, o bună politică
de securitate și o gestionare corespunzătoare a resursei umane. Într -un mediu complex, în
care tehnologia evoluează în mod constant, iar atacatori apar regulat, organizațiile ar
trebui să -și testeze periodic apărările pentru a identifica lacunele și pentru a -și evalua
disponibilitatea de răspuns.

Bibiliografie:

15 -www.intelligence.sri.ro/standardizarea -si-evaluarea -masurilor -de-protectie –
surselor -generatoare -de-informatii
-www.sri.ro/protectia -informatiilor -clasificate /ghid practic
-www.orniss.ro
– scribd.com
-legea 182/2002
-H.G.353/2002
-H.G.585/2002
-ISO-15408
-SR EN/ISO CEI 27001:2005, Tehnologia informației – Tehnici de securitate -sisteme de
management al securității informației.
– SR EN/ISO CEI 27002:2 007, Tehnologia informației – Tehnici de securitate – Cod de
buna practica pentru managementul securității informației