Protecția ș i securitatea [619498]

Proiect
Protecția ș i securitatea
sistemelor informaț ionale

Studenți: Trufin Andreea că s. Preutescu
Țurcanu Larisa -Georgiana că s. Mititelu
Specializare: Contabilitate și informatică de gestiune
Anul 2 Semestrul II

Cuprins

1.Descrierea societăț ii ………………………….. ………………………….. ………… 3
2.Prezentarea principalelor resu rse informaț ionale din organizaț ie …… 3
3.Pericole ce pot afecta securitatea informațională a organizaț iei …….. 5
I.Accesarea sistemului de că tre personal neautorizat ………………….. 5
II. Păstrarea necorespunză toare a resurselor sistemului. ……………… 6
III.Sustragerea informațiilor de către persoanele ră u voitoare ……… 6
IV. Furtul fizic al echipamentului informatic ………………………….. … 6
V. Afectarea sistemului informațional de neglijența angajaț ilor. …. 7
4.Măsuri de securitate informațională ………………………….. ………………. 7
I. Securitatea la nivelul centrelor de prelucrare a datelor …………….. 7
II. Securitatea echipamentelor de prelucrare a datelor ………………… 8
III.Securitatea software -ului ………………………….. ……………………… 10
IV.Securitatea personalului ………………………….. ………………………. 12
V.Securitatea comunicaț iilor ………………………….. …………………….. 14
5. Propuneri pentru îmbunătățirea securității organizaț iei ……………… 15

1.Descrierea societăț ii

Analiza făcută de noi s -a realizat la un S.R.L. “X” din județul Iaș i
ce desfășoară activităț i conform CAEN 6920. Cabinetul are trei
asociaț i , doi experț i contabili și un contabil , care își desfășoară
activitatea în două locaț ii diferite : sediul central fiind situat în Iaș i, iar
celălalt punct de lucru în Piteș ti.
La sediul de la Iași, firma are șase angajați care se ocupă de
contabilitatea primară iar în sediul de la Piteș ti are patru angajaț i.
Aceștia își desfășoară activitatea de luni până vineri , weekend -ul fiind
liber, cu program d e 8 ore pe zi, cu excepț ia celor doi asociaț i, experți
contabili, care călătoresc de la Iași la Pitești verificând situațiile
întocmite de angajaț i pentru a se lua deciziile finale.
Principalele domenii de activitate ale firmei “X” sunt:
– Activități d e contabilitate ș i audit financiar
– Consultanță î n domeniul fiscal
Societatea deține o clădire în județul Iași , cât și una în Pitești în
care se află birourile angajaț ilor.

2.Prezentare a principalelor resurse informaționale din
organizaț ie

În cele ce urmează vom analiza sediul din Iaș i.
Entitatea are 8 calculatoare , toat e conectate la internet, angajaț ii
au acces la s erviciul de internet pentru a găsi mai ușor informațiile de
care au nevoie în î ndeplinir ea sarcinilor de lucru. Totodată acest
servi ciu este folosit ș i pentru publicitate prin intermediul paginii de

socializare fiind in dentificați potențiali clienți, dar se utilizează această
pagină și pentru a transmite informații, noutăț i ,actualilor clienți și a
avea o interactiune directă utilizâ nd Messenger Bussiness.
Unitatea deține ș i un server cu 7 posturi ( DotNext în rețea ș i
Nexus )
Societatea utilizează sistemul de operare WINDOWS 10 și
folosește următoarele programe de aplicaț ii:
 aplicaț ii tehnice: DotNext , Nexus programe pentru
declaraț ii fiscale;
 programele de aplicații pentru birotică : Microsoft Office;
 aplicațiile pentru fișiere : Total Commander, WinZip;
 aplicații pentru internet: Poșta electronică (Gmail), Mozila,
Chrome, Messenger Bussiness Facebook;
 aplicaț ii pentru securitate: Avas t
 aplicaț ii remote -control: Anydesk, TeamViewer
Firma utilizea ză pe lângă internet , servicii poș tale pentru
efectuarea tr ansportului anumitor documente în relația cu instituțiile
statului cât și către clienț i.
Există două modele de politici de securitate, respectiv modele de
securitate multinivel si modele de securit ate multilaterală .
Din punct de vedere al securitaț ii lui, un sistem informaț ional
este separat prin linii orizontale, în părți. Această formă de împărț ire a
informaț iilor realizează securitatea pe niveluri multiple (multinivel)
prin care sunt delimitate c ategoriile de informaț ii din sistem (publice,
confidenț iale, secrete, strict secrete). Numai persoa nele care au
autorizarea cel puțin egală cu clasificarea informaț iilor au acces la
citirea aces tora. Societatea aleasă abordează acest tip de securitate î n
care informațiile circulă de jos î n sus (PUBLI C => STRICT SECRET)
iar circulația î n sens invers se poate face numai dacă o persoană
autorizată declasifică informaț iile.

Sistemul este structurat ca î n figura de mai jos:

Model de securitate multinivel

3.Pericole ce pot afecta securitatea informațională a
organizaț iei

I.Accesarea sistemului de că tre personal neautorizat

În cadrul societăț ii, fiecare angajat are alocat birou l și
calculator ul propriu. Am observa t că sistemele de protecție prin parole
nu se folosesc la toate calculatoare le sau sunt utilizate incorect în
sensul că sunt cunoscute de ceilalți angajaț i. Concret, angajatul X nu a
întâmpinat niciun imp ediment î n a deschide calculatorul angajatului
Y, acesta având parola notată pe agenda de pe birou , astfel fiind

compromisă confidențialitatea informațiilor aflate î n acel sistem
informatic.

II. Păstrarea necorespunză toare a resurselor sistemului.

Fiecare birou este dotat c u o tăviță în care sunt pă strate stick -uri
USB ce pot fi folosite sau sustrase cu multă ușurință de alte persoane.
La fel de bine , un suport din afară poate fi introdus printre cele dej a
existente, strecurându -se astfel și vi rușii distructivi sau compromițâ nd
arhiva bazei de date ce se doreste ulter ior a se restaura sau utiliza. Î n
acest context integritatea informațiilor poate fi afectată .

III.Sustragerea informa țiilor de către persoan ele ră u voitoare

Deoarece angajații folosesc reț elele de socializare pen tru a
comunica cu clienții și a transmite informații, sistemul informaț ional
poate fi afectat de un a tac al hackerilor cu mai mare ușurință prin
intermediul acestor reț ele.

IV. Furt ul fizic al echipamentului informatic

Societatea are biroul informatic situ at la parterul unei clădiri,
împrejmuită de un gard de înălțime medie. Intrarea în unitate se face
după trecerea de două uși de termopan. Ambele uș i au geamuri de sus
până jos, ce ea ce face mult mai acces ibilă pătrunderea în unitate,
fiindcă acele geamuri se pot sparge foarte uș or iar gardul de
dimensiune medie nu este un mare impediment.

V. Afectarea sistemului informațional de neglijența angajaț ilor.

Angajaț ii nu au un loc s pecial amenajat pentru a lua prânzul.
Fiecare angajat serveș te masa la biroul p ropriu. Dintr -o mica neatenț ie
pot ajunge resturi de mâ ncare sau lichide pe calculatoare ceea ce poate
duce la distrugerea lor cât și a informaț iilor existente pe acestea.

4.Măsuri de securitate informaț ional ă

I. Securitatea la nivelul centrelor de prelucrare a datelor

Proasta funcționare a serviciilor și utilităț ilor dintr -un centru de
prelucrare a datelor poate paraliza ș i cele mai performante
echipamente de prelucrare. De aceea, se recomandă luarea unor
măsuri suplimentare cum ar fi: lumina, caldura, sistemul de aer
conditionat ,furnizarea energiei electrice.
1. Lumina . În cazul societății analizate, există un generator pro priu
de energie care intervine în cazul că derii sistemului normal.
Unitatea mai este prevăzută cu baterii folosite numai pentru
iluminat.
2. Căldura . Organizația este dotată cu centrală termică care asigură
, în general, temperatura de 19 -24 de grade Celsius pentru
funcționarea optimă a echip amentelor .
3. Sistemul de aer conditionat . Firma beneficiază și de această
dotare cu aer condiț ionat care este conceput în așa fel încâ t , în
cazul unui incendiu, să se oprească în cazul în care funcționarea
lui devine periculoasă pentru sistemele informațion ale dar în

același timp să funcționeze dacă este necesar pentru eliminarea
fumului.
4. Furnizarea energiei electrice . De regulă , acest sistem es te sigur,
dar societatea folosește ș i generatoare suplimentare de energie,
UPS-uri, filtre de tensiune etc.
5. Măsuri de pază î mpotriva incendiilor . În cazul analizat,
societatea a organizat un plan de evacuare î n cazul u nui incendiu
și a instruit angajații î n acest sens. În plus este dotată cu
echipamente pentru intervenția î n cazul unui incendiu, cele mai
importante fii nd stingătoarele de incendii electrice ș i ne-
electrice. De asemenea , sunt instalate detectoare de fum ș i
temperaturi ridicate , care fac posibilă declanș area sistemului de
stingere bazat pe gaz halogen. Pe de altă parte , beneficiază și de
stingătoare cu apă în cazul în care incendiul ia proporții și nu
mai contează dacă echipamentele vor fi afectate mai mult sa u
mai puț in.
Aspectele prezentate în acest subcapitol I, se regăsesc în unitatea
de studiu cu numărul 6.

II. Securitatea echipamentelor de prelucrare a datelor

Echipamentele trebuie asigurate împotriva intenț iilor de modificare
a lor.
6. Ca și măsură de control , societatea noastră stabilește momentele
din zi câ nd un echipament periferic sau un utilizator a accesat
sistemul. Angajaț ii nu au voie să lucreze peste program decât
dacă este neaparată nevoie și activitatea se va desfăș ura sub un
control riguros.
De asemenea trebuie asigurată integritatea echipamentelor .

7. Măsura de securitate , folosită de societatea analizată, pentru
asigurarea integrităț ii echipamentelor este autodiagnoza. Prin
acest proces , calculatoarele pot verifica singure , stare a în care se
află celelalte componente , pentru a descoperi ce nu funcționează
cum trebuie.
Intreț inerea echipamentelor es te de asemenea foarte importantă.
8. O măsură de siguranță, observată la firma prezentată de noi, este
deschiderea unui registru de întreț inere în care se notează: data și
ora efectuării operațiilor de întreț inere, numele tehnicienilor,
motivul vi zitei lor ,componentele hard adăugate , reparate ,
înlocuite sau reî nnoite.
9. Societatea ține evidenț a imprim antelor, materialelor de rezervă ,
termina lelor sau monitoarelor ș i a materialelor consumabile
pentru ca acestea să poată fi comandate la timp și a nu apărea
disfuncț ionalități î n sistem.
De asemenea trebuie tratată cu responsabilitate și toleranța la
cădere a echipamentelor.
10. O măsură de securitate pe c are firma a adoptat -o este
funcț ionarea serverului principal cu două unități care procesează
aceleași date în paralel și astfel dacă una va cădea cealaltă își va
desfășura activitatea până prima din ele este pusă din nou în
funcț iune.
Măsu rile la care am fă cut referire în subcapitolul II se regăsesc în
unitatea de studiu cu numă rul 7.

III.Securitatea software -ului

Instruc țiunile sub care funcționează întregul sistem formează softul
calculatorului. Aceste instrucțiuni, sub formă de programe î i vor spune
calculatorului ce să facă și cum să prelucreze da tele deoarece acesta
nu poate gâ ndi. Softul tr ebuie să asigure trei funcții principale, care se
referă în special la confidenț ialitatea datelor:
 Accesul –softul trebuie să recunoască persoanele neautorizate și
să le blocheze accesul .
 Delimitarea – softul trebuie să delimiteze a ctivităț ile
utilizatori lor și să îi trateze după nivelul de autorizare și să
compartimenteze baza de date dupa reguli precise.
 Auditare a- capacitatea softului de a reține ce persone, cât timp,
cu ce date au lucrat și ce au urmă rit.
Vom sublinia câteva măsuri de asigurare a secur ității, prezente în
societatea analizată :
11. Toate activităț ile de programare sunt consemnate, î n scris , la
nivel de unitate dar ș i prin contractul de angajare.
12. Copiile de siguranță ale programelor sunt păstrate în aceleași
condiți i ca ș i originalele .
13. Procesul de elaborare al programelor este însoțit de
documentația aferentă .
14. Accesul î n softul de contabilitate se face pe bază de utilizator și
parolă individuală .

15. Fiecă rui uti lizator i s -au atribuit roluri și niveluri de
confidenț ialitate. Spre exemplu , angajatul ”Popescu A. ” are
utiliz atorul „A” cu nivel de confidenț ialitate 1 (poate doar accesa
modulul de Sto curi dar nu poate efectua operațiuni de Încasări și
plăți).
16. În cazul în care se dorește a se cunoaș te activitatea fiecă rui
utilizator sau identificarea persoanei care a intervenit asupra
bazei de date, administratorul sistemului poate efectua o
interogare a acestuia in urma căreia va obține toate modulele
accesate și intervenț iile efectuate , cu marcaj temporal(data ș i
ora) și local(staț ia de lucru de pe care s -a operat).

Pentru subcapitolul III , am fol osit informațiile prezentate în unitatea
de studiu cu numărul 8 .

IV. Securitatea personalului

Unitatea de studiu cu numărul 9 ne -a ajutat să compune m
subcapitolul IV al proiectului.

În interiorul unei societăți pot apărea diferite incidente
producă toare de prejudicii, asociate personalului, cum ar fi: violenț a,
furtul de obiecte, delapidarea, abuzul, modificarea ,spionajul,
respingerea, folosirea frauduloasă a calculatoarelor pentru comiterea
crimelor, violarea copyright -ului, infracț iuni economice sau
legislative. Principi ile fundamentale care guvernează pro blematica
măsurilor de securitate lega te de personal sunt: „trebuie să ș tie” ,
„trebuie să meargă ” , „celor două persoane” și principiul schimbării
obligațiilor de serviciu. Mă surile ce pot fi luate pe linia securităț ii
privind personalul se pot lua î n diferite stadii: de selecț ie, de atribuire
a responsabilităților pe linia securităț ii, de angajare , de instruire a
personalului , de supraveghere, de încetare a contractului de muncă .
Măsurile luate de societatea analizată, legate de acest subiect
sunt:
17. Încă din etapa de selecț ie, firma analizată , ia mă suri de
securitate legate de personal, cum ar fi verificarea amănunțită a
diplomelor depuse la dosar , la instituțiile specializate : școli,
licee, facultăț i.
18. O altă măsură luată în aceeați etapă, est e acordarea unei
polițe de viață, plătită de societate pentru a putea verifica
condițiil e medicale ale angajatului ( ev entuale boli mi ntale etc.)
19. În etap a de atribuire a responsabilităț ilor pe lini a securității,
ca și măsură de siguranță aplicată de firma analizată este
tratamentul diferit și împărțirea activităților în mod diferit
pentru angajații cu vechime față de cei sezonieri , cu jumătate de
normă sau recent angajaț i.
20. Cand se ajunge la etapa de angajare , firma solicită ca noul
angajat sa treacă print r-o perioadă de probă de 5 luni. Astfel, are
suficient timp pentru a anal iza comportamentul angajatului și a
decide câtă încredere i se acordă .

21. De asemenea, și în etapa de încetare a contractului de
muncă firma se asigură că datele sunt protejate schimbâ nd toate
parol ele de acces la sistem .

V. Securitatea comunicaț iilor

În conturarea subcapitolului V ne -am folosit de informațiile
prezentate în unitatea de studiu cu numărul 10.
Înca din cele mai vechi timpuri , căile de comuni cație au fost
vulnerabile. La început, se urmărea comunicarea telefonică pe distanțe
lungi, fără plată, după care hoții doreau să co munice între ei fără a
putea fi ascultați. Existau două tipuri de atacuri: pasive, când
persoanele nu realizează că sunt ascu ltate ș i nu este afectat conținutul
comunicației și active, câ nd semnalele sunt distruse sau distorsionate.
În conclu zie trebuie fo losite diferite măsuri pentru a proteja că ile de
comunicare : telefoane standard, cablurile de comunicaț ie, transmisiile
prin satelit, telefonie mobilă, poșta electronică etc.
22. Firma analizată de noi , folosește criptarea informaț iilor
importan te ce trebuie transmise , ca măsură de securitate.
23. O altă măsură de protecț ie, pe care a aplicat -o firma , este
neinstalarea niciunui telefo n în zonele foarte importante de
prelucrare a datelor pentru a evita sustragerea de informaț ii.

5. Propuneri pentru îmbunătăți rea securității
organizaț iei

Noi considerăm că societatea analizată mai are de lucrat pentru
îmbunătățirea securităț ii sistemului informaț ional. D in punctul
nostru de vedere următoarele măsuri de siguranță ar ajuta la acest
lucru:
1. În primă fază , societatea ar trebui să lucreze la accesul în
unitate. Considerăm că uș ile de termopan cu geamuri de sus
până jos nu sunt foarte sigure ș i ar putea fi înlocuite cu uș i
metalice. Ba mai mult, accesul în unitate ar trebui să se facă pe
bază de cartelă, mai a les că firma are punctul de prelucrare a
datelor situat la parter.
2. Un alt punct sensibil , l-am observat la angajații unităț ii, care au
parolele de acces notate pe agende. Acest lucru ar trebui să
dispară ș i fiecare angajat să -și rețină parolele de acces pe ntru a
se evita scurgerea de informaț ii.
3. Considerăm că societatea ar trebui să construiască un loc special
amenajat, în care angajații să -și poată servi masa de prâ nz sau
cafeaua de dimineață. Astfel, riscul ca un angajat să verse lichide
sau resturi alime ntare pe calculatoare ar fi eliminat.
4. O altă măsură, prin care considerăm că societatea ar putea
îmbunătăți securitatea informaț iilor, este crearea u nor spații
special amenajate care să se încuie cu cheie și la care să aibă
acces doar persoanele au torizate , pentru depozitarea USB -urilor,

CD-urilor și altor materiale asemănătoare care î n prezent sunt
depozitate pe biroul fiecărui angajat ș i pot fi sustra se foarte uș or.
5. O altă propunere , ar fi renunțarea la perdele ș i la covoare , pentru
că aceste materiale ț in praful. Praful excesiv poat e duce la
intreruperea activităț ii calculatoarelor pe anumite perioade de
timp, cât ș i la pierderea de date din sistemul in formaț ional.