Revista Informatica Economic ă nr. 1 (37)2006 [615528]

Revista Informatica Economic ă nr. 1 (37)/2006
81
Security Planning in IT Systems

Prep. Radu CONSTANTINESCU
Catedra de Informatic ă Economic ă, A.S.E. Bucure ști

Security planning is a necessity nowadays. Planni ng involves policies, controls, timetable and
a continuing attention. Policies are the foundatio n of effective informat ion security. Security
policies challenge users to change the way they think about their own responsibility for pro-
tecting corporate information. The paper presents the compulsi ve elements of security plan-
ning. Keywords: security planning, policy, business continuity, timetable

ntroducere
Cu ceva ani în urm ă, majoritatea activit ăți-
lor de calcul se efectuau pe sta ții mainframe.
Acestea se g ăseau în centre de calcul specia-
lizate și erau supravegheate de exper ți ce asi-
gurau securitatea informatic ă. Începând cu
introducerea calculatoarelor personale în anii
1980, o mare parte a responsabilit ăților de
securitate au fost transferate la nivelul utili-zatorilor. Responsabil itatea nu este con știen-
tizată la nivel real de c ătre mulți utilizatori.
Din nefericire sunt multe exemple în acest sens. Tendin ța este accentuat ă de natura apa-
rent ascuns ă a unor date importante. Oamenii
au înclina ția să protejeze cu aten ție documen-
tele în format tip ărit însă neglijeaz ă gradul de
securitate pe care trebuie sa-l asigure docu-mentelor în format elec tronic. Modul facil de
stocare a unor cantit ăți imense de informa ție
pe dispozitive de dimensiuni reduse accentu-ează riscul la care aces tea sunt expuse. Pen-
tru a evita nepl ăcerile și nu numai, companii-
le trebuie s ă
dezvolte planuri de securitate.
Un plan de securitate este un document care descrie modul în care organiza ția va aborda
problemele de securitate. Planul trebuie re-analizat și îmbunătățit periodic deoarece ne-
voile de securitate ale organiza ției se schim-
bă în permanen ță.
Un plan de securitate identific ă și organizea-
ză activitățile pentru asigurarea securit ății in-
formației. Orice plan de securitate trebuie s ă
se refere la urm ătoarele aspecte: politica de
securitate, starea curent ă, cerințele de securi-
tate, mecanismele de control, înregistrarea evenimentelor, planificarea opera țiilor și îm-
bunătățirea permanent ă. Politica
Un plan de securitate trebuie s ă specifice po-
litica de securitate a firmei. O politic ă de se-
curitate con ține precizarea scopurilor și a in-
tențiilor. La o prim ă vedere toate politicile de
securitate sunt simila re având ca obiectiv
prevenirea bre șelor de securitate . În realitatea
elaborarea unei politici de securitate este un
proces dificil care presupune adaptarea la
specificul organiza ției.
O politică de securitate trebuie s ă răspundă
fără echivoc la urm ă
toarele întreb ări:
• Cine poate avea acces?
• La ce resurse de sistem și organiza ționale
va fi permis accesul?
• Ce tip de acces va primi fiecare utilizator
pentru fiecare resurs ă?

O politică de securitate trebuie s ă specifice în
mod clar urm ătoarele aspecte:
• obiectivele organiza ției privind securita-
tea: asigurarea protec ției datelor împotriva
scurgerilor de informa ții către entități exter-
ne, protejarea datelor fa ță de calamit ățile na-
turale, asigurarea integrit ății datelor sau asi-
gurarea continuit ății afacerii;
• personalul r ăspunzător pentru asigurarea
securității, care poate fi: un grup restrâns de
lucru, un grup de condu cere sau fiecare anga-
jat;
• implicarea organiza ției în ansamblu la
asigurarea securit ății: cine va asigura instru-
irea în domeniul securit ății, cum va fi inte-
grată partea de securitate în structura organi-
zației.
I

Revista Informatica Economic ă nr. 1 (37)/2006
82
Starea curent ă
Pentru a putea planifica securitatea, o organi-
zație trebuie s ă înțeleagă vulnerabilit ățile la
care este expus ă. Organiza ția poate determi-
na vulnerabilit ățile pe baza unei analize a ris-
cului. Aceasta reprezint ă o investigare atent ă
a sistemului, a mediului și a lucrurilor care ar
putea func ționa necorespunz ător. Analiza ris-
cului este fundamental ă pentru descrierea st ă-
rii curente a securit ății informatice. Descrie-
rea poate con ține lista activelor organiza țio-
nale, amenin țările de securitate la adresa lor
și mecanismele de control care protejeaz ă
aceste active. În descrierea st ării curente trebuie specifica ți
responsabilii pentru securitatea fiec ărui activ.
De asemenea este stabilit ă limita de respon-
sabilitate, cu prec ădere atunci când organiza-
ția lucreaz ă în rețea.
Cu toate c ă un plan de securitate trebuie s ă
aibă caracter atotcuprinz ător, cu siguran ță
vor exista vulnerabilit ăți neluate în conside-
rare. Acestea pot fi rezultatul ignoran ței și naivității dar și a introducerii de noi echipa-
mente sau tipuri de date pe m ă
sură ce siste-
mul evolueaz ă. De asemenea pot ap ărea situ-
ații noi, neanticipate de c ătre proiectan ții sis-
temului de securitate. Din aceste motive tre-buie să existe o detaliere a procesului de ur-
mat în momentul identific ării unor noi vulne-
rabilități și a modului de integrare a metode-
lor de control aferente.

Cerințele de securitate
Cerințele de securitate constituie nucleul unui
plan de securitate. Acestea reprezint ă necesi-
tăți funcționale sau de performan ță din cadrul
unui sistem care determin ă un nivel dorit de
securitate. În unele cazuri cerin țele pot fi im-
puse de c ătre organisme externe, cum ar fi
agențiile guvernamentale sau organismele de
standardizare. Figura 1 ilustreaz ă modul de
construire a unui plan de securitate ținând
cont de cerin țe și de restric ții.
Procesul de planificare
a securității
Tehnici de securitate și
mecanisme de controlPolitici de securitate
(condiționări)
Cerințe Plan de securitate

Fig.1. Elaborarea planului de securitate

Un exemplu de pachet de cerin țe este varian-
ta TCSEC (Trusted Computer System Evaluation Criteria):
• politica de securitate: este obligatorie exis-
tența unei politici de securitate explicit ă și
bine definit ă impusă la nivelul sistemului;
• identificarea: fiecare subiect trebuie s ă fie
unic și bine definit. Identificarea este necesa-
ră pentru a putea verifica modul de accesare
a resurselor de c ătre subiec ții sau obiectele
din sistem;
• marcarea: fiecare obiect tr ebuie asociat cu
o etichetă care să indice nivelul de securitate
specific. Asocierea trebuie s ă permită speci-
ficarea rapid ă a parametrilor de securitate în momentul solicit ării accesului la obiectul
respectiv;
• înregistrarea: sistemul trebuie s ă țină o
evidență completă și sigură a acțiunilor care
pot afecta securitatea. Astfel de ac țiuni includ
adăugarea unor noi utili zatori în sistem, mo-
dificarea nivelului de securitate aferent unui subiect sau obiect și interzicerea unei încer-
cări de acces la resursele sistemului;
• asigurarea : sistemul trebuie s ă poată impu-
ne mecanismele de securitate și trebuie s ă
poată evalua corect eficien ța acestora;
• protecție continu ă: mecanismele ce imple-
mentează securitatea trebuie s ă fie protejate
față de modific ări neautorizate.

Revista Informatica Economic ă nr. 1 (37)/2006
83
Procesul de planificare a securit ății trebuie s ă
permită clienților sau utilizatorilor s ă specifi-
ce funcțiile dorite, independent de implemen-
tare. Cerin țele trebuie s ă se refere la toate as-
pectele securit ății: confiden țialitate, integrita-
te și disponibilitate. Acestea trebuie s ă aibă
următoarele caracteristici: corectitudine, con-
sistență, completitudine, realism, necesitate,
verificabilitate, trasabilitate. Cerin țele mai
pot fi condi ționate și de buget, planuri, per-
formanță, politici sau reglement ări guverna-
mentale.

Mecanismele de control recomandate
Cerințele de securitate specific ă necesitățile
sistemului în ceea ce prive ște componentele
ce trebuie protejate. Un plan de securitate
trebuie să recomande și ce mecanisme de
control să fie cuprinse în sistem pentru a rea-
liza aceste cerin țe. Prin analiza riscului se
poate crea o schem ă a corelării vulnerabilit ă-
ților cu mecanismele de control. Mecanisme-
le de control determin ă modul în care va fi
proiectat și dezvoltat sistemul pentru a înde-
plini cerin țele de securitate.

Responsabilitatea implement ării
Un plan de secu ritate trebuie s ă conțină și o
secțiune care s ă identifice persoanele respon-
sabile cu implementarea cerin țelor de securi-
tate. În acela și timp, planul specific ă în mod
exact răspunzătorii în cazul în care o cerin ță
nu este îndeplinit ă sau dacă anumite vulnera-
bilități nu sunt documentate. Planul specific ă,
de asemenea, cine este responsabil pentru implementarea m ăsurilor de control atunci
când o nou ă vulnerabilitate este descoperit ă
sau un nou tip de activ este introdus în folo-sință. Putem specifica rolurile diferitelor per-
soane care interac ționează cu sistemul:
• utilizatorii PC: pot fi responsabili pentru
securitatea propriilor cal culatoare. În mod al-
ternativ poate fi delegat ă o persoan ă sau un
grup care s ă coordoneze aceast ă activitate;
• șefii de proiect: pot fi responsabili pentru
securitatea datelor;
• managerii: pot fi responsabili cu urm ărirea
modului în care personalul implementeaz ă
măsurile de securitate; • administratorii de baze de date: pot fi res-
ponsabili cu reglementarea accesului și inte-
gritatea datelor;
• membrii departamentului resurse umane:

pot fi responsabili cu verificarea bonit ății
morale a angaja ților și cu organizarea de ac-
tivități de pregătire a personalului în domeni-
ul securității informa ției.

Planificarea opera țiilor
Un plan de securitate la nivel de organiza ție
nu poate fi implementat în mod instantaneu. Planul de securitate con ține un planificator
care specific ă cum și când vor fi efectuate ac-
tivitățile prevăzute. Sunt planificate și etapele
intermediare pentru ca echipa de conducere
să poată urmări progresul implement ării.
În cazul în care implem entarea are o dezvol-
tare fazic ă, în sensul c ă sistemul va fi imple-
mentat par țial într-o prim ă fază ca apoi în fa-
zele ulterioare s ă se adauge noi func ționali-
tăți, planul trebuie s ă descrie și modul în care
cerințele de securitate vor fi implementate în
timp. De exemplu, în cazul în care mecanis-mele de control sunt costisitoare sau compli-cate, acestea pot fi in troduse gradual. De
asemenea, mecanismele de control procedu-rale pot necesita preg ătirea personalului pen-
tru ca toat ă lumea să le înțeleagă și să le ac-
cepte. Planul trebuie s ă
specifice și ordinea
de implementarea a mecanismelor de control, astfel încât cele mai mari expuneri s ă fie
acoperite pe cât de repede posibil. Planul trebuie s ă fie extensibil, deoarece
condițiile se pot schimba. Pot ap ărea noi
echipamente, pot fi solicitate noi modalit ăți
de conectare sau pot fi identificate alte ame-
nințări. Planul trebuie s ă includă o procedur ă
pentru modificare și dezvoltare, astfel încât
aspectele de securitate aferente s ă fie luate în
considerare la momentul preg ătirii schimb ării
și nu după ce schimbarea a fost deja f ăcută.

Atenție continu ă
Securitatea informatic ă necesită mai mult de-
cât bune inten ții. Este important s ă existe o
metodă de evaluare a nivelului de securitate.
Odată cu schimb ările la nivelul utilizatorilor,
datelor sau echipamentelor pot ap ărea noi
expuneri. M ăsurile curente pot deveni dep ă-

Revista Informatica Economic ă nr. 1 (37)/2006
84
șite sau ineficiente. Inventarul activelor și lis-
ta mecanismelor de control necesit ă îmbună-
tățirea permanent ă și reefectuarea analizei de
risc.

Acceptarea planului de securitate
După scrierea planului de securitate, acesta
trebuie să fie aprobat iar recomand ările sale
sunt duse la îndeplinire. Acceptarea de c ătre
organizație este cheia succesului unui plan de
securitate. Angajamentul fa ță de plan presu-
pune că funcțiile de securitate vor fi imple-
mentate iar activit ățile vor fi duse la îndepli-
nire. Succesul planului depinde de trei cate-
gorii de persoane:
• echipa de planificare trebuie s ă fie sensibil ă
la nevoile fiec ărui grup ce este afectat de
plan;
• persoanele asupra c ărora planul de securita-
te produce efecte directe trebuie s ă înțeleagă
ce înseamn ă acesta și ce presupune pentru
modul în care utilizeaz ă sistemul și își desfă-
șoară activitatea;
• echipa de management trebuie s ă supervi-
zeze implementarea politicii de securitate și
să-i dea greutate acesteia.

Prin promovarea importan ței securit ății in-
formaționale se pot accepta și înțelege mai
ușor planurile de securitate și importan ța lor.
Este relevant pentru acest lucru cazul unui angajat care a modificat de 24 de ori succesiv parola pentru a putea reveni la varianta favo-rită inițială în condițiile în care sistemul soli-
cita modificarea parolei la un interval de timp stabilit și restricționa parola în sensul nerepe-
tării acesteia în istoricul ultimelor 23 de vari-
ante. În mod evident angajatul nu a în țeles
sau nu a fost de acord cu planul de securitate
sau cel pu țin cu partea ce specific ă restricțiile
la nivelul parolelor de acces. Sprijinul conducerii este condi ționat de în țe-
legerea rolului politicii de securitate și a
funcțiunilor acesteia. În țelegerea presupune
și cunoașterea efectelor poten țiale ale lipsei
de securitate. Planul de securitate trebuie s ă
prezinte o analiz ă comparativ ă a costurilor
mecanismelor de securitate și a pierderilor
potențiale în lipsa lor. Personalul de conduce-
re nu este reprezentat în majoritatea cazurilor
de speciali ști IT. Din acest motiv, riscurile de securitate informatic ă trebuie prezentate în
termeni u șor de înțeles de către nespeciali ști.
Trebuie evitat ă
terminologia tehnic ă. De ase-
menea, conducerea este reticent ă în a aloca
fonduri pentru mecanisme de control f ără o
justificare clar ă. Echipa de dezvoltare pentru
politica de securitate poate ajuta eliminarea
acestor probleme prin descrierea vulnerabili-tăților în termeni financiari și în contextul ac-
tivităților curente.

Planuri pentru continuitatea afacerii
Companiile cu putere financiar ă redusă pot fi
scoase de pe pia ță în urma unui incident de
securitate. Lipsa sistemului informatic poate determina oprirea temporar ă a afacerii ceea
ce implic ă sistarea vânz ărilor și automat în-
registrarea de pierderi.
Un plan pentru con tinuitatea afacerii docu-
mentează modul în care o afacere se va deru-
la în condi țiile unui incident de securitate. Un
plan de securitate standard presupune aborda-rea problemelor de securitate informatic ă în
condiții normale și presupune protejarea afa-
cerii în prisma unui num ăr de vulnerabilit ăți
din surse uzuale. Un plan pentru continuita-tea afacerii se refer ă la situații catastrofale, în
care o mare parte a capacit ății de calcul este
în mod brusc indisponibil ă. Efectele sunt pe
termen lung, ceea ce afecteaz ă în mod direct
afacerea. În continuare vom prezenta o serie de eveni-mente care necesit ă existența unui plan de
continuitate a afacerii:
• incendiu care distruge întreaga re țea de
calculatoare a unei companii;
• eroare software persistent ă care determin ă
neutilizarea sistemului informatic;
• lipsa curentului electric, a echipamentelor
de comunica ție, a accesului la re țea sau a al-
tor servicii critice;
• inundație ce împiedic ă personalul speciali-
zat să ajungă la un punct de lucru important.

Pentru elaborarea unui plan de continuitate a
afacerii trebuie urmate o serie de etape. Acestea sunt:
• evaluarea impactului situa țiilor de criz ă
asupra afacerii;
• dezvoltarea unei strate gii de control a im-
pactului;

Revista Informatica Economic ă nr. 1 (37)/2006
85
• dezvoltarea și implementarea unui plan pe
baza strategiei.

Pentru evaluarea impactului unor situa ții de
criză asupra afacerii trebuie r ăspuns la urm ă-
toarele întreb ări:
• Care sunt activele esen țiale?
• Care sunt evenimentele care pot bloca afa-
cerea?
• Ce vulnerabilit ăți ar putea influen ța nega-
tiv folosirea activelor?

În determinarea activelor cheie nu trebuie s ă
se treacă cu vederea personalul și materialele
folosite, cum ar fi documenta țiile sau echi-
pamentele de comunica ție. O altă modalitate
de abordare este s ă se determine care este
numărul minim de activit ăți necesare pentru
a menține caracterul opera țional al afacerii, la
un acceptabil. Strategia de control specific ă modul în care
pot fi protejate activele cheie. În unele cazuri o copie de rezerv ă sau un echipament har-
dware redundant pot fi de ajuns. Ideal este ca afacerea s ă poată continua f ără nici o pierde-
re, însă în situații catastrofale numai o anu-
mită parte a afacerii poate fi func țională. În
acest caz, trebuie dezvoltat ă o strategie opti-
mă pentru afacere și clienți. De exemplu se
poate decide s ă se mențină jumătate din func-
țiunea X și jumătate din func țiunea Y sau o
mare parte din func țiunea X și puțin din
funcțiunea Y. Durata evenimentului catastro-
fal este un alt factor important. De exemplu,
reconstruc ția după un incendiu poate fi un
proces lung
și implică funcționarea îndelun-
gată în stare de avarie. Modalit ățile de răs-
puns trebuie s ă fie alcătuite astfel încât s ă
existe variante de r ăspuns și pentru incidente
de durată mică și pentru cele pe termen lung.
Un plan pentru continuitatea afacerii specifi-că o serie de aspecte im portante: cine este
coordonatorul în momentul declan șării unui
eveniment catastrofal, ce trebuie f ăcut și cine
trebuie să fie implicat în activit ățile respecti-
ve. Planul justific ă activitățile de prevenire
cum ar fi: achizi ționarea de hardware redun-
dant, alcătuirea de copii de rezerv ă pentru da-
te sau depozitarea de provizii pentru calami-tăți. Planul specific ă necesitatea preg ătirii
personalului pentru a știi cum trebuie s ă reac-ționeze și pentru a evita confuzia generaliza-
tă. Responsabilul cu coordonarea în caz de
calamitate va declara starea de urgen ță și va
instrui colaboratorii asupra modului de urma-re a procedurilor specificate în plan. Tot acesta va instaura starea de urgen ță care se va
încheia atunci când lucrurile vor reveni la normal. Scopul planului pentru continuitatea afacerii
este să țină afacerea în deru lare cât timp per-
sonalul specializat rezolv ă
problema. Un plan
de continuitate a afacerii nu include aspecte conexe cum ar fi chemarea pompierilor sau prezentarea modului de evacuare a cl ădirii ci
este axat pe men ținerea în func țiune a aface-
rii.

Concluzii
Planificarea securit ății informa ției determin ă
crearea unui cadru de lucru coerent aducând siguranță și calitate demersului economic.
Nivelul de bun ăstare al unei na țiuni, mai
exact nivelul calit ății vieții de care au parte
cetățenii acelei țări, depinde în mod decisiv
de calitatea produselor și serviciilor pe care
acea țară le produce. În a doua jum ătate a se-
colului trecut, una dintre cele mai importante înnoiri survenite în planul calit ății a fost
transformarea încrederii în calitate într-o marfă în sine, într-un element care adaug ă
valoare la valoarea intrinsec ă a produsului
sau serviciului. Informațiile trebuiesc s ă fie protejate, indife-
rent de forma în care se reg ăsesc. Implemen-
tarea politicilor și standardelor de securitate
asigură o mai bun ă înțelegere a responsabili-
tăților tuturor celor implica ți în activitatea
economic ă. De asemenea activitatea va bene-
ficia de un plus de credibilitate.

Bibliografie
[Ghos01] Ghosh, A. – Security and Privacy for
E-Business, Ed. John Wiley & Sons, 2001
[Pfle03] Pfleeger, C. – Security in Comput-
ing, Ed. Prentice Hall, 2003
[BaKa02] Basworth, S., Kabay, M. – Com-
puter Security Handbook – 4
th Edition , Ed.
John Wiley and Sons, 2002. [ISO17799] ISO/IEC 17799 Standard [BS7799] BS 7799 Standard