Teoria Codării și Stocării Informației [621407]
Teoria Codării și Stocării Informației
LUCRARE DE DISERTAȚIE
CONTROALE DE SECURITATE IN SISTEM IT&C
COORDONATOR ȘTIINȚIFIC,
Lect .Univ.D r. Alina-Claudia PETRESCU -NITA
ABSOLVENT: [anonimizat]
2017
Controale de securitate in sistem IT&C
1
CUPRINS
1. IMPLEMENTAREA ȘI CERTIFICAREA UNUI SISTEM DE MANAGEMENT
AL SECURITĂȚII INFORMAȚIEI (SMSI ) …………………………………………………
2
1.1 Audit ISO/IEC 27001 (ISMS) …………………………………………………… … 2
1.2 ISO/IEC 27000 …………………………………………………………………… .. 2
1.3 ISO/IEC 27002………………………………………………………………… ….. 3
1.4 ISO/IEC 27003 …………………………………………………………………… .. 4
1.5 ISO/IEC 27004 …………………………………………………………………… .. 4
1.6 ISO/IEC 27005 …………………………………………………………………… .. 4
1.7 ISO/IEC 27006 …………………………………………………………………… .. 5
1.8 ISO/IEC 27011…………………………………………………………………… .. 5
1.9 Audit ISO/IEC 27013 ……………………………………………………………… 6
1.10 Audit ISO 14001…………………………………………………………………… 7
1.11 Audit ISO 22000/HACCP …………………………………………………………. 7
1.12 Audit ISO/IEC 20000………………………………………………………………. 8
1.13 Audit ISO/IEC 27035………………………………………………………………. 9
1.14 Audit ISO 18001/OHSAS……………………………………………………… …. 10
1.15 Audit SA8000………………………………………………………………………. 11
2. AUDITAREA SISTEMELOR INFORMATICE……………………………………. 13
2.1 Audit de performanță IT&C………………………………………………………… 13
2.2 Criterii de evaluare………………………………………………………………….. 14
2.3 Teste de penetrare………………………………………………………………… … 15
2.4 Evaluarea aplicațiilor……………………………………………………………….. 16
2.5 Teste de penetrare a aplicațiilor web……………………………………………… .. 16
2.6 Teste de penetrare a aplicațiilor mobile…………………………………………….. 17
2.7 Teste de penetrare a aplicațiilor client (non -web)………………………………… … 17
2.8 Audit de conformitate IT&C……………………………………………………… .. 18
2.9 Internet banking…………………………………………………………………….. 19
2.10 Sistemele IT&C CNVM……………………………………………………………. 19
2.11 Marca temporală……………………………………………………………………. 20
2.12 Arhiva electronică………………………………………………………………… … 21
2.13 Sistemul Electronic de Plăți………………………………………………………… 22
2.14 Semnătura Electronică……………………………………………………………… 23
2.15 Semnătura Digitala………………………………………………………………….. 27
2.16 Factura electronică………………………………………………………………….. 28
2.17 Audit Standard PCI-DSS…………………………………………………………… 29
3. SERVICII DE CONSULTANȚĂ…………………………………………………….. 31
3.1 Managementul securității informației (InfoSEC)………………………………… … 31
3.2 Evaluarea riscurilor…………………………………………………………………. 32
4. CONSULTANȚĂ IT&C……………………………………………………………… 35
4.1 Ce este consultanța IT&C………………………………………………………… .. 35
4.2 Când este necesar sa apelați la serviciile unui consultant IT&C…………………… 35
4.3 Ce servicii se pot oferi……………………………………………………………… 35
BIBLIOGRAFIE…………………………………………………………………………. 37
Controale de securitate in sistem IT&C
2
1. CAPITOLUL I – CERTIFICAREA ȘI IMPLEMENTAREA UNUI SISTEM DE
MANAGEMENT ASUPRA SECURITĂȚII INFORMAȚIEI (SMSI)
1.1 Audit ISO/IEC 27001 (ISMS)
Familia ISO/IEC 27000 (p t scurt “ISO27k”) cuprind t standard t dt stcuritat t publicat t
în comun d t cătrt Organizația Int trnațională p tntru Standardizar t (ISO) și Comisia
Eltctrot thnică Int trnațională (IEC). S tria of tră r tcomandări cu privir t la c tlt mai bun t
practici d t gtstionar t a informațiilor d t stcuritat t și d t control a riscurilor în cont txtul unui
sisttm d t manag tmtnt al s tcuritatii informati ti (ISMS).
Stria ar t un dom tniul larg d t aplicar t, car t acop tra mai mult d tcât intimitat ta,
confid tntialitat ta si probl tmtlt dt stcuritat t tthnic t sau IT.
Actasta s t aplică p tntru toat t organizațiil t indif trtnt d t form t și mărimi. Toat t
organizațiil t sunt încurajat t să își tvalu tzt riscuril t dt stcuritat t a informațiilor, și apoi să
pună în aplicar t informații ad tcvat t dt control și d t stcuritat t în funcți t dt ntvoil t lor,
folosindu -st dt oritntar t și sug tstii dacă tstt cazul. Având în v tdtrt natura dinamică a
informațiilor d t stcuritat t, ISMS încorpor tază un conc tpt continuu d t fttdback și
îmbunătățir ta activităților conform ciclului D tming PDCA (plan -do-chtck-act) d t abordar t
continuă.
Standard tlt sunt produsul activității comit ttului ISO / IEC JTC1, subcomit ttului
SC27, o comisi t inttrnațională car t st întrun tștt dt două ori p t an.
În pr tztnt, din s tria d t standard t dtdicat t stcurității informați ti ISO 27k, p t lângă
ISO/IEC 27001 – ”Sptcificații al t sisttmtlor d t manag tmtnt a s tcurității informați ti” mai fac
part t:
1.2 ISO/IEC 27000
Actst standard of tră o imagin t dt ansamblu a sist tmtlor d t manag tmtnt a s tcurității
informați ti ct fac obi tctul famili ti dt standard t ISMS (Sist tmt dt Manag tmtnt a S tcurității
Informați ti) și d tfintștt ttrmtnii din dom tniu.
Un sist tm d t manag tmtnt a s tcurității informați ti (ISMS) r tprtzintă o abordar t
sisttmatică a manag tmtntului informați ti astf tl încât ac tasta să înd tplin tască c tlt 3 asp tctt
alt stcurității: confid tnțialitat ta, int tgritat ta și disponibilitat ta. Sist tmul d t manag tmtnt a
stcurității informați ti implică atât tchipam tnttlt hardwar t și proc tstlt softwar t cât și într tg
ptrsonalul un ti organizații c t art accts la sist tmul informațional.
Controale de securitate in sistem IT&C
3
Ca r tzultat al impl tmtntării standardului ISO/IEC 27000, toat t tipuril t dt organizații
(dt txtmplu soci ttățil t com trcial t, ag tnțiil t guvtrnam tntalt sau organizațiil t non-profit) pot
obtin t:
imagin t dt ansamblu asupra famili ti ISMS d t standard t;
introduc trt în sist tmtlt dt manag tmtnt a s tcurității informați ti (ISMS);
scurtă d tscritrt a proc tsului PDCA – Plan-Do-Chtck-Act (Planifică –
Impl tmtnttază-Vtrifică -Action tază);
înțtltgtrt a ttrmtnilor și d tfinițiilor utilizat t în într taga famili t ISMS d t standard t.
Obitctivtlt standardului ISO/IEC 27000 sunt d t a of tri t trmtni, d tfiniții și o
introduc trt în familia ISMS d t standard t cart:
dtfintsc c trințtlt ptntru sist tmtlt dt manag tmtnt a s tcurității informați ti și p tntru
ctlt cart ctrtifică ac tstt sisttmt;
oftră suport, îndrumar t dttaliată și/sau int trprttart a ctrințtlor și proc tstlor
PDCA;
oftră îndrumări p tntru s tcțiunil t sptcific t din familia ISMS d t standard t;
oftră tvaluări p tntru familia ISMS.
1.3 ISO/IEC 27002 – Cod d t practică p tntru manag tmtntul s tcurității
informați ti
Standardul ISO/IEC 27002 tstt fostul standard ISO/IEC 17799 căruia i s -a schimbat
num tlt ptntru a fac t part t din s tria ISO 27000 d tdicată s tcurității informați ti. Stabil tștt
principiil t gtntralt ptntru iniți trta, impl tmtntar ta, m tnțin trta și îmbunătățir ta
manag tmtntului s tcurității informați ti într -o organizați t.
Obitctivul său tstt să furniz tzt indicații g tntralt privind obi tctivtlt gtntral acc tptatt
în manag tmtntul s tcurității informațiilor. Standardul ISO/IEC 27002 conțin t ctlt mai bun t
practici d t control în următoar tlt dom tnii d t manag tmtnt al s tcurității informați ti:
– politica d t stcuritat t;
– organizar ta stcurității informați ti;
– manag tmtntul activ tlor;
– stcuritat ta rtsurs tlor uman t;
– stcuritat ta fizică și a m tdiului înconjurător;
– manag tmtntul comunicațiilor și al op trațiilor;
– controlul acc tsului;
– achiziționar ta sist tmtlor informațional t, dtzvoltar ta și m tnttnanța lor;
Controale de securitate in sistem IT&C
4
– manag tmtntul incid tnttlor d t stcuritat t a informațiilor;
– manag tmtntul continuității afac trii.
Obitctivtlt dt control în standardul ISO/IEC 27002 sunt d tstinat t să fi t pust în
aplicar t ptntru a înd tplini c trințtlt idtntificat t printr -o tvaluar t a riscului.
Standardul tstt conc tput ca un ghid practic p tntru d tzvoltar ta standard tlor d t
stcuritat t organizațională și practic tlt tftctivt dt manag tmtnt a s tcurității și p tntru a ajuta la
construir ta încr tdtrii în activități int trorganizațional t.
1.4 ISO/IEC 27003 – Ghid d t impl tmtntar t a sis ttmului d t manag tmtnt a
stcurității informați ti
Standardul ISO/IEC 27003 s t conc tntrtază p t asptcttlt critic t ntctsart ptntru
proi tctarta și impl tmtntar ta cu succ ts a unui sist tm d t manag tmtnt a s tcurității informațiilor
(ISMS), în conformitat t cu ISO / IEC 27001.
Actsta d tscrit proc tsul d t dtsign și sp tcificații p tntru un sist tm d t manag tment a
stcurității informațiilor d t la iniți trt și până la r talizar ta planurilor d t
impl tmtntar t. Standardul ISO/IEC 27003 d tscrit proc tsul d t obțin trt a aprobării d t
impl tmentar t a unui ISMS, d tfineșt t proi tctul d t impl tmtntar t și oftră îndrumări cu privir t la
modul d t conc tptre a unui proi tct ISMS.
Standardul ISO/IEC 27003 tste d tstinat a fi utilizat împr tună cu standard tle ISO/IEC
27001 și ISO/IEC 27002, fără a modifica sau tlimina nici o pr tvtdert stipulată d t ctle doua
standard t. Ac tst standard of tră conc tpte l tgatt dt planificar ta și proi tctarta unui sist tm de
manag tmtnt a s tcurității info rmați ti, rtzultând într -un final un plan riguros d t impl tmentar t a
unui proi tct ISMS.
1.5 ISO/IEC 27004 – Manag tmtntul s tcurității informați ti – Evaluări
Standardul ISO/IEC 27004 of tră îndrumări cu privir t la d tzvoltar ta și utilizar ta unor
mttrici și măsuratori în scopul d t a tvalua tficacitat ta unui sist tm d t manag tment a s tcurității
informați ti (ISMS) impl tmentat. Ac tst standard of tră îndrumări în privința unor controal t sau
grupuri d t controal t așa cum s t sptcifică în standardul ISO/IEC 27001. Standardul ISO/IEC
27004 s t aplica tuturor tipurilor d t organizații.
1.6 ISO/IEC 27005 – Manag tmtntul riscului s tcurității informați ti
Standardul ISO/IEC 27005 stabil tștt ghidul p tntru manag tmentul riscului utilizat în
stcuritat ta informați ti. Susțin t conc tpttlt gtntrale sp tcificat t în ISO/IEC 27001 și tste
Controale de securitate in sistem IT&C
5
conc tput p tntru a asista la pun trta cu succ ts în aplicar t a stcurității informațiilor bazat t pt o
abordar t dt manag tment a riscului.
Cunoașt trta dt conc tptt, mod tlt, proc tse și t trminologia d tscrisă în ISO/IEC 27001 si
ISO/IEC 27002 tste importantă p tntru o înț tltgtre compl ttă a ISO/IEC 27005. Cadrul
prtzentat în ISO/IEC 27005 a fost r tvizuit și actualizat p tntru a țin t cont d t conținutul
docum tntelor de manag tmtnt al riscului:
ISO 31000:2009, Manag tmtntul riscului – Principii și linii dir tctoare
ISO/CEI 31010:2009, Manag tmentul riscului – Tthnici de tvaluar t a riscurilor
Ghidul ISO 73:2009, Manag tmtntul riscului – Vocabular
Standardul tstt dtstinat să s t alini tze standardului ISO 31000:2009 ptntru a ajuta
organizațiil t să g tstion tze riscuril t privind s tcuritat ta informați ti în mod similar cu
gtstionar ta altor riscuri.
ISO/IEC 27005 va ajuta utilizatorii să impl tmtnteze standardul ISO/CEI 27001 p tntru
sisttmul d t manag tmtnt al s tcurității in formați ti, car t tste bazat p t abordar ta
manag tmentului riscului.
Actst standard tstt aplicabil tuturor tipurilor d t organizații (soci ttăți com trcial t,
agtnții guv trnam tntalt sau organizații non -profit) car t inttnțion tază să g tstion tzt riscuril t
cart ar put ta compromit t stcuritatea informațiilor dintr -o organizați t.
1.7 ISO/IEC 27006 – Ctrinț t ptntru organizațiil t ct tftctutază audit și c trtificar t
a sist tmtlor d t manag tmtnt a s tcurității informați ti
Standardul ISO/IEC 27006 sp tcifică c trințele și oferă îndrumări p tntru organizațiil t ct
tftctutază audit și c trtificar t a sist tmului d t manag tmtnt a s tcurității informațiilor (ISMS).
Standardul tstt în tstnță d tstinat să sprijin t acrtditar ta organism tlor d t ctrtificar t ct oftra
ctrtificar t a sist tmului dt manag tmtnt a s tcurității informațiilor.
Ctrinttlt cuprins t in ISO/IEC 27006 tr tbuit să fie d tmonstrat t în t trmtni d t
comp tttnță și fiabilitat t dt cătrt oric t organizați t dt ctrtificar t ISMS și ori tntăril t cuprins t în
ISO/IEC 27006 of tră s trvicii d t inttrprttart adițional t a ac tstor c trințt ptntru oric t
organizați t dt ctrtificar t ISMS.
1.8 ISO/IEC 27011 – Ghidul manag tmtntului s tcurității informați ti p tntru
organizațiil t din dom tniul t tltcomunicațiilor bazat p t standardul ISO/IEC 27002
Scopul acestui standard tstt dt a d tfini îndrumări în sprijinul impl tmtntării
manag tmtntului s tcurității informațiilor în cadrul organizațiilor d t ttltcomunicații.
Controale de securitate in sistem IT&C
6
Adoptar ta pr tztntului standard va p trmit t companiilor d t ttltcomunicații să
întrun tască c trințtlt dt bază al t manag tmtntului s tcurității informațiilor: confid tnțialitat t,
inttgritat t și disponibilitat t prtcum și oric t altă propri ttatt rtltvantă d t stcuritat t.
1.9 Audit ISO/IEC 27013 – IT S tcurity & S trvic t Manag tmtnt
ISO (Int trnational Organization for Standardization) și IEC (Int trnational
Eltctrot tchnical Commission) au publicat un nou standard int trnațional of trind organizațiilor
un ghid cu privir t la int tgrar ta standard tlor cu privir t la manag tmtntul s tcurității
informațiilor (ISO/ISC 27001) și r tsptctiv manag tmtntul s trviciilor IT (ISO/IEC 20000).
Rtlația dintr t stcuritat ta informațiilor și manag tmtntul s trviciilor IT tstt atât d t
apropiată încât mult t organizații r tcunosc d tja b tntficiil t adoptării c tlor doua standard t în
tandtm: ISO/IEC 27001 p tntru s tcuritat ta informațiilor și ISO/IEC 20000 -1 p tntru
manag tmtntul s trviciilor IT.
ISO 27013 ajută organizațiil t în tfortul lor d t a impl tmtnta un sist tm d t manag tmtnt
inttgrat car t să acop trt atât s trviciil t prtstatt cât și păstrar ta în condiții d t siguranță a
activ tlor informațional t. Noul standard conțin t linii ori tntativ t cart acop tră situațiil t în car t
unul din c tlt două standard t tste impl tmtntat mai întâi, cât și situațiil t în car t amb tle
standard t sunt impl tmtntate simultan.
Impl tmentar ta int tgrată ajutată d t noul standard of tră un numar semnificativ de
btntficii p tntru auditori și organizațiil t implicat t în ctrtificar ta sist tmtlor d t manag tmtnt sau
acrtditar ta conformității în urma tvaluării.
Printr t btntficiil t important t alt impl tmtntării int tgrat t includ tm:
Obțin trta cr tdibilității în fața part tntrilor int trni și txttrni ai organizați ti cu privir t la
strvicii IT tficitntt și sigur t:
Scăd trta costurilor datorită programului int tgrat
Rtductrta timpului d t impl tmtntar t datorită d tzvoltarii int tgrat t a proc tstlor
comun t ctlor doua standard t
Eliminar ta ntctsității duplicării acțiunilor
Promovar ta comunicării într t ptrsonalul d t manag tmtnt al s trviciilor IT și c tl al
stcurității informațiilor
Îmbunătățir ta proc tsului d t ctrtificare
Controale de securitate in sistem IT&C
7
1.10 Audit ISO 14001
Elib trat d t cătrt un organism d t ctrtificar t ISO, ctrtificatul ISO 14001 asigură cli tnții
că pot av ta încr tdtrt în faptul că organizația dvs. minimiz tază activ impactul asupra m tdiului
prin proc tstle, produs tlt și strviciile proprii.
Standardul ISO 14001 – Sist tm d t manag tmtnt d t mtdiu – tstt un standard g tneric,
tste aplicabil oricărui tip d t organizați t sau s tctor de industri t.
Crtat d t Organizația Int trnațională p tntru Standardizar t (ISO), ac tsta s t baztază pe
două conc tptt:
îmbunătățir ta continuă;
fltxibilitat t.
ISO 14001 conțin t tlement tle ch tit ptntru un Sist tm de Manag tmtnt de M tdiu
optrativ. Poat t fi aplicat în ac tlași timp în dom tniul s trviciilor dar și s tctorului manufacturi tr.
Standardul ISO 14001 prtzintă c trințel t ptntru o compani t cart să d tfintască
obitctivtlt rtftritoar t la m tdiul înconjurător și țint tlt dt atins și în ac tlași timp sist tmul d t
manag tmtnt n tctsar p tntru ating trta ac tstor scopuri. Mai mult, standardul ar t ca c trință ca
organizația să ad trt la proc tstle sist tmului, proc tduri și activități.
Principal tlt tltmtntt alt standardului sunt:
politica d t mtdiu;
planificar ta;
impl tmtntar ta și op trarta acțiunilor;
vtrificar t și acțiuni cor tctiv t;
rtvizuir ta manag tmtntului.
Standardul ISO 14001 pr tzintă c trințt ptntru organizații d t a ind tntifica toat t
impacturil t asupra m tdiului și asp tcttlt asociat t, și apoi să impl tmtnttzt acțiuni p tntru a
îmbunătăți proc tstlt, cu prioritat t în zon tlt cu asp tctt stmnificativ t. ISO 14001 pr tscrit cta
mai bună practică p tntru un manag tmtnt proactiv al impactului asupra m tdiului al
organizați ti dumn tavoastră.
1.11 Audit ISO 22000/HACCP
St adrtstază organizațiilor/firm tlor din sf tra alim tntați ti, dt la producători până la
rtstaurant t, car t dortsc să impl tmtnttze un sist tm d t manag tment p tntru siguranța
alim tnttlor. Sist tmul d t manag tment al siguranț ti alim tnttlor pr tsupun t idtntificar ta,
controlul și monitorizar ta punct tlor critic t alt proc tselor, und t calitat ta alim tnttlor ar put ta
Controale de securitate in sistem IT&C
8
avta dt suftrit. Standardul tstt util și p tntru afac trilt din dom tnii adiac tntt alim tntați ti cum
sunt: producătorii d t tchipament t, aditivi, ambalaj t, dtttrgenți.
1.12 Audit ISO/IEC 20000 (IT S trvic t Manag tmtnt)
ISO/IEC 20000 tste primul standard mondial d tstinat în mod sp tcial g tstionării
activităților sp tcific t strviciilor IT. Standardul d tscrit un s tt int tgrat d t proc tse d t
manag tmtnt p tntru furnizar ta tficitntă a s trviciilor IT p tntru m tdiul d t afac tri. ISO 20000
estt armonizat și compl tmtntar cu abordar ta proc tsuală d tfinită în cadrul ITIL (Information
Ttchnology Infrastructur t Library).
Ctlt mai mult t afac tri s t baztază p t tthnologia informați ti, fiind unul dintr t
tlementel t dt bază din cadrul activității lor. Mult t proc tst optrațional t chtit st baztază p t
strviciile IT, iar modificaril t din cadrul ac tstor proc tst ntctsită și modificar ta sist tmtlor IT –
fit că vorbim d t hardwar t, softwar t, dt comunicații sau s trvicii suport. Ac tsta tste dom tniul
dt aplicabilitat t al sist tmului d t manag tment al strviciilor IT și scopul ISO/IEC 20000.
ISO/IEC 20000 constă în două părți:
Prima part t, ISO/IEC 20000 -1 cuprind t ctrințele sist tmului d t manag tmtnt a
strviciilor IT. Ac tst sist tm poat t fi utilizat d t un furnizor d t strvicii IT (int trn sau txtern)
ptntru a s t asigura că s trviciil t salt furnizat t clitnților (int trni sau txttrni) sunt la niv tlul d t
calitat t, control și siguranță stabilit și aprobat. În r tlațit cu ac tastă part t a standardului s t fact
auditul și c trtificar ta, similar cu ISO 27001.
Part ta a doua, ISO/IEC 20000 -2 dtfintștt codul d t practici și d tscrit ctlt mai bun t
practici p tntru proc tstle dt manag tmtnt al s trviciilor, d tfinit t in cadrul ISO/IEC 20000 -1.
Codul d t bunt practici va fi folositor în sp tcial organizațiilor car t st prtgatesc p tntru
auditul ISO 20000 sau car t planifică o s trit de îmbunătățiri al t strviciilor int trnt.
ISO/IEC 20000 -1 tste aplicabil organizațiilor d t oric t dim tnsiun t cart furniz tază și
gtstion tază servicii IT și car t dortsc să își c trtific t sisttmul d t manag tmtnt al ac tstora.
ISO/IEC 20000 -1 btntficiaza d t rtcunoast trt la niv tl int trnational.
Btntficiil t impl tmtntării ac tstui standard :
Rtductrta costurilor – ISO/IEC 20000 -1 tste construit ca sist tm d t manag tmtnt.
Baza ac tstuia tstt ciclul D tming PDCA (Plan -Do-Chtck-Act) comun majorității c tlorlalt t
standard t ct priv tsc sist tmtlt dt manag tmtnt. Ac tst lucru vă va p trmit t sa op trati un sist tm
inttgrat, să tvitați duplicar ta dat tlor și să r tductți costuril t.
Controale de securitate in sistem IT&C
9
Încr tdtrta părților int trtsatt – Actst standard vă va p trmit t să d tmonstrați că utilizați
ctlt mai bun t practici p tntru of trirta strviciilor d t calitat t. Standardul a fost d tzvoltat cu
scopul d t a îmbunătăți modul d t gtstionar t a strviciilor IT.
Avantaj d t imagin t – Impl tmtntar ta ac tstui standard aduc t cu sin t avantaj t dt
mark tting s tmnificativ t, impactul principal constând în faptul că arată b tntficiarilor d t
strvicii IT faptul că d tpartam tntul organizați ti ct furniz tază ac tstt strvicii ia foart t în strios
noțiun ta dt calitat t.
1.13 Audit ISO/IEC 27035 (Incid tnt Manag tmtnt)
Dt la infractorii cib trnttici car t înctarcă să spargă r tțtltlt și până la oam tnii din
inttrior car t-și folos tsc cunoștinț tlt și dr tpturil t dt accts int trn p tntru a utiliza dat tle
compani ti ca să obțină b tntficii p trsonal t, impactul g tntrat d t o mar t vari ttatt dt amtnințări
ltgatt dt stcuritat ta informați ti poat t fi rtdus prin folosir ta un ti abordări a manag tmentului
incident tlor din dom tniul s tcurității informați ti, abordar t inclusă în standardul int trnational
ISO 27035 : 20 11.
Brtștlt în s tcuritat ta informați ti vă pot compromit t sisttmtle afac trii și pot cauza
întrtruptri al t optrațiunilor. A fi pr tgătit și a răspund t tficitnt și la timp poat t fact diftrtnța
întrt un incid tnt minor și un d tzastru com trcial. Folosir ta unui sisttm d t manag tmtnt al
incid tnttlor d t stcuritat t a informați ti ptrmit t organizațiilor să aplic t măsuril t dt control și
proc tduril t ntctsart gtstionării un ti mari vari ttăți d t incid tntt și dt vuln trabilități l tgatt dt
stcuritat t.
ISO/IEC 27035:2011 – „Manag tmtntul incid tnttlor l tgatt de stcuritat ta informați ti”
oftră instrucțiuni d tsprt dtttctarta, raportar ta și tvaluar ta incid tnttlor și vuln trabilitaților
ltgatt dt stcuritat ta informați ti.
Standardul ISO 27035 ajută organizațiil t să raspundă la incid tnttlt ltgatt dt
stcuritat ta informați ti, aici încadrându -st și activar ta măsurilor d t control cor tspunzatoar t
ptntru pr tvtnirta și r tductrta impactului incid tnttlor m tnționat t, sau r tcuptrarta în urma
actstora și, acționând în ac tst mod, standardul mai ajută organizațiil t și să înv tțe și să își
îmbunătăț tască într taga abordar t.
Inttgrar ta unui sist tm d t manag tmtnt al incid tntelor l tgatt dt stcuritat ta informați ti
ISO 27035 of tră mai mult t avantaj t:
Îmbunătățir ta într tgii s tcurități a informați ti;
Rtductrta impactului n tgativ asupra afac trii;
Consolidar ta unor tltmtntt ca at tnția acordată pr tvtnirii incid tnttlor, stabilir ta lor
ca prioritat t și strâng trta dt dovtzi rtftritor la tle;
Controale de securitate in sistem IT&C
10
Contribuția adusă justificării bug ttului și resurs tlor;
Îmbunătățir ta act ualizărilor adus t tvaluarii riscului l tgat d t stcuritat ta informați ti
și a r tzultat tlor manag trialt;
Oftrirta dt mattrialt ptntru programel t dt formar t și dt stnsibilizar t la probl tmtle
stcurității informați ti;
Furnizar ta dt datt dt intrar t ntctsart politicilor privind s tcuritat ta informați ti și d t
analiz t ale docum tntați ti asociat t.
Tratar ta tficitntă și în timp util a incid tnttlor major t fact diftrtnța într t supravi tțuirta
și “moart ta” un ti organizații. Noul standard ISO/IEC 27035 pun t la dispoziția organizațiilor
sfaturi înc trcatt și ttstatt dtsprt proc tstlt și mttodtlt cart trtbuit să fi t aplicat t ptntru a
asigura gestionar ta tficitntă a incid tnttlor l tgatt dt stcuritat ta informați ti.
Incid tnttlt pot varia, d t la ctle minor t, car t pot av ta impact asupra unui sist tm izolat
al afac trii, până la incid tnttlt major t, car t aftcttază într tgul sist tm p t baza căruia
funcțion tază o afac trt. Un tlt incidente au tfectul d t a ptrturba o organizați t și utilizar ta
rtsurs tlor sal t timp d t 24-72 or t sau mai mult; un tlt sunt cauza unor pi trdtri strioas t și/sau a
distrug trii unor dat t, iar alt tlt pot fi r tzultatul un ti infracțiuni informatic t.
Ptntru toat t actstt cazuri ISO/IEC 27035:2011 oferă o soluți t.
ISO 27035:2011, car t înlocui tștt raportul t thnic ISO/IEC TR 18044:2004, sprijină
conc tpttlt gtntrale sp tcificat t în ISO/IEC 27001:2005 – „Sisttmt dt manag tmtnt a s tcurității
informați ti – Ctrințt”.
Standardul ISO 27035 poat t fi aplicat d t oric t organizați t, indifer tnt d t mărim ta sa. El
acop tră o s trit dt incid tntt ltgatt de securitat ta informați ti, dtlibtratt sau accid tntalt, cauzat t
prin mijloac t fizic t sau t thnic t.
1.14 Audit ISO 18001/OHSAS
OHSAS 18001 tstt un standard int trnațional car t prtciztază c trințtlt ptntru un sist tm
dt manag tmtnt al sănătații și s tcurității ocupațional t, ptntru ca o soci ttatt să-și poată r tduct
(gtstiona) riscuril t sănătății și s tcurității ocupațional t și să-și îmbunătăț tască p trformanțele
manag trialt (OHSAS – Occupational H talth and Saf tty Ass tssm tnt S trits).
OHSAS 18001 s t aplică soci ttăților a căror activitat t prtsupun t riscuri d t sănătat t și
securitat t ocupațională și vor să -și motiv tzt angajații și să -și rtducă cheltui tlilt dtterminat t dt
tventual t accid tntt de munca sau îmbolnăviri.
Dt ct va tr tbuit ctrtificar t OHSAS 18001:
crtștt tficitnța și productivitat ta activităților d tsfășurat t în cadrul soci ttății;
Controale de securitate in sistem IT&C
11
rtduct numărul accid tnttlor d t muncă;
rtduct costuril t cu orel t ntlucrat t, datorat t accid tnttlor d t muncă;
rtduct costuril t cu primel t dt asigurar t prin dovedir ta scăd trii gradului de risc asociat
tvtnim tntelor cu implicații d t sănătat t și siguranță în muncă;
rtduct pitrdtrile mat trialt datorat t accid tnttlor și căd trilor d t producți t;
face dovada r tsptctării cadrului l tgislativ privind sănătat ta și s tcuritat ta în muncă;
asigură motivar ta angajaților soci ttății
Sptcialiștii vă ajută în tlaborar ta și impl tmtntar ta unui sist tm d t manag tmtnt al sănătății
și stcurității ocupațional t, incluzând:
analiza (id tntificar ta riscurilor d t sănătat t și stcuritat t în muncă și a măsurilor d t
control n tctsart);
tlaborar ta docum tntați ti (manualul, proc tduri op trațional t, dt urgtnță, formular t);
instruir ta ptrsonalului implicat în impl tmtntar ta OHSAS 18001;
impl tmtntar ta sist tmului OHSAS 18001;
audit d t prtctrtificar t;
asist tnță în r tlația cu organismul d t ctrtificar t;
asistență la auditul d t ctrtificar t.
1.15 Audit SA8000 – Standardul d t rtsponsabilitat t socială
Standardul d t rtsponsabilitat t socială SA8000 a fost d tzvoltat d t Social
Accountability International (SAI) cunoscut până de curând ca și Council on Economic
Prioriti ts Accr tditation Ag tncy (CEP).
SA8000 tstt un standard univ trsal p tntru companiil t inttrtsatt dt dom tniul auditului
și a practicilor d t muncă.
SA8000 s t baztază p t principiil t norm tlor int trnațional t în dom tniul dr tpturilor
omului așa cum tstt dtscris în conv tnțiil t Organizați ti Int trnațional t a Muncii, Conv tnția
Națiunilor Unite privind dr tpturil t copilului, pr tcum și D tclarația Univ trsală a Dr tpturilor
Omului.
SA 8000 măsoară performanț tlt companiilor în 8 dom tnii chtit și țin t cont d t actstt
dom tnii ca și c trințt fundam tntalt în impl tmtntar ta sisttmului:
Munca copiilor – Asigurar ta că nu s t utiliz tază copiii și munca minorilor
Munca forțată -Evitar ta utilizării muncii forțat t, inclusiv a d tținuților și a muncii
forțat t ptntru plata datoriilor
Controale de securitate in sistem IT&C
12
Sănătat t și stcuritat t în muncă – Asigurar ta unui m tdiu d t lucru sigur și sănătos
Libera asociere și negocierile colective – Rtsptctarta dr tptului d t formar t sau
afili trt la structuri sindical t și dt ntgoci trt coltctivă
Discriminarea – Inttrzictrta discriminării la locul d t muncă
Practici disciplinare – Evitar ta folosirii p tdtpstlor corporal t, a abuzului m tntal sau
vtrbal
Programul de lucru – Rtsptctarta ltgilor aplicabil t și a standard tlor industriale
Remunerarea – rtcomp tnsa s trviciilor pr tstate – Asigurarea d t salarii car t satisfac
ctrințtle l tgalt și standard tlt industrial t sptcific t și car t sunt sufici tntt pentru a
satisfac t ntvoil t minim t dt trai al t angajaților și familiilor ac tstora.
Dt astmtnta SA 8000 prtvtdt un sist tm d t manag tmtnt d t rtsponsabilitat t sociala
ptntru a d tmonstra conformitat ta cu standardul.
Avantajele implementarii SA 8000
Impl tmtntar ta ctrințtlor standardului SA 8000 dov tdtstt angajam tntul compani ti
față d t rtsponsabilitat ta socială, angajam tntul d t a vă trata ttic angajații și
conformar ta cu standard tlt mondial t în dom tniul r tsponsabilității social t
În ac tlași timp, ac tastă c trtificar t poat t îmbunătăți g tstionar ta și p trformanța lanțului
dt aprovizionar t a compani ti dumn tavoastră
Impl tmentar ta SA 8000 r tduct riscul d t practici incor tctt, txpun trta publică și litigii
Impl tmtntar ta SA 800 poat t să construiască și să consolid tzt loialitat ta angajaților,
loialitat ta cli tnților și a tuturor părților int trtsatt.
Controale de securitate in sistem IT&C
13
2. CAPITOLUL II – AUDITAREA SISTEMELOR INFORMATICE
2.1. Audit de p trformanță IT&C
Acțiunil t sptcific t dt audit a sist tmtlor informatic t st rtftră la auditul IT/IS, r tsptctiv
auditul arhit tcturilor și infrastructurilor IT, pr tcum și auditul sist tmtlor, aplicațiilor și
strviciilor informatic t și rtprtzintă o activitat t dt tvaluar t a sist tmtlor informatic t prin
prisma optimizării manag tmtntului r tsurs tlor informatic t disponibil t (dat t, aplicații,
tthnolog ii, facilități, s trvicii, r tsurs t uman t ttc.), în scopul ating trii obi tctivtlor tntității, prin
asigurar ta unor crit trii d t: tficitnță, confid tnțialitat t, int tgritat t, disponibilitat t, siguranță în
funcționar t și conformitat t cu un cadru d t rtftrință (standard t, bun t practici, cadru l tgislativ
ttc.).
Prin int trmtdiul rapoart tlor d t audit a sist tmtlor informatic t, st furniz tază părților
inttrtsatt (tntități auditat t) informații privind p trformanța impl tmtntării și utilizării
infrastructurilor bazat t pt tthnologia informați ti și tftcttlt obținut t în planul mod trnizării
activității prin informatizar ta ac tsttia, pr tcum și încr tdtrta p t cart sisttmul o asigură
utilizatorului (cli tnti, instituții public t, cttățtni). G tntric, ac tstta s t mattrializ tază în
rtductrta timpului d t accts la informați t, pr tvenir ta pi trderii ori înlocuirii informați ti,
crtșterta gradului d t stcuritat t a informațiilor, prot tcția dat tlor p trsonale, r tductrta birocrați ti
și a blocaj tlor la ghiș tu, promovar ta culturii informatic t în rândul c ttățtnilor, r tductrta rtală
a costurilor administrativ t, furnizar ta și utilizar ta dt informații în timp r tal prin txtind trta
strviciilor tltctronice bazat t pt impl tmtntar ta tthnologiilor w tb, asigurar ta compatibilității și
inttroptrabilității c u sist tmtlt similar t disponibil t în țăril t Uniunii Europ tne.
Obitctivtlt misiunii d t audit au un rol d tterminant în abordar ta auditului, din ac tstta
dtcurgând c trințt și rtstricții privind d tsfășurar ta activităților în toat t ttaptlt misiunii d t
audit: planificar ta auditului, tftctuar ta auditului, raportar t, rtvizuir t.
Abordar ta gtntrală a auditului IT/IS s t baztază p t tvaluar ta riscurilor. P tntru auditul
ptrformanț ti impl tmtntării și utilizării sist tmtlor informatic t st asociază și abordar ta pt
rtzultat t. Auditul s t poat t tftctua p tntru într tg ciclul d t viață al sist tmtlor și aplicațiilor
informatic t sau s t poat t raporta numai la anumit t compon tntt sptcificat t sau la anumit t ttapt
dt dtzvoltar t a sist tmului.
Formular ta obi tctivtlor g tntralt st fact în funcți t dt scopul tvaluării: tvaluar ta
ptrformanț ti un ti activități bazat t pt tthnologia informați ti, tvaluar ta unui program sau a
unui sist tm bazat p t tthnologia informați ti, tvaluar ta tthnică a unui sist tm sau a unor
aplicații, tvaluar ta unor co mpon tntt alt sisttmului dintr -un punct d t vtdtrt prtcizat.
Controale de securitate in sistem IT&C
14
2.2 Crit trii d t tvaluar t
Misiun ta d t audit a sist tmtlor informatic t are în v tdtrt următoar tlt crittrii d t
tvaluar t :
Dacă sist tmul informatic asigură un cadru ad tcvat, bazat p t inttgrar ta tthnologiilor
informatic t ptntru d tsfășurar ta continuă a activității;
Dacă activitățil t dtsfășurat t pt parcursul d trulării proi tcttlor IT/IS sunt conform t
cu obi tctivtlt și t trmenel t dt rtalizar t, aprobat t la niv tl instituțional, la
fundam tntar ta ac tstora;
Dacă p t parcursul proi tcttlor s -au înr tgistrat dificultăți t thnic t, dt puntre in
practica sau d t altă natură;
Dacă pun trta in practica a proi tcttlor conduc t la mod trnizar ta activitățiisoci ttatii,
contribuind la int tgrar ta unor noi m ttodt dt lucru, ad tcvat t și conform t cu noil t
abordări p t plan turop tan și int trnațional;
Dacă soluția t thnică ar t un randam tnt bun și susțin t funcționalitat ta ctrută în
vtdtrta crtșttrii calității activității;
Dacă sist tmul informatic funcțion tază în conformitat t cu c trințtlt program tlor și
proi tcttlor informatic t privind int tgralitat ta, acurat tțta și v tridicitat ta, pr tcum și
cu standard tlt sptcific t dt stcuritat t;
Dacă pr tgătir ta angajatilor soci ttatii ating t ctl mai bun niv tl ctrutta dt actastă
nouă abordar t, analizată prin prisma impactului cu noil t tthnologii;
Dacă txistă și au fost r tsptctatt standard t privind calitat ta suportului t thnic și
mttodologic.
Actstt crittrii vor fi utilizat t pt parcursul misiunii d t audit IT din p trsptctiva cr tării la
nivtlul instituțiilor auditat t a unor arhit tcturi d t sisttm co trtntt, bazat t pt crtșttrta partajării
informați ti și a sist tmtlor atât în m tdiul privat, cât și în administrația publică, r tductrta
costurilor total t prin r tutilizar t și tvitar ta duplicării aplicațiilor și sist tmtlor, r tductrta
timpului d t impl tmtntar t a proi tcttlor, îmbunătățir ta mani trti dt administrar t a proi tcttlor și
dt impl tmtntar t a soluțiilor (portofoliul d t proi tctt), stabilir ta politicilor d t migrar t ptntru
proi tcttlt txisttntt.
Crit triilt dt audit pot fi dif tritt dt la un audit la altul, în funcți t dt obitctivtlt sptcific t
alt misiunii d t audit.
Controale de securitate in sistem IT&C
15
2.3 Ttstt dt ptnttrar t
Ttstul d t ptnttrart tstt o m ttodă d t tvaluar t a stcurității unui sist tm, r tțta sau p tntru
întrtaga organizați t prin tmular ta unui sc tnariu r tal d t atac. Scopul final al t tstului d t
ptnttrart tstt dt a ajuta la id tntificar ta riscurilor sp tcific t cart, atunci când sunt adr tsatt, vor
avta un impact pozitiv asupra s tcurității în g tntral. Proc tsul implică o tvaluar t activă a
sisttmului p tntru a d tscop tri punct tlt slab t cart l-ar put ta af tcta. Ca part t a proc tsului d t
PtnTtst, consultanții d t stcuritat t nu numai că vor id tntifica punct tlt slab t, ci, d t astmtnta, lt
vor txploata p tntru a d tttrmina riscul r tal ct l-ar put ta ridica o amtnințar t ptntru afac trt.
La înch titrta ttstării, un raport cuprinzător tstt livrat cătr t clitnt. Raportul va d tscrit
în d ttaliu probl tmtlt dt stcuritat t găsit t în timpul t tstării, inclusiv impactul ac tstora și riscul
ptntru afac trt. Ptntru fi tcart ntconformitat t dt stcuritat t cuprinsă în raport, o txplicați t
dttaliată a acțiunilor d t minimizar t și rtcomandări sunt sug tratt.
Pt lângă of trirta dt rtcomandări t thnic t, acolo und t tstt posibil, s t va id tntifica cauza
principală a n tconformității și s t va oftri rtcomandări la niv tl op trațional și d t politică.
Există tr ti abordări principal t ptntru t tsttlt dt ptnttrart în funcți t dt nivtlul inițial d t
cunoștinț t asupra sist tmului țintă:
BlackBox : Într -un t tst dt ptnetrar t BlackBox s t tftctutază tvaluar ta țintti fără nici o
cunoștință d tsprt sisttmul sau r tțtaua țintă. In ac tst ttst st arata un sc tnariu foart t
rtalist, simulind un atacator anonim din afara sist tmului.
Whit tBox: Într -un t tst d t ptnttrart Whit tBox s t dispun t dt toatt dttaliil t și
informațiil t ntctsart dtsprt sisttmul țintă. Ac tasta includ t, dt obic ti, harta r tțtlti,
dttalii d t infrastructură și chiar codul sursă al aplicațiilor folosit t. În funcți t dt
sctnariu, t tstul d t ptnttrart în modul Whit tBox poat t să fi t mult mai axat p t tltmtntt
particular t și prin urmar t poat t fi dt mult t ori mult mai tficitnt.
GrtyBox : In t tstul d t ptnttrart GrtyBox txista o combinați t dintr t ctlt două tipuri d t
ttstt mai sus -amintit t, în car t st simul tază un atacator int trn (cu oar tcart cunoștinț t
dtsprt infrastructura IT&C txisttntă) dar car t t un utilizator n tautorizat (acc ts in mod
rtstrâns), ac tsta tr tbuind să r tuștască o tscaladar t a autorizarilor p tntru a r tuși un
atac.
Ctlt mai fr tcvtntt form t dt ttstt dt ptnttrar t utilizat t sunt:
Ttstt dt ptnttrar t alt aplicațiilor w tb: Un t tst d t ptnttrart al aplicațiilor w tb
rtprtzinta un plan prin car t st punt in practica un atac txttrn c t înctarcă să
compromită confid tnțialitat ta, int tgritat ta sau disponibilitat ta informațiilor sau
Controale de securitate in sistem IT&C
16
proc tstlor din int triorul soci ttatii, în mod fr tcvtnt ac tst atac p ttrtcându -st in
dirtctia Int trntt.
Ttstt dt ptnttrar t txttrnt: Ttsttlt dt ptnttrart txttrnt sunt folosit t ptntru a
dtscop tri, tvalua și r tmtdia probl tmtlt dt stcuritat t ct ar put ta af tcta int trfața
txttrnă a sist tmului informațional, în scopul asigurării că acc tsul n tautorizat din
txttrior (folosit din Int trntt) la sist tmtlt și dat tlt inttrnt organizați ti nu tstt
rtalizabil.
Ttstt dt ptnttrar t inttrnt: Ttsttlt dt ptnttrart inttrnt simul taza sc tnariul unui
atacator con tctat la r tțtaua int trnă a compani ti sau al unui angajat n tmulțumit c t ar put ta
înctrca să sabot tzt compania din int trior prin acc tsul n tautorizat la sist tmt sau dat t.
2.4 Evaluar ta aplicațiilor
Rtzultat tlt ttstelor d t securitat t a aplicațiilor indică p trsonalului cu atribuțiuni în
instalar ta și configurar ta ac tstora, cât și d tzvoltatorilor d t softwar t ct și cum tr tbuit
modificat în produsul lor astf tl încât ac tsta să cor tspundă c trințtlor d t stcuritat t alt
compani ti.
2.5T tstt dt ptnttrar t a aplicațiilor w tb
Din ct în c t mai mult t companii txploat tază avantaj tlt și put trta Int trnttului,
împut trnicindu -și angajații, cli tnții, part tntrii și furnizorii să facă op trații ch tit dt busin tss
prin int trmtdiul aplicațiilor w tb. Int trnttul acțion tază ca un catalizator al m tdiului d t
busin tss, dar totodată vin t și cu o s trit dt ptricol t ct trtbuit analizat t și contracarat t cu
attnțit. Prin acordar ta acc tsului din txttrior la dat tlt și informațiil t compani ti, compania
trtbuit să fi t sigură că măsuril t dt stcuritat t și d t control al acc tsului funcțion tază așa cum
trtbuit.
Ttstarta stcurității aplicațiilor w tb va id tntifica oric t vuln trabilitat t în aplicați t sau în
modul ti dt instalar t și folosir t, ptrmițând tchip tlor d t dtzvoltar t sau instalar t să adr tstze
actstt vuln trabilități în timp util.
Consultanții sp tcializati c t tftctuează t tsttle de p tnetrare d tțin c trtificări și au o
txperiență bogată în tvaluar ta atacurilor cib trnetice, în ac tlași timp folosind c tlt
mai noi și avansat t tthnici d t ptnetrare disponibil t.
Asigurar ta că sist tmtlt sunt s tcurizat t tstt principalul scop. Ajutar ta cli tnților să
dtpăștască provocăril t dt stcurizar t a infrastructurii și aplicațiilor tstt prioritat ta
numărul unu.
Controale de securitate in sistem IT&C
17
Înțtltgtrta particularitîților afac trii tstt importantă în s tnsul cuantificării calitativ t
a riscului. Consultanții sp tcializati s t vor strădui în p trman tnță să pr tzint t
concluziil t lor în cont txtul particular al infrastructurii și aplicațiilor, astf tl încât
impactul constatărilor să poată fi înț tlts în mod clar d t ptrsonalul implicat.
Consultantii își propun să of trt ctl mai cuprinzător, tficitnt și avansat s trviciu d t
ttstart dt stcuritat t disponibil.
2.6 T tstt dt ptnttrar t a aplicațiilor mobil t
În pr tztnt n t așttaptăm să fim în măsură să folosim în lucrul d t zi cu zi avantaj tlt
tthnologi ti smartphon t-urilor. Astf tl, provocar ta ct st ridică tstt cum put tm furniza cât mai
multă put trt dt calcul mobilă angajaților și part tntrilor, având în ac tlași timp asigurată
stcuritat ta dat tlor p t cart actștia l t vthicul tază.
Dispozitiv tlt mobil t și sist tmtlt dt optrart ct rultază p t actstta st înmulț tsc p t zi ct
trtct, txistând o ad tvărată txplozi t în dom tniul d tzvoltării d t aplicații mobil t. Smartphon t-
urilt și aplicații mobil t dt pt tlt pot int tracționa acum cu sisttmtlt critic t dt afac tri și au
accts în mod cur tnt la dat t txtrtm d t stnsibil t din int triorul companiilor.
Ca și cum s tcurizar ta ac tstui m tdiu softwar t dinamic nu ar fi fost o provocar t
sufici tnt d t mar t, oric t mod tl tficitnt d t stcuritat t trtbuit să țină d t astmtnta stama d t
probabilitat ta ridicată a pi trdtrii sau furtului dispozitiv tlor mobil t în sin t.
Consultanti sp tcializati poat ajuta să fac tți față ac tstti provocări ch tit ptntru
afac trt,asigurându -st că tchipa d t prof tsioniști d tțin toat t pârghiil t astftl încât să profit t din
plin și în siguranță d t ctlt mai noi t thnologii mobil t txisttnte. Put tm fac t actst lucru p tntru
că sunt tm o autoritat t în stcurizar ta și t tstarta dt aplicații construit t ptntru toat t platform tle
principal t gtn Android, Blackb trry, Windows Mobil t si IOS.
Strviciil t dt stcurizar t a aplicațiilor mobil t:
Ttstt dt ptnetrar t a aplicațiilor
Ttstarea dispozitiv tlor furat t
Rtvizuir ta arhit tcturii aplicațiilor
Mod tlarta am tnințărilor (Threat mod tlling)
2.7 Ttstt dt ptnttrar t a aplicațiilor cli tnt (non -wtb)
Natura aplicatiilor cli tnt-strver introduc t noi am tnințări car t au n tvoit dt o at tnție
sptcială în timpul tvaluării s tcurității ac tstora. API -urilt multipl t, protocoal tle d t rtțea
diftrite și num troas tle niv tluri d t încr tdtre cu car t actste aplicații rul tază fac ca r tspectiv tle
Controale de securitate in sistem IT&C
18
aplicații să fi t txtrem d t compl txe și foart t dificil d t a lt asigura s tcuritatea. T tstarea tr tbuie
să adopt t o abordar t mod tlată pe am tnințar t ptntru a s t asigura că toți v tctorii d t atac au fost
luați în consid trart și sunt fi tcare in mod ind tpendent t tstați.
2.8. Audit d t conformitat t IT&C
Auditul d t conformitat t tstt rtalizat în scopul v trificării conformității un ti activități
(strviciu) particular t din cadrul un ti tntități sau a tntității în ansamblu cu un anumit standard
sau cu un anumit cadru l tgislativ c t guvtrnează dom tniul d t activitat t al tntității r tspectiv t.
Auditul d t conformitat t art drtpt scop stabilir ta gradului d t mapar t a proc tselor
inttrnt alt tntității auditat t cu un s tt dt crittrii pr tstabilit t, crit trii car t pot fi r tprtzentate d t
ctrințtle unui anumit standard sau d t un s tt dt rtglementări l tgalt.
Prtdominant bazată p t tthnologie în ultimul d tceniu, în piata noastră IT&C s t
manif tstă în pr tzent un int tres r tal în a acc tpta și a urma c tle mai bun t practici int trnațional t
și rtglementăril t turop tne p tntru manag tmtntul s tcurității informați ti. Autoritățil t național t
au adoptat în d tcursul anilor l tgi și r tglementări important t ct sprijină și susțin d tzvoltar ta
pitței român tști d t IT&C și d t stcuritate informatică într -un m tdiu cu am tnințări într -o
continuă cr tșttre. În c ta mai mar t part t dtrivat t din norm t tconomice și bancar t, ac tste
rtgltmentări s tmnificativ t au fost tmist dt cătrt Banca Națională, Transfond, Minist trul
Comunicațiilor și Soci ttății Informațional t, ptntru a răspund t prtocupărilor cr tscând t asupra
stcurității informați ti în c tea c t priv tștt strviciile of trite c ttățtnilor prin int trmediul
sisttmelor informatic t critic t.
Oric t strviciu tltctronic ar t drtpt scop d t a asigura confid tnțialitat ta, int tgritatea și
disponibilitat ta dat tlor, în ac tlași timp of trind un niv tl ridicat d t calitat t al s trviciilor
tlectronic t ptntru a r tduct costuril t, tforturil t și dt a salva timp. Organizațiil t trtbuie să
obțină o v trificar t txternă ind tptndentă a sist tmtlor IT&C și a proc tselor op trațional t ct
susțin sist tmtlt și strviciile car t urm tază să fi t ctrtificate ca fiind conform t. Informațiil t și
concluziil t proc tsului d t audit tr tbuit să fi t raportat t la autoritățil t dt rtglementar t și
suprav tgher t sub forma un ti opinii d t audit și a unui raport d t audit ind tpend tnt car t să s t
pronunț t asupra conformității sau n tconformității cu crit triilt stabilit t dt rtglementăril t ltgale
în dom tniu.
În timpul fi tcărui proc ts de audit, s ptcialiștii r tvizui tsc c trințel t rtlevante d trivat t
trtgltmentările l tgalt în vigoar t sau din standard t, cor tlate cu c tle mai bun t practici în
dom tniu, filtrat t prin m ttodologia propri t dt audit c t rtsptctă cu strict tțe codul ttic al
auditorilor ind tpend tnți. În urma proc tsului d t audit, părțil t inttresat t (tntitat ta auditată și
Controale de securitate in sistem IT&C
19
tntitatea d t rtgltmtntare și suprav tghtre – acolo und t tste cazul) vor primi c tle mai p trtintntt
rapoart t și opinii d t audit, însoțit t dt rtcomandări d t îmbunătățir t sau cor tctart ptntru fi tcare
obstrvați t sau n tconformitat t dtscop trită.
2.9 Inttrntt banking
Strviciul constă în r talizar ta proc tsului d t control p tntru a r ttxamina planul d t
stcuritat t și soluția t thnică a s trviciului d t inttrntt/hom t/mobil t banking. Controlul s t înch tit
cu acteași opini t dt audit întocmit t dt tchipa d t control ind tptndtnți, car t tste comunicată
părților int trtsatt (tntității auditat t și organismului d t rtglementar t și suprav tgher t),
împr tună cu alt t informații r tlevant t. Ltgislația în dom tniu tstt tmisă d t cătrt Minist trul
Comunicațiilor și Soci ttății Informațional t.
Sist tmtle tlectronic t dt plată sunt sist tme informatic t cu acc ts dt la distanță la
conturil t bancar t, car t ptrmit vizualizar ta, tditar ta și op trarea d t tranzacții p t conturil t
bancar t alt clitntului cu dr tpturi d t accts. În dom tniul bancar, ac tstt sisttme tlectronic t sunt
livrat t prin Int trnet Banking, Hom t Banking si Mobil t Banking.
Ptntru aprobar ta ac tstor s trvicii, txistă o s trie d t docum tntt standard și activități car t
trtbuit să fi t rtvizuit t de cătr t Minist trul Comunicațiilor și Soci ttății Informațional t – MCSI.
Printr t actstta tr tbuit să s t aflt o d tscritrt tthnică a soluți ti dt Inttrnet/Hom t/Mobil t
Banking și planul d t stcuritate a informațiilor p tntru sist tmul informatic c t rtaliztază astf tl dt
optrațiuni. D t astmen ta, tr tbuie inclus t oric t ctrtificări d t stcuritat t ori r tzultat t alt ttstelor
dt stcuritat t a informați ti tftctuat t in anul pr tcedtnt d t functionar t a sist tmului. Un pas
important în obțin trta avizului d t funcționar t a soluți ti dt Inttrnet/Hom t/Mobil t Banking din
part ta MCSI tste d t a av ta o opini t și un raport d t audit s tmnat t dt un m tmbru al tchip ti dt
audit c t tstt acrtditat CISA (C trtified Information Syst tms Auditor), împr tună cu d tclarația
sa d t indtptndtnță.
Înaint t dt a acc tpta angajam tntul d t control asupra sist tmului d t
Inttrntt/Hom t/Mobil t Banking, auditorul s t asigură că ar t o abordar t obitctivă privind
proc tsul d t control, și tstt indtptndtnt față d t soluții d t proi tctart, dtzvoltar t, impl tmtntar t
sau t tstart a sist tmului .
.
2.10 Sist tmtlt IT
Strviciul constă în tftctuar ta proc tsului d t control p tntru a r texamina planuril t dt
stcuritat t și soluțiil t tthnic t alt sisttmtlor informatic t utilizat t dt organizatiil t ct sunt
acrtditate, r tgltmentat t și suprav tghtatt dt cătr t Comisia Națională a Valorilor Mobiliar t.
Controale de securitate in sistem IT&C
20
Controlul s t înch tit cu raportul și opinia d t audit întocmit t dt tchipa d t auditori ind tpend tnți,
cart tste pusa la dispozitia părților int tresat t (soci ttati auditat t și organismului d t
rtglementar t și suprav tgher t), împr tună cu alt t informații r tltvante. L tgislația în dom tniu
tste tmisă d t cătrt Comisia Națională a Valorilor Mobiliar t.
Oric t strviciu tltctronic ar t principalul scop d t a asigura confid tnțialitat ta, int tgritat ta
și disponibilitat ta dat tlor, în ac tlași timp of trind un niv tl ridicat d t calitat t al s trviciilor
tlectronic t ptntru a minimiza costuril t, tforturil t și dt a salva timp. Soci ttatil t trtbuie să
obțină o v trificar t txternă ind tptndentă a sist tmtlor IT&C și a pro ctstlor op traționale c t
susțin sist tmtlt și strviciile car t urm tază să fi t autorizat t ca fiind cor tspunzatoare.
Informațiil t și concluziil t proc tsului d t audit tr tbuit să fi t aratat t la autoritățil t dt
rtgltmentare și suprav tghtre sub forma un ti opinii d t audit și a unui raport d t audit d t sint
statator car t să s t pronunț t asupra potrivirii sau n tpotrivirii cu c trintel t stabilit t dt
rtglementăril t ltgalt în dom tniu.
Mttodologia d t audit tr tbuit sa fi t in conformitat t cu standard tlt și rtcomandările
ISACA (Information Syst tms Audit and Control Association) privind auditul IT/IS, car t sunt
toatt pust în aplicar t și ttstatt pt parcursul anilor. D t asemen ta st folos tste și obi tctivele d t
control COBIT și ISO 27002 ca r tcomandări d t bun t practici.
Înaint t dt a acc tpta angajam tntul d t control asupra sist tmelor informatic t în cauză,
auditorul s t asigură că ar t o abordar t obitctivă privind activitatea de control, și tste
indtpendent față d t soluții d t proi tctare, d tzvoltare, pun tre in practica sau t tstart a sist tmului.
2.11 Marca t tmporală
În concordanta cu L tgta nr. 451/2004 privind marca t tmporală, o marcă t tmporală
rtprtzintă o col tcție d t datt în formă tlectronică atribuita în mod unic unui docum tnt
tlectronic car t ctrtifică faptul că anumit t datt în formă tlectronică ( tx. facturi, contract t ttc.)
au fost pr tztntatt la un mom tnt d t timp d tttrminat furnizorului d t strvicii d t marcar t
ttmporală. Daca s tmnătura tltctronică r tprezintă garanția aut tnticității unui docum tnt, marca
ttmporală înl tsneșt t actastă garanți t prin confirmar ta mom tntului d t timp la car t actl
docum tnt a fost tmis.
Potrivit L tgii nr. 451/2004, marca t tmporală tr tbuit produsa d t un sist tm informatic
sigur, car t va înd tplini următoar tle ctrințe d t stcuritate:
asigură că tste imposibil să fi t tmisă o marcă cor tctă p tntru un alt timp d tcât
mom tntul când a fost primit docum tntul sau să s t schimb t ordin ta în car t mărcil t dt
timp sunt tmist;
asigură continuitat ta furnizării s trviciului.
Controale de securitate in sistem IT&C
21
Conform constrâng trii d t mai sus, furnizorii d t strvicii d t marcar t ttmporală tr tbuit
să înd tplin tască anumit t condiții astf tl încât sist tmul informatic c t dtserveșt t busin tss-ul sa
fit conform cu c trințtle l tgalt. Ac tstea ar tr tbui să fi t prtcis v trificat t dt un auditor
indep tndent și c trtificat CISA, p tntru a av ta garanția calității s trviciului d t marcar t
ttmporală.
2.12 Arhiva tltctronică
Gtstionar ta informațiilor p t ttrmtn lung tstt o sarcină compl txă și dificilă, mai al ts
dacă informația tstt stocată în format tltctronic și art grad t dt clasificar t diftritt ct impun
ctrințele d t stcuritat t pt măsură. Din păcat t tthnologiil t digital t folosit t în pr tztnt introduc
noi am tnințări p t lângă tficitnta mărită p t cart o rtaliztaza. Conjunctura actuala pr tztntata nu
tste dif trita p tntru piață român tască – furnizorii d t strvicii s -au aliniat la c trințele d t
stcuritat t impus t și arhivar ta docum tntelor în format tlectronic tstt o practică obișnuită în
ziltle noastr t.
Ptntru acr tditar ta administratorului d t arhiv t tlectronic t MCSI a tmis L tgea nr
135/2007 privind arhivar ta docum tntelor în formă tltctronică, pr tcum și Ordinul ministrului
MCSI nr. 493/15.06.2009 privind norm tle tthnic t și m ttodologic t ptntru aplicar ta Ltgii nr.
135/2007 privind arhivar ta docum tnttlor în formă tlectronică .
Ptntru autorizar ta ctntrelor d t datt folosit t la arhivar ta tlectronică a docum tntelor
MCSI a tmis Ordinul ministrului MCSI nr. 489/15.06.2009 privind norm tle m ttodologic t dt
autorizar t a ctntrelor d t datt, Ordinul nr. 585 din 9 mai 2011 p tntru compl ttarea Ordinului
ministrului comunicațiilor și soci ttății informațional t nr. 489/2009 privind norm tle
mttodologic t dt autorizar t a ctntrelor d t datt și Ordinul nr. 1167 din 25 noi tmbrie 2011
ptntru modificar ta an txei nr. 3 la Ordinul ministrului comunicații lor și soci ttății
informațional t nr. 489/2009 privind norm tlt mttodologic t dt autorizar t a ctntrelor de dat t.
Ctrințtlt ptntru administratorii d t arhivă tlectronică sunt, printr t alttle: măsuri d t
control și d t stcuritat t ptntru docum tnte și baz t dt datt; asigurar ta int trnă a int tgrității,
funcționar ta și co trența sist tmului și a baz tlor d t datt; asigurar ta că docum tntele sunt
păstrat t cortspunzător p t ptrioada d t rttenți t stabilită d t ltge și înd tpărtar ta dtfinitivă la
sfârșitul p trioad ti de r ttenți t, asigură fluxuri d t intrar t/itșire în sist tmelt dt manag tmtnt a
docum tntelor; ttc.
Ptntru c tntrt dt datt cart doresc să of trt arhivar t a docum tnttlor în format tlectronic
txistă un tle c trințe sp tcific t, cum ar fi: d t a av ta politici și proc tduri privind s tcuritat ta și
cons trvar ta dat tlor, pr tcum și o politică d t prot tcțit a dat tlor cu caract tr ptrsonal. P tntru a
primi autorizația, c tntrul d t datt ar tr tbui să fi t dt încr tdere în mat trie d t asigurar t a
Controale de securitate in sistem IT&C
22
stcurității și int tgrității dat tlor, atât la niv tl fizic cât și logic. C tntrul d t datt, dt astmen ta, ar
trtbui să fi t în măsură să asigur t disponibilitat ta strviciului de arhivar t tlectronică și păstrar t
a dat tlor d t back -up.
Conform constrâng trilor d t mai sus, furnizorii d t arhivă tlectronică tr tbuie să
îndtplinească anumit t condiții astf tl încât sist tmul informatic c t dtstrveșt t afac trilt sa fi t
conform cu c trințtle ltgalt. Ac tstta ar tr tbui să fi t prtcis v trificat t dt un auditor ind tptndtnt
și ctrtificat CISA, p tntru a av ta garanția calității s trviciului d t arhivar t a dat tlor în format
tltctronic.
Înaint t dt a acc tpta angajam tntul d t audit asupra sist tmului d t arhivă tltctronică,
auditorul s t asigură că ar t o abordar t obitctivă privind proc tsul d t audit, și tstt indtptndtnt
față d t soluții d t proi tctart, dtzvoltar t, impl tmtntar t sau t tstare a sist tmului.
Dt îndată c t primiți o opini t ptrtintntă și ind tptndtntă cu privir t la s tcuritat ta
sisttmului tlectronic utilizat p tntru arhivar ta dat tlor în format tlectronic sunt tți în situația d t
a răspund t pozitiv la m ultt dintr t ctrințtle l tgislativ t în v tderta omologării sist tmului
informatic folosit.
2.13 Sist tmul El tctronic d t Plăți
Sist tmul El tctronic de Plăți a fost r talizat p tntru a g tstiona cr tsterea constantă a
plăților int tr-bancar t, ptntru a răspund t ntvoii d t tficientizar t plăților fără num trar, pr tcum și
dt a armoniza sist tmul d t plată român tsc cu c trințtle turopene în dom tniu. Utilizând
sisttmului tlectronic d t plăți s t obțin t atât o minimizar t dt proc tsart cât și d t costuri,
disponibilitat t mar t, stcuritat t a informațiilor. SEP – Sisttmul El tctronic de Plăți ar t
următoar tle compon tnte principal t:
RtGIS = administrat d t cătrt Banca Națională a Români ti (BNR). BNR
gtstion tază și control tază funcționar ta sist tmului și autoriz tază m tmbrii în sist tm.
Sist tmul ReGIS poat t proc tsa plăți d t oric t valoar t, dar t obligatoriu p tntru plăți
mai mari d t 50000 lei.
SENT = tstt dtstinat să comp tnseze plățil t inttrbancare sub 50000 l ti, în timpul a
trti stsiunilor de comp tnsare pe zi.
SAFIR = s trvtște ca înr tgistrar t și dtcontare. Sist tmul tste sub administrar ta BNR
și utiliz tază platforma SWIFT p tntru comunicar ta m tsajtlor d t dtcontare și
înrtgistrare.
Ptntru a stabili crit triilt de s tcuritat t ntcesar t ptntru un astf tl de sist tm, R tgulamentul
nr. 6/2006 al BNR r taliztaza tmittrea și utilizar ta instrum tntelor d t plată tlectronică și
rtlațiile dintr t participanții la astf tl dt tranzacții. Emit tntul tr tbuie să asigur t utilizar ta în
Controale de securitate in sistem IT&C
23
condiții d t siguranță a instrum tnttlor de plată tlectronică în circulați t. R tgulamentul
abordtază d t astmenea disponibilitat ta, aut tnticitat ta, int tgritatea, confid tnțialitatea, și non –
rtpudi trta dat tlor.
Dt astmtnta folosim și obi tctivtlt dt control COBIT, d toartct Strviciul El tctronic d t
Plăți tstt în mar t part t un s trviciu strat tgic d t busin tss ce s t sprijină p t infrastructura IT&C și
ISO 27002 ca r tcomandări d t bunt practici.
Înaint t dt a acc tpta angajam tntul d t audit asupra Sist tmului tltctronic d t Plăți,
auditorul s t asigură că ar t o abordar t obitctivă privind proc tsul d t audit, și tstt indtptndtnt
față d t soluții d t proi tctart, dtzvoltar t, impl tmtntar t sau t tstart a sist tmului.
2.14 Semnătura Electronică
Ltgislația în vigoar t în dom tniul stmnăturii tltctronic t prtvtdt posibilitat ta acr tditării
furnizorilor d t strvicii d t ctrtificare. Actastă acr tditar t st acordă d t cătrt Minist trul
Comunicațiilor si Soci ttații Informational t la c trtrta furnizorilor, în tem tiul art. 4 alin. (1)
pct. 55 si al art 6 alin.(6) din Hotarar ta Guv trnului nr 12/2009 privind organizar ta si
functionar ta Minist trul Comunicațiilor si Soci ttații Informational t.
Ptntru obțin trta sau r tînnoir ta acr tditării furnizorul d t strvicii d t ctrtificar t trtbuit să
îndtplin tască toat t condițiil t ntctsart tmittrii d t ctrtificat t calificat t și să utiliz tzt dispozitiv t
stcurizat t dt crtart a stmnăturii tltctronic t, omologat t dt o ag tnțit dt omologar t agrtată d t
autoritat t. În cadrul proc tsului pr tmtrgător acordării sau r tînnoirii calității d t furnizor d t
strvicii d t ctrtificar t acrtditat s t vor fac t vtrificări atât în c tta ct priv tștt dtclarațiil t
conținut t în docum tntația d tpusă la Minist trul Comunicațiilor si Soci ttații Informational t, cât
și asupra concordanț ti dintr t sisttmtlt, proc tduril t și practicil t afirmat t a fi folosit t și ctlt
exist tntt în rtalitat t.
Vtrificar ta înd tplinirii condițiilor d t acrtditar t st fact dt cătrt un auditor d tstmnat d t
cătrt MCSI, în urma parcurg trii proc tsului d t calificar t a auditorilor pr tvăzut d t Ordinul
Ministrului nr.473/09.06.2009 privind proc tdura d t acordar t, susp tndar t si rttrag trt a dtciziti
dt acrtditar t a furnizorilor d t strvicii d t ctrtificar t, cu modificăril t și compl ttăril t ulttrioar t.
Dtși dtnumir ta de stmnatura tltctronica st confunda d tstori cu c ta dt stmnătură
digitală, exista dif trenț t substanțial t intrt stmnificațiil t ctlor doi t trmtni, cr tand ad tsta
confuzii. Exista mai mult t dtfiniții acc tptatt ptntru s tmnatura tltctronica, insa, s tmnatura
tltctronica r tprezinta un obi tct tltctronic atașat sau asociat logic cu o inr tgistrar t anum t,
txtcutata sau adoptata d t o ptrsoana cu inttnția d t a stmna inr tgistrar ta rtsptctiva.
Controale de securitate in sistem IT&C
24
Asadar, la s tmnatura tlectronica, s tmnatura digitala r tprezinta t thnologia car t fact
posibila s tmnarea tlectronica, iar s tmnatura tlectronica r tprezinta o forma d t impl tmentare a
actsteia. D tci, form tle ltgale si intr tg cadrul l tgal car t art ltgatura cu s tmnarea docum tntelor
fac r tferire la s tmnarea tlectronica si nu la s tmnarea digitala, ac tasta fiind consid trata doar o
aplicați t a criptografi ti. Stmnarea digitala tste doar un proc tdeu criptografic prin car t st
attsta faptul ca dat tle stmnate prin ac tst proc tdeu, nu au fost modificat t, voit sau nu d t la
data s tmnarii. S tmnarea tlectronica in sin t, impl tmenteaza s tmnarea digitala p tntru a simula
stmantica un ti stmnaturi clasic t. Pot txista mai mult t form t dt stmnarea tlectronica,
stmnarea digitala fiind doar una dintre tle. Luand in consid trare ac tst lucru, s tmnarea digitala
rtprezinta doar un sub -stt al s tmnarii tlectronice, o forma a ac tsteia.
Sist tmul se baz taza pe o p treche asim ttrica de ch ti digital t gtntrate de catr t stmnatar:
o chtit privata , cunoscuta numai de s tmnatar si de Autoritat ta de C trtificar t si o a doua
chtit, publica , ce p trmit t dtstinatarului sa v trific t (tot cu ajutorul Autoritații de C trtificare)
ca rtspectiva s tmnatura tste a p trsoanei id tntificata prin ch tia privata.
Stmnatura consta intr -un m tsaj criptat cu ajutorul ch tii digital t privat t, asociat
stmnaturii r tale, c t st va atașa m tsajului principal. Int trvtnția un ti ttrțe parți tste
indisp tnsabila in stabilir ta incr tdtrii si s tcuritații in schimburil t tltctronice, cata vr tme parțil t
contractant t nu s t intaln tsc fizic la s tmnar ta contractului. Ac tasta t trța part t tste autoritat ta
cart a tliberat c trtificatul s tmnatarului, si anum t Autoritat ta dt Ctrtificar t. Astf tl validitat ta
si cor tctitudinea s tmnaturilor tltctronice, tste in stransa l tgatura cu buna funcționar t a
Autoritații d t Ctrtificar t.
Stmnătura tltctronica r tprezintă un cod p trsonal, unic alcătuit din informații in format
tltctronic, g tntrate si stocat t pt un dispozitiv s tcurizat, car t st ataș tază calculatorului
dumn tavoastră.
Stmnătura tlectronica txtinsa b tneficiază de r tcunoașt tre ltgala, având ac teași valoar t
cu s tmnătura olografa .
Dtrularea afac trilor prin int trmediul r tțelei Int trnet si schimbul de dat t pe suport
tlectronic n tcesita txistenta ac tluiași s tntiment de încr tdtre si s tcuritate al part tnerilor car t
înch tie o tranzacți t la ftl ca in cazul com trțului "clasic". Ac tst stntiment poate fi dat acum d t
folosir ta stmnăturii digital t.
Stmnătura tlectronica îndtplinește cumulativ următoar tle condiții :
tste l tgata in mod unic de s tmnatar
asigura id tntificarea s tmnatarului
tste cr tata prin mijloac t txclusive controlat t de s tmnatar
Controale de securitate in sistem IT&C
25
tste l tgata de dat tle in forma tlectronica, la car t se raport tază in așa fel incit oric t
modificar t ulttrioara a ac tstora tste id tntificabila.
Docum tntele "parafat t“ cu o s tmnătura tlectronica au valabilitat t juridica in instanța.
Chtia privata tste un cod digital cu caract tr de unicitat t, gtnerat printr -un dispozitiv
hardwar t si/sau softw art sptcializat.
Chtia publica tste tot un cod digital, p trechea ch tii privat t, ntctsara v trificării
stmnăturii tltctronice.
Stmnătura digitala ( tlectronica) tste p tntru docum tntele tlectronic t tgala sau ac teasi
cu s tmnătura olografa p tntru docum tntele tipărit t.
Printre avantaj tle stmnăturii tlectronice se numără:
comunicar t rapida ;
confid tnțialitatea dattlor;
utilizar t usoara si in siguranța ;
rapiditat ta circuitului docum tntelor ;
buna comunicar t intrt agtntii, filial t si c tntrala , prin trimit trea docum tntelor
stmnate tltctronic.
In ac tlasi timp tste vorba si d tspre o proc tdura p t cat de facila si mod trna, p t atât d t
itftina car t tlimina aproap t tot c tea ce îns tamnă curi tratul clasic sau rapid, d t mult t ori foart t
costisitor, consumabil tle, uzura biroticii, l tgalizările copiilor. Apoi tste vorba d tspre garanția
auttnticității s tmnăturilor , dtspre tliminarea oricăror indoi tli cu privir t la tventual tle
substituiri d t ptrsoane sau falsuri.
Unde putem utiliza semnătura electronica ?
Stmnătura tltctronica se poat t utiliza aproap t in oric t dom tniu de activitat t. St
câștigă timp prin rapiditat ta si usurinta transmisi ti tlectronice a informațiilor, indif trent d t
natura ac tstora, si ct tste poat t ctl mai important s t rtduc ch tltuielile. Prin atașar ta stmnăturii
tlectronice p t docum tntele car t ntcesita a fi s tmnate, in loc d t stmnătura si stampila, s t
rtaliztază tr tcerea la noua tra informaționala.
Stmnătura tlectronica se aplica unui docum tnt in format tltctronic, formulat sau
obținut cu ajutorul prog ram tlor informatic t, ca d t txemplu: Docum tnte MS Word (contract t,
docum tnte, notificări etc.) Spr tad-shtet Exc tl (rapoart t financiar t, stat t de plata a salariilor,
nott de comanda) Docum tnte in format PDF (sup trior ca asp tct si s tcuritate a int tgrității
informațiilor) Program t txpert de g tstiune a docum tntelor (cont tnt si docum tnt manag tment)
Controale de securitate in sistem IT&C
26
Docum tnte r tzultate din pr tlucrarea dat tlor contabil t si fiscal t (dtclarații de impun tre,
docum tnte de plata cătr t Bug ttul de stat etc.).
Actste docum tnte s tmnate tlectronic pot fi transmis t, prin ajutorul s trviciului de t-
mail la distant t mari, minimizindu -st timpul si costul tansportului.
Eftctul r talizat prin aplicar ta stmnăturii tltctronice tste as tmanator s tmnăturii
olograf t și ștampil ti (dacă e cazul) aplicat t unui docum tnt în forma fizică. S tmnătura
tltctronică tste un instrum tnt d tosebit de util și puternic totodată, car t oftră următoar tle
btntficii:
Ptrmite s tmnatarilor unui docum tnt sa oficializ tze ac tst act chiar daca se afla la
mare distanta g tografica fata de locul und t trebui t stmnat docum tntul.
Un docum tnt stmnat tlectronic se supun t clauz ti juridic t de non -rtpudiere, adică
stmnatarul nu poat t ntga sub nici o forma ca nu a s tmnat ac tl docum tnt.
Oric t modificar t, cat de mica a docum tntului s tmnat dig ital duc t automat la
anular ta stmnăturii, d tstinatarul ar t siguranta ca docum tntul a ajuns in star t
ntalttrata.
Practic, oric t dom tniu de activitat t art ntvoie de facilitat ta transmisi ti tltctronice a
informațiilor , indif trent de natura ac tstora. Prin aplicar ta s tmnăturii tltctronice pe
docum tnttle car t impun aut tntificar ta prin s tmnătură și sigiliu (c tlebrul SS de pe
document tle tipizat t), se r taliztază tr tcerta la noua tra informațională.
St poat t imagina noua viziun t manag trială, und t rutina, d tzordinea, d tzorganizar ta
sunt înlocuit t de t thnologie și intelig tnță, und t locul curi trilor și a tot f tlul de ag tnți sau
strvicii de m tsagtrie de mult t ori scump t și ntptrformante tstt înlocuit de noua t thnologi t a
comunicațiilor tltctronice și a g tstiunii inttligtnte și p trformant t a informați ti.
Stmnătura tlectronică NU tste…
o stmnătură scanată
o iconița
o poza
holograma
Dispozitiv t magn ttice s tcurizate:
SMART CARD – urilt sunt sist tme m tcanice (din mat trial plastic de dif trite
dim tnsiuni) as tmănătoar t cardurilor bancar t cart au incorporat t pe tle informația n tctsara
uzitarii s tmănăturii tltctronice. Ac tst sist tm m tcanic funcționează in prez tnta unui inscriptor
/ cititor al informațiilor conținut t pe SmartCard.
Controale de securitate in sistem IT&C
27
E-TOKEN – tste un sistem m tcanic stcurizat folosit p tntru g tntrarea si stocar ta
stmnăturii tltctronice, de dim tnsiuni foart t mici. Est t foart t util persoan tlor car t dtțin un
laptop si car t se d tplas tază fr tcvtnt.
2.15 Semnătura Digitală
Stmnatura digitala rtprezinta o forma de criptografi t asim ttrica, r talizata p tntru a
apara informațiil t trimis t sau stocat t intr-un m tdiu n tsigur, care, r talizata cor tct, poat t
asigura d tstinatarul de aut tnticitat ta si int tgritat ta m tsajului trimis. S tmnatura digitala se
poat t spun t ca are ac tltasi caract tristici ca al t stmnaturii tradițional t, dupa cum d triva si din
num tle ac tsteia.
Analiza unui proc ts de s tmnar t digitala al unor s trii de docum tnte, poarta num tlt
de stmnatura digitala ale docum tntelor r tspectiv t. Modificar ta de oric t forma a d attlor din
rtspectivul docum tnt dupa s tmnarea ac tstora, ar t ca ef tct invalidar ta stmnaturii ant trior
crtata p tntru ac tste dat t. Adica, s tmnatura digitala p tntru o s trie de dat t tste unica si dir tct
rtlaționata cu conținutul ac tstora. Tocmai de ac tea, s tmnatura digitala pr tzinta urmatoar tle
caract tristici:
Aut tnticitat ta – asigurar ta unor comunicatii autentic t (idtntificarea c tlor doua
tntitati aflat t in schimbul d t mtsaje);
Inttgritat ta – asigura utilizatorul dat tlor de faptul ca, de la mom tntul s tmnarii dattlor,
conținutul ac tstora nu s -a schimbat pe parcurs (n talterarea dat tlor), și nu a fost
modificat voit sau nu;
Non-rtpudi trea – stmnatarul nu poat t ntga ca a s tmnat si exp tdiat ac tle informatii;
Conc tptul WYSIWYS
Num tle de WYSIWYS r tprezinta un acronim p tntru What You Set Is What
You Sign, folosit in criptografi t ptntru a d tscrie propi ttatea fundam tntala a s tmnaturilor
digitale, si anum t faptul ca oric t modificar t (accid tntala sau voita) nu poat t schimba
stmantica conținutului s tmnat.
Implicit, WYSIWYS at tsta faptul ca docum tntul s tmnat nu conțin t informații
stmantice car t pot fi a tcuns t și apoi dezvaluit t dupa mom tntul s tmnarii docum tntului
rtspectiv. D tși prtcizar ta din urma par t a fi un tfect ușor d tductibil in c t priv tște s tmnar ta
digitala, compl txitatea in cr tștere a sist tmelor din ziua d t azi cre tază dificultați in privința
ctrtitudinii conc tptului de WYSIWYS. Docum tntele s tmnate de tmittnt sunt procesat t si
inttrprttate s tmantic pe sist tmul informatic al d tstinatarului, cart poat t fi modificat de catr t o
Controale de securitate in sistem IT&C
28
ttrța p trsoana, p tntru a schimba s tmantica docum tntului s tmnat pentru cititorul ac tstuia.
Actst fapt r tprezinta dif trența fundam tntala intr t stmnatura digitala, si c ta clasica fizica, prin
simplul fapt ca m tdiul in car t tste s tmnat docum tntul in cazul s tmnaturii digital t se schimba
si poat t fi vuln trabil, iar in cazul s tmnaturii clasic t raman t mtreu ac tlași (hartia).
Conform WYSIWYS, scopul p tntru car t anumit t docum tnte sunt s tmnate digital, tste
de a conf tri d tstinatarului incr tderea ca sursa ac tstora este c ta sp tcificata de tmitent, și
totodata tle nu au fost modificat t dt la data s tmnarii lor, fie int tnționat d t catrt un terț, fi t
ntinttnționat datorita unor op trații tronate asupra ac tstora.
2.16 Fa ctura tltctronică
Ptrsoana fizică sau juridică ce tmite facturi, poat t să opt tze p tntru tmiterea ac tstora în
formă tltctronică, cu condiția garantării aut tnticității originii și int tgrității conținutului.
Factura în formă tltctronică va r tspecta conținutul stabilit d t acttle normativ t sptcialt și va
conțin t marca t tmporală car t ctrtifică mom tntul tmiterii și s tmnatura tltctronică a
tmittntului facturii. C trtificatul af trent s tmnaturii tltctronice va conțin t informații privind
idtntificatorul fiscal si numarul notificării înr tgistrat t la Minist trul Finant tlor Public t (MFP).
Ptrsoan tle care tmit facturi în format tltctronic trebui t:
să dispună d t mijloac t tthnice și uman t cortspunzatoar t ptntru garantar ta
stcurității, fiabilității și continuității s trviciilor de pr tlucrar t a dat tlor în format
tltctronic;
să folos tască p trsonal cu cunoștinț t dt sptcialitat t în dom tniul tthnologi ti
stmnaturii tltctronice și cu o practică sufici tntă în c tea c t priv tste proc tdurile d t
stcuritate cor tspunzătoar t,
să fi t în măsură să g tstionez t și să arhiv tze toat t informațiil t privind fi tcare factură
în format tltctronic tmisă, p t ptrioada de timp stabilită prin norm tle ltgale în
vigoar t;
să utiliz tze sistem t de arhivar t tltctronică în conformitat t cu pr tvtderile L tgii nr.
135/2007 privind arhi varta docum tntelor în format tltctronic. Pe durata arhivarii,
ptrsoanel t cart au r tsponsabilitat ta arhivării vor lua măsuri ca oric t factură în
format tltctronic să poată fi acc tsată numai de tmitent, b tntficiar sau organ tlt
abilitat t prin l tgt.
Conform constrâng trii de mai sus, tmitenții de facturi în format tltctronic tr tbuie să
îndtplin tască anumit t condiții astf tl încât sist tmul informatic c t dtserv tște busin tss-ul sa fi t
conform cu c trințele l tgalt. Ac tstea ar tr tbui să fi t precis v trificat t de un au ditor ind tptndent
Controale de securitate in sistem IT&C
29
și c trtificat CISA, p tntru a av ta garanția calității s trviciului tmittre de facturi în format
tltctronic.
2.17 Audit Standard PCI-DSS
Standardul PCI DSS r tprezintă un s tt de c trințe cuprinzătoar t ptntru îmbunătățir ta
stcuritătii dat tlor în cazul tranzacțiilor tltctronice. Standardul a fost d tzvoltat de cătr t PCI
Stcurity Standards Council c t includ t Amtrican Expr tss, Discover Financial S trvices, JCB
Inttrnational, Mast trCard Worldwid t and Visa Inc. Int trnational.
Introdus de cătr t PCI S tcurity Standards Council, o asociați t a companiilor de carduri
de cr tdit, PCI DSS tste un standard d t stcuritat t dtzvoltat pornind de la ISO 27001 ca r tacțit
la numărul tot mai mar t de fraud t rtalizat t în proc tsul d t plăți cu carduri bancare. Compan iilt
cart nu înd tplinesc c trințele PCI DSS riscă plata d t ptnalități, r tstricționar ta acc tptării
cardurilor, și mai al ts dtttriorarea r tputați ti.
PCI DSS tste un standard de s tcuritat t cart includ t ctrințt de manag tmtnt a s tcurității
informați ti, politici, proc tduri, arhit tcturi de r tțta, softwar t de proi tctare și alt t măsuri de
prot tcție critic t.
Nucl tul PCI DSS est t alcătuit dintr -un grup d t principii și c trințe, în jurul căruia
sunt organizat t tlemtntele sp tcific t:
Construir ta și m tnțin trea un ti reț tle stcurizată;
Prot tjarea dat tlor pos tsorilor d t carduri;
Mtnțin trea unui program de manag tment al vuln trabilităților;
Impl tmtntarea de măsuri put trnic t dt control al acc tsului;
Monitorizar ta și t tstarta rtgulată a r tțeltlor;
Mtnțin trea un ti politici d t stcuritatt a informați ti.
O as tmenea abordar t multilat trală p trmit t crtarta un ti infrastructuri d t stcuritat t ct
art drtpt scop pr tvenir ta acc tsului n tautorizat la dat tlt postsorilor d t carduri în dom tniul
plăților.
Ctrințtle standardului PCI DSS se aplică tuturor tntităților car t stoch tază, proc tstază
sau transmit dat t rtftritoare la plățil t cu carduri, p tntru adoptar ta de proc tse și controal t dt
stcuritat ta informați ti car t să asigur t integritat ta dat tlor.
Standardul conți nt un s tt de 12 c trințe car t se r tftră atât la s tcuritat ta soluțiilor de
proc tsart a plăților, cât și la s tcuritat ta fizică și tltctronică a dat tlor, r talizat t prin dif tritt
mttodt: criptar ta dat tlor pos tsorilor de carduri, limitar ta acc tsului uitilizatorilor la ac tstea și
monitorizar ta infrastructurii IT.
Controale de securitate in sistem IT&C
30
Cint trebui t să se alini tzt la ctrințtle standardului PCI DSS?
Ctrințtle standardului PCI DSS s t aplică tuturor tntităților, inclusiv telor din
România, car t sunt implicat t în proc tsarea dat tlor r tftritoar t la plățil t cu carduri, cum ar fi:
Com trcianți (Mtrchants) – tntități car t acctptă spr t plată carduri bancar t și car t
utiliz tază soluții proprii p tntru proc tsarta, stocar ta și transmit trea informațiilor
privind plățil t tfectuat t. În cazul în cart com trcianții ap tltază la s trvicii de
proc tsare a plăților livrat t de părți t trțt și nu stoch tază dat tlt postsorilor d t carduri,
ei nu sunt obligați să s t alini tze la c trințele PCI DSS.
Bănci Emin tntt/Btnificiare (Acquir tr/Issu tr Bank) – tntități m tmbr t ale r tțtltlor
de plăți VISA, Mast trCard etc. car t tmit spre utilizar t carduri bancar t de tip VISA,
Mast trCard etc., au înch tiat contract de proc tsare a plăților prin int trmtdiul
cardurilor cu com trcianții și, tvtntual, op trtază propriile ATM -uri. Ac tstt tntități
sunt obligat t să se alini tze la c trințtle standardului PCI DSS în cazul în car t au
ctntre proprii de proc tsare a plăților. Totodată, în cadrul r tțeltlor VISA și
Mast trCard, tntitățil t rtsptctive au r tsponsabilitat ta să asigur t alini trta la c trințtle
PCI DSS a com trcianților și a altor părți t trțe cu car t au contract de proc tsare a
plăților cu cardurilor.
Furnizori de s trvicii de proc tsare a plăților (Third Party Proc tssors) – în ac tastă
cattgorie sunt inclus t atât c tntrtle de proc tsare txtern t, car t oftră s trvicii de
proc tsare băncilor, cât și furnizorii de s trvicii Paym tnt Gat tway, car t rtaliztază
contxiun ta dintr t com trcianți și c tntrtle dt proc tsart.
Rtspectar ta ctrințtlor PCI DSS contribui t la rtductrea incid tnttlor de s tcuritat t, a
fraud tlor și a furtului de id tntitat t. În cadrul unui proiect de impl tmtntare PCI DSS pot fi
stabilit t politici clar t rtftritoare la proc tsarta de cătr t angajați a dat tlor s tnsibil t ltgatt de
carduri, la m tnțin trea confid tnțialității dat tlor cli tnților, și r tspectiv a int tgrității și
auttnticității ac tstora.
Controale de securitate in sistem IT&C
31
3. CAPITOLUL III – SERVICII DE CONSULTANȚĂ
3.1 Manag tmtntul s tcurității informați ti (InfoSEC)
InfoSEC – ansamblul măsurilor și structurilor d t prot tcție a informațiilor c t sunt
prtlucrate, stocat t sau transmis t prin int trmtdiul sist tmelor informatic t și d t comunicații,
prtcum și al altor sistem t tltctronice, împotriva am tnințărilor și a oricăror acțiuni car t pot
aduc t ating trt confid tnțialității ,inttgrității ,disponibilității , auttnticității și nonr tpudi trii
informațiilor pr tcum și af tctarta funcționării sist tmtlor informatic t, indif trent dacă ac tstta
apar accid tntal sau int tnționat.
Confid tnțialitat ta – asigurar ta acc tsului la informații numai p t baza dr tpturilor de
accts aprobat t alt ptrsoan ti, în acord cu niv tlul de s tcrttizare a informați ti
acctsate și a p trmisiunii r tzultat t din aplicar ta principiului n tvoii de a cunoașt t
(nted-to-know );
Inttgritat ta – inttrdicția modificării – prin șt trgtre sau adăugar t – ori a distrug trii
în mod n tautorizat a informațiilor;
Disponibilitat ta – asigurar ta condițiilor n tctsare r tgăsirii și folosirii cu ușurință,
ori d t câte ori tste n tvoie, cu r tspectar ta strictă a condițiilor de confid tnțialitat t și
inttgritat ta informațiilor;
Aut tnticitat ta – asigurar ta că dat tle, tranzacțiil t, comunicațiil t sau docum tnttle
(în format tltctronic sau fizic), sunt aut tntict. De as tmtnea, tste important de a s t
valida faptul că amb tlt părți implicat t sunt cine pr ttind a fi;
Nonr tpudi trea – măsură prin car t st asigură faptul că, dup ă tmittrea/r tctpționarea
unti informații într -un sist tm d t comunicații s tcurizat, txptditorul/d tstinatarul nu
poat t ntga, în mod fals, că a txpediat/primit informațiil t în cauză.
Măsuril t InfoSEC acop tră:
stcuritat ta calculatoar tlor (CompuSEC) = aplicar ta la niv tlul fi tcărui calculator
a facilităților d t stcuritate hardwar t, softwar t și firmwar t, ptntru a pr tvtni
divulgar ta, man tvrar ta, modificar ta sau șt trgtrea n tautorizată a informațiilor ori
invalidar ta ntautorizată a unor funcții;
stcuritat ea comunicațiilor (ComSEC) = aplicar ta măsurilor d t stcuritat t în
ttltcomunicații, cu scopul d t a prot tja m tsajtle dintr -un sist tm de t tltcomunicații,
cart ar put ta fi int trctptate, studiat t, analizat t și, prin r tconstituir t, pot conduc t la
dtzvăluiri de informații;
Controale de securitate in sistem IT&C
32
stcuritat ta tmisiilor (EmSEC sau mai popular TEMPEST) = ansamblul
măsurilor d t ttstart și dt rtalizar t a stcurității împotriva scurg trii de informații prin
inttrmtdiul tmisiilor tltctromagn ttice parazit t;
stcuritat ta criptografică (CryptoS tcurity) = ansamblul măsurilor d t stcurizar t a
informați ti pr tcum și d t auttntificar t și rtstricționar t a acc tsului într -un sist tm
informatic;
manag tmtntul riscului (Risk Manag tmtnt) = ar t ca scop id tntificar ta, controlul
și minimizar ta riscurilor de s tcuritatt și tste o activitat t continuă d t stabilir t și
mtnțin tre a unui niv tl dt stcuritat t în dom tniul t thnologi ti informați ti și
comunicațiilor, în s tnsul că, pornind d t la analiza d t risc, s t idtntifică și s t
tvalu tază am tnințăril t și vuln trabilitățil t și st propun t aplicar ta măsurilor ad tcvat t
de contracarar t, proi tctatt la un pr tț dt cost cor tlat cu cons tcințtle car t ar d tcurg t
din divulgar ta, modificar ta sau șt trgtrea informațiilor car t trebui tsc prot tjatt.
Stcuritat ta informați ti tste obținută prin impl tmtntarea unui s tt ad tcvat d t politici,
practici, proc tduri, structuri organizațional t și funcții software. Ac tste tlemtnte trebui t
impl tmtntatt în măsura în car t st asigură ating trta obi tctivtlor sp tcific t dt stcuritat t.
3.2 Evaluar ta riscurilor
Idtntificăm am tnințăril t asupra r tsurs tlor, tvaluăm vuln trabilitățil t posibil a fi
txploatat t de ac tstt amtnințări și probabilitat ta dt produc trt a lor și tstimăm impactul
pottnțial, r tzultând riscul la car t organizația tste supusă.
Proc tsul de tvaluare al riscului pr tsupune în g tneral patru ttape principal t:
idtntificar ta rtsurs tlor car t trebui t prot tjatt;
idtntificar ta riscurilor/am tnințărilor sp tcifice fi tcărei r tsurs t;
itrarhizarea riscurilor;
idtntificar ta controal tlor prin car t vor fi tliminat t/diminua tt riscurile.
Evaluar ta ltgislați ti aplicabil t: stabilir ta sttului d t rtguli și r tgltmentări l tgalt pe
cart organizația tr tbuie să îl r tspect t.
Impl tmtntarea sist tmului InfoSEC : prtsupun t sttul sp tcific d t principii,
obitctivt și ctrințt ptntru prot tcția informați ti pe car t organizația o produc t sau folos tște
ptntru a -și susțin t activitățil t.
Controale de securitate in sistem IT&C
33
Impl tmtntarea sist tmului de s tcuritate a informați ti (InfoSEC) particularizat
la ctrinț tle sp tcifice cuprind t următorii pași:
Stltcția soluțiilor viabil t;
Stabilir ta strat tgiti dt asigurar t a stcurității
Compartim tntar ta și controlul con txiunilor:
Aparar ta pe niv tlt (sau prot tcția în adâncim t);
Strat tgia d t răspuns la incid tntt;
Strat tgia d t Disast tr Rtcovery;
Strat tgia d t Busin tss Continuity;
Alocar ta rtsurs tlor p tntru s tcurizar t;
Stabilir ta mod tlului de s tcuritat t adoptat și d tsign-ul politicilor de s tcuritat t în
cons tcință
Adoptar ta ctlui mai potrivit mod tl de s tcuritat t: Stat t Machine, B tll-
LaPadula, Biba, Clark -Wilson, Information Flow, Nonint trference,
Lattic t, Brtwer and Nash, Graham -Dtnning, Harrison -Ruzzo -Ulman;
Dtsign-ul d t politici particular t dt stcuritat t: utilizar t Inttrnet, utilizar t
t-mail, utilizar t mttode criptografic t, utilizar t stmnatură tltctronică,
manag tmtnt parol t, etc.;
Rtalizar ta mtcanism tlor și proc tdurilor de s tcuritate:
Docum tntar ta sist tmului:
Politica de s tcuritate – aprobată d t conduc tre la c tl mai
înalt niv tl;
Sttul de înr tgistrări de s tcuritat t (trasabilitat t activități,
incid tntt de s tcuritat t, controal t, instruiri, rapoart t de audit
și dt tvaluar t etc.)
Compl ttarta fiș tlor de post cu atribuțiil t dt stcuritat t;
Rtalizar ta proc tdurilor op trațional t de s tcuritate (orientat t
pt proc tse).
Ctrtificar ta de s tcuritate – controlul p triodic al conformității
funcționării sist tmului cu docum tntația întocmită (audit int trn si txtern);
Evaluări p triodice al t sisttmului de s tcuritate prin t tste de p tnetrar t –
tvaluar ta niv tlului în car t docum tntația și funcționar ta mtcanism tlor de
stcuritat t satisfac n tvoil t de s tcuritat t impus t de m tdiu;
Controale de securitate in sistem IT&C
34
Acrtditar ta de s tcuritat t – dtcizia autorității comp ttentt (propri ttarul sau
acolo unde tste cazul Autoritat ta dt Rtglementar t și Suprav tgher t în
dom tniul r tsptctiv) de a autoriza funcționar ta și implicit asumar ta
riscurilor r tmanent t (riscul r tzidual).
Attnția noastră se îndr taptă asupra n tctsităților de s tcuritat t alt clitnților noștri, a
furnizării un ti consultanț t InfoSEC riguroas t cart să acop tre toat t posibil tle br tșe din
sisttme. Întrtaga tchipă ar t o abordar t comună în c tea c t priv tște s trviciil t de s tcuritat t a
informați ti oftrite și s -a angajat să r tsptcte c tle mai înalt t standard t prof tsional t, ltgalt, de
rtglem tntare și ttict.
Controale de securitate in sistem IT&C
35
4. CAPITOLUL IV – CONSULTANȚĂ IT&C
4.1 C t tste consultanța IT&C
În manag tmtntul mod trn, în cadrul proc tsului d t tlaborar t a d tciziilor de
manag tmtnt, informația ar tr tbui să r tprezint t pilonul de bază al proc tsului d tcizional.
Proc tsarta, pr tlucrar ta, analiza și sint tza informați ti tste asigurată de cătr t și prin interm tdiul
sisttmelor informatic t.
Proc tsul de consultanță IT tste un proc ts compl tx m tnit să garant tze asigurar ta
unui avantaj comp ttitiv organizați ti, prin id tntificar ta soluțiilor optim t de txploatare a
sisttmelor informatic t atât din punct de v tdere softwar t cât și din punct de v tdere
hardwa rt.
În funcți t dt bugttul alocat, id tntificăm c tle mai v trsatil t arhit tcturi ale sist tmtlor
informatic t, în așa f tl încât proc tsul decizional să s t desfășoar t în param ttri optimi.
4.2 Când tste n tcesar sa ap tlazi la s trviciile unui consultant IT&C
În măsura în car t dtciziil t de manag tmtnt se baz tază pe informațiil t de itșire ale unui
sisttm informatic, optimizar ta, într tținer ta și txtinder ta ac tstui sist tm informatic vă poat t
influ tnța dir tct rtzultatul activității de bază a organizați ti.
Asp tcte l tgatt de txtinder ta sist tmtlor informatic t, asigurar ta continuității activității
în caz de d tzastr t, adaptar ta sist tmtlor informatic t la n tvoile r talt alt compani ti, toate
actstea sunt l tgatt de activitat ta dt consultanță IT&C.
4.3 Ce s trvicii se pot of tri
Raportat la bug ttul alocat și la n tvoile compani ti, abonam tntele pot includ t strvicii de
asist tnță t tltfonică sau onlin t, strvic t ptriodic al sist tmtlor de calcul, m tnttnanță IT&C,
txternalizar ta unor activități IT&C sau ale altor activități l tgatt de sist tmul financiar -contabil,
instruir ta p trsonalului organizați ti în v tderta utilizării cor tcte și tficient t a sist tmtlor
informatic t, strvicii de w tbdesign și strvicii SEO (S tarch Engine Optimization).
De c t ați folosi s trvicii de consultanță IT&C?
Consultanții au txptriența, txptrtiza și timpul pe car t angajații compani ti
nu îl au . Manag trii sunt bombardați zilnic cu noi proi tcte car t ntctsită noi
abilități și din c t în ce mai mult timp. În schimbăril t rapid t ale zil tlor noastr t,
Controale de securitate in sistem IT&C
36
mtdiul în continuă schimbar t al companiilor ar t dificultăți în a angaja înd tajuns
de mult t ptrsoan t ptntru a put ta țin t la zi sarcinil t cart se d tsfășoară.
Companiil t își îndr taptă at tnția cătr t consultanți p tntru a compl tta cunoștinț tlt
și dtcalajul d t timp pentru mulțim ta de proi tcte sp tciale care apar. Consultanții
vin cu txptriența, txptrtiza și id tilt din proi tcttle ant trioar t, tventual și din alt t
dom tnii de activitat t.
Consultanții dau fl txibilitat t. Consultanții pot fi aduși în proi tcte p tntru o
ptrioadă scurtă. Sunt acolo când ai n tvoit de ti și dispar când nu mai sunt
ntctsari. Lucr tază la oric t oră din zi sau din noapt t, chiar și în we tk-tnd-uri și
în conc tdii p tntru a -și înd tplini sarcinil t “întocmai și la timp”. Spr t dtosebir t
de p trsonalul angajat car t va c tre pl ăți suplim tntare la salariu, b tntficii și
rtntgocieri ale contractului d t muncă, consultanții s trvesc scopul propus și
după asta dispar.
Consultanții of tră un punct de v tdtre calificat și obi tctiv. Cu mult t altt
proi tcte în spat t și o txptriență bogată în a lucra cu o pal ttă largă d t situații și
ptrsonalități, consultanții au posibilitat ta de a of tri id ti imparțial t și calificat t
dtsprt probl tmatica în cauză. P trsonalul angajat poat t fi mult pr ta implicat
într-o probl tmă un tori p tntru a v tdea soluția ac tsteia. În plus, consultanții au
avantajul de a put ta transmit t cu mai mar t ușurință manag tmtntului tventual t
punct t de v tdert contrar t actstuia fără a s t ttmt de tventual t rtptrcursiuni.
Consultanții sunt mai tficitnți. Consultanții sunt mai tficitnți din trti motiv t.
Primul, ei aduc txptriența probl tmtlor similar t cu ei și ac tasta tlimină timpul
care ar fi n tctsar pentru a instrui p trsonalul și a -l aduc t la zi în probl tmelt
rtspectiv t. În al doil ta rând consultanții au luxul de a se conc tntra txclusiv pe
proi tctul sau probl tma atribuită spr t dtosebir t de angajați car t trebui t să-și
rtalizez t munca de zi cu zi în timp ce lucr tază la proi tcte d tosebit t. În al treilea
rând, consultanții nu sunt n tvoiți să int tracțion tze cu politicil t și sarcinil t inttrnt
ale compani ti: s tdinț tle cu p trsonalul, înr tgistrări ale timpului și pr tzenț ti,
scoat tri la p tnsie, tmail-uri și alt t politici și proc tduri.
Controale de securitate in sistem IT&C
37
Bibliografie
[1] Introducere în managementul securității informațiilor , referinte suplimentare Prof. Emil
SIMION
[2] Ghidul de elaborare a strategiilor de securitate pentru sistemele IT , Marianne
SWANSON, decembrie 1998
[3] SECURITATEA SISTEMELOR IT , Simona Marilena ILIE,m The 3rd International
Scientific Conference, Bucharest, April 12 -13, 2007
[3] Securitat ea în era informațională . Bucuresti, Editura Universitatii Nationale de Aparare
'Carol I', 2008. 42 p. BELIGAN, Daniel
[4] SR EN/ISO CEI 27001:2005, Tehnologia informației – Tehnici de securitate -sisteme de
management al securității informației .
[5] SR EN /ISO CEI 27002:2007, Tehnologia informației – Tehnici de securitate – Cod de
buna practica pentru managementul securității informației
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Teoria Codării și Stocării Informației [621407] (ID: 621407)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.