Aspecte Ale Securitatii Informatice

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.
Aspecte ale securitatii sistemelor informatice economice
Capitolul 1. Introducere n securitatea sistemelor informatice.
sistem informaional i sistem informatic Orice activitate realizat cu scopul de a satisface o necesitate se desfoar contient i ntr-un cadru organizatoric bine determinat. Orice activitate uman organizat ntr-un astfel de cadru este unitate a trei sisteme1: sistem condus; sistem de conducere; sistem informaional. Sistemul condus (operaional) - cumuleaz mijloacele i resursele pentru desfurarea activitii de producie. n acest sistem are loc consumul de resurse materiale, umane, de capital, informaii. Acest sistem trebuie condus i coordonat n vederea atingerii obiectivelor propuse. Sistemul de conducere (decizional) reprezint un ansamblu de sarcini, procese i mijloace ce coordoneaz activitatea condus. ntre sistemul condus i sistemul de conducere exist o legtur permanent n ambele sensuri. Coordonarea sistemului condus poate avea loc numai dac sistemul de conducere are suficiente cunotine despre sistemul condus care s-i parvin la timpul potrivit i-n volumul i structura necesar. Totalitatea cunotinelor generate de sistemul condus trebuie supuse unui sistem de prelucrare dup anumite reguli care s fac aceste cunotine nelese i utile sistemului de conducere. Sistemul informaional reprezint un ansamblu organizat i integrat da date i informaii precum i metodele i mijloacele de culegere, stocare, prelucrare i transmitere a acestora n vederea valorificrii n procesul decizional.
Ion Boldea, Proiectare a sistemelor informaionale Note de curs
Pagina 3 din 80
Prin acest ansamblu cunotinele generate de sistemul condus sunt prelucrate dup anumite reguli i transformate n cunotinele sintetice i utile conductorului cruia i sunt destinate. Sistemul informaional face legtura dintre sistemul condus (operaional) i sistemul de conducere (decizional). Sistemul informaional cuprinde urmtoarele elemente: datele; informaiile; circuitele informaionale; fluxurile informaionale; mijloacele de culegere, stocare i prelucrare i transmitere a datelor. Datele reprezint ansamblu de semne cifrice sau litrice prin care se comensureaz un fenomen sau proces. irul de semne reprezint suportul material al informaiei. Datele sunt prelucrate dup anumii algoritmi dinainte determinai, sunt analizate rezultatele i interpretate pentru a oferi informaii relevante despre fenomene. Informaiile sunt rezultatele procesului de prelucrare a datelor pe baza unor proceduri prestabilite. Ele au un coninut semnificativ pentru cel ce le utilizeaz i constituie element de fundamentare al deciziei. Exist n realitate ns i unele date care chiar dac nu sunt prelucrate au un coninut semnificativ i pot fi utilizate n fundamentarea unor decizii sau declanarea unor aciuni. Mulimea informaiilor tinde s blocheze canalele informaionale n acelai timp nevoia de informare este tot mai mare. Rezolvarea acestei probleme ntre volumul i nevoia de informaie se realizeaz prin informatizarea sistemului informaional. Volumul mare de informaii face necesara o grupare a acestora care s permit analistului de sistem s le ia n considerare n funcie de valorile lor informaionale. Circuitul informaional reprezint ansamblul de puncte, de locuri de munc, de compartiment prin care trec informaiile din momentul intrrii sau generrii lor n unitate i pn n momentul ieirii din unitate. Fluxurile informaionale reprezint cantitatea de informaii ce parcurg un circuit informaional. Mijloacele de culegere, stocare, prelucrare i transmitere a informaiilor sunt o component important a sistemului informaional. Dac aceste mijloace sunt automate, ele formeaz sistemul informatic.
Pagina 4 din 80
Rezult c sistemul informatic face parte din sistemul informaional care, n ultimul timp, are un rol deosebit n dezvoltarea i perfecionarea sistemului decizional prin oferirea unui instrument important de investigare i cunoatere tiinific a fenomenelor i proceselor. Domeniile de utilizare a informaticii s-au diversificat n ritm rapid. Astfel se poate vorbi despre: informatica tehnico-tiinific ce se ocup inginereti; informatica industrial ce are ca rol, supravegherea, comanda i controlul procesului de producie; informatica de gestiune ce are ca obiectiv prelucrarea automat a informaiilor economice; informatica pentru conducere care se ocup cu informatizarea procesului de conducere i asistare a deciziilor; informatica despre birotic prin care se realizeaz automatizarea activitilor de birou di administraie; informatica care se ocup cu proiectarea asistat de calculator, care are ca obiectiv proiectarea proceselor i tehnologiilor. Informatica realizeaz o producie proprie legat de prelucrarea datelor. Producia informatic are dou componente: proiectarea de sisteme noi sau perfecionarea celor vechi; prelucrarea automat a datelor ca o activitate de tipul prestarilor de serviciu. Un sistem informatic este conceput i funcioneaz la nivelul unei anumite uniti i este un ansamblu coerent format din echipamente de calcul i comunicaie, programare, procese, proceduri automate i manuale i care sunt utilizate ca instrumente de prelucrare a datelor. Sistemul informatic preia o parte din baza informaional i operaiunile de prelucrare ale sistemului informaional devenind n acest fel o component a acestuia. Din acest punct de vedere sistemul informatic poate fi considerat ca un subsistem informaional automatizat. Utilizarea calculatorului pentru rezolvarea unor lucrri constituie o aplicaie informatic. Un sistem informatic poate cuprinde una sau mai multe aplicaii informatice. Sistemul informatic integrat asigur prelucrarea unic a fiecrei informaii i difuzarea acestora tuturor aplicaiilor care o solicita. Integrarea sistemului se poate realiza pe mai multe ci:
Pagina 5 din 80
cu
rezolvarea calculelor tehnico-
prin crearea unei baze informaionale comune, actualizat n mod unitar i care s fie utilizat de toate aplicaiile; transmiterea informaiilor ntre aplicaii sub forma unor interfee.
Evoluia securitii sistemelor informatice. Evoluia sistemelor electronice de calcul a atras dupa sine, n mod inevitabil, preocupri cu privire la securitatea sistemelor informatice. n anii de pionierat ai utilizrii echipamentelor electronice de calcul, principalele metode de asigurare a securitii acestora erau cele referitoare la protecia fizic - n sensul interzicerii accesului n sala de calculatoare. Acest fapt se datoreaz n principal costurilor foarte ridicate ale echipamentelor electronice n comparaie cu valoarea datelor i informaiilor ce erau stocate i prelucrate de acestea. Apariia microprocesoarelor i dezvoltarea unor metode eficiente i rentabile de producie a acestora pe la sfritul anilor 70, a avut un impact enorm asupra multiplicrii numrului de calculatoare i a determinat creterea puterii de stocare i prelucrare a datelor, scderea dramatic a preului echipamentelor electronice i a impulsionat dezvoltarea serviciilor informatice. Cel mai important efect al microprocesoarelor l constituie inversarea raportului valoric ntre echipament i informaia stocat i prelucrat de acesta. Costul reparrii unei defeciuni hardware poate fi doar o fraciune a ceea ce ar putea s coste reinstalarea datelor care s-au pierdut datorit unei defeciuni hardware sau a unei erori a operatorului. Datele inexacte, incomplete sau false pot afecta n mod semnificativ cifra de afaceri sau profiturile, fie direct (de exemplu, prin imposibilitatea de a ine sub urmrire datoriile restante) fie indirect, (de exemplu, prin timpul necesar recuperrii informaiilor n loc ca acesta sa fie folosit n dezvoltarea afacerii, sau cauznd decizii eronate ale managerilor) 2. Astfel accentul se pune pe informaie. Se introduc noi tehnici de acces pe baz de parol, se limiteaz accesul pe categorii de utilizatori, se desemneaz personal specializat pe probleme de securitate a datelor i informaiilor. Creterea complexitii sistemelor electronice i a tehnicilor de prelucrare a datelor i informaiilor a determinat creterea vulnerabilitii sistemelor iar metodele tradiionale de protecie sunt insuficiente determinnd dezvoltarea unor politici care s asigure protecia acestora. Au aprut organisme internaionale care emit reguli i principii pentru asigurarea securitii dintre care o importan deosebit o are OECD.
Pagina 6 din 80
OECD (Organisation of Economic Cooperation and Development) este unul dintre organismele internaionale preocupate de domeniul proteciei datelor cu caracter personal, securitii sistemelor informatice, politicii de criptare i al proteciei proprietii intelectuale. Activitatea OECD este dirijat ctre integrarea acestor probleme n reglementrile existente pe plan mondial, prin realizarea unor acorduri internaionale. Pe baza programelor stabilite de OECD, rile membre au dezvoltat sau sunt n curs de dezvoltare a unor legi, norme, criterii tehnice i reglementri. Printre domeniile avute n vedere de ctre OECD sunt incluse i urmtoarele: n ceea ce privete protecia datelor cu caracter personal, OECD a elaborat n anul 1985 Declaraia cu privire la fluxul transfrontarier al datelor. Ideea fundamental era de a se realiza, prin msuri juridice i tehnice, controlul direct individual asupra datelor cu caracter personal i asupra utilizrii acestora n ceea ce privete sistemele de criptare, OECD a nceput n anul 1992 organizarea unor reuniuni asupra tehnologiilor i sistemelor de cifrare. Criptarea are rol nu numai n domeniul proteciei datelor cu caracter personal, al securitii sistemelor informatice i proteciei proprietii intelectuale n infrastructura informatic mondial, dar i n aplicaii ca: votul de la distan, comerul electronic, pli electronice, gestiunea documentelor n reele sau cri de identitate. Rolul reglementrilor OECD este de a contientiza i sensibiliza populaia asupra criptrii i a potenialei ei utilizri, precum i de a realiza un consens internaional n ceea ce privete politica de criptare. n ceea ce privete securitatea sistemelor informatice, rile din OECD au cerut, n 1988, secretariatului OECD s pregteasc un raport complet asupra acestui domeniu, cu evidenierea inclusiv a problemelor tehnologice, de gestiune, administrative i juridice. Ca urmare a acestui raport, rile membre au negociat i adoptat n anul 1992 Liniile directoare privind securitatea sistemelor informatice n OECD. Consiliul OECD recomand revizuirea periodic a acestor reglementri la fiecare 5 ani (ultima reuniune OECD dedicat domeniului a avut loc n mai 1997). Liniile Directoare enun 9 principii care privesc securitatea informatic: 1. Principiul responsabilitii, adic stabilirea clar a responsabilitilor privind securitatea, pe care le au proprietarii, furnizorii, administratorii i utilizatorii sistemelor informatice. 2. Principiul sensibilizrii, conform cruia persoanele interesate asupra acestui subiect trebuie corect informate.
Pagina 7 din 80
3. Principiul eticii, adic elaborarea unor norme sociale de conduit n utilizarea sistemelor informatice i difuzarea lor, n special ctre cei tineri. 4. Principiul pluridisciplinaritii, conform cruia metodele tehnice i organizatorice privind securitatea informatic trebuie adoptate prin cooperarea dintre personalul tehnic, administrativ, legislativ i de utilizare a sistemelor. 5. Principiul proporionalitii, care cere ca securitatea s nu fie maximal, ci n relaie direct cu importana informaiilor gestionate i cu costurile suportabile pentru implementarea msurilor de protecie. 6. Principiul integrrii, conform cruia securitatea, care este necesar n toate stadiile de prelucrare a informaiilor colectare, creare, prelucrare, stocare, transmitere i tergere, trebuie prevzut i evaluat nc din stadiul de proiectare a sistemelor informatice. 7. Principiul oportunitii, conform cruia organizaiile publice i private pot stabili mecanisme i proceduri care s permit o cooperare rapid i eficient pentru a face fa rapid unor tentative de corupere a securitii sistemelor. 8. Principiul reevalurii, care cere revizuirea periodic a securitii a sistemelor informatice, n funcie de noile pericole i tehnologii de protecie disponibile. 9. Principiul democraiei, adic stabilirea unui echilibru ntre cerinele de securitate i protecie i cele privind libera circulaie a informaiilor, conform principiilor care guverneaz societile democratice. Riscurile la care sunt expuse sistemele informatice. Evoluia continu a tehnologiilor informaionale este nsoit de o vulnerabilitate sporit a sistemelor informatice. Factorii care favorizeaz aceast caracteristic nedorit a sistemelor sunt: Cantiti mari de date sunt concentrate n fiiere foarte mici din punct de vedere fizic Capacitatea de procesare a calculatorului este extensiv, cantitai enorme de date sunt procesate fr interventia umana, i deci fr ca oamenii s tie ce se intampl. Acest fapt pune accent pe exactitatea programelor i a datelor din fiiere. Datele din fiiere pot fi pierdute foarte uor. Echipamentele pot grei sau s nu funcioneze corespunztor, fiierele de date pot fi corupte i s inmagazineze date fr sens. Se pot pierde bii de informaie cnd se copiaz fiiere iar fiierele de date sunt ntotdeauna susceptibile de a pierde date prin furt, inundaii sau incendiu.
Pagina 8 din 80
Persoane neautorizate pot accesa datele din fiiere i s citeasc date secrete sau s manipuleze datele din fiiere. O problem special exist n cazul sistemelor on-line deoarece accesul la un anumit program sau fiier master poate fi obinut de la oricare terminal. Acest tip de risc este cunoscut sub numele de lrgirea a accesului direct la resursele fizice de date; Informaia dintr-un fiier poate fi schimbat fr a lsa urme fizice ale schimbarii. n comparaie, o schimbare ntr-un fiier manual deseori implic i lsarea unor urme de exemplu, tergerea unor date de pe un document pentru a insera date noi. Calculatoarele nu dispun de inteligen, iar erorile n procesarea datelor de ctre calculator pot scpa nedetectate n timp ce prelucrarea manual a datelor evit acest neajuns. De exemplu, un program de salarizare poate produce un cec de salarii pentru un angajat n valoare de 0,00 lei sau de 1.000.000.000 de lei i nu va ti dac a facut ceva greit sau nu. Dezvoltarea tehnicilor de exploatare a calculatoarelor: multiprogramarea, exploatarea n timp real i n multiacces, accesul la sisteme prin terminale situate la distan etc; Extinderea comunicaiilor i a reelelor tot mai performante, care au lrgit aria utilizatorilor de calculatoare. Riscul a fost definit ca o evaluare cuantificat a unei pierderi poteniale. Cea mai buna metod de a trata riscul este de a-l evita complet, cu alte cuvinte s modifici sistemul n asa fel nct s nu fie vulnerabil la risc. Nereuind aceasta, riscul trebuie controlat. Agenii economici i mediul nconjurtor se schimb constant i astfel managementul riscului este un proces continuu, nu doar de moment. Este nevoie de o politic de securitate revizuit la intervale regulate, nu doar un set de msuri adoptate ad hoc. Managementul riscului cuprinde seturile de politici, progame, instrumente, metode i tehnici prin care ntreprinderile pot gestiona impactul riscului asupra funcionrii coerente a activitii economice. Managementul riscului poate fi detaliat n 3 etape : Evaluarea riscului Identificarea riscului. Cuantificarea riscurilor. Clasificarea riscurilor n funcie de pierderile poteniale. Importana unor ncercri de a cuantifica pierderile poteniale n termeni financiari este c, acestea sunt msuri pentru care costul proteciei poate fi evaluat. O metod este analiza de risc Courtney, care estimeaz costul riscului i frecvena lui concluzionnd cu estimarea anual a pierderilor.
Pagina 9 din 80
Minimalizarea riscului Identificarea de contramsuri. Costul contramsurilor. Selectarea contramsurilor. Implementarea contramsurilor. Dezvoltarea unor planuri pentru evenimente neprevzute (de exemplu planuri pentru cazurile n care contramsurile sunt ineficiente). Analiza scenariilor este o tehnic prin care descrierile unor posibile evenimente cauzatoare de pierdere sunt aduse la cunotiina managerilor funcionali care evalueaz cele mai probabile pierderi. Msuri de securitate se iau mpotriva oricror evenimente care se consider a fi cauzatoare de pierderi. Transferul riscurilor este cel mai adesea realizat prin asigurare. Este imposibil ca toate riscurile s fie eliminate. Riscurile care nu pot fi acoperite de msurile de securitate ar trebui asigurate astfel nct cel puin consecinele financiare s nu fie prea grave. Riscurile la care sunt supuse datele i informaiile sunt enumerate n ICAEWInformation Technology Statement nr 1 dup cum urmeaz : Eroarea uman. Acesta este riscul cu cea mai mare inciden. Exemple de erori umane sunt: introducerea de tranzacii incorecte, eecul n a corecta erorile, utilizarea unor fiiere de date nepertinente n timpul procesrii, i nerespectarea instruciunilor privind procedurile de securitate. Eroarea tehnic. Acesta este probabil al doilea risc ca inciden dup eroarea uman. Eroarea tehnic presupune proasta funcionare a hardware-ului, a software-ului sistem, a aplicaiilor sau a software-ului de comunicare. Software-ul sistem conine sistemul de operare, software de management al fiierelor i al bazelor de date. Hardware-ul cuprinde pe lng calculatoare, unitile de disc i echipamentele de comunicare, generatoarele de curent electric n caz de urgen i unitile de aer condiionat. Dezastrele naturale. Focul, inundaiile, explozia, impactul, fulgerul sunt exemple de dezastre naturale iar consecinele acestora ar trebui prevzute. Aciunile deliberate. Domeniul fraudei necesit atenie special dac datele sunt stocate pe suport magnetic deoarece asemenea date nu sunt lizibile imediat i de aceea este posibil s fie greu de obinut dovada folosirii incorecte a datelor. n plus, exist o mare varietate de metode diferite prin care se poate comite o fraud.
Pagina 10 din 80
Spionajul industrial. Cnd se are n vedere valoarea datelor pentru competitori, organizaiile ar trebui s analizeze cum anumite date pot complementa alte date obinute de competitori din surse publice. Distrugerea premeditat. Exist multe cazuri de angajai neloiali care distrug date sau software. Sabotajul este inclus n aceasta seciune. Actiunea industrial. Cu ct este mai concentrat procesarea i stocarea datelor cu att mai vulnerabil poate fi o ntreprindere fa de aciunea industrial. 1.4 Ameninrile la adresa datelor i informaiilor. Un hacker este o persoan foarte preocupat de aspectele ascunse i profunde ale unui sistem informatic. Cel mai adesea, hackerii sunt programatori. Prin activitatea lor, hackerii pot obine cunotine avansate despre sistemele informatice i despre limbajele de programare. Ei pot avea cunotin despre vulnerabilitile interne ale unui sistem precum i despre motivele care au condus la apariia acestora. Hackerii caut n mod constant noi cunotine, fac public (gratuit) ceea ce descoper i niciodat nu distrug date n mod intenionat. Un cracker este o persoan care sparge sau violeaz integritatea datelor de pe calculatoarele aflate la distan, interzic serviciile de care ar trebui s beneficieze n mod normal utilizatorii i, n general, cauzeaz probleme intelor pe care le atac. Crackerii pot fi uor identificai deoarece aciunile lor au scop distructiv. Viruii de calculator sunt n prezent cauza multor ngrijorri. Un virus este un fragment de software care infecteaz datele i programele i se multiplic. Exist un numr mare de elemente care pot ncuraja prezena unor virui, incluznd troieni, viermii electronici, uile cu capcan, bombele logice i bombele cu aciune ntrziat. Un troian este un program care, n timp ce indeplinete n mod vizibil o funcie, n secret, el ndeplinete alta. De exemplu, un program poate rula un joc pe calculator n timp ce distruge simultan un fiier de date sau un alt program. Efectele unui troian sunt imediate i evidente. Sunt uor de evitat pentru c nu se copiaz pe discul int. n timp ce un troian atac din afar, un vierme electronic atac din interior. Un vierme electronic este un program ce supravieuiete prin copierea i multiplicarea sa n interiorul sistemului informatic n care a intrat, fr a fi necesar modificarea acelui sistem. Cnd programul gazd este rulat, virusul se ataseaz altui program, astfel nct, dac nu este depistat, fiecare program din sistem va fi infectat. Viruii pot fi gsii oriunde, inclusiv n
Pagina 11 din 80
program de gestionare a boot-ului i sunt destinai s rmn ascuni att timp ct este posibil. O u cu capcan sau trap este un punct de intrare nesecurizat ntr-un program informatic. Acest tip de acces n sistem poate fi introdus de programatorii aplicaiei pentru a le permite evitarea controalelor de acces n timp ce lucreaz la un nou program i de regul nu se regaseste n specificaiile produsului informatic. Pentru c nu este documentat, poate fi uitat i descoperit, probabil de un hacker, la o dat ulterioar. O bomb logic este un fragment de cod declanat de anumite evenimente. Este un program care se va comporta normal pn ce un anumit eveniment se desfoar, de exemplu pn cnd utilizarea spaiului de pe disc atinge un anumit procentaj. O bomb logic, prin faptul c rspunde la un set de cerine maximizeaz distrugerile. De exemplu, va fi declanat atunci cnd un disc este aproape plin, cnd un mare numr de utilizatori folosesc sistemul, etc. O bomb cu explozie ntrziat este similar cu o bomb logic, cu excepia c este declansat la o anumit dat. Companiile se confrunt cu atacurile virusurilor de 1 Aprilie sau vineri 13. Acestea au fost declanate de bombele cu explozie intarziat. ntr-un studiu realizat mpreun de Computer Security Institute of San Francisco i FBIs International Computer Crime Squoad, 42% dintre cei intervievai au rspuns c au fost vizitai de ctre persoane neautorizate n ultimele 12 luni. Peste 50% au raportat c sunt ncercri de obtinere a accesului n mod nepermis att din exterior ct i din interior. n ceea ce privete pierderile financiare suferite de ntreprinderi, acestea se msoar n miliarde de dolari fiind greu de cuatificat din cauza faptului c majoritatea incidentelor de securitate nu sunt raportate organelor competente pentru a nu afecta imaginea lor de pia. Conform US Department of Defense din 8932 de computere atacate, n 7860 s-a ptruns, 390 au detectat atacul i numai 19 l-au raportat. Mai mult, studii ale companiilor specializate n auditarea sistemelor informatice arat c angajaii genereaz peste 65% din incidentele de securitate. La nceputul lunii martie 1999, Computer Security Institute (Institutul pentru securitatea calculatoarelor), o asociaie de specialiti n securitatea calculatoarelor cu sediul n San Francisco, a efectuat un studiu asupra a 249 de companii americane descoperind pierderi de peste 100 de milioane de dolari datorate infraciunilor comise prin violare securitii calculatoarelor. Dac aceast cifr se extrapoleaz pentru a include toate firmele americane, n a cror sfer intr activiti industriale similare cu cele ale firmelor monitorizate, cifra
Pagina 12 din 80
total a pierderilor este de miliarde de dolari. Chiar dac purttorii de cuvnt al Institutului au refuzat s precizeze volumul exact al pierderilor sau s ofere altceva dect imagini generale, estimrile FBI-ului arat c firmele americane pierd anual 7,5 miliarde de dolari datorit infraciunilor comise prin calculator. Companiile monitorizate au declarat c au pierdut 24,5 milioane de dolari datorit fraudelor financiare provocate prin manipularea datelor, 22,7 milioane prin fraude de telecomunicaii, 21 milioane prin furtul de informaii cu caracter privat, 4,3 milioane din sabotarea datelor i a reelelor i 12,5 milioane din pagube cauzate de virui.
Sabotajul datelor i reelelor 4% Virui 13% Manipularea datelor 24% Diverse 15%
Figura nr. 1. Procentajul pierderilor determinate prin infraciuni comise cu ajutorul calculatorului3
Informaii privilegiate 21%
Telecomunicaii 23%
1.5 Auditul securitii sistemelor informatice Pe fondul sporirii cantitilor de date stocate pe suport magnetic i a unei investitii tot mai mari n IT, unele ntreprinderi pot realiza evaluri asupra securitii sistemelelor informatice. Aceste vor identifica ameninrile la adresa sistemelor informatice ale unei organizatii i estimeaz vulnerabilitatea unui sistem informatic al unei ntreprinderi. O investigaie suplimentar poate fi fcut asupra anumitor sisteme informatice. Auditarea sistemului informatic este o msura eficient mpotriva pericolelor care vizeaz sistemul, n special mpotriva fraudelor. Auditul informatic este procesul prin care persoane competente colecteaz i evalueaz probe pentru a-i forma o opinie asupra concordantei ntre cele observate i anumite criterii sau standarde prestabilite. Se include aici
3
Lars Klander, Anti Hacker- Ghidul securitii reelelor de calculatoare, Ed. All Educational, Bucureti 1998, p. 6.
Pagina 13 din 80
att auditare intern, realizat periodic de ctre personalul de la compartimentul de specialitate, ct i apelarea la specialiti externi, independeni care pot oferi concluziile lor autorizate n legtur cu securitatea/vulnerabilitatea sistemului. Auditarea intern este foarte eficient atunci cnd este realizat inopinat, putnd descoperi aspecte care, n cazul anunrii unui control, ar fi putut fi ascunse Auditorii evideniaz contradiciile dintre politicile interne i cele de securitate, breele de securitate, ameninrile, vulnerabilitile sau lipsurile organizaionale. Planul de audit include analiza de atac i penetrare din exterior, n timp ce din interior se prevd analize de securitate, iar apoi definirea profilurilor de securitate ale utilizatorilor n sistemele informatice. O analiz de atac i penetrare ofer un test real nedestructiv al expunerii organizaiei la vulnerabilitile de securitate. Testarea este ndeplinit prin ncercarea de a realiza incursiuni reale n mediul informatic, dup o nelegere prealabil i o monitorizare permanent din partea companiei. Efectuarea corespunztoare a analizelor de atac i penetrare ofer o abordare structurat n examinarea securitii unei organizaii. Scenariile de atac includ capacitatea de a vizualiza, sustrage, modifica, distruge sau de a interzice accesul la informaiile companiei n calitate de entitate din exterior, care nu cunoate operaiunile organizaiei, i de entitate din interior, consultant, auditor sau partener de afaceri. Aceste scenarii se aplic la nivel de Internet, Intranet, Extranet i accesului de la distan. Scopul final al acestei analize este de a identifica golurile de securitate i de a le corecta nainte de a fi utilizate n scopuri neautorizate, utiliznd concluziile rezultate din4: Analiza de atac i penetrare, care furnizeaz rezultate eficiente i recomandri de mbuntire a securitii. Analiza ameninrilor i a vulnerabilitilor, care ofer analize tehnice i administrative minuioase ale infrastructurii informatice (aplicaii, sisteme de operare, baze de date, reele, rutere, acces de la distan, etc). Auditorii evideniaz pentru platforma existent vulnerabilitile i analizeaz politica de securitate n raport cu cele mai bune practici din domeniu. Analiza infrastructurii de securitate, care ilustreaz existena politicii i a programului de securitate, procesele i procedurile acestora. De asemenea se caut s se identifice punctele tari i cele slabe ale practicilor de securitate a informaiilor din cadrul companiilor i s se ofere o evaluare complet a arhitecturii actuale de securitate.
4
PC Magazin nr. 5/2001 Riscuri de securitate i soluii, p. 23.
Pagina 14 din 80
Dovezile concrete privind vulnerabilitile sistemului de securitate reprezint un avantaj enorm pentru obinerea unor resurse suplimentare de securitate, dup efectuarea unei verificri a posibilitilor de penetrare. Acestea pot constitui o baz i pentru justificarea unei majorri a bugetului alocat securitii informaiilor. Timpul i efortul cheltuit acum vor aduce beneficii majore mai trziu. Din pcate, identificarea vulnerabilitilor existente reprezint doar jumtate din lupt, iar acestea mpreun cu cauzele care le provoac, trebuie corectate. Deseori firmele importante doresc s dezvolte ncrederea clienilor sau partenerilor de afaceri i solicit ca auditori independeni specializai n sisteme informatice s evalueze dac procesele i tehnologiile ce se aplic n cadrul companiei sunt conforme cu practicile i politicile stabilite. Eecul n asigurarea securitii informaiilor implic i lipsa confidenialitii lor. De aceea, consumatorul are nevoie de o asigurare, dat de o entitate independent, c o anumit companie a implementat politici referitoare la confidenialitate i c aceste politici sunt respectate. Firmele independente de contabilitate i audit ofer o asigurare rezonabil c situaile financiare ale unei companii nu conin erori. Aceast asigurare rezonabil lipsete n lumea online de astzi. n prezent, website-urile nu sunt obligate s asigure n mod independent confidenialitatea i securitatea informaiilor personale sau ncrederea n tehnologia pe care o folosesc. Auditorii efectueaz i verificri periodice pentru a se asigura c respectiva companie continu s-i respecte politicile declarate. Este important pentru consumatori s se simt n siguran i ca toate companiile s demonstreze c respect politicile pe care le-au declarat ceea ce ajut la construirea unui mediu de afaceri bazat pe ncredere.
CAPitolul 2. Organizarea securitii sistemelor informatice
2.1 Politici i proceduri de securitate 2.1.1 Securitatea sistemelor informatice. nelegerea securitii sistemelor informatice ale unei ntreprinderi presupune n mod inevitabil determinarea elementelor cheie ale patrimoniului. n prezent, elementul cheie al
Pagina 15 din 80
patrimoniului este informaia. Pentru a desfura o activitate economic eficient i competitiv, informaia n sine nu este suficient, ea trebuie completat cu metode pertinente de utilizare. n plus, valoarea informaiei depinde de gradul de confidenialitate i de exactitatea pe care o ofer. Informaia se poate prezenta sub mai multe forme, acest fapt contribuind direct la diversitatea metodelor de securizare a informaiilor. n loc de a clasifica informaiile n funcie de coninut, analiza ameninrilor asupra informaiilor se poate face n funcie de metodele de stocare/procesare ale acestora. Schematic, acest model se prezinta n figura 2.
Figura nr. 2. Clasificarea informaiilor n funcie de metodele de stocare/prelucrare ale acestora Fizic: Informaia tradiional este scris, stocat pe un anumit suport. Securitatea clasic a informaiilor se concentreaz n special pe aspectul fizic al protectiei. Social/personal: ntreprinderile economice de succes neleg valoarea personalului, cunotiinele pe care acesta le deine i capacitatea de a folosi cunotiinele acumulate n favoarea ntreprinderii. Reele de date sau voce: Informaia poate fi stocat n computere i accesat prin intermediul unor reele. Documentele pot fi stocate n reea iar accesul la acestea se face prin intermediul URL (Uniform Resource Locator), UNC (Uniform Naming Convention) sau prin alte mijloace. n majoritatea situaiilor, utilizatorul nu cunoate locaia exact a datelor. n plus, diferena dintre Internet i Intranet nu este evident pentru un utilizator obinuit. Fiecare dintre aceste domenii prezentate mai sus, prezint interfee cu restul lumii dup cum se poate observa din figura 3 :
Pagina 16 din 80
Figura nr. 3. Interfeele exteriorul ale informaiilor Astfel, considerndu-se pe fiecare domeniu principal, avem : Fizic: Exist interfee ce permit persoanelor, materialelor, echipamentelor, etc. s ntre sau s prseasc cldirile sau ncperile cum sunt ncuietorile uilor, controlul accesului prin intermediul paznicilor, etc. Oricum, cnd se vorbete de securitatea fizic a sistemelor informatice, aceasta se extinde i n afara cldirilor ntreprinderii deoarece datele i informaiile pot fi transportate n diferite locaii i utilizarea laptop-urilor devine tot mai frecvent. Social/personal: Angajaii dezvolt anumite relaii cu tere persoane din interiorul sau exteriorul ntreprinderii. Reele de date sau voce: Computerele sau reelele furnizeaz mijloace de stocare pentru informaiile ntreprinderii. Complexitatea crescnd, viteza ameitoare a dezvoltrii tehnologice, fluctuaiile pieei i schimbrile organizaionale converg securitatea sistemelor informatice ntr-o provocare perpetu. Telefonul i sistemele de comunicare prin voce devin din ce n ce mai complexe i pot constitui interfaa pentru Intranet. Modem-urile (fie digitale, analoage sau radio) sunt mijlocul predominant de accesare a datelor de la distan de angajaii aflai n deplasare sau de membrii departamentului IT.
Pagina 17 din 80
Internet-ul, este mijlocul preferat de schimb al informaiei fie prin intermediul WWW (World Wide Web) fie prin E-mail sau Extranet (reele private virtuale realizate prin mediul Internet) Corporaiile i companiile mari dezvolt n timp legturi multiple cu parterii lor, deseori utiliznd simultan mai multe tehnologii i implementandu-le prematur nainte ca toate aspectele relevante privind securitatea acestora s fie luate n considerare. n plus, aceti parteneri dezvolt i ei la randul lor alte legturi. Intranet-ul de care se folosete ntreprinderea poate s se ntind ntre mai multe orae sau chiar ri. O mare varietate de tehnologii i mijloace de transport pot fi folosite de la protocolul ATM (Asinchronous Transfer Mode) pn la TCP/IP(Transfer Control Protocol /Internet Protocol ) iar n ceea ce privete mediul de transport; de la cabluri de cupru pn la fibra optic sau unde radio. Ameninri. Interfeele domeniului sunt expuse unor varieti mari de ameninri, dintre care se reliefeaz prin importana lor, urmtoarele : n ceea ce privete domeniul reelelor de date sau voce: Un aspect neglijat se refer la securitatea telefonului care poate fi folosit pentru a telefona la numere internaionale sau pentru a obine acces neautorizat la Intranet. Reele dial-up pot fi un punct uor de acces pentru atacatori pentru c de obicei sunt monitorizate sau protejate ntr-o msur mai mic dect conexiunile la Internet. Atacurile tipice sunt cele de ascundere a identitaii care conduc la obinerea accesului. Conexiunea la Internet, datorit complexitii i naturii dinamice, ofer pe lng un mijloc de comunicare cu milioane de persoane din puncte diferite de pe glob, posibilitatea unor atacuri din aceast direcie cum ar fi : ascunderea/falsificarea identitii, negarea serviciilor, etc. Conexiunile cu partenerii sunt de cele mai multe ori foarte slab securizate sau sunt dotate cu o protecie minim, fapt ce se datoreaz n principal limitrii, absenei resurselor sau a timpului necesar. Aceste conexiuni pot fi folosite ca punct de pornire a atacurilor care pot fi originate fie din partea companiei partenere sau din parte unui hacker deja intrat n reeaua companiei partenere i care caut o nou int. Printre ameninri se numr accesul neautorizat i negarea serviciilor.
Pagina 18 din 80
WAN (Wide Area Network ) este folosit pentru a extinde Intranet-ul ntreprinderii pe o suprafata ct mai mare. Cablajul poate trece prin zone publice i astfel securitatea reelei este dificil de asigurat. Principalele ameninri le constituie negarea serviciilor i ascuderea/falsificarea identitii. n domeniul social/ personal : Ingineria social poate fi folosit pentru a inela personalul cu scopul obinerii unor informaii confideniale sau pentru obinerea accesului neautorizat. Helpdesk poate constitui subiectul ingineriei sociale furniznd numerele modemului, parole sau alte elemente care pot ajuta atacatorii n realizarea aciunilor distructive. n domeniul fizic : n afara angajailor, exist persoane care pot avea acces n cladirea ntrepriderii. n aceast sfer, ameninrile includ furtul, distrugerile intenionate i copierea informaiilor. Dac informaiile confideniale nu au fost distruse n mod definitiv, rmiele lor pot constitui resurse valoroase pentru atacatori care le pot reconstitui. Principala ameninare o constituie accesul neautorizat. Alte ameninri includ furtul laptop-urilor, dezastrele naturale i pierderea/furtul suportului de stocare a informaiilor n timpul transportului. Toate aceste ameninri pot avea ca rezultat pierderea, copierea, accesarea, modificarea, tergerea sau indisponibilitatea informaiilor. nainte de a decide msurile de protecie n scopul anihilarii ameninrilor enumerate, trebuie n mod imperativ considerate mai multe aspecte. n primul rnd trebuie considerat natura ameninrilor. n ordine consecutiv trebuie analizate resursele atacatorului fie ele financiare, tehnice sau de timp, motivaia acestuia i uurina potenial a accesului. De exemplu, atacurile venite din Internet sunt uor de prevzut i, ca masur de protecie, sunt instalate firewalls ntre Internet i Intranet. Massmedia pune ndeosebi accentul pe atacurile hacker-ilor sau ale cracker-ilor dar pentru o ntreprindere este mult mai periculos din punct de vedere financiar atacul din interior cum ar fi cel al unui angajat nemulumit care are acces la date importante n munca sa cotidian. Selectarea i pregtirea personalului este o msur extrem de important, dac se are n vedere faptul ca 90% din problemele ridicate de securitatea informatic sunt cauzate de cei din interiorul firmelor5 n al doilea rnd ar trebui considerate caracteristicile informaiilor. Durata de viata a informaiilor are un impact semnificativ n modul n care aceasta este generat, stocat, procesat, copiat sau distrus. Trebuie considerat i efectul timpului asupra informaiilor. O
Pagina 19 din 80
lista de preuri nou trebuie protejat cu atenie pentru a nu ajunge n minile concurenei nainte de aplicarea ei. Dup aplicarea listei noi de preuri, msurile de protecie pot fi ridicate. n al treilea rnd trebuie considerat cadrul natural n care i desfasoar activitatea o ntreprindere i anume probabilitatea declanrii unor dezastre naturale (cutremure, inundaii, furtuni, etc.) Contramsuri Contramsurile sunt necesare pentru a reduce riscul pn la un anumit nivel considerat acceptabil. Contramsurile pot fi studiate n funcie de locul de origine al atacului. Dac se presupune c sursa atacului provine din afara ntreprinderii, msurile posibile de prentmpinare sau evitare a atacului pot fi difereniate pe fiecare din interfeele din figura 3 astfel: Msurile pentru interfeele reelelor de date sau de voce includ : Autentificarea utilizatorilor i a staiei de lucru. Encriptarea datelor, pe de o parte pentru a proteja confidenialitatea datelor iar de pe cealalt parte pentru a asigura autenticitatea acestora. Utilizarea semnturilor digitale pentru validarea autenticitii i pentru a asigura nonrepudierea mesajelor. Controale de acces. Izolarea resurselor. Prin izolarea serviciilor, o slbiciune sau un abuz manifestat ntrun anumit serviciu nu va avea ca rezultat vicierea celorlalte servicii. Scanri de virui i coninut viciat ale informaiilor n mod regulat ntrirea msurilor de securitate n ceea ce privete instalarea i configurarea reelelor. Msuri suplimentare de securizare a datelor : cpii de siguran ale datelor, redundana datelor, instalarea de sisteme RAID, planuri de evitare sau de negociere a dezastrelor, etc. Monitorizarea traficului i a transferului de date n reea. n ceea ce privete interfeele speciale ale reelelor de date i de voce pot fi adoptate msuri de siguran relevante pentru fiecare n parte cu mentiunea c msurile mentionate mai sus mpreuna cu un audit al securitatii sistemelor informatice real i bine realizat sunt utile oricrei interfee. Msurile pentru interfaa Social / personal includ :
Pagina 20 din 80
Definirea clar a unor politici de securitate care s protejeze elementele patrimoniale n funcie de risc. O politic de securitate este un mecanism preventiv cu scopul de a proteja datele i informaiile importante pentru desfurarea unei activiti eficiente i eficace ale unei ntreprinderi, incluzand i procesele pe care datele i informaiile le suport. Educarea i prevenirea utilizatorilor, managerilor i a administratorilor de sistem cu privire la securitatea informaiilor i riscurile aferente. Parole puternice constituite din iruri lungi de caractere care s alterneze literele mici cu majuscule i eventual cifre i semne speciale din cadrul ASCII. Verificarea identitii persoanelor. Crearea i repartizarea rolurilor, responsabilitilor i procedurilor sunt elemente cheie pentru a asigura implementarea politicilor. Un departament sau o firma extern de securitate poate reduce n mod semnificativ riscurile i creeaza un punct n care pot fi raportate, tratate i repartizate incidentele cu privire la securitatea informaiilor. Msurile ce privesc interfeele fizice : Limitarea accesului : ui cu ncuietori, ecusoane de identitate, cartele magnetice, etc. Crearea unui evidene a persoanelor care intr n ntreprindere. Distrugerea n mod absolut sau reciclarea (unde este cazul) a mediilor de stocare a informaiilor. Contractarea de asigurri care s acopere pierderile poteniale Controlul accesului la laptop-uri. Izolarea resurselor. Toate aceste msuri pot deveni n timp ineficiente dac riscurile nu sunt reevaluate n mod continuu, dac nu sunt elaborate noi contramsuri sau dac este neglijat elaborarea unor contramsuri mai eficiente. Auditarea securitatii sistemelor informatice reliefeaz toate aceste aspecte i indic modalitaile de soluionare a deficienelor sau carenelor din sistemul informatic. n cazul n care se presupune ca sursa atacului (accidental sau intenionat) provine din interiorul ntreprinderii, modul de abordare se schimb n principal din cauza faptului c atacatorul poate fi autorizat chiar de ctre conducerea ntreprinderii s i se permit accesul prin diferite controale. Astfel contramsurile n cazul unui atac intern se urmresc pe urmtoarele interfee : Social / personal prin : Dezvoltarea unor politici explicite de securitate
Pagina 21 din 80
Ameninri cu urmarirea penal a atacatorilor (dar aceasta poate fi dificil de realizat i necesit uneori costuri exagerate; n plus, nu exist o garanie a succesului) Reele de date sau voce prin : Monitorizare, audit Encriptare Copii de siguran i redundan Efectele acestor contramsuri ar trebui s conduc la sporirea proprietilor securitii sistemelor informatice dupa cum urmeaz: Sigurana. ncrederea n faptul c msurile de securitate sunt corect implementate i c sistemul se va comporta n parametrii normali. Identificarea/Autentificarea. Cnd doi utilizatori comunic, cele dou pari i verific reciproc identitatea i vor sti cu siguran cu cine comunic. Controlul accesului. Accesul la anumite date, informaii sau pri ale sistemului informatic poate fi permis doar anumitor persoane. Reutilizarea obiectelor. Obiectele utilizate de un anumit proces nu pot fi reutilizate sau manipulate de alte procese astfel nct s se aduc un prejudiciu securitii sistemului. Schimbul informaiilor n deplin siguran. Datele sau informaiile transmise sunt conforme unor anumite nivele de autenticitate, confidenialitate i de non-repudiere. Disponibilitatea. Datele i informaiile sunt disponibile atunci cnd sunt cerute. Responsabilitatea. Creste abilitatea auditorilor de a descoperi cine, cnd, cum i ce a facut. Utilizatorii devin mai responsabili i mai precaui n aciunile lor. 2.1.2 Politici de securitate Politicile de securitate a sistemelor informatice se refer la un set de reguli i practici pe care o ntreprindere l folosete pentru a organiza, proteja i aloca resursele informaionale. n ceea ce privete securitatea sistemelor informatice, termenul de politic are mai multe sensuri. Politica este directiva pe care managementul de vrf o emite n ceea ce privete programul de securitate al calculatoarelor, i stabilete scopul i desemneaz responsabiliti. Termenul de politic este folosit i pentru a specifica reguli de securitate pentru anumite sisteme. n plus, politica se poate referi i la lucruri complet diferite, cum ar fi deciziile managementului care stabilesc politica de securitate a e-mail-ului sau politica de securitate a fax-ului.6. Deci, putem urmri politicile de securitate pe 3 nivele:
Pagina 22 din 80
Politica program este ceea ce managementul folosete pentru a crea un program de securitate al unei ntreprinderi. Politica de sistem este compus din regulile i practicile folosite pentru a proteja un anumit sistem informaional. Politica specific sistemului este limitat la sistemul sau sistemele afectate i poate, cu ajutorul unor modificari n sistem, s modifice funcionalitatea sau vulnerabilitatea. Politici specifice se refer la chestiuni de interes curent ale unei ntreprinderi. Prevederile acestei politici sunt limitate, specifice i n continu schimbare. Promulgarea lor poate fi declansat de un incident n sistemul de securitate al unei ntreprinderi.
Politica program Dezvoltarea i promulgarea politicii program este responsabilitatea managementului de vrf i ar trebui s aiba loc sub directa ndrumare a directorului general executiv. Componentele unei politici program adecvate includ urmtoarele : Scop. Explic de ce se nfiineaz programul i care sunt scopurile securitii informaiilor. Exemple de scopuri includ ntreinerea sistemului i asigurarea integritii datelor, protejarea confidenialitii datelor personale i asigurarea disponibilitii sistemului. Scopurile urmrite de ntreprinderi variaz n funcie de obiectul de activitate, astfel o ntreprindere care fabric case de bani sau seifuri va asigura un grad mai nalt al securitii sistemelor informatice dect o brutrie. Arie de acoperire. Aceasta seciune ar trebui s indice ce resurse hardware i software , date, personal, etc urmeaz a fi protejate de sistemul de securitate. Desemnarea responsabilitilor. Politica program ar trebui s desemneze responsabilitile pentru conducerea programului de securizare a informaiilor unui singur departament i s stabileasc responsabiliti auxiliare directorilor executivi, proprietarilor programelor informatice, utilizatorilor i departamentului IT. Compatibilitatea. Aceasta seciune ar trebui s descrie modul n care ntreprinderea va supraveghea crearea i funcionarea programului de securitate a informaiilor i cine va fi responsabil n asigurarea compatibilitii cu politicile de sistem i cu politicile specifice. Aceast seciune poate stabili sanciuni generale pentru anumite infraciuni. Politicile de sistem
Pagina 23 din 80
ntreprinderile pot avea mai multe seturi de politici de sistem referitoare la securitate de la cele generale (cum ar fi regulile de control ale accesului pentru utilizatori) pn la cele foarte specifice (cum ar fi mprirea sarcinilor ntre utilizatorii programului de salarizare). Datorit ariei de acoperire foarte extinse i nu n ultimul rnd a specificitilor acestui tip de politic de securitate, stabilirea concordanei ntre scopurile sistemului de securitate i politica de sistem poate fi foarte dificil. Institutul de Standarde i Tehnologie al Statelor Unite ale Americii recomand analizarea politicilor existente i formularea altora folosind un proces pe dou etape : Definirea obiectivelor de securitate pentru sistem, bazat pe scopurile sistemului de securitate i pe cerinele funcionale. Aceste obiective ar trebui s consiste din aciuni realizabile. De exemplu, un obiectiv de securitate pentru disponibilitate ar fi asigurarea unui procent de peste 99% pentru disponibilitatea retelei iar, tot ca exemplu, un obiectiv de securitate pentru asigurarea confidenialitii ar putea fi reducerea incidentelor de acces neautorizat sub o limit de 3 pe an Conceperea unor reguli operaionale de securitate pentru atingerea unor obiective de securitate. Gradul de specificitate i formalitatea acestor reguli poate diferi n funcie de situaie. Unele dintre aceste reguli pot fi implementate prin setarea automat a unor controale de sistem dar trebuie suplimentate prin politici scrise. Politici detaliate, sub forma scris pot fi clare i usor de implementat dar au ca efect mrirea birocratiei. n mod similar, controalele automate de sistem pot spori gradul de securitate dar sunt prea rigide cu exceptia situaiei n care un manager autorizat poate s le evite n cazuri excepionale i bine fundamentate. Politici specifice. Considerate n ansamblu, aceste politici pot, prin natura lor, s nu aib o relaie coerent cu obiectivele de securitate ale informaiilor. Considerate n mod individual, politicile specifice sunt n strns legatur cu obiectivele de securitate ale informaiilor; cum ar fi politicile care reglementeaz accesul la Internet al utilizatorilor, instalarea de software sau hardware neautorizat, transmiterea sau recepia de fiiere ataate unui e-mail. ntreprinderile ar trebui s centralizeze toate aceste politici, s le organizeze n funcie de subiect, s selecteze acelea care par a afecta scopurile de securitate pentru a le analiza n profunzime i s identifice domeniile n care dezvoltarea unor politici adiionale ar fi
Pagina 24 din 80
necesar. Pentru formularea sau revizuirea unei politici specifice se folosete urmtoarea structur : Definirea problemei. Aceast definire ar trebui s includ termeni, condiii i exemple. Declararea poziiei ntreprinderii fa de respectiva problem. Aici se include atitudinea managementului fa de problema definit. Aplicabilitatea. Aici se specific unde, cui, cnd i cum se aplic respectiva politic Compatibilitatea. Cine este responsabil pentru impunerea acestei politici i cine este autorizat n a permite exceptii. Moduri de contact pentru informatii suplimentare Implementarea politicilor i procedurilor de securitate Politicile de securitate ale sistemelor informatice se adreseaz n principal ameninrilor. n absenta ameninrilor, aceste politici ar fi inutile - utilizatorul ar putea dispune de datele i informaiile sale cum dorete. Din nefericire, aceste ameninri exist i politicile de securitate ale sistemelor informatice sunt necesare pentru a furniza o linie directoare n selectarea i implementarea unor contramsuri eficiente. O politic de securitate insuit i semnat n mod obligatoriu de membrii unei ntreprinderi implic un comportament adecvat i conform din partea utilizatorilor. O politic de securitate bine realizat defineste pe de o parte obiectivele sistemelor informaionale ale unei organizaii iar pe de cealalt parte schieaz o strategie pentru a atinge obiectivele specificate. Un sistem informaional fr politici de securitate este de obicei o colectie ineficient de contramsuri care se adreseaz unei mari varieti de ameninri. Politicile de securitate ale sistemelor informatice pot fi folosite pentru a integra diferite aspecte ale unei ntreprinderi n scopul realizrii obiectivelor de afaceri. Politicile, standardele, liniile directoare i materialele informative care sunt depasite moral i nu sunt impuse utilizatorilor sunt periculoase pentru buna funcionare a unei ntreprinderi pentru c managementul este adesea indus n eroare n a crede ca politicile de securitate nu exist i ntreprinderea funcioneaz mai eficient dect n realitate. Toate ntreprinderile trebuie sa revad, testeze i eventual s elimine n mod periodic regulile, controalele i procedurile ineficiente pentru a evita un sentiment fals de securitate. O alternativ a testrilor periodice este stabilirea unei perioade limitate de aplicare a unei
Pagina 25 din 80
politici de securitate, a unor standarde sau a unor controale obligatorii specificndu-se cnd acestea ar trebui sa ntre n vigoare i cnd trebuie nlocuite, perfecionate sau anulate. Computerele sunt n mod inevitabil vulnerabile unor mari varietati de ameninri. n general, este considerat mai grav faptul de a nu avea nici un fel de msuri de securitate dect de a considerat n mod eronat ca un sistem este n siguranta. Aceasta situatie cunoscuta ca valoare de securitate negativa, atrage multumirea de sine i distrage atentia de la valoarea informaiilor care n mod eronat se presun a fi n siguranta, facnd aceste informatii mai atractive pentru hackeri i mai vulnerabile pierderilor accidentale. Politicile de securitate a sistemelor informationale se adreseaza tocmai acestor pericole. Printre cei mai importani factori ai implementrii politicilor de securitate se numra : Implicarea managementului. Existena comitetului de supraveghere. Desemnarea responsabilitilor in dezvoltarea unor politici. A. Implicarea managementului. Implicarea managementului n securitatea sistemelor informatice este esential pentru motivarea utilizatorilor i a proprietarilor resurselor informaionale i ofer transparena necesar departamentului care se ocup cu securitatea sistemelor informatice de a asigura securitatea informationala celorlate departamente. Deoarece exist putine motivaii n ceea ce privete securitatea, altele dect acelea care se obin din proprie experien, implicarea managerial n securitatea sistemelor informatice este probabil cel mai important factor ntrun sistem performant de securitate a informaiilor. Materialele de informare i instruire, liniile directoare i practicile trebuie aprobate de managerii care decid,ofer recompense sau penalizeaz. Managementul care susine politicile de securitate ofer departamentului de securitate a sistemelor informatice transparen i creeaza condiii prielnice pentru raportul cu managerii care se afl la un nivel superior, n spe cu managementul de vrf. Fr suportul acordat politicilor de securitate a datelor i informaiilor din partea managementului de vrf, angajaii ntreprinderii probabil c nu ar depune efort n realizarea unei politici de securitate. Cel mai bun moment de apreciere a securitii informaiilor este atunci cnd se produce o pierdere. Dac pierderea are loc ntr-o ntreprindere sau ntr-un departament care se opune introducerii msurilor de securitate sau cu cea mai mare nevoie de securitate, atunci necesitatea introducerii de msuri de protecie a datelor i informaiilor devine evident.
Pagina 26 din 80
Accentul pus pe efectele negative ale unei pierderi poate motiva o ntreprindere s-i mbunteasc securitatea n toate departamentele i filialele. Pentru a impulsiona departamentele ntreprinderii i utilizatorii ntr-un rol activ n ceea ce privete securitatea sistemului informaional, echipa care se ocup de securitatea sistemelor informatice poate emite rapoarte cu clasificarile acestor departamente n funcie de calitatea securitatii sistemului informatic. B. Comitetul de supraveghere. Multe ntreprinderi au un asemenea comitet n ceea ce privete sistemele de securitate a datelor i informaiilor. Alte ntreprinderi includ acest comitet n unul general care se ocup de probleme tehnice i administrative. n ambele cazuri, constituirea acestui comitet reflect adeseori serviciile centrale IT sau securitatea ntreprinderii n ansamblu dar nu se poate aplica n mod specific securitatii sistemelor informatice ntr-o reea de computere distribuite pe o suprafata ntinsa. n acest caz, ntreprinderea ar trebui s reorganizeze comitetele existente pentru ca acestea s se adapteze specificului sistemelor distribuite. Printre membri ar trebui inclui managerii departamentelor angajate n mod activ n sistemul distribuit de calculatoare pecum i managerii care utilizeaz i se bazeaz pe comunicarile de date cum ar fi managerului departamentului de vnzri sau cel care raspunde de service-ul bunurilor vndute. Acest tip de comitet ar trebui s fie responsabil cu autorizarea, modificarea i aprobarea politicilor i a standardelor de securitate n cadrul unei ntreprinderi. Pentru a mri eficiena acestui comitet se recomand ca cel putin un membru s aib acces n mod regulat la directorul general executiv al ntreprinderii. C. Desemnarea responsabilitilor n dezvoltarea unor politici. Fie echipa insarcinat cu securitatea sistemelor informatice fie grupul de politici i standarde IT ( sub conducerea echipei insarcinat cu securitatea sistemelor informatice) ar trebui s fie responsabil cu schiarea i adaptarea politicilor. Ca o alternativ ce merit luat n considerare, unele ntreprinderi desemneaz aceast responsabilitate unui grup sub supravegherea unui comitet. Aceast alternativ se ntalnete adeseori n cazul redactrii sau modificrii unor politici de securitate n conjunctura unei reorganizri a echipei responsabil cu securitatea sistemelor informatice. n general, se consider ca nu este o idee bun desemnarea redactrii politicii de securitate a datelor si informaiilor unei tere prti pentru c
Pagina 27 din 80
stilul i forma unor politici noi ar trebui s se integreze cu celelalte politici ale unei ntreprinderi i s reflecte cultura organizaional. Este foarte important ca echipa care formuleaz politicile de securitate a sistemelor informatice s fie familiarizat cu tehnologia dar i cu cultura organizational a ntreprinderii pentru a lua decizii viabile. Familiaritatea cu tehnologiile moderne necesit cunosterea capacitilor de securizare oferite de acestea dar i a limitrilor solutiilor tehnice de protecie a ntreprinderii mpotriva ameninrilor. ntelegerea culturii organizaionale a ntreprinderii permite echipei care dezvolt politica de securitate s creeze o politica care s fie conform cu aceasta. n plus, nainte de a dezvolta o politica de securitate, este indicat studierea altor politici de securitate ale sistemelor informatice aparinnd altor ntreprinderi similare pentru o eventual utilizare a acestora ca model. Stabilirea unei politici este n mare masur o problem de cultur organizaional. Suportul pe care l ofer managementul n redactarea politicii depinde de istorie, experienele neplcute cu pierderea datelor, legislaia n vigoare, caracteristicile personale al managerului i opinia acestuia legat de securitatea ntreprinderii, politicile anterioare i ali factori cu influen mai mic. Dac o cultur organizaional accept politici cu referire la anumite subiecte atunci probabil c o politic de securitate a sistemelor informatice va exista. n schimb pot exist organizaii care au ca politic chiar faptul de a nu avea politici. Unii specialiti nu sunt de acord cu politicile pentru c acestea pot fi folosite mpotriva ntreprinderii cnd aceasta le ncalc i orict de ilogic ar prea acestea sunt adesea nclcate n scopul atingerii unor obiective de afaceri pe termen scurt. Dac o ntreprindere emite o politic scris, aceasta ar trebui s fie obligatorie i s reflecte cerinele managementului cu privire la comportamentul angajailor din cadrul ntreprinderii. Dac politicile sunt redactate la un nivel ridicat de abstractizare, ele nu trebuiesc schimbate odat cu modificrile n cadrul departamentului IT sau din cadrul ntreprinderii. Schimbrile n cadrul ntreprinderii cum ar fi cele determinate de fuziuni, achiziii sau adoptarea unor standarde industriale pot avea loc cu modificri minore sau chiar fr a fi necesare ajustri n cadrul politicilor. Politicile de securitate ale sistemelor informatice ar trebui s fie flexibile i s permit exceptii atunci cnd este cazul. Din punct de vedere al formei, politicile sunt lungi doar de cteva pagini pe care este aplicat semntura unui director sau a managerului general care i confer autoritate. Unele ntreprinderi includ cerine operaionale sau tactice sub forma obiectivelor de control n cadrul politicii. Alte ntreprinderi combin politicile de nivel nalt cu standarde detaliate
Pagina 28 din 80
rezultnd un document care poate pune probleme ntreprinderii n momentul n care aceasta trebuie sa fac public politica fr a dezvalui standardele, care, uneori sunt confideniale. Separarea politicilor de standardele specifice este o practic recomandabil.. Educarea i participarea utilizatorilor sunt factorii cheie ai acceptrii unei politici de securitate. Acesti factori pot fi dezvoltai prin informare, educare i convigerea departamentelor ntreprinderii i a utilizatorilor de importana practicilor de securitate specificate n politici. Aceast dezvoltare a factorilor cheie a acceptrii politicilor de securitate poart numele de marketing al securitatii sistemelor informationale n realitate, nici ameninrile interne nici cele externe nu conduc la realizarea riscurilor din partea utilizatorilor. Astfel este necesar ca marketing-ul sistemelor informatice s avertizeze departamentele ntreprinderii i utilizatorii de efectele catastrofice ale neglijrii rolurilor i obligaiilor din cadrul politicii de securitate a sistemelor informatice. Utilizatorii i departamentele ntreprinderii trebuie s contientizeze c politicile de securitate ale sistemelor informatice nu sunt infailibile i nici nu sunt decizii luate n mod arbitrar de o echipa obscur i lipsit de contact cu realitatea care se ocup cu securitatea sistemelor informatice. De asemenea, utilizatorii i departamentele ntreprinderii trebuie s tie ca ei au acces la aceast echip n scopul conlucrrii care poate imbunti politicile existente. n acest mod, politicile pot evolua n direcia obinerii unui echilibru ntre securitatea sistemelor i practicile de afaceri n vederea realizarii optime a obiectivelor ntreprinderii. Din moment ce nici o politic nu se adreseaza tuturor situaiilor care pot aprea n viitor, este foarte important faptul ca principiile de baz ale unei politici de securitate a sistemelor informatice s fie ineleas de toi utilizatorii. Provocarea n ceea ce privete politica de securitate a sistemelor informatice din cadrul unei ntreprinderi este faptul c aceasta trebuie inteleas foarte bine de utilizatori c s poat s fie eficient. Acceptarea unei politici este dependent de abilitatea acesteia s descrie comportamentul acceptat sau neacceptat din partea utilizatorilor. Politica ar trebui s descrie cine este responsabil cu implementarea politicilor, revizuirea acestora, cu auditul sistemelor informatice i care sunt principiile de baz i motivele conceperii unei politici de securitate a sistemelor informatice. Politicile arbitrare, lipsite de explicaii sunt supuse riscului de a fi ignorate de utilizatori n timp ce o politic clar, concis i consistent are mai multe anse de a fi pus n practica de utilizatori. n plus, echipa de marketing a politicilor de securitate a informaiilor trebuie s contureze politicile de securitate astfel nct acestea sa fie usor de accesat i de consultat pentru utilizatori. Acest lucru se poate realiza prin automatizarea procesului de informare a
Pagina 29 din 80
utilizatorului n sensul redactarii politicilor de securitate a sistemelor informatice i pe suport informatic, n mod hypertext, asemntor modului n care sunt create paginile de Internet, pentru c procesul de ntelegere a politicilor poate fi croit pentru fiecare individ n parte. Politicile de securitate ale sistemelor informatice sunt concepute pentru a informa membrii unei ntreprinderi de responsabilitile lor de a proteja sistemele informatice ale ntreprinderii. Aceste politici precizeaz, adeseori, mecanismele prin care pot fi ndeplinite aceste responsabiliti. Politicile de securitate ale sistemelor informatice ofer de asemenea linii directoare de nsuire, configurare i de audit a sistemelor informatice conform cu politica. Instrumentele de siguran ale sistemelor informatice sunt de un folos limitat n absena unei politici. Politicile sunt mult mai importante ntr-un sistem de calculatoare rspandit pe o suprafa mare dect ntr-un sistem centralizat din cauza riscurilor pronunate pe care le implic accesul de la distan. Asemenea politici trebuie s fie complete i formulate clar pentru a reduce cantitatea de explicaii i instruciuni de care are nevoie personalul ntreprinderii pentru a fi sigur faptul c au fost corect nsuite. Politicile ar trebui s includ descrieri i elemente generale de identificare mai degrab dect nume de indivizi astfel nct ele sa poat face fa schimbrilor din ntreprindere. Politicile ar trebui sa fie restrnse la concepte generale mai degrab dect la controale specifice. De exemplu, o politic care afirm fiecare utilizator trebuie s fie identificat printr-o metod acceptabil este mai bun dect o politica mai specific care susine fiecare utilizator trebuie s fie identificat printr-o parol de ase caractere; deoarece nu va fi nevoie de modificri importante n cadrul politicii n caz c parola este nlocuit de sisteme de autentificare mai puternice. Politica este de asemenea important n reelele de calculatoare rspndite pe o arie mare avnd rolul de a stabili un comportament adecvat n ceea ce privete securitatea datelor pentru un grup mare i disparat de utilizatori i/sau ntreprinderi. Acest fapt este important atunci cnd ntreprinderea se bazeaz pe personal angajat prin contract sau pe o perioad limitat de timp. Politicile ar trebui s reflecte practicile acceptate ale unei ntreprinderi i totui, s valorifice toate metodele practice pentru a influena comportamentul i rspndirea informaiei n interiorul sistemelor de calculatoare raspandite pe o arie larga. Procesul de dezvoltare al unei politici eficiente de securitate a sistemelor informatice este un proces cu un grad considerabil de dificultate. Alctuit datorit ameninrilor la care este supus un sistem informaional, aceste politici exprim obiectivele sistemului informatic unei ntreprinderi i contureaz strategia de ndeplinire a acestor obiective. Este important ca managementul de vrf s se angajeze n sprijinirea iniiativei de securitate a informatiei. O
Pagina 30 din 80
echipa nsrcinat cu conceperea politicii, delegat de un comitet de supraveghere ar trebui s construiasc o politic care s reflecte cultura organizaional. Ca scop final, prevederile politicii trebuie aduse la cunostiina personalului i s conving utilizatorii s le respecte. Departamentele ntreprinderii i utilizatorii trebuie s cunoasc faptul c sunt parte integrant din procesul de asigurare a securitii sistemelor informatice. Acest proces nu este uor de realizat, iar echipa care se ocup cu securitatea sistemelor informatice trebuie s ncerce sa imbunteasc n mod continuu acest proces i s ofere cea mai bun protecie mpotriva ameninrilor la adresa securitii datelor i informaiilor ntreprinderii.
2.3 Aplicaie privind implementarea politicilor de securitate. Societatea comercial SECURO TECH SRL ARAD a fost nfiinat la data de 24 mai 1996 pe baza statutului de societate i a procurii speciale n traducere legalizat sub nr. 7558/ 13.05.1996. Societatea funcioneaz ca o societate cu asociat unic n persoana juridic german DHR BETEILIGUNGSGESELLSCHAFT mbH, cu sediul n Germania, reprezentat prin domnul Nicolae Ghernescu. Ca urmare societatea este constituit avnd la baz capital strin. Avand drept criteriu forma de constituire i de funcionare societatea amintit mbrac forma juridic de societate cu rspundere limitat. Aceasta nseamn c obligaiile sociale sunt garantate cu patrimoniul social, iar asociaii rspund numai proporional cu cota social deinut n capitalul ntreprinderii. Prtile sociale ale asociailor sunt, n principiu, netransmisibile altor persoane i nici nu sunt reprezentate prin titluri negociabile. Obiectul principal de activitate l reprezint producerea i comercializarea echipamentelor mecanice de protecie a valorilor i anume a lactelor, caselor de bani i a casetelor de valori. SC SECURO TECH SRL este agrementat VdS, ICECON i i desfoar activitatea conform standardului de calitate ISO 9001. Date fiind particularitile obiectului de activitate, nevoia de securitate a datelor, informaiilor i sistemului informatic este evident. Sistemul informatic de care dispune ntreprinderea este alctuit din 9 calculatoare Hawlett-Packard conectate n reea, 4 imprimante Hawlett-Packard i dispune de o conexiune la Internet oferit de SC Internext SRL din Arad sub forma unei antene radio de 2MB/s. Reeaua este administrat de un inginer de sistem iar toi utilizatorii sunt obligai s ia la cunotiin i sa fie de acord cu prevederile politicilor de securitate.
Pagina 31 din 80
Politicile de securitate pe care utilizatorii calculatoarelor din cadrul societii comerciale SECURO TECH SRL trebuie sa le respecte sunt n numr de 5 i anume : Politica de securitate privind sistemele informatice. Politica de securitate fizic i a datelor. Politica privind proprietatea datelor. Politica cu privire la Internet i serviciile conexe. Politica de securitate privind pota electronic.
a) Politica de securitate privind sistemele informatice. Scopul politicii. Scopul acestei politici este de a contura politica de securitate privind sistemul informatic n cadrul SC Securo Tech SRL Enun. Sistemele informatice, datele i informaiile care includ calculatoarele, retelele de calculatoare, imprimantele i alte obiecte nrudite de echipament sau care se refer la componentele de sistem sunt proprietatea SC Securo Tech SRL i sunt considerate elemente patrimoniale foarte importante. Persoanele care folosesc sau au acces la aceste elemente patrimoniale trebuie s acioneze n mod prudent i rezonabil n vederea conservrii integritii sistemului, datelor i informaiilor stocate i s le protejeze. Aceste elemente patrimoniale trebuie folosite doar n scopul desfurrii activitii economice a ntreprinderii. Toate comunicrile din partea SC Securo Tech SRL spre teri sau n interiorul ntreprinderii trebuie s fie facute n mod profesional i competent intruct reprezint ntreprinderea, conducerea sau clienii. Luarea la cunotiin. nainte de a folosi datele, informaiile sau sistemul informatic al SC Securo Tech SRL, angajaii, persoanele sau societile comerciale angajate de SC Securo Tech SRL
Pagina 32 din 80
trebuie s citeasc acest politic de securitate privind sistemele informatice, s o ia la cunotiin, s fie de acord cu aceasta i s semneze un agajament prin care atest acest acord. Liniile directoare ale acestei politici. Elementele patrimoniale cuprinse n domeniul sistemelor informatice includ hardware, software, date, informaii, WAN, telefonul i alte mijloace de comunicare. Toate achiziiile de astfel de elemente trebuie s treac printr-un proces de certificare condus de inginerul de sistem; n plus, toate modificrile i nlocuirile n cadrul acestor elemente patrimoniale trebuie operate de inginerul de sistem. nclcarea acestei politici, neraportarea unor nclcri ale acestei politici sau folosirea n alte scopuri dect cele prevzute a elementelor componente a sistemului informatic va face obiectul aciunilor disciplinare. Aceast politic este realizat cu scopul de a completa prevederile legale. Nerespectarea prevederilor legale este considerat de asemenea o nclcare a politicii de securitate privind sistemul informatic i poate face obiectul aciunilor disciplinare sau al urmririi penale. Drepturi rezervate de emitent. SC Securo Tech SRL i rezerv dreptul de a monitoriza, audita i de a stoca datele cum considera, n conformitate cu aceast politic. Aciuni disciplinare. Nerespectarea prevederilor acestei politici poate avea ca rezultat aciuni disciplinare care conduc la pierderea unor privilegii sau chiar concedierea.
Autorizat de : Data revizuirii : Data autorizrii : Data original a emisiunii :
Pagina 33 din 80
b) Politica de securitate fizic i a datelor. Scopul politicii. Scopul acestei politici este de a contura securitatea fizic i a datelor n cadrul SC Securo Tech SRL. Enun. Fiecare angajat sau societate comercial/persoan fizic angajat de SC Securo Tech SRL este responsabil de resursele ncredinate. Acetia prin atenie i grij trebuie s asigure securitatea i integritatea acestor resurse, care includ datele, informaiile i sistemul informatic aflat n proprietatea SC Securo Tech SRL. Liniile directoare ale politicii. Pai prudeni i rezonabili trebuie fcui cu scopul de a proteja datele i sistemul informatic al ntreprinderii. Nu se admite evitarea acestor pai n nici o situaie. Orice aciune care evit sau omite acesti pai trebuie raportat imediat conducerii SC Securo Tech SRL. Neraportarea acestor aciuni este considerat ca o violare a prezentei politici i poate face obiectul sanciunilor disciplinare. Datele i sistemul informatic trebuie utilizate doar n modul n care a fost autorizat de directorul executiv i de inginerul de sistem. Accesul la datele i sistemul informatic se face doar conform cu fia postului sau cu funciunile postului angajatului respectiv. Securitatea datelor i confidenialitatea oferit clientilor sunt o parte indispensabil i integrant a politicilor i procedurilor de securitate ale SC Securo Tech SRL. Datele trebuie protejate de pagube accidentale sau intenionate. Inginerul de sistem va dezvolta, implementa i va fi responsabil de crearea unor cpii de siguran care s asigure stocarea n mod sigur i eficient a datelor importante. Alt responsabilitate a inginerului de sistem o constituie implementarea unor programe antivirus cu scopul protejrii datelor i a sistemului informatic al SC Securo Tech SRL. Drepturi rezervate de emitent.
Pagina 34 din 80
Datele i sistemul informatic sunt resurse ale ntreprinderii i trebuie considerate secrete. SC Securo Tech SRL i rezerv dreptul de a monitoriza utilizatorii, de a audita implementarea politicii i de a studia continutul oricarui fiier. Aciuni disciplinare. Nerespectarea prevederilor acestei politici poate avea ca rezultat aciuni disciplinare care conduc la pierderea unor privilegii sau chiar concedierea.
c) Politica privind proprietatea datelor. Scopul politicii. Scopul acestei politici este de a contura politica privind proprietatea datelor. Enun. Sistemul informatic, datele i echipamentele de calcul sunt proprietatea SC Securo Tech SRL i sunt considerate elemente patrimoniale importante. Toate datele, informaiile i sistemul informatic sunt proprietatea SC Securo Tech SRL. Inginerul de sistem i asuma responsabilitatea pentru informaiile stocate n reea i pentru datele stocate pe staiile de lucru. Liniile directoare ale politici.
Pagina 35 din 80
Sistemul informatic i toate datele i informaiile asociate sunt elemente patrimoniale importante i se afl n proprietatea SC Securo Tech SRL. Datele i informaiile accesate de pe o staie de lucru a unui utilizator trec n responsabilitatea acestuia. Datele i informaiile importante trebuie stocate folosindu-se n paralel i cpii de siguran ale acestora. Datele i informaiile stocate pe harddisk-ul unui utilizator se afl n responsabilitatea acestuia i este responsabil cu crearea de cpii de siguran. Datele i informaiile stocate sau accesate pe calculatoarele angajailor ce contravin prevederilor legale sunt de asemenea considerate ca o nclcare a acestei politici. Datele, informaiile i sistemul informatic trebuie utilizat doar n modul n care a fost autorizat de conducerea SC Securo Tech SRL. Accesul la datele, informaiile sau sistemul informatic al ntreprinderii trebuie s se fac n conformitate cu funciunile postului sau cu fisa postului. Dezvluirea ctre public a datelor sau a informaiilor trebuie s se fac n concordan cu politicile privind confidenialitatea relaiilor cu clienii sau cu politicile privind confidenialitatea datelor i informaiilor ale SC Securo Tech SRL. nclcarea acestor politici trebuie adus imediat la cunotiina conducerii SC Securo Tech SRL. Drepturi rezervate de emitent. Sistemul informatic, datele, informaiile i echipamentele de calcul sunt proprietatea SC Securo Tech SRL i sunt considerate elemente patrimoniale importante i nu trebuie considerate ca fiind n proprietatea privat a utilizatorilor. SC Securo Tech SRL i rezerv dreptul de a monitoriza, a audita i de a studia coninutul oricrui fiier stocat sau accesat prin reeaua SC Securo Tech SRL. Aciuni disciplinare. Nerespectarea prevederilor acestei politici poate avea ca rezultat aciuni disciplinare care conduc la pierderea unor privilegii sau chiar concedierea.

Pagina 36 din 80
d) Politica cu privire la Internet i serviciile conexe. Scopul politicii. Scopul acestei politici este de a contura politicile privind Internet-ul i serviciile pe care acesta le ofer n cadrul SC Securo Tech SRL. Enun. Internet-ul poate fi folosit doar n scopul realizrii obiectivelor comerciale ale SC Securo Tech SRL. Linii directoare. Internet-ul sau conexiunea la Internet nu poate fi folosit pentru a transfera informaii care sunt n contradicie cu prevederile penale sau cu prevederile acestor politici i proceduri. Internet-ul nu poate fi folosit cu alte scopuri comerciale dect cele ale SC Securo Tech SRL. Accesul la contul de Internet este limitat la angajaii autorizai de conducerea SC Securo Tech SRL. Internet-ul poate fi accesat doar prin intermediul unui furnizor de servicii de Internet angajat de SC Securo Tech SRL. Accesarea Internet-ului prin orice alte mijloace dect cel autorizat este strict interzis. Internet-ul nu poate fi utilizat pentru accesarea altor sisteme n care utilizatorul nu are autorizaie de acces. Utilizarea neautorizat a Internet-ului trebuie raportat imediat conducerii SC Securo Tech SRL. Neraportarea utilizrii neautorizate a Internet-ului este considerat o nclcare a politicii de securitate a ntreprinderii i poate face obiectul aciunilor disciplinare care pot include chiar concedierea. Drepturi rezervate de emitent.
Pagina 37 din 80
Accesul la Internet oferit de SC Securo Tech SRL este considerat un serviciu al ntreprinderii i nu poate fi considerat proprietate privat a utilizatorilor. SC Securo Tech SRL i rezerv dreptul de a monitoriza, supraveghea, audita i de a controla utilizarea Internet-ului n cadrul ntrepriderii. Aciuni disciplinare. Nerespectarea prevederilor acestei politici poate avea ca rezultat aciuni disciplinare care conduc la pierderea unor privilegii sau chiar concedierea.
e) Politica de securitate privind pota electronic. Scopul politicii Scopul acestei politici este de a contura politica de securitate privind pota electronic din cadrul SC Securo Tech SRL. Enun. Pota electronic (e-mail) poate fi folosit de persoanele autorizate doar n scopul realizrii obiectivelor comerciale ale SC Securo Tech SRL. Linii directoare. Pota electronic nu poate fi folosit n : nclcarea prevederilor legale.
Pagina 38 din 80
Pentru a furniza informaii despre ntreprindere sau performanele acesteia fr consimmntul scris al conducerii SC Securo Tech SRL Pentru a distribui materiale ce se afl n conflict sau ncalc politicile de securitate ale SC Securo Tech SRL. Comunicri personale. Accesul la pota electronic este limitat la aceia care sunt autorizati de conducerea SC Securo Tech SRL. Utilizarea neautorizat a potei electronice trebuie imediat raportat conducerii SC Securo Tech SRL. Neraportarea utilizrii neautorizate sau abuzive a potei electronice este considerat o nclcare a politicii de securitate i poate face obiectul sanciunilor disciplinare. Drepturi rezervate de emitent. Pota electronic i fiierele asociate sunt n proprietatea ntreprinderii i nu trebuie considerate ca fiind proprietatea personal a unui utilizator. SC Securo Tech SRL i rezerv dreptul de a monitoriza i studia coninutul oricrui mesaj sau fiier din cadrul sistemului de pota electronic. Aciuni disciplinare Nerespectarea prevederilor acestei politici poate avea ca rezultat aciuni disciplinare care conduc la pierderea unor privilegii sau chiar concedierea.
CAPITOLUL 3. Securitatea tranzaciilor economice n cadrul sistemelor e-business
3.1 Internet-ul. Scurt prezentare

Pagina 39 din 80
La nceputul anilor 60 (1962 mai precis), Forele Aeriene ale Statelor Unite (U.S.A.F.) au nsrcinat un mic grup de cercettori cu o activitate deosebit: crearea unei reele de comunicaie destinat exclusiv uzului militar care s supravieuiasc unui rzboi atomic sau altei calamiti majore. Conceptul lor era revoluionar: o reea fr control centralizat. Dac unul (sau zece sau o sut) dintre noduri ar fi fost distruse, sistemul ar fi continuat s funcioneze, spre deosebire de reeaua centralizat unde distrugerea singurului nod central duce la ntreruperea comunicaiilor ntre staiile finale. Persoana cu cea mai mare responsabilitate pentru crearea acestei reele a fost Paul Baran. n viziunea lui Baran, construcia reelei semna foarte mult cu o plas de pete. Astfel datele urmau s parcurg reeaua prin orice canale disponibile la un moment dat, acestea stabilindu-i n mod dinamic ruta de parcurs pentru fiecare etap a drumului. Dac datele ar fi ntlnit vreo problem la una din interseciile drumurilor din reea, ar fi luat-o pur i simplu pe un alt drum. n general, Baran a specificat n amnunt toate detaliile care au dus la naterea acestei reele. Din nefericire ideile lui au fost prea avansate pentru acea vreme, ceea ce a condus la amnarea cu civa ani a realizrii proiectului. n 1965 ideea a fost reluat. Agenia Guvernamental American de Proiecte de Cercetare Avansat (ARPA) a asigurat finanarea proiectului, iar n 1969 reeaua a devenit realitate sub denumirea de ARPANet. Pe msur ce reele s-au dezvoltat, ARPANet s-a dovedit una destul de simplist, fr asemnri importante cu Internetul de astzi. Topologia sa consta n legturi ntre mainile a patru instituii academice: Institutul de Cercetri Stanford, Universitatea Utah, Universitatea California din Los Angeles i Universitatea California din Santa Barbara. n perioada anilor 70, ARPANet s-a dezvoltat mult peste ateptrile iniiale ale fondatorilor si. n acelai an, Ray Tomlinson a schimbat fundamental modul de comunicare n reea i anume a creat pota electronic(e-mail). Pe msur ce la ARPANet se adugau tot mai multe calculatoare, cercettorii instituiilor academice sau ai ageniilor guvernamentale conectate la ARPANet realizau c utilizatorii reelei vor avea nevoie de un set comun de protocoale(reguli) pentru transmisia i formatul datelor. Protocolul iniial ARPANet (denumit protocol de control n reea Network Control Protocol NCP ) nu a fost proiectat pentru a manipula pachete de date create de configuraii att de diferite cum sunt sateliii, de exemplu. Prin urmare, la nceputul anilor 80, o dat cu dezvoltarea noii tehnologii a calculatoarelor i necesitatea de conectare la
Pagina 40 din 80
configuraii nonstandard, managerii de reea ai ARPANet au decis c este momentul nlocuirii NCP. La 1 ianuarie 1983, Transport Control Protocol/Internet Protocol(TCP/IP) a nlocuit NCP. Spre deosebire de NCP, care impunea o anumit dimensiune i structur pentru fiecare pachet de date, TCP/IP poate realiza cu succes comutaii de pachete de date de toate dimensiunile i formele ntr-o varietate de reele. n prezent, TCP/IP constituie coloana vertebral a Internetului, a LAN-urilor i a WAN-urilor ce l compun. Ulterior, studenii i oamenii de tiin cu aceeai sfer de interese au nceput s creeze grupuri de discuii (newsgroups).Pe msur ce numrul grupurilor de discuii a crescut, administratorii Internetului le-au grupat ntr-o categorie mai mare, denumit Usenet. Chiar dac Usenet a reprezentat un progres semnificativ pentru Internet, acesta reprezenta o comunitate de texte, ntr-un moment n care majoritatea calculatoarelor personale i de birou foloseau sisteme de operare care includeau interfee grafice cu utilizatorul. Astfel, n 1989, Tim Bernes Lee, fizician la Laboratorul european de fizic a particulelor (CERN), a sugerat conceptul de World Wide Web (WWW) ca interfa grafic utilizator. n 1992, CERN a nceput s fac public proiectul World Wide Web i s ncurajeze crearea de servere Web n laboratoare i instituii academice din toat lumea. n iulie 1993, InterNic a semnalat existena a 1000 de servere Web pe Internet. n prezent exist peste 18 milioane de servere Web, iar numrul lor crete n fiecare sptmn. Introducerea protocolului de transport prin hipertext (hypertext transport protocol HTTP), care reprezint modalitatea prin care calculatoarele transfer i recunosc informaia hipertext pe durata accesului la Web, a modificat aproape instantaneu modalitatea de acces la Internet. Caracteristica absolut particular a Web-ului este simplitatea cu care utilizatorul se poate deplasa de la un document cu hiperconexiuni la altul. n timpul navigrii prin Web, pe ecranul calculatorului pot fi vizualizate documente care includ grafic, animaie, imagini i sunet.Documentele Web nu exist n calculatorul respectiv, ci pe un alt calculator (serverul
de Web) la care primul calculator s-a conectat prin Internet.

Alt server Fiier Server local Alt server
Pagina 41 din 80
Figura7 nr. 4. Structura relaional a Web-ului Spre deosebire de structura iniial a Internetului, care era riguros ierarhizat, structura Web-ului este aproape n ntregime relaional. Internetul i-a pus o mare parte din potenial prin intermediul web-ului. Milioane de documente interconectate, situate pe milioane de calculatoare host alctuiesc ceea ce utilizatorii neleg prin noiunea de Web. Aceste documente includ bibliografii, reviste, expoziii multimedia, baze de date i, poate cel mai important, locaii de afaceri, cum ar fi cataloage sau saloane de prezentare pentru vnzarea cu amnuntul. Pentru a avea o imagine mai ampl asupra dezvoltrii Internetului ca mrime (evideniat prin numrul calculatoarelor host conectate), urmtoarele date sunt semnificative: Pn n 1972 ARPANet avea deja cam 40 de calculatoare host. n 1985, Internetul includea 1961 de calculatoare host, iar numrul utilizatorilor si (n acel moment numai intituii academice i guvernamentale) se ridica la cteva zeci de mii. n 1988, Internetul a ajuns la 80.000 de calculatoare host, adic o cretere cu 4000%, continund s se dezvolte cu o rat exponenial. n ianuarie 1997, printr-un studiu s-a relevat existena a 16.146.000 de calculatoare host. n 2001, un alt studiu exprim un numr de peste 800.000.000 de calculatoare host, n timp ce n prezent, cel mai popular motor de cutare pe internet, Google are indexate peste 2.000.000.000 de pagini web.
Lars Klander, Anti Hacker- Ghidul securitii reelelor de calculatoare, Ed. All Educational, Bucureti 1998, p. 18.
Pagina 42 din 80
Aproape imediat dup punerea n funciune a Internetului ( a ARPANetului de fapt n 1969), cercettorii au fost confruntai cu un factor perturbator: Internetul nu era sigur i putea fi spart cu uurin. Dup prerea autorului crii Securitatea n Internet ghidul expertului, totul a nceput n telefonie. Aceast activitate era cunoscut sub denumirea de phreaking. Activitatea de phreaking nseamn acum activitatea prin care se ocolesc mijloacele de securitate ale unei companii de telefoane. (cu toate c, n realitate, phreakingul ine mai mult de cunoaterea unui funcionrii unui sistem telefonic, urmat de manipularea sa n interes propriu). Piraii telefonici (phreakerii) foloseau diferite metode pentru a realiza acest lucru. Dea lungul timpului ei au folosit diferite dispozitive de la celebrele cutii roii care puteau transmite sunete(tonuri digitale) pn la utilitare de piraterie telefonic care ruleaz sub mediul MS-DOS sau o fereastr MS-DOS din versiunile Windows oferind tehnici mai subtile de piraterie. ntrebarea care se pune este: Cum anume pirateria telefonic a condus la apariia crackingului pe Internet? Procesul a fost unul natural. Piraii telefonici au ncercat aproape orice pentru a gsi noi sisteme. Adesea ei cercetau liniile telefonice pentru a descoperi noi tonuri sau conexiuni. Unele dintre aceste conexiuni s-au dovedit a fi modemuri. Momentul n care primul pirat s-a conectat la Internet nu poate fi determinat deoarece, cu ani n urm, protocolul PPP (Point to Point Protocol) nu era disponibil. Se presupune c un pirat, printr-o conexiune telefonic obinuit (dial-up), s-a legat la un calculator mainframe sau la o staie de lucru de undeva din afar. Probabil c acea main era conectat la Internet prin intermediul unei reele Ethernet, printr-un al doilea modem sau un alt port. Astfel maina int s-a comportat ca o punte (bridge) ntre phreacker i Internet. Dup ce piratul a trecut puntea, a intrat ntr-o lume suprapopulat de calculatoare, puin sau deloc protejate. De atunci crackerii i-au croit drum prin aproape orice sistem existent. ncepnd cu anii 80, muli programatori cu adevrat nzestrai au devenit peste noapte crackeri. Pn n 1988 nu s-a pus totui problema securitii ca prioritate. Cele mai multe servere erau ntreinute de administratori care posedau doar cunotine elementare referitoare la securitatea reelelor, iar protocolul TCP/IP nu a fost proiectat avnd securitatea n prim plan. Acest lucru a fost posibil deoarece spargerile erau rare n raport cu numrul de inte poteniale. Pe 2 noiembrie 1998, un student pe nume Robert Morris Jr. de la Universitatea din Cornell a lansat pe Internet un vierme informatic(worm). Acest vierme era un program cu
Pagina 43 din 80
autoreproducere care cuta maini vulnerabile i le infecta. Dup ce infecta o main vulnerabil, viermele se propaga mai departe n reea, cutnd alte inte. Acest proces a continuat pn cnd au fost infectate mii de maini. n cteva ore, Internetul se afla sub stare de asediu. Comunitatea programatorilor s-a aflat iniial n stare de oc, ns acesta nu a durat mult. Programatorii de la mai multe universiti au lucrat toat noaptea pentru a analiza i stopa viermele informatic, realiznd o tactic antivierme. Viermele informatic nu a cauzat daune permanente programelor sau fiierelor stocate pe calculatoare, dar a necesitat sute de ore de munc pentru a nltura efectele sale. Apariia viermelui lui Morris a schimbat multe atitudini referitoare la securitatea n Internet. Un singur program a dezactivat mii de maini. Acea zi a marcat nceputul securitii serioase pe Internet. n prezent situaia este radical diferit de acum 10 ani. Atacurile sunt mult mai multe, ns din cauza faptului c marile afaceri s-au orientat ctre Internet, a crescut extraordinar i cererea pentru instrumente de securitate patentate. Acest aflux de bani provenii de la firme a dus la o cretere a calitii instrumentelor de securitate. Astfel crackerii sunt pui n faa unor ncercri din ce n ce mai grele. Conectarea unui sistem de calcul la Internet determin expunerea acestuia la numeroase riscuri de nclcare a securitii, care cresc de la o zi la alta. Referitor la aceast problem revista PC MAGAZINE nr. 8, anul 2000, prezint urmtoarele tipuri de ameninri: Tabelul 3.1 Tipuri de ameninri
Tipuri de ameninri
Sursa
inta
Gravitate
Ameninare
Soluie Firewall,
Atacuri asupra serverelor de web sau a reelelor mari
Crackeri din Internet
Toate serverele Mare
Pierderea datelor, ntreruperi n funcionare i furturi
controlul parolelor, revederea codului pe server, monitorizarea ameninrilor i repararea defectelor
Pagina 44 din 80
nchiderea Crackeri au Acces neautorizat la PC LAN, Internet Toi utilizatori i Mare control pe PC. Intruziuni n sfera particular. PC urile companiei sunt accesibile n LAN. E-mail, Virui, viermi, cai troieni programe descrcat e sau distribuit e Intruziuni n sfera Scripturi i applet-uri ruvoitoare Pagini de Web Toi i Sczut, estimat particular, interceptare de parole i deteriorarea fiierelor. utilizatori supra Toi i Medie Date pierdute, fiiere terse i securitate compromis. utilizatori spre mare porturilor i a firewall-ului, dezactivarea prilor comune (sharing) ale PCurilor pe LAN i utilizarea parolelor. Folosirea programelor antivirus i a firewall-urilor, controlarea accesului la Internet Dezactivarea suportului de script din Navigator i folosirea programelor de blocare i Interceptare de mesaje Crackeri pe LAN sau Internet Toi i Medie Vor citi mesajele din servere sau pachete intermediare sau vor avea acces la PC. protecie Criptarea mesajelor, folosirea parolelor complexe i limitarea accesului fizic la main. Folosirea de nregistrarea a tot Monitorizare a tastaturii Cai troieni Toi utilizatori Mare interceptare de antivirui, accesului la ceea ce se tasteaz, controlul
utilizatori spre mare
Pagina 45 din 80
parole nainte de a fi criptate.
Internet, monitorizarea sistemului i controlul fizic al accesului Folosirea blocajelor de reclam i a pachetelor de protecie
Se poate trimite eReferine Situri vizitate Utilizator i individua li nfund serverele, umplu csuele Spasm E-mail Toi utilizatori i Sczut potale cu gunoi. Spasmul n format HTML poate fi folosit pentru a face profilul utilizatorului i a-l identifica. Sczut mail cu activitatea utilizatorului de pe Web
Filtrarea spasmitilor cunoscui, blocarea accesului la Internet cnd este deschis un mesaj HTML.
Folosirea Cookie Situri vizitate Utilizator i individua li Sczut spre medie Urmresc activitatea pe Web i permit construirea profilului intei. administratorului de sistem, a editoarelor de cookie-uri i a blocajelor de reclam. 3.2 Sistemele e-business i vulnerabilitatea tranzaciilor economice
3.2.1 E-commerce Odat cu rspndirea web-ului i atingerea unei mase critice de utilizatori, firmele cu activitate de comer, analitii, specialitii n marketing s-au gndit c merit investit efort n punerea la punct a unor tehnologii care s transforme surferii web n poteniali clieni. Iniial,
Pagina 46 din 80
siturile web ale acestor firme contineau doar informaii de contact, oferte promoionale sau chiar cataloage de produse sub forma unor pagini HTML statice. Lansarea unei comenzi de cumprare a unor produse se putea face eventual via fax, telefon sau e-mail. Dezavantajul cel mai mare const n faptul c pentru a putea intra n posesia produselor, clientul trebuia s plteasc contravaloarea produselor comandate iar banii s parcurg drumul de la client la vnztor. Plata se fcea de regul prin mecanismele clasice, ctre un cont deschis de comerciant la o banc; presupunea deplasarea clientului la sediul unei instituii cu profil bancar pentru a depune banii i pentru iniia transferul acestora n contul comerciantului. n funcie de politica adoptat de comerciant pentru a demara procesul de livrare a produselor ctre client acesta cerea sau nu, confirmarea efecturii plii prin fax. Fie c se folosea o reea de distribuie proprie, fie c se apela la un serviciu potal specializat (pota rapid, DHL, etc), teoretic aceasta ultim faz era cea mai lung. Dezavantajele acestei metode sunt rezolvate de e-commerce care permite plata prin intermediul Internet-ului O definiie succint i larg acceptat este urmtoarea: Comerul electronic este acea manier de a conduce activitile de comer care folosete echipamente electronice pentru a mri aria de acoperire i viteza cu care este livrat informaia. E-commerce ofer oportunitatea de a comercializa produse n intreaga lume, sporind numrul de poteniali clieni n primul rnd prin eliminarea barierelor geografice dintre clieni i comerciani Arhitectura unui sistem de comer electronic. Pentru a construi un sistem de e-commerce, din punct de vedere arhitectural este nevoie de colaborarea a patru componente (subsisteme electonice/informatice) corespunztoare urmtoarelor roluri: Client. Un echipament, clasic un calculator, conectat direct (via un ISP) sau indirect (o reea a unei corporaii) la Internet. Cumprtorul folosete acest echipament pentru a naviga i a face cumprturi. Comerciant. Sistem informatic (hard & soft), situat de regul la sediul comerciantului, care gzduieste i actualizeaz catalogul electronic de produse disponibile a fi comandate online pe Internet. Sistemul tranzacional. Sistemul informatic (hard & soft) responsabil cu procesarea comenzilor, iniierea plilor, evidena nregistrrilor i a altor aspecte de business implicate n procesul de tranzacionare.
Pagina 47 din 80
Dispecer pli. (Payment Gateway). Sistem informatic responsabil cu rutarea instructiunilor de plat n interiorul reelelor financiar-bancare, cu verificarea crilor de credit i autorizarea plilor; acest sistem joac rolul unei pori care face legatura dintre reeaua global Internet i subreeaua financiar-bancar (supus unor cerine de securitate sporite), poart prin care accesul este controlat de un "portar" (gatekeeper); pe baza informaiilor specifice crii de credit (tip_card, nr_card) din instruciunile de plat "portarul" redirecionaz informaia ctre un centru de carduri (CC - un server certificat n acest scop i agreat de banca emitent); n acest loc este identificat banca care a emis cardul iar instruciunile de plat sunt trimise mai departe ctre serverul acestei bnci conectat n reeaua interbancar; odat informaiile ajunse n reeaua bncii cu care lucreaz cumprtorul, sunt efectuate (automat) o serie de verificri privind autenticitatea i soldul disponibil n contul cardului implicat n tranzacie; n funcie de rezultatul acestor verificri, banca decide fie efectuarea pltii (transfer bancar - ctre contul comerciantului care poate fi deschis la orice alt banc), fie refuz s fac aceast plat. n ambele cazuri, rezultatul deciziei (confimare plat sau refuz) este trimis n timp real, parcurgnd acest lan de servere n sens invers, ctre client. Cu alte cuvinte, n cteva secunde cumprtorul afl dac banca sa a operat plata sau nu. Pe baza acestor patru componente de baza s-au implementat diverse arhitecturi de comer electronic. Unele combin mai multe componente ntr-un singur (sub)sistem informatic, pe cnd altele implementeaz separat fiecare component n parte. Pentru definirea arhitecturii, proiectantii de sisteme e-commerce fac o proiectare de ansamblu a sistemului pe baza unei selecii a principalelor cerine/funcii ale unui sistem ecommerce. Detalii cum ar fi, de exemplu, funcia de agregare care permite asamblarea articolelor ntr-o comand complet sunt lsate pe seama proiectrii de detaliu. Decizia de a integra aceast funcie de agregare la nivelul componentei client, comerciant sau tranzacionale se va lua n funcie de cerinele specifice ale fiecrei implementri n parte. Important este ns ca n cazul unui sistem de e-commerce, ca de altfel n cazul oricrui sistem complex, arhitectura s fie clar definit la toate nivelele de detaliu. Pentru a asigura succesul pe termen lung al unui proiect de e-commerce, arhitectura acestuia trebuie proiectat cu grij innd cont de toate aspectele de business cu care se va confrunta sistemul, lsnd totodat portie care s permit adaptarea sa n timp, pe masur ce apar noi provocri iar tehnologiile evolueaz. Una din principalele provocri cu care se confrunt comerciantii detailiti (retail) atunci cnd doresc sa implementeze un sistem de comer electronic este furnizarea un
Pagina 48 din 80
mecanism de plat comod, perceput ca suficient de sigur i usor de integrat ntr-un sistem de tranzacii comerciale on-line. Multe soluii pentru aceast problem au fost propuse sau chiar sunt utilizate astzi. nsa nici una nu a dobndit larg acceptare de care se mai bucur nc bancnota de hrtie sau moneda de metal. Comerul electronic va putea evolua dincolo de un anumit nivel doar atunci cnd consumatorii obisnuiti vor percepe un mecanism de plat electronic ca fiind la fel de sigur ca plata cu banii jos ("cash") de astzi. De indat ce a pus n exploatare un sistem de vnzri on-line, comerciantul va putea vinde 24 de ore pe zi, 7 zile pe sptamn i asta peste tot n lume; pe unde a ajuns Internetul, desigur. Mai mult, cumprtorii i potenialii clieni vor avea acces la informaii de ultim or referitoare la produse, servicii, preuri sau disponibilitatea acestora. Ca acest scenariu s devin cu adevrat realitate, comerciantul va trebui s se asigure ca sistemul informatic pe care-l implementeaz va fi disponibil non-stop i n tot acest timp el va opera: gestiunea comenzilor, facturarea, procesarea plailor i remiterea banilor. Cu excepia cazului n care comerciantul i desfoar activitatea pe principiul "banii jos" sau folosete alte metode de plat off-line, obinerea banilor rezultai n urma unei vnzri on-line presupune o serie de procese de interaciune cu bnci sau alte instituii financiare. n prezent, plile cu ajutorul crilor de credit (credit card), banilor electronici (ecash), cecurilor electronice sau al cardurilor inteligente (smart card) sunt principalele metode de plat folosite n comerul electronic. Succint, caracteristicile acestor mijloace de plat se pot reprezenta astfel: Tabel 3.2 Principalele mijloace electronice de plat; avantaje si dezavantaje la procesarea plilor Tip Credit-Card Avantaje Funcie tradiional; suficient de familiare; sunt cele mai rspndite mijloace de plat n E-Cash prezent. Foarte uor de folosit; incurajeaz cumprarea bazat pe impulsuri; microplile nu Dezavantaje Nepotrivite pentru micropli comisionul perceput poate fi mai mare dect valoarea plii. Necesit precauii suplimentare n ceea ce privete securitatea; fondurile
Pagina 49 din 80
sunt o problem; popularitate Smart-Card in cretere. Valorile stocate sunt uor de regsit; permit stocarea unor informaii suplimentare despre clieni.
nu pot fi salvate pentru backup. Costuri mari legate de modernizarea infrastructurii, n special n rile n care ATM-urile bancare sunt foarte rspndite.
Din punct de vedere arhitectural, metodele de plat pot fi integrate la nivelul "comerciantului" - n sistemul informatic al acestuia, sau oferite n regim outsource de un furnizor de servicii de comer (CSP - Commerce Service Provider) care va gestiona/intermedia plile de la teri. n ciuda unor campanii promotionale de anvergur derulate n occident, cu excepia crilor de credit nici una din noile metode de plat promovate nu a atins masa critic. De fapt, previziunile unor consultani de specialitate din domeniu prognozeaz c pn n 2002 crile de credit vor rmne mijlocul de plat preferat pentru 99% din cumprturile on-line. Tranzaciile on-line care folosesc plata cu carduri sunt protejate criptografic, iar modalitatea concret de criptare asigur faptul c numai banca sau furnizorul de servicii pentru carduri de credit va putea vedea numrul cartii de credit, nu i comerciantul. Cu doar ctiva ani n urm scepticii susineau c foarte puini clieni vor fi dispui s ofere on-line informaii referitoare la propriul card de credit. Realitatea de astazi, cnd multe din cele mai populare situri de comer electronic accept doar plata cu card de credit, vine sa ne arate c acetia s-au inelat. Care sunt cerinele? O parte din proces implic ncheierea unor aliane/contracte cu instituii financiare, n timp ce din punct de vedere tehnic presupune utilizarea unor tehnologii avansate de criptare i autentificare pentru securizarea mesajelor trimise via Internet. Unul din primii pai pe care trebuie s-l fac comerciantul este s-i deschid un cont la o banc care ofer servicii de tranzacionare on-line bazate pe carduri. Costurile pe care va trebui s le suporte comerciantul includ o parte fix, reprezentat de costul achiziionrii sau nchirierii echipamentelor i softului aferent necesare realizrii comunicrii securizate cu banca (de exemplu, implementarea unui firewall este obligatorie), precum i costuri variabile rezultate n urma comisioanelor precepute de banc/tranzacie. De regul instituia financiar impune un volum minim de tranzacii/lun (cost variabil minim acceptat), percepnd o sum minim pe care comerciantul o platete indiferent de numrul de tranzacii pe care le deruleaz online. n schimb, poate fi avantajos pentru comerciant sa apeleze la o agentie de carduri care
Pagina 50 din 80
ofer servicii de tranzacionare on-line. Datorit volumului mare de tranzacii pe care aceste agentii le deruleaz, pot obtine discounturi semnificative de la bnci i n consecin au oferte mai tentante pentru clieni - societi comerciale care doresc s-i transfere o parte din business on-line. Ca alternativ la implementarea unui sistem propriu, comerciantul web poate apela la furnizori de servicii de plat (PSP - Payment Service Provider) sau la furnizori de servicii de comer (CSP - Commerce Service Provider). n stadiul actual de dezvoltare al comerului electronic, o parte din bnci au adoptat o atitudine proactiv n ceea ce privete serviciile de e-banking, altele fiind nc reticente. Pe de alta parte, nainte de a acorda statutul de comerciant, bncile pot cere, n special societilor comerciale mai mici, sa depun o sum de bani ntr-un cont colateral drept garanie pentru serviciile ce vor fi oferite. PSP-ul acioneaz ca intermediar ntre comerciant i posesorii de carduri oferind servicii de autorizare i de plat on-line. El beneficiaz de conexiuni integrate on-line cu bncile care autorizeaz plile i realizeaz automat transferul banilor. Poate conferi clienilor statutul de comerciani web, negociaz cei mai buni termeni contractuali pentru acetia i de regul le furnizeaz API-ul necesar pentru a-i integra uor n propriul sit web funciile de procesare a cardurilor de credit. Apelarea la PSP-iti este o soluie sigur i multe bnci prefer s lucreze cu acetia, fiind mai uor pentru ele s autorizeze un numr mai mic de clienti mari care pe deasupra preiau i sarcina de securizare a pltilor derulate de societile cu care lucreaz. Pe lng o calitate mai bun a serviciilor oferite clienilor, cum ar fi suport tehnic permanent sau eliminarea unei pri semnificative a birocraiei specific bancare, PSP-itii mai au un atuu: credibilitate financiar dovedit n faa bncilor ca urmare a unei relaii de mai lung durat cu acestea, aspect extrem de important care lipsete de regul societilor comerciale mai tinere - poteniali clieni. Alt avantaj pe care-l pot oferi PSP-itii este pachetul integrat de servicii multi-card (au contracte cu mai multi furnizori de carduri), multi-bancare (opereaz cu mai multe bnci) i multi-moned (conversia automat ntre monedele diverselor ri), i chiar un comision/tranzacie mult mai mic dect cel oferit de o banc. De ndat ce comerciantul i-a deschis contul bancar cerut i a finalizat implementarea sistemului informatic care-l conecteaz la instituiile financiare sau PSP, el poate ncepe activitatea de comer electronic. Dup ce un client care navigheaz pe situl web al comerciantului alege produsele dorite i le depune n coul virtual de cumprturi, cumprtorul este pus n legatur on-line cu PSP-ul care-i va cere informaiile necesare
Pagina 51 din 80
pentru procesarea plii: tipul cardului, numrul acestuia, numele proprietarului i data expirrii cardului. Odat obtinute aceste informaii, platforma de e-comer de la PSP le transmite mai departe ageniei de carduri cu care lucreaz, mpreun cu suma total de plat, taxa de comision/tranzacie, numrul de cont al comerciantului i tipul tranzaciei dorite. Din acest moment tranzacia urmeaz calea obinuit a oricrei tranzacii cu card de credit. Informaia este criptat i trimis de ctre procesorul de pli (PP) prin intermediul unei linii securizate de comunicaie ctre un sistem de faciliti integrate numit "interchange network procesor" (INP, procesor reele interschimb), fiecare marc (brand) de card de credit urmnd a fi procesat de un INP distinct. INP comunic pe o linie securizat cu banca comerciantului care, la randul ei, contacteaz banca cumprtorului (cea care a emis card-ul folosit de client) pentru a verifica dac fondurile sunt disponibile. n caz afirmativ, tranzacia se finalizeaz i banca comerciantului trimite un "cod rezultat", sub forma unui numr de verificare ctre PSP. PSP trimite mai departe acest cod ctre softul care mijloceste cumprturile (shoping cart software) care proceseaz datele (pstrnd printre altele un jurnal al tranzaciilor) i anun apoi clientul c tranzacia s-a efectuat cu succes sau a euat.
3.2.2 Riscurile la care sunt expuse sistemele e-business Unul din principalele impedimente care au temperat rata de cretere a activitilor de comer electronic este legat de securitate. Esena problemei const n faptul ca n mod normal mesajele de pota electronic sunt expediate necriptate. Cu alte cuvinte oricine le intercepteaz, poate citi coninutul fr probleme. Din acest motiv i retinerea utilizatorilor n a-i trimite detaliile referitoare la propriul card de credit prin e-mail. Tranzaciile dintre situl web al comerciantului i cumprtor sunt criptate folosind tehnologia SSL (Secure Socket Layer). Astfel se elimin posibilitatea ca un intrus s obtin numrul cardului, presupunnd ca el intercepteaz datele astfel criptate. Aceasta tehnologie prezint ns i o deficien i anume: SSL nu permite comerciantului s se asigure ca persoana care folosete cardul ntr-o tranzacie este chiar deintorul acestuia. Similar, SSL nu ofer nici o cale prin care clientul s afle dac situl web al comerciantului este cu adevrat autorizat s accepte plata cu carduri i c nu este doar un sit pirat (fake) proiectat doar n scopul de a coleciona date despre astfel de carduri.
Pagina 52 din 80
Pentru a rezolva aceast problem, MasterCard i Visa promoveaz SET (Secure Electronic Transaction), o tehnologie mai sigur, dezvoltat prin conjugarea eforturilor mai multor companii interesate. SET rezolv problema autentificrii prin desemnarea unor certificate digitale att clientului ct i comerciantului. Mai mult, SET ofer securitate sporit fa de cea existent astzi pe piaa comercial traditional. n loc de a-i oferi comerciantului acces la numrul cardului, SET l encripteaz de o maniera care asigur faptul c doar consumatorul i instituiile financiare au acces la el. Fiecare dintre actorii implicai ntr-o tranzacie (comerciant, client sau instituie financiar) folosete certificatul SET privat, care joac i rol de identificare, n conjuncie cu cheile publice asociate certificatelor ce identific pe ceilali actori. n practic, un ter ofer serviciul de a furniza certificate digitale instituiilor financiare care emit carduri iar instituia financiar ofer certificate digitale clienilor si, detintori de credit carduri. Ct privete comerciantul, procesul este similar: n momentul efecturii unei cumprturi on-line, nainte de a se face vreun schimb de date, softul care integreaz tehnologia SET valideaz identitatea comerciantului i a deintorului cardului; procesul de validare const n verificarea certificatelor digitale emise de furnizorii de servicii autorizai (teri).
3.3 Tehnici i instrumente pentru asigurarea securitatii tranzaciilor electronice 3.3.1 Criptografia Criptografia reprezint studiul tehnicilor matematice privitoare la aspecte ale securitii informaiilor dintre care se reliefeaz prin importana lor: confidenialitatea, integritatea datelor i autentificarea. Criptografia nu este un mijloc singular de securizare a informaiilor, fiind considerat mai mult un set de tehnici. Obiectivele principale ale criptografiei sunt : 1. Confidenialitatea este folosit pentru a pstra datele secrete pentru cei care nu sunt autorizai s le cunoasc. Pentru asigurarea confidenialitii se utilizeaz mai multe metode ncepnd de la protecia fizic pn la algoritmi matematici. 2. Integritatea datelor se refer la alterarea neautorizat a datelor. Pentru a se asigura integritatea datelor, trebuie detectat manipularea datelor de cei neautorizai. Prin manipularea datelor se nelege completare, tergere, nlocuire.
Pagina 53 din 80
3. Autentificarea se refer la identificarea att a unor entiti ct i a informaiei nsi. Dou entiti angajate ntr-o comunicare trebuie s poat s se identifice reciproc; la fel i informaia transmis trebuie identificat din punct de vedere al originii, coninutului, orei transmisiunii, etc. Deci autentificarea se urmrete n principal pe dou nivele : autentificarea entitilor i autentificarea originii datelor. Autentificarea originii datelor atest n mod implicit integritatea acestora. 4. Non-repudierea este alt scop al criptografiei i impiedic o persoan s nege transmiterea unor informaii sau realizarea unor aciuni. Scopul fundamental al criptografiei este s se adreseze adecvat, att n teorie ct i n practic acestor patru obiective mentionae mai sus. Criptografia permite stocarea informaiilor confideniale precum i transmiterea acestora printr-o reea (cum ar fi INTERNET-ul) astfel nct s nu poat fi citite dect de destinatar. A encripta nseamn a coda o anumit informaie astfel nct aceasta s devin neiteligibil chiar i pentru acele persoane care pot vedea respectiva informaie. Procesul invers encriptrii se numeste decriptare. Criptografia este tiina securizrii datelor i informaiilor n timp ce analiza criptografic este tiina analizrii i spargerii comunicaiilor securizate. Analiza criptografic clasic presupune un melanj interesant ntre gndire analitic, aplicarea unor instrumente matematice, gsirea unor tipare, rbdare i nu n ultmul rnd, noroc. Cei ce practica analiza criptografic sunt numiti atacatori. Criptologia, ca tiin, cuprinde att criptografia ct i analiza criptografic. Un algoritm criptografic sau cifru este o funcie matematic folosit n procesul de encriptare i cel de decriptare. Un algoritm de criptare funcioneaz n strns legatur cu o cheie un cuvnt, numr sau fraz pentru a encripta un text, o dat, sau o informaie. Securitatea algoritmului criptografic depinde de doi factori : puterea algoritmului criptografic gradul de securitate al cheii de criptare Un criptosistem (sistem de criptare ) este alctuit dintr-un algoritm, toate cheile de criptare posibile i din protocoalele care fac acest sistem sa funcioneze.
Sisteme de criptare.
Pagina 54 din 80
n funcie de tipul de cheie folosit, putem vorbi de sisteme criptografice simetrice sau asimetrice. n cadrul sistemelor simetrice se folosete aceeai cheie pentru a encripta i decripta datele n timp ce n cadrul sistemelor asimetrice se folosesc dou chei: una folosit pentru encriptarea mesajului numita cheie public i alta folosit pentru decriptarea mesajului numita cheie privat. Sistemele simetrice mai sunt denumite i sisteme convenionale n timp ce sistemele asimetrice sunt numite sisteme cu cheie public. Criptografia convenional (simetrica). n criptografia convenional, numit i criptografie cu cheie secret sau simetric, este folosit o singur cheie pentru a encripta i decripta datele. Standardul DES (Data Encription Standard) este un exemplu de sistem de criptografie convenional care era utilizat pe scar larg de guvernul Statelor Unite ale Americii. Cel mai simplu model de cripografie convenional este cifrul de substituire. Acest cifru schimb o bucat de informaie cu alta. Cel mai adesea se folosete n schimbarea literelor ntre ele rezultnd un amalgam de informaie indescifrabil. Criptografia convenional este considerat ca avnd un nivel de securitate sczut pentru standardele de azi. Schematic, acest procedeu de criptare se prezint in figura 5.
Figura 5. Criptarea convenional Criptarea convenional are anumite beneficii. Este foarte rapid, i este folosit n general, pentru informaiile care nu vor fi transmise prin reea. Criptarea convenional are un inconvenient major, n sensul gradului ridicat de risc care l presupune distribuia cheilor de criptare. Pentru ca un expeditor i un destinatar s comunice n absolut siguran este nevoie
Pagina 55 din 80
s se aleag o cheie de criptare care trebuie pastrat secret. Dac se afl n locaii diferite , cei doi trebuie s dispun de un mod de comunicare foarte sigur pentru ca respectiva cheie s nu fie interceptat n timpul schimbului. Orice ter persoan care intercepteaz cheia n tranzit, poate citi, modifica sau falsifica toate informaiile encriptate sau autentificate cu acea cheie. Problema distribuiei cheii a fost rezolvat de un concept introdus de Whitfield Diffie i Martin Hellman n 1975 numit criptarea cu cheie public. Criptografia cu cheie public. Criptografia cu cheie public, numit i asimetric este tipul de criptografie care folosete o pereche de chei : o cheie public, care encripteaz datele i o cheie corespunztoare, privat sau secret care decripteaz datele. Cheia public poate fi publicat oriunde n timp ce cheia privat trebuie sa rmn secret. Oricine dispune de o copie a unei chei publice poate encripta informaia care poate fi citit doar cu ajutorul cheii private corespunztoare. Cheia privat nu poate fi dedus pe baza cheii publice dect cu eforturi enorme i, probabil, nerentabile. Principalul avantaj al criptografiei cu cheie public este faptul c permite persoanelor care nu dispun de dotri speciale pre-existente de securitate s schimbe informaii ntr-un mod sigur. Nevoia ca destinatarul i expeditorul unui mesaj s schimbe chei secrete prin intermediul unui canal sigur este eliminat, toate comunicaiile implic doar folosirea cheii publice i niciodat cheia privat nu este transmis. Exemple de sisteme de criptare cu cheie public : Elgamal inventator Taher Elgalamal RSA inventatori : R. Rivest, A. Shamir, L. Adleman Diffie-Hellman inventatori R. Diffie, P. Hellman DSA dezvoltat de David Kravitz. Schematic, criptarea cu cheie publica se prezinta n figura 6.
Pagina 56 din 80
Figura 6. Criptarea cu cheie public Una dintre problemele cele mai importante ale transmiterii datelor printr-un canal de comunicare este modul n care acestea sunt codificate i ct de puternic este sistemul de criptare. Un sistem criptografic, al crui mod de implementare nu este cunoscut, este considerat suspect. n schimb, un sistem criptografic asupra cruia s-au realizat studii detaliate i a trecut de diverse teste poate fi considerat ca unul sigur. Un raport recent facut de un grup de cercettori de la marile firme i centre recunoscute pe plan mondial n domeniul reelelor i telecomunicaiilor AT&T Research, Sun Microsystems, MIT Laboratory for Computer Science, the San Diego Supercomputer Center, Bell Northern Research etc. a fost intitulat lungimi minimale pentru cheile de codificare n asigurarea unui nivel de securitate adecvat. Autorii au gsit c sistemele criptografice cu chei de 40 de bii nu ofer, virtual, nici o protecie mpotriva atacurilor externe. Sugestia lor a fost exprimat simplu: Pentru a proteja informaia n mod adecvat, pentru urmatorii 20 de ani, n faa avansului extraordinar al puterii de calcul, cheile de criptare n noile sisteme instalate vor trebui s aib o lungime de minim 90 de bii. Rezumatul rezultatelor incluse n acest raport poate fi prezentat n urmatorul tabel: Tabel nr 3.3 Tabel comparativ privind timpul de decodificare in cazul criptrii cu chei de 40 sau 56 de bii sau 56 de bii Sursa atacului Buget Dispo zitiv Timp de decodificare cu cheie de 40 bii Timp de decodificare cu cheie de 56 bii Lungimea cheii necesare la nivelul anului 1995
Pagina 57 din 80
Novice Hacker Firm de mici dimensiuni Departamentu l unei corporaii Companie de mari dimensiuni Agenie de informatii
$20 $400 $10000 $30000 0 $10 milioan e $300 milioan
PC FPG A FPG A FPG A ASIC FPG A ASIC ASIC
1 saptamana 5 ore 12 minute 24 secunde 0,18 secunde 0,7 secunde 0,005 secunde 0,0002 secunde
imposibil 38 ani 556 zile 19 zile 3 ore 13 ore 6 minute 12 secunde
(bii) 45 50 55 60 60 70 70 75
e FPGA- Field Programmable Gate Array; ASIC- Application Specific Integrated Circuit
3.3.2 Semntura digital Sfritul de secol este dominat de revoluia informatic desfurat n Internet considerat ca reprezentnd cea de-a treia revoluie industrial. Orientarea a tot mai multe activiti umane ctre utilizarea tehnologiilor informatice face ca n Internet omenirea s se regseasc cu trsturile ei definitorii, att dintre cele pozitive ct i negative. Ca urmare, oamenii sunt preocupai nu numai de folosirea eficient i dezvoltarea continu a domeniului tehnologiei informaiei i al Internet-ului, ci i de stabilirea cadrului legal n care s se desfoare interaciunile n acest domeniu, numit i Cyberspace sau Global Village. Cunoaterea diferitelor legi ce guverneaz Internet-ul i hotrrea comunitii internaionale de a acoperi toate golurile legale ale acestei noi lumi i de a le armoniza, este una foarte actual. Internet-ul este o structur i n acelai timp o societate care, cu excepia unor parametrii tehnici, se dezvolt liber i nengrdit n raport cu prevederile legale ale statelor pe teritoriul crora se afl server-ele reelei. La 4 februarie 1998, a avut loc la Dublin, Irlanda, Ceremonia semnrii electronice (digitale) a primului comunicat internaional dintre doi efi de stat. Bill Clinton, preedintele SUA i Bertie Ahern, primul ministru al Irlandei, au semnat digital Comunicatul asupra
Pagina 58 din 80
comerului electronic. Ceremonia special ce a avut loc la Dublin a marcat astfel dou evenimente istorice: nceputul erei comerului electronic i acceptarea, la un nalt nivel, a semnturii digitale ca element de autentificare n documentele electronice. Comunicatul nsui este deosebit de important deoarece statueaz, pentru prima oar ntr-un document internaional dedicat, importana comerului electronic global, un adevrat motor al secolului 21. Efectele sale vor fi multilaterale: revigorarea economiilor, creterea productivitii, mbuntirea distribuiei i remodelarea structurii companiilor. Comerul electronic va contribui la creterea nivelului de trai n lume, prin crearea unor noi locuri de munc i oportuniti. ntreprinderile mici i mijlocii, n particular, vor beneficia primele de aceste noi faciliti, putnd accesa astfel o pia mondial Noile servicii Internet - i n special comerul electronic - au creat necesitatea unui serviciu permanent de semntur digital care, realizat prin mijloace electronice, s garanteze tranzaciile prin Internet, adic: s permit identificarea unei persoane fr a o ntlni; s creeze o prob, irefutabil n faa unei autoriti, a tranzaciei ncheiate i executate. Mult vreme, semnturile olografe au fost folosite pentru a proba c o anumit persoan este de acord cu un anumit document. Cerinele generale ce se pun n faa unei semnturi sunt urmtoarele: 1. s fie autentic, adic executat de autorul documentului; 2. s fie ne-falsificabil, adic s dovedeasc faptul c documentul a fost produs de pretinsul semnatar; 3. s fie ne-reutilizabil, adic s nu poat fii mutat, de ctre o persoan ru intenionat, pe un alt document; 4. s fie ne-alterabil, adic odat documentul semnat, acesta s nu poat fi modificat; 5. s fie nerepudiabil, adic semnatarul s nu poata sa nu recunoasc autenticitatea ei. n realitate, dei a fost folosit mii de ani, semntura olograf nu respect ntru totul aceste deziderate. Cu att mai mult, ataarea unor semnturi scanate la documentele electronice face banal procesul de falsificare. Ca urmare, s-a creat un tip de semntur electronic, numit i digital, i care se realizeaz folosind metode criptografice cu chei publice. n literatura de specialitate nu se face, de cele mai multe ori, distincia dintre termenul de semntur electronic i cel de semntur digital, innd cont de faptul c tehnologia cea mai folosit n realizarea semnturilor electronice o constituie azi criptografia.
Pagina 59 din 80
Semntura electronica este o informatie n format electronic atasata altei informatii n format electronic n scopul autentificarii sale8. Ea este produs prin anumite calcule fcute de ctre emitor, pe baza unei chei i a coninutului mesajului. Acest proces se numete funcia de semnare. La recepie, printr-o funcie de verificare, se face un alt set de calcule asupra semnturii i mesajului, constatndu-se sau nu valabilitatea semnturii. n concluzie, Semntura digital (electronic) reprezint un atribut al unei persoane, fiind folosit pentru recunoaterea acesteia. Semntura digital rezolv att problema autentificrii emitorului, ct i pe cea a autentificrii documentului (numit i integritate). Producerea semnturilor digitale se poate baza att pe criptosisteme simetrice, ct i pe cele cu chei publice. Metodele de semntur digital bazate pe sistemele clasice cu chei secrete (simetrice) folosesc aceeai cheie att la semnare, ct i la verificare. n cadrul funciei de semnare, mesajul M este semnat folosind cheia secret drept parametru. La verificare, folosind aceeai cheie secret i mesajul n clar, se d verdictul de valid sau invalid asupra semnturii digitale recepionate. Dezavantajul acestei metode const n necesitatea stabilirii i distribuiei prealabile a cheii secrete ntre emitor i receptor. Metodele de semntur digital cu chei publice (asimetrice) folosesc la semnare cheia secret a entitii emitor iar la verificare, cheia public a acesteia. Ca urmare, o semntur poate fi produs doar de emitorul autentic, singurul care cunoate cheia privat, dar poate fi verificat de orice persoan care cunoate cheia public a emitorului. n funcionarea sistemelor cu chei publice este necesar un sistem de generare, circulaie i autentificare a cheilor folosite de utilizatori. S ne imaginm situaia cnd o persoan - s zicem Vlad - dorete s se dea drept altcineva, de exemplu Dan - i vrea s semneze n fals n numele lui Dan; falsificatorul poate face acest lucru uor, generndu-i propria sa pereche de chei i punnd-o pe cea public n fiierul public, n locul celei autentice a lui Dan. Documente semnate de Vlad cu cheia sa secret vor fi verificate cu cheia public ce pare a fi a lui Dan i orice persoan se va nela de autenticitatea documentelor semnate n numele lui Dan. Problem fundamental este deci aceea a ncrederii absolute n cheile publice, cele cu care se face verificarea semnturilor digitale. Acestea trebuie s fie disponibile n reea, astfel ca orice client s poat obine cheia public a unui emitent de document semnat. n acest context, soluia tehnic exist: crearea unei infrastructuri internaionale, bazat pe Autoriti de Certificare (Certification Authority- CA), care s permit obinerea cu uurin i ntr-o
Pagina 60 din 80
manier sigur a cheilor publice ale persoanelor cu care se dorete s se comunice prin Internet. Aceste autoriti urmeaz s distribuie, la cerere, certificate de chei autentificate. Certificatul digital este o atestare electronica care leaga datele de semnare/verificare de o persoana, i confirma identitatea acelei persoane. Certificatele sunt utilizate cnd este necesar schimbul ntre persoane de chei publice. Cnd este vorba de un grup puin numeros de persoane care doresc s comunice n siguran, cheile publice pot fi schimbate prin dischete sau prin e-mail. Aceast form de distribuie a cheilor publice se numete distribuie manual de chei publice. n cazul comunitilor mai mari, este nevoie de a dezvolta sisteme care s furnizeze un grad de securitate ridicat, o capacitate mare de stocare i un mecanism practic de schimb a cheilor publice astfel nct partenerii de afaceri s poat comunica cu uurin. Aceste sisteme sunt fie sub forma unor servere de stocare numite servere de certificare (Certificate Servers) fie sub forma unor sisteme mult mai structurate ce ofera servicii aditionale n ceea ce privete managementul cheilor publice numite Public Key Infrastructures (PKI). Un server de certificate numit i server de chei este o baz de date ce permite utilizatorilor s trimit i s solicite certificate digitale. Un sever de certificate are i cteva sevicii administrative, ce permit unei companii s-i mentin politicile de securitate, cum ar fi stocarea numai a acelor chei care ndeplinesc anumite condiii. PKI furnizeaz serviciile pe care le ofer i un server de certificate, dar ofer i posibiliti de management ale certificatelor cum ar fi posibilitatea de a cuta, a emite, a revoca i de a stoca certificate digitale. Principalul serviciu oferit de PKI este introducerea unei autoriti (instane) de certificare (Certification Authority - CA) care poate fi o persoan, un grup, un departament, o companie sau o asociaie pe care o organizaie a autorizat-o sa emit certificate digitale pentru utilizatorii ei de calculatoare. O autoritate de certificare creaz certificate digitale i le semneaz digital folosind o cheie privat. Utiliznd cheia public a unei autoriti de certificare oricine care dorete s verifice autenticitatea unui certificat digital verific semntura digital a respectivei autoritai de certificare i deci i coninutul certificatului. Formate de certificate. Certificatul X.509 Cel mai ntlnit format de certificate este formatul X.509. Toate certificatele X.509 se conformeaz standardului internaional ITU-T X.509, deci toate certificatele X.509 create
Pagina 61 din 80
pentru un anumit program pot fi folosite de orice alt program care recunoate acest format. n realitate, diferite companii au realizat extensii proprii ale certificatelor X.509, nu toate dintre acestea fiind compatibile ntre ele. Un certificat X.509 este o colecie standard de cmpuri coninnd informaii despre un utilizator i cheia public corespunztoare. Standardul X.509 definete ce informaii intr n componena unui certificat, i descrie n ce format de date trebuie encriptat. Toate certificatele X.509 conin urmtoarele : Numrul versiunii standardului X.509 acest cmp indic ce numr de versiune a standardului X.509 se aplic acestui certificat, fapt ce are o repercusiune direct asupra informaiilor ce pot fi specificate n el. Cheia public a deintorului certificatului include informaii despre cheia public a deintorului certificatului mpreun cu un identificator de algoritm care specific crui sistem de criptare aparine cheia respectiv precum i ali parametrii asociai acestei chei. Numrul de serie al certificatului orice entitate (program informatic sau persoan) care a creat certificatul este responsabil pentru a-i desemna un numr de serie unic. Aceast informaie este folosit n numeroase scopuri, cel mai important este evidenierea acestui numr de serie n lista certificatelor revocate. Identificatorul unic al deintorului certificatului (sau nume unic). Acest nume este creat n scopul de a fi unic n cadrul Internet-ului. Un identificator unic este alctuit din mai multe subseciuni cum ar fi numele i prenumele utilizatorului, organizaia (compania) din care face parte, ara de reziden, etc. Perioada de valabilitate a certificatului exprim data emiterii certificatului i data de expirare. Numele unic al emitentului certificatului numele unic al entitii care a semnat certificatul; n mod normal o autoritate de certificare. Semntura digital a emitentului semntura digital a emitentului realizat cu ajutorul cheii private a emitentului certificatului. Identificatorul algoritmului semnturii identific algoritmul utilizat de autoritatea de certificare pentru a semna certificatul. Pentru a obine un certificat X.509 trebuie solicitat o autoritate de certificare n vederea emiterii unui certificat. n acest scop trebuie furnizat cheia public, dovada deinerii cheii private corespunztoare i informaii specifice despre solicitant. Aceste elemente trebuie semnate digital i trimise mpreun cu solicitarea emiterii unui certificat unei autoritai de
Pagina 62 din 80
certificare care va verifica informaiile i dac acestea sunt corecte va genera un certificat digital i-l va trimite solicitantului.
3.3.3 Reele virtuale private - VPN Internetul schimb n fiecare zi modul n care comunicm, ne informm, informm, i nu n ultimul rnd modul n care se fac afacerile. Dintre noile tehnologii, Retelele Virtuale Private (VPN) au cel mai puternic impact asupra metodelor de a face afaceri. VPN (Virtual Private Network) se poate defini ca o conexiune privat ntre doua staii sau reele, stabilit printr-o reea deschis accesului public9. Practic, VPN-ul folosete ca suport de comunicaie Internetul pentru a realiza legturi sigure cu partenerii de afaceri, cu filialele regionale i pentru a scade costurile legate de comunicaia cu angajaii aflai la distan sau n deplasare. VPN-urile fac posibil creterea vnzrilor, dezvoltarea mai rapid de noi produse i colaborarea strategic cu diveri parteneri fr a apela la liniile nchiriate care sunt mult mai costisitoare. Dup statisticile realizate n Statele Unite, piaa dedicat securitii informaiei va creste de la 1.1 miliarde $ n 1995 la 16.6 miliarde $ n 2000, din care piaa dedicat VPNurilor va crete ntr-un ritm i mai rapid: de la 205 milioane $ n 1997, la aproximativ 11.9 miliarde $ n 2001, cu o rata de cretere de 100% pe an. nainte ca afacerile "on-line" i comerul electronic s-i ating adevaratul potenial, companiile trebuie s se simt n siguran folosind Internetul ca suport pentru comunicaiile secrete. VPN-urile sunt primul pas n atingerea acestui scop. Configurate adecvat, acestea asigur protecia mpotriva viruilor, a spionrii companiilor i orice alte pericole ce rezult dintr-o configurare gresit, din controlul slab al accesului sau dintr-o administrare superficial a retelei. Cele trei funcii definitorii ale VPN-ului sunt: criptarea, autentificarea i controlul accesului. Dei autentificarea i criptarea sunt componente critice ale VPN, ele sunt simplu de verificat i implementat. n schimb, controlul accesului este ceva mai complex deoarece implemetarea lui este strns legat de restul facilitilor de securitate. Cu noile tehnologii de VPN se poate verifica indentitatea utilizatorilor folosind "toke-card"-uri, certificate digitale i chiar i "amprente". Odat identificai, utilizatorilor li se acord accesul la resurse n conformitate cu "profile"-ul definit i cu rolul acestuia n cadrul unui grup. VPN-urile ncep
9
Chip Computer Magazine, nr 6/ 2000, pag 72
Pagina 63 din 80
s ofere i utilitare pentru monitorizarea activitii utilizatorului odat intrat n reeaua companiei. nainte de a se conecta la Internet companiile ar trebui s stabileasc o politic de securitate care s specifice clar cine la ce resurse are acces lsnd n acelasi timp loc pentru schimbri i dezvoltri ulterioare. nainte de a implementa o Reea Privat Virtual ar trebui evaluat sistemul de securitate actual al firmei pentru a ti exact ce merita pstrat i ce poate fi refolosit. Odat decis bugetul, firma trebuie s ia n considerare toate beneficiile ce pot fi realizate cu ajutorul VPN-ului, cum ar fi creterea profitului, imbuntirea serviciilor ctre clieni furniznd informaii mai repede i n aclai timp personalizate i relatii de colaborare mai strnse cu partenerii utiliznd schimbul sigur de informaie. O soluie complet ar trebui s cuprind un firewall, un router, un server proxy, hardware i software VPN sau toate cele menionate. Oricare din aceste echipamente pot asigura o comunicaie sigur, n funcie de prioritile firmei, dar o combinaie a acestora ofer soluia cea mai buna.
Implementarile tipice de Reele Virtuale Private Implementrile VPN se pot grupa n 3 categorii : Intranet Reea Virtual Privat ntre sediile i departamentele aceleiai firme. Remote Access VPN Reea Virtual Privat ntre reteaua firmei i angajatii aflati la distanta sau n deplasare. Extranet VPN Reea Virtual Privat ntre o firma i partenerii strategici, clieni, furnizori. Intranet n cadrul unui Intranet, VPN-ul care asigur comunicaia ntre sediile unei firme trebuie s ofere metode puternice de criptare pentru a proteja confidenialitatea datelor, fiabilitate pentru a garanta transmiterea datelor ctre aplicaiile critice, cum ar fi bazele de date ale clienilor i ale vnzrilor, schimbul de documente, i nu n ultimul rnd scalabilitate pentru a putea fi uor adaptat la creterile rapide ale numrului de utilizatori, sedii i aplicaii.
Pagina 64 din 80
Figura nr.7. Intranet Studiu de caz Firma Deloitte & Touche este binecunoscut pe plan internaional n domeniul consultanei de natur financiar-contabil. n activitatea firmei un aspect important l constituie accesul consultanilor sai la resursele interne ale companiei, indiferent de locul unde se gsesc la un moment dat: de la computerul clienilor sau de la un terminal mobil propriu. Acest acces implic citirea potei electronice, accesul la fiiere pe server etc. Intruct informaiile coninute n baza de date Deloitte&Touche sunt de o importan vital, utilizatorul aflat la distan va necesita proceduri de criptare, creare de tunel i autentificare a semnturii sale digitale. Toate legturile trebuie fcute cu costuri minime, fr folosirea convorbirilor internaionale. Reeaua intern este protejat de un firewall. Solutia adoptat a fost implementarea unui software client asigurat de Shiva. Acest software permite utilizatorului s acceseze resursele reelei companiei prin tuneluri VPN sigure. Protecia este realizat printr-o combinaie de chei de criptare, tunelare i semnturi digitale. Utilizatorul se poate conecta la orice nod Internet, ruleaz Shiva VPN Client i astfel, evitnd plata unei convorbiri interurbane, i creeaza un tunel de comunicaie sigur, la nivelul layer-ului de reea. La captul cellalt, reeaua firmei Deloitte&Touche este protejat cu un Firewall denumit LanRover VPN Gateway, tot de la Shiva.
Remote Acces VPN n cazul unei Reele Virtuale Private de tip Remote Access, ntre sediul unei firme i angajaii si, necesitaile sunt altele. Autentificarea este critic pentru verificarea identitii utilizatorului, iar din punctul de vedere al administratorului reelei, managementul trebuie sa
Pagina 65 din 80
fie centralizat i foarte flexibil i scalabil pentru a putea face fa numrului mare de utilizatori care acceseaza VPN-ul.
Figura nr. 8. Remote acces Studiu de caz Compania canadian Jetform posed birouri de reprezentare n California. Aceste birouri vor trebui conectate la reteaua sediului central prin Internet. Orice nou birou va avea nevoie de o rapida conectare cu firma mama, astfel nct demararea afacerii sa nu fie intarziata de imposibilitatea accesului la informatie. Ca soluie, n toate birourile de reprezentare s-au instalat gateway-uri VPN. Prin folosirea Internetului, costurile de comunicaie s-au redus cu aproximativ 40.000 USD pe lun, n comparaie cu conexiunile precedente de tip frame-relay. Toate locaiile au fost astfel securizate prin firewall-uri, performana reelei s-a dublat i, simultan, a fost posibil implementarea unui sistem Voice over IP ntre Canada i California. Administrarea intregului sistem a fost posibil cu ajutorul unui VPN manager i sistemul de autorizare Certificate Authority. Extranet Extranet-ul, reeaua dintre firm i parteneri, clieni i furnizori necesit o soluie bazat pe standarde pentru a putea interopera cu soluiile implementate de acetia. Standardul acceptat pentru VPN este IPSec Internet Protocol Security. La fel de important este i controlul traficului pentru a elimina congestiile n punctele de acces n reea i pentru a asigura transmiterea rapid a datelor pentru aplicaiile critice.
Pagina 66 din 80
Figura nr. 9. Extranet Studiu de caz Firma american Duke Energy este una dintre cele mai importante n domeniul produciei i furnizrii de energie electric din sud-vestul Statelor Unite. Relaiile cu partenerii i furnizorii de materii prime n acest domeniu au devenit greu de gestionat, iar comunicaiile clasice ngreuneaz i mai mult acest proces. Creterea vitezei de rspuns la necesitile de producie sau distribuie ale clienilor, flexibilitatea comunicrii i reducerea numrului de conexiuni fizice de administrat, combinate cu securitatea i integritatea datelor transmise, au facut ca Duke Energy s implementeze o reea privat virtual n regim de Extranet. Ca soluie, infrastructura existent a putut fi suplimentat folosind Internetul i construind o reea virtual privat, securizat prin folosirea certificatelor digitale de autentificare i a procedurilor de codificare. Managementul centralizat al tuturor certificatelor i serverelor VPN a dus la reducerea costurilor de comunicaie cu 50% i la mrirea flexibilitii n cazul aparitiei de noi parteneri conectai la reea. Timpul de stabilire a conexiunilor s-a redus la cateva ore, spre deosebire de cazul anterior cnd putea dura cteva luni. Oricum, instalarea serverului VPN nu a produs nici o interferen negativ cu arhitectura reelei existente. Avantajele reelelor virtuale private Furnizorii de VPN pot inira o multime de beneficii pe care le aduce tehnologia, multe aprnd odat cu dezvoltarea ei. Poate cel mai puternic argument folosit este reducerea
Pagina 67 din 80
costurilor. Folosirea Internet-ului pentru a distribui servicii de reea la mare distan elimin necesitatea achiziiei de linii inchiriate, extrem de scumpe, ntre reprezentane i firm, dar i costurile convorbirilor interurbane pe modemuri dial-up sau ISDN. Reprezentana va trebui s se conecteze numai local, la un provider Internet, pentru a ajunge n reeaua firmei mam. Economii se fac i relativ la lipsa necesitii investiiilor n echipament WAN adiional, singura achiziie fiind legat de mbuntirea capacitilor de conectare la Internet a serverului. Un alt aspect pozitiv al reelelor private virtuale este acela ca sunt mediul ideal de comunicaie pentru utilizatorii mobili, adic cei care poseda laptop-uri, PDA-uri sau palmtopuri cu care, n timpul unei tranzacii importante, de exemplu, vor s acceseze serverul firmei pentru obtinerea unor informaii confideniale. n acelasi fel, se poate instala o legatur ntre dou reele, extrem de rapid i ieftin. Configurarea reelelor de date i a interfetelor Wan nu mai este necesar - un avantaj evident n lumea de astazi a afacerilor, n care companiile partenere se conecteaz la reele pentru a imbunti viteza i randamentul operaiunilor distribuite. Marile companii au demonstrat n ultimii ani ai deceniului 80 ca agreeaz conceptul de reele private virtuale, atunci cnd traficul telefonic a fost mutat de la linii nchirate private ctre noile servicii de voce prin VPN, oferite de furnizorii de reea public. Acum, se ntmpl acelai lucru, ns la nivel de informaie i ntr-un mediu al afacerilor care are din ce n ce mai puine frontiere.
3.3.3.1 Studiu caz VPN Cooperative Housing Foundation (CHF), filiala din Romania a CHF-International, este una din cele dou organizaii non-guvernamentale americane prezente n Romania ce au mandat legal independent pentru activiti de creditare i administreaz un fond de mprumuturi n parteneriat cu USAID i Fondul Romano-American de Investiii. Ea desfasoar un proiect de dezvoltare ce integreaz dezvoltarea societii civile, mecanisme alternative de creditare, dezvoltarea micilor firme (IMM) i mbuntirea calitii vieii pentru familiile cu venituri mici i mijlocii utiliznd metoda denumita "Integrarea Organizatiilor Non Guvernamentale (ONG) n dezvoltarea economica regionala" (INED). Sediul central din Timioara (str. Arge) funciona cu un domeniu n jurul unui BackOffice 4.0 Small Business Server (SBS 4.0) i 10 staii de lucru cu Windows 98. Al
Pagina 68 din 80
doilea sediu din Timioara (Casa Tineretului) funciona ca un workgroup format din 5 staii de lucru cu Windows 98, iar n judeele cu puncte de lucru (n numr de 10) exist 2-3 staii de lucru cu Windows 98. Comunicarea ntre sedii (i cu punctele de lucru) se facea prin email transmis cu Outlook Express prin dial-up la Internet. S-a pus problema utilizrii la maxim a licenelor SBS 4.0 prin activarea serverelor Exchange 5.0 i SQL 6.5, ns numrul de utilizatori poteniali deja se apropia de limita de 25 i nu permitea scalabilitate suficient pentru eventualitatea creterii firmei. n acelasi timp, era necesar implementarea unui sistem eficient de mesagerie i colaborare ntre toate sediile O alt problem era evitarea investiiilor masive i inlocuirea lor cu investiii treptate materializate prin implementarea pas cu pas a soluiei. Soluia Pentru a evita limitarea scalabilitii reelei, s-a renunat la SBS 4.0 i s-a trecut la Windows 2000. Serverul a devenit Windows 2000 Server iar staiile Windows 2000 Professional. Licena de SBS 4.0 va fi folosit pentru un server de web i baze de date. Pentru sistemul de comunicaie n companie, s-a ales Exchange 2000 Server cu clienii Outlook din Office 2000 Professional. Infrastructura se modific prin instalarea unei linii nchiriate ntre cele dou sedii din Timioara i prin conectarea direct a sediului central la Internet (printr-un cablu de reea; aceast soluie putea fi nlocuit de o a doua linie nchiriat, dac nu exist un Internet Service Provider - ISP - suficient de apropiat). Astfel, sediile din Timioara sunt conectate permanent ntre ele i n acelai timp la Internet. n viitor se vor instala linii nchiriate ntre punctele de lucru din judee i Internet, cu scopul de a realiza reele virtuale (Virtual Private Network - VPN) ntre punctele de lucru i sediul central. n funcie de ISP-urile din teritoriu se vor putea realiza VPN-uri i prin dial-up. Punctele de lucru conectate prin VPN la sediul central, vor avea toate beneficiile reelei printr-o conexiune ieftin i sigur (criptat). Utilizatorii din Timioara vor avea acces la serverul Exchange prin Outlook 2000 iar cei din punctele de lucru prin Outlook Web Access (OWA) deschis prin browserul Internet Explorer. Pe masur ce se vor instala linii nchiriate n punctele de lucru, utilizatorii de acolo vor putea folosi i ei Outlook 2000. Soluia n ansamblul ei permite ca utilizatorii, indiferent de biroul sau sediul n care se afl, s lucreze n timp real n echipa pe proiecte comune.
Pagina 69 din 80
Implementarea 1) Primul pas (prima investiie) a fost trecerea staiilor pe Windows 2000 Professional i Office 2000 Professional. Tot n aceasta faz s-au fcut testrile cu Windows 2000 Server, Exchange 2000 Server RC1 (nainte de a aprea produsul final) i Internet Security and Acceleration Server 2000 beta3, pentru a analiza posibilitile de dezvoltare a solutiei. 2) S-a eliminat SBS 4.0 i s-a instalat Windows 2000 Server n regim de producie. 3) S-a instalat conexiunea ntre sediul central i Internet, s-a instalat Exchange i Proxy n sediul central i al doilea Windows 2000 Server n sediul din Casa Tineretului. Planuri de viitor 4) Se va instala o linie nchiriat ntre sediile din Timioara. Astfel toi utilizatorii din Timioara vor putea lucra cu Outlook 2000 i vor putea accesa resursele din ntregul Active Directory. 5) Se vor realiza reelele virtuale (VPN) ntre punctele de lucru din ar i sediul central. n aceast faz, fiecare utilizator va putea folosi Outlook 2000, iar pn atunci vor folosi Outlook Web Access prin simpla conectare la adresa http://chfsrvx/exchange cu ajutorul browserului de internet. 6) Se va crea o zona demilitarizat (DeMilitarized Zone - DMZ) cu un firewall suplimentar realizat cu Internet Security and Acceleration Server 2000. n DMZ se va instala un server de aplicaii Internet. O astfel de soluie permite pstrarea integritii reelei interne sau intranet-ului chiar i n cazul "spargerii" firewall-ului din exterior (ctre internet). Chiar dac zona demilitarizat cade n minile hackerilor, acetia vor avea acces cel mult la serverul de web, iar reeaua intern rmne practic n spatele celui de al doilea firewall. Dupa "recucerirea" zonei demilitarizate, sistemul revine din nou n starea initial... cu pierderi minime. 7) Administratorul de reea va participa n centrul de instruire Gramling la cursurile "Supporting Microsoft Windows 2000 Professional and Server", "Implementing a Microsoft Windows 2000 Network Infrastructure", "Implementing and Administering Microsoft Windows 2000 Directory Services" i cele de Exchange 2000. Aceast faz este necesar pentru beneficiar n scopul reducerii TCO (Total Cost of Ownership). Astfel, administratorul va putea lua decizii n ceea ce privete sistemul informatic. 8) Integrarea n soluie a unui motor de baze de date (SQL 2000).
Pagina 70 din 80
Avantaje Implementarea se face prin investiii treptate pentru a uura efortul financiar al beneficiarului. Toate licenele achizitionate sunt n regim "Open Business". Prin Exchange 2000 s-a rezolvat problema mesageriei i s-au pus bazele unui sistem de colaborare eficient ntre utilizatori. Folosirea facilitilor de conexiune la distan (remote access) din Windows 2000 permite implementarea unor solutii ieftine de rutare i comunicaie securizat. Prin utilizarea lui Windows 2000 pentru realizarea infrastructurii i folosirea de servere din familia .NET (Exchange 2000, SQL 2000 i Internet Security and Acceleration Server 2000) se creeaz un sistem informatic pregtit pentru noile tehnologii (XML, XSLT, Visual Studio.NET) i noile servere (Commerce Server, Biztalk Server, Application Center etc.).
CAPITOLUL 4. Proceduri pentru recuperarea datelor.
4.1 Proceduri pentru recuperarea datelor n caz de dezastre (Disaster recovery) Recuperarea datelor n caz de dezastre este funcia de planificare n vederea recuperrii i restaurrii funciei de prelucrare a datelor dintr-o ntreprindere. n general, recuperarea datelor n caz de dezastre este conceput pentru scenariul pierderii totale (worst case scenario). Pentru multe corporaii planificarea recuperrii datelor este o cerin obligatorie. n plus, unele corporaii ncep s solicite partenerilor de afaceri planuri de recuperare a datelor n caz de dezastre, deci nu se mai poate opta pentru nerealizarea acestora. Conform unui studiu realizat de Contingency Planning Research mijloacele investite n recuperarea datelor n caz de dezastru vor ajunge n anul 2002 la peste 1,5 miliarde de dolari la o rat anual de cretere de 15%. Majoritatea ntreprinderilor depind foarte mult de tehnologie i de sistemul informatic iar ntreruperea din funcionare, fie ea i pentru cteva ore, ar putea conduce la pierderi financiare majore sau chiar ar amenina nsi existena ntreprinderii.
Pagina 71 din 80
Continuitatea operaiilor unei ntreprinderi depind de magement care ar trebui s ia n considerare dezastrele poteniale, abilitatea acestuia de a dezvolta ntreruperile din funcionare a unor operaii critice i de capacitatea de a recupera datele i informaiile ntr-un interval scurt de timp i cu ct mai putine pierderi. Planul de recuperare a datelor i informaiilor n cazul unui dezastru este o niruire de aciuni care trebuiesc realizate nainte, n timpul i dup o calamitate. Planul trebuie testat pentru a se stabili n primul rnd fiabilitatea acestuia i pentru a determina gradul de disponibilitate a sistemului informatic, a datelor i informaiilor n cazul producerii unui dezastru. Un plan de recuperare a datelor n eventualitatea producerii unui dezastru este un exerciiu pentru limitarea pierderilor. Un dezastru poate fi definit, n acest context, ca ntreruperea neprogramat a serviciilor informatice care necesit alte msuri dect cele luate n mod curent 10. Orice plan mpotriva dezastrelor trebuie de aceea s ofere : Proceduri stand-by astfel nct unele operaii s poat fi efectuate n timp ce serviciile normale sunt ntrerupte. Proceduri de recuperare de ndata ce cauza ntreruperii a fost descoperit sau corectat Politici de management ale personalului care s asigure c a) i b) sunt corect implementate. Obiectivul principal al unui astfel de plan l constituie protecia organizaiei n cazul n care o parte sau chiar ansamblul elementelor sistemului informatic sunt inutilizabile. Procesul de planificare ar trebui s minimizeze disfuncionalitile poteniale ale operaiilor, s asigure un anumit nivel de stabilitate i o recuperare funcional n cazul producerii unui dezastru. Printre obiectivele planului de recuperare n cazul producerii unui dezastru se numr : Minimizarea riscurilor produse de ntreruperi Garantarea stabilitii sistemelor informatice Furnizarea unui standard pentru testarea unui plan Minimizarea numrului de decizii ce trebuie adoptate n cazul producerii unui dezastru n vederea creterii funcionalitii i a operativitii. Crearea unui climat de securitate.
Pagina 72 din 80
4.2 Coninutul i etapele dezvoltrii unui plan pentru evenimente neprevzute (dezastre) Un plan mpotriva unui eveniment neprevzut va include urmtoarele : Definirea responsabilitilor. Este important desemnarea unei persoane sau a unei echipe care s preia controlul n caz de criza. n cazul realizrii unui eveniment neprevzut, aceast persoan sau echip poate delega sarcini sau responsabiliti altor persoane. Prioriti. Unele sarcini sunt mai importante dect altele. Acestea trebuie stabilite din timp iar programul de recuperare poate indica ce aspecte s fie abordate cu prioritate. Aranjamente de Back-up i Stand-by care pot fi realizate de alte echipamente, de o alt companie care asigur asemenea servicii, sau prin proceduri manuale. Comunicarea cu personalul. Printre cauzele unui dezastru se numr i cele create de slaba comunicare dintre membrii personalului Relaiile cu publicul. Dac dezastrul are un impact public echipa de recuperare poate fi supus presiunii din partea publicului sau a mass-media. Strategiile de publicitate sunt un aspect important n managementul riscului dar faptul c au fost fcute publice pot duce la alte aspecte de aceast natur Evaluarea riscurilor. Dezvoltarea unui plan de recuperare a datelor i informaiilor n cazul dezastrelor este un proces laborios ce se desfoar pe ntinderea a zece etape: Obinerea acceptului management-ului Managementul de vrf trebuie s fie de acord i mai important, s se implice n realizarea unui plan de recuperare a datelor i informaiilor n cazul producerii unor dezastre. Coordonarea realizrii planului de recuperare a datelor precum i responsabilitatea pentru eficiena acestuia ar trebui s fie sarcina managementului. Resurse financiare importante conjugate cu efortul tuturor angajailor trebuie mobilizate pentru realizarea unui plan eficient de recuperare a datelor i informaiilor n cazul producerii unui dezastru. Desemnarea unui comitet de planificare. Un comitet de planificare este absolut necesar pentru dezvoltarea i implementarea unui plan eficient. Acest comitet include reprezentani din toate departamentele funcionale ale ntreprinderii. Membrii cei mai importani sunt directorul executiv i conductorul
Pagina 73 din 80
departamentului IT sau administratorul reelei. Printre atribuiile comitetului de planificare se numr i desemnarea unei arii de cuprindere a planului. Evaluarea riscurilor. Comitetul de planificare trebuie s realizeze analiza riscurilor i a impactului acestora asupra ntreprinderii incluznd i dezastrele posibile: naturale, tehnice sau de factur uman. Fiecare compartiment funcional al ntreprinderii trebuie analizat n vederea evalurii impactului i a consecinelor diferitelor dezastre. Procesul de evaluarea a riscurilor ar trebui s exprime i gradul de siguran al documentelor ce conin informaii confideniale precum i a datelor vitale. Incendiul este cea mai mare ameninare asupra sistemului informatic a unei ntreprinderi. Distrugerea (sabotajul) intenionat este un alt risc ce nu poate fi neglijat. Evaluarea impactului i consecinelor ce rezult din distrugerea sistemului informatic, a datelor i a informaiilor este foarte important. Comitetul de planificare ar trebui s analizeze i costurile ce le implic minimizarea riscurilor poteniale. Stabilirea prioritii proceselor i operaiilor Nevoile critice al fiecrui departament dintr-o ntreprindere ar trebui s fie evaluate n funcie de : Operaiile ce le realizeaz. Personal. Sistemul de procesare. Documentaia. Politicile i procedurile. Procesele i operaiile ar trebui analizate pentru determinarea timpului n care respectivul departament sau chiar ntreprinderea n ansamblu poate funciona fr a dispune de un anumit sistem. Nevoile critice sunt definite ca fiind procedurile i echipamentul necesar pentru continuarea operaiunilor dac un departament, reea de calculatoare, server de sistem sau o combinaie dintre acestea este distrus sau devine nefuncional. O metod de a determina nevoile critice ale unui departament este de a determina toate funciunile executate de acesta; din moment ce a fost identificat funciunea principal, operaiile i procesele sunt clasificate n ordinea prioritii : eseniale, importante i neglijabile. 5 . Determinarea strategiilor de recuperare.
Pagina 74 din 80
Planul pentru recuperarea datelor i informatiilor n cazul unui dezastru trebuie s cerceteze i s evalueze toate alternativele. Este foarte important studierea tuturor aspectelor unei ntreprideri cum ar fi : Resursele hardware i software. Fiierele de date. Sistemul de comunicaii. Relaiile cu clienii. Sistemele pentru utilizatorii finali. Alte operaii de procesare. Acceptri scrise pentru altelnativele destinate recuperrii datelor n caz de dezastru trebuiesc pregtite, incluzand urmtoarele consideraii : Durata contractului Condiii de reziliere Testare Costuri Proceduri speciale de securitate Notificri privind schimbrile n sistemul informatic Echipament tehnic specific pentru procesare Cerine de personal Garantarea compatibilitii i disponibilitii Prioriti Colectarea datelor. Materialele i documentele recomandate pentru colectarea datelor includ : Inventarul documentelor. Inventarul echipamentelor (n special a celor de calcul). Inventarul resurselor hardware i software ale serverelor de reea. Inventarul resurselor hardware i software ale staiilor de lucru. Orarul de back-up a datelor Alte materiale i documente. Utilizarea unor formulare prestabilite poate facilita n mod semnificativ colectarea datelor necesare. Organizarea i documentarea unui plan de recuperare a datelor.
Pagina 75 din 80
Schia coninutului unui astfel de plan poate fi pregatit pentru a ghida crearea i dezvoltarea unor proceduri detaliate. Managementul de vrf ar trebui sa aprobe i/sau sa revizuiasc planul propus. Alte beneficii ale acestei abordri sunt: Ajut la organizarea procedurilor pentru detalii. Identific etapele importante. Identific procedurile redundante i ajut la eliminarea acestora. Ofer o linie directoare n dezvoltarea procedurilor. Redactarea unui format standard este o cerin pentru facilitarea redactrii procedurilor detaliate i a altor informaii ce vor fi trecute n plan. Aceasta va asigura ca planul de recuperare a datelor i informaiilor urmeaz un anumit format i faciliteaz compatibilitatea n redactarea planului dac acesta este ntocmit de mai multe persoane. Planul ar trebui redactat minuios, incluznd toate procedurile detaliate care se vor utiliza nainte, n timpul i dup un anumit dezastru. Procedurile ar trebui s includ metode pentru ntreinerea i revizuirea planului n funcie de modificrile semnificative ale sistemului informatic. Planul de recuperare a datelor i informaiilor trebuie structurat printr-o munc de echip. Responsabiliti specifice trebuie repartizate fiecarei echipe care este insrcinata cu cte un departament al ntreprinderii. Ar trebui s existe echipe responsabile pentru sectorul administrativ, pentru logistic, pentru departamentul IT i pentru alte sectoare importante din cadrul activitii ntreprinderii. Echipa de conducere este cea mai important pentru c ea este cea care coordoneaz ntregul proces de recuperare. Echipa de conducere trebuie s evalueze dezastrul, s activeze planul de recuperare a datelor i s contacteze conductorii celorlalte echipe. Echipa de conducere supravegheaz, documenteaz i monitorizeaz procesul de recuperare. Membrii echipei de conducere sunt cei care iau deciziile n ceea ce privete prioritile, politicile i procedurile. Celelalte echipe au desemnate fiecare responsabilitile ce le sunt repartizate i care trebuie ndeplinite pentru a se asigura transpunerea n realitate cu succes a planului de recuperare a datelor i informaiilor n cazul producerii unui dezastru. Echipelor le sunt desemnai conductori cu rolul de a coordona i instrui echipa. Dezvoltarea criteriilor i procedurilor de testare a planului. Testarea i evaluarea minuioasa n mod regulat a planului de recuperare sunt cerine obligatorii n vederea asigurrii eficienei acestuia. Procedurile utilizate pentru testarea planului trebuiesc documentate. Testele vor asigura ntrepriderea c toate etapele necesare sunt incluse n plan. Alte motive pentru testarea planului includ :
Pagina 76 din 80
Determinarea fezabilitii i compatibilitii procedurilor i mijloacelor de back-up. Identificarea punctelor din plan ce trebuiesc modificate. Demonstrarea abilitii ntreprinderii de a-i reveni n urma unui dezastru. Furnizarea unei motivaii pentru ntreinerea i revizuirea unui plan de recuperare a datelor i informaiilor n cazul unui dezastru. Memorarea procedurilor i tehnicilor utilizate n cadrul planului de ctre echipe i conductorii acestora. Testarea planului. Dupa ce testarea procedurilor a fost realizat, urmeaz testarea atent a planului. Acest test va furniza informaii suplimentare cu privire la etapele suplimentare ce trebuiesc incluse, schimbri n procedurile ce nu sunt eficiente sau alte ajustri pertinente. Planul trebuie s fie modificat n vederea corectrii problemelor identificate n timpul testului. Iniial, testarea planului se va face pe seciuni i dup orele normale de lucru pentru a minimiza impactul negativ al testului asupra activitii ntrepriderii. Printre tipurile de test se includ: Teste de simulare. Teste paralele. Teste ce simuleaz ntreruperea complet. Aprobarea planului. Dupa ce planul de recuperare a datelor i informaiilor n cazul unui dezastru a fost testat, pentru a putea fi operaional, planul trebuie aprobat de managerul general. Responsabilitatea pentru planul de recuperare a datelor i informaiilor n cazul unui dezastru revine n ultim instan managerului general. Conducerea ntreprinderii este responsabil pentru : Stabilirea politicilor, procedurilor i responsabilitilor pentru planificarea recuperrii datelor i informaiilor n eventualitatea unui dezastru. Revizuirea i aprobarea anual a planului, motivarea acestor modificri n scris. Realizarea unui plan de recuperare a datelor i informaiilor n cazul producerii unui dezastru implic mult mai multe dect stocarea pe alt suport sau utilizarea procedurilor de back-up. ntreprinderile ar trebui s dezvolte planuri de recuperare a datelor i informaiilor scrise, clare i precise care s se adreseze tuturor operaiilor i funciunilor unei ntreprinderi.
Pagina 77 din 80
Planul ar trebui s includ proceduri documentate i testate, care, dac sunt aplicate asigur continuitatea operaiilor desfaurate de ntreprindere i disponibilitatea resurselor importante. Probabilitatea apariiei unui dezastru n cadrul unei ntreprinderi este foarte mic. Un plan de recuperare a datelor i informaiilor n cazul realizarii unui dezastru este similar cu asigurarea de daune : furnizeaz un anumit nivel de siguran avnd n vedere c n cazul realizrii unui dezastru, acesta nu va fi urmat de unul financiar. Alte motive pentru dezvoltarea unui plan de recuperare a datelor i informaiilor n cazul realizrii unui dezastru sunt : Minimizarea riscului economic potenial. Minimizarea expunerilor poteniale. Reducerea disfuncionalitilor n activitatea ntreprinderii. Asigurarea stabilitaii ntreprinderii. Furnizarea unei posibiliti eficiente i sigure de recuperare a datelor i informaiilor. Protejarea patrimoniului ntreprinderii. Asigurarea securitii personalului i a clienilor. Minimizarea procesului de luare a deciziilor n cazul unui dezastru.
4.3 Model de plan pentru evenimente neprevzute (dezastre) Guvernul Canadei prin intermediul Ministerului Finanelor a propus pentru evitarea dezastrelor poteniale care pot avea ca declanatori problema Y2K (incapacitatea calculatoarelor de a diferenia anul 1900 de anul 2000 pe fondul unor probleme de concepie a metodelor de a stoca data n memoria calculatorului eliminat n totalitate la sfaritul anului 1999) urmatoarele modele pentru emiterea i testarea unor scenarii i pentru colectarea datelor necesare ntocmirii unui plan de aciune pentru recuperarea datelor i informaiilor ca urmare a efectelor negative ale Y2K. Tabel nr. 4.1 Fi de lucru n realizarea unui plan pentru evenimente neprevzute Nr Etapa 1 Descriere Identificarea vulnerabilitilor analiza riscurilor Componente
Pagina 78 din 80
Determinarea listei riscurilor (bazat pe prioriti i pe evenimente cu consecine grave) Evaluarea capacitilor de a face fa riscurilor Identificarea obiectivelor planului de recuperarea a datelor i informaiilor n cazul producerii unui dezastru Conceperea planului Stabilirea situaiilor din scenariu sau a exerciiilor de realizat pentru scenariu pe baza listei riscurilor. Stabilirea obiectivelor primare ale scenariului Crearea scenariilor Stabilirea obiectivelor secundare ale scenariului Stabilirea unei foi de observaie a unui eveniment neprevzut Pregtirea foilor de observaie Selectarea unui coordonator. Determinarea obiectivelor i a problemelor Determinarea scopului i a ariei de acoperire a planului Determinarea mijloacelor de evaluare Stabilirea orarului i a resurselor necesare Tabel 4.2 Model de plan de recuperare a datelor i informaiilor.
3 4
5 6
Schi a planului de recuperare a datelor i informaiilor Departament/ntreprindere Identificarea planului de recuperare a datelor i informaiilor Numele procedurii: Codul procedurii: Descrierea/evaluarea defeciunilor: Funciune afectat: Codul funciunii afectate: Declanator 1:
Pagina 79 din 80
Declanator 2: Nivelul maxim acceptat de degradare: Timpul maxim de ateptare pna la reluarea activitii (ore): Nivelul de gravitate: Revizuiri: Resposabil executiv (nume): Responsabil de elementul patrimonial (nume): Numr de telefon: Numr de telefon: 2. Planuri de recuperare a datelor i informaiilor Proceduri: (se pot ataa aici i descrierile detaliate ale procedurilor)
Problemele de factur logistic: (Locaia instrumentelor, resurselor i documentaiilor importante)
Proceduri de aciune n cazul dezastrelor: (Msuri excepionale luate n cazul unui dezastru)
Proceduri pentru reluarea activitii economice a ntreprinderii: (aciunile necesare pentru reluarea operaiunilor)
3. Durata de via Frecvena de antrenare a personalului: Data ultimului antrenament:
Frecvena testrilor: Data ultimei testri:
Frecvena revizuirii: Data ultimei revizuiri:
Semntura: Semntura: Semntura: Starea (schia sau varianta final) i numrul versiunii: Aprobat de : Data : Locaia fiierelor:
Pagina 80 din 80
Concluzii
Sfritul de secol este dominat de revoluia informatic desfurat n Internet considerat ca reprezentnd cea de-a treia revoluie industrial. Orientarea a tot mai multe activiti umane ctre utilizarea tehnologiilor informatice face ca n Internet omenirea s se regseasc cu trsturile ei definitorii, att dintre cele pozitive ct i negative. Ca urmare, oamenii sunt preocupai nu numai de folosirea eficient i dezvoltarea continu a domeniului tehnologiei informaiei i a Internet-ului, ci i de stabilirea cadrului legal n care s se desfoare interaciunile n acest domeniu, numit i Cyberspace sau Global Village. Noile servicii Internet - i n special comerul electronic - au creat necesitatea unui serviciu permanent de semntur digital. Semntura digital ofer posibilitatea s permit identificarea unei persoane i creez o prob, irefutabil n faa unei autoriti, a tranzaciei ncheiate i executate. Importana semnturii digitale a fost sesizat i n Romnia; prin legea nr. 455 din data de 18.07.2001 privind semntura electronic i prin hotrrea nr. 1259 din 13.12.2001 privind aprobarea normelor tehnice i metodologice pentru aplicarea Legii nr.455/2001 se stabilete cadrul legal al semnturii electronice. ntrebuinarea eficient a semnturii digitale poate fi realizat doar n contextul unor politici ferme si eficace de securitate a datelor i informatiilor. Politicile de securitate prezint avantajul de a imprima utilizatorilor un comportament adecvat si pertinent n vederea atigerii obiectivelor economice ale ntreprinderii. n plus, politicile de securitate ale sistemelor informatice economice organizez, protejeaz i aloc resursele informaionale. Pe de alt parte, dezavantajele politicilor de securitate rezid n bariera mpotriva progresului pe care o creeaz prin inflexibilitatea lor iar, uneori, pot fi folosite mpotriva ntreprinderii mai ales n cazurile n care nclcarea lor se face cu scopul ndeplinirii unor obiective de afaceri pe termen scurt. Politicile de securitate trebuiesc completate cu planuri de recuperare a datelor i informaiilor n caz de dezastre (calamitati) pentru a realiza o protecie total a ntreprinderii. Atacul terorist din 11.07.2001 asupra World Trade Center din New York a pus ntr-o lumin nou necesitatea implementrii planurilor de recuperare a datelor i informaiilor n caz de dezastre. Considerate iniial risipe de resurse financiare si umane, acum sunt privite cu interes. Aceste planuri asigur continuitatea activitii economice a unei ntreprinderi chiar n
Pagina 81 din 80
cazul realizrii unor calamiti. Evaluarea scutului de protecie a ntreprinderii constituit din politicile de securitate, planurile de recuperare a datelor i informaiilor este realizat de profesioniti cu o nalt calificare i pregtire profesionale prin audit. Auditarea sistemului informatic este o msura eficient mpotriva pericolelor care vizeaz sistemul, n special mpotriva fraudelor. Auditul informatic este procesul prin care persoane competente colecteaz i evalueaz probe pentru a-i forma o opinie asupra concordantei ntre cele observate i anumite criterii sau standarde prestabilite. Auditorii evideniaz contradiciile dintre politicile interne i cele de securitate, breele de securitate, ameninrile, vulnerabilitile sau lipsurile organizaionale. Semntura digital, politicile de securitate a datelor i informaiilor, planurile de recuperare a datelor i informaiilor in eventualitatea producerii unui dezastru i auditul securitii sistemelor informatice realizat n mod continuu i nentrerupt contribuie la realizarea unui mediu de afaceri bazat pe ncredere.
Pagina 82 din 80

Aspecte Ale Securitatii Informatice

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Aspecte Ale Securitatii Informatice

Uploaded by

Copyright:

Available Formats

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Aspecte ale securitatii sistemelor informatice economice

Capitolul 1. Introducere n securitatea sistemelor informatice.

Ion Boldea, Proiectare a sistemelor informaionale Note de curs

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

rezolvarea calculelor tehnico-

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Informaii privilegiate 21%

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

PC Magazin nr. 5/2001 Riscuri de securitate i soluii, p. 23.

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

CAPitolul 2. Organizarea securitii sistemelor informatice

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Autorizat de : Data revizuirii : Data autorizrii : Data original a emisiunii :

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Autorizat de : Data revizuirii : Data autorizrii : Data original a emisiunii :

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Autorizat de : Data revizuirii : Data autorizrii : Data original a emisiunii :

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Autorizat de : Data revizuirii : Data autorizrii : Data original a emisiunii :

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Autorizat de : Data revizuirii : Data autorizrii : Data original a emisiunii :

CAPITOLUL 3. Securitatea tranzaciilor economice n cadrul sistemelor e-business

3.1 Internet-ul. Scurt prezentare

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

de Web) la care primul calculator s-a conectat prin Internet.

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Atacuri asupra serverelor de web sau a reelelor mari

Crackeri din Internet

Toate serverele Mare

Pierderea datelor, ntreruperi n funcionare i furturi

controlul parolelor, revederea codului pe server, monitorizarea ameninrilor i repararea defectelor

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.