PROTECTIA SI SECURITATEA SISTEMELOR INFORMATIONALE -20091. Prezentarea organizaţiei 1.1. Scurta prezentare a firmei 1.2. Prezentarea sistemului informatic 2.

Clasificarea informatiilor la nivelul intreprinderii 2.1. Informatii publice 2.2. Informatii interne 2.3. Informatii confidentiale 2.4. Informatii cu acces limitat 3. potenţiale pericole care vizeaza averile informaţionale ale organizaţiei 3.1. Vulnerabilităţi la nivelul securităţii firmei 3.1.1. Vulnerabilitati la nivelul securitatii fizice 3.1.2. Vulnerabilitati la nivelul securitatii personalului 3.1.3. Vulnerabilitati la nivelul securitatii software-ului 3.1.4. Vulnerabilitati la nivelul securitatii retelei de calculatoare 3.1.5. Vulnerabilitati la nivelul securitatii echipamentelor 3.2. Pericole care au afectat securitatea informatiilor din firma 4. Politica de securitate privind realizarea copiilor de siguranta (backup) 4.1. descriere generala 4.2. scop 4.3. domeniu de aplicare 4.4. definitii 4.5. planificare 4.6. arhivare 4.7. responsabili 4.8. recomandari 5. Politica de securitate privind utilizarea sistemelor software ale firmei 5.1. descriere generala 5.2. scop 5.3. definirea politicii de securitate 5.4. consecintele incalcarii politicii de securitate 5.5. responsabili 5.6. recomandari 1. PREZENTAREA ORGANIZAŢIEI 1.1. SCURTA PREZENTARE A FIRMEI Firma X a fost înfiinţată în 2004 şi are sediul în etaje ale unei clădiri de birouri cu 8 etaje. Capitalul social este integral privat. Principalul domeniu de activitate este dezvoltarea Din punct de vedere organizatoric în cadrul firmei departamente: financiar-contabil; dezvoltare programe .NET & Php; dezvoltare programe Java; Quality Assurance; marketing; Toate departamentele sunt subordonate directorului Personalul este de aproximativ 70 de angajati, din

Iaşi, ocupând ultimele două de aplicaţii software. regăsim următoarele

general al firmei . care 10 personal administrativ.

1.2. PREZENTAREA SISTEMULUI INFORMATIC Sistemul informational al firmei este puternic informatizat la nivelul tuturor

departamentelor, sistemul manual de prelucrare a datelor ocupand o pondere redusa. Astfel, sistemul informatic aproape ca se suprapune sistemului informational. Acest lucru permite reducerea timpilor de lucru, eliminarea erorilor, prelucrarea unui volum mare de date si distribuirea eficienta a informatiilor. Principalele mijloace tehnice utilizate in culegerea, stocarea, prelucrarea, analiza si transmisia datelor sunt calculatoarele electronice. Firma dispune de 80 de calculatoare, conectate in retea, intreaga activitate a utilizatorilor fiind monitorizata si controlata de catre server. Reteaua are o infrastructura modulara si tipologie ierarhica stea. Exista 7 switch-uri si un sistem Linux configurat ca router. Există de asemenea şi o reţea wireless securizată pusă la dispoziţia angajaţilor. Intreaga retea de calculatoare este conectata la Internet prin conexiune directa, prin fibra optica. Toate statiile de lucru sunt protejate cu Microsoft ForeFront Security. Sistemele de operare folosite sunt Windows 2003 Server pentru servere, Linux, Windows XP Proffesional şi Windows Vista Bussiness pentru utilizatori. Programele folosite pentru dezvoltarea aplicatiilor sunt Microsoft Visual Studio .NET, Eclipse, Microsoft SQL Server, Oracle. Clientul de mail recomandat de firma este IBM Lotus Notes, dar este permisa si folosirea altor clienti de email (Microsoft Outlook sau Thunderbird). Resursele informationale ale firmei: suportii informatiei: cd-urile, dvd-urile, hartia de imprimanta, registrele si documentele contabile; procesatori: angajatii firmei, echipamentele software si hardware ale sistemelor informatice; transportatori: caile de telecomunicatii, de telefonie, retelele de calculatoare si Internetul, liniile de energie electrica; senzori: camere de luat vederi, senzori umani, scannere; 2. CLASIFICAREA INFORMATIILOR LA NIVELUL INTREPRINDERII 2.1. INFORMATII PUBLICE informatiile de pe pagina web; informatiile din presa referitoare la firma; raporturi contabile anuale si semestriale; programul de lucru; adresa, numarul de telefon/fax, adresa de e-mail, persoana de contact; obiectul principal de activitate; numarul de angajati; cifra de afaceri; profitul brut; 2.2. INFORMATII INTERNE atributiile fiecarui angajat, consemnate in fisa de post; informatii privind datele personale ale angajatilor; regulamentul de ordine interioara; planul de evacuare in caz de incendiu; regulamente privind politica de securitate a firmei; licentele; 2.3. INFORMATII CONFIDENTIALE salariile angajatilor; codurile sursa ale aplicatiilor; lista clientilor firmei; informatiile referitoare la furnizori; date comerciale sau financiare; preţul aplicat clienţilor; proiecte in curs de implementare; produsele firmei; tehnologiile folosite; rapoartele fiecarui angajat privind activitatea proprie; datele legate de costuri;

2.4.

INFORMATII CU ACCES LIMITAT previziunile de afaceri, obiectivele firmei; planurile şi strategiile pentru perioada imediat urmatoare; clauzele contractuale; codurile si parolele de acces ale serverului si ale fiecarei statii de lucru; programele care ruleaza pe server; mijloacele prin care sunt supravegheati utilizatorii sistemului; 3. POTENŢIALE PERICOLE CARE VIZEAZA AVERILE INFORMAŢIONALE ALE ORGANIZAŢIEI 3.1. VULNERABILITĂŢI LA NIVELUL SECURITĂŢII FIRMEI 3.1.1. VULNERABILITATI LA NIVELUL SECURITATII FIZICE Sediul firmei este a[mplasat inr-o zona comerciala centrala a orasului Iasi. Spatiul in care aceasta isi desfasoara activitatea se afla in proprietatea firmei, este dispus pe două nivele. Fig. 1. Birouri Etajul 7A Fig. 2. Birouri Etajul 7 B Fig. 3. Birouri Etaj 8 Cladirea este consolidata pentru a preveni efectele negative in caz de cutremure. In incinta firmei exista sisteme de alarma in caz de incendii, iar hidrantii sunt amplasati in imediata vecinatate a cladirii. Pana in prezent nu au fost consemnate cazuri de inundatii sau incendii. Firma nu dispune de generatoare suplimentare de energie (UPS) şi sistemul informatic nu este protejat de variatiile de tensiune sau de eventualele caderi ale curentului electric. Singura cale de acces in cladirea firmei este supravegheata de un agent de paza. Căile de acces in sediul firmei sunt supravegheate video şi se fac pe baza de cartela magnetică sau prin deschiderea uşilor din interior. Accesul angajatilor in firma se face doar pe baza cartelelor magnetice, care insa pot fi usor substituibile, putand fi folosite si de persoane neautorizate sa intre in firma, cu posibile intentii rau-voitoare. De aceea, accesul in unitate ar trebui sa fie suplimentat si de alte masuri privind controlul accesului, cum ar fi purtarea in permanenta a ecusoanelelor sau a unor masuri avansate de securitate: verificarea amprentei digitale, parole, recunoasterea vocii etc. La intrările in sediul firmei este amplasat sistemul de alarma in caz de intrare neautorizata. Fiecare angajat are un cod de acces care poate fi folosit pentru armarea si dezarmarea sistemului de alarma pentru zona de birouri in care lucreaza. De asemenea, in firma sunt amplasati si senzori de miscare. Acestia si sistemul de alarma functioneaza doar in timpul noptii. Serverele sunt plasate intr-o incapere cu incuietori clasice, la care are acces doar administratorul de sistem. Regulamentul intern al firmei are in vedere interzicerea fumatului, dar nu şi a consumului de lichide si mancare in preajma calculatoarelor. 3.1.2. VULNERABILITATI LA NIVELUL SECURITATII PERSONALULUI In timpul procesului de recrutare a personalului nou, se realizeaza identificarea locurilor de munca cu regim special si a calitatilor persoanelor indreptatite a le ocupa, dar si selectia personalului prin studierea atenta a cv-urile candidatilor si prin intervievarea lor. In functie de rezultatele acestor evaluari se face atribuirea responsabilitatilor in cadrul postului pe care il va ocupa proaspatul angajat. 3.1.3. VULNERABILITATI LA NIVELUL SECURITATII SOFTWARE-ULUI In firma, accesul in sistem se face sub stricta supraveghere a administratorului de sistem, care stabileste, intretine si protejeaza informatiile de identificare a utilizatorilor si a conditiilor in care ei pot accesa sistemul, astfel incat accesul neautorizat sa fie imposibil. Sistemul de autentificare folosit este Active Directory de la Microsoft, prin care

este permis accesul in reţeaua de calculatoare a firmei si pe fiecare sistem in parte doar a utilizatorilor autorizati, parte a domeniului de calculatoare a firmei. Parolele nu trebuiesc schimbate dupa un anumit interval, dar nu pot fi modificate de utilizator, ci doar de administratorul de reţea. O vulnerabilitate a sistemului este faptul ca nu ar trebui sa permita accesul decat intr-un interval de timp predeterminat (sa fie interzisa accesarea sistemului intre orele 18:00 si 8:00 si in week-end). De asemenea, dupa obtinerea accesului autorizat in sistem, ar fi indicat ca acesta sa afiseza utilizatorului data, timpul si mijloacele de acces sau portul de intrare al ultimului acces incununat cu succes, dar si numarul tentativelor esuate de accesare a sistemului de la acest moment. Accesul la resursele sistemului este controlat pe baza identificatorilor utilizatorilor autentificati prin intermediul unei liste a identificatorilor cu drepturile de acces la acele resurse. Drepturile utilizatorilor se stabilesc in functie de sarcinile pe care acestia le au de efectuat. Un administrator de sistem va avea toate drepturile. Astfel, sunt identificate toate resursele aflate in proprietatea unui identificator de utilizator specificat, precum si drepturile de acces ale acestuia la fiecare resursa. Toate informatiile necesare deciziilor referitoare la controlul accesului resurselor sunt protejate. Statiile de lucru nu sunt protejate impotriva accesulul neautorizat al altor angajati sau persoane straine aflate in firma care pot accesa informatii atunci cand statia de lucru este neutilizata pentru cateva minute. Pentru evitarea unor astfel de situatii compromitatoare atat pentru firma cat si pentru partenerii de afaceri trebuie folosit un sistem de blocare a calculatorului, deblocarea fiind posibila prin introducerea parolei utilizatorului. Pe langa aceste masuri firma ar trebui sa acorde o atentie deosebita si operatiunilor de auditare, de inregistrare intr-un jurnal de securitate a serverului a anumitor evenimente, precum: incercari de deschidere si inchidere a unei sesiuni de lucru; conectarea la/de la resurse specificate; terminarea conectarii; dezactivarea conturilor; modificarea parolelor; Aceste inregistrari indica utilizatorii care au incercat si eventual, au reusit sa obtina accesul la anumite resurse, putandu-se astfel identifica persoanele si activitatile neautorizate. Pentru bunul mers al lucrului in firma, programele de tip file sharing, de tip Dc++ sau Torrent, sunt interzise. De asemenea sunt inchise si porturile de streaming video, iar limita fiecarui utilizator la Internet este de 1 Gb download zilnic, cu exceptia cazurilor singulare, care pot fi justificate pentru activitatea firmei. Firma nu interzice expres personalului instalarea aplicatiilor, folosirea cdurilor si dischetelor, acestea putand fi virusate. Instalarea aplicatiilor software ar trebui realizata numai de persoane autorizate sau de firme specializate. 3.1.4. VULNERABILITATI LA NIVELUL SECURITATII RETELEI DE CALCULATOARE Traficul dintre reteaua interna a firmei si cea externa este controlat de un dynamic packet inspection firewall. Acesta are rolul de a proteja sistemul de atacurile din exterior si de a permite transmiterea in afara retelei doar a comunicatiilor autorizate. Comunicarea firmei cu partenerii, clientii, furnizorii se realizeaza prin VPN care asigura ca datele secrete sa ajunga intacte si exact cui ii sunt adresate fara a exista riscul de a expune resursele protejate unor eventuale amenintari.Toate aceste date sunt criptate pe 128 de biti, integritatea datelor fiind asigurata de semnatura digitala. Ar fi preferabil sa se foloseasca conexiuni criptate si pentru accesul la baza de date pentru a impiedica interceptarea datelor prin retea.

De asemenea, reteaua de calculatoare a firmei este protejata de atacurile externe prin intermediul programelor antivirus si antispyware. Pentru a monitoriza si a inregistra informatii despre eventualele tentative de atac, precum adresa Ip si numarul portului, firma ar trebui sa foloseasca o aplicatie IDS. 3.1.5. VULNERABILITATI LA NIVELUL SECURITATII ECHIPAMENTELOR In ceea ce priveste securitatea echipamentelor periferice, acestea nu au un numar unic de identificare,care sa fie interpretat de fiecare calculator la deschiderea sesiunii de lucru si atunci cand se solicita efectuarea unei operatiuni de la echipamentul respectiv. Echipamentele periferice ar trebui sa aiba definite categoriile de informatii cu care pot lucra sau functiile din sistem care se pot realiza cu ajutorul lor. In momentul in care o unitate centrala de prelucrare cedeaza, functiile acesteia nu pot fi imediat substituite de o alta, ceea ce poate duce la nerespectarea termenelor de incheiere o proiectelor de lucru ale unui angajat sau si mai grav, la imposibilitatea onararii comenzilor fata de clienti. Firma nu are un plan al activitatilor de intretinere a sistemului, in care sa fie specificate termenele la care sa se realizeze intretinerea fiecarei componente. Se apeleaza la service-urile doar daca apar probleme la componentele sistemelor sau a perifericelor pe care administratorul de sistem nu le poate rezolva sau in cazurile in care trebuie respectati termenii certificatelor de garantie. In cazurile in care se ajunge ca un sistem sa fie trimis in service pentru reparatii, administratorul se asigura ca datele confidentiale (baze de date, sursele programelor, etc.) sunt sterse de pe sistemul in cauza, pentru ca angajatii firmelor de service sa nu aiba acces la ele. Firma nu are un plan clar de securitate pentru echipamentele mobile, de tip laptop. Astfel, angajatilor care folosesc laptop nu li s-a interzis scoaterea echipamentelor din sediul firmei, sau, cel puţin, scoaterea justificata a acestora, pentru cursuri, delegaţii, etc. Astfel calculatoarele mobile pot fi folosite pentru uz personal in afara orelor de program si in afara sediului firmei. Singura măsură luată este responzabilizarea angajaţilor prin preluarea echipamentelor pe inventar. 3.2. PERICOLE CARE AU AFECTAT SECURITATEA INFORMATIILOR DIN FIRMA Afectarea retelei de calculatoare de virusi, cai troieni, viermi, care se transmit ca fisiere atasate prin e-mail sau prin paginile web sau sunt downloadati din retelele VPN realizate cu clientii, lucru datorat neactualizarii periodice a antivirusului si neexistentei unei politici asidue de securitate la nivelul personalului. In urma acestor atacuri s-a instalat pe toate statiile de lucru antivirusul Microsoft ForeFront, configurandu-se updatarea zilnica automata a acestuia, precum si scanarea automata a tuturor statiilor de lucru. In ciuda instalarii si updatarii zilnice a antivirusului, prin deschiderea unui mail personal, unul din angajati a downloadat un virus care, prin trimiterea automata de mailuri, a blocat serverul de mail a firmei. Masurile luate au fost scoaterea imediata a statiei de lucru infectate din reţea si dezinfectarea acesteia, updatarea definiţiilor de virusi a tuturor calculatoaroealor şi scanarea tuturor staţiilor de lucru din firmă. Deoarece camera serverelor nu era incuiata, unii angajati o foloseau pe post de “cabina telefonica”, pentru discutii telefonice personale. In cazul unor discutii telefonice mai indelungate, aerul conditionat a fost inchis, si din cauza temperaturilor ridicate de afara (30-35°), serverele s-au supraincalzit, unele ajungand la temperature foarte mari, la care s-au inchis. In urma acestor incidente, sala serverelor a fost incuiata, fiind permis doar accesul personalului autorizat. 4. POLITICA DE SECURITATE PRIVIND REALIZAREA COPIILOR DE SIGURANTA (BACKUP) 4.1. DESCRIERE GENERALA Aceasta politica defineste politica de realizare a copiilor de siguranta pentru calculatoarele din cadrul firmei, pentru care este necesar backup-ul datelor. Se refera in mod deosebit la servere, dar nu numai.

4.2. SCOP Aceasta politica de securitate este proiectata pentru protectia datelor firmei pentru a preveni pierderile de date si pentru a permite recuperarea acestora in caz de defectare a echipamentelor, distrugere intentionata sau dezastre. 4.3. DOMENIU DE APLICARE Datele care vor fi salvate includ fisiere de pe hard-disk, informatii despre starea sistemului, registrii. Sistemele vizate pentru realizarea copiilor de sguranta sunt serverul de mail, serverul de fisiere, serverul de baze de date, serverul pe care se gasesc sursele si istoricul aplicatiilor dezvoltate in firma, serverul folosit pentru Active Directory (Domain Controller). Backup-uri regulate sunt efectuate si sistemului folosit pentru contabilitatea firmei. 4.4. DEFINITII Backup – salvarea fisierelor pe suport magnetic sau alt tip de dispozitiv de stocare media offline, cu scopul de a preveni pierderea datelor in caz de cadere a echipamentelor sau distrugere. Arhiva – salvarea fisierelor vechi sau nefolosite pe suport magnetic sau alt tip de dispozitiv de stocare media offline, pentru a economisi spatiul de stocare online. Restore – procesul de recuperare offline a datelor salvate de pe suporturile media offline si copierea acestora pe un sistem de stocare on-line de tip server. 4.5. PLANIFICARE Backup-uri complete sunt realizate in fiecare noapte a saptamanii, de luni pana vineri, si, in cazurile in care nu se pot efectua backup-uri vinerea, acestea sunt planificate pentru sambata sau duminica. 4.6. ARHIVARE Arhivele se realizeaza la sfarsitul fiecarui an, in decembrie. Conturile si email-urile fostilor angajati sunt arhivate si pastrate jumatate de an dupa plecarea acestora din firma. 4.7. RESPONSABILI Administratia delega un angajat (de obicei unul din administratorii de sistem) pentru a realiza backup-urile. Una din atributiile suplimentare este dezvoltarea unei proceduri de testare a copiilor si a posibilitatii de restore a datelor si executarea acestei proceduri la perioade regulate de timp. Restaurarea datelor se face in caz de dezastre sau la cererea expresa a angajatilor, cerere motivata si insotita de datele de identificare a fisierelor care trebuie restaurate (nume, data backup, motive restaurare). 4.8. RECOMANDARI Se recomanda pregatirea pentru situatii de backup/restore a cel putin doi angajati, pentru situatiile in care unul dintre ei nu este disponibil. Pentru o mai buna siguranta a integritatii datelor, copiile ar trebui criptate si parolate. De asemenea, se recomanda pastrarea copiilor de siguranta in locatii securizate,in afara sediului firmei. 5. POLITICA DE SECURITATE PRIVIND UTILIZAREA SISTEMELOR SOFTWARE ALE FIRMEI 5.1. DESCRIERE GENERALA Prin aceasta politica de securitate se doreste protejarea angajatilor, partenerilor si a companiei de actiunile daunatoare sau ilegale, voluntare sau nu, ale persoanelor implicate. Calculatoarele, echipamentele, sistemele de operare, aplicatiile software, mediile de stocare sunt proprietatatea firmei, si este permisa folosirea lor in scopuri strict profesionale, pentru a servi interesele companiei. 5.2. SCOP Scopul acestei politici este definirea folosirii acceptabile a calculatoarelor firmei. Folosirea acestora in moduri ce contravin acestei politici cresc riscurile infectarii cu virusi, compromit reteaua de calculatoare si a serviciilor, putandu-se ajunge chiar la probleme legale. 5.3. DEFINIREA POLITICII DE SECURITATE Codul sursa si datele create de angajati folosind sistemele firmei sunt proprietatea firmei. Acesta nu garanteaza confidentialitatea oricaror informatii

pastrate pe sistemele din reteaua firmei. Ce inseamn utilizarea calculatoarele in scopuri personale este lasat la latitudinea angajatilor, in caz de dubii sau nelamuriri, acestia putand apela la sefii departamentelor. Se recomanda angajatilor c datele confidentiale sa fie criptate. Personalul autorizat monitorizeaza echipamentele, sistemele si traficul pe retea permanent, pentru securitatea si intretinerea retelei. Firma isi rezerva dreptul de a controla si audita periodic activitatea angajatilor pentru a verifica respectarea acestei politici. Angajatii trebuie sa ia masurile necesare pentru a preveni accesul neautorizat la informatiile confidentiale ale firmei. Angajatii autorizati sunt responsabili de securizarea propriilor parole si conturi. Este obligatorie blocarea calculatorului in cazul lasarii acestuia nesupravegheat. Orice email trimis de pe adresa de email de servici trebuie sa contina un disclaimer, prin care subliniaza ca parerile exprimate sunt personale si nu reflecta neaparat politica firmei, cu exceptia emailurilor in interes de servici. Pe toate statiile de lucru, personale sau ale firmei, care sunt conectate la reteaua firmei trebuie sa ruleze o aplicatie de tip antivirus, updata la zi. Se recomanda atentie deosebita la deschiderea emailurilor si atasamentelor la acestea primite de la adrese necunoscute. Urmatoarele actiuni sunt in general interzise, cu exceptia cazurilor in care responsabilitatile postului le permit ( de exemplu un administrator de sistem poate opri accesul la retea al unui calculator a carui activitate afecteaza in mod negativ serviciile firmei). Angajatilor nu le este permis, in nici o situatie, sa se implice in activitati aflate sub incidenta legilor Romaniei sau a altui stat pe teritoriul caruia anagajatul isi desfasoara activitatea in eventualele delegatii, folosind echipamentele oferite de firma. Este interzisa incalcarea drepturilor oricarei persoane sau organizatii protejate de copyright, patent, proprietate intelectuala sau legi similare, inclusiv, dar nu doar, instalarea sau distribuirea de produse software piratate sau pentru care firma nu are licente achizitionate. Copierea pe calculatoarele firmei de materiale aflate sub incidenta drepturilor de autor (fotografii, carti, muzica, filme) in format digital sau nu, pentru care firma nu are drept de utilizare, este interzisa. Introducerea de programe periculoase (virusi, viermi, troieni, etc.) in reteaua companiei este interzisa. Dezvaluirea parolei sau folosirea in comun a contului este interzisa. Ofertele frauduloase de produse sau servicii folosind emailul sau semnatura firmei sunt interzise. Accesul neautorizat la servere, emailuri, conturi este interzis. Monitorizarea retelei, cu exceptia cazurilor in care postul o cere, este interzisa. Este interzisa interferenta sau interzicerea unor servicii altor utilizatori, cu exceptia situatiilor cerute de post (de ex. Administratorul de retea poate interzice accesul la internet diversilor utilizatori). Orice forma de “spam” este interzisa (trimiterea de mailuri nesolicitate, reclame, “junk mail”, mailuri “in lant” sau piramidale). In cazul postarii de mesaje pe internet (forumuri, bloguri, etc.), este valabila confidentialitatea informatiilor despre firma. 5.4. CONSECINTELE INCALCARII POLITICII DE SECURITATE Orice angajat care incalca aceasta politica de securitate poate fi subiectul unor masuri disciplinare, putandu-se ajunge pana la desfacerea contractului de munca. 5.5. RESPONSABILI Responsabili de respectarea acestei politici de securitate sunt administratorii de sistem si de retea. Respectarea regulilor este verificata prin monitorizare continua cu ajutorul unor programe speciale de monitorizare a retelei, impunerea regulilor fiind facuta la nivel de domeniu, folosindu-se Active Directory. Activitatea utilizatorilor este de asemenea monitorizata, periodic, de sefii directi sau de sefii de departament. 5.6. RECOMANDARI Se recomanda instalarea automata pe toate sistemele a unor programe de tip antivirus si stabilirea de pe server executia acestor programe zilnic. De asemenea, se recomanda impunerea schimbarii parolelor la perioade regulate de timp

(de ex. 60 de zile). Pentru evitarea emailurilor de tip “spam”, serverul de mail ar trebui protejat de un program de filtrare a acestora, atat pentru mailurile sosite in si din afara firmei, cat si pentru cele in cadrul firmei. Auditarea periodica a respectarii acestei politici de securitate poate ajuta la intelegerea si prevenirea eventualelor riscuri ce pot aparea prin nerespectarea acesteia.