You are on page 1of 37

ACADEMIA DE ADMINISTRARE PUBLIC

Catedra Tehnologii Informaionale Apliate


TE!A DE AN"
#UTILI!AREA INSTRUMENTEL$R
DE SECURI!ARE A
IN%$RMA&IEI'
Ma(terand)l gr* ++, MP-
Nade.da SCRIPNIC
Coordonator /tiinifi"
Letor ()perior )ni0er(itar
$lga CERBU
Chi/in1)- +234
CUPRINSUL
Coordonator tiinific:.................................................................................................... 1
1
Lector superior universitar................................................................................................. 1
Olga CERBU.................................................................................................................... 1
INTR$DUCERE***************************************************************************************************************************4
3*Se)ritatea reelelor*******************************************************************************************************************5
Atacuri interne.......................................................................................................................... 9
uncte de acces nesecuri!ate.................................................................................................. 9
Bac" #oors............................................................................................................................... 9
#enial of $ervice %#o$ &i ##o$'............................................................................................1(
)ac"ers* Crac"ers* $cript +iddies.......................................................................................... 1(
,iru&i &i vier-i........................................................................................................................ 11
.ro/an )orse.......................................................................................................................... 11
Botnets................................................................................................................................... 11
$niffing0$poofing.................................................................................................................... 11
+*Admini(trarea performanei***************************************************************************************************3+
1.1. Ad-inistrarea securit2ii.................................................................................................. 13
1.1. A4ordarea pro4le-ei securit2ii datelor 5ntr6o reea.........................................................17
1.3. 8odelul de securitate pentru un siste- ..........................................................................19
1.7. #iferene 5ntre O$: i .8;..............................................................................................1<
4*Sol)ii de (e)ritate hard6are /i (oft6are*****************************************************************************35
7*Se)ri8area )n)i (i(tem de operare****************************************************************************************++
7.1. Configurarea securit2=ii 5n siste-e >indo?s @* ,ista* >inA.........................................11
7.1. Configurarea securi!area siste-elor de operare de tip server........................................19
9*Cerine pri0ind (e)ritatea informaiei :n (i(tem)l ;anar**************************************************+,
9.1. Regle-ent2ri privind securitatea infor-aiei 5n Ro-Bnia.................................................1C
9.1. $tandarde de securitate a infor-aiei..............................................................................19
9.3. $ecuritatea infor-aiei din perspectiva riscului operaional ............................................3(
9.7. $ecuritatea infor-aiei la nivel de siste-........................................................................31
C$NCLU!II********************************************************************************************************************************47
1
BIBLI$<RA%IE*************************************************************************************************************************4=
INTRODUCERE
Se)ritatea informaiilor este acum o problem major cu care se
confrunt societatea electronic. Indiferent de dimensiunea organizaiei, odat cu
creterea exploziv a fluxului informaional, o companie trebuie s gseasc
elementele care s asigure protecia potrivit la nivel de reea i nivel de aplicaie
n faa atacurilor din ce n ce mai sofisticate.
Securitatea informa iei se ocup cu protejarea informa iei i sistemelor
informatice, de accesul neautorizat, folosirea, dezvluirea, ntreruperea,
modificarea ori distrugerea lor. Cele trei componente ale securit ii informa iei
sunt confiden ialitatea, integritatea i disponibilitatea. Confiden ialitatea este
asigurat prin criptarea informa iei. Integritatea se ob ine prin mecanisme i
algoritmi de dispersie. !isponibilitatea e asigurat prin ntrirea securit ii re elei
sau re elelor de sisteme informatice i asigurarea de copii de siguran .
Sistemele informaionale sunt ameninate att din interior ct i din exterior.
"ot fi persoane bine intenionate care fac diferite erori de operare sau persoane ru
intenionate, care sacrific timp i bani pentru penetrarea sistemelor
informaionale. !intre factorii te#nici care permit fisuri de securitate pot fi anumite
erori ale soft$are%ului de prelucrare sau de comunicare sau anumite defecte ale
ec#ipamentelor de calcul sau de comunicaie. !e asemenea, lipsa unei pregtiri
adecvate a administratorului, operatorilor i utilizatorilor de sisteme amplific
3
probabilitatea unor probleme de securitate. &olosirea abuziv a unor sisteme
'piraterie informatic( reprezint, de asemenea, unul din factorii de risc major
privind securitatea sistemelor informatice.
)meliorarea securitii sistemelor informatice trebuie s fie un obiectiv
important al oricrei organizaii.*rebuie ns avut n vedere asigurarea unui bun
ec#ilibru ntre costurile aferente i avantajele concrete obinute. +surile trebuie s
descurajeze tentativele de penetrare neautorizat, s le fac mai costisitoare dect
obinerea legal a accesului la aceste programe i date.
,rice reea conectat la internet are un potenial ridicat de vulnerabilitate n
faa unor atacuri sau aciuni cu efecte distructive pentru resursele informaionale
din aceast reea.
Securitatea nseamn de obicei c utilizatorii s nu poat executa dec-t
tas.%urile pe care sunt autorizai s le execute i s obin informaiile pe care sunt
autorizai s le aib. /tilizatorii nu trebuie s poat deteriora datele, aplicaiile sau
sistemul de operare. Cuv-ntul securitate implic protecia mpotriva atacurilor ru%
voitoare0 de asemenea implic controlul efectelor pe care le au erorile i
defeciunile ec#ipamentelor. !ac un sistem de securitate poate proteja mpotriva
unui atac $ireless probabil va preveni, de asemenea, i alte tipuri de probleme.
)stfel pentru implimentarea unu sistem integrat de securitate a unei reele
este necesar de a se identifica mai nti marea parte de ameninri ce urmeaz s
apar i mpotriva crora se cere o protecie maxim.
Securitatea informatic a devenit una din compenentele majore ale
internetului. )nalitii acestui concept au sesizat o contradicie ntre nevoia de
comunicaii i conectivitate, pe de o parte, i necesitatea asigurrii
confidenialitii, integritii i autenticitii informaiilor, pe de alt parte.
!omeniul relativ nou al securitii informatice caut soluii te#nice pentru
rezolvarea acestei contradicii aparente. 1iteza i eficiena
comunicaiilor 2instantanee3 de documente i mesaje confer numeroase atuuri
actului decizional ntr%o societate modern, bazat pe economie concurenial. 4ns
7
utilizarea serviciilor de pot electronic, $eb, transfer de fodnuri etc. se bazeaz
pe un 5sentiment3, adeseori fals de securitate a comunicaiilor, care poate
transforma potenialele ctiguri generate de accesul rapid la informaii, n pierderi
majore, cauzate de furtul de date sau de nserarea de date false ori denaturate.
Studiile arat c n medie 678 din breele de securitate identificate nu sunt
datorate problemelor te#nologice ci instalrii i configurrii necorespunztoare sau
datorit nerespectrii unor proceduri de utilizare i administrare a sistemului. 4n
multe cazuri, aceste proceduri nici nu exist. *rebuie deci s privim problema pe
ansamblu, adres-nd te#nologia, oamenii i procedurile interne ale
companiei9organizaiei.
Fig. 1. Securitatea la nivel de acces perimetral
9
Fig. 2. Securitatea la nivel informaional
Securitatea trebuie s fie o caracteristic intrinsec a sistemului. /n sistem
sigur este unul bine proiectat, implementat, utilizat i administrat.
"entru a avea o abordare de ansamblu, trebuie pornit de la lucrurile
elementare uniformitatea infrastructurii din punct de vedere al sistemelor folosite,
administrarea centralizat, meninerea la zi a sistemelor din punct de vedere al
patc#%urilor i fix%urilor 'pentru sistemele de operare i aplicaiile instalate(,
aplicarea unor configurri standard de securitate pe toate serverele i staiile de
lucru, n funcie de rolul funcional al acestora precum i realizarea unor proceduri
standard de utilizare i administrare.
<
Fig. 3. Penetrarea unei reele de calculatore
Se)ritatea re elelor de calculatoare este n acest moment parte
integrant a domeniului re elelor de calculatoare i ea implic
protocoale, te#nologii, sisteme, instrumente i te#nici pentru a securiza
i opri atacurile ru inten ionate. )tacurile cibernetice au crescut
considerabil n ultimii ani, iar conform unor rapoarte :uropol,
infrac iunile comise n spa iul cibernetic provoac pagube anual de
peste ; trilion de dolari.
<;=
1. Securitatea reelelor
&iind un domeniu complex, au fost create domenii de diviziune pentru a
putea face administrarea mai facil. )cesta mpr ire permite profesionistilor o
abordare mai precis n privin a instruirii, cercetrii i diviziuni muncii n acest
domeniu. Sunt ;> domenii ale securit ii re elelor specificate de International
,rganization for Standardization 'IS,(9International :lectrotec#nical
Commission'I:C(
A
;. E0al)area Ri()l)i e primul pas n administrarea riscului i
determin valoarea cantitativ i calitativ a riscului legat de o situa ie specific
sau o amnin are cunoscut0
>. Politia de Se)ritate este un document care trateaz msurile
coercitive i comportamentul membrilor unei organiza ii i specific cum vor fi
accesate datele, ce date sunt accesibile i cui0
?. $rgani8area Se)rit1 ii Informa iei e un model de guvernare
elaborat de o organizatie pentru securitatea informa iei
@. Admini(trarea B)n)rilor reprezint un inventar potrivit unei sc#eme
clasificate pentru bunurile informa ionale
A. Se)ritatea Re()r(elor Umane defineste procedurile de securitate
privind angajarea, deta area i prsirea de ctre un angajat a organiza iei din care
va face, face sau a fcut parte
B. Se)ritatea %i8ia i a Medi)l)i descrie msurile de protectie pentru
centrele de date din cadrul unei organiza ii
C. Admini(trarea Com)nia iilor i $pera i)nilor descrie
controalele de securitate pentru re ele i sisteme
D. Control)l Ae()l)i priveste restric iile aplicate accesului direct la
re ea, sisteme, aplica ii i date
6. Ahi8i ia- De80oltarea i P1(trarea Si(temelor
Informatie define te aplicarea msurilor de securitate n aplica ii
;7. Admini(trarea Inidentelor de Se)ritate a Informa iei trateaz
cum anticipeaz i rspunde sistemul la bre ele de securitate
;;. Admini(trarea Contin)it1 ii Afaerii descrie msurile de protec ie,
ntre inere i recuperare a proceselor critice pentru afacere i sisteme
;>. Conformitatea descrie procesul de asigurare a conformit ii cu
politicile de securitate a informa iei, standarde i reguli
C
)ceste ;> domenii au fost create pentru a servi ca baz comun pentru
dezvoltarea de standarde i practici de securitate eficiente i pentru a da ncredere
activit ilor desf urate ntre organiza ii.
*ot pe criterii de eficien n abordare i usurin n nva are, atacurile de
securitate la adresa re elelor sunt mpartite cu carater general n recunoa tere,
acces i de imposibilitate onorri cererii'!oS(.
Atacuri interne
+ulte atacuri privind securitatea re elei provin din interiorul ei. Ea
atacurile interne se refer furt de parole 'care pot fi utlizate sau v-ndute(, spionaj
industrial, angaja i nemul umi i care tind de a cauza daune angajatorului, sau
simpla utilizare necorespunztoare. +ajoritatea acestor nclcri pot fi solu ionate
cu ajutorul ofi erului de securitate a companiei, care monitorizeaz activitatea
utilizatorilor re elei.
Puncte de acces nesecurizate
)ceste puncte de acces nesecurizate fr fir sunt foarte slabe mpotriva
atacurilor din exterior. :le des sunt prezentate pe comunit ile locale ale #a.erilor.
"unctul slab este c orice persoan poate conecta un ruter fr fir ceea ce ar putea
da acces neautorizat la o re ea protejat.
Back Doors
Comenzi rapide administrative, erori de configurare, parole u or
descifrabile pot fi utilizate de ctre #ac.eri pentru a avea acces. Cu ajutorul
cuttorilor computeriza i 'bots(, #ac.erii pot gsi punctul slab al re elei.
9
Denial of Service (DoS i DDoS)
Fig. 1.1. Sniffing i spoofing
/n atac cibernetic de tip !oS 'Denial of Service( sau !!oS 'Distributed
Denial of service( este o ncercare de a face ca resursele unui calculator s devin
indisponibile utilizatorilor. !e i mijloacele i obiectivele de a efectua acest atac
sunt variabile, n general el const n eforturile concentrate ale unei, sau ale mai
multor persoane de a mpiedica un sit sau serviciu Internet s func ioneze eficient,
temporar sau nelimitat. Ini iatorii acestor atacuri intesc de obicei la situri sau
servicii gzduite pe servere de nivel nalt, cum ar fi bncile, gateway%uri pentru
pl i prin carduri de credite, i c#iar servere ntregi.
Hackers, Crackers, Script Kiddies
>a?erii Cuv-ntul #ac.er n sine are o mul ime de interpretri. "entru
mul i, ei reprezint programatori i utilizatori cu cuno tinte avansate de calculator
care ncearc prin diferite mijloace s ob in controlul sistemelor din internet, fie
ele simple "C%uri sau servere. Se refer de asemeni la persoanele care ruleaza
diferite programe pentru a bloca sau ncetini accesul unui mare numr de
utilizatori, distrug sau terg datele de pe servere. Fac.er are i o interpretare
pozitiv, descriind profesionistul in re ele de calculatoare care% i utilizeaz
aptitudinile n programarea calculatoarelor pentru a descoperi re ele vulnerabile la
1(
atacuri de securitate. )ctiunea in sine, aceea de #ac.ing e privit ca cea care
impulsioneaz cercetarea n acest domeniu.
Cra?erii sunt ni te persoane care au un #obbG de a sparge parole i de a
dezvolta programe i virusuri de tip calul troian ' en*rojan Forse(, numite Harez.
!e obicei ei folosesc programele pentru uz propriu sau pentru a le relizeaza pentru
profit.
Sript ?iddie( sunt persoane care nu au cuno tin e sau aptitudini despre
penetrarea unui sistem ei doar descarc programe de tip Harez pe care apoi le
lanseaz cu scopul de a produce pagube imense. )ceste persoane sunt angaja i
nemul umi i, terori ti, cooperativele politice.
Viru i i viermi
1iru ii i viermii reprezint programe care au proprietatea de a se
automultiplica sau fragmente de cod care se ata eaz de alte programe 'viru i( sau
calculatoare 'viermii(. 1iru ii de obicei stau n calculatoarele gazd, pe c-nd
viermii tind s se multiplice i s se extind prin intermediul re elei.
ro!an Horse
)cest virus este principala cauz a tuturor atacuri a sistemelor
informa ionale. Calul *roian se ata eaz de alte programe. C-nd se descarc un
fi ier care este infectat cu acest virus el la urma sa infecteaz sistemul, unde ofer
#a.erilor acces de la distan unde ei pot manipula cu sistemul.
Botnets
4ndat ce un calculator 'sau probabil mai multe calculatoare( au fost
compromise de un *roian, #ac.erul are acces la aceste calculatoare infectate, unde
de aici el poate lansa atacuri cum ar fi !!oS '!istribuited !enial of Service(.
11
Irupa de calculatoare care sunt sub controlul #a.erului se numesc botnets.
Cuv-ntul botnet provine de la robot, aceasta nsemn-nd c calculatoarele
ndeplinesc comenzile proprietarului lor i re ea nsemn-nd mai multe calculatoare
coordonate.
Sniffin"#Spoofin"
Sniffing se refer la actul de interceptare a pac#etelor *C" '*ransmission
Control "rotocol(. Spoofing se refer la actul de trimitere nelegitim a unui pac.et
de a teptare )CJ.
2. Administrarea er!ormanei
"ermite colectarea, salvarea i interpretarea statisticilor, optimizarea reelei
cu resurse disponibile, detectarea modificrilor de performan, asigurarea clitaii
serviciilor.
!etecteaz sc#imbrile n performana reelei cu ajutorul datelor statistice
'cronometre i contoare( oferind astfel siguran i calitate n funcionarea reelei.
"erformana poate fi util i pentru managementul faulturilor 'pentru a
detecta erorile(, pentru administrarea conturilor 'pentru a adapta costurile( i pentru
administrarea configuraiei 'ce modificare este necesar pentru o configuraie
optim(.
11
2.1. Administrarea securitii
, reea de calculatoare este o structur desc#is la care se pot conecta noi
tipuri de ec#ipamente 'terminate, calculatoare, modem%uri etc.(, lucru care conduce
la o lrgire nu ntotdeauna controlat a cercului utilizatorilor cu acces nemijiocit la
resursele reelei 'programe, fiiere, baze de date, trafic etc.(.
)dministrarea securitii permite administratorului s iniializeze i s
modifice funciile care protejeaz reeaua de accese neautorizate. "rile
importante ale administrrii securitii sunt
K protecia mpotriva tuturor ameninrilor asupra resurselor, serviciilor i
datelor din reea0
K asigurarea autorizrii, autentificrii, confidenialitii i controlului
drepturilor de acces ale utilizatorilor0
K administrarea c#eilor de criptare0
K ntreinerea zidurilor de protecie0
K crearea conectrii securizate.
1ulnerabilitatea reelelor se manifest pe dou planuri atacul la
integritatea ei fizic 'distnigeri ale suportuiui informaiei( i pe de alt parte
folosirea sau modificarea neautorizat a informaiilor i a resurselor reelei
'scurgerea de informaii din cercul limitat de utilizatori stabilit, respectiv utilizarea
abuziv a resurselor reelei de ctre persoane neautorizate(.
!intre factorii te#nici care permit fisuri de securitate pot fi anumite defecte
ale ec#ipamentelor de calcul sau de comunicaie sau anumite erori ale soft$are%
ului de prelucrare sau de comunicare. !e asemenea, lipsa unei pregtiri adecvate a
administratorilor, operatorilor i utilizatorilor de sisteme amplific probabilitatea
unor bree de securitate.
&olosirea abuziv a unor sisteme 'piraterie informatic( reprezint, de
asemenea, unul din factorii de risc major privind securitatea sistemelor
informatice.
13
4n lucrarea de fa administrarea securitii este mprit n securitatea
ec#ipamentelor fizice, numit i securitate fizic, securitatea aplicaiilor, numit i
securitate logic i securitatea informaiei.

2.2. Abordarea problemei securitii datelor ntr-o reea.
)bordarea problemei securitii datelor ntr%o reea presupune n primul
r-nd identificarea cerinelor de funcionare pentru acea reea, apoi identificarea
tuturor ameninrilor posibile mpotriva crora este necesar protecia. )ceast
analiz const n principal n ? sub%etape
K analiza vulnerabilitilor identificarea elementelor potenial slabe ale
reelei0
K evaluarea ameninrilor determinarea problemelor care pot aprea
datorit elementelor slabe ale reelei i modurile n care aceste probleme interfer
cu cerinele de funcionare0
K analiza riscurilor posibilele consecine pe care problemele le pot crea.
/rmtoarea etap const n definirea politicii de securitate, ceea ce
nseamna s se decid
K care ameninri trebuie eliminate i care se pot tolera0
K care resurse trebuie protejate i la ce nivel0
K cu ce mijloace poate fi implementat securitatea
K care este preul 'financiar, uman, social etc.( msurilor de securitate care
poate fi acceptat.
,dat stabilite obiectivele politicii de securitate, urmtoarea etap const n
selecia serviciilor de securitate, adic funciile individuale care sporesc securitatea
reelei. &iecare serviciu poate fi implementat prin metode 'mecanisme de
securitate( variate pentru implementarea crora este nevoie de aa%numitele funcii
de gestiune a securitii. Iestiunea securitii ntr%o reea const n controlul i
17
distribuia informaiilor ctre toate sistemele desc#ise ce compun acea reea n
scopul utilizrii serviciilor i mecanismelor de securitate i al raportrii
evenimentelor de securitate ce pot aprea ctre administratorii de reea.

2.3. Modelul de securitate pentru un sistem
+odelul de securitate pentru un sistem 'un calculator sau o reea de
calculatoare( poate fi vzut ca avnd mai multe straturi ce reprezint nivelurile de
securitate ce nconjoar subiectul ce trebuie protejat. &iecare nivel izoleaz
subiectul i l face mai dificil de accesat n alt mod dect cel n care a fost prevzut.
Securitatea fizic reprezint nivelul exterior al modelului de securitate i
const, n general, n protecia sub c#eie a ec#ipamentelor informatice ntr%un birou
sau ntr%o alt incint precum i asigurarea pazei i a controlului accesului. )ceast
securitate fizic merit o consideraie special. *ot o problem de securitate fizic
o constituie sigurana pstrrii suportilor de salvare 'bac.up( a datelor i
programelor. Leelele locale sunt, n acest caz, de mare ajutor, copiile de rezerv
put-ndu%se face prin reea pe o singur main ce poate fi mai uor securizat. ,
alt problem important n securitatea fizic a unui sistem informatic o constituie
pur i simplu sustragerile de ec#ipamente. 4n plus, celelalte msuri de securitate
logic 'parole etc.( devin nesemnificative n cazul accesului fizic neautorizat la
ec#ipamente.
4ntr%un sistem n care prelucrarea este distribuit, prima msur de
securitate fizic care trebuie avut n vedere este prevenirea accesului la
ec#ipamente.
Securitatea logic const din acele metode logice 'soft$are( care asigur
controlul accesului la resursele i serviciile sistemului. :a are, la r-ndul ei, mai
multe niveluri impartite n dou grupe mari niveluri de securitate a accesului 'S)(
si niveluri de securitate a serviciilor 'SS(.
19
Securitatea accesului 'S)( cuprinde
K accesul la sistem ')S(, care este rspunztor de a determina dac i c-nd
reeaua este accesibil utilizatorilor i n ce conditii.
K accesul la cont ')C( cu nume i parol valid0
K drepturile de acces '!)( la fiiere, servicii, resurse ale utilizatorului sau
grupului.
Securitatea serviciilor 'SS(, care se afl sub S), controleaz accesul la
serviciile sistem, cum ar fi fire de ateptare, I9, la disc i gestiunea serverului. !in
acest nivel fac parte
K controlul serviciilor 'CS( avertizeaz i raporteaz starea serviciilor,
activeaz sau dezactiveaz serviciile oferite de sitem0
K drepturile la servicii '!S( cum se folosete un seviciu dat.
)ccesul intr%un sistem de securitate perfect trebuie s se fac prin aceste
niveluri de securitate, de sus n jos.

2.4. Diferene ntre OS !i "M#
,SI are definit o singur ar#itectur de administrare, n timp ce *+M
definete ar#itecturi multiple la diferitele nivele de organizare a reelei.
) doua diferen este c *+M ofer o structur pentru managementul
multi%nivel, cerin care exist n reelele reale. +anagementul ,SI nu ofer o
asemenea structur.
*+M sugereaz o separare conceptual ntre reeaua de telecomunicaii
care este administrat i reeaua care transfer informaia ce trebuie administrat.
)ceast separare previne problemele de la administrare a erorilor, astfel nc-t
*+M are capaciti mai bune la acest capitol dec-t ,SI.
Leeaua de comunicaii de date '!CM % !ata Communication Met$or.(
cere introducerea de ec#ipament suplimentar i de sisteme de transmisie.
1<
"roblemele care pot aprea la !CM nu trebuie excluse, ceea ce implic necesitatea
unei administrri i pentru !CM.
Leeaua de telecomunicaii nu are faciliti de transport a informaiei de
administrat, de aceea folosim !CM 'reelele de telefonie ofer un tip izocron de
servicii care este diferit de cel asincrom 'orientat pe pac#ete((. Leelele de
comunicaii de date ofer capabiliti mai bune de administrare a erorilor, astfel
nc-t avantajele acestor reele depesc costurile lor.

". Soluii de securitate #ard$are %i so!t$are
Conceptul de securitate #ard$are se refer la posibilitile de a preveni
furtul, vandalismul i pierderea datelor. Se identific patru mari concepte
a( (e)ri8area ae()l)i N posibilitatea de a restriciona i urmri accesul
la reea 'posibilitile de a ngrdi cldirile i de a securiza punctele de acces n
cadrul unitii(
b( (e)ri8area infra(tr)t)rii N protejarea caburilor, ec#ipamentelor de
telecomunicaii i dispozitivelor de reea N gruparea pe c-t posibil n locaii
puternic securizate a tuturor ec#ipamentelor de comunicaie, camere de
supraveg#eat N cu conectare $ireless pentru zone greu accesibile N fire$all%uri la
nivel #ard$are, posibilitatea de a monitoriza modificarea cablrii i a
ec#ipamentelor intermediare de comunicaie N ex. monitorizarea s$itc#%urilor,
routerelor etc.0
1A
c( (e)ri8area ae()l)i la al)latoare N folosind lacte pentru cabluri N
mai ales pentru laptopuri N carcase ce se pot nc#ide, eventual cutii securizate ce
conin unitile centrale ale des.top%urilor0
d( (e)ri8area datelor N n special pentru prevenirea accesului la sursele de
date N ca de ex. Fard dis.%urile externe vor trebui inute n carcase prevzute cu
lacte, precum i dispozitive de siguran pentru stic.%uri /SO. , atenie foarte
mare trebuie oferit soluiilor de bac.%up folosite, suporturile acestor date trebuiesc
s fie stocate i transportate n locaii i n condiii foarte sigure'stricte(.
Implementarea unei soluii de securitate foarte puternice este o procedur foarte
dificil ce implic de multe ori costuri foarte mari, c-t i personal calificat i foarte
disciplinat.
Cum s%a menionat i n fia ;.? se ncearc s se gseasc un compromis
ntre nivelul de securizare dorit i implicaiile implementrii acestor restricii. ,
dezvoltare a ideii de securizare #ard$are o reprezint aa%numitele elemente de
monitorizare #ard$are a reelelor. )ceste soluii sunt ec#ipamente special
concepute a ntreine reele ntregi de calculatoare i vin s nlocuiasc
ec#ipamentele uzuale.
!e multe ori aceste ec#ipamente conin un ntreg ansamblu de soluii N
fire$all, antivirus, criptri, I!S 'Intrusion !etection SGstem(, 1"M 'virtial private
net$or.(, trafic snaping. )ceste soluii se bazeaz pe cipuri )SIC ')pplication%
Specific Integrated Circuit( care sunt circuite integrate personalizate s efectueze o
anumit sarcin 'se elimin cazurile generale, implement-ndu%se algoritmi speciali,
specializai i optimizai(. 1ersiuni similare sunt aa numitele SoC 'SGstem on a
Cip( care conin i alte blocuri funcionale 'procesare pe ?> de bii, memorie L,+,
L)+, ::"L,+, &las#(. )ceste ec#ipamente totui au preuri foarte mari,
pro#ibitive pentru companiile mici i mijlocii, ele folosindu%se n special n cadrul
marilor companii multi%naionale.
+enirea unei soluii de securitate soft$are este de a nlocui i eventual de a
mbunti soluia de tip #ard$are 'decizie luat n special din cauza preului
1C
dispozitivelor #ard$are specializate(. )stfel i soluiile soft$are se pot organiza cu
precizrile urmtoare
a( la ni0el)l #ae()l)i' se pot folosi sistemele de monitorizare folosindu%
se de coduri de acces, camere de supraveg#ere cu detecia micrii
b( la ni0el de #infra(tr)t)r1' fire$all%uri soft$are, sisteme de
monitorizare ale reelei n vederea detectrii de modificri la nivel de cablri,
sc#imbri de configurare, declanri de alarme, etc.0
c( la ni0el de #date' N posibiliti de bac.up automate, pstrate n diferite
locaii, programe de criptare, etc0
d( la ni0el)l #al)latoarelor' % I!S 'Intrusion !etection SGstems( N care
pot monitoriza modificrile din cadrul codului programelor i sesizeaz activitatea
5neobinuit3 a reelei, folosirea de aplicaii de detectare a elementelor de tip
mala$are 'virui, spG$are, ad$are, graG$are(0
!in alt punct de vedere este foarte important de evideniat faptul c aceste
soluii de securitate se mai clasific i n funcie de importana lor, astfel,
deosebim
a( apliaii de tip fire6all N pentru filtrarea datelor din cadrul unei reele0
b( apliaii pentr) detetarea od)rilor d1)n1toare aplicaii antivirus,
aplicaii anti%spam$are, anti%ad$are, anti%graG$are la nivel de reea0
c( obligativitatea at)ali81rii de patc#%uri pentru sistemele de operare i
aplicaii instalate pentru a minimiza posibilitile de infectare folosind breele de
securitate nou aprute.
*oate aceste aplicaii sunt absolut necesare n orice reea care este conectat
la Internet. 4ntruc-t soluiile de securitate care se pot seta la nivel de des.top 'sau
laptop( sunt relativ limitate N n special prin prisma puterii de procesare i de
disciplina i cunotinele utilizatorilor N rm-ne s se instaleze i configureze
soluii dedicate de securitate la nivel de reea, soluii de care s se foloseasc toi
utilizatorii din cadrul ei.
19
Conform unui studiu al companiei Olue Coat
;
care prezint primele A cele
mai bune practici de securitate pentru conectarea la internet, se disting direciile de
urmat n urmtoarea perioad 'luni, ani( i anume
;. )lturarea la o comunitate de supraveg#ere 'communitG $atc#(. !in ce
n ce mai muli utilizatori, se unesc n comuniti de supraveg#ere pstrate n aa
numitele 5cloud services3 N reele ntre care exist relaii bine%stabilite, de
ncredere i dependen, baz-ndu%se pe concepte de procesare n reea'folosindu%se
astfel de puterea de procesare oferit de fiecare calculator din cadrul ei( N pentru a
se proteja unii pe alii. C-nd o persoan detecteaz o ameninare, aceasta este
perceput de fiecare utilizator din cadrul norului 'cloud( astfel ajung-nd s se apere
fiecare utilizator. )ceste comuniti sunt un pas foarte important n asigurarea
securitii deoarece confer avantaje foarte puternice comparativ cu alte soluii
singulare, deoarece are la dispoziie mai multe resurse i soluii defensive.
>. Sc#imbarea mentalitii defensive 5one against t#e Heb3 'singur
mpotriva Internetului(. Soluiile personale de protejare mpotriva atacurilor
criminale care vizeaz furtul de date, de orice natur, devin foarte repede
5nvec#ite3 ntruc-t aceste atacuri devin din ce n ce mai complexe i mai
sofisticate te#nologic. Sistemele de protecie bazate pe semnturi actualizate zilnic
sunt forme de protecie depite. Mu se compar aceste soluii cu ceea ce se poate
oferi prin soluiile cu design #ibrid folosite de comunitile de supraveg#ere, care
se bazeaz pe servicii de protecie ce se actualizeaz odat la A minute, beneficiind
de serviciile defensive a peste A7 de milioane de utilizatori.
?. Sc#imbarea politicilor bazate pe 5producie3 n politici bazate pe
5protecie3. !ac soluia existent la momentul actual este mai vec#e de ; an,
atunci aceast soluie este bazat pe 5producie3 N adic la momentul instalrii s%a
luat n calcul mrirea productivitii utilizatorilor prin blocarea de site%uri cu
coninut obscen i neproductiv'ex. jocuri online(. Cum s%a ajuns ca peste 678 din
coninutul mala$are s vin de la site%uri populare i 5de ncredere3, Internetul%ca
;
Solution Orief *op &ive SecuritG Oest "ractices for Gou Heb Iate$aG n >776, din 7B.7A.>776, lin.
#ttp99net$or.ing.ittoolbox.com9researc#9top%five%securitG%best%practices%for%Gour%$eb%gate$aG%n%>776%;6;7D
1(
un tot unitar % a ajuns s fie principalul 5furnizor3 de acest coninut. "entru
protejare de atacuri venite din Internet este necesar s se bloc#eze toate formele de
do$nload venite din partea unor site%uri necunoscute sau cu reputaii tirbe,
bloc-nd astfel o ntreag cale de acces al ameninrilor de tip mala$are n reeaua
local.
@. &olosirea de servicii Heb real%time 'n timp real( de evaluare. Coninutul
Heb cuprinde o multitudine de metode de filtrare de adrese /LE care actualizeaz
zilnic listele /LE statice coninute de fiecare site. Serviciile Heb care ofer
posibilitatea de a evalua site%urile devin unelte foarte puternice i necesare pentru a
suplimenta valoare de protecie oferit de soluiile de filtrare de /LE. !ealtfel
aceste servicii ofer un real ajutor i utilizatorilor finali, oferind informaii n timp
real cu privire la coninutul paginilor vizitate, utilizatorii bucur-ndu%se de navigri
relativ sigure folosind politici de securitate acceptabile.
A. "rotejarea utilizatorilor ce se conecteaz de la distan. "osibilitatea de a
lucra la distan a devenit o foarte important unealt de lucru pentru majoritatea
utilizatorilor. )dugarea unui agent de tip client, legat la o comunitate de
supraveg#ere poate proteja mai bine utilizatorii la distan. Centralizarea politicilor
de management poate oferi protecia necesar oferit de filtrarea de coninut i
blocarea de mal$are de pe site%urile detectate de o ntreaga reea defensiv a unei
comuniti de supraveg#ere.
"roductorii de #ard$are au venit cu soluia simpl de a oferi un nivel de
securitate crescut folosind funcii bazate pe parole 'maxim D caractere( pentru
accesul la resursele unui calculator, aceast form de acces fiind o form des
nt-lnit, i la ndem-na oricui. :ste aa%numita 5parolare din OI,S3.
Sunt c-teva aspecte care confer acestei forme de securizare anumite
avantaje i dezavantaje
- este la ndem-na oricui 'se regsete n orice laptop sau des.top(0
- ofer un grad suplimentar de securitate sistemului, reelei, etc.0
11
- se poate securiza doar setrile OI,S sau i partea de bootare 'prin
parolarea doar a OI,S%ului se pot dezactiva de ex. alte surse pentru bootare(0
- are un numr de ? ncercri pentru a introduce parola valid0
- nu se pot securiza datele de pe F!! 'cu excepia unor cazuri speciale N ex.
seria IO+ *#in."ad(, acestea fiind accesibile prin montarea n alt unitate0
- odat blocat sistemul este necesar intervenia specializat 'posibile soluii
pentru utilizatorul obinuit resetarea OI,S%ului prin acionarea unui buton, setarea
unui jumper sau scoaterea bateriei C+,S(0
- pentru anumite tipuri de OI,S sunt deja cunoscute unele parole
5bac.door3 care pot oferi acces pe sistem, fc-nd aceast form de securizare
inutil.
&. Securi'area unui sistem de oerare
4.1. $onfi%urarea securit&ii n sisteme 'indo(s )*+ ,ista+ 'in-
Hindo$s P" i Hindo$s C sunt cunoscute pentru stabilitatea i eficiena sa,
n contrast cu versiunile 6x de +icrosoft Hindo$s. "rezint o interfa semnificant
modificat, mai prietenoas pentru utilizator dec-t n celelalte versiuni de
Hindo$s. Capacitile de management noi al soft$are%ului au fost introduse
pentru a evita Qiadul !EE%urilorQ care a marcat celelalte versiuni de Hindo$s. :ste
prima versiune de Hindo$s care necesit activare pentru a combate pirateria
informatic, o facilitate care nu a fost primit cu plcere de toi utilizatorii.
Hindo$s P" a fost criticat pentru vulnerabilitile legate de securitate, pentru
integrarea aplicaiilor ca Internet :xplorer sau Hindo$s +edia "laGer i pentru
aspecte legate de interfaa implicit a spaiului de lucru.
"entru Hindo$s deosebim c-teva aspecte foarte importante n vederea
asigurrii unui nivel de securitate minim
11
discurile s fie formatate n sistem M*&S N prin acest sistem oferindu%se
posibiliti de administrare foarte importante0
activarea Hindo$s &ire$all 'sau instalarea unui program de la teri(0
realizarea de politici clare pentru parole i obligativitatea introduceri
secvenei C*LER)ltR!elete pentru logare 'anumite programe pot simula aceast
secven pentru realizarea unei conexiuni ascunse(0
Lealizarea unor politici la fel de clare privind realizarea de bac.upNuri la
intervale regulate i nu numai N pentru protejarea datelor n cazuri nedorite0
)ctivarea serviciului de Lestore "oint N procedura ce ofer posibilitatea
salvrii unor stri de moment ale sistemului0
Stabilirea unor reguli de acces la Internet :xplorer 'Sona Eocal Intranet,
pentru site%urile din cadrul organizaiei sau care se afl n spatele fire$all%ului
utilizatorului, Sona *rusted Sites, pentru site%uri care nu se afl n spatele fire$all%
ului utilizatorului, dar pentru care utilizatorul are ncredere total, Sona Lestricted
Sites, pentru site%uri cunoscute de utilizator c fiind maliioase, Sona Internet
Sone, pentru restul de site%uri, Sona +G Computer, care ns de obicei nu e
configurabil, deoarece controalele )ctiveP pe care c#iar sistemul de operare le
instaleaz ruleaz pe setrile de securitate din aceast zon(
Mu n ultimul r-nd este necesar acordarea de atenie mrit datelor
critice cu caracter personal 'conturi, parole, documente private( folosindu%se de
criptri :&S.
Hindo$s Pp nu vine instalat cu un program antivirus i de aceea este necesar s se
instaleze i o astfel de aplicaie 'de preferat o soluie Internet Suite N care conine
i alte aplicaii gen anti%spG$are, fire$all, bac.%up, etc.(.
Hindo$s C are sute de faciliti noi, cum ar fi o interfa grafic modern i
un stil vizual nou, Hindo$s )ero, te#nologia de cutare mbuntit, noi unelte
multimedia, precum i sub%sistemele complet remodelate de reea, audio,
imprimare i afiare 'displaG(. 1ista va mbunti comunicarea dintre maini pe o
13
reea casnic folosind te#nologia peer%to%peer, i va facilita folosirea n comun a
fiierelor, parolelor, i mediilor digitale ntre diverse computere i dispozitive.
"entru proiectanii de soft$are, 1ista pune de asemenea la dispoziie versiunea @.7
a sistemului de proiectare numit .M:* &rame$or..
!e o securitate mbuntit putem beneficia folosind i ultima versiune a
aplicaiei QHindo$s &ire$allQ inclus n sistemul de operare Hindo$s C. !ar
securitate nseamn mult mai mult dec-t updatarea sistemului de operare, o
aplicaie antispG$are9antivirus sau o aplicaie fire$all. /n sistem de operare
trebuie s ofere ncredere utilizatorilor i s protejeze datele 'mai mult sau mai
puin confideniale( stocate pe aceste sisteme. 4n acest domeniu al securitii
'protecia datelor, identitate i control acces( intr i te#nologiile Q/ser )ccount
ControlQ sau QInternet :xplorer C N "rotected +odeQ.
Q/ser )ccount ControlQ % te#nologie care nu exist n Hindo$s P", apr-nd
prima dat n Hindo$s 1ista i n Hindo$s Server >77D % reduce posibilitatea c o
aplicaie cu privilegii minime 'lo$( s dob-ndeasc n mod a)tomat i
neontrolat privilegii sporite i s aib acces la fiierele utilizatorului fr
consimm-ntul acestuia.
)ceast posibilitate exist n Hindo$s >7779P" unde un utilizator 'cu
drepturi de administrator( putea fi indus n eroare mai uor s execute un anumit
cod 'aplicaie ostil acelui sistem( i care putea duce la compromiterea acestuia.
Internet :xplorer ruleaz n mod normal la un nivel QEo$Q de integritate.
,rice aplicaie care se descarc din Internet va dob-ndi un nivel de integritate
QEo$Q 'egal cu al procesului Internet :xplorer( i nu va putea s se execute i s%i
eleveze privilegiile compromi-nd sistemul respectiv. )cesta este modul protejat
'"rotected mode( n care ruleaz I:C pe Hindo$s 1ista. +odul protejat oferit de
I:D este o facilitate prezent numai pe sistemul de operare Hindo$s C.
/n utilizator poate accesa i modifica un obiect n Hindo$s 1ista numai
dac nivelul sau de integritate este mai mare dec-t cel al obiectului.
4n acest scop n Hindo$s C sunt definite ? politici obligatorii de acces
17
Mo HLI*: /" N o entitate nu poate modifica un obiect dac posed un
nivel de integritate mai mic dec-t al obiectului respective
Mo L:)! /" N o entitate nu poate citi un obiect dac poseda un nivel de
integritate mai mic dec-t al obiectului respective
Mo :P:C/*: /" N o entitate nu poate executa un obiect dac posed un
nivel de integritate mai mic dec-t al obiectului respectiv
"rincipii de securitate
"utem privi aceste te#nologii i prin prisma altui principiu de securitate N
Qprinciple of least privilegeQ sau Qprinciple of minimal privilegeQ % Qprincipiul
privilegiului minimQ n care utilizatorul trebuie s aib privilegii minime pentru
accesarea unui sistem informatic conform fiei postului i sarcinilor pe care trebuie
s le ndeplineasc.
4n acest fel, n Hindo$s C toi utilizatorii au acelai nivel de integritate
'ncredere( pe un sistem iar privilegiile administrative se folosesc doar n cazul n
care este necesar.
4.2. $onfi%urarea securi.area sistemelor de operare de tip ser/er
$indo%s Server &''(, &''), &'*& sunt construite pe structura sistemului
Hindo$s >777 i include toate facilitile pe care un client le ateapt de la un
sistem de operare indows Server siguran, securitate i scalabilitate. &amilia
cuprinde patru produse
indows eb Server reprezint o bun platform pentru dezvoltarea
rapid a aplicaiilor i desfurarea serviciilor pe Heb. :ste uor de administrat i
se poate gestiona, de la o staie de lucru aflat la distan, cu o interfa de tip
bro$ser.
indows Standard Server este un sistem de operare n reea care ofer
soluii pentru firmele de toate mrimile. )ccept partajarea fiierelor i
19
imprimantelor, ofer conectivitate sigur la Internet, permite desfurarea
centralizat a aplicaiilor din spaiul de lucru, ofer colaborare ntre angajai,
parteneri i clieni, accept multiprocesarea simetric cu dou ci i p-n la @ I,
de memorie.
indows !nterprise Server este destinat firmelor medii i mari. :ste un
sistem de operare cu funcionare complet care accept p-n la D procesoare de tip
Intel Itanium.
indows Data "enter Server este o platform pentru firmele cu un
volum mare de tranzacii i cu baze de date scalabile. :ste cel mai puternic i mai
funcional sistem de operare pentru servere oferit de +icrosoft.
4n general, sistemele Hindo$s se compun din trei clase de programe
programele sistemului de baz0 programele )"I ')pplication "rogramming
Interface( i programele 5maini virtuale3.
"rogramele sistemului de baz asigur controlul fiierelor, servicii de
comunicare i control n reea, controlul mainii virtuale, controlul memoriei,
controlul implementrii standardului de interconectare 5plagTplaG3.
Sistemul )"I cuprinde trei componente nucleul Hindo$s N Jernel,
interfaa grafic cu ec#ipamentele periferice I!I 'Irap#ic !evices Interface( i
componenta /S:L. )ceste componente sunt biblioteci de programe adresate
programatorului de aplicaii i mai puin utilizatorului obinuit.
Sistemul 5maini virtuale3 asigur interfaa cu utilizatorul i aplicaiile sale,
modulele din aceast clas fiind apelate de sistemul )"I. )ceast component
asigur ncrcarea i folosirea corect a spaiului de adresare. !in aceast clas
face parte i programul :xplorer.
)tunci c-nd se ia n calcul politica de securitate pentru platformele
Hindo$s Server >77? i >77D trebuie evaluate obligatoriu urmtoarele
Domain Le0el Ao)nt Polie( N reguli ce se pot seta la nivel de Iroup
"olicies, setri care sunt aplicate la ntreg domeniul politici cu privire la parole,
1<
blocarea conturilor, autentificarea folosind protocolul Jerberos N tot ceea ce uzual
se nelege prin 5acount polices3 N politici de cont0
A)dit Poli@ N posibilitile de utilizare a politicilor de audit pentru a
monitoriza i fora setrile de securitate instalate. :ste obligatoriu s se explice
diferitele setri, folosindu%se de exemple, pentru a se nelege ce informaii se
modific c-nd acele setri sunt modificate0
U(er Right( N trateaz diferitele posibiliti de logon N drepturi i
privilegii ce sunt puse la dispoziie de sistemul de operare i oferirea de ndrumare
privind care conturi ar trebui s primeasc drepturi distincte N i natura acestor
drepturi0
Se)rit@ $ption( N tratarea setrilor de securitate cu privire la date
criptate cu semnturi digitale'digital data signature(, statutul conturilor
5)dministrator3 i 5Iuest3, accesul la unitile de disc#et i C!%L,+'sau
ec#ivalent(, instalarea driver%elor i posibilitile de logare'logon prompts(0
E0ent Log N configurarea setrilor pentru diferitele jurnale care exist
sum Hindo$s Server >77?'respectiv >77D(0
S@(tem (er0ie( N utilizarea serviciilor care sunt absolut necesare i
documentarea lor N dezactivarea serviciilor care nu sunt folosite sau necesare.
"ersonalizarea pe c-t posibil a acestor servicii N pentru eliminarea setrilor 5bG
default30
Soft6are re(trition polie( N descrierea pe scurt a soft$are%ului instalat
i mecanismele folosite pentru restricia rulrii acestora0
Additional S@(tem Co)ntermea()re( N descrierea unor msuri
suplimentare de securitate care sunt necesare, setri care rezult din discuia
privind rolul acelui server, posibilitile de implementare, disponibilitatea
utilizatorilor i existen personalului calificat N setri cum ar fisetri care nu pot
fi introduse ntr%o maniera compact n cadrul Iroup "olicies, setri la nivel de
drepturi pe fisiere 'M*&S(, SM+", dezactivarea MetOI,S, setri *erminal
1A
Services, setri I"sec, !r. Hatson, nu n ultimul r-nd setrile cu privire la
Hindo$s &ire$all.
Additional Regi(tr@ Entrie( N documentarea modificrilor necesare la
nivel de registri0
:ste de reinut faptul c n Hindo$s >77D s%a pus un accent mai mare pe
securitate , ca un exemplu dac n Hindo$s >77? server cu S"; erau n jur de
;C77 de setri n Iroup "olices n Hindo$s >77D Server a crescut la aproximativ
>@77.
(. Cerine ri)ind securitatea in!ormaiei *n sistemul +ancar
Informaia % cel mai important activ al oricrei organizaii % este expus n
prezent unui numr din ce n ce mai divers de ameninri provocate de factori
interni sau externi. Conferina CUO:L*FL:)*S >77C, organizat la sfritul lunii
mai de Institutul Oancar LomAn- a rel)at )n ();iet fier;inte pentr) medi)l
;anar /i n) n)mai" (e)ritatea informaiei- p)n:nd :n di()ie tendinele /i
amenin1rile at)ale- reglement1ri- (tandarde /i proed)ri :n domeni)-
impliaiile Ba(el II- impat)l pro;lemelor de (e)ritate a()pra ri()l)i
operaional /i alte pro;leme pri0ind (e)ritatea informaiei :n medi)l ;anar*
5.1. 0e%lementri pri/ind securitatea informaiei n 0om1nia
Instituiile de credit trebuie s se conformeze unor acte legislative, norme i
regulamente care conin prevederi privind securitatea informaiei. Leglementri
specifice sistemului bancar sunt coninute de Eegea bancar, precum i de norme
OML, precum Morma ;B9>77@, privind te#nicile ec#ivalente pentru garantarea
1C
autenticitii semnturii, i Morma ;C9>77?, pentru organizarea i controlul intern
al activitii instituiilor de credit i administrarea riscurilor semnificative.
4n domeniul plilor electronice, cele mai importante reglementri sunt
,rdinul +C*I >;D9;@.7B.>77@ i Legulamentul OML B9>77B privind tranzaciile
efectuate prin intermediul instrumentelor de plat electronice i relaiile dintre
participani.
)lte reglementri privesc semnatura electronic 'Eegea @AA9>77; a
semnturii electronice, Eegea @A;9>77@ privind marca temporal( i comerul
electronic 'Eegea nr. ?BA9>77>, cu modificrile aduse de Eegea nr. ;>;9>77B(.
!ispunem i de legislaie privind prevenirea i combaterea criminalitii
informatice, Eegea nr. ;B;9;6.7@.>77?.
/n capitol aparte l constituie legislaia privind viaa privat Eegea
BCC9>77; pentru protecia persoanelor cu privire la prelucrarea datelor personale,
precum i Eegea A7B9>77@ privind prelucrarea datelor cu caracter personal i
protecia vieii private n sectorul comunicaiilor electronice.
Ea toate acestea se adaug un numr important de !irective :uropene n
domeniul securitii informaiei. Leglementrile n vigoare acoper doar parial
spectrul problemelor pe care le ridic securitatea informaiei, controlul n domeniul
te#nologiei informaiilor, administrarea riscurilor i calitatea serviciilor
informatice.
5.2. Standarde de securitate a informaiei
"entru tot mai multe instituii bancare din Lom-nia, standardele
internaionale n domeniu constituie baza organizrii activitilor informatice i a
securitii. "rintre cele mai importante standarde i documente publicate privind
controlul securitii informaiei se numr
%Co+i , Control -B!ectives for .nformation and related ec/nolo"0, dezvoltat
de I* Iovernance Institute, standard ce permite dezvoltarea de politici i bune
19
practici pentru controlul informaiei i o mai bun aliniere ntre te#nologia
informaiei i afacere.
%Standardele .S- # .1C
K#S$ % #!" 1&&'' % "ode of Practice for #nformation Security (anagement, ce
definete principiile generale pentru implementarea sistemului de administrare a
securitii informaiei, precum i cele mai bune practici privind obiectivele de
control.
K#S$ % #!" 2&))1 * Specification for an #nformation Security (anagement System,
n baza cruia pot fi certificate sistemele de administrare a securitii informaiei.
!e altfel, IS, a rezervat seria >C777 pentru standarde referitoare la administrarea
securitii informaiei, unele deja publicate, altele n curs de elaborare.
K#S$ % #!" 2)))) + Service (anagement, primul standard internaional pentru
administrarea serviciilor informatice, ce conine specificaii de administrare a
serviciilor, precum i un cod de practic.
%..2 3 .nformation ec/nolo"0 .nfrastructure 2i+rar0, un set de documente
create cu scopul de a facilita implementarea unei structuri pentru administrarea
serviciilor informatice. I*IE a fost adoptat rapid ca standard Vde factoV pentru cele
mai bune practici n furnizarea serviciilor informatice.
%4.S Special Pu+lications, documente dezvoltate de /nited States Mational
Institute of Standards and *ec#nologG, destinate ageniilor federale, printre care
seria A77 % Information *ec#nologG i seria D77 % Computer SecuritG.
%Standard of 5ood Practice for .nformation Securit0, dezvoltat de Information
SecuritG &orum, care privete securitatea informaiei din perspectiva afacerii,
furniznd o baz practic pentru evaluarea sistemului de securitate a informaiei.
5.3. Securitatea informaiei din perspecti/a riscului operaional
3(
Liscul operaional, elementul de noutate adus de Oasel II, este definit ca
riscul de pierderi directe i indirecte cauzate de factori interni i de factori externi.
Liscul operaional este cel mai controversat, cel mai puin definit i cel mai
probabil s evolueze major n urmtorii ani. Impactul riscului operaional poate
afecta relaia cu clienii i partenerii, iar implicaiile sale valorice sunt greu de
msurat cu precizie.
"rintre factorii interni care influeneaz riscul operaional putem enumera
derularea ineficient a unor procese interne, pregtirea necorespunztoare a
personalului, calitatea sistemelor utilizate. "roblemele legate de securitatea
informaiei intr i ele n categoria factorilor care au implicaii directe asupra
riscului operaional cderile pariale sau complete ale sistemelor informatice,
problemele generate de atacuri informatice sau ptrunderi neautorizate, fraudele,
greelile de operare, ntreruperea activitii pentru o perioad oarecare, i multe
altele.
"entru a defini o bun practic privind asigurarea continuitii operaionale a
instituiilor financiare, Woint &orum for Ousiness ContinuitG % constituit n cadrul
Comitetului Oasel % a emis documentul consultativ Fig#%level "rinciples for
Ousiness ContinuitG, adresat instituiilor bancare, dar i autoritilor financiare,
avnd ca scop creterea rezilienei sistemului financiar global.
"lanificarea corespunztoare a continuitii operaionale, prin politici, standarde i
proceduri pentru asigurarea meninerii sau relurii n timp util a operaiunilor n
eventualitatea producerii unor ntreruperi, contribuie la reducerea riscurilor
organizaiei i adaug valoare acesteia.
Cteva standarde care pot constitui baza pentru organizarea asigurrii
continuitii operaionale pentru instituiile bancare sunt Iood "ractice Iuidelines,
emis de Ousiness ContinuitG Institute, ")S AB si OS >A666, noul standard pentru
administrarea continuitii operaionale, emise de Oritis# Standards Institution.
"rima parte OS >A666%;>77B Code of practice for business continuitG
management, lansat n >77B, furnizeaz o baz pentru nelegerea, dezvoltarea i
31
implementarea continuitii operaionale ntr%o organizaie. Cea de a doua parte OS
>A666%>>77B % Specification for business continuitG management va cuprinde
cerine pentru definirea, implementarea, operarea, monitorizarea, verificarea,
ntreinerea i perfecionarea unui sistem documentat de administrare a
continuitii operaionale.
5.4. Securitatea informaiei la ni/el de sistem
Cerinele de securitate a informaiei cresc n contextul conectrii instituiilor
de credit la infrastructuri de pli, de decontri, la sisteme de raportri, constituite
la nivel naional, regional sau global. Mecesitatea asigurrii securitii la nivel de
sistem se traduce n cerine minime de securitate pentru fiecare participant,
problemele de securitate ale unui participant putnd afecta funcionarea ntregului
sistem.
Intrarea n funciune a Sistemului :lectronic de "li a impus condiii
minime de securitate pentru participani i condiii de certificare te#nic pentru
participanii cu procesare integrat 'S*"( n sistemul S:M*. Eund n considerare
cerinele specifice impuse de Oan. of International Settlement pentru sisteme de
tipul S:M*, *rans&on! i propune s modifice pentru viitor condiiile de
certificare te#nic S*", n sensul solicitrii unui audit anual de certificare de ctre
un auditor extern autorizat. Se va pune un accent mai mare pe analiza de riscuri i
pe faptul c politica i strategiile de securitate ale fiecrei bnci trebuie s acopere
aceast analiz de riscuri.
Moul sistem de raportri al instituiilor de credit ctre OML, devenit
operaional la nceputul acestui an, va impune i un upgrade de securitate al reelei
interbancare i introducerea semnturii digitale. *ot din >77C, raportrile periodice
ale bncilor ctre ,ficiul Maional de "revenire i Combatere a Splrii Oanilor,
31
raportri fcute anterior pe suport magnetic, se fac prin reeaua inter%bancar, cu
cerine de securitate corespunztoare.
4n octombrie >77C, bncile din Lomania au efectuat etapa a doua de migrare
la SHI&*Met, constnd n actualizarea mecanismelor de securitate i
instrumentelor de administrare a relaiilor cu bncile corespondente pentru
platforma SHI&*Met. )stfel, va fi introdus un model de securitate unic % bazat pe
infrastructura de c#eie publica '"JI( % pentru accesul la toate serviciile
SHI&*Met.
Mu n ultimul rnd, prin aderarea Lom-niei la /niunea :uropean, instituiile
de credit au acces la infrastructuri regionale de pli precum *)LI:*>,
*)LI:*> Securities, sistemele :O) Clearing ':/L,;, S*:";, S*:">( sau alte
infrastructuri de pli, care impun cerine specifice de securitate.
*ot n zona :uro, proiectul S:") al zonei unice de pli n :uro implic
standardizarea instrumentelor de plat n :uro i cerine noi pentru infrastructurile
de pli i plile cu card%uri, incluz-nd i o strategie de prevenire a fraudelor cu
card%uri, prin migrarea n tot spaiul :uro la standardul :+1 i implementarea
?!Secure.
&iind necesar s se conformeze acestui numr mare de reglementri,
standarde i cerine, securitatea informaiei trebuie considerat o problem
general a organizaiei, necesit implicarea managementului la cel mai nalt nivel
i trebuie s angreneze toate compartimentele de activitate ale unei organizaii, de
la profesionitii n domeniu pn la utilizatorii informaiei. Crearea unei culturi de
securitate a organizaiei este esenial, prin educarea continu a personalului, prin
colaborarea permanent cu partenerii n vederea unei abordri comune a
problemelor de securitate, dar i prin constientizarea clienilor asupra riscurilor
privind securitatea informaiei.
33
CONCLU,II
Securitatea informatic a devenit una din compenentele majore ale
internetului. )nalitii acestui concept au sesizat o contradicie ntre nevoia de
comunicaii i conectivitate, pe de o parte, i necesitatea asigurrii
confidenialitii, integritii i autenticitii informaiilor, pe de alt parte.
!omeniul relativ nou al securitii informatice caut soluii te#nice pentru
rezolvarea acestei contradicii aparente. 1iteza i eficiena comunicaiilor
2instantanee3 de documente i mesaje confer numeroase atuuri actului decizional
ntr%o societate modern, bazat pe economie concurentia. 4ns utilizarea
serviciilor de pot electronic, $eb, transfer de fonduri etc. se bazeaz pe un
sentiment, adeseori fals, de securitate a comunicaiilor, care poate transforma
potenialele ctiguri generate de accesul rapid la informaii, n pierderi majore,
cauzate de furtul de date sau de nserarea de date false ori denaturate.
!eoarece niveluri diferite de conectivitate Internet devin eseniale pentru
meninerea competitivitii companiilor, asigurarea securitii infrastructurii de
reea devine o cerin esenial.
Companiile trebuie s conceap o ar#itectur a securitii reelelor, bazat
pe o politic de securitate a companiei.
4n loc de a se focaliza numai pe un anumit tip de securitate, este important
s nelegei c o astfel de soluie complet de securitate a reelelor este necesar
companiei pentru ai proteja datele i resursele informatice. )ceast soluie trebuie
s includ autentificare i autorizare, confidenialitatea datelor i securitatea
perimetrului.
, reea de al)latoare reprezint un sistem de calcul complex, format
din mai multe ec#ipamente informatice individuale, omogene sau eterogene,
interconectate prin intermediul unui canal de comunicaie, astfel nc-t s poat
folosi n comun anumite resurse #ard$are i soft$are. )ceste resurse pot fi
37
unitile de disc, fiierele, bazele de date, imprimantele, ec#ipamentele de
comunicaie sau alte periferice.
)r trebui ca toat lumea s foloseasc un antivirus i un fire$all, sunt
destul de user%friendlG i intuitive, nu vreau s ncep s recomand eu vreun
antivirus sau fire$all fiecare este liber s aleag cel pe care%l dorete. )r mai fi
c-teva c#estii de zis, dar cred ca m%am lungit destul de mult. 4n concluzie ar trebui
s inem cont de c-teva lucruri elementare i de bun sim
% ce site%uri vizitm
% ce mail%uri desc#idem, pe cine acceptm n lista noastr de messenger, ce
lin.%uri accesm i de la cine
% sub nicio form s nu desc#idem programe dubioase sau lin.%uri primite
pe mail de la persoane necunoscute i c#iar i cunoscute
% s nu oferim informaii legate de conturile noastre pe diverse site%uri
% s nu avem activat opiunea din bro$sere noastre care ne permite s
rulm java script%urile automat, deoarece pot conine coduri maliioase care ne pot
afecta ulterior.
% tot timpul s fim cu update%urile la zi la toate soft%urile pe care le deinem
n mod legal sau free
% periodic s dm o scanare s vedem dac totul funcioneaz la parametri
normali
% s folosim parole diferite pentru toate conturile noastre, pentru c dac un
cont a fost compromis i avem aceai parol peste tot, este foarte posibil s putem
rmne fr toate conturile
% de preferat ar fi dac am sc#imba parolele periodic
% nu scrii parolele i nu le lsai n locuri evidente, cum ar fi pe birou sau
pe monitor
% evita i cuvintele dic ionar, nume, numere de telefon, i datele. &olosind
cuvinte dic ionarul face parolele vulnerabile la atacuri de tip dictionar
39
% combin litere, numere i simboluri. Includei cel pu in o liter mic,
majuscul, cifre, i caracter special
% scrii greit n mod intenionat o parol. !e exemplu, Smit# poate fi scris
ca SmGt# sau poate include, de asemenea, numere, cum ar fi AmUt#. /n alt
exemplu ar putea fi s scriem cuv-ntul securitG scris ca Aecur;tG
% asigurai%v c parolele sunt suficient de lungi. Cea mai bun practic este
de a avea un minim de D caractere
% sc#imba i parolele c-t mai des posibil. )r trebui s avei o politic de
definire c-nd i c-t de des parolele trebuie s fie sc#imbate
% sc#imbarea parolei ofer frecvent dou avantaje. )ceast practic
limiteaz fereastra de oportunitate n care un #ac.er poate sparge o parol i
limiteaz fereastra de expunere, dup ce parola a fost compromis.
-I-LIO.RA/IE
3<
;. Oruce Fallberg, ,eele de calculatoare. -.idul /ncep0torului1 Losetti
:ducaional, Oucureti, >77B. N @AB p.
>. Corneliu Ouraga, ,eele de calculatoare * #ntroducere /n securitate,
/niversitatea ). I. Cuza Iasi, >77C
?. Fabrac.en Woe, ,eele de calculatoare pentru /ncep0tori, :ditura )EE
@. Iil Feld- Bent >)ndle@- Ar/itecturi de securitate, :ditura *eora, >77?
A. Ioan%Cosmin +ihai- Securitatea informa iilor , :ditura Sitec#, >7;>
B. Ioan%Cosmin +ihai- Securitatea sistemului informatic, :ditura !unrea de
Wos, >77C
C. +ircea &. 1., 2e.nologii de securitate alternative pentru aplicaii /n reea,
/niversitatea *e#nic din Cluj Mapoca, >776
D. LamXn W. Fontanon- Securitatea re elelor , :ditura *eora, >77?
6. 1ictor 1aleriu "atrii)- Monia Ene Pietro/an)- Ion Bia- C)(tin Prie()-
Semn6turi electronice i securitate informatic6 , :ditura )ll, >77B
;7. $$$.cisco.com
;;. $$$.$i.ipedia.org
;>. $$$.google.com
3A