You are on page 1of 3

Managementul securitatii informatiei

Scopul fundamental al securitatii informatiei este acela de a crea un anumit nivel de non-vulnerabilitate a
organizatiei, in fata atacurilor volunatare/involuntare care au loc asupra informatiilor, sistemelor si retelelor
informatice, sistemelor si intrumentelor de comunicatie electronica.
Securitatea in sfera informatica cuprinde:
- securitatea IT&C
- securitatea informatiei
- securitatea comunicatilor
Mizele securitatii in dimeniul informatic sunt urmatoarele:
- protejarea patrimoniului informational al organizatiei;
- lupta impotriva actelor de rea-vointa de natura informatica(fenomenul de criminalitate informatica);
- asigurarea conformitatii cu reglementarile si normele in vigoare din domeniul securitatii informatice(normele
ISO 27000)
- identificarea si gestionarea riscurilor informationale, informatice si de comunicatie.
Securitatea in domeniul IT&C
Conceptul de securitate aplicat informatiei ia in considerare protectia activelor informationale- stocate, tratate,
partajate, transmise sau extrase de pe un suport electronic- in fata amenintarilor care conduc la distrugere,
divulgare sau inaccesibilitate.
Notiunea de securitate informatica se refera la diversele mecanisme, instrumente, proceduri sau tehnici care
asigura protectia sistemelor, a retelelor informatice si de comunicatie.
Parametrii de securitate a informatiei
- disponibilitatea – garantarea accesului la informatie a utilizatorilor abilitati, in conditii bine determinate de
timp si performanta.
- integritatea – garantarea exactitudinii si a exhaustivitatii informatiei, sub aspectul nealterarii ei voluntare sau
involuntare, de catre persoane neautorizate.
- confidentialitatea – garanteaza ca informatia este redata doar utilizatorilor autorizati, accesarea acesteia fiind
efectuata in baza unor reguli predefinite.
- controlul(transabilitatea) – asigura atributul de non-repudiere al informatiei(imposibiliatea utilizatorului de a
nega receptionarea/transmiterea informatiei); garantarea transabilitatii – posibilitatea de a controla traseul
informatiei prin amprentele lasate de aceasta in sistem.
Elementele vizate de securitatea IT&C:

arhive. servicii bancare etc. Gestiunea riscurilor in domeniul informatics reprezinta coordonarea intr-o maniera continua de identificare. instrumente de dezvoltare software etc. . care are un impact nefavorabil asupra capacitatii organizatiei de a-si atinge obiectivele. imagine etc. suporturi de memorare etc. echipamente de comunicatie. marca. gestiune defectuoasa a informatiilor.. precum si asupra circuitului sau fluxului informational. evaluare. . Riscul informational reprezinta un pericol dovedit sau potential. precum si recuperarea rapida a pierderilor survenite in urma manifestarii acestora. documentatii de sisteme. intruziune informatica(hacking) Interna: echipamente neperformante. Aria de manifestare a riscului informatic:    Externa: grupuri de presiune. a continutului. . drepturi de autor. 3. care se manifesta asupra caracteristicilor. produse informatice contrafacuta. Mixta: uzurparea identitatii. Componentele riscului:    Probabilitatea de aparitie: variaza de la imposibilitate la certitudine si se exprima pe o scara de valori pe trei niveluri: mica – medie – mare. servicii de interes public. brevete de inventii. programe. Riscul informatics reprezinta un pericol dovedit sau potential. scara valorica pe trei niveluri: scazut – moderat – ridicat. a operatiilor la care este supusa informatia. Obiectivul fundamental este prevenirea producerii in domeniul IT&C care pot compromite patrimoniul organizatiei. in timp si in spatiu. care se manifesta asupra sistemelor software de exploatare si al programelor informatice. atacuri virale. mai mult sau mai putin previzibil. deturnarea informatiei. . control si eliminare a riscurilor specifice infrastructurii IT&C a organizatiei. mai mult sau mai putin previzibil. Delimitarea tehnologica a riscurilor in domeniul IT&C 1. Nivelul de vulnerabilitate: exprima gradul de expunere la risc si se exprima pe trei niveluri: redusa – medie – mare. Managementul securitatii informatiei este un proces prin care se asigura pilotajul activitatilor referitoare la gestionarea informatiei si a sistemelor informatice intr-o maniera care sa garanteze un nivel adecvat de protective a acestora.previzibil sau nu. Riscul tehnologic reprezinta un pericol dovedit sau potential. aplicatii. precum si operationalizarea unor sisteme corespunzatoare sub supraveghere si de alerta. mai mult sau mai putin previzibil. planuri. Nivelul impactului: reprezinta efectele riscului in cazul producerii lui.servicii electronice: telecomunicatii.programe informatice: software de baza. care se manifesta asupra echipamentelor hardware. al instrumentelor si sistemelor de comunicatie electronic.precum si asupra nivelului sau de performanta. procedure de fabricatie.materiale informatice: calculatoare.activele informationale: baze si banci de date. programe utilitare. 2. piratare site. precum si asupra tehnologiilor functionale pe platform Internet. Riscul reprezinta un pericol dovedit sau potential.

Perceptia economica(eficienta si eficatitate):   Asigurarea securitatii informatice nu sporeste in mod direct si vizibil resursele financiare ale organizatiei. Umane: necunoasterea/ignorarea amenintarilor. cauzele lor? Ce riscuri pot fi asumate? Definirea amenintarilor. Securitatea in domeniul informatic poseda o eficatitate “pasiva”. in scopul garantarii continuitatii in functionare a propriului sistem. Obiectiv urmarit prin PSI: asigurarea protectiei activelor informationale ale organizatiei. . evita sa le piarda. Abordarea securitatii din perspectiva managerial(conditia de suficienta) este in masura sa asigure o coerenta a scopurilor PSI cu obiectivele strategice generale. Elemente generale ale politicii de securitate informatica:      Organizarea securitatii: ce anume trebuie protejat? De ce? Atribuirea rolurilor si a responsabilitatilor: cine asigura protectia? Care sunt nivelurile de protectie pentru fiecare actor implicat? Identificarea tintelor de securitate pentru fiecare domeniu din organizatie: care sunt riscurile potentiale. destinate redcerii riscurilor IT&C si a pierderilor generate de acestea. de comunicatie permisive. Tehnice: deficient de conceptie. procedurile ce vor fi operationalizate in planul informational. conexiuni nesigure pt comunicatie. solutiile. Externe: defaimarea. reflectata prin efecte care ar apare ca urmare a insecuritatii informatice. conceputa pt a asigura cadrul formal de aplicare a masurilor de securitate. dar in mod sigur.Tipuri de vulnerabilitati:     Organizationale: arhitecturi informatice. administrarea nesecurizata a aplicatiilor. Abordarea securitatii informatice din perspectiva tehnologica este o conditie necesara(nu si suficienta) pt protejarea patrimoniului organizatiei. lipsa de implicare a conducerii. pe domenii? Definirea masurilor de securitate: care sunt practicile. informatic si al comunicatiilor? Oportunitatea politicii de securitate informatica Perceptia managerial:    Asigurarea securitatii in domeniul informatic este hotaratoare pt castigarea increderii din partea partenerilor organizatiei. identificarea vulnerabilitatilor: care este nivelul actual de securitate informatica? Care este gradul de vulnerabilitate. decredibilizarea imaginii si a notorietatii. Politica de securitate informatica Concept: componenta cu rol complementar si de suport in cadrul celorlalte politici existente in organizatie.