Capitolul 4

Managementul securitatii informatice

Obiectivele capitolului 4
Cunoasterea continutului procesului de securitate a informatiei, in context managerial. Familiarizarea cu conceptul de gestiune a riscurilor in domeniul informatic si reliefarea tipologiei acestora. Introducere in Sistemul de Management al Securitatii Informatiei (SMSI). Politica de securitate informatica a organizatiei.

Continut:

4.1 Securitatea informatiei ca proces de management. 4.2 Gestiunea riscurilor in domeniul informatic. 4.3 Politica de securitate informatica a organizatiei.

Capitolul 4 – Managementul securitatii informatice

4.1 Securitatea informatiei ca proces de management Luind in considerare o abordare globala a domeniului informatic, scopul fundamental al asigurarii securitatii rezida in:

Crearea unui anumit nivel de non-vulnerabilitate a organizatiei, in fata atacurilor voluntare/involuntare asupra:
informatiilor; sistemelor si retelelor informatice; sistemelor si instrumentelor de comunicatie electronica.

Capitolul 4 – Managementul securitatii informatice

Ce cuprinde securitatea in sfera informatica?
Securitatea TIC si a sistemelor informatice

Securitatea in sfera informatica Securitatea informatiei Securitatea comunicatiilor

Capitolul 4 – Managementul securitatii informatice

Mizele securitatii in domeniul informatic

Protejarea patrimoniului informational al organizatiei. Lupta impotriva actelor de reavointa de natura informatica (fenomenul de criminalitate informatica) Asigurarea conformitatii cu reglementarile si normele in vigoare din domeniul securitatii informatice. Identificarea si gestionarea riscurilor informationale, informatice si de comunicatie.

Capitolul 4 – Managementul securitatii informatice

Elementele unui plan de actiune clasic in domeniul informatic Angajarea organizatiei in demersul de securitate informatica, via Directia IT. Stabilirea unui diagnostic de securitate (identificarea amenintarilor si a vulnerabilitatilor organizatiei; identificarea resurselor si informatiilor critice). Definirea politicilor, procedurilor de securitate. Analiza riscurilor si determinarea obiectivelor de control. Operationalizarea masurilor de contra-risc. Urmarirea ameliorarii continue a sistemului de management al securitatii in sfera informatica.

Capitolul 4 – Managementul securitatii informatice

Securitatea informatiei vs. securitatea informatica Securitatea informatiei si securitatea informatica sunt procese strans corelate, aflate intr-un raport de interconditionare reciproca, dar care nu pot fi suprapuse la nivelul scopului si al actiunilor pe care le includ. Astfel:
Conceptul de securitate aplicat informaŃiei ia în considerare protecŃia activelor informaŃionale – stocate, tratate, partajate, transmise sau extrase de pe un suport electronic - în faŃa ameninŃărilor care conduc la distrugere, divulgare, sau inaccesibilitate. NoŃiunea de securitate informatică se cantonează pe diversele mecanisme, instrumente, proceduri sau tehnici care asigură protecŃia sistemelor şi a reŃelelor informatice.

Capitolul 4 – Managementul securitatii informatice

Securitatea informatiei
InformaŃia este considerată ca fiind un activ patrimonial important al organizatiei, care se orienteaza sub aspectul securităŃii ei spre: activele informaŃionale – baze şi bănci de date, documentaŃii de sisteme, proceduri de fabricaŃie, planuri, programe, arhive, brevete de invenŃii, drepturi de autor, marcă, imagine etc; programe informatice – software de bază, aplicaŃii, programe utilitare, instrumente de dezvoltare software etc; materiale informatice – calculatoare, echipamente de comunicaŃie, suporturi de memorare etc; servicii electronice – telecomunicaŃii, servicii de interes public, servicii bancare etc.

Capitolul 4 – Managementul securitatii informatice

Securitatea informatiei – concept

Securitatea informaŃiei se defineşte ca fiind ansamblul de
măsuri prin care organizaŃia se asigură că resursele sale materiale şi logice sunt în mod unic utilizate într-un cadru predeterminat, conform strategiei şi politicii globale a organizaŃiei.

Obiectivul fundamental al securitatii informaŃiei consta in
prevenirea producerii riscurilor informaŃionale, informatice şi tehnologice care pot compromite patrimoniul organizaŃiei, precum şi recuperarea rapidă a pierderilor survenite în urma manifestării acestora.

Capitolul 4 – Managementul securitatii informatice

Managementul securitatii informatiei
Securitatea informatiei devine un proces continuu, care trebuie abordat prin natura lui, dintr-o perspectivă tehnologică, dar în egală măsură şi sub o dimensiune managerială, care permite organizaŃiei să răspundă caracterului dinamic al riscului. Demersul de securitate a informaŃiei trebuie integrat a priori materializării lui efective, într-o dimensiune managerială, el fiind o componentă a securităŃii globale a organizaŃiei.

Managementul securităŃii informaŃiei apare ca un proces distinct la nivelul guvernanŃei organizaŃiei, constituit dintr-un sistem organizat de activităŃi, care converg în direcŃia gestionării informaŃiei şi a activelor legate de ea, într-o manieră care să garanteze un nivel adecvat de protecŃie a acestora, în timp şi spaŃiu.

Capitolul 4 – Managementul securitatii informatice

Niveluri de management in securitatea informatiei

Nivelul managementului operaŃional şi tactic – se regasesc procese de organizare, coordonare si control a activitatilor de protectie a informatiei şi a sistemelor informatice. Nivelul managementului strategic – prin procesele de analiza si gestiune a riscurilor in domeniul informatic, procesul de management al securitatii informatiei constituie punctul de plecare in definirea obiectivelor generale de securitate a organizatiei.

Capitolul 4 – Managementul securitatii informatice

Parametrii de securitate a informatiei
Disponibilitatea - se referă la garantarea accesului la informaŃie a utilizatorilor abilitaŃi, în condiŃii bine determinate de timp şi performanŃă. Criteriul de disponibilitate se extinde şi asupra sistemelor informaŃionale şi informatice, indicând capacitatea acestora de a putea fi utilizate în aceleaşi condiŃii de termene şi performanŃă. Integritatea – constă în garantarea exactitudinii şi a exhaustivităŃii informaŃiei, sub aspectul nealterării ei voluntare sau involuntare, de către persoane neautorizate. ConfidenŃialitatea – conferă garanŃia faptului că, informaŃia este redată doar utilizatorilor autorizaŃi, accesarea acesteia fiind efectuată în baza unor reguli predefinite. Controlul (trasabilitatea) – se referă pe de-o parte la asigurarea atributului de non-repudiere al informaŃiei (imposibilitatea utilizatorului de a nega recepŃionarea/transmiterea informaŃiei), iar pe de altă parte, la garantarea trasabilităŃii (posibilitatea de a controla traseul informaŃiei, prin amprentele lăsate în cadrul acestuia).

Capitolul 4 – Managementul securitatii informatice

4.2 Gestiunea riscurilor in domeniul informatic
În Economia informatiei si a cunostintelor devine important ca organizaŃiile să conştientizeze gradul lor de vulnerabilitate în faŃa apariŃiei riscurilor legate de evoluŃia tehnologică. AmeninŃările puse în scenă de noua economie sunt pe măsura mizelor pe care aceasta le reliefează, iar adoptarea unor acŃiuni preventive sau corective în domeniul riscurilor constituie un demers responsabil şi abil al organizaŃiei contemporane. Conceptul de gestiune a riscurilor in domeniul informatic constă în coordonarea într-o manieră continuă, a activităŃilor de identificare, analiză, evaluare şi anticipare a riscurilor referitoare la sistemul informaŃional, informatic şi de comunicaŃie, precum şi operaŃionalizarea unor sisteme corespunzătoare de supraveghere şi de alertă.

Capitolul 4 – Managementul securitatii informatice

Riscurile din sfera informatica

Riscul = un pericol dovedit sau potential, previzibil sau nu, care se manifesta in sfera sistemului informational, a retelelor informatice si a tehnologiilor de comunicatie si de prelucrare a informatiei.

Riscuri bazate pe notiunile de Amenintari = tip de actiune care provoaca daune. Vulnerabilitati = nivel de expunere la o amenintare

Riscuri bazate pe scenarii Simularea unei situatii de risc prin prisma pagubei si contextului de aparitie.

Risc = f( A + V)

Risc = (nr.A *nr.V)/nr.contra-masuri

Capitolul 4 – Managementul securitatii informatice

Delimitarea terminologica a riscurilor in domeniul informatic
Riscul informaŃional reprezintă un pericol dovedit sau potenŃial, mai mult sau mai puŃin previzibil, care se manifestă asupra caracteristicilor, al conŃinutului, al operaŃiilor la care este supusa informaŃia, precum şi asupra circuitului sau fluxului informaŃional. Riscul informatic reprezintă un pericol dovedit sau potenŃial, mai mult sau mai puŃin previzibil, care se manifestă asupra ansamblului echipamentelor hardware, sistemelor software de exploatare şi al programelor informatice. Riscul tehnologic reprezintă un pericol dovedit sau potenŃial, mai mult sau mai puŃin previzibil, care se manifestă asupra instrumentelor şi sistemelor de comunicaŃie electronică, precum şi asupra tehnologiilor funcŃionale pe platforme Internet.

Capitolul 4 – Managementul securitatii informatice

Amenintari si vulnerabilitati

Externe

• grupuri de presiune • piratare site • intruziunea informatica (hacking)

Amenintari

Interne

• echipamente neperformante • produse informatice contrafacute • gestiune defectuoasa a inform. uzurparea identitatii atacuri virale deturnarea informatiei

Mixte

Capitolul 4 – Managementul securitatii informatice

Amenintari si vulnerabilitati
- Arhitecturi informatice, de comunicatie permisive - Administrare nesecurizata a aplicatiilor - Deficiente de conceptie - Conexiuni nesigure pt. comunicatii - Necunoasterea/ignorarea amenintarilor - Lipsa de implicare a cond. - Defaimarea, decredibilizarea imaginii si a notorietatii

Organizationale

Tehnice Vulnerabilitati Umane

Externe

Capitolul 4 – Managementul securitatii informatice

4.3 Politica de securitate informatica (PSI) a organizatiei

Urmăreşte exprimarea formală a obiectivelor de securitate ale organizaŃiei, în planul informaŃional, informatic şi de comunicaŃie. Politica de securitate informatica trebuie revizuită şi adaptată periodic, în funcŃie de eficacitatea măsurilor adoptate, costurile şi impactul auditului intern al activităŃilor informatice, efectele induse de evoluŃia tehnologiilor informatice şi de comunicaŃie. Deoarece securitatea informaŃiei reprezintă responsabilitatea partajată a tuturor actorilor implicaŃi, politica de securitate prevede exprimarea clară a rolurilor şi a responsabilităŃilor acestora.

Capitolul 4 – Managementul securitatii informatice

Sistemul de Management al Securitatii Informatiei (SMSI)

SMSI - un ansamblu de elemente aflate în relaŃii de cauzalitate, definite şi structurate conform normelor internaŃionale de bune practici, prin intermediul cărora se asigură gestiunea globală şi coerentă a tuturor proceselor de management a securităŃii informaŃiei, în scopul atingerii unui nivel optimal al acesteia. Familia de norme ISO 27000 (la nivelul anului 2005) care cuprinde: ISO 27001 – Sisteme de management a securităŃii informaŃiei. ISO 27002 (derivat din ISO 17799) - Măsuri de securitate. ISO 27003 – Implementare. ISO 27005 - Analiza şi gestiunea riscului. ISO 27006 – Auditul SMSI.

Capitolul 4 – Managementul securitatii informatice

Politica de securitate informatica – concept si obiectiv

Concept: Componentă cu rol complementar şi de suport în cadrul celorlalte politici existente în organizaŃie, concepută pentru a asigura cadrul formal de aplicare al măsurilor de securitate, destinate reducerii riscurilor informaŃionale, informatice şi tehnologice şi a pierderilor generate de acestea .

Obiectiv urmarit de organizatie prin PSI Asigurarea protecŃiei activelor sale informaŃionale, în scopul garantării continuităŃii în funcŃionare a propriului sistem.

Capitolul 4 – Managementul securitatii informatice

Politica de securitate informatica – delimitarea sferei de aplicare si a elementelor vizate

Delimitarea sferei de aplicare a PSI PSI se aplica tuturor activelor informationale, materiale, software si serviciilor.

PSI se aplica tuturor indivizilor si partenerilor organizatiei.
Clasificarea si controlul activelor Se indica prioritatea si gradul de protectie impus. Active informationale – baze de date, manuale de utilizare, documentatii, informatii arhivate etc. Active materiale – echipamente de comunicatie, calculatoare, medii magnetice. Active logice – aplicatii software, utilitare. Servicii – telecomunicatie, furnizare energie electrica .

Capitolul 4 – Managementul securitatii informatice

Elemente generale ale politicii de securitate informatica
Elemente ale PSI
Organizarea securităŃii Atribuirea rolurilor şi a responsabilităŃilor

Intrebari asociate
Ce anume trebuie protejat? De ce? Cine asigură protecŃia? Care sunt nivelurile de protecŃie pentru fiecare actor implicat? Care sunt riscurile potenŃiale, cauzele lor ? Ce riscuri pot fi asumate?

Identificarea Ńintelor de securitate pentru fiecare domeniu din organizaŃie

Definirea ameninŃărilor, identificarea vulnerabilităŃilor Definirea măsurilor de securitate

Care este nivelul actual de securitate informatică? Care este gradul de vulnerabilitate, pe domenii? Care sunt practicile, soluŃiile, procedurile ce vor fi operaŃionalizate în planul informaŃional, informatic şi al comunicaŃiilor?

Capitolul 4 – Managementul securitatii informatice

Puncte de vedere referitoare la oportunitatea unei politici de securitate informatica
Perceptia manageriala
Asigurarea securitatii in domeniul informatic este hotaritoare pentru castigarea increderii din partea partenerilor organizatiei. Abordarea securitatii informatice din perspectiva tehnologica este o conditie necesara (nu si suficienta) pentru protejarea patrimoniului organizatiei. Abordarea securitatii informatice din perspectiva manageriala (conditia de suficienta) este in masura sa asigure o coerenta a scopurilor PSI cu obiectivele strategice generale.

Perceptia economica

(eficienta si eficacitate)

Asigurarea securitatii informatice nu sporeste in mod direct si vizibil resursele financiare ale organizatiei, dar in mod sigur, evita sa le piarda!!! Securitatea in domeniul informatic poseda o eficacitate “pasiva”, reflectata prin efecte care ar apare ca urmare a insecuritatii informatice!

Dictionar de acronime

SMSI – Sistem de Management al Securitatii Informatiei TIC – Tehnologii Informatice si de Comunicatie PSI – Politica de Securitate Informatica

Bibliografie

Ghernaouti-Helie S., Sécurité informatique et réseaux, cours et exercices corrigés, Dunod, Paris, 2006. Guyot B., Dynamiques informationnelles dans les organisations.. Hermes-Lavoisier, Paris, 2006. Organizatia pentru Cooperare si Dezvoltare Economica « Guidelines for the Security of Information Systems and Network. Toward a Culture of Security”, Raport OCDE, 2002, www.ocde.org Ursacescu M, Economia informatiei si a cunostintelor, Editura Universitara, 2009.

Sign up to vote on this title
UsefulNot useful