CONTROLUL SECURITĂȚIISISTEMELOR INFORMATICE            Ing. Sergiu-George Boboc
“Nici un lanț nu este mai puternic   decât veriga cea mai slabă” CONTROL = măsură de prevenire a riscului RISC = evenime...
Controlul securității sistemului ca  parte a Controlului General                                 Controlul    Controlul   ...
Controlul securității sistemului                         RESURSE INFORMAȚIONALE   AUDITOR                            CONFI...
Controlul securității sistemului                                 IDENTIFICARE /        ASIGURARE                          ...
I.Politica de securitate  informațională    • Set de reguli şi practici care reglează modul în care o organizaţie    folos...
II. Clasificarea informațiilorCriterii de clasificare        INFORMAȚII•Valoarea•Vârsta•Uzura morală             4      SE...
III. Strategia de control a securitățiisistemului1.Analiza activelor                  5.Calculul riscului2.Analiza politic...
III. Strategia de control a securitățiisistemului1.Analiza activelor• Identificarea şi evaluarea resurselor sistemului inf...
III. Strategia de control a securitățiisistemului2.Analiza politicilor, practicilor de securitate existentePolitica de sec...
III. Strategia de control a securitățiisistemului   Interfata de configurare a politicilor de securitate sub sistemul   de...
III. Strategia de control a securitățiisistemului3.Analiza posibilelor ameninţări ale sistemuluiAmenințările vizează-Ident...
III. Strategia de control a securitățiisistemului4.Analiza impactului financiarImpactul financiar•estimarea valorică a pie...
III. Strategia de control a securitățiisistemului5.Calculul risculuiRisc = Impact x ProbabilitateProbabilitate1 – ameninţa...
III. Strategia de control a securitățiisistemului6.Analiza măsurilor de prevenire a atacurilor• Control restrictiv ce are ...
III. Strategia de control a securității     sistemuluiVerificarea evenimentelor ce au impact asupra sistemului (log-urilor...
III. Strategia de control a securitățiisistemului6.Analiza măsurilor de prevenire a atacurilor                            ...
III. Strategia de control a securitățiisistemului7.Determinarea riscului rezidualRiscul rezidual-rămâne după analiza şi ev...
III. Strategia de control a securitățiisistemului8.Întocmirea unui raport de analiză a riscurilor identificate şi asecurit...
III. Strategia de control a securitățiisistemului8.Întocmirea unui raport de analiză a riscurilor identificate şi asecurit...
IV. Securitatea comunicațiilorO aplicaţie ce utilizează sistemele bazate pe securitate trebuie să asigure:•Confidenţialita...
V. Controlul accesului• Control al accesului în sistem – control fizic• Control al accesului la resursele sistemului – con...
VI. Securitatea fizicăControlul securităţii fizice include măsuri ce vor face ca procesarea datelorsă nu fie afectată de d...
VII. Evaluarea sistemului copiilor desiguranță• Ce informații necesită copii de siguranță?• Sunt procedurile de backup (pe...
VII. Evaluarea sistemelor deprotecție antivirus• verificarea existenţei programelor antivirus la nivel de server şi staţie...
Mulțumesc!
Upcoming SlideShare
Loading in …5
×

Controlul securitatii sistemelor informatice

1,547 views
1,443 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,547
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Controlul securitatii sistemelor informatice

  1. 1. CONTROLUL SECURITĂȚIISISTEMELOR INFORMATICE Ing. Sergiu-George Boboc
  2. 2. “Nici un lanț nu este mai puternic decât veriga cea mai slabă” CONTROL = măsură de prevenire a riscului RISC = eveniment probabil, viitor, ce poate avea impact negativ asupra unei entități RISC (DEX) = Posibilitate de a ajunge într-o primejdie, de a avea de înfruntat un necaz sau de suportat o pagubă; pericol posibil RISC = IMPACT x PROBABILITATE
  3. 3. Controlul securității sistemului ca parte a Controlului General Controlul Controlul continuității organizațional activității Controlul General Controlul Controlul dezvoltării și securității întreținerii sistemului
  4. 4. Controlul securității sistemului RESURSE INFORMAȚIONALE AUDITOR CONFIDENTIALITATEverifică CONTROL INTEGRITATE asigură DISPONIBILITATE
  5. 5. Controlul securității sistemului IDENTIFICARE / ASIGURARE AUTENTIFICARE CONTROLULRESPONSABILITATE ACCESULUI SECURITATE SECURIZAREA TRANSFERULUI CONTINUITATEA ELECTRONIC SERVICIILOR ACURATEȚE
  6. 6. I.Politica de securitate informațională • Set de reguli şi practici care reglează modul în care o organizaţie foloseşte, administrează, protejează şi distribuie propriile informaţii sensibile DOCUMENT- responsabilităţile personalului în ceea ce priveşte securitatea informaţională- atribuţiile responsabilului cu securitatea informaţiilor în cadrul organizaţiei- clasificarea datelor şi nivelurilor de securitate asociate acestei clasificări- rolul auditorului intern în monitorizarea securităţii sistemului
  7. 7. II. Clasificarea informațiilorCriterii de clasificare INFORMAȚII•Valoarea•Vârsta•Uzura morală 4 SECRETE 3 CONFIDENTIALE 2 INTERNE 1 PUBLICE
  8. 8. III. Strategia de control a securitățiisistemului1.Analiza activelor 5.Calculul riscului2.Analiza politicilor, practicilor 6.Analiza măsurilor dede securitate existente prevenire a atacurilor3.Analiza posibilelor 7.Determinarea risculuiameninţări ale sistemului rezidual 8.Întocmirea unui raport de4.Analiza impactului financiar analiză a riscurilor identificate
  9. 9. III. Strategia de control a securitățiisistemului1.Analiza activelor• Identificarea şi evaluarea resurselor sistemului informatic ce se doresc a fi protejate:- sistem de operare- aplicaţii- infrastructura reţelei- informaţiile prelucrate de sistem.• Auditorul va verifica existenţa unei clasificări a informaţiilor, în funcţie de importanţa lor, în cadrul politicii de securitate existente pentru că măsurile de protecţie ce se impun a fi luate vor fi corelate cu valoarea acestor active.
  10. 10. III. Strategia de control a securitățiisistemului2.Analiza politicilor, practicilor de securitate existentePolitica de securitate se refera la tot personalul angajat•standarde interne si principii privind securitatea S.I.-la nivel global-pe grupe (functii, sectii) de lucru•codul etic al angajatilor si pregatirea acestora
  11. 11. III. Strategia de control a securitățiisistemului Interfata de configurare a politicilor de securitate sub sistemul de operare Windows Server 2003
  12. 12. III. Strategia de control a securitățiisistemului3.Analiza posibilelor ameninţări ale sistemuluiAmenințările vizează-Identificarea/autentifcarea utilizatorilor-Disponibilitatea informatiilor-Secretele organizatiei-Integritatea/acuratetea informatiilor-Controlul accesului-Repudierea-Legalitatea-Elemente cu caracter general
  13. 13. III. Strategia de control a securitățiisistemului4.Analiza impactului financiarImpactul financiar•estimarea valorică a pierderilor entităţii ca urmare a exploatăriivulnerabilităţilor sistemului de către ameninţări•pe termen lung sau pe termen scurt0 – impact neglijabil1 – efectul e minor, procesele organizaţiei nu vor fi afectate.2 – procesele organizaţiei sunt afectate o perioadă de timp, se înregistrează pierderi financiare şichiar confidenţialitatea clienţilor este afectată minim.3 – se înregistrează pierderi semnificative asupra proceselor organizaţiei, confidenţialitateaclienţilor este pierdută, valoarea de piaţă a acţiunilor scade.4 – efectele sunt dezastruoase, dar organizaţia poate supravieţui cu costuri semnificative.5 – efectele sunt catastrofice, societatea nu poate supravieţui.
  14. 14. III. Strategia de control a securitățiisistemului5.Calculul risculuiRisc = Impact x ProbabilitateProbabilitate1 – ameninţarea este foarte improbabil să apară2 – ameninţarea e posibil să apară mai puţin de o dată pe an3 – ameninţarea e posibil să apară o dată pe an4 – ameninţarea e posibil să apară o dată pe lună5 – ameninţarea e posibil să apară o dată pe săptămână6 – ameninţarea e posibil să apară o dată pe ziRiscul poate avea o valoare minimă 0 şi una maximă 25. Auditorul înaceastă etapă va seta o valoare a riscului acceptabil.
  15. 15. III. Strategia de control a securitățiisistemului6.Analiza măsurilor de prevenire a atacurilor• Control restrictiv ce are ca efect reducerea probabilităţii unui atac deliberat;• Control preventiv ce protejează vulnerabilităţile cunoscute sau presupuse şi reduc impactul unui atac reuşit;• Control corectiv ce reduce efectul unui atac prin supravegherea corectitudinii şi integrităţii datelor;• Control detectiv ce descoperă atacuri iniţiate sau în desfăşurare şi alarmează sistemul corespunzător.
  16. 16. III. Strategia de control a securității sistemuluiVerificarea evenimentelor ce au impact asupra sistemului (log-urilor) sub Windows Server 2003
  17. 17. III. Strategia de control a securitățiisistemului6.Analiza măsurilor de prevenire a atacurilor HACKER Control Control corectiv restrictiv minimizează creează probabilitate descrește apariție ATAC exploatează descoperă VULNERA Control BILITATI detectiv protejează declanșează rezultă în Control IMPACT preventiv
  18. 18. III. Strategia de control a securitățiisistemului7.Determinarea riscului rezidualRiscul rezidual-rămâne după analiza şi evaluarea tuturor măsurilor de combatere ariscurilor-semnalarea punctelor slabe, nevralgice ale sistemului asociate cuameninţările corespunzătoare şi probabilitatea lor de a avea loc-toate măsurile (recomandările) ce se impun a fi aplicate dacă risculrezidual nu se încadrează la un nivel acceptabil
  19. 19. III. Strategia de control a securitățiisistemului8.Întocmirea unui raport de analiză a riscurilor identificate şi asecurităţii în ansamblul săuUrmarea acestei analize o poate reprezenta detalierea testelor pentruelementele semnificative ale sistemului, aşa zisele puncte slabe,vulnerabile. În acest sens, auditorul poate urmări:-securitatea comunicaţiilor-controlul accesului logic şi fizic-securitatea fizică-evaluarea sistemului copiilor de siguranţă(back-up)-evaluarea sistemelor de protecţie antivirus
  20. 20. III. Strategia de control a securitățiisistemului8.Întocmirea unui raport de analiză a riscurilor identificate şi asecurităţii în ansamblul săuUrmarea acestei analize o poate reprezenta detalierea testelor pentruelementele semnificative ale sistemului, aşa zisele puncte slabe,vulnerabile. În acest sens, auditorul poate urmări:-securitatea comunicaţiilor-controlul accesului logic şi fizic-securitatea fizică-evaluarea sistemului copiilor de siguranţă(back-up)-evaluarea sistemelor de protecţie antivirus
  21. 21. IV. Securitatea comunicațiilorO aplicaţie ce utilizează sistemele bazate pe securitate trebuie să asigure:•Confidenţialitatea: menţinerea caracterului privat al informaţiei•Integritatea: dovada că respectiva informaţie nu a fost modificată•Autenticitatea: dovada identităţii celui ce transmite mesajul•Non-repudierea: siguranţa că cel ce generează mesajul nu poate să-ldenigreze mai târziu.Criptografia este considerată a fi „arta” sau ştiinţa de menţinere amesajelor secrete, asigurând confidenţialitatea, prin criptarea unui mesaj,folosind în acest sens chei asociate cu un algoritmSISTEME DE CRIPTARE-Simetrice-AsimetricePKI – Public Key Infrastructure
  22. 22. V. Controlul accesului• Control al accesului în sistem – control fizic• Control al accesului la resursele sistemului – control logicControlul accesului prin paroleAuditorul va verifica dacă sunt stabilite proceduri pentru schimbarea lorperiodică, păstrarea confidenţialităţii parolei, "transparenţa" parolelor,accesul la fişierele cu parole este protejat.Controlul accesului in mediile publice-FIREWALL-VPN-Tehnici de cripatare + PKI-ANTIVIRUSI
  23. 23. VI. Securitatea fizicăControlul securităţii fizice include măsuri ce vor face ca procesarea datelorsă nu fie afectată de dezastre naturale (foc, inundaţii), accidente tehnice(căderi de tensiune), condiţii de mediu (umiditate, lipsa ventilaţiei).Auditorul verifică măsura în care accesul fizic la date şi resurselehardware sunt restricţionate corespunzător:•spaţii speciale pentru amenajarea calculatoarelor cu protecţie la incendii,inundaţii, etc.•analiza mediilor de stocare a datelor. Existenta unor programe gen EasyRecovery sau Lost & Found care permit recuperarea datelor şterse de pemediile de stocare pot genera prejudicii importante.•echipamentelor trebuie să li se asigure condiţiile de mediu specificate îndocumentaţia tehnică;•sisteme de supraveghere şi alarmă;•controlul personalului de securitate.
  24. 24. VII. Evaluarea sistemului copiilor desiguranță• Ce informații necesită copii de siguranță?• Sunt procedurile de backup (pentru date si soft) cele potrivite?• Sunt backup-urile corect jurnalizate si stocate in locatii sigure?• Exista siguranta ca backup-urile si procedurile de restaurare vor lucra la nevoie?• Datele din fisierele copii sunt acoperitoare pentru refacerea fisierelor operationale?Back-up incremental “fiu-tată-bunic”
  25. 25. VII. Evaluarea sistemelor deprotecție antivirus• verificarea existenţei programelor antivirus la nivel de server şi staţie de lucru;• o analiză a update-ul software-ului antivirus cu cele mai recente detalii despre noii viruşi (automat, manual);• drepturile de a suspenda monitorizarea antivirus aparţine numai administratorului sau/şi operatorilor, utilizatorilor;• analiza configurării software-ul antivirus astfel încât acesta să aibă posibilitatea de a verifica e-mail-ul, cd-urile, dispozitivele USB, browser- ul de web, arhivele, alte unităţi de stocare;• utilizarea unei arhitecturi distribuite client/server pentru instalarea/configurarea/adminstrarea solutiei antivirus.
  26. 26. Mulțumesc!

×