2. Continut:
4.1 Managementul securitatii informatiei.
4.2 Gestiunea riscurilor in domeniul informatic.
4.3 Politica de securitate informatica a organizatiei.
3. 4.1 Managementul securitatii informatiei
Scopul fundamental al securitatii informatiei:
Crearea unui anumit nivel de non-vulnerabilitate a organizatiei, in
fata atacurilor voluntare/involuntare care au loc asupra:
informatiilor;
sistemelor si retelelor informatice;
sistemelor si instrumentelor de comunicatie electronica.
4. Ce cuprinde securitatea in sfera informatica?
Securitatea
sistemelor informatice
si a TIC
Securitatea
IC&T
Securitatea
informatiei
Securitatea
comunicatiilor
5. Mizele securitatii in domeniul informatic
Protejarea patrimoniului informational al organizatiei.
Lupta impotriva actelor de rea-vointa de natura informatica (fenomenul
de criminalitate informatica)
Asigurarea conformitatii cu reglementarile si normele in vigoare din
domeniul securitatii informatice (normele ISO 27000)
Identificarea si gestionarea riscurilor informationale, informatice si de
comunicatie.
ISO 27001 – Sisteme de management a securităţii informaţiei.
ISO 27002 – Ghid de bune practici -măsuri de securitate.
ISO 27003 – Implementare.
ISO 27005 - Analiza şi gestiunea riscului.
ISO 27006 – Auditul SMSI (sisteme de management a securitatii
informatiei).
6. Securitatea in domeniul IC&T
Conceptul de securitate aplicat informaţiei ia în considerare
protecţia activelor informaţionale – stocate, tratate, partajate,
transmise sau extrase de pe un suport electronic - în faţa
ameninţărilor care conduc la distrugere, divulgare, sau
inaccesibilitate.
Noţiunea de securitate informatică se refera la diversele
mecanisme, instrumente, proceduri sau tehnici care asigură
protecţia sistemelor, a reţelelor informatice si de comunicatie.
7. Parametrii de securitate a informatiei
Disponibilitatea - garantarea accesului la informaţie a utilizatorilor abilitaţi, în
condiţii bine determinate de timp şi performanţă.
Integritatea – garantarea exactitudinii şi a exhaustivităţii informaţiei, sub
aspectul nealterării ei voluntare sau involuntare, de către persoane
neautorizate.
Confidenţialitatea – garanteaza că informaţia este redată doar utilizatorilor
autorizaţi, accesarea acesteia fiind efectuată în baza unor reguli predefinite.
Controlul (trasabilitatea) –
asigurarea atributului de non-repudiere al informaţiei (imposibilitatea
utilizatorului de a nega recepţionarea/transmiterea informaţiei);
garantarea trasabilităţii - posibilitatea de a controla traseul informaţiei, prin
amprentele lăsate de aceasta in sistem.
8. Elemente vizate de securitatea IC&T
activele informaţionale – baze şi bănci de date, documentaţii de
sisteme, proceduri de fabricaţie, planuri, programe, arhive, brevete de
invenţii, drepturi de autor, marcă, imagine etc;
programe informatice – software de bază, aplicaţii, programe utilitare,
instrumente de dezvoltare software etc;
materiale informatice – calculatoare, echipamente de comunicaţie,
suporturi de memorare etc;
servicii electronice – telecomunicaţii, servicii de interes public, servicii
bancare etc.
9. Managementul securitatii informatiei
Managementul securităţii informaţiei – proces prin care se asigura
pilotajul activitatilor referitoare la gestionarea informatiei si a sistemelor
informatice într-o manieră care să garanteze un nivel adecvat de protecţie
a acestora, în timp şi spaţiu.
Obiectivul fundamental - prevenirea producerii riscurilor in domeniul
IC&T care pot compromite patrimoniul organizaţiei, precum şi recuperarea
rapidă a pierderilor survenite în urma manifestării acestora.
10. 4.2 Gestiunea riscurilor in domeniul informatic
Definitie:
Coordonarea într-o manieră continuă, a activităţilor de identificare,
evaluare, control si eliminare a riscurilor specifice infrastructurii IC&T
a organizaţiei, precum şi operaţionalizarea unor sisteme corespunzătoare
de supraveghere şi de alertă.
11. Riscurile din sfera informatica
Riscul = un pericol dovedit sau potential, previzibil sau nu,
care are un impact nefavorabil asupra capacitatii organizatiei
de a-si atinge obiectivele, precum si asupra nivelului sau
de performanta.
12. Delimitarea terminologica a riscurilor in
domeniul IC&T
Riscul informaţional reprezintă un pericol dovedit sau potenţial, mai
mult sau mai puţin previzibil, care se manifestă asupra caracteristicilor,
a conţinutului, a operaţiilor la care este supusa informaţia, precum şi
asupra circuitului sau fluxului informaţional.
Riscul informatic reprezintă un pericol dovedit sau potenţial, mai
mult sau mai puţin previzibil, care se manifestă asupra sistemelor
software de exploatare şi al programelor informatice.
Riscul tehnologic reprezintă un pericol dovedit sau potenţial, mai
mult sau mai puţin previzibil, care se manifestă asupra echipamentelor
hardware, al instrumentelor şi sistemelor de comunicaţie electronică,
precum şi asupra tehnologiilor funcţionale pe platforme Internet.
13. Componentele riscului
Probabilitatea de aparitie
Variaza de la imposibilitate la certitudine si se exprima pe o scara de
valori pe trei niveluri: mica – medie – mare.
Nivelul de vulnerabilitate
Exprima gradul de expunere la risc si se exprima pe trei niveluri:
redusa – medie – mare.
Nivelul impactului
Reprezinta efectele riscului in cazul producerii lui, scara valorica pe
trei niveluri: scazut – moderat – ridicat.
15. Aria de manifestare a riscului informatic
Aria de risc in
sfera informatica
Externa
Interna
Mixta
• grupuri de presiune
• piratare site
• intruziunea informatica
(hacking)
• echipamente neperformante
• produse informatice
contrafacute
• gestiune defectuoasa a inform.
uzurparea identitatii
atacuri virale
deturnarea informatiei
16. Tipuri de vulnerabilitati
Vulnerabilitati
Organizationale
Tehnice
Umane
Externe
- Arhitecturi informatice,
de comunicatie permisive
- Administrare nesecurizata a
aplicatiilor
- Deficiente de conceptie
- Conexiuni nesigure pt.
comunicatii
- Necunoasterea/ignorarea
amenintarilor
- Lipsa de implicare a cond.
- Defaimarea, decredibilizarea
imaginii si a notorietatii
17. 4.3 Politica de securitate informatica
Concept:
Componentă cu rol complementar şi de suport în cadrul celorlalte politici
existente în organizaţie, concepută pentru a asigura cadrul formal de
aplicare a măsurilor de securitate, destinate reducerii riscurilor IC&T
şi a pierderilor generate de acestea .
Obiectiv urmarit prin PSI
Asigurarea protecţiei activelor informaţionale ale organizatiei, în scopul
garantării continuităţii în funcţionare a propriului sistem.
18. Elemente generale ale politicii de securitate
informatica
Elemente ale PSI Intrebari asociate
Organizarea securităţii Ce anume trebuie protejat? De ce?
Atribuirea rolurilor şi a responsabilităţilor Cine asigură protecţia? Care sunt
nivelurile de protecţie pentru fiecare actor
implicat?
Identificarea ţintelor de securitate pentru
fiecare domeniu din organizaţie
Care sunt riscurile potenţiale, cauzele lor ?
Ce riscuri pot fi asumate?
Definirea ameninţărilor, identificarea
vulnerabilităţilor
Care este nivelul actual de securitate
informatică? Care este gradul de
vulnerabilitate, pe domenii?
Definirea măsurilor de securitate Care sunt practicile, soluţiile, procedurile
ce vor fi operaţionalizate în planul
informaţional, informatic şi al
comunicaţiilor?
19. Oportunitatea politici de securitate informatica
Perceptia manageriala
Asigurarea securitatii in domeniul informatic este hotaritoare pentru castigarea
increderii din partea partenerilor organizatiei.
Abordarea securitatii informatice din perspectiva tehnologica este o conditie
necesara (nu si suficienta) pentru protejarea patrimoniului organizatiei.
Abordarea securitatii informatice din perspectiva manageriala (conditia de
suficienta) este in masura sa asigure o coerenta a scopurilor PSI cu obiectivele
strategice generale.
Perceptia economica (eficienta si eficacitate)
Asigurarea securitatii informatice nu sporeste in mod direct si vizibil resursele
financiare ale organizatiei, dar in mod sigur, evita sa le piarda!!!
Securitatea in domeniul informatic poseda o eficacitate “pasiva”, reflectata prin
efecte care ar apare ca urmare a insecuritatii informatice!
20. Securitatea informatica este o calatorie permanenta
si nu doar o destinatie.
(Club de la Securite de l’Information Francais)