SlideShare a Scribd company logo

Cap4 securitatea si

Download as PPSX, PDF
Denis Dutescu
Denis Dutescu
1 of 20
Modul 4 Managementul securitatii sistemelor informatice
Continut: 4.1 Managementul securitatii informatiei. 4.2 Gestiunea riscurilor in domeniul informatic. 4.3 Politica de securitate informatica a organizatiei.
4.1 Managementul securitatii informatiei Scopul fundamental al securitatii informatiei: Crearea unui anumit nivel de non-vulnerabilitate a organizatiei, in fata atacurilor voluntare/involuntare care au loc asupra:  informatiilor;  sistemelor si retelelor informatice;  sistemelor si instrumentelor de comunicatie electronica.
Ce cuprinde securitatea in sfera informatica? Securitatea sistemelor informatice si a TIC Securitatea IC&T Securitatea informatiei Securitatea comunicatiilor
Mizele securitatii in domeniul informatic  Protejarea patrimoniului informational al organizatiei.  Lupta impotriva actelor de rea-vointa de natura informatica (fenomenul de criminalitate informatica)  Asigurarea conformitatii cu reglementarile si normele in vigoare din domeniul securitatii informatice (normele ISO 27000)  Identificarea si gestionarea riscurilor informationale, informatice si de comunicatie. ISO 27001 – Sisteme de management a securităţii informaţiei. ISO 27002 – Ghid de bune practici -măsuri de securitate. ISO 27003 – Implementare. ISO 27005 - Analiza şi gestiunea riscului. ISO 27006 – Auditul SMSI (sisteme de management a securitatii informatiei).
Securitatea in domeniul IC&T  Conceptul de securitate aplicat informaţiei ia în considerare protecţia activelor informaţionale – stocate, tratate, partajate, transmise sau extrase de pe un suport electronic - în faţa ameninţărilor care conduc la distrugere, divulgare, sau inaccesibilitate.  Noţiunea de securitate informatică se refera la diversele mecanisme, instrumente, proceduri sau tehnici care asigură protecţia sistemelor, a reţelelor informatice si de comunicatie.
Parametrii de securitate a informatiei  Disponibilitatea - garantarea accesului la informaţie a utilizatorilor abilitaţi, în condiţii bine determinate de timp şi performanţă.  Integritatea – garantarea exactitudinii şi a exhaustivităţii informaţiei, sub aspectul nealterării ei voluntare sau involuntare, de către persoane neautorizate.  Confidenţialitatea – garanteaza că informaţia este redată doar utilizatorilor autorizaţi, accesarea acesteia fiind efectuată în baza unor reguli predefinite.  Controlul (trasabilitatea) –  asigurarea atributului de non-repudiere al informaţiei (imposibilitatea utilizatorului de a nega recepţionarea/transmiterea informaţiei);  garantarea trasabilităţii - posibilitatea de a controla traseul informaţiei, prin amprentele lăsate de aceasta in sistem.
Elemente vizate de securitatea IC&T  activele informaţionale – baze şi bănci de date, documentaţii de sisteme, proceduri de fabricaţie, planuri, programe, arhive, brevete de invenţii, drepturi de autor, marcă, imagine etc;  programe informatice – software de bază, aplicaţii, programe utilitare, instrumente de dezvoltare software etc;  materiale informatice – calculatoare, echipamente de comunicaţie, suporturi de memorare etc;  servicii electronice – telecomunicaţii, servicii de interes public, servicii bancare etc.
Managementul securitatii informatiei Managementul securităţii informaţiei – proces prin care se asigura pilotajul activitatilor referitoare la gestionarea informatiei si a sistemelor informatice într-o manieră care să garanteze un nivel adecvat de protecţie a acestora, în timp şi spaţiu. Obiectivul fundamental - prevenirea producerii riscurilor in domeniul IC&T care pot compromite patrimoniul organizaţiei, precum şi recuperarea rapidă a pierderilor survenite în urma manifestării acestora.
4.2 Gestiunea riscurilor in domeniul informatic Definitie: Coordonarea într-o manieră continuă, a activităţilor de identificare, evaluare, control si eliminare a riscurilor specifice infrastructurii IC&T a organizaţiei, precum şi operaţionalizarea unor sisteme corespunzătoare de supraveghere şi de alertă.
Riscurile din sfera informatica Riscul = un pericol dovedit sau potential, previzibil sau nu, care are un impact nefavorabil asupra capacitatii organizatiei de a-si atinge obiectivele, precum si asupra nivelului sau de performanta.
Delimitarea terminologica a riscurilor in domeniul IC&T  Riscul informaţional reprezintă un pericol dovedit sau potenţial, mai mult sau mai puţin previzibil, care se manifestă asupra caracteristicilor, a conţinutului, a operaţiilor la care este supusa informaţia, precum şi asupra circuitului sau fluxului informaţional.  Riscul informatic reprezintă un pericol dovedit sau potenţial, mai mult sau mai puţin previzibil, care se manifestă asupra sistemelor software de exploatare şi al programelor informatice.  Riscul tehnologic reprezintă un pericol dovedit sau potenţial, mai mult sau mai puţin previzibil, care se manifestă asupra echipamentelor hardware, al instrumentelor şi sistemelor de comunicaţie electronică, precum şi asupra tehnologiilor funcţionale pe platforme Internet.
Componentele riscului  Probabilitatea de aparitie  Variaza de la imposibilitate la certitudine si se exprima pe o scara de valori pe trei niveluri: mica – medie – mare.  Nivelul de vulnerabilitate  Exprima gradul de expunere la risc si se exprima pe trei niveluri: redusa – medie – mare.  Nivelul impactului  Reprezinta efectele riscului in cazul producerii lui, scara valorica pe trei niveluri: scazut – moderat – ridicat.
Masurarea riscului
Aria de manifestare a riscului informatic Aria de risc in sfera informatica Externa Interna Mixta • grupuri de presiune • piratare site • intruziunea informatica (hacking) • echipamente neperformante • produse informatice contrafacute • gestiune defectuoasa a inform.  uzurparea identitatii  atacuri virale  deturnarea informatiei
Tipuri de vulnerabilitati Vulnerabilitati Organizationale Tehnice Umane Externe - Arhitecturi informatice, de comunicatie permisive - Administrare nesecurizata a aplicatiilor - Deficiente de conceptie - Conexiuni nesigure pt. comunicatii - Necunoasterea/ignorarea amenintarilor - Lipsa de implicare a cond. - Defaimarea, decredibilizarea imaginii si a notorietatii
4.3 Politica de securitate informatica Concept: Componentă cu rol complementar şi de suport în cadrul celorlalte politici existente în organizaţie, concepută pentru a asigura cadrul formal de aplicare a măsurilor de securitate, destinate reducerii riscurilor IC&T şi a pierderilor generate de acestea . Obiectiv urmarit prin PSI Asigurarea protecţiei activelor informaţionale ale organizatiei, în scopul garantării continuităţii în funcţionare a propriului sistem.
Elemente generale ale politicii de securitate informatica Elemente ale PSI Intrebari asociate  Organizarea securităţii  Ce anume trebuie protejat? De ce?  Atribuirea rolurilor şi a responsabilităţilor  Cine asigură protecţia? Care sunt nivelurile de protecţie pentru fiecare actor implicat?  Identificarea ţintelor de securitate pentru fiecare domeniu din organizaţie  Care sunt riscurile potenţiale, cauzele lor ? Ce riscuri pot fi asumate?  Definirea ameninţărilor, identificarea vulnerabilităţilor  Care este nivelul actual de securitate informatică? Care este gradul de vulnerabilitate, pe domenii?  Definirea măsurilor de securitate  Care sunt practicile, soluţiile, procedurile ce vor fi operaţionalizate în planul informaţional, informatic şi al comunicaţiilor?
Oportunitatea politici de securitate informatica Perceptia manageriala  Asigurarea securitatii in domeniul informatic este hotaritoare pentru castigarea increderii din partea partenerilor organizatiei.  Abordarea securitatii informatice din perspectiva tehnologica este o conditie necesara (nu si suficienta) pentru protejarea patrimoniului organizatiei.  Abordarea securitatii informatice din perspectiva manageriala (conditia de suficienta) este in masura sa asigure o coerenta a scopurilor PSI cu obiectivele strategice generale. Perceptia economica (eficienta si eficacitate)  Asigurarea securitatii informatice nu sporeste in mod direct si vizibil resursele financiare ale organizatiei, dar in mod sigur, evita sa le piarda!!!  Securitatea in domeniul informatic poseda o eficacitate “pasiva”, reflectata prin efecte care ar apare ca urmare a insecuritatii informatice!
Securitatea informatica este o calatorie permanenta si nu doar o destinatie. (Club de la Securite de l’Information Francais)

Recommended

Prezentare Generala Securitatea Informatiei - ISO27001
Prezentare Generala Securitatea Informatiei - ISO27001Prezentare Generala Securitatea Informatiei - ISO27001
Prezentare Generala Securitatea Informatiei - ISO27001iso27001consulting
 
Internet safety
Internet safetyInternet safety
Internet safetyDan Tomlinson
 
What is Cyber Security? | Introduction to Cyber Security | Cyber Security Tra...
What is Cyber Security? | Introduction to Cyber Security | Cyber Security Tra...What is Cyber Security? | Introduction to Cyber Security | Cyber Security Tra...
What is Cyber Security? | Introduction to Cyber Security | Cyber Security Tra...Edureka!
 
Social Networking Security
Social Networking SecuritySocial Networking Security
Social Networking SecurityS. M. Shakib Limon
 
Cyber crime & cyber security 10
Cyber crime & cyber security 10Cyber crime & cyber security 10
Cyber crime & cyber security 10Sudeshna Biswas
 
Social media-threats
Social media-threatsSocial media-threats
Social media-threatsAndreas Hiller
 
Ransomware
Ransomware Ransomware
Ransomware Armor
 
La sicurezza dei sistemi di elaborazione e delle reti informatiche.
La sicurezza dei sistemi di elaborazione e delle reti informatiche.La sicurezza dei sistemi di elaborazione e delle reti informatiche.
La sicurezza dei sistemi di elaborazione e delle reti informatiche.gmorelli78
 

Recommended

Prezentare Generala Securitatea Informatiei - ISO27001
Prezentare Generala Securitatea Informatiei - ISO27001Prezentare Generala Securitatea Informatiei - ISO27001
Prezentare Generala Securitatea Informatiei - ISO27001iso27001consulting
 
Internet safety
Internet safetyInternet safety
Internet safetyDan Tomlinson
 
What is Cyber Security? | Introduction to Cyber Security | Cyber Security Tra...
What is Cyber Security? | Introduction to Cyber Security | Cyber Security Tra...What is Cyber Security? | Introduction to Cyber Security | Cyber Security Tra...
What is Cyber Security? | Introduction to Cyber Security | Cyber Security Tra...Edureka!
 
Social Networking Security
Social Networking SecuritySocial Networking Security
Social Networking SecurityS. M. Shakib Limon
 
Cyber crime & cyber security 10
Cyber crime & cyber security 10Cyber crime & cyber security 10
Cyber crime & cyber security 10Sudeshna Biswas
 
Social media-threats
Social media-threatsSocial media-threats
Social media-threatsAndreas Hiller
 
Ransomware
Ransomware Ransomware
Ransomware Armor
 
La sicurezza dei sistemi di elaborazione e delle reti informatiche.
La sicurezza dei sistemi di elaborazione e delle reti informatiche.La sicurezza dei sistemi di elaborazione e delle reti informatiche.
La sicurezza dei sistemi di elaborazione e delle reti informatiche.gmorelli78
 
What is Ransomware?
What is Ransomware?What is Ransomware?
What is Ransomware?Datto
 
Ataques informaticos
Ataques informaticosAtaques informaticos
Ataques informaticosadrianruiz81
 
Case Study: The Role of Human Error in Information Security
Case Study: The Role of Human Error in Information SecurityCase Study: The Role of Human Error in Information Security
Case Study: The Role of Human Error in Information SecurityPECB
 
Computer Security
Computer SecurityComputer Security
Computer SecurityFrederik Questier
 
Cybersecurity
CybersecurityCybersecurity
CybersecurityForam Gosai
 
Hacking and Hacktivism
Hacking and HacktivismHacking and Hacktivism
Hacking and Hacktivismrashidirazali
 
Segurança na Internet
Segurança na InternetSegurança na Internet
Segurança na InternetAgrupamento de Escolas da Batalha
 
ApresentaçãO De SegurançA Do Computador Em Slides 06 10 2009[1]
ApresentaçãO De SegurançA Do Computador Em Slides 06 10 2009[1]ApresentaçãO De SegurançA Do Computador Em Slides 06 10 2009[1]
ApresentaçãO De SegurançA Do Computador Em Slides 06 10 2009[1]Marta Durão Nunes
 
cyber security
cyber securitycyber security
cyber securityabithajayavel
 
Computer Security 101
Computer Security 101Computer Security 101
Computer Security 101Progressive Integrations
 
Cyber security
Cyber securityCyber security
Cyber securitymanoj duli
 
All about Honeypots & Honeynets
All about Honeypots & HoneynetsAll about Honeypots & Honeynets
All about Honeypots & HoneynetsMehdi Poustchi Amin
 
Information security
Information securityInformation security
Information securityAlaaMahmoud108
 
Cyber Safety ppt.pptx
Cyber Safety ppt.pptxCyber Safety ppt.pptx
Cyber Safety ppt.pptxCGC Technical campus,Mohali
 
Security operation center.pdf
Security operation center.pdfSecurity operation center.pdf
Security operation center.pdfSkillmine Technology Consulting
 
Presentation on cyber crime
Presentation on cyber crimePresentation on cyber crime
Presentation on cyber crimePsychoticBanda
 
Security Awareness Training by Fortinet
Security Awareness Training by FortinetSecurity Awareness Training by Fortinet
Security Awareness Training by FortinetAtlantic Training, LLC.
 
Cyber security
Cyber securityCyber security
Cyber securitySapna Patil
 
Cybersecurity and its oppoutinities
Cybersecurity and its oppoutinitiesCybersecurity and its oppoutinities
Cybersecurity and its oppoutinitiesLAVANS2
 
Cybersecurity: Mock Cyberwar Game
Cybersecurity: Mock Cyberwar Game Cybersecurity: Mock Cyberwar Game
Cybersecurity: Mock Cyberwar Game Rahul Neel Mani
 
Cap2 si specializate
Cap2 si specializateCap2 si specializate
Cap2 si specializateDenis Dutescu
 
Cap3 si strategice
Cap3 si strategiceCap3 si strategice
Cap3 si strategiceDenis Dutescu
 

More Related Content

What's hot

What is Ransomware?
What is Ransomware?What is Ransomware?
What is Ransomware?Datto
 
Ataques informaticos
Ataques informaticosAtaques informaticos
Ataques informaticosadrianruiz81
 
Case Study: The Role of Human Error in Information Security
Case Study: The Role of Human Error in Information SecurityCase Study: The Role of Human Error in Information Security
Case Study: The Role of Human Error in Information SecurityPECB
 
Hacking and Hacktivism
Hacking and HacktivismHacking and Hacktivism
Hacking and Hacktivismrashidirazali
 
ApresentaçãO De SegurançA Do Computador Em Slides 06 10 2009[1]
ApresentaçãO De SegurançA Do Computador Em Slides 06 10 2009[1]ApresentaçãO De SegurançA Do Computador Em Slides 06 10 2009[1]
ApresentaçãO De SegurançA Do Computador Em Slides 06 10 2009[1]Marta Durão Nunes
 
Cyber security
Cyber securityCyber security
Cyber securitymanoj duli
 
Presentation on cyber crime
Presentation on cyber crimePresentation on cyber crime
Presentation on cyber crimePsychoticBanda
 
Cybersecurity and its oppoutinities
Cybersecurity and its oppoutinitiesCybersecurity and its oppoutinities
Cybersecurity and its oppoutinitiesLAVANS2
 
Cybersecurity: Mock Cyberwar Game
Cybersecurity: Mock Cyberwar Game Cybersecurity: Mock Cyberwar Game
Cybersecurity: Mock Cyberwar Game Rahul Neel Mani
 

What's hot (20)

What is Ransomware?
What is Ransomware?What is Ransomware?
What is Ransomware?
 
Ataques informaticos
Ataques informaticosAtaques informaticos
Ataques informaticos
 
Case Study: The Role of Human Error in Information Security
Case Study: The Role of Human Error in Information SecurityCase Study: The Role of Human Error in Information Security
Case Study: The Role of Human Error in Information Security
 
Computer Security
Computer SecurityComputer Security
Computer Security
 
Cybersecurity
CybersecurityCybersecurity
Cybersecurity
 
Hacking and Hacktivism
Hacking and HacktivismHacking and Hacktivism
Hacking and Hacktivism
 
Segurança na Internet
Segurança na InternetSegurança na Internet
Segurança na Internet
 
ApresentaçãO De SegurançA Do Computador Em Slides 06 10 2009[1]
ApresentaçãO De SegurançA Do Computador Em Slides 06 10 2009[1]ApresentaçãO De SegurançA Do Computador Em Slides 06 10 2009[1]
ApresentaçãO De SegurançA Do Computador Em Slides 06 10 2009[1]
 
cyber security
cyber securitycyber security
cyber security
 
Computer Security 101
Computer Security 101Computer Security 101
Computer Security 101
 
Cyber security
Cyber securityCyber security
Cyber security
 
All about Honeypots & Honeynets
All about Honeypots & HoneynetsAll about Honeypots & Honeynets
All about Honeypots & Honeynets
 
Information security
Information securityInformation security
Information security
 
Cyber Safety ppt.pptx
Cyber Safety ppt.pptxCyber Safety ppt.pptx
Cyber Safety ppt.pptx
 
Security operation center.pdf
Security operation center.pdfSecurity operation center.pdf
Security operation center.pdf
 
Presentation on cyber crime
Presentation on cyber crimePresentation on cyber crime
Presentation on cyber crime
 
Security Awareness Training by Fortinet
Security Awareness Training by FortinetSecurity Awareness Training by Fortinet
Security Awareness Training by Fortinet
 
Cyber security
Cyber securityCyber security
Cyber security
 
Cybersecurity and its oppoutinities
Cybersecurity and its oppoutinitiesCybersecurity and its oppoutinities
Cybersecurity and its oppoutinities
 
Cybersecurity: Mock Cyberwar Game
Cybersecurity: Mock Cyberwar Game Cybersecurity: Mock Cyberwar Game
Cybersecurity: Mock Cyberwar Game
 

Viewers also liked

Cap2 si specializate
Cap2 si specializateCap2 si specializate
Cap2 si specializateDenis Dutescu
 
Criptografia
CriptografiaCriptografia
CriptografiaPaola RM
 
Curs de management integrat modul 1
Curs de management integrat modul 1Curs de management integrat modul 1
Curs de management integrat modul 1Stefan Kovacs
 

Viewers also liked (6)

Cap2 si specializate
Cap2 si specializateCap2 si specializate
Cap2 si specializate
 
Cap3 si strategice
Cap3 si strategiceCap3 si strategice
Cap3 si strategice
 
Criptografia
CriptografiaCriptografia
Criptografia
 
Colaborare Turcia
Colaborare TurciaColaborare Turcia
Colaborare Turcia
 
Curs de management integrat modul 1
Curs de management integrat modul 1Curs de management integrat modul 1
Curs de management integrat modul 1
 
Cum scriem o cerere de finanțare
Cum scriem o cerere de finanțareCum scriem o cerere de finanțare
Cum scriem o cerere de finanțare
 

Similar to Cap4 securitatea si

Is21 cybersecurity
Is21 cybersecurityIs21 cybersecurity
Is21 cybersecurityCrescendo
 
Controlul securitatii sistemelor informatice
Controlul securitatii sistemelor informaticeControlul securitatii sistemelor informatice
Controlul securitatii sistemelor informaticeSergiu-George Boboc
 
IT Security by provision security distribution
IT Security by provision security distributionIT Security by provision security distribution
IT Security by provision security distributionJulian Medeleanu MBA
 
Detecting and Defending against Advanced Persistent Threats - DefCamp 2012
Detecting and Defending against Advanced Persistent Threats - DefCamp 2012Detecting and Defending against Advanced Persistent Threats - DefCamp 2012
Detecting and Defending against Advanced Persistent Threats - DefCamp 2012DefCamp
 
G data ce-bit+2010+ro
G data ce-bit+2010+roG data ce-bit+2010+ro
G data ce-bit+2010+roAgora Group
 
Prezentare compartiment securitatea (2)
Prezentare compartiment securitatea (2)Prezentare compartiment securitatea (2)
Prezentare compartiment securitatea (2)S.E. CTS CERT-GOV-MD
 
Connection Days 2011 - Cristian Valean - Siguranta si securitate IT
Connection Days 2011 - Cristian Valean - Siguranta si securitate ITConnection Days 2011 - Cristian Valean - Siguranta si securitate IT
Connection Days 2011 - Cristian Valean - Siguranta si securitate ITITSpark Community
 
Adrian stanescu ad-cluj
Adrian stanescu ad-clujAdrian stanescu ad-cluj
Adrian stanescu ad-clujAgora Group
 
Tipuri de protectie a documentelor word
Tipuri de protectie a documentelor wordTipuri de protectie a documentelor word
Tipuri de protectie a documentelor worddianamihaelagalatanu
 
Tipuri de protectie a documentelor word
Tipuri de protectie a documentelor wordTipuri de protectie a documentelor word
Tipuri de protectie a documentelor worddianamihaelagalatanu
 
GESTIONAREA RISCURILOR DE SECURITATE A INFORMAȚIEI
GESTIONAREA RISCURILOR DE SECURITATE A INFORMAȚIEIGESTIONAREA RISCURILOR DE SECURITATE A INFORMAȚIEI
GESTIONAREA RISCURILOR DE SECURITATE A INFORMAȚIEIS.E. CTS CERT-GOV-MD
 
Prezentare CERT RO
Prezentare CERT ROPrezentare CERT RO
Prezentare CERT ROIDG Romania
 
Kaspersky 22iun2011
Kaspersky 22iun2011Kaspersky 22iun2011
Kaspersky 22iun2011Agora Group
 
Bazele tehnologiei informatiei - Tema.docx
Bazele tehnologiei informatiei - Tema.docxBazele tehnologiei informatiei - Tema.docx
Bazele tehnologiei informatiei - Tema.docxMariusUrea2
 
Identitatea, reputația online și securitatea pe internet
Identitatea, reputația online și securitatea pe internetIdentitatea, reputația online și securitatea pe internet
Identitatea, reputația online și securitatea pe internetMelinda Nagy
 

Similar to Cap4 securitatea si (20)

Is21 cybersecurity
Is21 cybersecurityIs21 cybersecurity
Is21 cybersecurity
 
Provision Security Long Version
Provision Security Long VersionProvision Security Long Version
Provision Security Long Version
 
Controlul securitatii sistemelor informatice
Controlul securitatii sistemelor informaticeControlul securitatii sistemelor informatice
Controlul securitatii sistemelor informatice
 
Presentation cert gov-md 05.03.2013
Presentation cert gov-md 05.03.2013Presentation cert gov-md 05.03.2013
Presentation cert gov-md 05.03.2013
 
IT Security by provision security distribution
IT Security by provision security distributionIT Security by provision security distribution
IT Security by provision security distribution
 
Securitatea pe internet
Securitatea pe internetSecuritatea pe internet
Securitatea pe internet
 
Detecting and Defending against Advanced Persistent Threats - DefCamp 2012
Detecting and Defending against Advanced Persistent Threats - DefCamp 2012Detecting and Defending against Advanced Persistent Threats - DefCamp 2012
Detecting and Defending against Advanced Persistent Threats - DefCamp 2012
 
Informatica manageriala Afaceri Electronice Patrascu Mihaela Hanelore
Informatica manageriala Afaceri Electronice Patrascu Mihaela HaneloreInformatica manageriala Afaceri Electronice Patrascu Mihaela Hanelore
Informatica manageriala Afaceri Electronice Patrascu Mihaela Hanelore
 
prez14.ppt
prez14.pptprez14.ppt
prez14.ppt
 
G data ce-bit+2010+ro
G data ce-bit+2010+roG data ce-bit+2010+ro
G data ce-bit+2010+ro
 
Prezentare compartiment securitatea (2)
Prezentare compartiment securitatea (2)Prezentare compartiment securitatea (2)
Prezentare compartiment securitatea (2)
 
Connection Days 2011 - Cristian Valean - Siguranta si securitate IT
Connection Days 2011 - Cristian Valean - Siguranta si securitate ITConnection Days 2011 - Cristian Valean - Siguranta si securitate IT
Connection Days 2011 - Cristian Valean - Siguranta si securitate IT
 
Adrian stanescu ad-cluj
Adrian stanescu ad-clujAdrian stanescu ad-cluj
Adrian stanescu ad-cluj
 
Tipuri de protectie a documentelor word
Tipuri de protectie a documentelor wordTipuri de protectie a documentelor word
Tipuri de protectie a documentelor word
 
Tipuri de protectie a documentelor word
Tipuri de protectie a documentelor wordTipuri de protectie a documentelor word
Tipuri de protectie a documentelor word
 
GESTIONAREA RISCURILOR DE SECURITATE A INFORMAȚIEI
GESTIONAREA RISCURILOR DE SECURITATE A INFORMAȚIEIGESTIONAREA RISCURILOR DE SECURITATE A INFORMAȚIEI
GESTIONAREA RISCURILOR DE SECURITATE A INFORMAȚIEI
 
Prezentare CERT RO
Prezentare CERT ROPrezentare CERT RO
Prezentare CERT RO
 
Kaspersky 22iun2011
Kaspersky 22iun2011Kaspersky 22iun2011
Kaspersky 22iun2011
 
Bazele tehnologiei informatiei - Tema.docx
Bazele tehnologiei informatiei - Tema.docxBazele tehnologiei informatiei - Tema.docx
Bazele tehnologiei informatiei - Tema.docx
 
Identitatea, reputația online și securitatea pe internet
Identitatea, reputația online și securitatea pe internetIdentitatea, reputația online și securitatea pe internet
Identitatea, reputația online și securitatea pe internet
 

Cap4 securitatea si

  • 2. Continut: 4.1 Managementul securitatii informatiei. 4.2 Gestiunea riscurilor in domeniul informatic. 4.3 Politica de securitate informatica a organizatiei.
  • 3. 4.1 Managementul securitatii informatiei Scopul fundamental al securitatii informatiei: Crearea unui anumit nivel de non-vulnerabilitate a organizatiei, in fata atacurilor voluntare/involuntare care au loc asupra:  informatiilor;  sistemelor si retelelor informatice;  sistemelor si instrumentelor de comunicatie electronica.
  • 4. Ce cuprinde securitatea in sfera informatica? Securitatea sistemelor informatice si a TIC Securitatea IC&T Securitatea informatiei Securitatea comunicatiilor
  • 5. Mizele securitatii in domeniul informatic  Protejarea patrimoniului informational al organizatiei.  Lupta impotriva actelor de rea-vointa de natura informatica (fenomenul de criminalitate informatica)  Asigurarea conformitatii cu reglementarile si normele in vigoare din domeniul securitatii informatice (normele ISO 27000)  Identificarea si gestionarea riscurilor informationale, informatice si de comunicatie. ISO 27001 – Sisteme de management a securităţii informaţiei. ISO 27002 – Ghid de bune practici -măsuri de securitate. ISO 27003 – Implementare. ISO 27005 - Analiza şi gestiunea riscului. ISO 27006 – Auditul SMSI (sisteme de management a securitatii informatiei).
  • 6. Securitatea in domeniul IC&T  Conceptul de securitate aplicat informaţiei ia în considerare protecţia activelor informaţionale – stocate, tratate, partajate, transmise sau extrase de pe un suport electronic - în faţa ameninţărilor care conduc la distrugere, divulgare, sau inaccesibilitate.  Noţiunea de securitate informatică se refera la diversele mecanisme, instrumente, proceduri sau tehnici care asigură protecţia sistemelor, a reţelelor informatice si de comunicatie.
  • 7. Parametrii de securitate a informatiei  Disponibilitatea - garantarea accesului la informaţie a utilizatorilor abilitaţi, în condiţii bine determinate de timp şi performanţă.  Integritatea – garantarea exactitudinii şi a exhaustivităţii informaţiei, sub aspectul nealterării ei voluntare sau involuntare, de către persoane neautorizate.  Confidenţialitatea – garanteaza că informaţia este redată doar utilizatorilor autorizaţi, accesarea acesteia fiind efectuată în baza unor reguli predefinite.  Controlul (trasabilitatea) –  asigurarea atributului de non-repudiere al informaţiei (imposibilitatea utilizatorului de a nega recepţionarea/transmiterea informaţiei);  garantarea trasabilităţii - posibilitatea de a controla traseul informaţiei, prin amprentele lăsate de aceasta in sistem.
  • 8. Elemente vizate de securitatea IC&T  activele informaţionale – baze şi bănci de date, documentaţii de sisteme, proceduri de fabricaţie, planuri, programe, arhive, brevete de invenţii, drepturi de autor, marcă, imagine etc;  programe informatice – software de bază, aplicaţii, programe utilitare, instrumente de dezvoltare software etc;  materiale informatice – calculatoare, echipamente de comunicaţie, suporturi de memorare etc;  servicii electronice – telecomunicaţii, servicii de interes public, servicii bancare etc.
  • 9. Managementul securitatii informatiei Managementul securităţii informaţiei – proces prin care se asigura pilotajul activitatilor referitoare la gestionarea informatiei si a sistemelor informatice într-o manieră care să garanteze un nivel adecvat de protecţie a acestora, în timp şi spaţiu. Obiectivul fundamental - prevenirea producerii riscurilor in domeniul IC&T care pot compromite patrimoniul organizaţiei, precum şi recuperarea rapidă a pierderilor survenite în urma manifestării acestora.
  • 10. 4.2 Gestiunea riscurilor in domeniul informatic Definitie: Coordonarea într-o manieră continuă, a activităţilor de identificare, evaluare, control si eliminare a riscurilor specifice infrastructurii IC&T a organizaţiei, precum şi operaţionalizarea unor sisteme corespunzătoare de supraveghere şi de alertă.
  • 11. Riscurile din sfera informatica Riscul = un pericol dovedit sau potential, previzibil sau nu, care are un impact nefavorabil asupra capacitatii organizatiei de a-si atinge obiectivele, precum si asupra nivelului sau de performanta.
  • 12. Delimitarea terminologica a riscurilor in domeniul IC&T  Riscul informaţional reprezintă un pericol dovedit sau potenţial, mai mult sau mai puţin previzibil, care se manifestă asupra caracteristicilor, a conţinutului, a operaţiilor la care este supusa informaţia, precum şi asupra circuitului sau fluxului informaţional.  Riscul informatic reprezintă un pericol dovedit sau potenţial, mai mult sau mai puţin previzibil, care se manifestă asupra sistemelor software de exploatare şi al programelor informatice.  Riscul tehnologic reprezintă un pericol dovedit sau potenţial, mai mult sau mai puţin previzibil, care se manifestă asupra echipamentelor hardware, al instrumentelor şi sistemelor de comunicaţie electronică, precum şi asupra tehnologiilor funcţionale pe platforme Internet.
  • 13. Componentele riscului  Probabilitatea de aparitie  Variaza de la imposibilitate la certitudine si se exprima pe o scara de valori pe trei niveluri: mica – medie – mare.  Nivelul de vulnerabilitate  Exprima gradul de expunere la risc si se exprima pe trei niveluri: redusa – medie – mare.  Nivelul impactului  Reprezinta efectele riscului in cazul producerii lui, scara valorica pe trei niveluri: scazut – moderat – ridicat.
  • 15. Aria de manifestare a riscului informatic Aria de risc in sfera informatica Externa Interna Mixta • grupuri de presiune • piratare site • intruziunea informatica (hacking) • echipamente neperformante • produse informatice contrafacute • gestiune defectuoasa a inform.  uzurparea identitatii  atacuri virale  deturnarea informatiei
  • 16. Tipuri de vulnerabilitati Vulnerabilitati Organizationale Tehnice Umane Externe - Arhitecturi informatice, de comunicatie permisive - Administrare nesecurizata a aplicatiilor - Deficiente de conceptie - Conexiuni nesigure pt. comunicatii - Necunoasterea/ignorarea amenintarilor - Lipsa de implicare a cond. - Defaimarea, decredibilizarea imaginii si a notorietatii
  • 17. 4.3 Politica de securitate informatica Concept: Componentă cu rol complementar şi de suport în cadrul celorlalte politici existente în organizaţie, concepută pentru a asigura cadrul formal de aplicare a măsurilor de securitate, destinate reducerii riscurilor IC&T şi a pierderilor generate de acestea . Obiectiv urmarit prin PSI Asigurarea protecţiei activelor informaţionale ale organizatiei, în scopul garantării continuităţii în funcţionare a propriului sistem.
  • 18. Elemente generale ale politicii de securitate informatica Elemente ale PSI Intrebari asociate  Organizarea securităţii  Ce anume trebuie protejat? De ce?  Atribuirea rolurilor şi a responsabilităţilor  Cine asigură protecţia? Care sunt nivelurile de protecţie pentru fiecare actor implicat?  Identificarea ţintelor de securitate pentru fiecare domeniu din organizaţie  Care sunt riscurile potenţiale, cauzele lor ? Ce riscuri pot fi asumate?  Definirea ameninţărilor, identificarea vulnerabilităţilor  Care este nivelul actual de securitate informatică? Care este gradul de vulnerabilitate, pe domenii?  Definirea măsurilor de securitate  Care sunt practicile, soluţiile, procedurile ce vor fi operaţionalizate în planul informaţional, informatic şi al comunicaţiilor?
  • 19. Oportunitatea politici de securitate informatica Perceptia manageriala  Asigurarea securitatii in domeniul informatic este hotaritoare pentru castigarea increderii din partea partenerilor organizatiei.  Abordarea securitatii informatice din perspectiva tehnologica este o conditie necesara (nu si suficienta) pentru protejarea patrimoniului organizatiei.  Abordarea securitatii informatice din perspectiva manageriala (conditia de suficienta) este in masura sa asigure o coerenta a scopurilor PSI cu obiectivele strategice generale. Perceptia economica (eficienta si eficacitate)  Asigurarea securitatii informatice nu sporeste in mod direct si vizibil resursele financiare ale organizatiei, dar in mod sigur, evita sa le piarda!!!  Securitatea in domeniul informatic poseda o eficacitate “pasiva”, reflectata prin efecte care ar apare ca urmare a insecuritatii informatice!
  • 20. Securitatea informatica este o calatorie permanenta si nu doar o destinatie. (Club de la Securite de l’Information Francais)