Asigurarea securității informațiilor

Articol postat de:

securitate

Informatia este o valoare cu o importanta deosebita pentru o persoana fizica sau pentru o organizatie si, in consecinta, necesita o protectie adecvata. Securitatea informatiei protejeaza informatia de o gama larga de amenintari. In acest context, securitatea informatiei este caracterizata ca fiind cea care asigura si mentine urmatoarele:

    • confidentialitatea: asigurarea faptului ca informatia este accesibila doar persoanelor autorizate;
    • integritatea pastrarea acuratetei si  completitudinii  informatiei  precum  si  a  metodelor de procesare;
    • disponibilitatea: asigurarea faptului ca utilizatorii autorizati au acces la informatie si la resursele asociate atunci cand este necesar.
securitatea-informatiilor

Securitatea informatiei este obtinuta prin implementarea unui set adecvat de politici, practici, proceduri, structuri organizationale si functii software. Aceste elemente trebuie implementate in masura in care se asigura atingerea obiectivelor specifice de securitate.

Este important ca fiecare organizatie sa poata sa-si identifice propriile cerinte de securitate. Pentru aceasta ea trebuie sa faca apel la trei surse principale:

    • evaluarea riscurilor: se identifica amenintarile asupra resurselor, se evalueaza vulnerabilitatea la aceste amenintari si probabilitatea de producere a lor si se estimeaza impactul potential;
    • legislatia existenta pe care o organizatie trebuie sa o respecte;
    • analiza securitatii: setul specific de principii, obiective si cerinte pentru procesarea informatiei, pe care organizatia le dezvolta pentru a-si sustine activitatile.

Pentru a analiza riscurile o organizatie isi poate identifica propriile cerinte legate de securitate. Un astfel de proces presupune in general patru etape principale:

    • identificare resurselor care trebuie protejate;
    • identificarea riscurilor/amenintarilor specifice fiecarei resurse;
    • ierarhizarea riscurilor;
    • identificarea controalelor prin care vor fi eliminate/diminuate riscurile.

Analiza a securitatii trebuie sa cuprinda urmatorii pasi:

    • Selectia solutiilor viabile;
    • Stabilirea strategiei de asigurare a securitatii;
      • Compartimentarea si controlul conexiunilor:
        • Compartimentarea comunicatiilor;
        • Compartimentarea retelei;
        • Compartimentarea serviciilor si aplicatiilor folosite;
      • Apararea pe nivele;
      • Strategia de raspuns la incidente;
      • Alocarea resurselor pentru securizare.
    • Stabilirea politicilor de securitate:
      • Politici formale: Monitor, Graham-Denning, Bell La-Padula, Biba, Clark-Wilson, Latice sau Zidul Chinezesc;
      • Politici particulare: utilizare Internet, utilizare e-mail, utilizare criptografie, utilizare semnatura electronica, management parole, etc.;
    • Realizarea mecanismelor si procedurilor de securitate:
      • Documentarea sistemului:
        • Politica de securitate – aprobata de conducere la cel mai inalt nivel;
        • Setul de inregistrari de securitate (trasabilitate activitati, incidente de securitate, controale, instruiri, rapoarte de audit si de evaluare etc.)
        • Completarea fiselor de post cu atributiile de securitate;
        • Realizarea procedurilor operationale de securitate (orientate pe procese).
      • Certificarea de securitate – controlul periodic al conformitatii functionarii sistemului cu documentatia intocmita (audit intern si extern);
      • Evaluari ale sistemului de securitate prin teste de securitate – evaluarea nivelului in care documentatia si functionarea mecanismelor de securitate satisfac nevoile de securitate impuse de mediu;
      • Acreditarea de securitate – decizia autoritatii competente (proprietarul) de a autoriza functionarea si implicit asumarea riscurilor remanente.

Pentru a-si defini politica de securitate compania trebuie sa se decida:

    • care amenintari trebuie eliminate si care se pot tolera;
    • care resurse trebuie protejate si la ce nivel;
    • cu ce mijloace poate fi implementata securitatea;
    • care este pretul (financiar, uman, social etc.) masurilor de securitate care poate fi acceptat.

Un aspect important in stabilirea mecanismelor de securitate o constituie partea financiara. Un mecanism de control nu trebuie sa depaseasca valoarea bunului ce trebuie protejat.
Odata stabilite obiectivele politicii de securitate, urmatoare etapa consta in selectia serviciilor de securitate – functiile individuale care sporesc securitatea. Fiecare serviciu poate fi implementat prin metode (mecanisme de securitate) variate pentru implementarea carora este nevoie de asa-numitele functii de gestiune a securitatii. Gestiunea securitatii consta in controlul si distributia informatiilor catre toate sistemele in scopul utilizarii serviciilor si mecanismelor de securitate si al raportarii evenimentelor de securitate ce pot aparea catre administratorii de retea.

Urmatorul pas este realizarea modelului de securitate. Modelul de securitate pentru un sistem informatic poate fi vazut ca avand mai multe straturi ce reprezinta nivelurile de securitate ce inconjoara subiectul ce trebuie protejat. Fiecare nivel izoleaza subiectul si il face mai dificil de accesat in alt mod decat cel in care a fost prevazut.

model-securitate

Securitatea fizica reprezinta nivelul exterior al modelului de securitate si consta, in general, in inchiderea echipamentelor informatice intr-o alta incinta precum si asigurarea pazei si a controlului accesului. O problema o constituie salvarile sub forma de copii de rezerva ale datelor si programelor, precum si siguranta pastrarii suportilor de salvare (backup). Retelele locale sunt, in acest caz, de mare ajutor, copiile de rezerva putandu-se face prin retea pe o singura masina ce poate fi mai usor securizata.
Securitatea fizica trebuie abordata foarte serios deoarece toate masurile de securitate logice, cum ar fi stabilirea de parole pe sistemul respectiv, devin nesemnificative in cazul accesului neautorizat la echipamente. O alta problema importanta in securitatea fizica unui sistem informatic o constituie pur si simplu sustragerile de echipamente sau a suportilor de backup.
Securitatea logica consta din acele metode logice (software) care asigura controlul accesului la resursele si serviciile sistemului. Ea are, la randul ei, mai multe niveluri impartite in doua grupe mari : niveluri de securitate a accesului si niveluri de securitate a serviciilor.
Securitatea accesului cuprinde:

    • accesul la sistem, care este raspunzator de a determina in ce conditii si in ce moment este sistemul accesibil utilizatorilor. El poate fi raspunzator de asemenea si de gestionarea evidentei accesului. Accesul la sistem poate efectua si deconectarea fortata in anumite cazuri (ex. expirarea contului, ora de varf, …);
    • accesul la cont care verifica daca utilizatorul ce incearca sa se conecteze are un nume si o parola valida;
    • drepturile de acces (la fisiere, resurse, servicii etc.) care determina de ce privilegii dispune un utilizator (sau un grup de utilizatori) dat.

Securitatea serviciilor controleaza accesul la serviciile unui sistem (calculator, retea). Din acest nivel fac parte:

    • controlul serviciilor care este responsabil cu functiile de avertizare si de raportare a starii serviciilor, precum si de activarea si dezactivarea diverselor servicii oferite de catre sistemul respectiv;
    • drepturile la servicii care determina exact cum foloseste un anumit cont un serviciu dat (acces la fisiere, resurse, prioritate,…)

Accesul intr-un sistem sigur perfect ar trebui sa se faca prin aceste niveluri de securitate descrise mai sus, de „sus” in „jos” fara sa permita ocolirea vreunuia din ele.

Sursa: MIHAI, Ioan-Cosmin; „Securitatea sistemului informatic”, ISBN 978-973-627-369-8, Editura Dunărea de Jos, Galați, 2007


Add Comment Register



Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile necesare sunt marcate *


*

Poți folosi aceste etichete HTML și atribute: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>