Metoda Mehari - Evaluarea securitatii serviciilor

Metoda Mehari - Evaluarea securitatii serviciilor

I.           Prezentarea entitatii supuse analizei:

S.C. Transelectrica S.A.

A) Tipul societatii

Transelectrica a fost infiintata conform Ordonatei de guvern nr. 627/31 iulie 2000 ca urmare a separarii fostei Companii Nationale de Electricitate (CONEL) in patru entitati independente: Transelectrica, Electrica, Hidroelectrica si Termoelectrica - pentru transportul si dispecerizarea, distributia si producerea energiei electrice.

Astfel, serviciile de transport si de sistem au fost complet separate de activitatile de producere, distributie si furnizare. Din punct de vedere tehnic sistemul energetic este unitar, administrat de un singur operator, care este Transelectrica.Este o companie pe actiuni 100% in proprietatea statului, actiunile sale fiind detinute de Ministerul Economiei si Comertului.

Din 29 august 2006, Transelectrica este listata la Bursa de Valori Bucuresti cu 10% din capitalul social. Detalii la butonul 'Relatii pentru investitori.

Transelectrica isi desfasoara activitatea pe baza licentelor de operator de transport si de sistem, precum si pe baza Codului Retelei Electrice de Transport (RET).

B) Obiectul de activitate

Societatea are ca scop asigurarea serviciului public pentru toti utilizatorii retelei de transport, asigurand accesul la retelele de transport oricarui solicitant care indeplineste cerintele legii.

In conformitate cu art. 6 din Statut obiectul principal de activitate al Emitentului consta in transportul energiei electrice - Cod CAEN 4012.

In plus Transelectrica, poate desfasura, in conformitate cu art. 6 din Statut si o serie de activitati secundare care sunt prezentate in Tabelul de mai jos.

C) Statutul societatii

Compania Nationala de Transport al Energiei Electrice "TRANSELECTRICA' S.A. (societate pe actiuni aflata in proprietatea statului) a fost infiintata prin Ordonanta Guvernului nr. 627 / 2000, in urma separarii structurii integrate vertical a fostei Companii Nationale de Electricitate in entitati cu personalitate juridica independenta:

- SC TERMOELECTRICA SA pentru producerea de energie electrica si termica

- SC HIDROELECTRICA SA pentru producerea de energie electrica

- SC ELECTRICA SA pentru distributia energiei electrice la consumatori

- CN TRANSELECTRICA SA pentru transportul energiei electrice, operator de sistem si dispecer.

D) Organigrama

II.        Precizarea domeniului de activitate:

Domeniul : Securitatea aplicatiilor

Subdomeniul analizat : Controlul confidentialitatii datelor

Obiectivele subdomeniului : - criptarea in cadrul schimbului de date

- criptarea datelor stocate

- protectia impotriva radiatiilor

III.     Calcului coeficientului M_w pe baza chestionarului

Valoarea ce se calculeaza pe baza metodei mehari provine din suma masurilor active inmultite cu indicii de importanta (cele care au primit un raspuns afirmativ in chestionar), suma impartita la suma indicilor de importanta.

M_w = 4* Σ R_i * W_i / Σ W_i

Pentru raspunsurile din chestionarul nostru vom avea urmatorul rezultat:

M_w = 4 * 34 / 54 = 2.5

Acest rezultat este studiat pe o scara de la 1 la 4 prin analiza riscului.

IV.      Prezentarea gradului de securitate

Pe acest tabel intalnim riscuri de la mici (valoarea descrisa prin culoarea verde), pana la riscuri ridicate (exprimate prin culoarea rosu si cifra 4).

Valoarea de 2.5 obtinuta in cazul chestionarului in legatura cu controlul confidentialitatii datelor prezinta un risc mediu, situandu-se la mijloc intre valoarea minima si cea maxima.

V.         Pagina de conciliere a raspunsurilor

Nu la toate intrebarile din cadrul chestionarului se poate raspunde clar prin da sau nu. Exista intrebari la care se preteaza raspunsuri de genul:

"in general, DA, insa exista unele exceptii"

"partial DA (X%)"

"teoretic, DA, insa practic nu sunt sigur ca se aplica peste tot"

"DA, este in curs de implementare"

"DA, este planificat, dar nu se aplica inca"

In astfel de cazuri sugeram:

notarea explicatiilor intr-o coloana "comentarii" atasata chestionarului si pastrarea acestora;

datorita faptului ca sistemul de notare impune folosirea raspunsurilor "da" si "nu", responsabilul cu securitatea va fi nevoit sa aleaga una din aceste doua variante; pentru o siguranta totala este indicat sa se raspunda cu "nu" la toate intrebarile ce prezinta dubii (cum sunt cele de mai sus);

totusi, este rezonabil sa se raspunda cu "da" in cazul in care procesul de corectie si reactie la lipsa masurilor este sub control;

Pentru ca aceste raspunsuri sa fie acceptate, insa, este necesara o intalnire fata in fata intre auditor si persoana responsabila cu domeniul auditat, iar chestionarele trebuiesc completate in timpul acestei sedinte.

In chestionarul cu privire la Controlul Confidentialitatii Datelor am intalnit in cateva randuri astfel de intrebari.

Astfel, in cazul criptarii transferului de date, metoda criptarii nu a fost inca aprobata de Responsabilul cu Securitatea Informationala. Insa este planificata urmarirea recomandarilor organizatiei DCSSI din Franta, in urma carora metoda va fi cu siguranta aprobata. Raspunsul evident in acest caz a fost "Da, este planificat dar nu se aplica inca", caz in care, pentru o siguranta totala, s-a ales folosirea raspunului "NU".

Acelasi lucru se intampla si la intrebarea similara din domeniul criptarii datelor stocate. Este planificat sa se aplice recomandarile organizatiei DCSSI, dar ele nu se aplica inca.

La intrebarea numarul 6 tot de la criptarea datelor stocate este vorba despre detectarea unei intreruperi a criptarii si semnalarea ei unei echipe disponibile 24 de ore pe zi. In momentul de fata se fac demersuri pentru desemnarea unei astfel de echipe, deci metoda se considera a fi in curs de implementare.

In urma intalnirii dintre auditor si responsabilul cu criptarea datelor stocate, s-a ales varianta raspunsului "DA", deoarece nu s-au semnalat pana acum cazuri de neglijare sau intrerupere a criptarii, iar in ce priveste echipa ce ar putea reactiona la astfe de situatii, aceasta va fi disponibila in curand.

La intrebarea 1 cu privire la protectia impotriva radiatiilor s-a considerat ca, desi teoretic exista mijloace de protejare a echipamentului impotriva radiatiilor, dar cum nu s-a semnalat pana acum nici un incident, nu se stie sigur daca metoda se aplica peste tot. In acest caz s-a considerat necesar un raspuns negativ, pentru o siguranta sporita

VI.      Nivelul calitatii serviciilor

a) Unele masuri pot fi considerate suficiente pentru atingerea unui nivel minim al calitatii serviciilor.

In cadrul chestionarului privind criptarea schimbului de date, la intrebarea 4 este prezent un prag minim considerat minimul punctajului calitatii serviciului daca masura este activa. Raspunsul in cazul firmei Transelectrica a fost afirmativ.

Faptul ca mecanismele de criptare protejeaza impotriva intruziunilor si modificarilor, in sensul ca :

in cazul criptarii hardware, calculatorul este protejat fizic impotriva accesului la mecanismul de criptare;

in cazul criptarii software, aceasta contine un mecanism de control intern al integritatii;

este considerat suficient pentru a imbunatati calitatea serviciului la nivelul unui prag minim de 3.

In cadrul chestionarului privind criptarea datelor stocate, la intrebarea 5 este prezent un prag minim considerat minimul punctajului calitatii serviciului daca masura este activa. Raspunsul in cazul firmei kk mk a fost afirmativ.

Faptul ca mecanismele de criptare protejeaza impotriva intruziunilor si modificarilor, in sensul ca :

in cazul criptarii hardware, calculatorul este protejat fizic impotriva accesului la mecanismul de criptare;

in cazul criptarii software, aceasta contine un mecanism de control intern al integritatii;

este considerat suficient pentru a imbunatati calitatea serviciului la nivelul unui prag minim de 3.

b)      Pe de alta parte, exista si o serie de masuri necesare atingerii unui anumit nivel al calitatii serviciilor.

In cazul controlului confidentialitatii datelor s-au stabilit pragurile maxime de 2 la intrebarea 2 si de 3 la intrebarea 6. In cazul in care apare o neconcordanta intre pragul minim si cel maxim, valoarea maximului va avea prioritate.

Aceste valori reprezinta nivelul maxim al calitatii pe care sub-serviciul il poate obtine daca masura nu este implementata.

Cu alte cuvinte, daca metoda criptarii nu oferta garantii valide si sigure sau nu este aprobata de Responsabilul cu Securitatea Informationala, nivelul calitatii acestui sub-serviciu va scadea la 2, desi anterior a fost stabilit un nivel minim de 3.

In cazul criptarii datelor stocate s-au stabilit pragurile maxime de 2 la intrebarea 3 si de 3 la intrebarea 7. In cazul in care apare o neconcordanta intre pragul minim si cel maxim, valoarea maximului va avea prioritate.

Aceste valori reprezinta nivelul maxim al calitatii pe care sub-serviciul il poate obtine daca masura nu este implementata.

Cu alte cuvinte, daca metoda criptarii nu oferta garantii valide si sigure sau nu este aprobata de Responsabilul cu Securitatea Informationala, nivelul calitatii acestui sub-serviciu va scadea la 2, desi anterior a fost stabilit un nivel minim de 3.

In cazul protectiei impotriva radiatiilor s-a stabilit pragul maxim de 2 la intrebarea 2. In cazul acestui serviciu nu avem stabilit anterior un prag minim. Deci nivelul stabilit acum este nivelul maxim al calitatii pe care serviciul il poate obtine daca masura nu e implementata.

Cu alte cuvinte, daca nu este controlat periodic nivelul radiatiilor la echipamentele ce gazduiesc aplicatii sensibile, nivelul calitatii acestui sub-serviciu va fi 2.

In cazul fiecarui sub-serviciu preznetat mai sus, daca se doreste un nivel mai mare al calitatii serviciilor fata de cel maxim stabilit este necesara implementarea sub-serviciilor ce au stabilite praguri maxime.

VII.           Concluzii si masuri propuse

Aplicand metoda Mehari pe domeniul confidentialitatii datelor am putut observa minusuri in cateva zone.

In cadrul criptarii transferului de date este necesara realizarea unui audit regulat, deoarece desi firma a fost auditata, se pare ca procesul nu se realizeaza cu regularitate.

Totodata s-a stabilit ca, desi este planificat ca firma sa urmeze masurile autorizate precum cele ale organizatiei DCSSI din Franta, acest lucru nu se intampla in momentul de fata, motiv pentru care Responsabilul cu Securitatea Informationala nu a aprobat inca metoda criptarii folosita.

Aceeasi problema a fost intalnita si la criptarea datelor stocate, raspunsul "este planificat dar nu se aplica inca" fiind considerat ca raspuns negativ in vederea garantarii metodei criptarii, pentru a se evita o serie de riscuri ce ar fi putut sa apara daca raspunsul era considerat "da".

Tot la criptarea datelor stocate, am descoperit ca nu exista inca o echipa disponibila 24 de ore pe zi si capabila sa reactioneze la intreruperea de orice fel a criptarii datelor, insa aceasta echipa va fi formata in foarte scurt timp, motiv pentru care s-a putut considera ca masura este aplicata, si deci i s-a conferit un raspuns afirmativ.

Un domeniu in care firma are lipsuri este si protectia anti radiatii, care a primit raspunsuri negative la ambele intrebari. Mijloacele de protectie exista in teorie, dar nu se cunoaste cu siguranta eficienta lor si aria de aplicabilitate.

Se propune ca masura un studiu in aceasta privinta pentru a se vedea exact unde exista si unde nu exista o asemenea protectie , iar acolo unde nu exista propunem de urgenta implementarea unor masuri adecvate. Se propune si un control periodic al echipamentelor ce gazduiesc aplicatii sensibile, pentru ca un astfel de control nu se realizeaza la ora actuala.

Este foarte important sa se realizeze un audit regulat al mecanismelor de criptare, atat in cazul criptarii transferului de date cat si in cazul criptarii datelor deja stocate.

Trebuie sa se verifice ca echipa ce controleaza functionarea fara intreruperi a criptarii sa se formeze in scurt timp, pentru ca aceasta masura este deja considerata a fi aplicata.

Se impune nu in ultimul rand alinierea la standardele organizatiei DCSSI , pentru a putea obtine aprobarea din partea acesteia si implicit a Responsabilului cu Securitatea Informationala.

Faptul ca metoda criptarii nu ofera garantii valide si sigure creaza o mare problema deoarece pot exista scurgeri de date sau accesari neautorizate la date importante ce pot fi usor decriptate. Ar trebui sa existe un algoritm mai sigur de criptare sau chei de siguranta mai atent selectionate. Aceasta metoda nu a fost aprobata de Responsabilul cu securitatea informationala deoarece nu ia in considerare recomandarile DCSSI din Franta. S-au facut mai multe cercetari atat in tara cat si in strainatate asadar aceste metode trebuie sa fie mereu actualizate pentru a putea proteja informatiile.

Un audit regulat este necesar pentru permanenta evaluare a capacitatii de criptare a informatiilor. Aceasta metoda trebuie supusa la teste continuu pentru a observa nivelul de siguranta pe care il ofera.

In cazul protectiei impotriva radiatiilor compania este expusa unui mare risc deoarece nu sunt folosite mijloace de protejare a echipamentului vr gazduieste aplicatii sensibile importiva radiatiilor, furtunii sau scurtcircuitarii cablurilor. In cazul unui astfel de dezastru se pot pierde toate informatiile aflate in curs de transfer presupunand ca celelalte au copii de rezerva realizate.

De asemenea nu este controlat periodic nivelul radiatiilor din aceste instalatii, fapt ce creste posibilitatea aparitiei unui dezastru.

Ca masuri ce ar trebui luate in acest cas sunt: angajarea unei echipe care sa se ocupe de aceste lucruri, care sa verifice practic daca echipamentele sunt sigure.

VIII.        Intrebari propuse:

1. Se are in vedere faptul ca implementarea metodei criptarii va duce la o crestere a costurilor, datorate timpului consumat de procesor pentru criptare si decriptare si a spatiului mai mare necesar stocarii datelor criptate? Este disponibil acest spatiu de stocare?

2. Pentru o protectie sporita impotriva eventualelor spargeri a cheilor de criptare, se foloseste un sistem de parole succesive necesare procesului de decriptare?