Politica de securitate IT

Politica de securitate IT

Politica de securitate reprezinta un set de reguli si practici care reglementeaza modul in care o organizatie protejeaza si distribuie informatiile si in mod special informatiile sensibile.

Desi elaborarea unei politici de securitate este vitala pentru asigurarea securitatii, un studiu efectuat in 2000 de catre Information Security Magazine evidentia faptul ca 22% dintre organizatiile chestionate nu aveau o politica de securitate, iar 2% dintre repondenti nu stiau daca organizatia lor dispune de o astfel de politica. Un alt studiu, efectuat tot in anul 2000, de catre Internet Week evidentia ca 25% dintre organizatiile repondente nu dispuneau de o politica de securitate intr-o forma scrisa.

Politica de securitate presupune elaborarea:

structurilor de securitate

planului de securitate

directivelor si normelor de securitate in cadrul sistemului

clasificarii informatiilor

controalelor de securitate

metodologiei de analiza a incidentelor.

Continutul politicii de securitate se refera la:

a)       definirea resurselor si serviciilor accesibile utilizatorilor

b)       controlul accesului

c)       politici si metode pentru identificarea si autentificarea locala si la
distanta a utilizatorilor

d)       utilizarea metodelor si dispozitivelor de criptare pentru protectia datelor

e)        auditul sistemului informatic

f)          protectia

g)            manualele de securitate

h)            educatie si certificare.

Este foarte important ca pentru fiecare utilizator sau grup de utilizatori sa se stabileasca resursele informationale pe care le pot utiliza si serviciile pe care le pot accesa. În acest sens se stabilesc urmatoarele elemente:

Serviciile care pot fi accesibile utilizatorilor interni (ex. : e-mail, htp, www)

Eventualele restrictii impuse in utilizarea acestor servicii.

Prin politica de securitate trebuie eliminat accesul angajatilor la serviciile disponibile pe retelele externe. O politica de securitate care interzice angajatilor, spre exemplu, accesul din reteaua proprie la anumite servicii externe retelei pe durata programului de lucru, dar nu si in afara lui creeaza o bresa de securitate.

Utilizatorii care au dreptul sa acceseze Internet-ul.

Pentru angajatii, care prin natura atributiilor de serviciu, trebuie sa dispuna de astfel de facilitati (servicii externe retelei organizatiei) se poate crea o subretea pentru care masurile de securitate sa fie sporite pentru a preintampina orice incercare voita sau nu de compromitere a retelei organizatiei.

Serviciile furnizate de organizatie comunitatii Internet.

Host-urile interne de la care se poate sau nu se poate 'iesi' in Internet.

Host-urile interne care pot fi accesate din exterior.

Unii angajati continua lucrul si acasa pe propriul calculator. Politica de securitate va preciza cine si cum va putea introduce in sistem date generate extern retelei.

Mentionam mai devreme faptul ca politica de securitate presupune realizarea unei clasificari a informatiilor stocate si disipate in sistem. Scopul acestei clasificari este de a identifica riscul aferent diferitelor categorii de informatii in vederea fundamentarii masurilor de control si protectie cele mai adecvate. Principiile care pot fi folosite in clasificarea datelor sunt:

Valoarea informatiei pentru companie;

Valoarea informatiei pe piata;

Costul informatiei respective;

Costul reproducerii (refacerii) unei informatii distruse;

Consecintele generate de imposibilitatea de a accesa o anumita informatie;

Gradul de utilitate a informatiei in raport cu obiectivele organizatiei;

Motivatia posibila a unor terte persoane, eventual competitori organizatiei, de a accesa, modifica sau distruge o anume informatie;

Impactul asupra credibilitatii organizatiei ca urmare a pierderii
(alterarii informatiei) in urma unor atacuri/incidente.

Pentru a asigura securitatea informatiei in sistem, sistemul va trebui 'spart' in componente, iar securitatea fiecareia dintre aceste componente va trebui analizata. Cand un utilizator va accesa datele din sistem va trebui sa treaca printr-o multitudine de controale de securitate care pot fi fizice, organizationale sau software. Controalele/componentele de securitate pot fi reprezentate grafic conform figurii 3.6⁷.

DATE

Figura 3.6

Figura 3.6

Pentru a asigura protectia datelor, fiecare dintre diferitele niveluri (componente de securitate), de la cel fizic la sistemul de operare, trebuie sa fie corect configurat. De exemplu, simpla securizare a accesului fizic la severe nu va fi suficienta atat timp cat datele pot fi accesate necontrolat de la distanta prin retea.