 |
|
 |  |
|
|
| |
 | Biologie | Chimie | Didactica | Fizica | Geografie | Informatica |
| Istorie | Literatura | Matematica | Psihologie |
Abordari in imbunatatirea securitatii IT
1 Abordarea Bottom Up
Aceasta abordare pleaca de la ce se doreste a fi protejat, de la ce nivel trebuie asigurata securitatea si fata de cine trebuie asigurata aceasta protectie. De aceea va trebui sa se procedeze la:
Întelegerea
politicilor curente, tipologiei retelei, procedurilor de
operare si a practicii in
uz.
Definirea unor
posibile cai de atac care sa
evidentieze care ar fi
tintele unor atacuri. Aceste scenarii evidentiaza care sunt retelele/sistemele vizibile din retelele externe, care sunt
sistemele cele mai importante care vor trebui securizate si cum
poate avea loc accesul fizic la ele,
daca parolele pot fi divulgate de anumiti angajati etc.
Sintetizarea punctelor slabe identificate in urma parcurgerii celor doua cerinte prezentate mai sus si intocmirea listei cu vulnerabilitatile identificate si posibilele amenintari care trebuie contracarate.
Definirea unei politici informationale, in
masura in care acest
lucru nu
a fost deja facut.
ITSEC (IT Security)
TCSEC (Trusted Computer System Evaluation Criteria)
Un obiectiv al politicii este realizarea unei clasificari a informatiei si stabilirea informatiilor care prezinta o importanta deosebita pentru organizatie. Instruirea personalului cu privire la continutul politicii informationale.
Crearea de ghiduri tehnice in vederea asigurarii securitatii instalarii, intretinerii si exploatarii serverelor si retelelor precum si auditarea periodica a celor mai importante sisteme ale organizatiei.
2. Abordarea Top Down in procesul imbunatatirii securitatii
Aceasta este o abordare metodica si mult mai precisa dar necesita un timp mai indelungat si costuri initiale mai ridicate. In cazurile in care este necesara o imbunatatire rapida a securitatii se recomanda utilizarea ambelor metode, prezentate anterior, in paralel. Abordarea bottom up va fi aplicabila sistemelor organizatiei care sunt bine cunoscute de echipa antrenata in acest proces, iar abordarea top down va fi aplicabila in procesul, de mai lunga durata, elaborarii unei politici si strategii care sa fie intelese si sustinute de catre componenta manageriala. Abordarea top down presupune:
Analiza bunurilor Acest lucru presupune sa raspundem mai intai la urmatoarea intrebare: Ce trebuie protejat? Raspunsul la aceasta intrebare se va concretiza intr-o lista a informatiilor si proceselor.
Urmatoarele intrebari vor fi: Sunt aceste date stocate in sistem?
Care sunt implicatiile financiare ale distrugerii acestor bunuri?
Masurile care vor fi luate pentru protejarea acestor bunuri vor trebui sa fie in concordanta cu valoarea bunurilor pentru organizatie.
Analiza
regulilor de securitate /politicilor/practicilor curente
in cadrul organizatiei.
Definirea obiectivelor de securitate de baza legate de
disponibilitate,
confidentialitate si integritate.
Analiza amenintarilor: inainte de a se lua decizia referitoare la modul cum trebuie protejat sistemul trebuie identificate amenintarile la care acesta este supus (razbunari ale angajatilor, actiuni ale hackerilor, spionaj, erori hardware etc).
IAPS (Institute for Advanced Professional Studies)
Analiza de impact
o Care sunt consecintele amenintarilor sau a unei combinatii de amenintari? Va trebui identificata natura (sunt vizate datele secrete, modificarea datelor contabile, falsificarea transferurilor financiare etc) si anvergura acestor consecinte.
o Evaluarea impactului va trebui realizata nu de experti tehnici ci de experti in domeniul in care organizatia isi desfasoara activitatea.
o Evaluarea impactului se va realiza pe doua componente: impactul pe termen scurt si respectiv pe termen lung (amenintarea persista afectand businessul organizatiei pe termen lung). in urma evaluarii, impactul total va fi exprimat printr-o scara de la 0 la 5 dupa cum urmeaza:
Impact neglijabil
Impact minor, procesele majore ale businessului nu au fost afectate.
Procesele afacerii nu sunt operationale o anume perioada de timp, se inregistreaza pierderi de venituri, increderea clientilor este foarte putin afectata.
Se inregistreaza pierderi importante din activitatea organizatiei, pierderea increderii clientilor si a cotei de piata. Clientii vor fi pierduti.
Efectul este dezastruos, compania va putea sa supravietuiasca in conditiile unor costuri semnificative.
Efect catastrofal, compania nu va mai putea sa-si continue activitatea.
Calculul Riscului:
. Care este probabilitatea aparitiei amenintarii (0-5)? Expertii tehnici sunt cei care vor putea cel mai bine sa evalueze acest lucru:
Este putin probabil ca amenintarea sa apara.
Amenintarea poate sa apara cel mult o data pe an.
Amenintarea poate sa apara o data pe an.
Probabilitatea de aparitie este o data pe luna.
Probabilitatea de aparitie este o data pe saptamana.
Probabilitatea de aparitie este o data pe zi.
. Determinarea riscului se va realiza pe baza urmatoarei formule de calcul:
risc = impact * probabilitatea aparitiei
Riscul poate fi 0 (nu exista practic risc) iar valoarea maxima poate fi 25. Cu cat valoarea determinata a riscului este mai mare cu atat sunt mai importante masurile de contracarare.
Este necesar sa se stabileasca un nivel acceptabil al riscului. Toate riscurile care inregistreaza valori peste acest prag sunt considerate riscuri inacceptabile pentru organizatie si vor trebui gandite si implementate masuri de limitare/eliminare a lor.
Prezentam modalitatea de evaluare a valorii de impact pentru principalele categorii de amenintari:
Amenintari avand caracter general:
|
Amenintare |
Val. Impact |
Impact |
PProbabi- litate (0-5) |
|
Eroare umana | |||
|
Distrugere accidentala, modificare, Pierdere sau incorecta clasificare a informatiei. Ignoranta: Inadecvarea securitatii la punctele slabe, lipsa de securitate, lipsa unei documentatii corespunzatoare, pregatire necorespunzatoare a administratorilor. | |||
|
Supraincarcare cu sarcini: prea multi/prea putini administratori. Presiune mare asupra utilizatorilor. | |||
|
. Utilizatorii ofera neintentionat informatii despre bresele de securitate. | |||
|
Incorecta configurare a sistemului. | |||
|
Politica de securitate nu este adecvata. | |||
|
Politica de securitate nu este implementata | |||
|
În procesul de analiza a securitatii s-au omis aspecte importante sau s-au facut erori | |||
|
Neonestitate: Frauda, furt, delapidare, oferirea informatiilor confidentiale ale organizatiei pentru avantaje materiale. | |||
|
Atacuri folosind infrastructuri publice: Atacatorii pot folosi telefonul asumandu-si identitati false in vederea convingerii angajatilor/administratorilor sa le furnizeze nume de utilizatori/parole etc. . Atacatorii pot incerca sa convinga utilizatorii valizi sa execute programe continand cai troieni. |
| ||
|
. Abuz de privilegii / incredere. | |||
|
. Folosirea neautorizata a unor calculatoare lasate pornite. | |||
|
. Mixarea testelor si a producerii datelor. | |||
|
. Folosirea neautorizata de software si hardware | |||
|
. Software programat sa distruga sistemul sau anumite date. | |||
|
. Erori in sistemele de operare (nu toate sistemele de operare au fost proiectate sa fie foarte sigure). | |||
|
. Erori la nivelul protocoalelor (nu toate protocoalele au fost proiectate sa fie foarte sigure). | |||
|
.Software programat sa distruga sistemul in anumite conditii_(asa numitele bombe logice). | |||
|
.Virusi (in programe, documente si atasamentele la email) |
Amenintari legate de identificare/autorizare
|
Amenintare |
Val. Impact |
Impact |
PProbabi- litate (0-5) |
|
Cai troeni | |||
|
2. Atac hardware mascat intr-un hardware comercial normal. | |||
|
3. Atacatori externi sub identitatea unoir utilizatori valizi. | |||
|
4. Atacuri interne sub identitatea unor utilizatori valizi. | |||
|
5. Atacatori sub identitatea personalului auxiliar. |
Amenintari privind credibilitatea serviciilor
|
Amenintari |
Val. Impact |
Impact |
P Probabi- litate (0-5) |
|
|
Dezastre naturale majore: Incendii, fum, inundatii, cutremure, caderea surselor de energie electrica, furtuni/tornade etc |
Imp 7 | |||
|
2. Dezastre naturale minore. |
Imp 8 | |||
|
3. Dezastre majore provocate de oameni razboaie, tulburari sociale, pericole chimice/nucleare, accidente, etc. |
Imp 7 | |||
|
4. Erori ale echipamentului (hardware), cablurilor, sistemelor de comunicatii. |
Imp8 | |||
|
5. Erori ale echipamentului datorate prafului, functionarii defectuoase a sistemelor de aer conditionat sau datorate interferen-telor electromagnetice sau electricitatii statice. |
Imp8 | |||
|
6. Denial of service (DoS) |
. |
|||
|
. Abuz in retea: folosirea eronata a protocoalelor de rutare cu scopul de a deruta sistemele. | ||||
|
. Suprasolicitarea serverelor . | ||||
|
Bombardarea cu Email (message flooding). . Download-area sau primirea (via email) a unor Applets, ActiveX controls, macro-uri, postscript files, etc. periculoase. | ||||
|
7. Sabotaj: distrugere deliberata a informatiei sau a functiilor de procesare a informatiei. | ||||
|
. Distrugerea fizica a device-urilor interfata la retea, a cablurilor. | ||||
|
. Distruderea fizica a calculatoarelor sau mediilor de stocare. | ||||
|
. Distrugerea dispozitivelor electronice si a mediilor de stocare prin radiatie; | ||||
|
Furt | ||||
|
Cresterea frecventei curentului electric sau taierea alimentarii in mod deliberat. | ||||
|
. Virusi si/sau viermi | ||||
|
. Stergerea fisierelor sistem critice; (importante). | ||||
Amenintari secrete
|
Amenintare |
Val. Impact |
Impact |
Probabi- litate |
|
1. Ascultare | |||
|
. Ascultare electromagnetica / Radiatie Van Eck: calculatoare, tastaturi, monitoare, imprimantele emit radiatii care pot fi detectate de la distante de sute de metri si apoi refacute. | |||
|
. Ascultarea telefoanelor, faxurilor (via 'clip-on', bug-uri ale telefoanelor, senzori inductivi etc). | |||
|
Ascultarea retelelor: monitorizarea neautorizata a unor date confidentiale in timpul trasmiterii in reteaua interna. | |||
|
. Ascultarea retelelor: monitorizarea neautorizata a unor date confidentiale in timpul transmiterii prin Internet. | |||
|
Afectarea DNS cu scopul redirectionarii de Email sau a altor transmisii. | |||
|
. Afectare protocoalelor de rutare cu scopul redirectionarii de Email sau a altor transmisii | |||
|
. Ascultarea semnalelor radio: telefoanele mobile analogice si telefoanele fixe cu antena sunt usor de ascultat. | |||
|
Recuperare de informatii importante din documente aruncate fara a fi supuse unui proces de distrugere. |
Amenintari ale integritatii/acuratetei:
|
Amenintare |
Val. Impact |
Impact |
Probabi- litate |
|
1. Distrugerea intentionata a informatiei sau a functiilor de procesare a informatiei din surse externe. | |||
|
2. Distrugerea intentionata a informatiei sau a functiilor de procesare a informatiei din surse interne. | |||
|
3. Modificarea intentionata a informatiei. |
Amenintari privind controlul accesului:
|
Amenintare |
Val. Impact |
Impact |
Probabilitate | | ||||||||||||||||||||||||
|
7. Erori in software-ul de retea poate crea brese nestiute/neasteptate de securitate. Aceste brese pot fi folosite din retele exterioare pentru accesarea retelei supuse atacului. Riscul creste odata cu complexitatea software-ului. | ||||||||||||||||||||||||||||
|
8. Acces fizic neautorizat la sistem. | ||||||||||||||||||||||||||||
Amenintari de natura repudierii:
|
Amenintare |
Val. Impact |
Impact (0-5) |
Probabi- litate (0-5) |
|
1. Receptorii informatiilor confidentiale pot refuza sa confirme primirea. | |||
|
2. Emitentii informatiilor confidentiale pot refuza sa confirme sursa. |
Amenintari legale:
|
Amenintare |
Val. Impact |
Impact (0-5) |
Probabi- litate |
|
1. Esec in indeplinirea cerintelor legale sau regulamentare. | |||
|
2. Legislatia multor tari interzice (inclusiv pe, Internet) incitarea la rasism, spalarea banilor, utilizarea sau distributia de material pornografic sau cu tenta violenta. Organizatia poate fi facuta responsabila daca utilizatorii valizi sau atacatorii folosesc sistemul organizatiei in aceste scopuri. | |||
|
3. Organizatia poate fi facuta responsabila daca unii dintre utilizatorii autorizati ai sistemului sau ataca pe aceasta cale sistemele altor companii. |
Sursele amenintarilor:
|
1. Spionajul politic |
|
2. Spionaj economic (competitorii). |
|
3. Angajatii Angajati nemultumiti si fosti angajati. Angajati mituiti. Angajati incorecti. Administratorii de sistem si de securitate sunt inclusi
in categoria |
|
4. Hackeri: incepatori: stiu putine lucruri, folosesc metode vechi, cunosc metodele de atac. Braggers (laudarosii): invata mult mai ales de la alti hackeri. Se lauda cu reusitele lor. Experti: sunt bine instruiti, inventivi. Pot oferi instrumente/informatii bragger-ilor pentru a lansa atacuri, care sa le ascunda propriile atacuri mult mai subtile. |
|
Contractori vanzatori care au acces (fizic sau prin retea) la sisteme. |
|
6. Crima organizata. |
|
7. Investigatori particulari. |
|
8. Impuneri legislative sau ale agentiilor guvernamentale care pot urma sau nu in mod corect proceduri legale |
|
9. Jurnalisti in cautarea unor subiecte |
Impacturi
Lista care urmeaza va trebui completata in detaliu de managerii care cunosc businessul organizatiei in detaliu.
|
Ref. |
Impact posibil |
|
Impl |
Divulgarea secretelor organizatiei, divulgarea datelor despre clienti, divulgarea secretelor contabile. |
|
Imp2 |
Modificarea datelor contabile sau datelor despre clienti. |
|
Imp3 |
Atacatorii lucreaza sub identitatea organizatiei sau a clientilor acesteia. |
|
Imp4 |
Publicitate proasta: hackerii fac public atacul reusit asupra sistemelor organizatiei |
|
Imp5 |
Publicitate proasta: informatia despre clienti a fost modificata/stearsa/publicata. |
|
Imp6 |
Publicitate proasta pentru o directie/compartiment a organizatiei atacatorii externi au folosit o anume directie ca punct de intrare in reteaua organizatiei. |
|
Imp7 |
Afectarea majora a functiei business-ului |
|
Imp8 |
Afectarea majora a retelei organizatiei |
|
Imp9 |
Frauda. |
|
Imp10 |
Pierderea increderii clientilor (atunci cand afectarea se resimte perioade mai lungi de timp sau se produce frecvent) |
|
Imp11 |
Organizatia poate fi urmarita in justitie (neglijenta, incalcarea legilor sau regulamentelor). |
|
Imp12 |
Diminuarea calitatii serviciilor. |
|
Imp13 |
Posibil castig pentru competitor si prin aceasta pierderea unor venituri. |
|
Imp14 |
Reteaua organizatiei poate fi utilizata de atacatori pentru atacul asupra altor site-uri. |
|
Imp15 |
Reteaua organizatiei poate distribui software continand software a atacatorilor. |
|
Imp16 |
Frauda electronica |
Analiza restrictiilor: in aceasta etapa se evalueaza o serie de restrictii asupra carora nu se poate interveni: cerinte legislative, cerinte ale organizatiei, cultura organizationala, elemente contractuale, bugete etc.
Formularea strategiei:
. Definirea obiectivelor de securitate
. Definirea masurilor (politica, roluri, procese, responsabilitati, mecanisme etc)
. Se verifica masura in care riscurile pot fi reduse la acel nivel considerat acceptabil de catre management. Se verifica daca nu sunt prea mari costurile impuse de masurile de securitate luate.
. Se verifica in ce masura riscurile neacoperite pot fi asigurate (polite de asigurare). :
. În caz contrar se revizuieste strategia.
9) Implementare:
Realizarea politicii de securitate, a documentatiilor necesare si realizarea clasificarii informatiei din sistem.
Definirea modului de organizare a securitatii sau modificarea celei existente. Utilizatorii, administratorii, managerii trebuie sa cunoasca foarte clar care le sunt rolurile/responsabilitatile si sa le respecte.
Efectuarea testelor si corectarea politicilor, proceselor si organizarii in functie de rezultatele obtinute.
Securizarea sistemelor.
10) Asigurare: Re-evaluarea riscurilor si securitatii in mod periodic (recomandabil la 2 ani).
Copyright © 2024 - Toate drepturile rezervate
