Conceptul de securitate. Necesitatea securitatii IT

Conceptul de securitate. Necesitatea securitatii IT

Continuitatea operationala precum si corecta functionare a sistemelor informatice reprezinta astazi un factor esential in derularea normala a activitatii oricarei organizatii. Mai mult decat atat, multe organizatii nici nu mai pot sa-si desfasoare activitatea fara suportul sistemelor informatice care le deservesc. Sectoarele vizate sunt in principal sectorul bancar, piata de capital, bursele de marfuri, segmente importante ale comentului (e-comert), institutiile publice etc. Amenintarile la care sunt expuse datele si procesele in cadrul sistemelor informatice sunt in acelasi timp amenintari la businessului al carui suport sunt respectivele sisteme informatice. Obiectivele securitatii IT constau in elaborarea si implemetarea masurilor si mijloacelor necesare eliminarii sau limitarii amenintarilor semnificative la un nivel considerat acceptabil de catre conducerea organizatiei. Managementul securitatii si al riscurilor sunt strans legate de insasi calitatea managementului organizatiei. Masurile de securitate trebuie definite si implementate plecandu-se de la identificarea si evaluarea riscurilor existente.

De aceea firesc ne punem intrebarea de ce anume si de cine trebuie sa protejam? Securitatea IT priveste protectia informatiilor, sistemelor (pe componentele software, hardware si de comunicatie) si a serviciilor impotriva dezastrelor, greselilor, manipularilor defectuoase astfel incat probabilitatea si impactul incidentelor de securitate sa fie minime.

Securitatea IT presupune :

Confidentialitate. Aceasta presupune ca obiectele sensibile (informatii si procese) sa fie accesibile doar utilizatorilor autorizati. De aceea este necesara implementarea unor controale in vederea restrictionarii accesului la astfel de obiecte.

Integritatea. Este necesar un control asupra modificarii obiectelor (informatii si procese). Acest lucru impune implementarea unor controale care sa asigure acuratetea si completitudinea obiectelor.

Disponibilitatea. Derularea normala a activitatii oricarei organizatii impune ca datele, procesele si serviciile gestionate/asigurate in maniera computerizata sa fie disponibile la nevoie. De accea sunt necesare controale in vederea asigurarii credibilitatii datelor, proceselor, serviciilor.

Conformitatea cu legislatia. Datele si informatiile in sistem trebuie procesate, folosite, pastrate, transmise, distruse in conformitate cu prevederile recomandarilor organismelor de specialitate si, atunci cand exista, cu reglemetarile legale.

O amenintare reprezinta un pericol care poate afecta securitatea (confidentialitatea, integritatea, disponibilitatea) unui bun, componenta a sistemului informatic, conducand la o potentiala pierdere sau defectiune.

Datapro Research a oferit cateva date privitoare la cauzele incidentelor de securitate si mobilul acestora:

- Cauzele cele mai frecvente: erori umane 52%, persoane incorecte 10%, sabotaj tehnic 10%, incendiu 15%, inundatii 10%, terorism 3%.

- Incidentele au fost provocate de: angajati 81% din cazuri, outsideri 13% din cazuri, fosti angajati 6% din cazuri.

- Scopul urmarit : furtul banilor pe cale electronica 44% din cazuri, distrugerea software-ului 16%, furt de informatii 16%, alterarea datelor in sistem 12%, furt de servicii 10%, Trespass 2%.

Specialistii considera ca, prin cateva intrebari cheie, se poate obtine o prima imagine privind securitatea sistemului informatic al unei companii.

Iata cateva dintre aceste intrebari:

1. Este software-ul organizatiei certificat de o institutie specializata (ex. ITSEC)? Este configurat si instalat sigur? Se realizeaza periodic misiuni de audit ale sistemului?

2. Sunt parolele sigure (se verifica daca sunt: usor de ghicit, schimbate periodic, se folosesc parole temporare sau implicite)? Pot angajatii sa vada parolele in momentul tastarii? Se blocheaza automat ecranele dupa 10 minute de inactivitate?

3. Sunt incriptate cele mai importante date stocate in sistem ?

4. Cat de accesibil este echipamentul? PC-urile si serverele sunt plasate in apropierea zonelor de acces public?

5. Se afla calculatoarele in zone fizic securizate?

A fost verificata credibilitatea contractorilor externi (furnizori de echipamente sau service etc)?

7. Exista protectie antivirus?

8. Hartia folosita, care nu mai este utila, este distrusa? Exista proceduri pentru distrugerea hartiei folosite?

9. Cum se procedeaza in cazul calculatoarelor sau al suporturilor (floppy discuri, cd-uri etc) scoase din uz? Exista o procedura privind echipamentele si suporturile de date scoase din uz?

10. Cum se pastreaza copiile de siguranta? Exista un sistem de arhivare a informatiei? Sunt arhivele pastrate intr-un mediu sigur? Copiile sunt testate periodic?

11. S-a stabilit prin proceduri ce informatie poate si ce informatie nu poate fi trimisa prin e-mail sau ce este permis/interzis a se descarca (download) de pe Intemet?

Institutul englez de standarde a sugerat folosirea urmatoarelor chei de control al securitatii:

1. Politica de securitate redactata

2. Alocarea responsabilitatilor privind securitatea

3. Educarea si pregatirea utilizatorilor in problema securitatii informatiei

4. Raportarea incidentelor de securitate

5. Controlul virusilor

6. Plan de continuare a activitatii (in caz de dezastre)

7. Controlul software-ului licentiat

8. Salvarea datelor si gestiunea copiilor de siguranta

9. Adecvarea la legislatia privind protectia datelor.

10. Adecvarea privind politica de securitate.

Standardele in domeniul securitatii recomanda ca toate componentele dar si sistemul in ansamblul sau sa fie analizate in conformitate cu urmatoarele cerinte:

I.    Documentatie : caracteristicile de securitate ale sistemului sunt bine documentate? Se verifica existenta: ghidului utilizatorilor privind caracteristicile de securitate, ghidului de securitate al administratorilor de sistem, documentatiei pentru testari, documentatiei de proiectare.

II.    Siguranta : Cum putem avea siguranta ca sistemele fac ceea ce ar trebui sa faca ? Se verifica arhitectura sistemului, integritatea sistemului, testarea securitatii. A fost sistemul certificat (verificarea conformitatii cu standardele)?

III. Responsabilitatea: Utilizatorii trebuie sa aiba responsabilitatea actiunilor lor.

Identificare / autentificare: utilizatorii trebuie sa fie identificati in
mod unic (ex. Nume + login) si sa fie autentificati (prin parole).
Datele de identificare trebuie sa fie protejate.

Audit Trail ofera informatii importante cum ar fi:

o Ce actiuni s-au exercitat asupra unei inregistrari, de catre cine, de la ce calculator, pe ce server,

o Evenimente pentru jurnale: Identificare/autorizare, administrarea drepturilor de acces, crearea/stergerea de obiecte sensibile, actiuni care afecteaza securitatea sistemului.

o Jurnalele trebuie sa fie protejate (confidentialitate, integritate) si

trebuie sa fie monitorizate si la nevoie (automat) sa se realizeze

declansarea alertelor de securitate.

o Trebuie sa existe instrumente care prin audit trail sa permita identificarea actiunilor unui utilizator anume.

IV. Controlul accesului:

Calitatea controlului accesului : Sistemul trebuie sa distinga si sa
administreze drepturile de acces ale utilizatorilor, grupuri de
utilizatori, obiecte (de exemplu drepturi asupra fisierelor sistem,
memorie partajata, drivere floppy, imprimante, servicii de retea,
optiuni din meniu, optiuni ale aplicatiei).

Controlul obligatoriu al accesului: accesul controlului asupra
obiectelor si subiectilor asa cum este specificat de TCB² (Simple
Mail Transfer Protocol) si nu de utilizatori.

TCB este un protocol destinat trimiterii de mesaje e-mail intre servere. Majoritatea sistemelor e-mail care trimit mail-uri prin Internet folosesc SMTP (Simple Mail Transfer Protocol) pentru a trimite mesaje intre servere.

Securizarea startarii sistemului - componentele trebuie sa se starteze securizat.

Reutilizarea obiectelor : Obiectele reutilizate de un alt subiect
trebuie sa fie reinitializate inainte sa fie utilizate de un alt subiect.

V. Schimb securizat de date/ comunicatii in retea

Autentificarea la intrarea intr-o retea Peer: in egala masura utilizatorii si procesele trebuie sa se identifice si autentifice inaintea initierii schimbului de date.

Integritatea datelor in retea: datele trebuie sa ramana complete in tim-pul transmisiei. Urmatoarele evenimente trebuie identificate ca erori : manipularea neautorizata a datelor utilizatorului, audit trail pentru date si reluarea transmisiilor.

Confidentialitatea datelor in retea: Numai persoanele autorizate trebuie sa aiba acces la date.

Identificarea originii datelor: Nerepudierea originii datelor.

Nerepudierea receptorului: are emitentul datelor dovada ca informatia a fost primita de destinatarul corect ?

Controlul accesului : toate informatiile trimise anterior care ar fi putut fi folosite pentru decriptari neautorizate trebuie sa fie accesibile doar persoanelor autorizate.

VI. Disponibilitatea

Backup: Politicile de backup si restore trebuie sa existe si sa fie
testate periodic.

Prevenirea utilizarii abuzive a resurselor (CPU, memorie).

Patches³/schimbarea managementului: trebuie sa existe proceduri
precise pentru actualizari sau pentru schimbarea configurarii
sistemelor.

Mediul: aer conditionat, norme etc.

Refacerea in caz de dezastre: Plan pentru cazurile de cadere a
sursei de energie, producerii de incendii sau inundatii etc.

Organizare: definirea procedurilor, rolurilor, responsabilitatilor in conformitate cu fisele posturilor, documentarea procedurilor, asigurarea continuitatii activitatii 7zile *24 ore.

Patches - Secventa de cod obiect inserata intr-un program

Redundanta: redundanta este posibila pe mai multe niveluri. CPU, discuri, retea, aplicatii. Redundanta trebuie testata periodic.