Controlul securitatii sistemelor informatice

Controlul securitatii sistemelor informatice

În cadrul fiecarei organizatii trebuie sa existe o politica de

securitate si un plan de securitate care sa asigure implementarea acestei politici. Oricat de complexe ar fi solutiile de securitate implementate, riscul de afectare a sistemului exista. Nu se poate vorbi de solutii de securitate totale. Mai mult, putem spune ca oricat de bine ar fi pus la punct sistemul de securitate, nivelul de securitate este dat de veriga sa cea mai slaba.

Rolul sistemului de securitate este de a pastra sub control nivelul
de risc al sistemului informatic. Nivelul de risc s-ar apropia de zero doar
prin diminuarea functionarii sistemului informatic, lucru inacceptabil
dealtfel, sau prin realizarea unor in- vestitii majore in sisteme integrate de
securitate.

Conducerea organizatiei este in masura sa decida nivelul de risc
considerat acceptabil si valoarea investitiilor in sistemele de securitate
corespunzatoare.

Auditul sistemului de securitate reprezinta un demers deosebit de complex care porneste de la evaluarea politicii si planului de securitate, continuand cu analiza arhitecturii de securitate, arhitecturii retelei, configuratiilor hard si soft, teste de penetrare etc. acestea fiind numai unele din activitatile pe care le presupune.

Auditul securitatii sistemului informatic realizeaza o evaluare obiectiva care va indica:

riscurile la care sunt expuse valorile organizatiei (hard, soft, informatii etc);

expunerea organizatiei in cazul in care nu sunt luate masurile necesare limitarii riscurilor identificate;

eficienta si eficacitatea sistemului de securitate pe ansamblu si eficacitatea pe fiecare componenta a sa.

Procesele de asigurare a securitatii sistemelor informatice indeplinesc functia de a proteja sistemele impotriva folosirii, publicarii sau modificarii neautorizate, distrugerii sau pierderii informatiilor stocate.

Securitatea sistemelor informatice este realizata prin controale
logice de acces, care asigura accesul la sisteme, programe si date numai
utilizatorilor autorizati.

Elemente de control logic care asigura securitatea sistemelor informatice sunt reprezentate de:

cerintele de confidentialitate a datelor;

controlul autorizarii, autentificarii si accesului;

identificarea utilizatorului si profilele de autorizare ;

stabilirea informatiilor necesare pentru fiecare profil de

utilizator;

controlul cheilor de criptare;

gestionarea incidentelor, raportarea si masurile ulterioare;

protectia impotriva atacurilor virusilor si prevenirea acestora ;

administrarea centralizata a securitatii sistemelor;

training-ul utilizatorilor;

metode de monitorizare a respectarii procedurilor IT, teste de intruziune si raportari.

Din cele prezentate rezulta ca riscurile asociate sistemului
informatic privesc:

a)        pierderea, deturnarea si/sau modificarea datelor si informatiilor din sistem

b)      accesul neautorizat la sistemul informatic

c)              afectarea sau chiar intreruperea procesarii datelor.

În functie de vulnerabilitatile care le genereaza riscurile se pot clasifica in:

A. Riscuri de mediu in care se cuprind riscurile de:

hardware si retele de comunicatii

sistem de operare

soft-ul de aplicatii

datele procesate in sistem.

B. Riscuri asociate mediului in care se cuprind:

pericole naturale si dezastre

alterarea sau furtul aplicatiilor si datelor

erorile umane si/sau tehnice

incompetenta manageriala

pierderi financiare previzibile ca urmare a alterarii datelor sau proceselor de prelucrare sau chiar de inoperabilitatea sistemului informatic.

Riscurile sistemului informatic trebuie:

- evaluate din punct de vedere al gravitatii efectelor lor

- evaluate din punct de vedere al probabilitatii producerii lor

- estimate financiar pentru fiecare producere a unui risc si per total riscuri.

Sistemele informatice prezinta cateva particularitati ce trebuie avute in vedere in evaluarea riscului:

A. Structura organizatorica care determina la nivelul sistemului informatic:

concentrarea functiilor si a cunostintelor

concentrarea programelor si a datelor.

B. Natura specifica a procesarii datelor caracterizata prin:

absenta, in unele cazuri, a documentelor de intrare

lipsa unor dovezi vizibile ale tranzactiei

lipsa unor iesiri vizibile

usurinta de a accesa datele si software-ul.

C. Aspecte procedurale:

consecventa executiei

proceduri de control programate a se executa automat

tranzactii cu efect in mai multe fisiere

vulnerabilitatea mediilor de stocare etc.

Deosebit de utila in analiza riscurilor este matricea de analiza a riscurilor care ajuta utilizatorii sa identifice potentialele amenintari precum si datele si bunurile care impun protectie. Primul pas in definirea matricei este clasificarea evenimentelor nedorite in functie de efectele lor. În matrice, axele verticale prezinta trei coloane legate de securitatea obiectivelor: integritatea datelor (modificari neautorizate si distrugerea datelor), senzitivitatea datelor (divulgarea neautorizata a datelor) si disponibilitatea datelor. Axele orizontale marcheaza acte accidentale, cum ar fi erori sau omisiuni, precum si actele deliberate (initiate de hackeri sau angajati cu intentia de fraudare) de care datele trebuie sa fie protejate. Dupa ce evenimentele nedorite au fost identificate sunt identificati angajatii afectati de sistem. Managerul responsabil cu securitatea va pregati matricea si va chestiona fiecare participant cu privire la riscurile asociate fiecarui cadran al matricei. Urmatorul pas va consta in determinarea controalelor care privesc fiecare problema de securitate. Ultimul pas consta in asignarea responsabilitatilor de implementare a masurilor de securitate¹².