| CATEGORII DOCUMENTE |
1. Necesitatea managementului securitatii IT si responsabilitati in domeniu.
mentului integrat care urmareste crearea instrumentelor necesare pentru analiza riscurilor si implementarea solutiilor destinate limitarii efectelor riscurilor asupra sistemului informatic.
Cauzele care duc la aparitia problemelor de securitate.
Cauzele pentru care unele companii nu acorda securitatii sistemului informatic importanta care i se cuvine.
Sarcini ce revin managementului la varf privitor la securitatea sistemului informatic.
Sarcini ce revin managementului executiv privitor la securitatea sistemului informatic.
Intrebari prin care auditorul se poate edifica in privinta gradului de implicare a managementului in securitatea sistemului informatic.
Intrebari prin care auditorul se poate edifica in privinta modului cum managementul aplica in practica masurile ce se impun cu privire la securitatea sistemului informatic.
Niveluri de rating prevazute de modelul de evaluare a pozitiei organizatiei din punct de vedere al managementului securitatii sistemului informatic in raport cu: statutul existent al organizatiei, standardul international, cea mai buna practica in domeniul de activitate al organizatiei si cu strategia organizatiei.
Ce presupune fiecare nivel (vezi tabelul cu descrierea nivelurilor de rating)
2 Continutul procesului de management al securitatii
Managementul securitatii este un proces sistematic, continuu si riguros cuprinzand procese de identificare, analiza, planificare, control si solutionare a riscurilor sistemului.
Obiectivele de securitate (care sunt?)
Principalele activitati implicate de securitatea informatiilor.
Managementul riscurilor reprezinta procesul de implementare si mentinere a contramasurilor de reducere a efectelor riscurilor la un nivel considerat acceptabil de catre managementul organizatiei.
Acesta impune:
Analize de risc (vulnerabilitati)
Politici de securitate
Schema de securitate TI
Audit tehnic si financiar
Testarea vulnerabilitatilor si accesului neautorizat
Monitorizare (detectarea accesului neautorizat, dispozitive de identificare etc)
Instalarea si administrarea serviciilor de incredere.
Analiza riscurilor, componenta importanta a managementului riscurilor, este un proces de evaluare a vulnerabilitatilor sistemului si a amenintarilor la care acesta este expus. Procesul de analiza identifica consecintele probabile ale riscurilor, asociate cu vulnerabilitatile, si ofera bazele intocmirii unui plan de securitate care sa raspunda unui raport corespunzator eficienta-cost.
Reprezentarea schematica a trecerii de la etapa de analiza a riscurilor la punerea in practica a managementului riscurilor informationale (vezi figura 5)
Pasii de parcurs in cadrul procesului de analiza a riscurilor:
3. Politica de securitate
Politica de securitate reprezinta un set de reguli si practici care reglementeaza modul in care o organizatie protejeaza si distribuie informatiile si in mod special informatiile sensibile.
Politica de securitate presupune elaborarea:
structurilor de securitate
planului de securitate
directivelor si normelor de securitate in cadrul sistemului
clasificarii informatiilor
controalelor de securitate
metodologiei de analiza a incidentelor.
In continuare politicia de securitate se refera la:
definirea resurselor si serviciilor accesibile utilizatorilor
controlul accesului
politici
si metode pentru identificarea si autentificarea locala si la
distanta a utilizatorilor
utilizarea metodelor si dispozitivelor de criptare pentru protectia datelor
auditul sistemului informatic
protectia
manualele de securitate
educatie si certificare.
a) Pentru a defini resursele si serviciile accesibile utilizatorilor se stabilesc urmatorele elemente
Serviciile care pot fi accesibile utilizatorilor interni (ex. : e-mail, htp, www)
Eventualele restrictii impuse in utilizarea acestor servicii.
Prin politica de securitate trebuie eliminat accesul angajatilor la serviciile disponibile pe retelele externe. O politica de securitate care interzice angajatilor, spre exemplu, accesul din reteaua proprie la anumite servicii externe retelei pe durata programului de lucru, dar nu si in afara lui creeaza o bresa de securitate.
Utilizatorii care au dreptul sa acceseze Internet-ul.
Pentru angajatii, care prin natura atributiilor de serviciu, trebuie sa dispuna de astfel de facilitati (servicii externe retelei organizatiei) se poate crea o subretea pentru care masurile de securitate sa fie sporite pentru a preintampina orice incercare voita sau nu de compromitere a retelei organizatiei.
Serviciile furnizate de organizatie comunitatii Internet.
Host-urile interne de la care se poate sau nu se poate 'iesi' in Internet.
Host-urile interne care pot fi accesate din exterior.
Unii angajati continua lucrul si acasa pe propriul calculator. Politica de securitate va preciza cine si cum va putea introduce in sistem date generate extern retelei.
b) Scopul clasificarii informatiilor este de a identifica riscul aferent diferitelor categorii de informatii in vederea fundamentarii masurilor de control si protectie cele mai adecvate. Principiile care pot fi folosite in clasificarea datelor sunt:
Valoarea informatiei pentru companie;
Valoarea informatiei pe piata;
Costul informatiei respective;
Costul reproducerii (refacerii) unei informatii distruse;
Consecintele generate de imposibilitatea de a accesa o anumita informatie;
Gradul de utilitate a informatiei in raport cu obiectivele organizatiei;
Motivatia posibila a unor terte persoane, eventual competitori organizatiei, de a accesa, modifica sau distruge o anume informatie;
Impactul asupra
credibilitatii organizatiei ca urmare a pierderii
(alterarii informatiei) in urma unor atacuri/incidente.
Pentru a asigura securitatea informatiei in sistem, sistemul va trebui 'spart' in componente, iar securitatea fiecareia dintre aceste componente va trebui analizata pe mai multe nivele sau puncte de vedere si anume: protectie fizica, utilizator/organizare, aplicatie, retea/comunicatii, baza de date/monitorizarea tranzactiilor, sistem de operare (vezi figura 6).
4. Clasificarea informatiilor in functie de importanta lor
si deci de nivelul de securitate pe care acestea il impun. Datele sunt clasificate pe patru nivele si anume:
In vederea clasificarii datelor nu se are in vedere doar continutul datelor si informatiilor din sistem ci si o serie de alte aspecte (Care anume?). In plus, daca un sistem contine date care apartin mai multor niveluri de securitate va trebui clasificat in functie de cerintele impuse de datele cele mai confidentiale gestionate in sistem.
Nevoile de securitate ale sistemului trebuie sa se concentreze pe disponibilitate, confidentialitate si/sau integritate.
Limitele de toleranta permise in functie de clasificarea informatiei intr-unul din nivelurile prezentate mai sus sunt specificate intr-un tabel din curs.
Cerintelor de securitate recomandate de Orange Book elaborata de American DoD (Department of Defence) si respectiv European Orange Book (ITSEC), pe cele 4 nivele de securitate enumerate mai sus:
Date publice (informatie neclasificata)
Instalarea de snifere (software sau dispozitiv care captureaza pachetele de date transmise intr-o retea)
Scanare antivirus
Deschiderea de conturi doar persoanelor autorizate, conturile avand in mod obligatoriu parole de acces.
Accesul la scriere pentru fisierele de sistem trebuie restrictionat la grupuri de utilizatori sau masini (calculatoare).
Software-ul de comunicatie (NFS - Network File System, LanManager, RAS - Remote Access Service, PPP10, UUCP1' - Unix-to-Unix Copy, Workgroups) trebuie sa fie corect instalat, cu optiuni de securitate.
Clasa 2: Date interne
Datele interne reprezinta date procesate in sistem in cadrul diferitelor compartimente functionale pentru care accesul direct, neautorizat trebuie prevenit.
Pentru aceasta categorie de date recomandarile vizeaza urmatoarele mijloace de protectie:
Documentare: testari, elaborarea unei filozofii de securitate, un ghid al utilizatorului cu caracteristici de securitate (descrierea mecanisme-lor de securitate din punctul de vedere al utilizatorului, ghid pentru administrarea securitatii).
Siguranta : Arhitectura sistemului: Se verifica daca TCB ruleaza in mod protejat. Trebuie sa existe functii pentru verificarea integritatii hardware si firmware. Se verifica daca au fost testate cu succes mecanismele de securitate.
Identificarea si autorizarea utilizatorilor si protejarea informatiei privitoare la autorizari.
Calitatea controlului accesului : accesul este controlat intre utilizatori precizati (sau grupuri de utilizatori) sau obiecte precizate.
Clasa 3: Informatii confidentiale
Datele din aceasta clasa sunt confidentiale in cadrul organizatiei si protejate fata de accesul extern. Afectarea confidentialitatii acestor date ca urmare a unui acces neautorizat poate afecta eficienta operationala a organizatiei, poate genera pierderi financiare si oferi un avantaj competitorilor sau o scadere importanta a increderii clientilor. De data aceasta integritatea datelor este vitala.
Pentru aceasta clasa Orange Book recomanda protejarea accesului controlat si securizarea transmisiilor de date:
. Protejarea accesului controlat (Controlled Access Protection) presupune:
o Recomandarile precizate pentru clasa 2 de senzitivitate la care se adauga: manualul caracteristicilor de securitate, identificarea si autorizarea (nu se admite definirea de conturi la nivel de grup), calitatea controlului accesului (controlul atribuirii de privilegii) si testarea securitatii.
o Responsabilitatea utilizatorului: utilizatorii au responsabilitatea actiunilor lor. De aceea trebuie sa existe posibilitatea de audit trail impreuna cu functii de monitorizare si alerta. Jurnalele de audit (audit logs) trebuie sa fie protejate.
o Reutilizarea obiectelor: Obiectele folosite de o persoana trebuie sa fie reinitializate inainte de a fi utilizate de o alta persoana.
Securizarea transmisiei de date: in transmiterea de mesaje sau
in utilizarea de programe care comunica intre
ele trebuie mentinute confidentialitatea si integritatea.
Clasa 4: Informatie secreta
Accesul intern sau extern neautorizat la aceste date este critic. Integritatea datelor este vitala. Numarul de utilizatori care au drept de acces la aceste date este foarte limitat si pentru aceste date sunt fixate reguli foarte severe de securitate privind accesul.
Labelled Security Protection {Protejarea prin etichetare):
o Cerinte suplimentare privind identificarea si autentificarea (mentinerea securitatii informatiilor compartimentului), manualul facilitatilor de incredere , manualul de proiectare (descrierea modelului de securitate si a mecanismelor) si asigurarea (arhitectura sistemului: izolarea procesului, verificarea integritatii, testarea securitatii prin simularea atacurilor de penetrare si auditatea jurnalelor de securitate pe nivele de obiecte).
o Verificarea specificatiei si a proiectarii : se comporta sistemul in conformitate cu manualul ?
o Exportarea informatiei etichetate, exportarea catre device-uri multinivel sau mononivel.
Accesul controlului pentru obiecte si subiecti asa cum este
specificat in TCB nu de catre useri. (TCB este un
protocol destinat trimiterii de mesaje e-mail intre servere)
Securizarea
transmisiilor de date (conform cerintelor prezentate intr-un
paragraf anterior).
5. Controlul (tinerea sub control a) securitatii sistemelor informatice
In cadrul fiecarei organizatii trebuie sa existe o politica de securitate si un plan de securitate care sa asigure implementarea acestei politici.
Auditul sistemului de securitate reprezinta un demers deosebit de complex care porneste de la evaluarea politicii si planului de securitate, continuand cu analiza arhitecturii de securitate, arhitecturii retelei, configuratiilor hard si soft, teste de penetrare etc. acestea fiind numai unele din activitatile pe care le presupune.
Auditul securitatii sistemului informatic realizeaza o evaluare obiectiva care va indica:
- riscurile la care sunt expuse valorile organizatiei (hard, soft, informatii etc);
- expunerea organizatiei in cazul in care nu sunt luate masurile necesare limitarii
riscurilor identificate;
- eficienta si eficacitatea sistemului de securitate pe ansamblu si eficacitatea pe fiecare
componenta a sa.
Procesele de asigurare a securitatii sistemelor informatice indeplinesc functia de a proteja sistemele impotriva folosirii, publicarii sau modificarii neautorizate, distrugerii sau pierderii informatiilor stocate.
Securitatea sistemelor informatice este realizata prin controale logice de acces, care asigura accesul la sisteme, programe si date numai utilizatorilor autorizati.
Elemente de control logic care asigura securitatea sistemelor informatice sunt reprezentate de:
cerintele de confidentialitate a datelor;
controlul autorizarii, autentificarii si accesului;
identificarea utilizatorului si profilele de autorizare ;
stabilirea informatiilor necesare pentru fiecare profil de
utilizator;
controlul cheilor de criptare;
gestionarea incidentelor, raportarea si masurile ulterioare;
protectia impotriva atacurilor virusilor si prevenirea acestora ;
administrarea centralizata a securitatii sistemelor;
training-ul utilizatorilor;
metode de monitorizare a respectarii procedurilor IT, teste de intruziune si raportari.
Din cele prezentate rezulta ca riscurile asociate sistemului informatic privesc:
a) pierderea, deturnarea si/sau modificarea datelor si informatiilor din sistem
b) accesul neautorizat la sistemul informatic
c) afectarea sau chiar intreruperea procesarii datelor.
In functie de vulnerabilitatile care le genereaza riscurile se pot clasifica in:
- Riscuri de mediu
- Riscuri asociate mediului
Riscurile sistemului informatic trebuie:
- evaluate din punct de vedere al gravitatii efectelor lor
- evaluate din punct de vedere al probabilitatii producerii lor
- estimate financiar pentru fiecare producere a unui risc si per total riscuri.
Sistemele informatice prezinta cateva particularitati ce trebuie avute in vedere in evaluarea riscului:
- Structura organizatorica
- Natura specifica a procesarii datelor
- Aspecte procedurale
Deosebit de utila in analiza riscurilor este matricea de analiza a riscurilor care ajuta utilizatorii sa identifice potentialele amenintari precum si datele si bunurile care impun protectie.
|
Matricea de analiza a riscurilor |
|||
|
Obiective ale securitatii |
Integritatea datelor |
Senzitivitatea datelor |
Disponibilitat ea datelor |
|
Acte accidentale |
Preocupare majora sau minora |
Confidential sau neconfidential |
Esential sau neesential |
|
Acte deliberate |
Preocupare majora sau minora |
Confidential sau neconfidential |
Esential sau neesential |
|
Riscuri |
Modificarea sau distrugerea datelor |
Divulgarea datelor |
Inaccesibilitat ea datelor |
Aceasta matrice este folosita in parcurgerea pasilor urmatori
identificarea evenimentelor nedorite si a angajatilor afectati de sistem, ca raspuns la criteriile din patratelele hasurate
- managerul responsabil cu securitatea va chestiona fiecare angajat identificat ca fiind afectat de posibile riscuri, cu privire la riscurile asociate fiecarui cadran din matrice.
- determinarea controalelor care privesc fiecare problema de securitate
- asignarea responsabilitatilor de implementare a masurilor de securitate
6. Riscuri si accidente declansate
Conceptul de risc al sistemului informatic exprima posibilitatea de aparitie a unei pierderi care sa afecteze negativ resursele informationale, financiare si functionarea sistemului.
Principalele riscuri si accidentele pe care le pot genera sunt:
Eroare de operare
- Functionarea defectuoasa a hardware-ului
- Functionarea defectuoasa a software-ului
Date eronate nedectate de sistem
Riscuri asociate componentelor nanoelectronice
Cele mai mari riscuri in sistemul informatic al organizatiilor si cele mai mari pierderi financiare sunt determinate de erori neintentionate si omisiuni.
Existenta acestor riscuri impune definirea si implementarea unor mecanisme de control cu scopul diminuarii si chiar al eliminarii acestor vulnerabilitati. Aceste mecanisme de control sunt reprezentate prin controalele clasificate in:
- controale restrictive
- controale preventive
- controale detective
- controale corective
Aceste controale sunt cuprinse in cadrul strategiei de securitate stabilita in procesul de management al riscurilor.
In vederea determinarii controalelor care trebuie implementate cu scopul limitarii producerii riscurilor la care este expus sistemul sau limitarea efectelor producerii riscurilor se parcurg pasii care rezulta din figura 3.7.
Aceasta evidentiaza pe de o parte pasii care se parcurg pana la stabilirea si implementarea controalelor interne ale sistemului dar si faptul ca acest proces de identificare a vulnerabilitatilor si stabilire a controalelor este iterativ ca urmare a dezvoltarii sistemului prin implementarea noilor tehnologii, modificarii continue a mediului de lucru IT, modificarii aplicatiilor si procedurilor utilizate ceea ce inseamna noi amenintari.
Pasii sunt urmatorii:
- Identificarea amenintarilor
- Determinarea riscului (probabilitatii) pentru fiecare vulnerabilitate identificata
- Estimarea expunerii sau a pierderii potentiale pentru fiecare amenintare
- Identificarea setului de controale care trebuie implementate pentru fiecare amenintare si daca se evalueaza raportul cost-beneficii din implementarea solutiilor de securitate, acestora li se mai adauga si
- Implementarea setului de controale.
Model cantitativ de evaluare a riscurilor
Riscurile sistemului informatic sunt urmare a:
Vulnerabilitatilor sistemului
Complexitatii acestuia
Ciclului de viata a sistemului
Nivelului de incredere oferit de controlul intern, nivelul de pregatire a personalului, calitatea managementului, climatul de munca existent.
Calitatii documentatiei existente
Pentru fiecare risc identificat pot fi specificate trei niveluri de risc si anume: scazut, mediu si mare fiind necesara precizarea factorilor care determina respectivul nivel de risc.
In urma evaluarii unui sistem informatic pot fi identificate urmatoarele riscuri:
Riscul asociat accesului fizic
Riscul asociat retelei de comunicatii
Riscul complexitatii organizationale
Riscul functiilor sistemului
Riscul asociat personalului
Riscul asociat personalului de specialitate
Riscul asociat managerilor
Riscul asociat ciclului de viata
Riscul asociat documentatiei
Exista produse software specializate in evaluarea riscurilor. Dintre acestea amintim:
RISK, BUDDY SYSTEM si RISK PAC
Pierderile cauzate de riscurile prezentate de un sistem informatic pot consta din:
fraude produse prin intermediul sistemului
divulgarea neautorizata a informatiilor
furtul de echipamente si informatii
distrugerea fizica a echipamentelor
distrugerea unor fisiere continand date
intreruperi ale procesarii datelor etc.
Pierderile inregistrate de organizatie ca urmare a producerii riscurilor aferente sistemului informatic pot fi anticipate. Determinarea acestor pierderi potentiale trebuie facuta tinandu-se seama de urmatoarele elemente:
impactul unor riscuri in planul pierderilor cauzate poate fi mare, dar probabilitatea producerii unor astfel de riscuri este mai redusa (exemplu: producerea unui cutremur);
pierderile cauzate de producerea unui anumit risc sunt de valori medii, dar frecventa de producere a acestor amenintari este mare;
pierderile pot fi ocazionale;
pot exista atacuri asupra sistemului informatic, dar acestea sa nu conduca la producerea de efecte negative (exemplu: detectarea la timp a unor incercari de intruziune in sistem).
Pierderea determinata de producerea unui anumit risc poate fi exprimata valoric prin calcularea indicatorului pierdere anticipata anualizata (PAA) care reprezinta valoarea medie a pierderii estimata la nivelul unui an calendaristic.
Dar fiecare amenintare prezinta o anumita rata de aparitie probabila la nivelul unui an calendaristic si acest lucru va trebui sa fie luat in calculul PAA. Mai trebuie sa avem in vedere faptul ca pentru fiecare pereche activ-amenintare putem determina un factor de vulnerabilitate calculat ca raport intre pierderea curenta generata de o singura producere a riscului si valoarea totala a pierderilor potentiale aferente unui anumit bun. Factorul de vulnerabilitate va lua valori in intervalul [0, 1].
Rezulta ca pierderea anticipata anualizata (PAA), determinata pentru un anumit bun ca urmare a producerii unei anumite amenintari se va putea determina astfel:
PAA = RA x PP x FV unde:
RA = rata aparitiei
PP = pierderea potentiala
FV = factor de vulnerabilitate
Valoarea totala a pierderilor anticipate la nivelul unui an calendaristic este data de formula :
PATA = 
PAAi unde:
PATA = pierderea anticipata totala anualizata
i = perechea bun - amenintare pentru care s-a calculat PAA.
O alta posibilitate de evaluare a impactului riscurilor poate fi data de formula:
Risc = Amenintari x Vulnerabilitati x Impacturi.
In acest caz, se pleaca de la o clasificare cantitativa15 a celor trei factori determinanti ai riscului (A, V, I):
Risc mare = 3
Risc mediu = 2
Risc redus = 1
Risc inexistent = 0
Rezulta ca impactul determinat al riscului este curpins in intervalul [0, 27]. Exemplu :
- Riscul furtului unui calculator (PC) care nu are stocate in hard-discul local date sau aplicatii importante poate fi:
Risc = 3x1x1=3= risc mediu
Am precizat valoarea 3 la amenintare deoarece accesul fizic la calculator nu este controlat corespunzator.
8. Metode de minimizare a riscurilor
Metodele de minimizare a riscurilor trebuie sa raspunda urmatoarelor imperative:
Creeaza din start un sistem informatic corect!
Pregateste utilizatorii pentru procedurile de securitate!
Odata sistemul pornit, mentine securitatea sa fizica!
Securitatea fizica asigurata, previne accesul neautorizat!
Avand controlul accesului, se asigura ca reluarile de proceduri sa fie corecte!
Chiar daca exista proceduri de control, cauta cai de a le perfectiona!
Chiar daca sistemul pare sigur, el trebuie auditat in scopul identificarii unor noi posibile probleme de securitate!
Chiar daca esti foarte vigilent, pregateste-te de dezastre!
Minimizarea riscurilor se poate realiza pe urmatoarele cai:
1.. Dezvoltarea si modificarea sistemului de control
Verificarea si autorizarea oricarei modificari de soft
Actualizarea documentatiei la zi
Asigurarea cu softuri specializate antivirus la zi.
2. Pregatirea personalului pentru reducerea riscului
periodicitatea pregatirii
selectia personalului.
3. Mentinerea securitatii fizice
- acces fizic restrans.
4. Controlul accesului la date, hardware si retele:
controlul operatiunilor formale
definirea exacta a accesului privilegiat
eliminarea intruziunilor prin utilizarea de:
parole
carduri ID
chei hardware
control - scanarea retinei, amprentei digitale, palmare, recunoastere vocala etc.
criptare si decriptare date.
5. Controlul tranzactiilor
segregarea indatoririlor
validarea datelor
corectarea erorilor
backup.
9. Obiective de control detaliate
1. Controlul masurilor de securitate. In cadrul acestuia se urmareste:
includerea informatiilor legate de evaluarea riscurilor la nivel organizational in proiectarea securitatii informatice;
implementarea si actualizarea planului de securitate IT pentru a reflecta modificarile intervenite in structura organizatiei;
evaluarea impactului modificarilor planurilor de securitate IT, si monitorizarea implementarii procedurilor de securitate;
alinierea procedurilor de securitate IT la procedurile generale ale organizatiei.
2. Identificarea, autentificarea si accesul
Accesul logic la resursele informatice
trebuie restrictionat prin
implementarea unor mecanisme adecvate de identificare, autentificare si
acces, prin crearea unei legaturi intre utilizatori si resurse, bazata pe
drepturi de acces.
3. Securitatea accesului on-line la date
Intr-un mediu IT on-line trebuie implementate proceduri in concordanta cu politica de securitate, care presupune controlul securitatii accesului bazat pe necesitatile individuale de accesare, adaugare, modificare sau stergere a informatiilor.
4. Managementul conturilor utilizator
Conducerea organizatiei trebuie sa stabileasca proceduri care sa permita actiuni rapide privind crearea, atribuirea, suspendarea si anularea conturilor utilizator. O procedura formala in raport cu gestionarea conturilor utilizator trebuie inclusa in planul de securitate.
5. Verificarea conturilor utilizator de catre conducere
Conducerea trebuie sa dispuna de o procedura de control care sa verifice si sa confirme periodic drepturile de acces.
6. Verificarea conturilor utilizator de catre utilizatori
Utilizatorii trebuie sa efectueze periodic controale asupra propriilor lor conturi, in vederea detectarii activitatilor neobisnuite.
7. Supravegherea securitatii sistemului
Administratorii sistemului informatic trebuie sa se asigure ca toate activitatile legate de securitatea sistemului sunt inregistrate intr-un jurnal si orice indiciu referitor la o potentiala violare a securitatii trebuie raportata imediat persoanelor responsabile.
8. Clasificarea datelor
Conducerea trebuie sa se asigure ca toate datele sunt clasificate din punct de vedere al gradului de confidentialitate, printr-o decizie formala a detinatorului datelor. Chiar si datele care nu necesita protectie trebuie clasificate in aceasta categorie printr-o decizie formala. Datele trebuie sa poata fi reclasificate in conditiile modificarii ulterioare a gradului de confidentialitate.
9. Centralizarea identificarii utilizatorilor si
drepturilor de acces
Identificarea si controlul asupra drepturilor de acces trebuie efectuate centralizat pentru a asigura consistenta si eficienta controlului global al accesului.
10. Rapoarte privind violarea securitatii sistemului
Administratorii de sistem trebuie sa se asigure ca activitatile care pot afecta securitatea sistemului sunt inregistrate, raportate si analizate cu regularitate, iar incidentele care presupun acces neautorizat la date sunt rezolvate operativ. Accesul logic la informatii trebuie acordat pe baza necesitatilor stricte ale utilizatorului (acesta trebuie sa aiba acces numaila informatiile care ii sunt necesare conform atributiilor pe care le are in cadrul organizatiei).
11. Gestionarea incidentelor
Conducerea trebuie sa implementeze proceduri de gestionare a incidentelor legate de securitatea sistemului, astfel incat raspunsul la aceste incidente sa fie eficient, rapid si adecvat.
12. increderea in terte parti
Organizatia trebuie sa asigure implementarea unor proceduri de control si autentificare a tertilor cu care intra in contact prin medii electronice de comunicare.
13. Autorizarea tranzactiilor
Politica organizatiei trebuie sa asigure implementarea unor controale care sa verifice autenticitatea tranzactiilor precum si identitatea utilizatorului care initiaza tranzactia.
14. Prevenirea refuzului de acceptare a tranzactiei
Sistemul trebuie sa permita ca tranzactiile efectuate sa nu poata fi negate ulterior de nici un participant. Aceasta presupune implementarea unui sistem de confirmare a efectuarii tranzactiei.
15. Informatiile sensibile trebuie transmise numai pe un canal de comunicatii considerat sigur de parti, care sa nu permita interceptarea datelor
16. Protectia functiilor de securitate.
Toate functiile organizatiei legate de asigurarea securitatii trebuie protejate in mod special, in vederea mentinerii integritatii acestora.
Organizatiile trebuie sa pastreze secrete procedurile de securitate.
17. Managementul cheilor de criptare
Conducerea trebuie sa defineasca si sa implementeze proceduri si protocoale pentru generarea, modificarea, anularea, distrugerea, certificarea, utilizarea cheilor de criptare pentru a asigura protectia impotriva accesului neautorizat.
18. Prevenirea, detectarea si corectarea programelor distructive
in vederea protejarii sistemului impotriva aplicatiilor distructive (virusi), trebuie implementata o procedura adecvata care sa includa masuri de prevenire, detectare, actiune, corectare si raportare a incidentelor de acest fel.
19. Arhitecturi Firewall si conectarea la retele publice
In cazul in care sistemul organizatiei este conectat la Internet sau alte retele publice, programe de protectie adecvate (firewalls) trebuie implementate pentru a proteja accesul neautorizat la resursele interne ale sistemului.
20. Protectia valorilor electronice
Conducerea trebuie sa asigure protectia si integritatea cardurilor si a altor dispozitive folosite pentru autentificare sau inregistrarea de date considerate sensibile (financiare).
Intrebari recapitulative
Ce este managementul securitatii sistemului informatic?
Ce sarcini ce ii revin managementului la varf privitor la securitatea sistemului informatic?
Ce sarcini ce revin managementului executiv privitor la securitatea sistemului informatic
Ce procese sunt cuprinse in managementul securitatii
Cum pot fi sintetizate obiectivele de securitate
Enumerati principalele activitati implicate de securitatea informatiilor.
Ce este si ce impune managementul riscurilor?
Ce este analiza riscurilor? Ce trebuie sa se identifice prin aceasta analiza si la ce servesc rezultatele ei?
Care sunt pasii de parcurs in cadrul procesului de analiza a riscurilor
. Ce este politica de securitate
Ce trebuie sa se elaboreze in cadrul politicii de securitate
La ce alte aspecte se refera politica de securitate?
Enumerati elementele ce trebuie stabilite pentru a putea defini resursele si serviciile accesibile utilizatorilor.
Care este scopul clasificarea datelor si ce principii se pot folosi in clasificarea datelor?
Enumerati nivelele de clasificare a datelor.
In afara de continutul datelor si informatiilor din sistem ce alte aspecte trebuie avute in vedere la clasificarea datelor
Care sunt cerintele prevazute pentru clasa 1 ((informatie neclasificata)
Care sunt in general, datele care se incadreaza in clasa 2 de clasificare
Ce documente trebuie elaborate pentru clasa 2 de importanta
Ce elemente de siguranta trebuie prevazute pentru clasa 2 de clasificare?
Ce stiti despre clasa 3 (cum se numeste, cum sunt protejate aceste date, ce afecteaza accesul neautorizat la aceste date)
Ce presupune protejarea accesului controlat la datele din clasa 3
Ce presupune securizarea transmisiei de date din clasa 3
Caracterizati clasa 4 sub aspectul denumirii, accesului neautorizat, numarului de utilizatori care au drept de acces la date si regulile de securitate privind aceste date.
Ce trebuie sa existe in cadrul fiecarei organizatii pentru controlul (tinerea sub control a) securitatii sistemelor informatice
Cum incepe auditul sistemului de securitate si ce trebuie analizat in cadrul acestui demers in prima faza?
Ce trebuie sa indice evaluarea realizata prin auditul securitatii sistemului informatic?
Ce functie indeplinesc procesele de asigurare a securitatii sistemelor informatice
68. Cum se realizeaza securitatea sistemelor informatice si ce se asigura prin acele demersuri?
69. Prin ce sunt reprezentate elementele de control logic care asigura securitatea sistemelor informatice?
70. La ce se refera riscurile asociate sistemului informatic?
71. Cum se clasifica dupa originea lor (vulnerabilitatile care le genereaza), riscurile asociate sistemului informatic?
Enumerati punctele de vedere din care trebuie evaluate sau estimate riscurile sistemului informatic.
Care sunt particularitatile sistemelor informatice ce trebuie avute in vedere in evaluarea riscului?
La ce ajuta matricea de analiza a riscurilor
Care sunt pasii de parcurs pentru a utiliza matricea de analiza a riscurilor?
Ce exprima conceptul de risc al sistemului informatic?
77. Care sunt principalele riscuri si accidentele pe care acestea le pot genera?
78. Care sunt tipurile de erori care genereaza cele mai mari riscuri in sistemul informatic al organizatiilor si cele mai mari pierderi financiare?
79. Ce impune existenta riscurilor ce apar riscuri in sistemul informatic al organizatiilor
Prin ce sunt reprezentate mecanismele de control impuse de existenta riscurilor sistemului informatic? Faceti o clasificare a acestor reprezentari.
In ce strategie sunt cuprinse controalele impuse de existenta riscurilor sistemului informatic?
Care sunt pasii ce se parcurg pentru determinarea controalelor care trebuie implementate cu scopul limitarii producerii riscurilor la care este expus sistemul sau pentru limitarea efectelor producerii riscurilor
Care sunt cauzele aparitiei riscurilor sistemului informatic?
Care sunt nivelurile de risc si ce trebuie precizat in legatura cu fiecare nivel?
Faceti o clasificare a riscurilor dupa originea cauzelor care le fac posibile.
In ce ar putea consta pierderile cauzate de riscurile prezentate de un sistem informatic
Care sunt elementele de care trebuie sa se tina seama pentru determinarea pierderilor posibil a fi inregistrate de organizatie ca urmare a producerii riscurilor aferente sistemului informatic
90, 91. Care sunt imperativele carora trebuie sa le raspunda metodele de minimizare a riscurilor
Care sunt caile de minimizarea riscurilor?
|
Politica de confidentialitate | Termeni si conditii de utilizare |
Vizualizari: 2866
Importanta: 
Termeni si conditii de utilizare | Contact
© SCRIGROUP 2024 . All rights reserved
