Scrigroup - Documente si articole

Username / Parola inexistente      

Home Documente Upload Resurse Alte limbi doc  

CATEGORII DOCUMENTE




loading...



AccessAdobe photoshopAlgoritmiAutocadBaze de dateC
C sharpCalculatoareCorel drawDot netExcelFox pro
FrontpageHardwareHtmlInternetJavaLinux
MatlabMs dosPascalPhpPower pointRetele calculatoare
SqlTutorialsWebdesignWindowsWordXml

MANAGEMENTUL SECURITATII SISTEMELOR INFORMATICE

calculatoare

+ Font mai mare | - Font mai mic








DOCUMENTE SIMILARE

Trimite pe Messenger
Crearea proceselor
CONTROLERE LOGICE PROGRAMABILE
Proiectarea sistemelor informatice
World Wide Web
Proiectarea fizica
Limbaje de programare in Internet
Operatori speciali. Pointeri
Proiectarea logica
Realizarea sistemelor imformatice folosind pachetul de aplicatii software
Elemente de logica matematica

MANAGEMENTUL SECURITATII SISTEMELOR INFORMATICE

1. Necesitatea managementului securitatii IT si responsabilitati in domeniu.

Managementul securitatii sistemului informatic este acea componenta a manage-

mentului integrat care urmareste crearea instrumentelor necesare pentru analiza riscurilor si implementarea solutiilor destinate limitarii efectelor riscurilor asupra sistemului informatic.




Cauzele care duc la aparitia problemelor de securitate.

Factorii care fac necesar managementul securitatii informatiei.

Cauzele pentru care unele companii nu acorda securitatii sistemului informatic importanta care i se cuvine.

Sarcini ce revin managementului la varf privitor la securitatea sistemului informatic.

Sarcini ce revin managementului executiv privitor la securitatea sistemului informatic.

Intrebari prin care auditorul se poate edifica in privinta gradului de implicare a managementului in securitatea sistemului informatic.

Intrebari prin care auditorul se poate edifica in privinta modului cum managementul aplica in practica masurile ce se impun cu privire la securitatea sistemului informatic.

Niveluri de rating prevazute de modelul de evaluare a pozitiei organizatiei din punct de vedere al managementului securitatii sistemului informatic in raport cu: statutul existent al organizatiei, standardul international, cea mai buna practica in domeniul de activitate al organizatiei si cu strategia organizatiei.

Ce presupune fiecare nivel (vezi tabelul cu descrierea nivelurilor de rating)

2 Continutul procesului de management al securitatii

Managementul securitatii este un proces sistematic, continuu si riguros cuprinzand procese de identificare, analiza, planificare, control si solutionare a riscurilor sistemului.

Obiectivele de securitate (care sunt?)

Principalele activitati implicate de securitatea informatiilor.

Managementul riscurilor reprezinta procesul de implementare si mentinere a contramasurilor de reducere a efectelor riscurilor la un nivel considerat acceptabil de catre managementul organizatiei.

Acesta impune:

Analize de risc (vulnerabilitati)

Politici de securitate

Schema de securitate TI

Audit tehnic si financiar

Testarea vulnerabilitatilor si accesului neautorizat

Monitorizare (detectarea accesului neautorizat, dispozitive de identificare etc)

Instalarea si administrarea serviciilor de incredere.

Analiza riscurilor, componenta importanta a managementului riscurilor, este un proces de evaluare a vulnerabilitatilor sistemului si a amenintarilor la care acesta este expus. Procesul de analiza identifica consecintele probabile ale riscurilor, asociate cu vulnerabilitatile, si ofera bazele intocmirii unui plan de securitate care sa raspunda unui raport corespunzator eficienta-cost.

Reprezentarea schematica a trecerii de la etapa de analiza a riscurilor la punerea in practica a managementului riscurilor informationale (vezi figura 5)

Pasii de parcurs in cadrul procesului de analiza a riscurilor:

  1. Stabilirea politicii generale de securitate a sistemului informational. Politica generala de securitate va cuprinde reguli, norme, obligatii si responsabilitati aplicabile tuturor categoriilor de informatii, procese de prelucrare si angajati din cadrul organizatiei.
  2. Monitorizarea sistemului. 
  3. Managementul evenimentelor.
  4. Definirea arhitecturii de securitate care raspunde cel mai bine
    cerintelor organizatiei.
  5. Control si feed-back.

3. Politica de securitate

Politica de securitate reprezinta un set de reguli si practici care reglementeaza modul in care o organizatie protejeaza si distribuie informatiile si in mod special informatiile sensibile.

Politica de securitate presupune elaborarea:

structurilor de securitate

planului de securitate

directivelor si normelor de securitate in cadrul sistemului

clasificarii informatiilor

controalelor de securitate

metodologiei de analiza a incidentelor.

In continuare politicia de securitate se refera la:

definirea resurselor si serviciilor accesibile utilizatorilor

controlul accesului

politici si metode pentru identificarea si autentificarea locala si la
distanta a utilizatorilor

utilizarea metodelor si dispozitivelor de criptare pentru protectia datelor

auditul sistemului informatic

protectia

manualele de securitate

educatie si certificare.

a) Pentru a defini resursele si serviciile accesibile utilizatorilor se stabilesc urmatorele elemente

Serviciile care pot fi accesibile utilizatorilor interni (ex. : e-mail, htp, www)

Eventualele restrictii impuse in utilizarea acestor servicii.

Prin politica de securitate trebuie eliminat accesul angajatilor la serviciile disponibile pe retelele externe. O politica de securitate care interzice angajatilor, spre exemplu, accesul din reteaua proprie la anumite servicii externe retelei pe durata programului de lucru, dar nu si in afara lui creeaza o bresa de securitate.

Utilizatorii care au dreptul sa acceseze Internet-ul.

Pentru angajatii, care prin natura atributiilor de serviciu, trebuie sa dispuna de astfel de facilitati (servicii externe retelei organizatiei) se poate crea o subretea pentru care masurile de securitate sa fie sporite pentru a preintampina orice incercare voita sau nu de compromitere a retelei organizatiei.

Serviciile furnizate de organizatie comunitatii Internet.

Host-urile interne de la care se poate sau nu se poate 'iesi' in Internet.

Host-urile interne care pot fi accesate din exterior.

Unii angajati continua lucrul si acasa pe propriul calculator. Politica de securitate va preciza cine si cum va putea introduce in sistem date generate extern retelei.

b) Scopul clasificarii informatiilor este de a identifica riscul aferent diferitelor categorii de informatii in vederea fundamentarii masurilor de control si protectie cele mai adecvate. Principiile care pot fi folosite in clasificarea datelor sunt:

Valoarea informatiei pentru companie;

Valoarea informatiei pe piata;

Costul informatiei respective;

Costul reproducerii (refacerii) unei informatii distruse;

Consecintele generate de imposibilitatea de a accesa o anumita informatie;

Gradul de utilitate a informatiei in raport cu obiectivele organizatiei;

Motivatia posibila a unor terte persoane, eventual competitori organizatiei, de a accesa, modifica sau distruge o anume informatie;

Impactul asupra credibilitatii organizatiei ca urmare a pierderii
(alterarii informatiei) in urma unor atacuri/incidente.

Pentru a asigura securitatea informatiei in sistem, sistemul va trebui 'spart' in componente, iar securitatea fiecareia dintre aceste componente va trebui analizata pe mai multe nivele sau puncte de vedere si anume: protectie fizica, utilizator/organizare, aplicatie, retea/comunicatii, baza de date/monitorizarea tranzactiilor, sistem de operare (vezi figura 6).

4. Clasificarea informatiilor in functie de importanta lor

si deci de nivelul de securitate pe care acestea il impun. Datele sunt clasificate pe patru nivele si anume:

  1. Date publice (informatie neclasificata)
  2. Date interne
  3. Date confidentiale
  4. Date secrete („top secret').

In vederea clasificarii datelor nu se are in vedere doar continutul datelor si informatiilor din sistem ci si o serie de alte aspecte (Care anume?). In plus, daca un sistem contine date care apartin mai multor niveluri de securitate va trebui clasificat in functie de cerintele impuse de datele cele mai confidentiale gestionate in sistem.

Nevoile de securitate ale sistemului trebuie sa se concentreze pe disponibilitate, confidentialitate si/sau integritate.

Limitele de toleranta permise in functie de clasificarea informatiei intr-unul din nivelurile prezentate mai sus sunt specificate intr-un tabel din curs.

Cerintelor de securitate recomandate de Orange Book elaborata de American DoD (Department of Defence) si respectiv European Orange Book (ITSEC), pe cele 4 nivele de securitate enumerate mai sus:

Date publice (informatie neclasificata)

Instalarea de snifere (software sau dispozitiv care captureaza pachetele de date transmise intr-o retea)

Scanare antivirus

Deschiderea de conturi doar persoanelor autorizate, conturile avand in mod obligatoriu parole de acces.

Accesul la scriere pentru fisierele de sistem trebuie restrictionat la grupuri de utilizatori sau masini (calculatoare).



Software-ul de comunicatie (NFS - Network File System, LanManager, RAS - Remote Access Service, PPP10, UUCP1' - Unix-to-Unix Copy, Workgroups) trebuie sa fie corect instalat, cu optiuni de securitate.

Clasa 2: Date interne

Datele interne reprezinta date procesate in sistem in cadrul diferitelor compartimente functionale pentru care accesul direct, neautorizat trebuie prevenit.

Pentru aceasta categorie de date recomandarile vizeaza urmatoarele mijloace de protectie:

Documentare: testari, elaborarea unei filozofii de securitate, un ghid al utilizatorului cu caracteristici de securitate (descrierea mecanisme-lor de securitate din punctul de vedere al utilizatorului, ghid pentru administrarea securitatii).

Siguranta : Arhitectura sistemului: Se verifica daca TCB ruleaza in mod protejat. Trebuie sa existe functii pentru verificarea integritatii hardware si firmware. Se verifica daca au fost testate cu succes mecanismele de securitate.

Identificarea si autorizarea utilizatorilor si protejarea informatiei privitoare la autorizari.

Calitatea controlului accesului : accesul este controlat intre utilizatori precizati (sau grupuri de utilizatori) sau obiecte precizate.

Clasa 3: Informatii confidentiale

Datele din aceasta clasa sunt confidentiale in cadrul organizatiei si protejate fata de accesul extern. Afectarea confidentialitatii acestor date ca urmare a unui acces neautorizat poate afecta eficienta operationala a organizatiei, poate genera pierderi financiare si oferi un avantaj competitorilor sau o scadere importanta a increderii clientilor. De data aceasta integritatea datelor este vitala.

Pentru aceasta clasa Orange Book recomanda protejarea accesului controlat si securizarea transmisiilor de date:

Protejarea accesului controlat (Controlled Access Protection) presupune:

o Recomandarile precizate pentru clasa 2 de senzitivitate la care se adauga: manualul caracteristicilor de securitate, identificarea si autorizarea (nu se admite definirea de conturi la nivel de grup), calitatea controlului accesului (controlul atribuirii de privilegii) si testarea securitatii.

o Responsabilitatea utilizatorului: utilizatorii au responsabilitatea actiunilor lor. De aceea trebuie sa existe posibilitatea de audit trail impreuna cu functii de monitorizare si alerta. Jurnalele de audit (audit logs) trebuie sa fie protejate.

o Reutilizarea obiectelor: Obiectele folosite de o persoana trebuie sa fie reinitializate inainte de a fi utilizate de o alta persoana.

Securizarea transmisiei de date: in transmiterea de mesaje sau
in utilizarea de programe care comunica intre ele trebuie mentinute confidentialitatea si integritatea.

Clasa 4: Informatie secreta

Accesul intern sau extern neautorizat la aceste date este critic. Integritatea datelor este vitala. Numarul de utilizatori care au drept de acces la aceste date este foarte limitat si pentru aceste date sunt fixate reguli foarte severe de securitate privind accesul.

Labelled Security Protection {Protejarea prin etichetare):

o Cerinte suplimentare privind identificarea si autentificarea (mentinerea securitatii informatiilor compartimentului), manualul facilitatilor de incredere , manualul de proiectare (descrierea modelului de securitate si a mecanismelor) si asigurarea (arhitectura sistemului: izolarea procesului, verificarea integritatii, testarea securitatii prin simularea atacurilor de penetrare si auditatea jurnalelor de securitate pe nivele de obiecte).

o Verificarea specificatiei si a proiectarii : se comporta sistemul in conformitate cu manualul ?

o Exportarea informatiei etichetate, exportarea catre device-uri multinivel sau mononivel.

Accesul controlului pentru obiecte si subiecti asa cum este
specificat in TCB nu de catre useri. (TCB este un protocol destinat trimiterii de mesaje e-mail intre servere)

Securizarea transmisiilor de date (conform cerintelor prezentate intr-un
paragraf anterior).

5. Controlul (tinerea sub control a) securitatii sistemelor informatice

In cadrul fiecarei organizatii trebuie sa existe o politica de securitate si un plan de securitate care sa asigure implementarea acestei politici.

Auditul sistemului de securitate reprezinta un demers deosebit de complex care porneste de la evaluarea politicii si planului de securitate, continuand cu analiza arhitecturii de securitate, arhitecturii retelei, configuratiilor hard si soft, teste de penetrare etc. acestea fiind numai unele din activitatile pe care le presupune.

Auditul securitatii sistemului informatic realizeaza o evaluare obiectiva care va indica:

- riscurile la care sunt expuse valorile organizatiei (hard, soft, informatii etc);

- expunerea organizatiei in cazul in care nu sunt luate masurile necesare limitarii

riscurilor identificate;

- eficienta si eficacitatea sistemului de securitate pe ansamblu si eficacitatea pe fiecare

componenta a sa.

Procesele de asigurare a securitatii sistemelor informatice indeplinesc functia de a proteja sistemele impotriva folosirii, publicarii sau modificarii neautorizate, distrugerii sau pierderii informatiilor stocate.

Securitatea sistemelor informatice este realizata prin controale logice de acces, care asigura accesul la sisteme, programe si date numai utilizatorilor autorizati.

Elemente de control logic care asigura securitatea sistemelor informatice sunt reprezentate de:

cerintele de confidentialitate a datelor;

controlul autorizarii, autentificarii si accesului;

identificarea utilizatorului si profilele de autorizare ;

stabilirea informatiilor necesare pentru fiecare profil de

utilizator;

controlul cheilor de criptare;

gestionarea incidentelor, raportarea si masurile ulterioare;

protectia impotriva atacurilor virusilor si prevenirea acestora ;

administrarea centralizata a securitatii sistemelor;

training-ul utilizatorilor;

metode de monitorizare a respectarii procedurilor IT, teste de intruziune si raportari.

Din cele prezentate rezulta ca riscurile asociate sistemului informatic privesc:

a)      pierderea, deturnarea si/sau modificarea datelor si informatiilor din sistem

b)      accesul neautorizat la sistemul informatic

c)      afectarea sau chiar intreruperea procesarii datelor.

In functie de vulnerabilitatile care le genereaza riscurile se pot clasifica in:

- Riscuri de mediu

- Riscuri asociate mediului

Riscurile sistemului informatic trebuie:

- evaluate din punct de vedere al gravitatii efectelor lor

- evaluate din punct de vedere al probabilitatii producerii lor

- estimate financiar pentru fiecare producere a unui risc si per total riscuri.

Sistemele informatice prezinta cateva particularitati ce trebuie avute in vedere in evaluarea riscului:

- Structura organizatorica

- Natura specifica a procesarii datelor

- Aspecte procedurale

Deosebit de utila in analiza riscurilor este matricea de analiza a riscurilor care ajuta utilizatorii sa identifice potentialele amenintari precum si datele si bunurile care impun protectie.

Matricea de analiza a riscurilor

Obiective ale securitatii

Integritatea datelor

Senzitivitatea datelor

Disponibilitat ea datelor

Acte accidentale

Preocupare majora sau minora

Confidential sau neconfidential

Esential sau neesential

Acte deliberate



Preocupare majora sau minora

Confidential sau neconfidential

Esential sau neesential

Riscuri

Modificarea sau distrugerea datelor

Divulgarea datelor

Inaccesibilitat ea datelor

Aceasta matrice este folosita in parcurgerea pasilor urmatori

identificarea evenimentelor nedorite si a angajatilor afectati de sistem, ca raspuns la criteriile din patratelele hasurate

- managerul responsabil cu securitatea va chestiona fiecare angajat identificat ca fiind afectat de posibile riscuri, cu privire la riscurile asociate fiecarui cadran din matrice.

- determinarea controalelor care privesc fiecare problema de securitate

- asignarea responsabilitatilor de implementare a masurilor de securitate

6. Riscuri si accidente declansate

Conceptul de risc al sistemului informatic exprima posibilitatea de aparitie a unei pierderi care sa afecteze negativ resursele informationale, financiare si functionarea sistemului.

Principalele riscuri si accidentele pe care le pot genera sunt:

Eroare de operare

- Functionarea defectuoasa a hardware-ului

- Functionarea defectuoasa a software-ului

Date eronate nedectate de sistem

Riscuri asociate componentelor nanoelectronice

Cele mai mari riscuri in sistemul informatic al organizatiilor si cele mai mari pierderi financiare sunt determinate de erori neintentionate si omisiuni.

Existenta acestor riscuri impune definirea si implementarea unor mecanisme de control cu scopul diminuarii si chiar al eliminarii acestor vulnerabilitati. Aceste mecanisme de control sunt reprezentate prin controalele clasificate in:

- controale restrictive

- controale preventive

- controale detective

- controale corective

Aceste controale sunt cuprinse in cadrul strategiei de securitate stabilita in procesul de management al riscurilor.

In vederea determinarii controalelor care trebuie implementate cu scopul limitarii producerii riscurilor la care este expus sistemul sau limitarea efectelor producerii riscurilor se parcurg pasii care rezulta din figura 3.7.

Aceasta evidentiaza pe de o parte pasii care se parcurg pana la stabilirea si implementarea controalelor interne ale sistemului dar si faptul ca acest proces de identificare a vulnerabilitatilor si stabilire a controalelor este iterativ ca urmare a dezvoltarii sistemului prin implementarea noilor tehnologii, modificarii continue a mediului de lucru IT, modificarii aplicatiilor si procedurilor utilizate ceea ce inseamna noi amenintari.

Pasii sunt urmatorii:

- Identificarea amenintarilor

- Determinarea riscului (probabilitatii) pentru fiecare vulnerabilitate identificata

- Estimarea expunerii sau a pierderii potentiale pentru fiecare amenintare

- Identificarea setului de controale care trebuie implementate pentru fiecare amenintare si daca se evalueaza raportul cost-beneficii din implementarea solutiilor de securitate, acestora li se mai adauga si

- Implementarea setului de controale.

Model cantitativ de evaluare a riscurilor

Riscurile sistemului informatic sunt urmare a:

Vulnerabilitatilor sistemului

Complexitatii acestuia

Ciclului de viata a sistemului

Nivelului de incredere oferit de controlul intern, nivelul de pregatire a personalului, calitatea managementului, climatul de munca existent.

Calitatii documentatiei existente

Pentru fiecare risc identificat pot fi specificate trei niveluri de risc si anume: scazut, mediu si mare fiind necesara precizarea factorilor care determina respectivul nivel de risc.

In urma evaluarii unui sistem informatic pot fi identificate urmatoarele riscuri:

Riscul asociat accesului fizic

Riscul asociat retelei de comunicatii

Riscul complexitatii organizationale

Riscul functiilor sistemului

Riscul asociat personalului

Riscul asociat personalului de specialitate

Riscul asociat managerilor

Riscul asociat ciclului de viata

Riscul asociat documentatiei

Exista produse software specializate in evaluarea riscurilor. Dintre acestea amintim:

RISK, BUDDY SYSTEM si RISK PAC

Pierderile cauzate de riscurile prezentate de un sistem informatic pot consta din:

fraude produse prin intermediul sistemului

divulgarea neautorizata a informatiilor

furtul de echipamente si informatii

distrugerea fizica a echipamentelor

distrugerea unor fisiere continand date

intreruperi ale procesarii datelor etc.

Pierderile inregistrate de organizatie ca urmare a producerii riscurilor aferente sistemului informatic pot fi anticipate. Determinarea acestor pierderi potentiale trebuie facuta tinandu-se seama de urmatoarele elemente:

impactul unor riscuri in planul pierderilor cauzate poate fi mare, dar probabilitatea producerii unor astfel de riscuri este mai redusa (exemplu: producerea unui cutremur);

pierderile cauzate de producerea unui anumit risc sunt de valori medii, dar frecventa de producere a acestor amenintari este mare;

pierderile pot fi ocazionale;

pot exista atacuri asupra sistemului informatic, dar acestea sa nu conduca la producerea de efecte negative (exemplu: detectarea la timp a unor incercari de intruziune in sistem).

Pierderea determinata de producerea unui anumit risc poate fi exprimata valoric prin calcularea indicatorului pierdere anticipata anualizata (PAA) care reprezinta valoarea medie a pierderii estimata la nivelul unui an calendaristic.

Dar fiecare amenintare prezinta o anumita rata de aparitie probabila la nivelul unui an calendaristic si acest lucru va trebui sa fie luat in calculul PAA. Mai trebuie sa avem in vedere faptul ca pentru fiecare pereche activ-amenintare putem determina un factor de vulnerabilitate calculat ca raport intre pierderea curenta generata de o singura producere a riscului si valoarea totala a pierderilor potentiale aferente unui anumit bun. Factorul de vulnerabilitate va lua valori in intervalul [0, 1].

Rezulta ca pierderea anticipata anualizata (PAA), determinata pentru un anumit bun ca urmare a producerii unei anumite amenintari se va putea determina astfel:

PAA = RA x PP x FV unde:

RA = rata aparitiei

PP = pierderea potentiala

FV = factor de vulnerabilitate

Valoarea totala a pierderilor anticipate la nivelul unui an calendaristic este data de formula :

PATA = PAAi unde:

PATA = pierderea anticipata totala anualizata

i = perechea bun - amenintare pentru care s-a calculat PAA.

O alta posibilitate de evaluare a impactului riscurilor poate fi data de formula:

Risc = Amenintari x Vulnerabilitati x Impacturi.

In acest caz, se pleaca de la o clasificare cantitativa15 a celor trei factori determinanti ai riscului (A, V, I):

Risc mare = 3

Risc mediu = 2

Risc redus = 1

Risc inexistent = 0

Rezulta ca impactul determinat al riscului este curpins in intervalul [0, 27]. Exemplu :

- Riscul furtului unui calculator (PC) care nu are stocate in hard-discul local date sau aplicatii importante poate fi:

Risc = 3x1x1=3=» risc mediu

Am precizat valoarea 3 la amenintare deoarece accesul fizic la calculator nu este controlat corespunzator.

8. Metode de minimizare a riscurilor

Metodele de minimizare a riscurilor trebuie sa raspunda urmatoarelor imperative:

Creeaza din start un sistem informatic corect!

Pregateste utilizatorii pentru procedurile de securitate!

Odata sistemul pornit, mentine securitatea sa fizica!

Securitatea fizica asigurata, previne accesul neautorizat!

Avand controlul accesului, se asigura ca reluarile de proceduri sa fie corecte!

Chiar daca exista proceduri de control, cauta cai de a le perfectiona!

Chiar daca sistemul pare sigur, el trebuie auditat in scopul identificarii unor noi posibile probleme de securitate!

Chiar daca esti foarte vigilent, pregateste-te de dezastre!

Minimizarea riscurilor se poate realiza pe urmatoarele cai:

1.. Dezvoltarea si modificarea sistemului de control

Verificarea si autorizarea oricarei modificari de soft

Actualizarea documentatiei la zi

Asigurarea cu softuri specializate antivirus la zi.

2. Pregatirea personalului pentru reducerea riscului

periodicitatea pregatirii

selectia personalului.

3. Mentinerea securitatii fizice

- acces fizic restrans.

4. Controlul accesului la date, hardware si retele:

controlul operatiunilor formale

definirea exacta a accesului privilegiat



eliminarea intruziunilor prin utilizarea de:

parole

carduri ID

chei hardware

control - scanarea retinei, amprentei digitale, palmare, recunoastere vocala etc.

criptare si decriptare date.

5. Controlul tranzactiilor

segregarea indatoririlor

validarea datelor

corectarea erorilor

backup.

9. Obiective de control detaliate

1. Controlul masurilor de securitate. In cadrul acestuia se urmareste:

includerea informatiilor legate de evaluarea riscurilor la nivel organizational in proiectarea securitatii informatice;

implementarea si actualizarea planului de securitate IT pentru a reflecta modificarile intervenite in structura organizatiei;

evaluarea impactului modificarilor planurilor de securitate IT, si monitorizarea implementarii procedurilor de securitate;

alinierea procedurilor de securitate IT la procedurile generale ale organizatiei.

2. Identificarea, autentificarea si accesul

Accesul logic la resursele informatice trebuie restrictionat prin
implementarea unor mecanisme adecvate de identificare, autentificare si
acces, prin crearea unei legaturi intre utilizatori si resurse, bazata pe
drepturi de acces.

3. Securitatea accesului on-line la date

Intr-un mediu IT on-line trebuie implementate proceduri in concordanta cu politica de securitate, care presupune controlul securitatii accesului bazat pe necesitatile individuale de accesare, adaugare, modificare sau stergere a informatiilor.

4. Managementul conturilor utilizator

Conducerea organizatiei trebuie sa stabileasca proceduri care sa permita actiuni rapide privind crearea, atribuirea, suspendarea si anularea conturilor utilizator. O procedura formala in raport cu gestionarea conturilor utilizator trebuie inclusa in planul de securitate.

5. Verificarea conturilor utilizator de catre conducere

Conducerea trebuie sa dispuna de o procedura de control care sa verifice si sa confirme periodic drepturile de acces.

6. Verificarea conturilor utilizator de catre utilizatori

Utilizatorii trebuie sa efectueze periodic controale asupra propriilor lor conturi, in vederea detectarii activitatilor neobisnuite.

7. Supravegherea securitatii sistemului

Administratorii sistemului informatic trebuie sa se asigure ca toate activitatile legate de securitatea sistemului sunt inregistrate intr-un jurnal si orice indiciu referitor la o potentiala violare a securitatii trebuie raportata imediat persoanelor responsabile.

8. Clasificarea datelor

Conducerea trebuie sa se asigure ca toate datele sunt clasificate din punct de vedere al gradului de confidentialitate, printr-o decizie formala a detinatorului datelor. Chiar si datele care nu necesita protectie trebuie clasificate in aceasta categorie printr-o decizie formala. Datele trebuie sa poata fi reclasificate in conditiile modificarii ulterioare a gradului de confidentialitate.

9. Centralizarea identificarii utilizatorilor si

drepturilor de acces

Identificarea si controlul asupra drepturilor de acces trebuie efectuate centralizat pentru a asigura consistenta si eficienta controlului global al accesului.

10. Rapoarte privind violarea securitatii sistemului

Administratorii de sistem trebuie sa se asigure ca activitatile care pot afecta securitatea sistemului sunt inregistrate, raportate si analizate cu regularitate, iar incidentele care presupun acces neautorizat la date sunt rezolvate operativ. Accesul logic la informatii trebuie acordat pe baza necesitatilor stricte ale utilizatorului (acesta trebuie sa aiba acces numaila informatiile care ii sunt necesare conform atributiilor pe care le are in cadrul organizatiei).

11. Gestionarea incidentelor

Conducerea trebuie sa implementeze proceduri de gestionare a incidentelor legate de securitatea sistemului, astfel incat raspunsul la aceste incidente sa fie eficient, rapid si adecvat.

12. increderea in terte parti

Organizatia trebuie sa asigure implementarea unor proceduri de control si autentificare a tertilor cu care intra in contact prin medii electronice de comunicare.

13. Autorizarea tranzactiilor

Politica organizatiei trebuie sa asigure implementarea unor controale care sa verifice autenticitatea tranzactiilor precum si identitatea utilizatorului care initiaza tranzactia.

14. Prevenirea refuzului de acceptare a tranzactiei

Sistemul trebuie sa permita ca tranzactiile efectuate sa nu poata fi negate ulterior de nici un participant. Aceasta presupune implementarea unui sistem de confirmare a efectuarii tranzactiei.

15. Informatiile sensibile trebuie transmise numai pe un canal de comunicatii considerat sigur de parti, care sa nu permita interceptarea datelor

16. Protectia functiilor de securitate.

Toate functiile organizatiei legate de asigurarea securitatii trebuie protejate in mod special, in vederea mentinerii integritatii acestora.

Organizatiile trebuie sa pastreze secrete procedurile de securitate.

17. Managementul cheilor de criptare

Conducerea trebuie sa defineasca si sa implementeze proceduri si protocoale pentru generarea, modificarea, anularea, distrugerea, certificarea, utilizarea cheilor de criptare pentru a asigura protectia impotriva accesului neautorizat.

18. Prevenirea, detectarea si corectarea programelor distructive

in vederea protejarii sistemului impotriva aplicatiilor distructive (virusi), trebuie implementata o procedura adecvata care sa includa masuri de prevenire, detectare, actiune, corectare si raportare a incidentelor de acest fel.

19. Arhitecturi Firewall si conectarea la retele publice

In cazul in care sistemul organizatiei este conectat la Internet sau alte retele publice, programe de protectie adecvate (firewalls) trebuie implementate pentru a proteja accesul neautorizat la resursele interne ale sistemului.

20. Protectia valorilor electronice

Conducerea trebuie sa asigure protectia si integritatea cardurilor si a altor dispozitive folosite pentru autentificare sau inregistrarea de date considerate sensibile (financiare).

Intrebari recapitulative

Ce este managementul securitatii sistemului informatic?

Ce sarcini ce ii revin managementului la varf privitor la securitatea sistemului informatic?

Ce sarcini ce revin managementului executiv privitor la securitatea sistemului informatic

Ce procese sunt cuprinse in managementul securitatii

Cum pot fi sintetizate obiectivele de securitate

Enumerati principalele activitati implicate de securitatea informatiilor.

Ce este si ce impune managementul riscurilor?

Ce este analiza riscurilor? Ce trebuie sa se identifice prin aceasta analiza si la ce servesc rezultatele ei?

Care sunt pasii de parcurs in cadrul procesului de analiza a riscurilor

. Ce este politica de securitate

Ce trebuie sa se elaboreze in cadrul politicii de securitate

La ce alte aspecte se refera politica de securitate?

Enumerati elementele ce trebuie stabilite pentru a putea defini resursele si serviciile accesibile utilizatorilor.

Care este scopul clasificarea datelor si ce principii se pot folosi in clasificarea datelor?

Enumerati nivelele de clasificare a datelor.

In afara de continutul datelor si informatiilor din sistem ce alte aspecte trebuie avute in vedere la clasificarea datelor

Care sunt cerintele prevazute pentru clasa 1 ((informatie neclasificata)

Care sunt in general, datele care se incadreaza in clasa 2 de clasificare

Ce documente trebuie elaborate pentru clasa 2 de importanta

Ce elemente de siguranta trebuie prevazute pentru clasa 2 de clasificare?

Ce stiti despre clasa 3 (cum se numeste, cum sunt protejate aceste date, ce afecteaza accesul neautorizat la aceste date)

Ce presupune protejarea accesului controlat la datele din clasa 3

Ce presupune securizarea transmisiei de date din clasa 3

Caracterizati clasa 4 sub aspectul denumirii, accesului neautorizat, numarului de utilizatori care au drept de acces la date si regulile de securitate privind aceste date.

Ce trebuie sa existe in cadrul fiecarei organizatii pentru controlul (tinerea sub control a) securitatii sistemelor informatice

Cum incepe auditul sistemului de securitate si ce trebuie analizat in cadrul acestui demers in prima faza?

Ce trebuie sa indice evaluarea realizata prin auditul securitatii sistemului informatic?

Ce functie indeplinesc procesele de asigurare a securitatii sistemelor informatice

68. Cum se realizeaza securitatea sistemelor informatice si ce se asigura prin acele demersuri?

69. Prin ce sunt reprezentate elementele de control logic care asigura securitatea sistemelor informatice?

70. La ce se refera riscurile asociate sistemului informatic?

71. Cum se clasifica dupa originea lor (vulnerabilitatile care le genereaza), riscurile asociate sistemului informatic?

Enumerati punctele de vedere din care trebuie evaluate sau estimate riscurile sistemului informatic.

Care sunt particularitatile sistemelor informatice ce trebuie avute in vedere in evaluarea riscului?

La ce ajuta matricea de analiza a riscurilor

Care sunt pasii de parcurs pentru a utiliza matricea de analiza a riscurilor?

Ce exprima conceptul de risc al sistemului informatic?

77. Care sunt principalele riscuri si accidentele pe care acestea le pot genera?

78. Care sunt tipurile de erori care genereaza cele mai mari riscuri in sistemul informatic al organizatiilor si cele mai mari pierderi financiare?

79. Ce impune existenta riscurilor ce apar riscuri in sistemul informatic al organizatiilor

Prin ce sunt reprezentate mecanismele de control impuse de existenta riscurilor sistemului informatic? Faceti o clasificare a acestor reprezentari.

In ce strategie sunt cuprinse controalele impuse de existenta riscurilor sistemului informatic?

Care sunt pasii ce se parcurg pentru determinarea controalelor care trebuie implementate cu scopul limitarii producerii riscurilor la care este expus sistemul sau pentru limitarea efectelor producerii riscurilor

Care sunt cauzele aparitiei riscurilor sistemului informatic?

Care sunt nivelurile de risc si ce trebuie precizat in legatura cu fiecare nivel?

Faceti o clasificare a riscurilor dupa originea cauzelor care le fac posibile.

In ce ar putea consta pierderile cauzate de riscurile prezentate de un sistem informatic

Care sunt elementele de care trebuie sa se tina seama pentru determinarea pierderilor posibil a fi inregistrate de organizatie ca urmare a producerii riscurilor aferente sistemului informatic

90, 91. Care sunt imperativele carora trebuie sa le raspunda metodele de minimizare a riscurilor

Care sunt caile de minimizarea riscurilor?



loading...






Politica de confidentialitate

DISTRIBUIE DOCUMENTUL

Comentarii


Vizualizari: 1571
Importanta: rank

Comenteaza documentul:

Te rugam sa te autentifici sau sa iti faci cont pentru a putea comenta

Creaza cont nou

Termeni si conditii de utilizare | Contact
© SCRIGROUP 2020 . All rights reserved

Distribuie URL

Adauga cod HTML in site