PROBLEME ACTUALE ALE SECURITATII IN SISTEMELE INFORMATIONALE

PROBLEME ACTUALE ALE SECURITATII IN SISTEMELE INFORMATIONALE

Securitatea sistemelor informationale este , in primul rand , o problema umana , nu tehnica , si se impune a fi tratata ca atare. Trebuie sa se inteleaga facptul ca securitatea sistemelor informationale este o componenta de baza a succesului firmelor.De multe ori conducerea se intereseaza doar de reducerea cheltuielilor generale , neglijand aspectele atat de importante ale protejarii averii informationale.

Investind in tehnica sume colosale oamenii au inceput sa foloseasca metode adecvate de pastrare in camere speciale , cu usi incuiate prin sisteme sofisticate , bazate pe cifru .S-a tratat deci tehnica de calcul ca si seife-urile ce pastrau banii si bijuteriile de familie , uitandu-se un amanunt foarte important , si anume ca noile averi sunt nu cele materiale , ci imateriale , cu forme speciale de utilizare , si cu valori intrinsece , invisibile de cele mai multe ori , iar caile de protejare folosite pana acum devin ineficiente si insuficiente . Mai clar , informatia ,caci ea reprezinta noua avere , devine o sursa de nebanuit a organismelor economico-sociale . Alaturi de capital si oameni , informatia este una dintre averile deosebite ale firmei.

Insecuriatea rezida si din faptul ca orice persoana care dialoga cu calculatorul unei firme , fie prin sistemul terminalelor clasice , fie prin sistemele de posta electronica (e-mail) , sau prin intermediul dischetelor , al benzilor magnetice sau al altor suporturi de informatii , aduse din afara unitatii , pentru a fi prelucrate pe calculatoarele altor firme , sau prin scrierea unor programe cu rol special , putea sa faca urmatoarele lucruri :sa copieze fisierele importante ale altor firme , sa influenteze evidentele altora pentru a le cauza pierderi , sa reprogrameze calculatoarele incluse in configuratia sistemelor de productie pentru a provoca avarierea utilajelor sau pentru producerea accidentelor umane , sa stearga programe sau fisiere si multe altele.

Se pot puncta cateva momente esentiale , pe planul evolutiei tehnologiilor folosite ,cu impact asupara sistemelor de securiatate :

Generatia I , securitatea sistemelor bazate pe calculatoare mari , de sine statatoare

Generatia II , securitatea sistemelor distribuite

Generatia III , securitatea microcalculatoarelor , inclusive a retelelor locale

Generatia IV , securitatea internetului

Generatia V , securitatea comertului si afacerilor electronice

Generatia VI , securitatea comertului si afacerilor mobile

Generatia VII , securitatea globala a lumii virtuale , a intregului spatiu cybernetic

Dintr-un alt punc de vedere , al elementelor prelucrate si al produselor oferite utilizatorilor , am putea vorbi despre :

Securiatea datelor

Securitatea datelor si informatiilor

Securiatatea datelor , informatiilor si cunostintelor

Pana si site-urile marilor corporatii sunt foarte vulnerabile.In primele zile ale anului 2001 au fost desfigurate 90 de site-uri , printr care si cele ale companiilor PEPSI COLA UK , Egypt Air s.a . Dintre ele , 51 foloseau Windows NT , 17 Red Hat Linux , alte 9 foloseau variante de Red Hat , 6 Windows 2000 , 5 Free BSD , iar 2 apelau la Solaris .

Solutia?Masuri dure de securitate luate pe cont proriu sau prin apelarea la firme care asigura impotriva unor asemenea incidente.

Solutia problemei nu este de natura tehnica , atata timp cat mijloacele tehnice reduse ca performanta pot produce pagube immense.In mod asemanator , trebuie pusa si problema securitatii , ea fiind usor de realizat cu mijloace ieftine.

La nivel international s-a constiuit inca din 1960 IFIP ( International Federation for Information Processing=Federatia Internationala pentru Prelucrarea Informatiilor ) , create sub auspiciile UNESCO , care reuneste cadrele didactice si alti specialisti preocupati de prelucrarea informatiilor .

De asemenea , in 1974 s-a infiintat institulul pentru Securitatea Calculatoarelor (Computer Security I nsitute ) pentru formarea si perfectionarea continua a specialistilor in securitatea informatiilor , a calculatoarelor si retelelor.

PARTICULARITATI ALE SECURITATII SISTEMELOR INFORMATICE

Odata cu trecerea spre prelucarea masiva a datelor cu ajutorul calculatoarelor electronice s-a pus intr-un alt context problema protejarii noilor averi , fizice si informationale.

Prin trecerea la prelucrarea automata a datelor s-au schimbat si suporturile informatiei , precum si mijloacele de lucru , situatie in care apar noi aspecte , si anume :

Densitatea informatiei este mult mai mare decat in sistemele clasice , bazate pe hartie .Prin utilizarea discurilor optice , zeci de volume insumand zeci de mii de pagini , pot fi introduce cu usurinta intr-un buzunar .Dischetele , microfilmele si alte suporturi moderne pot fi subtilizate discret , in aceleasi conditii.

Obscuriatea sau invizibilitatea constituie o alta problema intrucat continuturile documentelor electronice si ale rapoartelor derivate nu pot fi sesizate pe cale virtuala la un control de rutina , disparand transparenta documentelor.

Accesibilitatea datelor din noile sisteme se poate efectua cu mai mare usurinta ceea ce faciliteaza aparitia unei categorii de infractori , catalogati "hoti cu gulere albe" , facandu-se trimitere vadita la nivelul de cultura , in primul rand informaitca a acestora.

Lipsa urmelor eventualelor atacuri criminale constituie un alt element ingrijorator al noului mediu de lucru.Stersaturile din vechile documente pentru schimbarea sumelor precum si adaugarile de noi inregistrari devin operatiuni effectuate cu lejeritate si greu de depistat ulterior.

Remanenta suporturilor , dup ace au fost sterse , poate fi o cale sigura de intrare in posesia informatiilor memorate anterior.

Agregarea datelor . Puse laolalta , datele capata alta valoare decat cea avuta prin pastrarea lor in mai multe locuri separate unele de altele.Uneori , informatiile de sinteza sunt valorificate prin progarme speciale in vederea obtinerii , tot cu ajutorul calculatorului , a strategiei si tacticii firmei intr-un anumit domeniu.Edificator este cazul benzilor magnetice ale firmei IBM , care contineau directiile de cercetare pe urmatorii 15 ani , intrate in posesia unei firme din japonica.

Necunoasterea calculatoarelor. Pentru foarte multe persoane , indeosebi de varsta inaintata , calculatorul este investit cu forte supraomenesti , ceea ce le confera o incredere oarba in datele obtinute .

Progresul tehnologic . Rezultatele cercetarilor tehnico-stiintifice se transforma zi de zi in tehnologii din ce in ce mai performante de accesare a datelor.Nu acelasi lucru se poate spune si despre progresele inregistrate in domeniul securitatii datelor.

Comunicatiile si retelele , devenind tot mai performante , au extins aria utilizatorilor , atat din punct de vedere numeric cat si al dispersiei in teritoriu , intregul spatiu terestru fiind accesibil retelelor foarte mari.O data cu noile progrese si aria utilizatorilor rau intentionati s-a marit , precum si variantele de furt informatizat.

Integrarea puternica a sistemelor apare ca o consecinta a imbunatatirii formelor de comunicatie si a proloferarii retelelor de calculatoare.Pe acelais tip de canal sunt transmise tot felul de date.In plus , o data eronata introdusa in system de la un banal punct de vanzare patrunde cu rapiditate in zeci de fisiere si, implicit , aplicatii ale firmei.

Aparitia utilizatorilor finali informatizati constiuie un veritabil success dar sporeste si riscul pierderii datelor importante din calculatorul principal al companiilor .

Standardele de securitate , in pofida atator altor domenii in care se inregistreaza mutatii vizibile in intervale scurte de timp , nu se concretizeaza in forme general valabile si , cat timp un lucru nu este interzis prin reguli scrise , el ori se considera ca nu exista , ori se trage concluzia ca este permis.

PRINCIPII , MODELE SI RESPONSABILITATI PE LINIA SECURITATII SISTEMELOR INFORMATIONALE

Principiile managementului securitatii

a.)    Principiul "niciodata singur" - in masura in care resursele de personal o permit ,doua sau mai multe persoane desemnate de directorul centrului de p.a.d. , recunoscute a fi bine pregatite professional , vor participa la exercitarea actiunilor-cheie pe linia securitatii si vor consemna , prin semnatura intr-un registru special , tot ceea ce se refera la aceste actiuni.

b.)    Principiul exercitarii limitate a unei functii - acest principiu prevede ca nici o persoana san u fie lasata in pozitie-cheie pe linia securitatii datelor un timp prea indelungat , astfel incat sa inceapa a crede ca sarcina ce-I revine ii apartine in exclusivitate .

c.)    Principiul delimitarii obligatiilor de serviciu - consta in respectarea cu strictete a regulii ca nici o persoana san u aiba cunostinta despre functiile privind securiatea sistemului , san u fie expusa la asfel de probleme si nici sa nu participe la actiuni pe aceasta tema daca acestea nu intra in atributiile ei.In mediile de lucru cu calculatoare exista si alte principii fundamentale care guverneaza problematica masurilor de securitate pe linie de personal , cum sunt :

a.)    principiul "trebuie sa stie" - face ca posesia sau cunoasterea informatiilor , indiferent de categoria din care fac parte , sa fie limitata strict sis a fie inlesnita doar celor care au atat autorizarea , cat si nevoia evidenta de a le sti .

b.)    principiul "trebuie sa mearga" - limiteaza accesul personalului in zone diferite de lucru din unitate.

c.)    Principiul "celor doua persoane" - vine sa intampine posibilitatea ca o singura persoana sa comita acte ilegale in sistem indeosebi prin operatiuni importante.

2.Modele de securitate informationala

Continuitatea activitatilor si buna functionare a sistemului informational sunt elemente cheie pentru succesul afacerilor.Orice amenintare la adresa unui sistem informational si a prelucrarilor sale reprezinta , de fapt , amenintari pentru calitatea si eficienta activitatilor organizatiei.

Responsabilul cu securitatea informationala trebuie sa conceapa sis a implementeze un program de securitate care sa respecte 3 cerinte fundamentale : confidentialitaea , integritatea si disponibilitatea resurselor informationale ale organizatiei.

Confidentialitatea vizeaza protejarea informatiilor impotriva oricarui acces neautorizat .

Cel mai cunoscut model folosit este Bell-LaPadula .Acesta defineste relatiile existente intre anumite obiecte (fisiere , inregistrari , echipamente ) si subiecti ( persoane , procese , echipamente ) .Aceste relatii descriu nivelul de access sau privilegiul asociat fiecarui subiect si gradul de importanta al fiecarui obiect in parte.Modelul specifica daca:

subiectul are dreptul sa scrie intr-un obiect aflat la acelasi nivel sau la un nivel superior

subiectul are dreptul sa citeasca un obiect aflat pe acelasi nivel sau la un nivel superior

subiectul are dreptul sa citeasca/sa scrie doar in obiecte aflate la acelasi nivel

Un alt model posibil de folosit este controlul accesului , model care descompune sistemul in obiecte , subiecti si operatiuni . Cu ajutorul unui set de reguli foarte clare se vor preciza care sunt operatiunile ce pot fi executate asupra unui obiect de catre un anumit subiect.

Integritatea informatiilor se refera la protejarea acestora impotriva modificarilor (accidentale sau nu) neautorizate.Modelele ce se pot aplica in acest caz satisfac 3 cerinte principale :

previn modificarea datelor sau a programelor de catre utilizatorii neautorizati

previn modoficarea neautorizata sau incorecta a datelor/programelor de catre utilizatori autorizati

mentin cinsistenta datelor si a programelor

Aici avem 4 modele c ear putea fi aplicate :

Modelul lui Biba este similar cu modelul Bell-LaPadulla si se bazeaza pe o clasificare ierarhica a nivelurilor de integritate.

Modelul Goguen-Meseguer , dezvoltat pe parcursul anului 1982 , acest model se bazeaza pe separarea domeniilor

Modelul lui Sutherland abordeaza integriatea datelor prin prisma deductiei.Modelul consta intr-un set de stari curente , un set de posibile stari initiale si o funtie de transformare a starilor initiale in stari curente.

Modelul Clark-Wilson se bazeaza pe doua elemente principale pentru a asigura integritatea datelor

-starea corecta a unei tranzactii

-separarea sarcinilor de serviciu

Primul element este cel care previne influentarea tranzactiilor de catre utilizatori neautorizati.Cel de-al doilea element previne ca utilizatorii autorizati sa execute modificari incorecte ale datelor.

Responsabilitatile personalului pe linia securitatii informationale

Directorul executiv este principalul responsabil in ceea ce priveste strategia securitatii informationale si trebuie sa gaseasca resursele necesare pentru a combate amenintarile carora organizatia trebuie sa le faca fata.

Responsabilul cu securitatea este persoana numarul unu in ceea ce priveste securitatea informationala a organizatiei.El este cel care efectueaza analiza riscurilor la adresa securitatii si colaboreaza cu furnizorii/producatorii de solutii/echipamente de securitate.

La nivel operational , fiecare persoana din organizatie in a carei sarcina intra si prelucrarea anumitor date raspunde in mod direct raspunde in mod direct de aceste prelucrari si raporteaza direct conducerii de la cel mai inalt nivel orice incalcare a politicii de securitate.De asemenea analizeaza impactul pe care il au bresele sistemului de securitate asupra prelucrarilor de care raspunde si clasifica aceste prelucrari astfel incat sa li se asigure nivelul de securitate optim.

Analistul de sistem joaca rolul principal in ceea ce priveste utilizarea sistemului in siguranta . Initierea oricarui nou proiect trebuie sa aiba in vedere cerintele pe linia securitatii inca din prima etapa.

Seful echipei de proiectare trebuie sa se asigure ca proiectul respecta cerintele politicii de securitate sis a nu existe obiective care intra in conflict cu acestea.

Utilizatorii/operatorii sunt direct raspunzatori de actiunile lor.In cazul in care in timpul activitatilor curente intra in posesia unor informatii neclasificate raspund de clasificarea acestora si distribuirea lor in functie de nivelul de securitate atribuit .

Auditorul de sisteme informationale este o persoana independenta , din cadrul organizatiei sau din afara acesteia care raspunde de evaluarea sistemului informational .

4.Sisteme de clasificare a informatiilor

Orice organizatie trebuie sa stabileasca cu precizie valoarea informatiilor detinute si sa le incadreze in clase , in functie de gradul de importanta determinat.Un sistem de clasificare a informatiei este definit ca "un set de indrumari si cerinte pentru protejarea informatiei importante din organizatie".

O schema de clasificare a informatiei ar fi :

1) informatii publice (neclasificate)-care pot fi facute publice fara nici o implicatie pentru companie.Integritatea lor nu este vitala.Pierderea lor in urma unui atac este un pericol care poate fi acceptat.Exemple:brosuri privind produsul , informatii care oricum pot fi gasite in domeniul public.

2) informatii interne - accesul extern la aceste informatii trebuie prevenit , dar daca ele devin publice consecintele nu sunt critice.Accesul intern este selective.

3) informatii confidential - daca aceste date sunt accesate de personae neautorizate , poate fi influentata eficienta operationala a organizatiei , pot aparea pierderi financiare importante ,poate fi asigurat un important avantaj unui competitor .

4) informatii secrete - accesul intern sau extern neautorizat la aceste date ar fi critic pt companie .Integriatea datelor este vitala.

5.Strategia si politica de securitate informationala

Orice organizatie care doreste sa-si apere valorile informationale trebuie sa conceapa o modalitate logica si coerenta de protejare a cestora . Ea va analiza pe de o parte pericolele interne si externe ,iar pe de alta parte metodele disponibile de contracarare a acestora.Demersurile sale in acest sens se vor concretiza in strategii , planuri , sau programe,politici si proceduri de securitate.

Strategia este rezultatul unui process managerial complex de planificare si control , de definire a misiunii si scopurilor organizatiei , de identificare a resurselor si factorilor critici de success.

Ea reprezinta un set de politici care indruma organizatia spre un anumit scop si intr-o anumita directie.

In viziunea lui G.Dhillon , la nivelul organizatiei strategia cuprinde decizii-cheie privitoare la investirea in resurse informatice , diversificarea resurselor si plierea lor pe obiectivele afacerii.La nivelul activitatii organizatiei , strategia de securitate priveste amenintarile si slabiciunile infrastructurii informationale si se bazeaza cel mai adesea pe analiza riscurilor .

Prin strategie problemele de securitate sunt abordate global si de la cel mai inalt nivel al conducerii.Desfasurarea detaliata a procedurilor de securitate la nivelul compartimentelor functionale este delegata subordonatilor si definita prin intermediul politicilor de securitate.

Prevenirea riscurilor se poate face prin tactici procedurale (politici de securitate , instruiri ale personalului ) prin protectie fizica sau tehnica (hardware si software) .

Printre liniile de baza ale unei politici de securitate se pot numara urmatoarele recomandari :

administrarea controlului accesului la calculatoare

realizarea copiilor de siguranta pentru fisiere si programe

respectarea regulilor si legilor existente si elaborarea unui contract scris care detaliaza drepturile si responsabilitatile utilizatorilor

gasirea unui loc de reamplasare a echipamentelor afectate

formularea planului de recuperare dupa eventuale dezastre

cripatera fisierelor de parole

stabilirea comitetelor de administrare a securitatii resurselor informatice

stabilirea parolelor pentru accesul la sistem

mentinerea unui protocol de conectare la terminale

minimizarea numarului de copii ale fisierelor de date si rapoartelor "sensibile"

minimizarea traficului si accesului in zona prelucrarii automate a datelor

inregistrarea activitatilor desfasurate de catre angajati

inregistrarea activitatii retelei si pastrarea unor inregistrari detaliate ale accesului la fisierele importante

protejarea echipamentului electric si a nodurilor retelei

restrictionarea afisarii informatiilor "sensibile"

restrictionarea accesului la utilitatile care ar putea sprijini trecerea peste sistemul de securitate

intretinerea unui "jurnal" al comenzilor care pot modifica programe si date

deconecatrea automata a accesului nejustificat la sistem sau a celui in afara programului

controlul accesului la documentatia sistemului

Specialistii sugereaza urmatorii pasi pentru intarirea si eficientizarea politicilor de securitate ale unei companii :

crearea unei echipe care sa raspunda de functionarea unui program de politici de securitate

stabilirea unei agende de securitate clara si concise

realizarea regulate de verificari si investigatii

dispersarea informatiilor din organizatie in functie de necesitatile reale