Laborator 1 la securitatea informațională

1. Introducere

1.1. Ce este securitatea informationala?

Informatia este o valoare cu o importanta deosebita pentru o persoana fizica sau pentru o organizatie si, in consecinta, necesita o protectie adecvata. Securitatea informatiei protejeaza informatia de o gama larga de amenintari. In acest context, securitatea informatiei este caracterizata ca fiind cea care asigura si mentine urmatoarele:

-Confidentialitatea - asigurarea faptului ca informatia este accesibila doar persoanelor autorizate;

-Integritatea - pastrarea acuratetei s completitudinii informatiei precum si a metodelor de procesare;

-Disponibilitatea: asigurarea faptului ca utilizatorii autorizati au acces la informatie si la resursele asociate atunci cand este necesar.

Securitatea informatiei este obtinuta prin implementarea unui set adecvat de politici, practici, proceduri, structuri organizationale si functii software. Aceste elemente trebuie implementate in masura in care se asigura atingerea obiectivelor specifice de securitate.

Este important ca fiecare organizatie sa poata sa-si identifice propriile cerinte de securitate. Pentru aceasta ea trebuie sa faca apel la trei surse principale:

o evaluarea riscurilor: se identifica amenintarile asupra resurselor, se evalueaza vulnerabilitatea la aceste amenintari si probabilitatea de producere a lor si se estimeaza impactul potential;

o legislatia existenta pe care o organizatie trebuie sa o respecte;

o analiza securitatii: setul specific de principii, obiective si cerinte pentru procesarea informatiei, pe care organizatia le dezvolta pentru a-si sustine activitatile.

Pentru a analiza riscurile o organizatie isi poate identifica propriile cerinte legate de securitate. Un astfel de proces presupune in general patru etape principale:

o identificare resurselor care trebuie protejate;

o identificarea riscurilor/amenintarilor specifice fiecarei resurse;

o ierarhizarea riscurilor;

o identificarea controalelor prin care vor fi eliminate/diminuate riscurile.

Analiza securitatii trebuie sa cuprinda urmatorii pasi:

o Selectia solutiilor viabile;

o Stabilirea strategiei de asigurare a securitatii;

o Compartimentarea si controlul conexiunilor:

- Compartimentarea comunicatiilor;

- Compartimentarea retelei;

- Compartimentarea serviciilor si aplicatiilor folosite;

o Apararea pe nivele;

o Strategia de raspuns la incidente;

o Alocarea resurselor pentru securizare.

o Stabilirea politicilor de securitate:

o Politici formale: Monitor, Graham-Denning, Bell La-Padula, Biba, Clark-Wilson, Latice sau Zidul Chinezesc;

o Politici particulare: utilizare Internet, utilizare e-mail, utilizare criptografie, utilizare semnatura electronica, management parole, etc.;

o Realizarea mecanismelor si procedurilor de securitate:

o Documentarea sistemului:

- Politica de securitate - aprobata de conducere la cel mai inalt nivel;

- Setul de inregistrari de securitate (trasabilitate activitati, incidente de securitate, controale, instruiri, rapoarte de audit si de evaluare etc.)

- Completarea fiselor de post cu atributiile de securitate;

- Realizarea procedurilor operationale de securitate (orientate pe procese).

o Certificarea de securitate - controlul periodic al conformitatii functionarii sistemului cu documentatia intocmita (audit intern si extern);

o Evaluari ale sistemului de securitate prin teste de securitate - evaluarea nivelului in care documentatia si functionarea mecanismelor de securitate satisfac nevoile de securitate impuse de mediu;

o Acreditarea de securitate - decizia autoritatii competente (proprietarul) de a autoriza functionarea si implicit asumarea riscurilor remanente.

Securitatea informatiei este obtinuta prin implementarea unui set adecvat de politici, practici, proceduri, structuri organizationale si functii software. Aceste elemente trebuie implementate in masura in care se asigura atingerea obiectivelor specifice de securitate.