Embed Size (px)
Citation preview
1
1. Securitatea informaţională. Concepte de bază
Securitatea informaţională (SI) este mai mult decât doar tehnologii, ea cuprinde măsuri
administrative, organizaţionale, operaţionale şi legale. În majoritatea cazurilor, pagubele din
domeniul tehnologiilor informaţionale sunt cauzate de neglijenţă. Pentru prevenirea acestui fapt,
fiecare utilizator trebuie să fie motivat de a utiliza tehnologiile informaţionale cu precauţie.1
Conceptele de bază ale Securităţii Informaţional se împart în:
- Securitatea unei personae;
- Securitatea unei companii;
La nivelul unui utilizator obişnuit nevoia de securitate se referă în general la:
• Protejarea datelor împotriva coruperii (păstrarea integrităţii);
• Protejarea datelor împotriva furtului;
• Protejarea sistemului împotriva atacurilor.
La nivelul unei firme, nevoia constă în:
• Protejarea datelor confidenţiale de accesul persoanelor neautorizate;
• Recuperarea datelor în cazul unui dezastru;
• Comunicări securizate cu alte filiale sau alte companii.
2. Securitatea informaţiei
Informaţia este un produs care, ca şi alte importante produse rezultate din activitatea
umană, are valoare pentru o organizaţie şi în consecinţă este necesar să fie protejată
corespunzător.
Fiecare organizaţie în parte îşi poate implementa propriul său sistem de asigurare a
securităţii informaţiei. Un management al securităţii informaţiei se realizează prin implementarea
unui set corespunzător de acţiuni care cuprinde politici, practici, instrumente şi proceduri,
structuri organizaţionale, precum şi funcţii software. Toate acţiunile trebuie prevăzute, definite şi
aplicate pentru a asigura că sunt întrunite obiectivele specifice de securitate ale organizaţiei.
Din punct de vedere al gradului de confidenţialitate pe care îl asigură informaţia
comportă mai multe nivele de secret:
• Informaţii nesecrete;
• Informaţii secrete;
- Secret de serviciu;
1 http://security.ase.md/publ/ro/pubro24.html, consultat la data de 30 aprilie 2012.
2
- Secret;
- Strict secret;
- Strict secret de importanţă deosebită.
Un sistem integrat de securitte a informaţiilor cuprinde nu mai putin de şapte sisteme de
securitate:
1. Securitate fizică;
2. Securitatea personalului need to know;
3. Securitatea administrativă;
4. Securitatea IT (INFOSEC);
5. Securitatea comunicaţiilor (COMSEC);
6. Securitatea criptografică;
7. Securitatea emisiilor EM (TEMPEST).2
Pentru a înţelege mai bine care sunt mecanismele de asigurare a unei bune securităţi a
informaţiei este necesar să clarificăm care sunt tipurile de ameninţări asupra celor trei
caracteristici esenţiale ale informaţiei.
În continuare sunt principalele tipuri de ameninţări, întâlnite în mod uzual în reţelele
Internet şi Intranet:
1. Tipuri de atacuri:
a) Intruziuni (utilizator legitim, identificare falsă);
b) Blocarea serviciilor (denialofservice);
c) Furtul de informaţii.
2. Scopul atacului:
a) amuzament;
b) palmares;
c) vandalism;
d) spionaj;
e) stupiditate şi accidente.
3. Se asigură protecţie pentru:
a) Date şi informaţii;
1. confidenţialitatea;
2. integritatea;
3. disponibilitatea.
b) Resurse calculator;
2 http://www.securitatea-informatica.ro/securitatea-informatica/securitatea-informatiei/, consultat la data de 30
aprilie 2012.
3
c) Reputaţie.3
Securitatea informaţiei protejează informaţia de o paletă largă de pericole legate de
asigurarea continuă a activităţilor, de minimizarea pagubelor şi de maximizarea recuperării
investiţiilor şi a oportunităţilor de afaceri.
Indiferent dacă calculatorul se află într-un birou la serviciu sau pe un pupitru de acasă
asigurarea securităţii informaţiei se poate pune cu aceeaşi acuitate.(agerime).
Evident, în cazul în care avem de-a face cu o reţea de calculatoare asigurarea securităţii
reprezintă o problemă deosebit de serioasă şi, totodată, cu mult mai dificilă.
Multe din atacurile recente de tip denialofservice care au reuşit să pună într-un real
pericol câteva site-uri de Web foarte populare, unele chiar guvernamentale, au reuşit să pună pe
jar autorităţile din mai multe ţări puternic dezvoltate. Unele voci au susţinut chiar că pericolul
este mult mai mare decât se presupunea până atunci.
Au existat suficiente dovezi care susţineau poziţia acelora ce credeau că atacurile
hackerilor au fost posibile din cauză că s-a reuşit obţinerea acceslui doar la computerele slab
protejate. Cu alte cuvinte, spărgătorii de coduri au acces doar acolo unde nu se asigură o
adevărată securitate.
Producătorii de aplicaţii au integrat şi suport pentru manipularea de la distanţă a
informaţiei. Alături de funcţiile complexe de generare şi rulare a unor scripturi posibilitatea de a
rula programul prin retea creşte flexibilitatea aplicaţiei.
Acolo unde este vorba despre reţea, este şi normal să apară conceptul de securitate a
informaţiilor, fapt care a fost luat în seamă de către producători, şi implementat sub forma unei
parole de rulare a programului sau de conectare spre altă staţie, prin remote control(control de la
distanta). Dacă un utilizator, doreşte să ascundă o anumită partiţie de priviri „indiscrete”,
PartitionMagic oferă funcţia de Hide Partition, care va face inaccesibilă pentru sistemul de
operare partiţia selectată. Dar programele care ascund sau restricţionează anumite drepturi în
Windows 95/98, Windows 95/98 nu a fost creat cu securitatea datelor în gând. Şi asta se vede
tocmai la baza sistemului de operare, adică la sistemul de fişiere. Windows 9x se bazează pe
sistemul de fişiere FAT, care ştim foarte ce performanţe şi ce slăbiciuni are. Mai mult de atât,
din dorinţa de a asigura compatibilitatea programelor scrise pentru Windows 31, nucleul lui
Windows 9x se bazează pe apeluri de funcţii şi servicii ale vechiului DOS, care nu înţelege ce
înseamnă mai mulţi utilizatori sau mai multe taskuri. Astfel, securitatea datelor în Windows 9x
folosind programe care ascund sau restricţionează anumite drepturi, se aseamănă cu siguranţa
3 Idem.
4
unei case de piatră construită pe o fundaţie de paie.4 Unica soluţie pentru o adevărată securitate
este folosirea/implementarea unui sistem criptografic(scriere cu litere secrete), care să fie
independent de sistemul de operare şi care să preia sarcina de pe seama sistemului de operare.
Prin Internet se găsesc o mulţime de implementară ale celor mai buni algoritmi de criptate.
Foarte multe dintre acestea sunt gratuite şi poţi să ai codul sursă pe care să il studiezi şi să îl
modifci după bunul plac. Astefel, chiar dacă nu eşti un foarte bun cunoscător în domeniu, poţi
să-ţi faci o securitatea destul de mărită a fişierelor şi a datelor.
Romania se află într-o perioadă de trecere de la produse IT cu valoare şi funcţionalităţi
fixe, la soluţii complexe ale căror funcţionalităţi foarte importante sunt adoptate în funcţie de
necesităţile clientului şi a căror valoare creşte în timp, ajungând să devină un element generator
de profit şi să reprezinte un avantaj competitiv pentru companie. În prezent, companiile încep să
realizeze ca instalarea unui antivirus nu garantează pretecţia împotriva atacurilor IT şi că
securitatea reprezintă o serie de operaţiuni complexe cu implicaţii la diferite niveluri ale
procesului de business.
De la managementul identităţii la motoarele de scanare ale fluxului de comunicare
electronică, tehnologiile de securitate devin complementare, alcătuind o soluţie comprehensivă,
modelată după activitatea specifică a clientului, oferind nu numai protecţie totală, ci şi multiple
funcţionalităţi de management, printre care facilităţile de raportare şi control.
Securitatea informaţiei reprezintă un lucru extrem de important pentru fiecare computer
conectat la Internet, sau aflat într-o reţea de tip intranet, extranet şi chiar o reţea locală. Mai mult
chiar şi pentru un PC standalone securitatea informaţiei poate fi o problemă serioasă, atunci când
acesta conţine informaţii personale, secrete, cu anumite grade de confidenţialitate.
3. Securitatea serverelor web
Datorită faptului că serverul web are acces direct la fişiere din sistemul pe care rulează,
securitatea este un punct de maxim interes şi a necesitat multe versiuni ale serverelor web pentru
a ajunge la un anumit nivel de siguranţă.
Unele probleme care trebuie avute în vedere pentru securitatea serverelor web, presupune
o cunoaştere a modului de accesare al clienţilor la datele de pe server. Şi aceste probleme pot fi:
- Amplasarea datelor;
- Accesul la servicii private;
- Securizarea conexiunii;
4 http://www.securitatea-informatica.ro/securitatea-informatica/securitatea-informatiei/, consultat la data de 30
aprilie 2012.
5
- Criptarea datelor;
- Semnătura digitală;
- Certificate.
4. Securitatea reţelelor
Soluţiile de afacere prin Internet, cum sunt comerţul electronic, managementul lanţului de
distribuţie şi marketingul prin web, fac posibilă creşterea eficienţei în cadrul companiilor, reduc
costurile şi măresc veniturile.
Asemenea aplicaţii necesită reţele de importanţă critică, care permit traficul de voce, date
şi video.
Aceste reţele trebuie să fie scaladate pentru a susţine tot mai mulţi utilizatori şi o nevoie
crescută de capacitate şi performanţă.
Cu toate acestea, pe măsură ce mai multe aplicaţii sunt posibile şi devin accesibile unui
număr mai mare de utilizatori, reţelele devin mai vulnerabile la o gamă largă de ameninţări de
securitate. Atacurile la adresa reţelelor compromit disponibilitatea aplicaţiilor de reţea. În plus,
confidenţialitatea datelor companiei poate fi compromisă prin accesul extern neautorizat. Sau
integritatea datelor poate fi afectată: de exemplu hackeri care modifică conţinutul documentelor
sau al bazelor de date.
Deoarece sunt diferite niveluri de conectivitate Internet, devin esenţiale penntru
menţinerea competitivităţii companiilor, asigurarea securităţii infrastructurii de reţea devin o
cerinţă esenţială.
Companiile trebuie să conceapă o arhitectură a securităţii reţelelor, bazată pe o politică de
securitate a companiei. În loc de a se focaliza numai pe un anumit tip de securitate, este
important să înţelegeţi că o astfel de soluţie completă de securitate a reţelelor este necesară
companiei pentru a-şi proteja datele şi resursele informatice. Această soluţie trebuie să includă
autentificare şi autorizare, confidenţialitatea datelor şi securitatea perimetrului.
5. Securitatea informaţională a persoanei
Dreptul la informaţie este un drept esenţial al fiinţei sociale care satisface necesităţile
individuale şi sociale ale omului, alături de dreptul la viaţă, drept care se realizează prin
comunicare. Pe bună dreptate se spune că unei informaţii zero îi corespunde în mod inevitabil o
libertate zero. Pe de altă parte dreptul la viaţă nu se poate realiza fără dreptul la informaţie.
6
Dreptul la informaţie presupune asigurarea securităţii informaţionale a cetăţeanului şi în
general a publicului. Securitatea informaţională a persoanei presupune activitatea de prevenire şi
demascare a manipulării iar acolo unde manipularea îmbracă elemente constitutive ale
infracţiunilor (comunicare de informaţii false, apologia infracţiunilor, înşelăciunea, propaganda
pentru statul totalitar etc.) sau se cauzează prejudiciu, tragerea la răspundere juridică a celui
vinovat.
Mijloacele de informare în masă, statul şi toate structurile sociale trebuie să asigure prin
mijloacele ce le are la dispoziţie, securitatea informaţională a persoanei şi să prevină abuzurile în
exercitarea drepturilor în comunicare. De pildă legat de securitarea informaţională este legat şi
conceptul de siguranţă a alimentelor reglementat de Legea nr. 150/2004 privind siguranţa
alimentelor5. Astfel în art. 3 din această lege sunt definite concepte necesare în securitatea
informaţională a persoanei în domeniul alimentaţiei cum sunt:
- Riscul în domeniul siguranţei alimentelor, înseamnă probabilitatea apariţiei unui
efect nociv pentru sănătate, precum şi severitatea acestui efect, ca urmare a
expunerii la un pericol;
- Analiza riscului – procesul care cuprinde trei componente intercorelate: evaluarea
riscurilor, managementul riscurilor şi comunicarea riscurilor;
- Comunicarea riscului – schimbul interactiv de informaţii şi opinii, pe parcursul
derulării analizei riscului, cu privire la pericole şi riscuri, la factorii corelaţi
riscurilor şi la percepţia riscului, dintre evaluatorii riscului, managerii riscului,
consumatori, operatori din industria alimentară şi din domeniul hranei pentru
animale, mediile universitare şi alte părţi interesate, inclizând explicarea
rezultatelor evaluării riscului şi a bazei deciziilor de management al riscului.6
Exercitarea libertăţii de exprimare, de conştiinţă, a libertăţii presei, a dreptului la
informaţie, trebuie să fie în aşa măsură încât să asigure şi securitatea informaţională apersoaneim
să-i permită acesteia să poată discerne adevărul de minciună, punându-i la dispoziţie toate datele
necesare.
Posibilităţile informaţionale actuale coroborate cu credinţa rea, permit ca prin
dezinformare, manipulare, timpurile în care trăim să capete dimensiunile unei adevărate epoci a
dezinformării. Dezinformarea este prezentă şi o simţim mai mult sau mai puţin prin consecinţe.
Este de ajuns pentru aceasta, să-i asculţi pe protagoniştii dezbaterilor politice, interne sau
externe, carenu încetează sa se acuze reciproc de minciună şi disimulare, de modificare
nejustificată a realităţii şi de manipulare a opiniei publice. Este evident că cel puţin unii dintre
5 http://www.scribd.com/doc/32595134/Securitatea-informa%C5%A3ional%C4%83-a-persoanei, consultat la data
de 30 aprilie 2012. 6 Idem.
7
aceştia au dreptate. Dezinformarea nu se rezumă numai la falsificarea conştiinţelor, ea se
dovedeşte a fi o puternică pârghie de acţionare psihologică, de conducere a indivizilor, de
dirijare a opiniilor şi ideilor, a stărilor sufleteşti şi a comportamentelor umane. Asigurarea
dreptului la informaţie şi securităţii informaţionale a persoanei este esenţială pentru lupta contra
manipulării şi dezinformării, pentru formarea liberă a opiniilor, pentru realizarea unor judecăţi
corecte, pentru realizarea drepturilor şi libertăţilor.
Neiformarea publicului cu informaţiile de interes public favorizează victimizarea
cetăţeanului, care este neiformat devine mai uşor victim a escrocilor, infractorilor şi în general al
celor care încalcă legea cu intenţie sau din culpă.
În scopul asigurării securităţii informaţionale a persoanei şi a securităţii în general în
raport cu produsele şi serviciile de pe piaţă, Parlamentul European a elaborate Directiva
nr.92/59/C.E.E. A Consiliului Europei relative la securitatea generală a produselor, precum şi
Directiva 2001/95/C.E. a Parlamentului European şi a Consiliului European din 3 decembrie
2001 relativă la securitatea generală a produselor.7
În aceste Directive sunt prevăzute obligaţii ăentru statele member de a institui:
- Obligaţia generală de securitate;
- Obligaţia de informare a consumatorilor;
- Obligaţia producătorului de a lua măsuri menite să asigure o autoinformare a
acestuia, atunci când cunosc existent unui risc incompatibil cu obligaţia generală
de securitate.
Informaţia este sângele fiecărei organizaţii şi poate exista sub mai multe forme.
Aceasta poate fi printată sau scrisă pe hârtie, stocată electronic, transmisă prin e-mail, arătată în
filme sau spusă în conversaţii. În mediul de afaceri competitiv prezent, informaţia este
“ameninţată”. Acestea pot fi interne, externe, accidentale sau rău-voitoare. Cu tendinţele
crescânde ale noilor tehnologii de stocare a informaţiei şi de găsire a acesteia, cresc şi riscurile
care afectează siguranţa informaţiei.
De aceeea, există o nevoie generală a unei Politici de Securitate a Informaţiei pentru toate
organizaţiile. Există nevoia de confidenţialitate, integritate şi disponibilitate atât pentru
organizaţii cât şi pentru informarea clienţilor.
7 Idem.
8
Bibliografie
1. http://security.ase.md/publ/ro/pubro24.html
2. http://www.securitatea-informatica.ro/securitatea-informatica/securitatea-informatiei/
3. http://www.scribd.com/doc/32595134/Securitatea-informa%C5%A3ional%C4%83-a-
persoanei
