Click here to load reader

Cod de bune practici

  • View
    235

  • Download
    0

Embed Size (px)

Text of Cod de bune practici

  • Cod de bune practici

    pentru

    Securitatea Sistemelor Informatice i de

    Comunicaii

    Bucureti 2012

  • Page 2 of 34

    CUPRINS

    I. Introducere

    1.1. Scopul i audiena codului de bune practici

    1.2. Obiective

    II. Dimensiunea spaiului cibernetic n cadrul Economiei Naionale

    2.1. Definirea spaiului cibernetic

    2.2. Securitatea sistemelor informaionale

    2.3. Atributele securitii informatice

    2.4. Importana funciei Ofierului de securitate n cadrul organizaiei

    2.5. Infrastructuri critice la nivel naional i organizaional

    III. Msuri necesare pentru asigurarea securitii informatice

    3.1. Securitatea fizic

    3.2. Securitatea logic

    3.3. Securitatea personalului

    3.4. Asigurarea continuitii afacerii

    IV. Atacuri cibernetice i msuri de prevenire

    4.1. Tipuri de atacuri cibernetice i msuri de prevenire

    4.2. Dezvoltarea entitilor de tip CERT

    Anexa nr. 1. Termeni i definiii

    Anexa nr. 2. Descriere tipuri de atac i reacii de securitate la ndemna entitilor economice care dein

    un sistem de securitate informatic funcional

  • Page 3 of 34

    I. Introducere

    1.1. Scopul i audiena codului de bune practici

    Codul de bune practici emis de Asociaia National pentru Securitatea Sistemelor Informatice ofer

    recomandri pentru organizaiile care doresc iniierea, implementarea sau meninerea unui sistem de securitate

    informatic eficient.

    Documentul este destinat s ofere o baz comun de standarde minimale n vederea organizrii i

    implementrii unor practici de management de securitate eficiente i creterea nivelului de ncredere n relaiile

    dintre partenerii de afaceri.

    Codul este ntocmit n corelare cu reglementrile legale naionale i internaionale n domeniu.

    1.2. Obiective

    Obiectivele prezentului document circumscriu obiectivelor asociaiei:

    a) Contribuirea la dezvoltarea unei strategii naionale de securitate a sistemelor informatice;

    b) Promovarea celor mai nalte standarde etice i profesionale n domeniul securitii sistemelor

    informatice;

    c) Promovarea bunelor practici pentru a asigura confidenialitatea, integritatea i disponibilitatea resurselor

    informatice ale unei organizaii;

    d) Consolidarea culturii securitii cibernetice la nivel naional i extinderea cunotinelor i aptitudinilor n

    domeniul securitii informaiei;

    e) Facilitarea interaciunii i a educrii membrilor pentru a rspunde ntr-un mod eficient i coordonat la

    ameninrile cibernetice;

    f) Adoptarea celor mai bune de msuri de protecie a datelor, a sistemelor de comunicaie i de procesare

    a acestora;

    g) Cunoaterea riscurilor i ameninrilor la care sunt supuse activitile desfurate n spaiul cibernetic i

    oferirea de soluii de prevenire i contracarare a acestora.

    II. Dimensiunea spaiului cibernetic n cadrul Economiei Naionale

    2.1. Definirea spaiului cibernetic

    Spaiul cibernetic, din perspectiva economiei naionale, reprezint reeaua integral i integrat de infrastructuri

    interdependente de tehnologie a informaiei, reelele de telecomunicaii i sisteme de prelucrare de date pe

    calculator.

    Din punct de vedere social i economic, spaiul cibernetic este un mediu informaional dinamic bazat pe

    interoperabilitate i servicii specifice societii informaionale unde organizaiile i persoanele fizice pot

  • Page 4 of 34

    interaciona, schimba idei, informaii, s ofere asisten social, derula afaceri sau activiti artistice, politice i

    de mass-media, derula activiti economice i financiare, folosind sisteme electronice de plat i tranzacionare.

    Din punct de vedere fizic, spaiul cibernetic nglobeaz totalitatea serverelor, computerelor, echipamentelor de

    comunicaii, de interconectare, centrale telefonice digitale, magistrale de fibr optic, reele de cabluri de orice

    tip, echipamente de transmisie wireless, antene, dispozitive de stocare, prelucrare, transmitere, codare,

    protejare a datelor, precum i spaiile dedicate n care echipamentele sunt utilizate.

    Spaiul cibernetic se caracterizeaz prin lipsa frontierelor, dinamism i anonimat, genernd deopotriv, att

    oportuniti de dezvoltare a societii informaionale bazate pe cunoatere care insa prezinta i riscuri la adresa

    funcionrii acesteia.

    Pe msura creterii gradului de informaizare al societii romneti, aceasta este mai vulnerabil la atacuri, iar

    asigurarea securitii spaiului cibernetic trebuie s constituie o preocupare major a tuturor organizaiilor (sau

    organismelor) implicate.

    2.2. Securitatea sistemelor informaionale

    Securitatea sistemului informaional trebuie s fie o responsabilitate asumat de ctre structurile de conducere

    ale oricrei organizaii din mediul privat sau public. Structurile de conducere trebuie s asigure o direcie clar i

    gestionat corespunzator pentru indeplinirea obiectivelor stabilite prinpolitica de securitate, avnd n vedere

    urmtoarele elemente:

    a) revizuirea i aprobarea politicii de securitate i stabilirea de responsabiliti legate de aceasta;

    b) monitorizarea schimbrilor semnificative de expunere a sistemului informaional la ameninri majore;

    c) revizuirea i monitorizarea incidentelor de securitate a sistemului informaional;

    d) aprobarea msurilor de sporire a securitii informaiilor.

    n vederea stabilirii i meninerii politicilor de securitate este esenial implicarea specialitilor din domeniu n

    vederea adoptrii deciziilor privind securitatea sistemului informaional.

    Accesul la echipamentele de prelucrare informaiilor organizaiei de ctre tere pri trebuie s se fac sub

    supraveghere. Pentru accesul terilor, o evaluare a riscului ar trebui s fie efectuat pentru a stabili implicaiile

    de securitate i cerinele de control. Msurile de protecie trebuie s fie puse de acord i incluse ntr-un contract

    cu terele pri. De asemenea n acordurile/contractele de externalizare ar trebui s se abordeze riscurile,

    controalele i procedurile de securitate pentru sistemele informatice, reelele i / sau echipamentele de birou.

    Toate activele sistemului informaional ar trebui s fie contabilizate i s aib un responsabil desemnat.

    Responsabilitatea pentru active ajut s se asigure c protecia corespunztoare este meninut. Responsabilul

    unui element din sistemul informaional trebuie s poat fi identificat pentru toate activele majore i s aib

    responsabiliti pentru meninerea i implementarea de controale adecvate. Responsabilitile pentru control pot

    fi delegate.

    Informaiile trebuie s fie clasificate pentru a indica prioritile i gradul de protecie necesare.

    Informaiile au diferite grade de sensibilitate i de importan, unele dintre acestea necesitnd un nivel

    suplimentar de protecie sau o manipulare special. Un sistem de clasificare a informaiilor ar trebui s fie

  • Page 5 of 34

    utilizat pentru a defini un set adecvat de niveluri de protecie, precum i necesitatea de a institui msuri speciale

    de manipulare.

    Pentru a reduce riscurile de eroare uman, furt, fraud sau de abuz de ncredere, responsabiliti de securitate

    trebuie s fie implementate nc din etapa de recrutare, incluse n contractele de munc i monitorizate n

    timpul activitii la locul de munc.

    Toi angajaii proprii sau terele persoane care au acces la sistemul informaional al unei companii ar trebui s

    semneze un acord de confidenialitate.

    Pentru a ne asigura c utilizatorii sunt contieni de ameninrile de securitate a informaiilor i sunt pregtii

    pentru a sprijini politica de securitate organizaional n cursul activitii lor la locul de munc, angajaii proprii

    sau terele persoane ar trebui s fie instruii cu privire la procedurile de securitate i utilizarea corect a

    sistemelor de prelucrare a informaiilor.

    Toate incidentele de securitate trebuie raportate i n acest sens trebuie implementat un sistem eficient i rapid

    de raportare a incidentelor de securitate, care s fie cunoscut de ctre toi angajaii.

    Informaiile de business critice sau sensibile trebuie s fie adpostite n locuri sigure, protejate ntr-un perimetru

    de securitate adecvat, cu bariere de securitate corespunztoare i controale de acces. Acestea ar trebui s fie

    protejate fizic mpotriva accesului neautorizat, deteriorare i interferene. Protecia oferit trebuie s fie

    proporional cu riscurile identificate.

    Echipamentele IT&C trebuie s fie protejate fizic mpotriva ameninrilor de securitate i de pericolele de mediu.

    Responsabiliti i proceduri pentru gestionarea i exploatarea tuturor sistemelor de prelucrare a informaiilor ar

    trebui s fie stabilite. Aceasta presupune dezvoltarea unor instruciuni de utilizare i proceduri de rspuns la

    incidente aprobate de conducerea unitii i cunoscute de ctre tot personalul.

    Msuri de precauie sunt necesare pentru a preveni i detecta introducerea de software ru intenionat.

    Software-ul i echipamentele de calcul sunt vulnerabile la introducerea de software rau intentionat, cum ar fi

    virui, viermi de reea, cai troieni. Utilizatorii ar trebui s fie contieni de pericolele software-ului neautorizat sau

    ru intenionat i managerii ar trebui, acolo unde este cazul, s introduc controale speciale pentru a detecta

    sau a preveni introducerea de software ru intenionat.

    n special, este esenial s se ia msuri de precauie pentru a detecta i a preveni infectarea cu virui

    informatici ale calculatoarelor angajailor.

    Proceduri de rutin ar trebui s fie stabilite pentru efectuarea de back-up-uri strategice, simularea periodic a

    restaur

Search related