curs infosec (sectiunea 1) - securitatea informatiei.pdf

INSTRUIRE PENTRU CONSTIENTIZAREA POLITICII DE SECURITATEA INFORMATIEIPOLITICII DE SECURITATEA INFORMATIEI IN CADRUL ROMTELECOM

Version:Date:Author:

2/201302 Septembrie 2013Directia Securitate Centrala

ObObiective

I. Cunoasterea politicilor si procedurilor de securitatea informatiei;

II. Constientizarea amenintarilor specifice si a metodelor de protectie;

III. Cunoasterea politicilor si procedurilor de securitateIII. Cunoasterea politicilor si procedurilor de securitate fizica;

IV. Constientizarea importantei asigurarii continuitatii afaceriiafacerii.

ca intotdeauna, speram ca materialul sa va fie de folos si acasa, in viata privata.

Vers. 2/2013 UZ INTERNDepartamentul Securitatea Informatiei Departamentul Securitate FizicaTel.: 0259 466 761 Tel.: 021 400 55 71Slide 1 din 44

Introducere

D t lii I t t htt //i f t lDetalii pe Intranet: http://info.romtelecom.ro

Politicile de securitate le puteti accesa aici:

sau direct pe http://itsecurity.romtelecom.ro

Ne puteti scrie la adresele: [email protected] si [email protected]


Noutati in aceasta editie1. Detalii despre procedura PSA

(Privacy and Security Assessment)

2. Site mySecurityBase (*disponibil doar din Intranet) https://mysecurity.telekom.deA f t t d DT i t ibil d di I t t(Privacy and Security Assessment)

Obligatorie pentru project manageri si toti ceicare participa la dezvoltarea de produse si servicii noi, dezvoltate intern sau cu vendori externi.

A fost creat de DT si este accesibil doar din Intranet.Util pentru toti angajatii companiei.Este disponibil atat in limba romana, cat si in alte limbi de circulatie internationala.

3. Material Mobile Security Awareness3 a e a ob e Secu ty a e esshttp://itsecurity.romtelecom.ro/index.php?p=1996&s=1Disponibil in engleza. Util pentru toti utilizatorii de dispozitive mobile.

4. Modul Securitate Fizica

5 Modul Business Continuity5. Modul Business Continuity Management (Managementul Continuitatii Afacerii)


Politica de Securitate a Romtelecom (1/2)P liti d S it t R t l i t t i i i 17 t b i 2011 fii d li i t liti i il li t iPolitica de Securitate a Romtelecom a intrat in vigoare in 17 octombrie 2011, fiind aliniata cu politica similara aplicata incadrul grupului Deutsche Telekom A.G..Consta intr-un pachet de documente (disponibile pe http://itsecurity.romtelecom.ro), dintre care cele mai importante sunt:

Politica Generala de Securitate

Politica de Securitate a Informatiei si Protectia Datelor

Politica de Securitate IT/NT

Politica Managementului Continuitatii Afacerii si Politica Managementului Continuitatii Afacerii sia Situatiilor de Urgenta

Politica de Utilizare Parole Ghid de Utilizare Parole

Procedura Monitorizare Trafic Internet

Procedura PSA

Politica privind Utilizarea Acceptabila

Toti angajatii, fara exceptie, precum si consultantii si colaboratorii externi au obligatia sa cunoasca si sa adere laprevederile acesteia, intrucat Politica se adreseaza tuturor angajatilor si persoanelor care lucreaza intr-o pozitiecu functionalitate echivalenta (stagiari, angajati temporar, prestatori de servicii sau consultanti).


Politica de Securitate a Romtelecom (2/2)Politica Generala de SecuritatePolitica Generala de Securitate

Furnizeaza un cadru de aplicare a regulilor de securitatea informatiei in intreaga Companie si serveste ca o constitutie asecuritatii si a culturii noastre de protectie a datelor, precum si ca un manual pentru actiuni constiente de securitate si deprotectie a datelor. De asemenea, Politica este adresata clientilor si actionarilor nostri, pentru care serveste ca o marturie apoliticii noastre de securitate transparente, fiind axata pe drepturile si nevoile lor.

Politica de Securitate a Informatiei si Protectia DatelorP i t ii fi ti t l ifi i t ti i f tiil ibil i/ t l i tPrezinta pasii care vor fi urmati pentru clasificarea si protectia informatiilor sensibile si/sau cu caracter personal si pentrustandardizarea metodelor de etichetare, manevrare si protejare a acestora.

Politica de Securitate IT/NTFurnizeaza cerinte de securitate pentru protectie adecvata pentru sistemele IT/NT siserviciile si produsele furnizate de acestea.

P liti M t l i C ti it tii Af ii i Sit tiil d U tPolitica Managementului Continuitatii Afacerii si a Situatiilor de UrgentaDetaliaza modalitatile in care se vor aplica la nivelul Romtelecom:

Managementul incidentelor de securitate Managementul continuitatii afacerii Managementul urgentelor Managementul situatiilor de criza

Politica de Utilizare Parole (si Ghid de Utilizare Parole)Politica detaliaza caracteristicile obligatorii ale parolelor folosite in companie; scopul ghiduluide utilizare parole, ce sustine aceasta politica, este de a furniza recomandari concrete de generare si protectie a parolelor.

Procedura Monitorizare Trafic InternetScopul acestei proceduri este de a detalia pasii pentru monitorizarea traficului de Internet.p p p p

Procedura PSAStabileste liniile directoare pentru evaluarea din punctul de vedere al securitatii si protectiei datelor a fiecarui sistem IT/NTdin cadrul Romtelecom, pornind de la securitate ca principiu de proiectare a sistemelor IT/NT.


Politica Generala de SecuritateLa baza Politicii Generale de Securitate stau cele 10 Principii de Securitate, care guverneaza toate masurile si cerintele de securitate:

1. Conduita legala2. Protectia datelor si securitatea datelor3. Increderea clientilor4 Cultura Securitatii si a Protectiei Datelor4. Cultura Securitatii si a Protectiei Datelor5. Responsabilitate transparenta6. Principiul Nevoia de a sti7. Avantaj competitiv prin tehnologie8. Profitabilitate9. Crearea de valoare adaugata prin securitate integrata10. Standardele internationale de securitate

L iti d t li t i i S it BLe gasiti detaliate si in mySecurityBase, sectiunea My Information - 1.9, 1.10, 1.11. http://mysecurity.telekom.de


Politica de Securitate a Informatiei si Protectia Datelor

Obiectivele de protectie definesc si specifica cerinteleObiectivele de protectie definesc si specifica cerintelede protectie pentru date si informatii specifice, sub formaclaselor de protectie.

Incident de securitate: un eveniment sau serie de evenimente actuale sau potentiale care potIncident de securitate: un eveniment sau serie de evenimente actuale sau potentiale care potameninta confidentialitatea, integritatea sau disponibilitatea informatiei.

In continuare sunt prezentate aspecte privind clasele de protectie asociate obiectivuluiConfidentialitate, inclusiv clasificarea si etichetarea informatiilor.


Politica de Securitate a Informatiei si Protectia DatelorCl ifi i f tiilClasificarea informatiilor

Informatiile trebuie sa fie clasificate ca Strict Confidential in cazul in care acest lucru este absolutnecesar, pe baza cerintelor de protectie. Aceasta clasificare nu va fi niciodata utilizata ca un mijloc dea sublinia importanta departamentelor sau a persoanelor asociate.


Politica de Securitate a Informatiei si Protectia DatelorEtichetarea informatiilor ce contin informatii sensibile

Informatia clasificata ca fiind Confidential sau superioara trebuie sa fieintotdeauna etichetata ca atare.

Clasificarea si etichetarea trebuie sa fie realizate de entitatea (persoana sausistem ICT) care creaza/genereaza informatia.


Politica de Securitate a Informatiei si Protectia DatelorP t ti i f tiil fid ti l (1)Protectia informatiilor confidentiale (1)

Toti salariatii Romtelecom trebuie sa fie instruiti periodic si adecvat cu privire la protectiainformatiilor si a datelor Instruirea trebuie sa serveasca la crearea unei constientizari ainformatiilor si a datelor. Instruirea trebuie sa serveasca la crearea unei constientizari acerintelor de protectie a informatiei si a datelor.Sesiunile de instruire trebuie realizate la inceputul raporturilor de munca sau odata cuschimbarea rolurilor in Romtelecom si ulterior, de cel putin o data pe an. Activitatile ceimplica cerinte de securitate sporite necesita instruiri mai intense si mai frecvente.

Pierderea de informatie (accidentala sau intentionata) are urmatoarele riscuri asociate:Pierderea reputatiei;Pierderea reputatiei;Pierderi financiare (amenzi, pierderea oportunitatilor de afacere, pierderea

proprietatii intelectuale);Pierderea increderii clientilor.


Politica de Securitate a Informatiei si Protectia DatelorProtectia informatiilor confidentiale (2)Protectia informatiilor confidentiale (2)

Un caz special il constituie datele cu caracter personal. Acestea sunt definite de legea 677/2001, transpunere a Directivei 95/46/EC (disponibila

la http://www.dataprotection.ro) ca:

date cu caracter personal = orice informatii referitoare la o persoana fizica identificatasau identificabila; o persoana identificabila este acea persoana care poate fi identificata, directsau indirect, in mod particular prin referire la un numar de identificare ori la unul sau la mai multifactori specifici identitatii sale fizice, fiziologice, psihice, economice, culturale sau sociale.

Operatorii de date cu caracter personal sunt obligati sa asigure protectia acestor date. Art. 20: Operatorul este obligat sa aplice masurile tehnice si organizatorice adecvate pentru

protejarea datelor cu caracter personal impotriva distrugerii accidentale sau ilegale pierderiiprotejarea datelor cu caracter personal impotriva distrugerii accidentale sau ilegale, pierderii,modificarii, dezvaluirii sau accesului neautorizat, in special daca prelucrarea respectivacomporta transmisii de date in cadrul unei retele, precum si impotriva oricarei alte forme deprelucrare ilegala.


Politica de Securitate a Informatiei si Protectia DatelorProtectia informatiilor confidentiale (3)Protectia informatiilor confidentiale (3)

Un alt caz special il constituie datelecardurilor bancare ale clientilorcardurilor bancare ale clientilor.La nivelul grupului DTAG exista initiativade certificare PCI-DSS (Payment CardIndustry Data Security Standard), la careparticipa si Romtelecomparticipa si Romtelecom.Clientii isi pot utiliza cardurile bancarepentru plata in magazinele fizice si virtualeale Romtelecom.Personalul si sistemele Romtelecom NUretin datele acestor carduri bancare.Datele cardurilor bancare sunt folositeexclusiv de sistemele autorizate ale bancilorexclusiv de sistemele autorizate ale banciloremitente, respectiv ale firmelor care asiguraplati online.


Solutia Data Loss PreventionPentru reducerea riscurilor de scurgere in exteriorul Romtelecom a informatiilor sensibile (datePentru reducerea riscurilor de scurgere in exteriorul Romtelecom a informatiilor sensibile (dateconfidentiale si date personale ale clientilor sau ale angajatilor Romtelecom), a fost implementatasolutia Data Loss Prevention (DLP), cu 3 componente:

A. Ridicare de incidente si blocare a upload-ului si a postarii pe Internet (via TMG Proxy) ainformatiilor sensibile;

B. Ridicare de incidente si blocare a e-mail-urilor (care sunt trimise de pe contul Romtelecomcatre alte adrese externe pentru care nu exista exceptie*) in cazul in care acestea contininformatii sensibile;

C. Agentul DLP instalat pe PC-uri poate bloca copierea pe dispozitive externe (USB, HDDextern, CD, DVD), FTP sau imprimare a documentelor care contin informatii confidentialesau date personale ale angajatilor/clientilor Romtelecom. User-ul va putea sa isi aleaga

ti d ti ti d bl i t i t l d ti d 60optiunea de a continua actiunea sau de a o bloca intr-un interval de timp de 60 sec.

In cazul in care actiunea dvs. (trimitere e-mail, postare pe Internetetc) este legitima (**vezi nota), este necesar sa se adauge oexceptie in DLP pentru ca acea actiune sa nu mai fie blocata decatre DLP:

Pentru a solicita exceptie in DLP trimiteti detaliile necesare [email protected] si, eventual, deschideti un nouChange Order in aplicatia de ServiceDesk, alegand categoria F1 siaplicatia DLP (https://servicemanager.romtelecom.ro).

* Nota: implicit sunt exceptate de la blocare e-mail-urile ce se trimitcatre adrese de e-mail ce apartin DTAG, OTE, Cosmote.

* * Nota: Actiune legitima = aprobata de manager (+ aprobata de catre

Au existat cazuri concrete in care am oprit scurgeri de date facute din greseala (CNP-uri in linii ascunse din XLS, destinatari externi pusidin greseala, fisiere ramase atasate etc.) si am ajutat la modificarea unor procese in care, de ex., CNP-ul nu era necesar (dar era trimisprin e-mail in exterior).

aplicatia DLP (https://servicemanager.romtelecom.ro). g p g ( pDirectia Conformitate, in cazul datelor personale si aprobata de owner-uldocumentului in cazul documentelor confidentiale.).


Politica de Utilizare Parole si Ghid de Utilizare Parole Cu totii stim deja cat de important este sa folosim parole complexe, de minim 8 caractere, care sa contina combinatii cat maiCu tot st deja cat de po ta t este sa o os pa o e co p e e, de 8 ca acte e, ca e sa co t a co b at cat a

aleatoare de cifre, litere si caractere speciale. Cerintele pentru crearea de parole sigure si numarul mare de aplicatii cu care un utilizator interactioneaza au tendinta sa

produca utilizatori neglijenti, care reutilizeaza parolele. O serie de atacuri care au compromis bazele de date cu parolele si conturile asociate pe un numar de site-uri au permis analiza

comportamentului utilizatorilor relativ la refolosirea parolelor. NU REFOLOSITI PAROLELE, in special cand este vorba de site-uri care contin informatii importante si/sau date

personale!! Nu folositi la serviciu aceleasi parole pe care le folositi in interes personal! Astfel, in cazul in care o parola de-a dvs. este compromisa, nu veti expune informatiile Romtelecom la un risc suplimentar. Blocati intotdeauna statia de lucru cand plecati din fata ei. Pentru a pastra datele in siguranta, apasa simultan tastelep p g p

Win + L pentru a bloca ecranul PC-ului:

+ O modalitate adoptata in Romtelecom de anul acesta pentru accesul securizat pe VPN este Dualfactor authentication ca mecanism de autentificare ce necesita doua componente pentru aidentifica i pentru a autentifica un utilizator - "ceva ce stie" utilizatorul si "ceva ce are" utilizatorul.Username si parola reprezinta componenta "ceva ce stie iar componenta "ceva ce are" esteUsername si parola reprezinta componenta "ceva ce stie , iar componenta "ceva ce are" estereprezentata de un token hardware sau un dispozitiv mobil cu token software instalat.Prin comparatie, schemele de securitate traditionale folosesc username si parola pentruautentificare, ceea ce asigura un minim de securitate deoarece parolele sunt usor de ghicit sauinterceptat.Romtelecom foloseste ca solutie de dual factor authentication SMS Passcode. In cazul SMSRomtelecom foloseste ca solutie de dual factor authentication SMS Passcode. In cazul SMSPasscode cele 2 componente sunt:

1) "ceva ce stie" utilizatorul: username i parol AD.2) "ceva ce are" utilizatorul: telefon mobil - doar posesorul telefonului poate introduce

corect codul unic care este primit prin SMS in procesul de autentificare.


Politica de Utilizare Parole si Ghid de Utilizare ParoleIMPORTANT: deoarece in acest moment accesul la:

reteaua interna (AD),e-mail din interior (Outlook),e-mail din exterior (webmail si Outlook)

anumite resurse prin VPN, platforma de eLearning, ePaySlip,e mail din exterior (webmail si Outlook),

Internet (via TMG proxy),CA Service Manager (din interior si exterior),

y p unele aplicatii tehnice,

TOATE folosesc pentru autentificare Active Directory (AD), dvs., ca utilizatori, trebuie saprotejati si mai responsabil parola de Active Directory. NU COMUNICATI parola de AD (parolele ingeneral) altor persoane, fie ei chiar sefi directi.Desi impunem reguli de complexitate si schimbarea parolei la 30 de zile, tineti cont derecomandarea de a NU (RE)FOLOSI contul si parola de AD pe orice fel de calculator / site /aplicatie ce NU APARTINE companiei.In acest mod, in cazul in care un cont al dvs. este compromis, nu veti oferi o cale de intrare incompanie unui atacator.In cazul in care utilizati un dispozitiv mobil (laptop, telefon mobil, tableta etc.) pentru a accesa e-mail-ul sau aplicatii si dispozitivul este FURAT sau PIERDUT, anuntati acest incident IMEDIAT,pentru a se bloca contul si a schimba parola.


Politica de Utilizare Acceptabila

Toti salariatii companiei, contractori sau personaltemporar carora le-a fost acordat dreptul de atemporar carora le a fost acordat dreptul de autiliza e-mail-ul sau serviciile de acces Internet siIntranet ale companiei sunt obligati sa semneze unformular de confirmare a intelegerii si acceptariiacestei politici.

Politica defineste ce este acceptabil si ce nu esteacceptabil in utilizarea serviciilor Internet si e-mailoferite pe statii de lucru proprietate a Romtelecomsau prin infrastructura Romtelecom.

In cuprinsul politicii se prezinta ce este consideratinacceptabil pentru un angajat sau contractor carefoloseste infrastructura Romtelecom (de ex.postarea de mesaje defaimatoare sauconfidentiale instalarea de programe fara licentaconfidentiale, instalarea de programe fara licentasau neautorizate etc).


Procedura PSA (Privacy and Security Assessment) (1/2)Procedura de Evaluare a Securitatii si Protectiei Datelor (PSA) a fost introdusa pentru a garanta ca toateProcedura de Evaluare a Securitatii si Protectiei Datelor (PSA) a fost introdusa pentru a garanta ca toateproiectele initiate in cadrul Romtelecom, implicit in cadrul Grupului indeplinesc cerintele tehnice de securitate siprotectia datelor inca din prima faza de dezvoltare.Procesul PSA are urmatoarele obiective:

Asigura conformitatea cu obligatiile legale privind protectia datelor a tuturor produselor, sistemelor siplatformelor.

Furnizeaza un nivel consecvent si adecvat de securitate si protectia datelor pentru toate produsele,sistemele si platformele existente sau create de la zero.

Defineste un proces integrat de asigurare a securitatii si protectiei datelor ca si parte componenta aproceselor de dezvoltare pentru produse si sistemeproceselor de dezvoltare pentru produse si sisteme.

Stabileste un nivel de suport in functie de complexitatea si criticalitatea fiecarui proiect, prin introducereaunei categorii specifice inca de la initierea oricarui proiect de dezvoltare (A, B sau C).

IDEE STUDIU PILOT IMPLEMENTARE OPERAREDESIGN

Pe baza unui instrument de ierarhizare, orice proiect este inclus, inca de la inceput, intr-una din categoriile A, B sau C,in functie de relevanta factorilor de securitate si protectia datelor. Cu cat un proiect este mai critic (categoria A fiind cea

i iti ) t t i lt t b i b fi i d d il i iji l til d it t i t ti

APROBARE APROBARE

mai critica), cu atat mai mult trebuie sa beneficieze de recomandarile si sprijinul expertilor de securitate si protectiadatelor.

La nivelul grupului DT exista cerinta ca securitatea si protectia datelor sa fie criterii de proiectare obligatorii pentrutoate produsele si procesele (Securitatea ca principiu de proiectare). Romtelecom a adoptat procedura PSA in 2012.


Procedura PSA (Privacy and Security Assessment) (2/2)Furnizorii Romtelecom trebuie sa respecte cerintele de securitate impuse de DTFurnizorii Romtelecom trebuie sa respecte cerintele de securitate impuse de DT.


curs infosec (sectiunea 1) - securitatea informatiei.pdf

Documents