securitate si 2010

8/3/2019 Securitate SI 2010

1/16

Master contabilitate Mihaela Murean

Conceptul de securitate al sistemului informatic

Standarde de securitate a sistemului informatic

Strategia de securitate a sistemelor informatice


2/16


Securitatea reprezinto msura ncrederii utilizatorului

asupra pstrrii integritii att a datelor, ct i a

sistemului de calcul.

Securitatea sistemelor informatice reprezintprotecia

valorilorinformaionalefade o a accesare,

modificare sau distrugere neautorizat, fie accidental

sau intenionat, precum ifade imposibilitateaaccesului autorizat.


3/16


ISO/IEC 15408-1, 2, 3Evaluarea securitii sistemelor informatice

Familia de standarde ISO 27000/2005Managementul securitii informaionale


4/16


Familia de standarde ISO/IEC 27000:2005

Managementul securitii informaionaleISO 27000terminologia cu privire la securitatea informaiei

ISO 27001: 2005specificaiile pentru un sistem de administrare asecuritii informaiei, n baza crora se realizeaz certificareaorganizaiilorISO 27002 (fostul standard ISO 17799, respectiv BS 7799.1)codul

de practic pentru administrarea securitii sistemelor informaticeISO 27003ghidul de implementare al unui sistem de management alsecuritii sistemului informaticISO 27004evaluarea modului de implementare a sistemului desecuritate a sistemului informatic

ISO 27005administrarea riscurilor de securitate a sistemuluiinformatic;

ISO 27006ghid pentru procesul de certificare/nregistrare aorganismelor acreditate de certificare/nregistrare


5/16


Conform standarduluiISO 27000,Securitatea informaionalse caracterizeaz prin:

confidenialitateasigurarea accesul la informaie doarpentru persoanele autorizate;

integritateasigurarea acurateei i completitudiniiinformaiei i metodelor de prelucrare;

disponibilitateasigurarea accesului utilizatorilor autorizaila informaie i echipamente, atunci cnd accesul este solicitat.


6/16


Securitatea sistemelor informatice implic realizarea

planului strategic - elaborarea regulilor de securitate

planului tehnic - realizarea mecanismului de protecieplanului pragmatic - implementarea sistemului de securitate


7/16Master contabilitate Mihaela Murean

StrategieMetode de luarea deciziilor

n domeniul securitii

Mecanisme de securitate

Planul de securitateRegulile pentru asigurarea

securitii

Soluii tehniceHardware

Software

Implementare

Instruire personal

Documentare

Asigurarea securitii


8/16


Violarea securitii sistemelor informatice incidentecare conduc la nclcarea regulilor de securitate a

sistemelor informatice

incidente accidentale:la nivelul mediului

(ptrundere prin efracie, inundaii, incendii, ntreruperi

alimentare energie)

la nivel hardware/software i informaional(expunerea unor informaii confideniale, apariia unei stri

ilegale)

atacuri (ncercri intenionate de violare a securitii)


9/16


Incident Msur

Ptrundereprin

efracie

nlocuire sistem nchidere Instalare alarme, senzorimicare etc.

Inundaie Verificare periodic instalaii

Amplasare echipamente critice n locuri sigureIncendiu Exist dispozitive de stingere a focului

Este interzis fumatul n toate birourileSe vor instala senzori fumVerificare periodic a funcionrii instalaiilor electrice

sau a altorpoteniale surse de incendiu

ntreruperealimentareenergie

Instalare surse independente de alimentare (UPS)Efectuare salvri periodice


10/16


Incident MsurAmplasaredefectuoas aechipamentelor

Verificare amplasare echipamente (deprtare de surse de cldurprea mare, de zone cu vizibilitate din exterior, siguranamobilierului)

Manevredefectuoaseasupraechipamentelor

Efectuarea modificrilor de amplasare numai de ctre personalulde specialitate

Consemnarea modificrii amplasrii echipamentelor

Ptrunderepersoane strine

neautorizate

Controlul accesului n incintaLegitimare persoane strine

nsoire permanent persoane

Ptrunderepersoaneneautorizate nzone critice

nsoirea permanent a personalului neautorizat s lucreze cuanumite echipamente n zonele critice


11/16


Defeciuni ale

echipamentelor

Efectuarea operaiilor de ntreinere a

echipamentelor (service local sauexternalizat)

nlocuirea rapid a echipamentelor/componentelor defecte

nregistrarea defeciunilor ntr-un registrui urmrirea remedierii acestora

Funcionarea eronata echipamentelor

nregistrarea erorilor sesizate i urmrirearepetabilitii acestora

Analizarea cauzelor disfuncionalitilorintervenite i eliminarea acestora

Distrugere cablaje

reeaDepistarea ntreruperilor i refacereaconexiunilor


12/16


Incident Msur

Funcionareadefectuoas aproduselor software

nregistrarea disfuncionalitilor n registrui soluionarea acestora

Accesul persoanelor

neautorizate laprodusele software i ladate

Controlul accesului

Virusarea sistemului

Informatic

Utilizarea produselor antivirus

Distrugerea sau

afectarea integritiiproduselor

software/datelor

Salvarea i restaurarea prin utilizarea copiilorde siguran


13/16


Conform ISO 27000, securitatea sistemului informatic este abordatpe mai multe nivele:

politica de securitate

securitatea organizaionalclasificarea resurselor i controlul acestorasecuritatea personalului

securitatea fizic i a mediului

managementul comunicaiilor i operaiilorcontrolul accesuluidezvoltarea i mentenana sistemuluimanagementul continuitii proceselorconformitatea cu legislaia


14/16


15/16


Msuri referitoare lahardware:-asigurareafuncionriiechipamentelor- verificare imonitorizarea- ntreineri curente- asigurareaconsumabilelor- instalarea

echipamentelor- verificarea reelelor- servere back-up- discuri mirror- fire wall

Msuri referitoare lasoftware:

-autentificare

- gestionarea parolelor

i a drepturilor de

acces- ncriptare- controlul accesului

- proceduri de control

al integritii

- jurnalizareaoperaiilor- salvare irestaurare- arhivarea datelor

Msuri de organizarei administrare:

-cldire- mobilier

- instalaii

- controlul accesului nspaiul de lucru-paz- alarme contra

incendiilor i a

ptrunderilor prinefracie- extinctoare

- surse autonome de

alimentare


16/16


CLIENT

Destinatar al

unui

certificat

FURNIZOR DE

SERVICII DE

CERTIFICARE

Registrulelectronic al

certificatelor

eliberate

AUTORITATEA DE

REGLEMENTARE I

SUPRAVEGHERE

Registrul furnizorilor

de certificare

DESTINATAR AL

UNUI DOCUMENT

SEMNAT

ELECTRONIC

securitate si 2010

Documents