EVALUAREA RISCULUI INFORMATIONAL

evaluare securitatea informastiei

Securitatea  sistemelor  informatice- retele-baze de date

Politica de securitate informationala, repezinta unul dintre cele mai solicitate servicii oferite de echipa noastra. Mediul virtual, spatiul cibernetic a devenit in contextul economic actual principala platforma de transmitere, stocare si colectare de informatii. Dinamica este una extraordinara, multe companii desfasurandu-si integral activitatea on-line. In acest context, securitatea informationala devine primordiala pentru majoritatea companiilor, tinand cont ca odata cu dezvoltarea mediului virtual, principalele atacuri la securitatea organizatiilor sunt  cibernetice.
In cele ce urmeaza va prezentam aspecte generale cu privire la securitatea informationala, in cazul in care sunteti interesat sa implementati un astfel de sistem in cadrul organizatiei dumneavoastra sau doar sa va informatii ,contactati-ne la noi consultanta este gratuita !
Politica de securitate informationala are un caracter particular, deoarece  este adaptata pentru fiecare organizatie in functie de particularitatile acesteia. Implementarea unei astfel de politici necesita o analiza in detaliu a organizatiei auditate in vederea identificarii metodelor optime de protectie.

Despre securitatea informatica
Securitatea informatică asigură cunoaşterea, prevenirea și contracararea unui atac împotriva spaţiului cibernetic, inclusiv managementul consecinţelor.
Atributele securității informatice sunt următoarele:
– Cunoaşterea trebuie să asigure informațiile necesare în elaborarea măsurilor pentru prevenirea efectelor unor incidente informatice.
– Prevenirea este principalul mijloc de asigurare a securităţii informatice. Acţiunile preventive reprezintă cea mai eficientă modalitate atât de a reduce extinderea mijloacelor specifice ale unui atac cibernetic, cât și de a limita efectele utilizării acestora.
– Contracararea trebuie să asigure o reacţie eficientă la atacuri cibernetice, prin identificarea şi blocarea acţiunilor ostile în spaţiul cibernetic, menţinerea sau restabilirea disponibilităţii infrastructurilor cibernetice vizate şi identificarea şi sancţionarea potrivit legii, a autorilor.

Modelul de securitate pentru un sistem informatic
Modelul de securitate pentru un sistem informatic poate fi văzut ca având mai multe straturi ce alcătuiesc nivelurile de securitate ce înconjoară compania și îl fac mai dificil de accesat în alt mod decât cel pentru care a fost prevăzut.
Securitatea fizică reprezintă  nivelul exterior al modelului de securitate și constă, în general, în închiderea echipamentelor informatice într-o altă incintă precum și asigurarea pazei și a controlului accesului la acestea. O adevărată problemă o constituie salvarea datelor și a programelor sub formă de copie, precum și siguranța păstrării suporților de salvare (backup). În acest caz, rețelele locale sunt de mare ajutor, copiile de rezervă putăndu-se face pe rețea, pe o singură mașină ce poate fi mai ușor securizată.
Securitatea fizică trebuie abordată foarte serios pentru că toate măsurile de securitate logice (stabilirea de parole) devin nesemnificative în cazul accesului neautorizat la echipamente. O altă problemă importantă în securitatea unui sistem informatic o constituie pur și simplu sustragerile de echipamente sau a suporțiilor de backup.
Securitatea logică constă din acele metode logice (software) care asigură controlul accesului  la resursele și serviciile sistemului. Ea, la rândul ei, se împarte în mai multe niveluri:
– Niveluri de securitate a accesului
– Niveluri de securitate a serviciilor

Securitatea accesului cuprinde :
● Accesul la sistem -> determină în ce condiții și în ce moment este sistemul accesibil utilizatorilor.Gestionarea evidenței accesului. Accesul la sistem poate efectua și deconectarea forțată în anumite cazuri (ex. Expirarea contului, ora de vârf etc).
● Accesul la cont -> verifică dacă utilizatorul ce încearcă să se concteze are o parolă și un nume valid
● Drepturile de acces (la fișiere, resurse, servicii) care determină de ce privilegii dispune un utilizator (sau un grup de utilizatori) dați
Sercuritatea serviciilor controlează accesul la serviciile unui sistem (calculator, rețea). Din acest nivel fac parte :
● Controlul serviciilor -> responsabil cu funcțiile de avertizare și de raportare a stării serviciilor, precum și de activarea și dezactivarea diverselor servicii oferite de către sistemul respectiv
● Drepturile la servicii care determină exact cum folosește un anumit cont un serviciu dat (acces la fișiere, resurse, prioritate etc).
nivel logic
Figure 1 – Nivelurile securității
Odată stabilită conexiunea logică, subsistemul de securitate a accesului validează contul de acces. Subsistemul de securitate a serviciilor monitorizează activitatea utilizatorului și ia măsuri în cazurile în care cererile acestuia depașesc drepturile specificate în profilul utilizatorului (sau grupului de utilizatori) respectiv. Accesul într-un sistem sigur, perfect ar trebui să se facă prin aceste niveluri de securitate descrise mai sus, de „sus” in „jos” fara să permită ocolirea vreunuia din ele.
Securitatea la nivel de gazdă urmează principiile enunțate mai sus. În cazul unui sistem conectat la Internet avem:
● Entitățile ce au acces local la acea masina (utilizatori, programe server, agenți locali) precum și drepturile acestora (ce are voie să facă un anumit utilizator, cu ce privilegii rulează un anume proces, ce prioritate are un proces, ce drepturi are asupra fișierelor respective, asupra spațiului de stocare, ce resurse și între ce limite are voie să acceseze);
● Serviciile oferite către exterior (publice sau pentru anumiți utilizatori; autentificare, monitorizare);
● Sistemul de operare (tipul, distribuția, servicii implicite oferite – filtrarea sau dezactivarea celor de care nu e nevoie, bug-uri cunoscute, revizii etc.).


Reguli generale

Următoarele procedure stabilesc măsuri tehnice și organizatorice pentru îndeplinirea obligațiilor referitoare la securitatea și controlul sistemelor informatice, în vederea asigurării confidențialității datelor și informațiilor precum și păstrarea în siguranță a acestora, în cazul activitățiilor effectuate de angajați.
Societatea trebuie să adopte măsurile tehnice și organizatorice adecvate pentru protejarea datelor cu character personal împotriva distrugerii accidentale sau ilegale, pierderi, modificări, dezvăluiri sau accesul neautorizat.
Pentru îndeplinirea prevederilor legale aferente și în vederea satisfaccerii cerințelor păstrării în siguranță a datelor și informațiilor, societatea trebuie să implementeze măsuri organizatorice și tehnice orientate pe mai multe direcții:
● Identificarea și autentificare utilizatorului
● Tipul de acces
● Colectarea datelor
● Execuția copiilor de siguranță
● Computerele și terminalele de acces
● Fișierele de acces
● Sistemele de telecomunicații
● Instruirea personalului
● Folosirea computerelor
● Imprimarea datelor

Identificarea și autentificarea utilizatorului
Prin utilizator se înțelege orice persoană care acționează sub autoritatea operatorului, a persoanei împuternicite sau a reprezentantului, cu drept recunoscut de acces la bazele de date cu caracter personal.
Pentru a căpăta acces la bază de date cu caracter personal, utilizatorii trebuie să se identifice. Acesta se poate realiza prin mai multe metode:
– Introducerea codului de identificare de la tastatură
– Folosirea unei cartele magnetice
Fiecare utilizator trebuie să aibă propriul lui cod de identificare. Nu există doi utilizatori cu același cod.
Codurile de identificare (conturile de acces) nefolosite mai mult timp sunt dezactivate și distruse după un control prealabil intern al operatorului. Această perioadă după care codurile sunt distruse trebuie stabilită de operator.
Orice cod de utilizator trebuie să fie însoțit de o modalitate de autentificare (introducerea unei parole).
Parolele sunt șiruri de carctere, adecvate din punct de vedere al securității ca lungime și compoziție. La introducerea parolelor acestea nu trebuie să fie afișate în clar pe ecran. Parolele trebuie schimbate periodic în funcție de politicile de securitate ale operatorului. Schimbarea periodică a parolelor se face numai de utilizatorii autorizați de operaator.
După o introducere a parolei eșuată de mai mult de 5 ori acel cont trebuie blocat.
Trebuie stabilită o procedură proprie de administrare și gestionare a parolelor și conturilor de utilizatori.
Alte măsuri specifice de control al accesului ce trebuie implementate sunt:
● În spațiile destinate desfășurării activității societății sunt instalate sisteme de alarmă antiefracție și de alarmă în caz de
● În spațiile destinate desfășurării activității societății sunt instalate sisteme de supraveghere video
● Accesul în incinta firmei trebuie să se facă pe bază de cartelă magnetică, pe niveluri de acces

Execuția copiilor de siguranță
Operatorul stabilește intervalul de timp la care se vor executa copiile de siguranță ale bazelor de date cu carcter personal, precum și ale programelor folosite. Copiile de siguranță trebuie stocate în alte camere.
Operatorul trebuie să se asigure că accesul la copii este securizat și monitorizat.

Computerele și terminalele de acces
Dacă pe ecran apar date cu carcter personal asupra cărora nu se acționează o perioadă dată, stabilită de operator, sesiunea de lucru trebuie să se închidă automat.
Serverele care găzduiesc bazele de date ce conțin clienții pot fi accesate doar în mod controlat, pe bază de drepturi de acces. Nu trebuie să fie permisă scoaterea din societate a mediilor de stocare mobile (CD, DVD, USB Stick, Portable HDD), decât cu aprobarea prealabilă a conducerii societății.

Acestea sunt informatii generale cu privire la securitatea informationala,pentru detalii cu privire la securitatea informationala la nivelul organizatiei dumneavoastra contactati-ne cu incredere!