Embed Size (px)
Citation preview
Securitatea sistemelor
informaţionale:
Managementul securităţii SI,
Controlul accesului logic,
Securitatea reţelelor locale şi a
aplicaţiilor client-server.
Managementul securităţii SI
• Managementul securităţii informaţiei sedefineşte ca fiind ansamblul proceselor destabilire şi menţinere a unui cadru de lucru şi aunei structuri de administrare care oferăgaranţia că strategiile de securitate ainformaţiei sunt aliniate şi susţinute prinobiectivele afacerii, sunt în concordanţă culegile şi reglementările aplicabile pentruadministrarea cât mai adecvată a riscurilor.
• În conformitate cu seria de standarde 27000, sunt identificate 36 de obiective de control importante şi 127 de elemente de control, grupate în zece categorii:
• politica de securitate;
• planificarea continuării afacerii;
• controlul accesului la sistem;
• dezvoltarea şi întreţinerea sistemului;
• securitatea fizică şi a mediului;
• conformitatea;
• securitatea personalului;
• securitatea organizaţiei;
• managementul calculatoarelor şi al reţelei;
• clasificarea şi controlul resurselor informatice.
COBIT structurează procesele IT în patru domenii:
• planificare şi organizare;
• achiziţionare şi implementare;
• funcţionare şi suport;
• monitorizare şi evaluare.
• Cele patru domenii enumerate includ 220 de controale, clasificate în 34 de obiective de nivel înalt.
• Obiectivele fundamentale de securitate, care se regăsesc printre cerinţele unui mediu de afacere, sunt:
• confidenţialitatea – prevenirea accesului neautorizat la informaţii; garantarea procedurilor şi metodelor ca informaţia, care se află în tranzit sau stocată, să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse;
• integritatea – informaţia este protejată de pierderi sau modificarea neautorizată; garantarea procedurilor şi metodelor ca informaţia, care se află în tranzit sau stocată, să nu poată fi modificată;
• disponibilitatea – garantarea că entităţile autorizate au acces la resursele informaţionale atunci când au nevoie de ele; de exemplu, prevenirea atacurilor de tip DoS (Denial of Service);
• conformitatea cu legile, reglementările şi standardele aplicabile.
Implementarea unui sistem de management al securităţii informaţiei oferă o serie de avantaje: • câştigarea încrederii partenerilor de afaceri (furnizori, clienţi);• continuitatea afacerii;• îmbunătăţirea sistemelor de prevenire şi răspuns în caz de
incidente;• minimizarea riscurilor pentru furtul, coruperea sau pierderea
informaţiei;• accesarea în siguranţă a informaţiei (de către angajaţi şi clienţi);• justificarea şi optimizarea costurilor necesare implementării
controalelor de securitate;• demonstrarea implicării şi angajamentul managementului pentru
securitatea informaţiei;• demonstrarea conformităţii propriilor practici de securitate cu
standarde recunoscute;• conformitatea cu cerinţele legale, cu regulile şi regulamentele
locale;• asigurarea faptului că riscurile şi controalele sunt permanent
revizuite.
• Controalele de securitate sunt de trei tipuri:
• controlul fizic asigură protecţia mediului IT şi se realizează prin personal de securitate, camere video, lacăte, sisteme de alarmă, surse de alimentare neîntreruptibile;
• controlul tehnic se referă la controlul accesului şi include: autorizarea accesului la activele companiei, criptarea;
• controlul administrativ se referă la politica de securitate şi procedurile de implementare, ca parte a planului de securitate. De exemplu, un control administrativ poate include: politica, ghidurile de securitate, procedurile de securitate, instruirea în domeniul securităţii.
• Pentru identificarea configuraţiei sistemului de securitate propriu este necesar să se proiecteze şi să se implementeze un plan de securitate, care va fi parte a planului strategic de dezvoltare a afacerii organizaţiei.
• Politica de securitate este componenta centrală a planului de securitate, fiind necesară o documentare şi informare serioase înainte ca propriile controale să fie aplicate mediului IT. O politică de securitate conţine precizarea scopurilor şi a intenţiilor.
O politică de securitate trebuie să specifice în mod clar următoarele aspecte:• obiectivele organizaţiei privind securitatea: asigurarea
protecţiei datelor împotriva scurgerilor de informaţii către entităţi externe, protejarea datelor faţă de calamităţile naturale, asigurarea integrităţii datelor sau asigurarea continuităţii afacerii;
• personalul răspunzător pentru asigurarea securităţii care poate fi: un grup restrâns de lucru, un grup de conducere sau fiecare angajat;
• implicarea organizaţiei în ansamblu la asigurarea securităţii: cine va asigura instruirea în domeniul securităţii, cum va fi integrată partea de securitate în structura organizaţiei.
Pentru atingerea obiectivelor de securitate şi realizarea unui nivel înalt de protecţie, planul de securitate va fi dezvoltat şi implementat pe niveluri. În acest fel modelul conceptual al unui sistem de securitate va include următoarele niveluri:• securitatea aplicaţiei se referă în primul rând la securitatea produselor
software care pot fi utilizate pentru dezvoltarea aplicaţiilor de afaceri, ca de exemplu servere web, SSL (Secure Sockets Layer) etc.;
• securitatea sistemului este implementată la nivelul comenzilor de sistem şi controlează toate funcţiile software ale sistemului. Utilizatorii sunt identificaţi şi autentificaţi la nivel de sistem printr-un singur mecanism de securitate, pentru toate operaţiile pe care le vor executa pe sistem;
• securitatea reţelei face parte din proiectarea acesteia şi include controalele prin firewall-uri, VPN (Virtual Private Network) şi gateways;
• securitatea fizică se ocupă de protecţia sistemelor, dispozitivelor şi mediilor pentru backup şi include controalele de acces, sursele de tensiune neîntreruptibile, liniile de comunicaţie redundante;
• securitatea organizaţiei este responsabilă pentru toate aspectele planului de securitate a organizaţiei, incluzând politicile de securitate, instruirea în domeniul securităţii, sistemele de afaceri ale organizaţiei şi planificarea pentru recuperare în caz de dezastru.
Roluri şi responsabilităţi privind securitatea SI
• Planul de securitate al unei organizaţiei cuprinde următoarele roluri şi responsabilităţi: • comitetul de coordonare a securităţii stabileşte şi aprobă practicile de securitate. • managementul de execuţie are responsabilitatea pentru protecţia generală a activelor
informaţionale şi răspunde de implementarea planului de securitate;• grupul consultant pentru securitate are responsabilitatea revizuirii planului de securitate al
organizaţiei;• ofiţerul şef de securitate (Chief Security Officer – CSO) are un rol-cheie în securitatea sistemului
informatic al organizaţiei. • ofiţerul şef pentru confidenţialitate (Chief Privacy Officer – CPO) aplică politicile prin care compania
asigură drepturile de confidenţialitate pentru informaţiile angajaţilor şi clienţilor; • proprietarii de procese/active informaţionale şi date garantează aplicarea măsurilor de securitate în
concordanţă cu politica organizaţiei. • custodele se ocupă de protecţia activelor informaţionale sau datelor organizaţiei. Această
responsabilitate este alocată pentru controlul accesului logic. Persoana care îndeplineşte acest rol se mai numeşte administrator cu securitatea sistemului;
• specialistul/consultantul în securitate îşi aduce contribuţia la proiectarea, implementarea, managementul şi revizuirea politicilor, standardelor şi procedurilor de securitate ale organizaţiei.
• administratorul cu securitatea sistemului este responsabil cu implementarea şi întreţinerea controalelor de securitate cerute prin politica de securitate.
• utilizator: orice persoană care are dreptul să utilizeze resursele sistemului. Drepturile alocate unui utilizator vor fi în concordanţă cu responsabilitatea pe care o îndeplineşte;
• partenerii externi se referă la furnizori şi partenerii de afaceri care se ocupă cu activele informaţionale;
• dezvoltatorii IT au responsabilitatea să implementeze securitatea informaţiei în aplicaţiile lor; • auditorul de securitate poate fi un membru intern al organizaţiei sau un membru al unei firme de
audit. Un auditor de securitate inspectează în mod regulat procedurile de securitate ale organizaţiei şi controlează, pentru a fi sigur că sunt îndeplinite, cerinţele din politica, procesele, procedurile şi ghidurile de securitate.
Controlul accesului logic
• Controalele accesului logic sunt utilizate pentru a gestiona şi proteja informaţiile. Descoperirea vulnerabilităţii unui control al accesului logic, care poate fi accidentală sau intenţionată, include o parte de natură tehnică şi una de natură organizaţională.
Strategia de implementare a programelor antivirus
• Cea mai importantă problemă în implementarea unui program antivirus este stabilirea căilor de intrare a viruşilor. Odată ce au fost depistate şi catalogate ca fiind vulnerabilităţi maxime, căile de intrare a viruşilor sunt comparate cu modulele de scanare ale programului antivirus ce urmează a fi implementat. Fiecare utilizator va putea avea acces la un program antivirus.
• De asemenea, este recomandat să se implementeze un singur program antivirus, deoarece, la un moment dat, codurile de căutare ar putea fi catalogate ca fiind virus de către celălalt program antivirus.
• Se recomandă ca la instalarea programului antivirus să se creeze un orar de scanare a sistemului. Antivirusul va trebui să pornească automat şi va raporta administratorului de sistem dacă au fost identificate amprente de viruşi şi dacă au putut fi îndepărtate cu succes din sistem.
• Actualizarea programelor antivirus este obligatorie, fiind necesară actualizarea bazei de date cu amprente de viruşi noi, ori de câte ori este nevoie.
Securitatea reţelelor locale şi a
aplicaţiilor client-server
• Primul element şi cel mai important în securizarea reţelelor LAN îl reprezintă filtrarea traficului la nivelul unei reţele ce se poate face cu programe de tip firewall sau cu servere Proxy. Acestea permit sau nu, în funcţie de configuraţie, accesul unui proces în internet.
• Un firewall este un sistem sau un grup de sisteme care gestionează controlul accesului între două reţele.
Comunicarea în reţea include, de regulă, instalarea şi utilizarea echipamentelor de reţea (PC-uri, imprimante, rutere, repertoare etc.). Pentru aceasta, se impune stabilirea unor principii privind controalele securităţii, cum sunt:• funcţiile de control ale unei reţele trebuie să fie executate de
operatori/tehnicieni calificaţi;• funcţiile de control ale unei reţele trebuie separate, iar sarcinile se execută
prin rotaţie;• software-ul care realizează controlul reţelei trebuie să aibă acces
restricţionat la funcţii de ştergere sau modificare şi să întocmească un jurnal al tuturor activităţilor;
• auditul funcţiilor de control trebuie să fie verificat în permanenţă pentru a detecta operaţii neautorizate;
• standardele şi protocoalele trebuie să fie documentate şi puse la dispoziţia operatorilor;
• accesul la reţea trebuie monitorizat în permanenţă de către inginerii de sistem pentru a detecta accesul neautorizat;
• trebuie întocmite analize ale reţelei pentru a se verifica, din timp în timp, dacă s-a modificat eficienţa reţelei şi timpul de răspuns al unor procese;
• trebuie utilizat un sistem de criptare a datelor în reţea pentru a proteja mesajele în timpul transmiterii.
• Din cele prezentate mai sus, desprindem o concluzie esenţială, şi anume că la configurarea unui firewall va trebui să avem în vedere următoarele reguli:
• politica globală de securitate va fi aleasă de organizaţie;
• niveluri de control vor stabili cine este autorizat şi cine are interdicţie;
• din punct de vedere financiar, trebuie ales un firewall care să îndeplinească o bună parte din cerinţele politicii de securitate (un cost mic al firewall-ului poate duce la o configurare şi administrare anevoioasă).
• Controlul accesului la sistemul informatic presupune stabilirea următoarelor reguli:
• staţiile de lucru trebuie să fie accesate, în mod unic, de utilizatorii acestora (filtrarea utilizatorilor);
• una dintre sursele de risc al vulnerabilităţii unei staţii de lucru este instalarea suplimentară de aplicaţii neautorizate;
• utilizatorii nu-şi vor ţine parolele scrise pe hârtii lăsate pe birou la îndemâna oricui.
• staţiile de lucru trebuie să fie sigilate fizic pentru a evita accesul la hard disc şi/sau componente esenţiale;
• serverul trebuie protejat, în mod particular, prin interzicerea accesului persoanelor în încăperea unde se află acesta;
• accesul liber la BIOS-ul calculatorului poate duce la schimbări de configurare şi deci la nefuncţionarea staţiei de lucru;
• strategiile sistemelor de operare permit limitarea posibilităţii utilizatorilor sau staţiilor de lucru.
Securitarea aplicaţiilor client - server
O aplicaţie client-server presupune existenţa mai multor puncte de acces. Procedurile de securitate pentru mediul unui astfel de server nu sunt de regulă bine înţelese sau protejate. Sistemele client-server utilizează tehnici distribuite, ceea ce conduce la creşterea riscului de acces neautorizat la datele şi procesele acestuia. Astfel, securizarea unui sistem client-server presupune identificarea tuturor punctelor de acces. Tehnicile de control pentru un sistem client-server sunt:• securizarea accesului la date sau aplicaţii poate fi asigurată prin dezactivarea unităţilor floppy;• instrumentele de monitorizare a reţelei sunt utilizate pentru a urmări activitatea de la un utilizator
cunoscut la un altul necunoscut;• utilizarea tehnicilor de criptare a datelor;• sistemele de autentificare furnizează facilităţi logice care diferenţiază utilizatorii;• utilizarea unor programe de control al accesului la nivel de aplicaţie şi organizarea utilizatorilor
finali reprezintă controale de gestionare care restricţionează accesul, limitând utilizatorii la acele funcţii necesare pentru îndeplinirea strictă a îndatoririlor.
• Riscurile ce apar la nivelul arhitecturii client-server sunt:• controalele de acces sunt mai puţin performante pentru mediul client-server;• schimbarea controlului şi a gestionării procedurilor se poate face automat sau manual, ceea ce
duce la un prim motiv de vulnerabilitate a sistemului;• pierderea disponibilităţii reţelei poate avea un impact puternic asupra afacerii;• utilizarea unor modemuri sincronizate şi nesicronizate pentru conectarea reţelei la alte reţele poate
fi neautorizată;• conexiunea la reţele publice prin reţeaua de telefonie poate fi o vulnerabilitate;• schimbările de sisteme sau date neautorizate;• accesul la date confidenţiale;• codurile şi datele ce nu se găsesc pe aceeaşi maşină, într-o incintă securizată.
Securizarea serverului• Securizarea serverului presupune controlarea
cererilor care i-au fost adresate şi securizarea sistemului informatic cu care colaborează pentru a înapoia serviciul solicitat de clienţi. Plecând de la stricta configurare a sistemului, protejarea acestuia de exterior se face de obicei printr-un firewall. Configurarea unui firewall se face după criteriile de securitate determinate pentru filtrarea traficului parcurs şi astfel se aplică o politică de control al accesului la sistem. Protejarea datelor constă, deci, în limitarea accesului la acestea, precum şi punerea lor la dispoziţia clienţilor autorizaţi.
