540 likes | 727 Views
Managementul securitatii informatiilor. Drd. ing. Gh. Muresanu – ghemuresanu@rdslink.ro. Managementul securităţii informaţiei Obiectivele cursului. Caracterizarea informatiilor in format electronic din punct de vedere al securitatii acestora;
E N D
Managementul securitatii informatiilor Drd. ing. Gh. Muresanu – ghemuresanu@rdslink.ro
Managementul securităţii informaţieiObiectivele cursului • Caracterizarea informatiilor in format electronic din punct de vedere al securitatii acestora; • Definirea principalelor caracteristici ale mediului virtual; • Principiile care stau la baza realizării unei securităţi moderne a informaţiilor integrate în mediul de lucru; • Managementul securitatii informatiilor pe baza analizei de rsicuri; • Prezentarea cadrului de reglementare si autoritatile competente; • Necesitatea unei comunitati a specilaistilor in domeniul securitatii informatiilor.
Managementul securităţii informaţieiPrezentarea cursului (1) • Notiuni introductive – caracterizarea mediului virtual • Caractristicile informatiilor in format electronic; • Atributele de securitate a informatiilor; • Clasificarea informatiilor; • Sistemul National de interventii in caz de urgenta; • Infrastructurile critice. • Criminalitatea informatica • Limitele sistemului judiciar; • Necesitatea unor puteri speciale pentru cercetarea infractionalitatii informatice; • Necesitatea unei culturi de securitate.
Managementul securităţii informaţieiPrezentarea cursului (2) • Abordarea sistemica a securitatii informatiilor; • Principiul supravietuirii sistemelor; • Imaginea holistica asecuritatii sistemelor; • Subsistemele de securitate a informatiilor; • Reglementarile mecanismelor de securitate; • Reglelementari adminstrative – acorduri, legi etc.; • Reglementari locale; • Ghiduri de bune practici; • Standarde tehnice; • Autoritati de reglementare, certificare, impunere a legii.
Managementul securităţii informaţieiPrezentarea cursului (3) • Mecanismele de securitate • Politici formale de securitate; • Sisteme de incredere; • Sisteme practice de securitate; • Strategii si politici de securitate; • Mecanisme de secuirtate protective si reactive. • Evaluarea sistemelor de securitate • Certificarea, evaluarea si acreditarea; • Standarde de evaluare; • Autoritati de certificare, evaluare si acreditare.
Managementul securităţii informaţieiPrezentarea cursului (4) • Managementul securitatii informatiilor • Mecanismul de formare a riscurilor; • Analiza de riscuri - erintele de securitate; • Politica de securitate; • Procedurile operationale de securitate – fisa postului; • Planurile de securitate, BCP, DRP; • Structura de securitate. • Practica managementului – bugetarea activitatii;
TEMA 1: Notiuni introductive privind protectia informatieiObiectivele temei: • Definirea si intelegerea caracteristicilor informatiei (“obiectului muncii” specific sistemul de securitate); • Locul si rolul informatiilor in format electronic in societatea moderna – necesitatea protectiei lor; • Clasificarea informatiilor; • Caracteristicile mediului de evolutie a informatiilor (CYBERSPATIUL);
Informatia si informatia in format electronic • Ce este informatia ? • De ce este importanta informatia in societatea moderna ? • Cui foloseste informatia ? • Ce se intelege prin securitatea informatiei ? • Dar prin protectia ei ?
Introducere in Securitatea InformatieiInformatia si informatia in format electronic1. Definirea informatiei 1 • Categorii filozofice: materie, energie şi informaţie; • Caracterul imaterial – independenta de suport; • Informaţia exprimată prin forme; • Legatura cu suportul material sau energetic; • Definirea prin exemple; • Informaţia ca formă de percepţie a lumii înconjurătoare – conştiinţa; • Obiectivitatea si subiectivitatea informatiilor; • Informatiile din surse umane – interpretari ale realitatii, ex: procesele verbale de sedinta; • Informatiile de la senzori – obiective dar mai sarace in informatii – neglijeaza contextul uman;
Introducere in Securitatea InformatieiInformatia si informatia in format electronic1.1 Definirea informatiei 2 • Unitati de măsură a informaţiiei – bitul, baytul, cuvântul; • Canale de comunicatii – capacitatea canalului; Tipuri de informatii (date si informatii): • Date – informatii prelucrate fara sa conteze semnificatiile; • Mesaje – informatii prelucrare in scopul obtineii semnificatiei; • Informatie - semnificaţia mesajelor corelate; • Cunoştiinţe – Informatii agregate baze de date construite pe baze relationale; • Informaţia ca valoare (bun): • Castig; • Valoare prin prejudiciu posibil; • Valoarea prin incredere;
Necesitatea protectiei informatiilor - 1 • Mecanismele de putere (conducere) - locul si rolul informatiilor in procesul de decizie; • Necesitatea informatiilor complete si credibile; • Raportul informatie – interese, complexitatea sferelor de interese; • Interese divergente – necesitatea confidentialitatii; • Razboiul informational; • Lupta pentru imagine - propaganda; • Reclama; • Legatura INTERNET – MASSMEDIA;
Necesitatea protectiei informatiilor - 2 • Interdependentele economice – fenomenul de globalizare; • Dezvoltarea comertului – migrarea fortei de munca - permeabilizarea granitelor; • Magistrala informationala globala: • Integrarea retelelor de comunicatii; • Integrarea serviciilor de comunicatii; • Desfiintarea granitelor pentru informatii; • Socializarea serviciilor de comunicatii – scaderea costurilor; • Dezvoltarea tehnologiilor informatice - de regula in avantajul atacatorului;
Necesitatea protectiei informatiilor - 3 • Societatea informationala: • Informatia ca valoare materiala – (bani) • Software; • Jocuri; • Proiecte; • Reclame “on line”; • Licente – drepturi de autor; • Intreprinderi virtuale: • Magazine “on line”; • Firme de productie “on line”; • Notari electronici; • Semnaturi electronice; • Bazele de date publice – motoare de cautare; • Programe de tip: e-guv, e-administration, e-banking; e-tax, e-Europe, e-ten etc.
Informatia in format electronic (IFE) - 1 • Informatia in format clasic (IFC) – documentul “scris”: • Identificarea cu suportul; • Protectia se refera la suport – informatia nu are semnificatie; • Suportul poarta o multitudine de informatii colaterale despre autor, momentul generarii informatiei si traseul acesteia si chiar despre cititor; • Modificarea informatiei de pe document se face relativ greu si lasa urme – identifica falsificarea; • Generarea, sustragerea sau distrugerea lasa urme materiale detectabile; • Senzitivitatea - documentelor olografe, documente batute la masina, copii xerox etc; • Informatia in format electronic - IFE: • Informatia se identifica prin ea insasi; • Suportul nu are o semnificatie pentru protectie sau are una secundara;
Informatia in format electronic (IFE) - 2 • Copiatul si modificatul se face foarte usor, nu lasa urme asupra originalului si implica costuri nule; • In comparatie cu informatia in format clasic, informatia in format electronic poate fi usor manipulata in scopuri obscure; • Constatarea unei infractiuni privind informatia nu se poate face examinand documentul original ci examinand activitatile din sistem care sunt in legatura cu informatia; • Un utilizator poate folosi abuziv informatiile pastrandu-si anonimatul; • Controlul accesului la informatiile in format electronic ( in SIC) se face mult mai dificil decat in cazul accesului persoanelor fizice la documente scrise; • Informatiile pot fi accesate si utilizate abuziv de la distanta;
Informatia in format electronic (IFE) - 3 • Este sarcina sistemului de protectie de a crea “urme” prin care sa documenteze activitatile din sistem si eventual si sa probeze folosirea abuziva a informatiilor; • Imaginati-va efortul pe care ar trebui sa-l faca un hot hotarat sa fure 10000 de volume a cate 200 de pagini din biblioteca institutiei si riscurile la care se expune comparativ cu efortul riscurile de a sustrage aceleasi carti de pe serverul institutiei la care au acces toti angajatii;
Introducere in Securitatea InformatieiInformatia si informatia in format electronic2. Protectia informatiei • Atributele de securitate a sistemelor referitoare la informatii: • Functii de utilitate: • Disponibilitatea; • Integritatea; • Confidentialitatea; • Functii de credibilitate – (acoperirea prejudiciului): • Autenticitatea; • Nerepudierea; • Manipularea rau voitoare a sistemelor si informatiilor – criminalitatea electronica;
Disponibilitatea 1 • Disponibilitatea este acea functie de securitate sistemelor a sistemelor de a pune informatiile la dispozitia utilizatorilor legali atunci cand acestia au nevoie; • Disponibilitatea desi este o functie intrinseca a informatiei, se manifesta prin intermediul suportului ei si in consecinta este un rezultat al mediului de prelucrare – transmisie (retea, echipamente, proceduri etc.) • Disponibilitatea este cea mai importanta functie a informatiei (SIC-ului); • Informatia, in general, este cu atat mai utila (mai productiva) cu cat este folosita mai mult.
Disponibilitatea 2 • De retinut: informatia in mod natural este facuta sa se multiplice si sa se transmita cu costuri aproape nule – este “predestinata” proliferarii; • Informatia “produce”, creaza valoare cu cat este folosita de mai multi si mai des – restrangerea accesului este o pierdere; • In general disponibilitatea este asigurata prin redundanta – se def. infrastructura critica; • Informatiile de interes public – LEGEA 544/2002 - obligatia de a asigura disponibilitatea informatiilor de interes public pentru toti utilizatorii;
Disponibilitatea 3 • Traditional, disponibilitatea in SIC – uri este tratata ca o problema de fiabilitate si calitate a serviciilor (QoS) – caracteristic acestei abordari este cauza aleatorie, necorelarea acesteia cu activitatea sistemului, cu alte “inputuri” sau continuari ale “cauzei”; • In contextul actual, datorita accentuarii factorului intentional, este mai util sa fie tratata ca o problema de securitate si inclusa in analiza de riscuri – factorul intentional implica o inteligenta care are cunostiinte si capacitati de inteventie pe care le foloseste in scopul atingerii obiectivelor sale; • Mijloace de protectie – asigurarea redundantei;
Confidentialitatea - 1 • Confidentialitatea este acea functie de securitate prin care se blocheaza accesul utilizatorilor nelegitimi la anumite informatii; • Confidentialitatea este definita ca o interdictie si in general este o exceptie de la utilizarea normala a informatiei; • Confidentialitatea este o consecinta a existentei unor interese contrare in societate si in consecinta folosirea informatiilor despre aceste interese pot aduce prejudicii uneia din parti; • Acceptarea dreptului partilor de a-si proteja interesele implica acceptarea confidentialitatii (apararea secretului);
Confidentialitatea - 2 • Interesele statului, interese de grup, interese particulare – restrangerea dreptului la confidentialitate; • Asigurarea confidentialitatii se poate face prin controlul accesului la suportul de informatie (masuri de protectie fizica) si/sau controlul accesului la semnificatia datelor (criptare); • Exista perceptia (falsa) ca prin protectia informatiilor se intelege numai asigurarea confidentialitatii; • Tehnicile de asigurare a confidentialitatii au aparut primele ca necesitati si s-au dezvoltat in mediul militar si diplomatic- au inceput sa treaca in mediul civil pe la mijlocul anilor 80 ca urmare a utilizatii pe scara larga a informatiilor in format electronic in economie;
Confidentialitatea - 3 • Asigurarea confidentialitatii implica costuri semnificative pentru utilizarea informatiilor in conditii de siguranta (sa ajunga numai la un grup bine definit de persoane); • Confidentialitatea implica o ierarhizare a nivelurilor de clasificare a informatiilor; • Implica o ierarhie a drepturilor de acces – niveluri diferite de incredere (verificare) in personalul care utilizeaza informatiile; • Principiul “need to know” – dreptul de a accesa o informatie clasificata il au toate presoanele care au nevoie de ea in exercitarea atributiilor de serviciu si dispun de nivelul corespunzator de verificare. (nu este legata de functie sau de dreptul de acces la informatii clasificate).
Confidentialitatea - 4 • Privire generala asupra cadrului de reglementare al confidentialitatii; • Informatiile secrete de stat (clasificate); • Informatiile firmelor (clasificate – secrete de serviciu); • Informatiile firmelor in care este interesat statul (de interes strategic); • Clase de informatii neprotejate; • Reglementarile privind protectia informatiilor UE; • Informatii clasificate NATO – interferente cu informatiile clasificate nationale; • Intelegeri bilaterale cu state partenere – intelegeri “locale”; • Asigurarea confidentialitatii se face in principiu prin controlul accesului la echipamente, informatii, suporti de memorie si prin criptare.
Confidentialitatea - 5 • Cadrul legslativ care protejeaza confidentialitatea; • Legea 182/2002- privind protectia informatiilor clasificate; • H.G. 585/2002 – privind standardele nationale de protectie a informatiilor clasificate; • H.G. 781/2002 – privind protectia informatiilor secrete de serviciu; • H.G. 353/2002 – privind aprobarea normelor privind protectia informatiilor NATO in Romania; • Legea 676/2002 – privind protectia datelor cu caracter personal in retelele de comunicatii; • Legea 677/2002 – privind protectia datelor cu caracter personal ;
Integritatea - 1 • Integritatea este acea functie de securitate a sistemului de a proteja informatia de modificarile neautorizate sau accidentale; • Prin modificare se intelege: stergere, adaugare sau inlocuire a unei parti sau a intregii informatii; • Integritatea a aparut ca o problema de securitate in activitatile comerciale si este legata de functionarea bazelor de date; • Asigurarea integritatii informatiilor stocate are importanta majora in organizarea bazelor de date deoarece in absenta mecanismelor de asigurare a integritatii, baza de date acumuleaza erori si chiar daca acestea afecteaza o mica parte din informatii se pierde increderea in intreaga baza de date si trebuie refacuta in intregime. • Asigurarea integritatii informatiilor se face prin: • Adaugarea la aceasta a unui “rezumat” al informatiei facut cu o functie tip “paritate, CRC sau hash” – coduri detectoare de erori; • Folosirea semnaturii digitale; • Constituirea unor mecanisme de securitate a tranzactiilor pornind de la ipoteza implicita ca informatiile sunt veridice (consistente);
Integritatea - 2 • Producerea unor prejudicii prin manipularea frauduloasa a informatiilor si/sau a sistemului prin afectarea integritatii informatiilor in SIC-uri este reglemetata direct prin lege – C.P./2006 - Titlul X - Alterarea datelor. • In general, fara mijloace specifice, este dificil de departajat o modificare neintentionata sau accidentala de una intentionata si cu atat mai mult de identificat autorul si probat fapta. Un avocat bun va gasi intodeuna o cale care sa disculpe un inculpat. • Este sarcina sistemului de securitate sa creeze “urme” cu valoare de probe pentru a se instrumenta asfel de cazuri;
Autenticitatea - 1 • Autenticitatea este acea functie de securitate a sistemului de a permite asocierea informatiei cu autorul ei. • Prin autorul unei informatii se intelege generatorul ei sau cel care a introdus-o in sistem. Autorul poate fi persoana sau echipament. • “Informatia” de autenticitate are rolul de a da credibilitate in corectitudinea informatiei prin responsabilzarea creatorului si posibilitatea utilizatorilor de a verifica autenticitatea la sursa pe alta cale. • Autentificarea informatiei este necesara pentru a crea posibilitatea de a recupera eventualele prejudicii ce ar putea rezulta prin folosirea informatiei obtinuta din sistem cu buna credinta;
Autenticitatea - 2 • Autentificarea prin semnatura electronica are regim juridic echivalent cu semnatura olografa; • Documentul autentificat cu semnatura electronica certificata are acelasi regim juridic cu documentul autentificat sub semnatura privata; • Anonimitatea: • Efectul anonimitatii asupra comportamentului uman; • Cadrul de reglementare – Statele Unite; • Anonimitatea in INTERNET;
Autenticitatea - 3 • Autentificarea informatiei se poate face prin: • Controlul accesului la sistem si activarea unui sistem adecvat de fisiere de log – rolul timpului; • Folosirea semnaturilor electronice pentru generarea si transmisia informatiilor; • Cadrul legal de utilizare a semnaturii electronice este stabilit de: • Legea 455/2001 – privind regimul juridic al semnaturii electronice; • Hotararea 1259/2001 – norme tehnice si metodologice de aplicare a legii 455/2001; • Stampila de timp – indicatie a momentului de timp asociata documentului electronic autentificat cu semnatura certificata care se aplica in momentul semnarii documentului. • Stampila de timp este necesara pentru a stabili cronologia unor documente si are valoare juridica;
Nerepudierea - 1 • Nerepudierea este functia de securitate a sistemului de a asocia unei informatii dovada ca o informatie a fost trimisa de catre expeditor catre destinatarul legal iar acesta a primit-o, fara ca acestia sa poata contesta acest fapt; • Proprietatea de nerepudiere confera informatiei acelasi regim ca o scrisoare recomandata; • Nu sunt cunoscute reglementari cu referire directa la informatiile in format electronic din SIC-uri; • Producerea dovezilor de nerepudiere este sarcina sistemului de securitate care trebuie sa instituie si sa conserve “urme” ale activitatii din sistem suficient de veridice pentru a fi acceptate de autoritati; • Prin autoritati se intelege justitia sau administratia organizatiei – in functie de natura prejudiciului si consistenta probelor;
Introducere in Securitatea InformatieiInformatia si informatia in format electronic2. Protectia informatiei • Protectia informatiilor (notiunea de sistem): • Sistem complex, de granita, la intersectia mai multor discipline: (calculatoare, electronica, mecanica, TV, optica, matemantica, fizica, sociologie, psihologie, drept ) • Sistemul de protectie – obiective: descurajare, detectare, interventie, limitare a pierderilor, recuperare; • Protectia oferita prin lege – definire infractiune, documentare, probare, judecata - efectul retroactiv, nu acopera cauzele naturale (intamplarea) • Protectia informatiilor – subsistem al protectiei bunurilor; • Protectia suportului informatiei – protectie fizica; • Protectia mediului informatiei (retele, echipamente) – protectie fizica si procedurala; • Protectia criptografica – protectie informationala
Protectia informatiilor pe durata ciclului de viata al acestora • Generarea informatiilor: • Informatii din surse umane – gradul de subiectivism, nivel de incredere; • Informatii de la senzori – obiectivitatea datelor – subiectivismul interpretarii; • Clasificarea informatiilor (drepturile de acces) cnf. Legii 182/2002 si HG 585/2002 • Asocierea informatiilor despre autor, timp, conditii de generare, la informatia de baza; • Prelucrarea informatilor si functiile de securitate (confidentialitatea, integritatea, autenticitatea, nerepudierea): • Dezasamblarea (implica reclasificare prin declasificare); • Asamblarea (poate creste nivelul de clasificare); • Analize (implica reclasificare); • Sinteze (implica reclasificare – sinteze din informatii publice pot fi strict secrete);
Protectia informatiilor pe durata ciclului de viata al acestora • Stocarea informatiilor: • Copii de siguranta; • Rezerva calda, retele RAID; • Clustering • Arhive; • Medii de stocare (durata de stocare, densitate, conditii de stocare etc. ): • Hartie; • Hartie termica; • Suport magnetic; • CD; • Stick; • Harddisk-uri;
Protectia informatiilor pe durata ciclului de viata al acestora • Suport optic: • CD-uri – timp de viata limitat la aproximativ 10 ani; • DVD-uri – proiectat pentru fluxuri mari de date; • Memorii semiconductoare: • RAM, (statice, dinamice); • ROM (Read Only Memory), EPROM; • EEROM – memorii flash -sticuri; • Seifuri pentru suporti de memorie; • Rezistenta la incendiu; • Amplasare;
Protectia informatiilor pe durata ciclului de viata al acestora • Declasificarea informatiilor • Perisabilitatea informatiilor secrete – in timp toate devin publice; • Informatii strategice – protectie pe termen lung (ani, zeci de ani); • Informatii tactice – protectie pe termen mediu (zile, luni); • Informatii operationale – protectie pe termen scurt (ore, zile); • Transmisia informatiilor (mediul cel mai periculos): • Medii private – definit juridic, - aflat sub responsabilitatea si controlul unei entitati private – accesul restrictionat de lege; • Medii publice - definit juridic, - aflat sub responsabilitatea si controlul public; • Transmisii “on line” – transmisie pe masura ce se genereaza; • Transmisii “off line” – transmisie dupa generare si o prelucrare (criptare)
Protectia informatiilor pe durata ciclului de viata al acestora • Retele de comunicatii (vulnerabilitati specifice privind disponibilitatea, confidentialitatea, integritatea, nerepudierea informatiilor): • Radio; • Radiorelee; • Sateliti; • Cabluri telecomunicatii, cabluri electrice, conducte apa, gaze etc.); • Fibra optica; • Retele Wireless • INTERNET; • Receptia si utilizarea informatiei; • Informatie destinata utilizarii umane – supusa interpretarii; • Comenzi pentru echipamente – executabila imediat; • Cadrul de reglementare privind protectia informatiilor in prelucrare si transport; • Legea 676/2002 si legea 677/2002 privind prelucrarea datelor cu caracter personal in retelele de comunicatii si de calculatoare; • Codul Penal – interceptare neautorizata, interceptare in baza legii; • Normele interne de protectie;
Costurile de protectie • Costurile care trebuie platite pentru securitate sunt relativ mari si uneori depasesc costurile sistemului functional; • Necesitatea analizei cost – beneficii de securitate; • Principalele tipuri de costuri pt. securitate: • Creste complexitatea sistemului; • Scade functionalitatea; • Cresc cheltuielile (investitiile, intretinerea) • Resurse umane suplimentare + sarcini suplimentare pt. personalul existent;
Informatii clasificate - conf. Lege 182/2002 si H.G. 585/2002; Informatii secrete de serviciu; Informatii privind intimitatea persoanelor; Proprietatea intelectuala – brevete, licente etc.; Informatii publice; Tipuri de informatii nereglementate: Informatiile proprietare (unei entitati, institutii); Informatii neclasificate – sensibile pentru organizatie; Tipuri de informatiiClasificarea informatiilor
Tipuri de informatiiInformatii clasificate • Sensurile notiunii de informatii clasificate: • Sensul general – informatii care pot fi incadrate in niste clase de informatii definite de o autoritate (ex.: informatii neclasificate, informatii publice, brevete etc.) • In sensul asigurarii confidentialitatii conf. legislatiei in vigoare (legea 183/2002 si HG 585/2002: SSID, SS, S, SdS) • Insensul asiguratii integritatii (informatii certificate, informatii necertificate) Ex. – Clasa informatiilor secrete de serviciu – clasificarea locala; • Criterii de clasificare: • Dupa afectarea confidentialitatii – (in sensul legii) • Stict secret de importanta deosebita; • Strict secret; • Secret; • Secret de serviciu;
Clasificarea informatiilor(sens general) • Dupa tipul de functie de securitate si nivelul de prejudiciu; • Disponibilitate, integritate, autenticitate, nerepudiere; • Confidentialitate; • Utila in analiza de riscuri • Dupa nivelul prejudiciului produs prin afectarea functiilor de securitate; • Estimarea prejudiciului determina nivelul de clasificare al informatiei si deci nivelul necesar de protectie (costurile de protectie); • Nivelul prejudiciului se apreciaza prin prejudiciul maxim ce se poate produce afectand in orice fel functiile de securitate; • Aceasta abordare are avantajul utilizarii unei singure scari de valori pentru fiecare informatie si a determina nivelul de securitate ce se impune; • Abordarea este utila in sistemele integrate baze de date si servicii de comunicatii;
Informatii clasificateInformatii clasificate NATO si UE • Definire – informatiile care prin diseminare pot produce prejudicii semnificative organizatiei; • Clasele de secret: • Top Secret • Secret; • Confidential; • Resticted; • Informatii neclasificate; • Unclasified – reguli de diseminare relaxate, nu pot fi facute publice ; • Public – informatii care pot iesi in afara NATO; • Etichetare (clasificare, domeniu, need to know): • Relatia de ordine (sisteme multinivel)
Informatii clasificate • Echivalarea nivelelor de clasificare NATO si UE cu cele nationale; Top Secret -------- SSID; Secret -------- Strict Secret; Confidential -------- Secret; Restricted -------- Secret de Serviciu; • Raportul dintre informatiile clasificate national si cele NATO /UE • Exista o delimitare clara intre informatiile clasificate national, cele NATO si UE. Echivalenta nivelelor de clasificare nu implica posibilitatea trecerii unei informatii dintr-o parte in alta. • Informatiile elaborate de structurile nationale despre NATO si UE sunt considerate informatii nationale; • Folosirea informatiilor clasificate NATO in realizarea unor documente nationale trebuie facuta cu atentie, clasificata corespunzator si pot fi utilizate numai cu avizul ORNISS (Ex: directivele de securitate). • Echivalarea clasificarilor are rol numai pentru a stabili un nivel de securitate asemanator prin sistemul de securitate
Autoritati responsabile • Oficiul Registrului National pentru Informatii Secrete de Stat (ORNISS); • Serviciul Roman de Informatii; • Ministerul Comunicaţiilor si Tehnologiilor Informatice -; • Autorităţi departamentale – ADS – uri (MApN, MAI, STS, SRI, SIE, SPP) cu aribuţii în domeniul apărării şi ordinii publice.
Atributiile ORNISS • Punct national de contact al NOS; • Responsabil pentru implementarea politicii NATO in Romania privind securitatea informatiilor; • Elaboreaza politica NATO de protectie a informatiilor in Romania; • Realizeaz politica nationala pentru sistemele de protectie a informatiilor in forma electronica; • Coordonarea politicilor de protectie a informatiilor in forma electonica la nivel national; • Elibereaza avizele de securitate pentru lucrul cu informatii clasificate pentru persoane si firme;
Lucrul firmelor private cu informatii clasificate • Evaluarea sistemului de protectie fizica; • Evaluarea sistemului de management al documentelor clasificate; • Evaluarea si avizul de securitate pentru persoane fizice; • Evaluarea si acreditarea sistemului de securitate al informatiilor in format electronic – INFOSEC; • Avizul de securitate industriala.
Departamentul INFOSEC • Autoritatea de Acreditari de Securitate (A.A.S.); • Are ca sarcina auditul si acreditarea SIC-urilor NATO din Romania si a SIC-urilor care lucreaza cu informatii clasificate; • Autoritatea de Securitate pentru Informatica si Comunicatii (A.S.I.C.); • Autoritate de reglementare a securitatii in sistemele informatice si de comunicatii la nivel national; • Autoritatea pentru Distributia Materialului Criptografic (A.D.M.C.); • Autoritatea care se ocupa cu managementul cheilor de criptare in retelele NATO din Romania si cu distributia echipamentelor de criptare;
Fluxurile de informatii intr-o firma/institutie • Necesitatea evidentierii fluxurilor de informatii; • Organizarea fluxurilor de informatii componenta principala a managementului institutiei; • Din punct de vedere al securitatii informatiei organizarea fluxurilor trebuie sa sprijine obtinerea: disponibilitatii, confidentialitatii, integritatii autenticitatii si nerepudierii informatiilor; • Practica fluxurilor de informatii: • Documente pe hartie (scrisori, faxuri); • Comunicatii de date (accese la baze de date interne si externe, e-mail); • Comunicatii telefonice; • Factorii de influenta ai fluxurilor de informatii: • Structura institutiei (organigrama); • Nivelele si centrele de decizie; • Nivele si centrele de executie; • Cultura institutiei;
Fluxurile de informatii intr-o firma/institutie • Punctele de intrare; • Punctele de iesire; • Etichetarea informatiilor – formatul documentelor; • Traseabilitatea informatiilor inregistrarea documentelor; • Instrumente de management al informatiilor; • Registre de predare primire; • Programe pentru managementul informatiilor; • Fisierele de audit (log).
Infrastructurile critice • Interdependentele activitatile sociale – caracteristici al activitatilor moderne; • Activitati vitale pentru viata si sanatatea oamenilor; • Efectele de avalansa ale afectarii unor activitati; • Necesitatea reglementarii de catre stat a acestor activitati – practica reglementarilor (SUA, UE);