managementul securitatii informatiilor

54
Managementul securitatii Managementul securitatii informatiilor informatiilor Drd. Drd. ing. Gh. Muresanu ing. Gh. Muresanu [email protected] [email protected]

Upload: nevada-meyer

Post on 31-Dec-2015

188 views

Category:

Documents


6 download

DESCRIPTION

Managementul securitatii informatiilor. Drd. ing. Gh. Muresanu – [email protected]. Managementul securităţii informaţiei Obiectivele cursului. Caracterizarea informatiilor in format electronic din punct de vedere al securitatii acestora; - PowerPoint PPT Presentation

TRANSCRIPT

Page 1: Managementul securitatii informatiilor

Managementul securitatii Managementul securitatii informatiilorinformatiilor

Drd. Drd. ing. Gh. Muresanu – [email protected]. Gh. Muresanu – [email protected]  

Page 2: Managementul securitatii informatiilor

Managementul securităţii informaţieiManagementul securităţii informaţiei

Obiectivele cursului Obiectivele cursului Caracterizarea informatiilor in format electronic Caracterizarea informatiilor in format electronic

din punct de vedere al securitatii acestora;din punct de vedere al securitatii acestora; Definirea principalelor caracteristici ale Definirea principalelor caracteristici ale

mediului virtual;mediului virtual; Principiile care stau la baza realizării unei Principiile care stau la baza realizării unei

securităţi moderne a informaţiilor integrate în securităţi moderne a informaţiilor integrate în mediul de lucru;mediul de lucru;

Managementul securitatii informatiilor pe baza Managementul securitatii informatiilor pe baza analizei de rsicuri;analizei de rsicuri;

Prezentarea cadrului de reglementare si Prezentarea cadrului de reglementare si autoritatile competente;autoritatile competente;

Necesitatea unei comunitati a specilaistilor in Necesitatea unei comunitati a specilaistilor in domeniul securitatii informatiilor.domeniul securitatii informatiilor.

Page 3: Managementul securitatii informatiilor

Managementul securităţii informaţieiManagementul securităţii informaţiei Prezentarea cursului (1)Prezentarea cursului (1)

Notiuni introductive – caracterizarea mediului Notiuni introductive – caracterizarea mediului virtualvirtual– Caractristicile informatiilor in format electronic;Caractristicile informatiilor in format electronic;– Atributele de securitate a informatiilor;Atributele de securitate a informatiilor;– Clasificarea informatiilor;Clasificarea informatiilor;– Sistemul National de interventii in caz de urgenta;Sistemul National de interventii in caz de urgenta;– Infrastructurile critice.Infrastructurile critice.

Criminalitatea informaticaCriminalitatea informatica– Limitele sistemului judiciar;Limitele sistemului judiciar;– Necesitatea unor puteri speciale pentru cercetarea Necesitatea unor puteri speciale pentru cercetarea

infractionalitatii informatice;infractionalitatii informatice;– Necesitatea unei culturi de securitate.Necesitatea unei culturi de securitate.

Page 4: Managementul securitatii informatiilor

Managementul securităţii informaţieiManagementul securităţii informaţiei Prezentarea cursului (2)Prezentarea cursului (2)

Abordarea sistemica a securitatii informatiilor;Abordarea sistemica a securitatii informatiilor;– Principiul supravietuirii sistemelor;Principiul supravietuirii sistemelor;– Imaginea holistica asecuritatii sistemelor;Imaginea holistica asecuritatii sistemelor;– Subsistemele de securitate a informatiilor;Subsistemele de securitate a informatiilor;

Reglementarile mecanismelor de securitate;Reglementarile mecanismelor de securitate;– Reglelementari adminstrative – acorduri, legi etc.;Reglelementari adminstrative – acorduri, legi etc.;– Reglementari locale;Reglementari locale;– Ghiduri de bune practici;Ghiduri de bune practici;– Standarde tehnice;Standarde tehnice;– Autoritati de reglementare, certificare, impunere a Autoritati de reglementare, certificare, impunere a

legii.legii.

Page 5: Managementul securitatii informatiilor

Managementul securităţii informaţieiManagementul securităţii informaţiei Prezentarea cursului (3)Prezentarea cursului (3)

Mecanismele de securitateMecanismele de securitate– Politici formale de securitate;Politici formale de securitate;– Sisteme de incredere;Sisteme de incredere;– Sisteme practice de securitate;Sisteme practice de securitate;– Strategii si politici de securitate;Strategii si politici de securitate;– Mecanisme de secuirtate protective si reactive.Mecanisme de secuirtate protective si reactive.

Evaluarea sistemelor de securitateEvaluarea sistemelor de securitate– Certificarea, evaluarea si acreditarea;Certificarea, evaluarea si acreditarea;– Standarde de evaluare;Standarde de evaluare;– Autoritati de certificare, evaluare si acreditare.Autoritati de certificare, evaluare si acreditare.

Page 6: Managementul securitatii informatiilor

Managementul securităţii informaţieiManagementul securităţii informaţiei Prezentarea cursului (4)Prezentarea cursului (4)

Managementul securitatii informatiilorManagementul securitatii informatiilor– Mecanismul de formare a riscurilor;Mecanismul de formare a riscurilor;– Analiza de riscuri - erintele de securitate;Analiza de riscuri - erintele de securitate;– Politica de securitate;Politica de securitate;– Procedurile operationale de securitate – fisa Procedurile operationale de securitate – fisa

postului;postului;– Planurile de securitate, BCP, DRP;Planurile de securitate, BCP, DRP;– Structura de securitate.Structura de securitate.– Practica managementului – bugetarea Practica managementului – bugetarea

activitatii;activitatii;

Page 7: Managementul securitatii informatiilor

TEMA 1: TEMA 1: Notiuni introductive privind protectia Notiuni introductive privind protectia

informatieiinformatieiObiectivele temei:Obiectivele temei:

Definirea si intelegerea caracteristicilor Definirea si intelegerea caracteristicilor informatiei (“obiectului muncii” specific informatiei (“obiectului muncii” specific sistemul de securitate);sistemul de securitate);

Locul si rolul informatiilor in format electronic in Locul si rolul informatiilor in format electronic in societatea moderna – necesitatea protectiei lor;societatea moderna – necesitatea protectiei lor;

Clasificarea informatiilor;Clasificarea informatiilor; Caracteristicile mediului de evolutie a Caracteristicile mediului de evolutie a

informatiilor (CYBERSPATIUL);informatiilor (CYBERSPATIUL);

Page 8: Managementul securitatii informatiilor

Informatia si informatia in format Informatia si informatia in format electronicelectronic

Ce este informatia ?Ce este informatia ? De ce este importanta informatia in De ce este importanta informatia in

societatea moderna ?societatea moderna ? Cui foloseste informatia ?Cui foloseste informatia ? Ce se intelege prin securitatea informatiei Ce se intelege prin securitatea informatiei

?? Dar prin protectia ei ?Dar prin protectia ei ?

Page 9: Managementul securitatii informatiilor

Introducere in Securitatea InformatieiIntroducere in Securitatea Informatiei

Informatia si informatia in format electronicInformatia si informatia in format electronic1. Definirea informatiei 11. Definirea informatiei 1

– Categorii filozofice: materie, energie şi Categorii filozofice: materie, energie şi informaţie;informaţie;

– Caracterul imaterial – independenta de suport;Caracterul imaterial – independenta de suport;– Informaţia exprimată prin forme;Informaţia exprimată prin forme;– Legatura cu suportul material sau energetic;Legatura cu suportul material sau energetic;– Definirea prin exemple;Definirea prin exemple;– Informaţia ca formă de percepţie a lumii Informaţia ca formă de percepţie a lumii

înconjurătoare – conştiinţa;înconjurătoare – conştiinţa; Obiectivitatea si subiectivitatea informatiilor;Obiectivitatea si subiectivitatea informatiilor;

– Informatiile din surse umane – interpretari ale realitatii, ex: Informatiile din surse umane – interpretari ale realitatii, ex: procesele verbale de sedinta;procesele verbale de sedinta;

– Informatiile de la senzori – obiective dar mai sarace in Informatiile de la senzori – obiective dar mai sarace in informatii – neglijeaza contextul uman;informatii – neglijeaza contextul uman;

Page 10: Managementul securitatii informatiilor

Introducere in Securitatea InformatieiIntroducere in Securitatea Informatiei

Informatia si informatia in format electronicInformatia si informatia in format electronic1.1 Definirea informatiei 21.1 Definirea informatiei 2

– Unitati de măsură a informaţiiei – bitul, baytul, Unitati de măsură a informaţiiei – bitul, baytul, cuvântul;cuvântul;

– Canale de comunicatii – capacitatea canalului;Canale de comunicatii – capacitatea canalului;

Tipuri de informatii (date si informatii):Tipuri de informatii (date si informatii): Date – informatii prelucrate fara sa conteze semnificatiile;Date – informatii prelucrate fara sa conteze semnificatiile; Mesaje – informatii prelucrare in scopul obtineii semnificatiei;Mesaje – informatii prelucrare in scopul obtineii semnificatiei; Informatie - semnificaţia mesajelor corelate;Informatie - semnificaţia mesajelor corelate; Cunoştiinţe – Informatii agregate baze de date construite pe Cunoştiinţe – Informatii agregate baze de date construite pe

baze relationalebaze relationale;;

– Informaţia ca valoare (bun): Informaţia ca valoare (bun): Castig; Castig; Valoare prin prejudiciu posibil;Valoare prin prejudiciu posibil; Valoarea prin incredere;Valoarea prin incredere;

Page 11: Managementul securitatii informatiilor

Necesitatea protectiei Necesitatea protectiei informatiilor - 1informatiilor - 1

Mecanismele de putere (conducere) - locul si Mecanismele de putere (conducere) - locul si rolul informatiilor in procesul de decizie;rolul informatiilor in procesul de decizie;

Necesitatea informatiilor complete si credibile;Necesitatea informatiilor complete si credibile; Raportul informatie – interese, complexitatea Raportul informatie – interese, complexitatea

sferelor de interese;sferelor de interese; Interese divergente – necesitatea Interese divergente – necesitatea

confidentialitatii;confidentialitatii; Razboiul informational;Razboiul informational;

– Lupta pentru imagine - propaganda;Lupta pentru imagine - propaganda;– Reclama;Reclama;– Legatura INTERNET – MASSMEDIA;Legatura INTERNET – MASSMEDIA;

Page 12: Managementul securitatii informatiilor

Necesitatea protectiei Necesitatea protectiei informatiilor - 2informatiilor - 2

Interdependentele economice – fenomenul Interdependentele economice – fenomenul de globalizare;de globalizare;

Dezvoltarea comertului – migrarea fortei de Dezvoltarea comertului – migrarea fortei de munca - permeabilizarea granitelor;munca - permeabilizarea granitelor;

Magistrala informationala globala:Magistrala informationala globala:– Integrarea retelelor de comunicatii;Integrarea retelelor de comunicatii;– Integrarea serviciilor de comunicatii;Integrarea serviciilor de comunicatii;– Desfiintarea granitelor pentru informatii;Desfiintarea granitelor pentru informatii;

Socializarea serviciilor de comunicatii – Socializarea serviciilor de comunicatii – scaderea costurilor;scaderea costurilor;

Dezvoltarea tehnologiilor informatice - de Dezvoltarea tehnologiilor informatice - de regula in avantajul atacatorului;regula in avantajul atacatorului;

Page 13: Managementul securitatii informatiilor

Necesitatea protectiei Necesitatea protectiei informatiilor - 3informatiilor - 3

Societatea informationala:Societatea informationala:– Informatia ca valoare materiala – (bani)Informatia ca valoare materiala – (bani)

Software;Software; Jocuri;Jocuri; Proiecte;Proiecte; Reclame “on line”;Reclame “on line”; Licente – drepturi de autor;Licente – drepturi de autor;

– Intreprinderi virtuale:Intreprinderi virtuale: Magazine “on line”;Magazine “on line”; Firme de productie “on line”;Firme de productie “on line”; Notari electronici;Notari electronici; Semnaturi electronice;Semnaturi electronice;

– Bazele de date publice – motoare de cautare;Bazele de date publice – motoare de cautare;– Programe de tip: e-guv, e-administration, e-Programe de tip: e-guv, e-administration, e-

banking;banking;e-tax, e-Europe, e-ten etc.e-tax, e-Europe, e-ten etc.

Page 14: Managementul securitatii informatiilor

Informatia in format electronic Informatia in format electronic (IFE) - 1(IFE) - 1

Informatia in format clasic (IFC) – documentul Informatia in format clasic (IFC) – documentul “scris”:“scris”:– Identificarea cu suportul;Identificarea cu suportul;– Protectia se refera la suport – informatia nu are Protectia se refera la suport – informatia nu are

semnificatie;semnificatie;– Suportul poarta o multitudine de informatii colaterale Suportul poarta o multitudine de informatii colaterale

despre autor, momentul generarii informatiei si traseul despre autor, momentul generarii informatiei si traseul acesteia si chiar despre cititor;acesteia si chiar despre cititor;

– Modificarea informatiei de pe document se face relativ greu Modificarea informatiei de pe document se face relativ greu si lasa urme – identifica falsificarea;si lasa urme – identifica falsificarea;

– Generarea, sustragerea sau distrugerea lasa urme Generarea, sustragerea sau distrugerea lasa urme materiale detectabile;materiale detectabile;

– Senzitivitatea - documentelor olografe, documente batute Senzitivitatea - documentelor olografe, documente batute la masina, copii xerox etc;la masina, copii xerox etc;

Informatia in format electronic - IFE:Informatia in format electronic - IFE:– Informatia se identifica prin ea insasi;Informatia se identifica prin ea insasi;– Suportul nu are o semnificatie pentru protectie sau are una Suportul nu are o semnificatie pentru protectie sau are una

secundara;secundara;

Page 15: Managementul securitatii informatiilor

Informatia in format electronic Informatia in format electronic (IFE) - 2(IFE) - 2

Copiatul si modificatul se face foarte usor, nu lasa urme Copiatul si modificatul se face foarte usor, nu lasa urme asupra originalului si implica costuri nule;asupra originalului si implica costuri nule;

In comparatie cu informatia in format clasic, informatia in In comparatie cu informatia in format clasic, informatia in format electronic poate fi usor manipulata in scopuri format electronic poate fi usor manipulata in scopuri obscure;obscure;

Constatarea unei infractiuni privind informatia nu se poate Constatarea unei infractiuni privind informatia nu se poate face examinand documentul original ci examinand face examinand documentul original ci examinand activitatile din sistem care sunt in legatura cu informatia;activitatile din sistem care sunt in legatura cu informatia;

Un utilizator poate folosi abuziv informatiile pastrandu-si Un utilizator poate folosi abuziv informatiile pastrandu-si anonimatul;anonimatul;

Controlul accesului la informatiile in format electronic ( in Controlul accesului la informatiile in format electronic ( in SIC) se face mult mai dificil decat in cazul accesului SIC) se face mult mai dificil decat in cazul accesului persoanelor fizice la documente scrise;persoanelor fizice la documente scrise;

Informatiile pot fi accesate si utilizate abuziv de la Informatiile pot fi accesate si utilizate abuziv de la distanta;distanta;

Page 16: Managementul securitatii informatiilor

Informatia in format electronic Informatia in format electronic (IFE) - 3(IFE) - 3

Este sarcina sistemului de protectie de a crea Este sarcina sistemului de protectie de a crea “urme” prin care sa documenteze activitatile “urme” prin care sa documenteze activitatile din sistem si eventual si sa probeze folosirea din sistem si eventual si sa probeze folosirea abuziva a informatiilor;abuziva a informatiilor;

Imaginati-va efortul pe care ar trebui sa-l faca Imaginati-va efortul pe care ar trebui sa-l faca un hot hotarat sa fure 10000 de volume a cate un hot hotarat sa fure 10000 de volume a cate 200 de pagini din biblioteca institutiei si 200 de pagini din biblioteca institutiei si riscurile la care se expune comparativ cu riscurile la care se expune comparativ cu efortul riscurile de a sustrage aceleasi carti de efortul riscurile de a sustrage aceleasi carti de pe serverul institutiei la care au acces toti pe serverul institutiei la care au acces toti angajatii;angajatii;

Page 17: Managementul securitatii informatiilor

Introducere in Securitatea InformatieiIntroducere in Securitatea Informatiei

Informatia si informatia in format electronicInformatia si informatia in format electronic2. Protectia informatiei2. Protectia informatiei

Atributele de securitate a sistemelor referitoare Atributele de securitate a sistemelor referitoare la informatii:la informatii:– Functii de utilitate:Functii de utilitate:

Disponibilitatea;Disponibilitatea; Integritatea;Integritatea; Confidentialitatea;Confidentialitatea;

– Functii de credibilitate – (acoperirea prejudiciului):Functii de credibilitate – (acoperirea prejudiciului): Autenticitatea;Autenticitatea; Nerepudierea;Nerepudierea;

Manipularea rau voitoare a sistemelor si Manipularea rau voitoare a sistemelor si informatiilor – criminalitatea electronica;informatiilor – criminalitatea electronica;

Page 18: Managementul securitatii informatiilor

Disponibilitatea 1Disponibilitatea 1 Disponibilitatea este acea functie de securitate Disponibilitatea este acea functie de securitate

sistemelor a sistemelor de a pune informatiile sistemelor a sistemelor de a pune informatiile la dispozitia utilizatorilor legali atunci cand la dispozitia utilizatorilor legali atunci cand acestia au nevoie;acestia au nevoie;

Disponibilitatea desi este o functie intrinseca a Disponibilitatea desi este o functie intrinseca a informatiei, se manifesta prin intermediul informatiei, se manifesta prin intermediul suportului ei si in consecinta este un rezultat al suportului ei si in consecinta este un rezultat al mediului de prelucrare – transmisie (retea, mediului de prelucrare – transmisie (retea, echipamente, proceduri etc.)echipamente, proceduri etc.)

Disponibilitatea este cea mai importanta functie Disponibilitatea este cea mai importanta functie a informatiei (SIC-ului);a informatiei (SIC-ului);

Informatia, in general, este cu atat mai utila Informatia, in general, este cu atat mai utila (mai productiva) cu cat este folosita mai mult.(mai productiva) cu cat este folosita mai mult.

Page 19: Managementul securitatii informatiilor

Disponibilitatea 2Disponibilitatea 2

De retinut: informatia in mod natural este facuta De retinut: informatia in mod natural este facuta sa se multiplice si sa se transmita cu costuri sa se multiplice si sa se transmita cu costuri aproape nule – este “predestinata” proliferarii;aproape nule – este “predestinata” proliferarii;

Informatia “produce”, creaza valoare cu cat este Informatia “produce”, creaza valoare cu cat este folosita de mai multi si mai des – restrangerea folosita de mai multi si mai des – restrangerea accesului este o pierdere;accesului este o pierdere;

In general disponibilitatea este asigurata prin In general disponibilitatea este asigurata prin redundanta – se def. infrastructura critica;redundanta – se def. infrastructura critica;

Informatiile de interes public – LEGEA 544/2002 - Informatiile de interes public – LEGEA 544/2002 - obligatia de a asigura disponibilitatea obligatia de a asigura disponibilitatea informatiilor de interes public pentru toti informatiilor de interes public pentru toti utilizatorii; utilizatorii;

Page 20: Managementul securitatii informatiilor

Disponibilitatea 3Disponibilitatea 3

Traditional, disponibilitatea in SIC – uri este tratata Traditional, disponibilitatea in SIC – uri este tratata ca o problema de fiabilitate si calitate a serviciilor ca o problema de fiabilitate si calitate a serviciilor (QoS) – caracteristic acestei abordari este cauza (QoS) – caracteristic acestei abordari este cauza aleatorie, necorelarea acesteia cu activitatea aleatorie, necorelarea acesteia cu activitatea sistemului, cu alte “inputuri” sau continuari ale sistemului, cu alte “inputuri” sau continuari ale “cauzei”;“cauzei”;

In contextul actual, datorita accentuarii factorului In contextul actual, datorita accentuarii factorului intentional, este mai util sa fie tratata ca o problema intentional, este mai util sa fie tratata ca o problema de securitate si inclusa in analiza de riscuri – factorul de securitate si inclusa in analiza de riscuri – factorul intentional implica o inteligenta care are cunostiinte intentional implica o inteligenta care are cunostiinte si capacitati de inteventie pe care le foloseste in si capacitati de inteventie pe care le foloseste in scopul atingerii obiectivelor sale;scopul atingerii obiectivelor sale;

Mijloace de protectie – asigurarea redundantei; Mijloace de protectie – asigurarea redundantei;

Page 21: Managementul securitatii informatiilor

Confidentialitatea - 1Confidentialitatea - 1 Confidentialitatea este acea functie de Confidentialitatea este acea functie de

securitate prin care se blocheaza accesul securitate prin care se blocheaza accesul utilizatorilor nelegitimi la anumite informatii;utilizatorilor nelegitimi la anumite informatii;

Confidentialitatea este definita ca o interdictie Confidentialitatea este definita ca o interdictie si in general este o exceptie de la utilizarea si in general este o exceptie de la utilizarea normala a informatiei;normala a informatiei;

Confidentialitatea este o consecinta a existentei Confidentialitatea este o consecinta a existentei unor interese contrare in societate si in unor interese contrare in societate si in consecinta folosirea informatiilor despre aceste consecinta folosirea informatiilor despre aceste interese pot aduce prejudicii uneia din parti;interese pot aduce prejudicii uneia din parti;

Acceptarea dreptului partilor de a-si proteja Acceptarea dreptului partilor de a-si proteja interesele implica acceptarea confidentialitatii interesele implica acceptarea confidentialitatii (apararea secretului);(apararea secretului);

Page 22: Managementul securitatii informatiilor

Confidentialitatea - 2Confidentialitatea - 2 Interesele statului, interese de grup, interese Interesele statului, interese de grup, interese

particulare – restrangerea dreptului la particulare – restrangerea dreptului la confidentialitate;confidentialitate;

Asigurarea confidentialitatii se poate face prin Asigurarea confidentialitatii se poate face prin controlul accesului la suportul de informatie (masuri controlul accesului la suportul de informatie (masuri de protectie fizica) si/sau controlul accesului la de protectie fizica) si/sau controlul accesului la semnificatia datelor (criptare);semnificatia datelor (criptare);

Exista perceptia (falsa) ca prin protectia informatiilor Exista perceptia (falsa) ca prin protectia informatiilor se intelege numai asigurarea confidentialitatii;se intelege numai asigurarea confidentialitatii;

Tehnicile de asigurare a confidentialitatii au aparut Tehnicile de asigurare a confidentialitatii au aparut primele ca necesitati si s-au dezvoltat in mediul primele ca necesitati si s-au dezvoltat in mediul militar si diplomatic- au inceput sa treaca in mediul militar si diplomatic- au inceput sa treaca in mediul civil pe la mijlocul anilor 80 ca urmare a utilizatii pe civil pe la mijlocul anilor 80 ca urmare a utilizatii pe scara larga a informatiilor in format electronic in scara larga a informatiilor in format electronic in economie;economie;

Page 23: Managementul securitatii informatiilor

Confidentialitatea - 3Confidentialitatea - 3 Asigurarea confidentialitatii implica costuri Asigurarea confidentialitatii implica costuri

semnificative pentru utilizarea informatiilor in semnificative pentru utilizarea informatiilor in conditii de siguranta (sa ajunga numai la un conditii de siguranta (sa ajunga numai la un grup bine definit de persoane);grup bine definit de persoane);

Confidentialitatea implica o ierarhizare a Confidentialitatea implica o ierarhizare a nivelurilor de clasificare a informatiilor; nivelurilor de clasificare a informatiilor;

Implica o ierarhie a drepturilor de acces – Implica o ierarhie a drepturilor de acces – niveluri diferite de incredere (verificare) in niveluri diferite de incredere (verificare) in personalul care utilizeaza informatiile;personalul care utilizeaza informatiile;

Principiul “need to know” – dreptul de a accesa Principiul “need to know” – dreptul de a accesa o informatie clasificata il au toate presoanele o informatie clasificata il au toate presoanele care au nevoie de ea in exercitarea atributiilor care au nevoie de ea in exercitarea atributiilor de serviciu si dispun de nivelul corespunzator de serviciu si dispun de nivelul corespunzator de verificare. (nu este legata de functie sau de de verificare. (nu este legata de functie sau de dreptul de acces la informatii clasificate). dreptul de acces la informatii clasificate).

Page 24: Managementul securitatii informatiilor

Confidentialitatea - 4Confidentialitatea - 4 Privire generala asupra cadrului de reglementare al Privire generala asupra cadrului de reglementare al

confidentialitatii;confidentialitatii;– Informatiile secrete de stat (clasificate);Informatiile secrete de stat (clasificate);– Informatiile firmelor (clasificate – secrete de serviciu);Informatiile firmelor (clasificate – secrete de serviciu);– Informatiile firmelor in care este interesat statul (de interes Informatiile firmelor in care este interesat statul (de interes

strategic);strategic);– Clase de informatii neprotejate;Clase de informatii neprotejate;

Reglementarile privind protectia informatiilor UE;Reglementarile privind protectia informatiilor UE; Informatii clasificate NATO – interferente cu informatiile Informatii clasificate NATO – interferente cu informatiile

clasificate nationale;clasificate nationale; Intelegeri bilaterale cu state partenere – intelegeri Intelegeri bilaterale cu state partenere – intelegeri

“locale”;“locale”; Asigurarea confidentialitatii se face in principiu prin Asigurarea confidentialitatii se face in principiu prin

controlul accesului la echipamente, informatii, suporti controlul accesului la echipamente, informatii, suporti de memorie si prin criptare.de memorie si prin criptare.

Page 25: Managementul securitatii informatiilor

Confidentialitatea - 5Confidentialitatea - 5

Cadrul legslativ care protejeaza confidentialitatea;Cadrul legslativ care protejeaza confidentialitatea;– Legea 182/2002- privind protectia informatiilor Legea 182/2002- privind protectia informatiilor

clasificate;clasificate;– H.G. 585/2002 – privind standardele nationale H.G. 585/2002 – privind standardele nationale

de protectie a informatiilor clasificate;de protectie a informatiilor clasificate;– H.G. 781/2002 – privind protectia informatiilor H.G. 781/2002 – privind protectia informatiilor

secrete de serviciu;secrete de serviciu;– H.G. 353/2002 – privind aprobarea normelor H.G. 353/2002 – privind aprobarea normelor

privind protectia informatiilor NATO in Romania;privind protectia informatiilor NATO in Romania;– Legea 676/2002 – privind protectia datelor cu Legea 676/2002 – privind protectia datelor cu

caracter personal in retelele de comunicatii;caracter personal in retelele de comunicatii;– Legea 677/2002 – privind protectia datelor cu Legea 677/2002 – privind protectia datelor cu

caracter personal ;caracter personal ;

Page 26: Managementul securitatii informatiilor

Integritatea - 1Integritatea - 1 Integritatea este acea functie de securitate a sistemului de a Integritatea este acea functie de securitate a sistemului de a

proteja informatia de modificarile neautorizate sau proteja informatia de modificarile neautorizate sau accidentale;accidentale;

Prin modificare se intelege: stergere, adaugare sau inlocuire Prin modificare se intelege: stergere, adaugare sau inlocuire a unei parti sau a intregii informatii;a unei parti sau a intregii informatii;

Integritatea a aparut ca o problema de securitate in Integritatea a aparut ca o problema de securitate in activitatile comerciale si este legata de functionarea bazelor activitatile comerciale si este legata de functionarea bazelor de date;de date;

Asigurarea integritatii informatiilor stocate are importanta Asigurarea integritatii informatiilor stocate are importanta majora in organizarea bazelor de date deoarece in absenta majora in organizarea bazelor de date deoarece in absenta mecanismelor de asigurare a integritatii, baza de date mecanismelor de asigurare a integritatii, baza de date acumuleaza erori si chiar daca acestea afecteaza o mica acumuleaza erori si chiar daca acestea afecteaza o mica parte din informatii se pierde increderea in intreaga baza de parte din informatii se pierde increderea in intreaga baza de date si trebuie refacuta in intregime.date si trebuie refacuta in intregime.

Asigurarea integritatii informatiilor se face prin:Asigurarea integritatii informatiilor se face prin:– Adaugarea la aceasta a unui “rezumat” al informatiei facut cu o Adaugarea la aceasta a unui “rezumat” al informatiei facut cu o

functie tip “paritate, CRC sau hash” – coduri detectoare de erori;functie tip “paritate, CRC sau hash” – coduri detectoare de erori;– Folosirea semnaturii digitale;Folosirea semnaturii digitale;– Constituirea unor mecanisme de securitate Constituirea unor mecanisme de securitate a tranzactiilor a tranzactiilor pornind de pornind de

la ipoteza implicita ca informatiile sunt veridice (consistente); la ipoteza implicita ca informatiile sunt veridice (consistente);

Page 27: Managementul securitatii informatiilor

Integritatea - 2Integritatea - 2

Producerea unor prejudicii prin manipularea Producerea unor prejudicii prin manipularea frauduloasa a informatiilor si/sau a sistemului frauduloasa a informatiilor si/sau a sistemului prin afectarea integritatii informatiilor in SIC-uri prin afectarea integritatii informatiilor in SIC-uri este reglemetata direct prin lege – C.P./2006 - este reglemetata direct prin lege – C.P./2006 - Titlul X - Alterarea datelor.Titlul X - Alterarea datelor.

In general, fara mijloace specifice, este dificil de In general, fara mijloace specifice, este dificil de departajat o modificare neintentionata sau departajat o modificare neintentionata sau accidentala de una intentionata si cu atat mai accidentala de una intentionata si cu atat mai mult de identificat autorul si probat fapta. Un mult de identificat autorul si probat fapta. Un avocat bun va gasi intodeuna o cale care sa avocat bun va gasi intodeuna o cale care sa disculpe un inculpat.disculpe un inculpat.

Este sarcina sistemului de securitate sa creeze Este sarcina sistemului de securitate sa creeze “urme” cu valoare de probe pentru a se “urme” cu valoare de probe pentru a se instrumenta asfel de cazuri; instrumenta asfel de cazuri;

Page 28: Managementul securitatii informatiilor

Autenticitatea - 1 Autenticitatea - 1 Autenticitatea este acea functie de securitate a Autenticitatea este acea functie de securitate a

sistemului de a permite asocierea informatiei cu sistemului de a permite asocierea informatiei cu autorul ei.autorul ei.

Prin autorul unei informatii se intelege Prin autorul unei informatii se intelege generatorul ei sau cel care a introdus-o in sistem. generatorul ei sau cel care a introdus-o in sistem. Autorul poate fi persoana sau echipament.Autorul poate fi persoana sau echipament.

““Informatia” de autenticitate are rolul de a da Informatia” de autenticitate are rolul de a da credibilitate in corectitudinea informatiei prin credibilitate in corectitudinea informatiei prin responsabilzarea creatorului si posibilitatea responsabilzarea creatorului si posibilitatea utilizatorilor de a verifica autenticitatea la sursa utilizatorilor de a verifica autenticitatea la sursa pe alta cale.pe alta cale.

Autentificarea informatiei este necesara pentru a Autentificarea informatiei este necesara pentru a crea posibilitatea de a recupera eventualele crea posibilitatea de a recupera eventualele prejudicii ce ar putea rezulta prin folosirea prejudicii ce ar putea rezulta prin folosirea informatiei obtinuta din sistem cu buna credinta;informatiei obtinuta din sistem cu buna credinta;

Page 29: Managementul securitatii informatiilor

Autenticitatea - 2Autenticitatea - 2

Autentificarea prin semnatura electronica are Autentificarea prin semnatura electronica are regim juridic echivalent cu semnatura olografa;regim juridic echivalent cu semnatura olografa;

Documentul autentificat cu semnatura Documentul autentificat cu semnatura electronica certificata are acelasi regim juridic electronica certificata are acelasi regim juridic cu documentul autentificat sub semnatura cu documentul autentificat sub semnatura privata;privata;

Anonimitatea:Anonimitatea:– Efectul anonimitatii asupra comportamentului uman;Efectul anonimitatii asupra comportamentului uman;– Cadrul de reglementare – Statele Unite;Cadrul de reglementare – Statele Unite;– Anonimitatea in INTERNET;Anonimitatea in INTERNET;

Page 30: Managementul securitatii informatiilor

Autenticitatea - 3Autenticitatea - 3

Autentificarea informatiei se poate face prin:Autentificarea informatiei se poate face prin:– Controlul accesului la sistem si activarea unui sistem adecvat de Controlul accesului la sistem si activarea unui sistem adecvat de

fisiere de log – rolul timpului;fisiere de log – rolul timpului;– Folosirea semnaturilor electronice pentru generarea si transmisia Folosirea semnaturilor electronice pentru generarea si transmisia

informatiilor;informatiilor; Cadrul legal de utilizare a semnaturii electronice este Cadrul legal de utilizare a semnaturii electronice este

stabilit de:stabilit de:– Legea 455/2001 – privind regimul juridic al semnaturii electronice;Legea 455/2001 – privind regimul juridic al semnaturii electronice;– Hotararea 1259/2001 – norme tehnice si metodologice de aplicare Hotararea 1259/2001 – norme tehnice si metodologice de aplicare

a legii 455/2001;a legii 455/2001; Stampila de timp – indicatie a momentului de timp Stampila de timp – indicatie a momentului de timp

asociata documentului electronic autentificat cu asociata documentului electronic autentificat cu semnatura certificata care se aplica in momentul semnatura certificata care se aplica in momentul semnarii documentului.semnarii documentului.

Stampila de timp este necesara pentru a stabili Stampila de timp este necesara pentru a stabili cronologia unor documente si are valoare juridica;cronologia unor documente si are valoare juridica;

Page 31: Managementul securitatii informatiilor

Nerepudierea - 1Nerepudierea - 1

Nerepudierea este functia de securitate a sistemului de a Nerepudierea este functia de securitate a sistemului de a asocia unei informatii dovada ca o informatie a fost asocia unei informatii dovada ca o informatie a fost trimisa de catre expeditor catre destinatarul legal iar trimisa de catre expeditor catre destinatarul legal iar acesta a primit-o, fara ca acestia sa poata contesta acest acesta a primit-o, fara ca acestia sa poata contesta acest fapt;fapt;

Proprietatea de nerepudiere confera informatiei acelasi Proprietatea de nerepudiere confera informatiei acelasi regim ca o scrisoare recomandata;regim ca o scrisoare recomandata;

Nu sunt cunoscute reglementari cu referire directa la Nu sunt cunoscute reglementari cu referire directa la informatiile in format electronic din SIC-uri;informatiile in format electronic din SIC-uri;

Producerea dovezilor de nerepudiere este sarcina Producerea dovezilor de nerepudiere este sarcina sistemului de securitate care trebuie sa instituie si sa sistemului de securitate care trebuie sa instituie si sa conserve “urme” ale activitatii din sistem suficient de conserve “urme” ale activitatii din sistem suficient de veridice pentru a fi acceptate de autoritati;veridice pentru a fi acceptate de autoritati;

Prin autoritati se intelege justitia sau administratia Prin autoritati se intelege justitia sau administratia organizatiei – in functie de natura prejudiciului si organizatiei – in functie de natura prejudiciului si consistenta probelor; consistenta probelor;

Page 32: Managementul securitatii informatiilor

Introducere in Securitatea InformatieiIntroducere in Securitatea Informatiei

Informatia si informatia in format electronicInformatia si informatia in format electronic2. Protectia informatiei2. Protectia informatiei

Protectia informatiilor (notiunea de sistem):Protectia informatiilor (notiunea de sistem):– Sistem complex, de granita, la intersectia mai multor Sistem complex, de granita, la intersectia mai multor

discipline: (calculatoare, electronica, mecanica, TV, discipline: (calculatoare, electronica, mecanica, TV, optica, matemantica, fizica, sociologie, psihologie, optica, matemantica, fizica, sociologie, psihologie, drept )drept )

– Sistemul de protectie – obiective: descurajare, detectare, Sistemul de protectie – obiective: descurajare, detectare, interventie, limitare a pierderilor, recuperare;interventie, limitare a pierderilor, recuperare;

– Protectia oferita prin lege – definire infractiune, Protectia oferita prin lege – definire infractiune, documentare, probare, judecata - efectul retroactiv, nu documentare, probare, judecata - efectul retroactiv, nu acopera cauzele naturale (intamplarea)acopera cauzele naturale (intamplarea)

– Protectia informatiilor – subsistem al protectiei bunurilor;Protectia informatiilor – subsistem al protectiei bunurilor;– Protectia suportului informatiei – protectie fizica;Protectia suportului informatiei – protectie fizica;– Protectia mediului informatiei (retele, echipamente) – Protectia mediului informatiei (retele, echipamente) –

protectie fizica si procedurala;protectie fizica si procedurala;– Protectia criptografica – protectie informationalaProtectia criptografica – protectie informationala

Page 33: Managementul securitatii informatiilor

Protectia informatiilor pe durata Protectia informatiilor pe durata ciclului de viata al acestoraciclului de viata al acestora

Generarea informatiilor:Generarea informatiilor:– Informatii din surse umane – gradul de subiectivism, nivel de Informatii din surse umane – gradul de subiectivism, nivel de

incredere;incredere;– Informatii de la senzori – obiectivitatea datelor – subiectivismul Informatii de la senzori – obiectivitatea datelor – subiectivismul

interpretarii;interpretarii;– Clasificarea informatiilor (drepturile de acces) cnf. Legii Clasificarea informatiilor (drepturile de acces) cnf. Legii

182/2002 si HG 585/2002182/2002 si HG 585/2002– Asocierea informatiilor despre autor, timp, conditii de generare, Asocierea informatiilor despre autor, timp, conditii de generare,

la informatia de baza;la informatia de baza; Prelucrarea informatilor si functiile de securitate Prelucrarea informatilor si functiile de securitate

(confidentialitatea, integritatea, autenticitatea, (confidentialitatea, integritatea, autenticitatea, nerepudierea):nerepudierea):– Dezasamblarea (implica reclasificare prin declasificare);Dezasamblarea (implica reclasificare prin declasificare);– Asamblarea (poate creste nivelul de clasificare);Asamblarea (poate creste nivelul de clasificare);– Analize (implica reclasificare);Analize (implica reclasificare);– Sinteze (implica reclasificare – sinteze din informatii publice pot Sinteze (implica reclasificare – sinteze din informatii publice pot

fi strict secrete);fi strict secrete);

Page 34: Managementul securitatii informatiilor

Protectia informatiilor pe durata Protectia informatiilor pe durata ciclului de viata al acestoraciclului de viata al acestora

Stocarea informatiilor:Stocarea informatiilor:– Copii de siguranta;Copii de siguranta;– Rezerva calda, retele RAID;Rezerva calda, retele RAID;– ClusteringClustering– Arhive;Arhive;

Medii de stocare (durata de stocare, densitate, Medii de stocare (durata de stocare, densitate, conditii de stocare etc. ):conditii de stocare etc. ):– Hartie;Hartie;– Hartie termica;Hartie termica;– Suport magnetic;Suport magnetic;

CD;CD; Stick;Stick; Harddisk-uri;Harddisk-uri;

Page 35: Managementul securitatii informatiilor

Protectia informatiilor pe durata Protectia informatiilor pe durata ciclului de viata al acestoraciclului de viata al acestora

Suport optic:Suport optic:– CD-uri – timp de viata limitat la aproximativ 10 CD-uri – timp de viata limitat la aproximativ 10

ani;ani;– DVD-uri – proiectat pentru fluxuri mari de date;DVD-uri – proiectat pentru fluxuri mari de date;

Memorii semiconductoare:Memorii semiconductoare:– RAM, (statice, dinamice);RAM, (statice, dinamice);– ROM (Read Only Memory), EPROM;ROM (Read Only Memory), EPROM;– EEROM – memorii flash -sticuri;EEROM – memorii flash -sticuri;

Seifuri pentru suporti de memorie; Seifuri pentru suporti de memorie; – Rezistenta la incendiu;Rezistenta la incendiu;– Amplasare;Amplasare;

Page 36: Managementul securitatii informatiilor

Protectia informatiilor pe durata Protectia informatiilor pe durata ciclului de viata al acestoraciclului de viata al acestora

Declasificarea informatiilorDeclasificarea informatiilor– Perisabilitatea informatiilor secrete – in timp toate devin Perisabilitatea informatiilor secrete – in timp toate devin

publice;publice; Informatii strategice – protectie pe termen lung (ani, zeci de ani);Informatii strategice – protectie pe termen lung (ani, zeci de ani); Informatii tactice – protectie pe termen mediu (zile, luni);Informatii tactice – protectie pe termen mediu (zile, luni); Informatii operationale – protectie pe termen scurt (ore, zile);Informatii operationale – protectie pe termen scurt (ore, zile);

Transmisia informatiilor (mediul cel mai periculos):Transmisia informatiilor (mediul cel mai periculos):– Medii private – definit juridic, - aflat sub responsabilitatea si Medii private – definit juridic, - aflat sub responsabilitatea si

controlul unei entitati private – accesul restrictionat de controlul unei entitati private – accesul restrictionat de lege;lege;

– Medii publice - definit juridic, - aflat sub responsabilitatea si Medii publice - definit juridic, - aflat sub responsabilitatea si controlul public;controlul public;

- Transmisii “on line” – transmisie pe masura ce se Transmisii “on line” – transmisie pe masura ce se genereaza;genereaza;

- Transmisii “off line” – transmisie dupa generare si o Transmisii “off line” – transmisie dupa generare si o prelucrare (criptare)prelucrare (criptare)

Page 37: Managementul securitatii informatiilor

Protectia informatiilor pe Protectia informatiilor pe durata ciclului de viata al durata ciclului de viata al

acestoraacestora Retele de comunicatii (vulnerabilitati specifice privind Retele de comunicatii (vulnerabilitati specifice privind disponibilitatea, confidentialitatea, integritatea, nerepudierea disponibilitatea, confidentialitatea, integritatea, nerepudierea informatiilor):informatiilor):– Radio;Radio;– Radiorelee;Radiorelee;– Sateliti;Sateliti;– Cabluri telecomunicatii, cabluri electrice, conducte apa, gaze Cabluri telecomunicatii, cabluri electrice, conducte apa, gaze

etc.);etc.);– Fibra optica;Fibra optica;– Retele WirelessRetele Wireless– INTERNET;INTERNET;

Receptia si utilizarea informatiei;Receptia si utilizarea informatiei;– Informatie destinata utilizarii umane – supusa interpretarii;Informatie destinata utilizarii umane – supusa interpretarii;– Comenzi pentru echipamente – executabila imediat;Comenzi pentru echipamente – executabila imediat;

Cadrul de reglementare privind protectia informatiilor in Cadrul de reglementare privind protectia informatiilor in prelucrare si transport; prelucrare si transport; – Legea 676/2002 si legea 677/2002 privind prelucrarea datelor cu Legea 676/2002 si legea 677/2002 privind prelucrarea datelor cu

caracter personal in retelele de comunicatii si de calculatoare;caracter personal in retelele de comunicatii si de calculatoare;– Codul Penal – interceptare neautorizata, interceptare in baza Codul Penal – interceptare neautorizata, interceptare in baza

legii;legii;– Normele interne de protectie;Normele interne de protectie;

Page 38: Managementul securitatii informatiilor

Costurile de protectieCosturile de protectie

Costurile care trebuie platite pentru Costurile care trebuie platite pentru securitate sunt relativ mari si uneori securitate sunt relativ mari si uneori depasesc costurile sistemului functional;depasesc costurile sistemului functional;– Necesitatea analizei cost – beneficii de Necesitatea analizei cost – beneficii de

securitate;securitate; Principalele tipuri de costuri pt. securitate:Principalele tipuri de costuri pt. securitate:

– Creste complexitatea sistemului;Creste complexitatea sistemului;– Scade functionalitatea;Scade functionalitatea;– Cresc cheltuielile (investitiile, intretinerea)Cresc cheltuielile (investitiile, intretinerea)– Resurse umane suplimentare + sarcini Resurse umane suplimentare + sarcini

suplimentare pt. personalul existent;suplimentare pt. personalul existent;

Page 39: Managementul securitatii informatiilor

Tipuri de informatiiTipuri de informatiiClasificarea informatiilorClasificarea informatiilor

Informatii clasificate - conf. Lege 182/2002 si Informatii clasificate - conf. Lege 182/2002 si H.G. 585/2002;H.G. 585/2002;– Informatii secrete de serviciu;Informatii secrete de serviciu;

Informatii privind intimitatea persoanelor;Informatii privind intimitatea persoanelor; Proprietatea intelectuala – brevete, licente Proprietatea intelectuala – brevete, licente

etc.;etc.; Informatii publice; Informatii publice; Tipuri de informatii nereglementate:Tipuri de informatii nereglementate:

– Informatiile proprietare (unei entitati, institutii);Informatiile proprietare (unei entitati, institutii);– Informatii neclasificate – sensibile pentru Informatii neclasificate – sensibile pentru

organizatie;organizatie;

Page 40: Managementul securitatii informatiilor

Tipuri de informatiiTipuri de informatiiInformatii clasificateInformatii clasificate

Sensurile notiunii de informatii clasificate:Sensurile notiunii de informatii clasificate:– Sensul general – informatii care pot fi incadrate in Sensul general – informatii care pot fi incadrate in

niste clase de informatii definite de o autoritate (ex.: niste clase de informatii definite de o autoritate (ex.: informatii neclasificate, informatii publice, brevete informatii neclasificate, informatii publice, brevete etc.)etc.)

– In sensul asigurarii confidentialitatii conf. legislatiei in In sensul asigurarii confidentialitatii conf. legislatiei in vigoare (legea 183/2002 si HG 585/2002: SSID, SS, S, vigoare (legea 183/2002 si HG 585/2002: SSID, SS, S, SdS)SdS)

– Insensul asiguratii integritatii (informatii certificate, Insensul asiguratii integritatii (informatii certificate, informatii necertificate)informatii necertificate)

Ex. – Clasa informatiilor secrete de serviciu – clasificarea Ex. – Clasa informatiilor secrete de serviciu – clasificarea locala;locala;

Criterii de clasificare:Criterii de clasificare:– Dupa afectarea confidentialitatii – (in sensul legii)Dupa afectarea confidentialitatii – (in sensul legii)

Stict secret de importanta deosebita;Stict secret de importanta deosebita; Strict secret;Strict secret; Secret;Secret; Secret de serviciu;Secret de serviciu;

Page 41: Managementul securitatii informatiilor

Clasificarea informatiilorClasificarea informatiilor(sens general)(sens general)

– Dupa tipul de functie de securitate si nivelul de Dupa tipul de functie de securitate si nivelul de prejudiciu;prejudiciu;

Disponibilitate, integritate, autenticitate, nerepudiere;Disponibilitate, integritate, autenticitate, nerepudiere; Confidentialitate;Confidentialitate; Utila in analiza de riscuriUtila in analiza de riscuri

– Dupa nivelul prejudiciului produs prin afectarea Dupa nivelul prejudiciului produs prin afectarea functiilor de securitate;functiilor de securitate;

Estimarea prejudiciului determina nivelul de clasificare al Estimarea prejudiciului determina nivelul de clasificare al informatiei si deci nivelul necesar de protectie (costurile de informatiei si deci nivelul necesar de protectie (costurile de protectie);protectie);

Nivelul prejudiciului se apreciaza prin prejudiciul maxim ce se Nivelul prejudiciului se apreciaza prin prejudiciul maxim ce se poate produce afectand in orice fel functiile de securitate;poate produce afectand in orice fel functiile de securitate;

Aceasta abordare are avantajul utilizarii unei singure scari de Aceasta abordare are avantajul utilizarii unei singure scari de valori pentru fiecare informatie si a determina nivelul de valori pentru fiecare informatie si a determina nivelul de securitate ce se impune;securitate ce se impune;

Abordarea este utila in sistemele integrate baze de date si Abordarea este utila in sistemele integrate baze de date si servicii de comunicatii;servicii de comunicatii;

Page 42: Managementul securitatii informatiilor

Informatii clasificateInformatii clasificateInformatii clasificate NATO si Informatii clasificate NATO si

UEUE Definire – informatiile care prin diseminare pot Definire – informatiile care prin diseminare pot

produce prejudicii semnificative organizatiei;produce prejudicii semnificative organizatiei; Clasele de secret:Clasele de secret:

Top SecretTop Secret Secret;Secret; Confidential;Confidential; Resticted;Resticted;

Informatii neclasificate;Informatii neclasificate; Unclasified – reguli de diseminare relaxate, nu Unclasified – reguli de diseminare relaxate, nu

pot fi facute publice ;pot fi facute publice ; Public – informatii care pot iesi in afara NATO;Public – informatii care pot iesi in afara NATO;

Etichetare (clasificare, domeniu, need to know):Etichetare (clasificare, domeniu, need to know): Relatia de ordine (sisteme multinivel)Relatia de ordine (sisteme multinivel)

Page 43: Managementul securitatii informatiilor

Informatii clasificateInformatii clasificate Echivalarea nivelelor de clasificare NATO si UE cu cele Echivalarea nivelelor de clasificare NATO si UE cu cele

nationale;nationale;Top Secret -------- SSID;Top Secret -------- SSID;Secret Secret -------- Strict Secret; -------- Strict Secret;Confidential -------- Secret;Confidential -------- Secret;Restricted -------- Secret de Serviciu;Restricted -------- Secret de Serviciu;

Raportul dintre informatiile clasificate national si cele Raportul dintre informatiile clasificate national si cele NATO /UENATO /UE– Exista o delimitare clara intre informatiile clasificate national, Exista o delimitare clara intre informatiile clasificate national,

cele NATO si UE. Echivalenta nivelelor de clasificare nu implica cele NATO si UE. Echivalenta nivelelor de clasificare nu implica posibilitatea trecerii unei informatii dintr-o parte in alta.posibilitatea trecerii unei informatii dintr-o parte in alta.

– Informatiile elaborate de structurile nationale despre NATO si UE Informatiile elaborate de structurile nationale despre NATO si UE sunt considerate informatii nationale;sunt considerate informatii nationale;

– Folosirea informatiilor clasificate NATO in realizarea unor Folosirea informatiilor clasificate NATO in realizarea unor documente nationale trebuie facuta cu atentie, clasificata documente nationale trebuie facuta cu atentie, clasificata corespunzator si pot fi utilizate numai cu avizul ORNISS (Ex: corespunzator si pot fi utilizate numai cu avizul ORNISS (Ex: directivele de securitate).directivele de securitate).

– Echivalarea clasificarilor are rol numai pentru a stabili un nivel de Echivalarea clasificarilor are rol numai pentru a stabili un nivel de securitate asemanator prin sistemul de securitatesecuritate asemanator prin sistemul de securitate

Page 44: Managementul securitatii informatiilor

Autoritati responsabileAutoritati responsabile

Oficiul Registrului National pentru Oficiul Registrului National pentru Informatii Secrete de Stat (ORNISS);Informatii Secrete de Stat (ORNISS);

Serviciul Roman de Informatii; Serviciul Roman de Informatii; Ministerul ComunicaMinisterul Comunicaţţiilor iilor ssi i

Tehnologiilor Informatice -; Tehnologiilor Informatice -; AutoritAutorităţăţi departamentale – ADS – uri i departamentale – ADS – uri

(MApN, MAI, STS, SRI, SIE, SPP) cu (MApN, MAI, STS, SRI, SIE, SPP) cu aribuaribuţţii ii îîn domeniul apn domeniul apăărrăării rii şşi ordinii i ordinii publice.publice.

Page 45: Managementul securitatii informatiilor

Atributiile ORNISSAtributiile ORNISS

Punct Punct nanattionalional de contact al NOS; de contact al NOS; Responsabil pentru implementarea politicii NATO Responsabil pentru implementarea politicii NATO

in Romania privind securitatea informatiilor;in Romania privind securitatea informatiilor; Elaboreaza politica NATO de protectie a Elaboreaza politica NATO de protectie a

informatiilor in Romania;informatiilor in Romania; Realizeaz politica nationala pentru sistemele de Realizeaz politica nationala pentru sistemele de

protectie a informatiilor in forma electronica;protectie a informatiilor in forma electronica; Coordonarea politicilor de protectie a informatiilor Coordonarea politicilor de protectie a informatiilor

in forma electonica la nivel national;in forma electonica la nivel national; Elibereaza avizele de securitate pentru lucrul cu Elibereaza avizele de securitate pentru lucrul cu

informatii clasificate pentru persoane si firme;informatii clasificate pentru persoane si firme;

Page 46: Managementul securitatii informatiilor

Lucrul firmelor private cu Lucrul firmelor private cu informatii clasificateinformatii clasificate

Evaluarea sistemului de protectie fizica;Evaluarea sistemului de protectie fizica; Evaluarea sistemului de management al Evaluarea sistemului de management al

documentelor clasificate;documentelor clasificate; Evaluarea si avizul de securitate pentru Evaluarea si avizul de securitate pentru

persoane fizice;persoane fizice; Evaluarea si acreditarea sistemului de Evaluarea si acreditarea sistemului de

securitate al informatiilor in format electronic securitate al informatiilor in format electronic – INFOSEC;– INFOSEC;

Avizul de securitate industriala.Avizul de securitate industriala.

Page 47: Managementul securitatii informatiilor

Departamentul INFOSECDepartamentul INFOSEC Autoritatea de Acreditari de Securitate Autoritatea de Acreditari de Securitate

(A.A.S.);(A.A.S.);– Are ca sarcina auditul si acreditarea SIC-urilor NATO Are ca sarcina auditul si acreditarea SIC-urilor NATO

din Romania si a SIC-urilor care lucreaza cu informatii din Romania si a SIC-urilor care lucreaza cu informatii clasificate;clasificate;

Autoritatea de Securitate pentru Autoritatea de Securitate pentru Informatica si Comunicatii (A.S.I.C.);Informatica si Comunicatii (A.S.I.C.);– Autoritate de reglementare a securitatii in sistemele Autoritate de reglementare a securitatii in sistemele

informatice si de comunicatii la nivel national;informatice si de comunicatii la nivel national; Autoritatea pentru Distributia Materialului Autoritatea pentru Distributia Materialului

Criptografic (A.D.M.C.);Criptografic (A.D.M.C.);– Autoritatea care se ocupa cu managementul cheilor de Autoritatea care se ocupa cu managementul cheilor de

criptare in retelele NATO din Romania si cu distributia criptare in retelele NATO din Romania si cu distributia echipamentelor de criptare;echipamentelor de criptare;

Page 48: Managementul securitatii informatiilor

Fluxurile de informatii intr-o Fluxurile de informatii intr-o firma/institutiefirma/institutie

Necesitatea evidentierii fluxurilor de informatii;Necesitatea evidentierii fluxurilor de informatii; Organizarea fluxurilor de informatii componenta Organizarea fluxurilor de informatii componenta

principala a managementului institutiei;principala a managementului institutiei; Din punct de vedere al securitatii informatiei Din punct de vedere al securitatii informatiei

organizarea fluxurilor trebuie sa sprijine obtinerea: organizarea fluxurilor trebuie sa sprijine obtinerea: disponibilitatii, confidentialitatii, integritatii autenticitatii disponibilitatii, confidentialitatii, integritatii autenticitatii si nerepudierii informatiilor;si nerepudierii informatiilor;

Practica fluxurilor de informatii:Practica fluxurilor de informatii:– Documente pe hartie (scrisori, faxuri);Documente pe hartie (scrisori, faxuri);– Comunicatii de date (accese la baze de date interne si externe, Comunicatii de date (accese la baze de date interne si externe,

e-mail);e-mail);– Comunicatii telefonice;Comunicatii telefonice;

Factorii de influenta ai fluxurilor de informatii:Factorii de influenta ai fluxurilor de informatii:– Structura institutiei (organigrama);Structura institutiei (organigrama);– Nivelele si centrele de decizie;Nivelele si centrele de decizie;– Nivele si centrele de executie;Nivele si centrele de executie;– Cultura institutiei;Cultura institutiei;

Page 49: Managementul securitatii informatiilor

Fluxurile de informatii intr-o Fluxurile de informatii intr-o firma/institutiefirma/institutie

Punctele de intrare;Punctele de intrare; Punctele de iesire;Punctele de iesire; Etichetarea informatiilor – formatul Etichetarea informatiilor – formatul

documentelor;documentelor; Traseabilitatea informatiilor inregistrarea Traseabilitatea informatiilor inregistrarea

documentelor;documentelor; Instrumente de management al informatiilor;Instrumente de management al informatiilor;

– Registre de predare primire;Registre de predare primire;– Programe pentru managementul informatiilor;Programe pentru managementul informatiilor;

Fisierele de audit (log).Fisierele de audit (log).

Page 50: Managementul securitatii informatiilor

Infrastructurile criticeInfrastructurile critice

Interdependentele activitatile sociale – Interdependentele activitatile sociale – caracteristici al activitatilor moderne;caracteristici al activitatilor moderne;

Activitati vitale pentru viata si sanatatea Activitati vitale pentru viata si sanatatea oamenilor;oamenilor;

Efectele de avalansa ale afectarii unor Efectele de avalansa ale afectarii unor activitati;activitati;

Necesitatea reglementarii de catre stat a Necesitatea reglementarii de catre stat a acestor activitati – practica acestor activitati – practica reglementarilor (SUA, UE);reglementarilor (SUA, UE);

Page 51: Managementul securitatii informatiilor

Infrastructuri critice tipiceInfrastructuri critice tipice Retelele de comunicatii, de baze de date si Retelele de comunicatii, de baze de date si

prelucrare;prelucrare; Retelele de producere si distributie a energiei Retelele de producere si distributie a energiei

electrice;electrice; Reteaua de transporturi (aerian, naval, Reteaua de transporturi (aerian, naval,

terestru – drumuri, poduri, parc auto);terestru – drumuri, poduri, parc auto); Retelele financiare;Retelele financiare; Distributia de gaze, combustibil;Distributia de gaze, combustibil; Retelele sanitare;Retelele sanitare; Retelele de interventie in caz de urgenta Retelele de interventie in caz de urgenta

(pompieri, politie, smurd, energie, comunicatii (pompieri, politie, smurd, energie, comunicatii etc.)etc.)

Retelele guvernamentale ( de decizie).Retelele guvernamentale ( de decizie).

Page 52: Managementul securitatii informatiilor

COMITETUL NAŢIONAL PENTRU SITUAŢII DE URGENŢĂ

Ministerul Internelor şi Reformei Administrative

Secretariat Permanent

COMITETE MINISTERIALEPENTRU

SITUAŢII DE URGENŢĂ

COMITETE MINISTERIALEPENTRU

SITUAŢII DE URGENŢĂ

Secretariat Permanent

CentreOperative

CentreOperaţionale

Cu activitatepermanentă

Cu activitatetemporară

Organizaţii internaţionale

(NATO-EADRCC, UN-OCHA,

EU-MIC, CMEPC-SEE etc.)

CENTRULOPERAŢIONALNAŢIONAL

PUNCT NAŢIONAL DE CONTACT

INSPECŢIA DE PREVENIRE

ALTE STRUCTURISERVICII DE URGENŢĂ

PROFESIONISTE

INSPECTORATUL GENERALPENTRU SITUAŢII DE URGENŢĂ

COMITETE JUDEŢENE

PENTRU

SITUAŢII DE URGENŢĂ (42)

COMITETE JUDEŢENE

PENTRU

SITUAŢII DE URGENŢĂ (42)

SecretariatPermanent

COMPONENTELE SISTEMULUI NAŢIONAL DE COMPONENTELE SISTEMULUI NAŢIONAL DE MANAGEMENT AL SITUAŢIILOR DE URGENŢĂMANAGEMENT AL SITUAŢIILOR DE URGENŢĂ

COMITETE LOCALE PENTRU SITUAŢII DE URGENŢĂ

SecretariatPermanent

SERVICII VOLUNTARE PENTRUSITUAŢII DE URGENŢĂ

Page 53: Managementul securitatii informatiilor

RezumatRezumat

Caracteristicile speciale ale IFE:Caracteristicile speciale ale IFE:– Independenta de suport – caracterul nematerial;Independenta de suport – caracterul nematerial;– Inexistenta informatiei fara suport material sau energetic;Inexistenta informatiei fara suport material sau energetic;– Virtualitatea prelucrarilor in sistemele de calcul si comunicatii;Virtualitatea prelucrarilor in sistemele de calcul si comunicatii;

Atributele de securitate ale informatiei;Atributele de securitate ale informatiei; Clasificarea informatiilor;Clasificarea informatiilor; Caracteristicile mediului de evolutie al IFE Caracteristicile mediului de evolutie al IFE

(CYBERSPATIUL):(CYBERSPATIUL):– Evolutia tehnologica – dezvoltare exploziva – creste diversitatea Evolutia tehnologica – dezvoltare exploziva – creste diversitatea

si complexitatea SIC – urilor – tehnologia avansata avantajeaza si complexitatea SIC – urilor – tehnologia avansata avantajeaza atacatorii;atacatorii;

– Socializarea retelelor – magistrala informationala globala – Socializarea retelelor – magistrala informationala globala – scaderea preturilor serviciilor si integrarea lor;scaderea preturilor serviciilor si integrarea lor;

– Caracterul pronuntat transfrontalier – problemele juridice;Caracterul pronuntat transfrontalier – problemele juridice;– Cresterea sferei de cuprindere, a profunzimii si a complexitatii Cresterea sferei de cuprindere, a profunzimii si a complexitatii

intereselor economice datorita fenomenului de globalizare;intereselor economice datorita fenomenului de globalizare;

Page 54: Managementul securitatii informatiilor

Concluzii privind Concluzii privind securitateasecuritatea

Cerinte pentru sistemul de securitate al IFE:Cerinte pentru sistemul de securitate al IFE:– Trebuie sa inregistreze “urme” credibile ale tuturor Trebuie sa inregistreze “urme” credibile ale tuturor

activitatilor relevante pentru documentarea folosirii activitatilor relevante pentru documentarea folosirii abuzive a informatiilor si a sistemelor;abuzive a informatiilor si a sistemelor;

– Trebuie sa autentifice (legalizeze) o serie de “urme” Trebuie sa autentifice (legalizeze) o serie de “urme” care sa devina probe pentru justitie, pentru a putea care sa devina probe pentru justitie, pentru a putea recupera prejudiciile;recupera prejudiciile;

– Sa “completeze” sistemul juridic fara sa se substituie Sa “completeze” sistemul juridic fara sa se substituie acestuia;acestuia;

– Sa se adapteze rapid mediului de lucru (conflictelor Sa se adapteze rapid mediului de lucru (conflictelor de interese) si evolutiei tehnologice;de interese) si evolutiei tehnologice;

– Educatia mediului de lucru si cooperarea cu Educatia mediului de lucru si cooperarea cu autoritatile ;autoritatile ;