Proiectarea,Implementare,Controlul,Revizuirea Politicilor de Securitate in Cadrul Ministerului AP
116
ACADEMIA FORŢELOR TERESTRE “NICOLAE BĂLCESCU” LUCRARE DE LICENŢĂ COORDONATOR ŞTIINŢIFIC: Col. AMĂRICUŢEI Marcel
description
12
Transcript of Proiectarea,Implementare,Controlul,Revizuirea Politicilor de Securitate in Cadrul Ministerului AP
ACADEMIA FORELOR TERESTRE
NICOLAE BLCESCU
LUCRARE DE LICENCOORDONATOR TIINIFIC:
Col.
AMRICUEI Marcel
AUTOR:
Stud. sg.
ALDA Mircea
- SIBIU, 2012 -
ACADEMIA FORELOR TERESTRENICOLAE BLCESCU
LUCRARE DE LICENTEMA: Proiectarea ,implementarea ,controlul i revizuirea politicilor de securitate in cadrul structurilor din Ministerul AprriiCOORDONATOR TIINIFIC:
Col.
AMRICUEI Marcel AUTOR:
Stud. sg.
ALDA Mircea
- SIBIU, 2012 - Cuprins:
5I.Introducere
72.Proiectarea politicilor de securitate
72.1.Generaliti
92.2.Siguranta nationala:C.S.A.T.
132.3.Managmentul riscului(amenintari,vulnerabilitati si riscuri de securitate)
192.4.Planificarea politicilor de securitate
212.5.Analiza informaiilor
232.6.Integrarea produsului analitic n crearea politicilor de securitate
262.7.Identificarea si analizarea riscurilor
272.8.Evaluarea riscurilor
282.9.Selectarea procedurilor
313.IMPLEMENTAREA SI CONTROLUL PDS
313.1.Planul de tratare a riscurilor
323.2.Implementarea planului de tratare a riscurilor
343.3.Procedurile de urmat
394.REVIZUIREA POLITICILOR DE SECURITATE
394.1.Generalitti
415.STUDIU DE CAZ:
41Organizarea si structurarea politicilor de securitate in cadrul unei organizatii
465.1.ablon pentru planul de securitate al informatiilor
485.2.Vedere generala a evaluarii riscului
495.3.Mecanisme de management si organizationale
515.4.Clasificarea standard a incidentelor de securitate
546.CONCLUZII
577.LEGISLATIE SI DOCUMENTE RELEVANTE
577.1.ANEXA 1 Glosar (dicionar) cu termeni utili
697.2.Lista de abrevieri
718.BIBLIOGRAFIE:
718.1.LEGI, ACTE NORMATIVE:
718.2.CARTI DE SPECIALITATE:
738.3.LINK-URI:
I.Introducere
Intrarea lumii n secolul XXI a fost marcat de efectele celui mai dramatic atentat terorist, de temerile generate de virusul mileniului, amplitudinea crizei economice, emergena unor crize energetice n Europa i a unor crize alimentare n lume, ntr-un cuvnt, de multiplicarea ameninrilor asimetrice i atipice la adresa securitii statelor i cetenilor. Dezvoltarea societaii omenesti precum si expansiunea acesteia in timp,spatiu si in complexitate genereaza fara incetare o acuta nevoie de securitate.Contextul global actual al securitatii fie ea informationala,fie militara.fie geopolitica este constituita de o natura fluctuanta intre securitatea pe plan intern si cea pe plan international.Amprenta tot mai puternica a cadrului actual al globalizarii si al existentei aliantelor trans-atalantice face ca securitatea pe plan intern si cea pe plan international sa fie intr-o stransa interdependenta si interconexiune.Un alt factor ce constituie schimbari la nivelul politicilor de securitate este reprezentat de dinamica schimbarilor tehnologice si rapiditatea cu care acestea apar caracteristica conturata si de oamenii de stiinta acestia declarand chiar ca Dezvoltarea tehnologica va tinde spre infinit. Se cere deci n mod automat o nou perspectiv, un unghi n acord cu noile tipuri de amenri i care s fie structurat pentru a veni n ntimpinarea ameninrilor la adresa securitii ct i a siguranei naionale.
Domeniul de securitate militara vine intr-un context actual dominat de o puternica fluctuaie a cadrului international cu un grad foarte mare de incertitudine si interventia unor factori aleatori care nu pot fi evaluate sau prognozati cu precizie.
Un alt factor ce poate ajuta sau distruge un domeniu actual este reprezentat de situatia economica a unui stat sau a celei pe plan international.Ultimii patru ani sunt reprezentativi pentru intelegerea naturii fluctuante a cadrului actual astfel ca in 2008, Bucurestiul aloca pentru aparare 2,6 miliarde de dolari, pentru ca in 2009 suma sa scada la 2,2 miliarde de dolari, in 2010 la 2 miliarde, iar in 2010 la 1,9 miliarde de dolari. Anul trecut, Romania a inregistrat o crestere fata de 2010, ajungand la 2,1 miliarde de dolari, crestere insa sub nivelul din 2008.Pe de alta parte insa SUA au alocat, in 2011, pentru cheltuieli de aparare mult mai mult decat tarile UE, China si Rusia la un loc.
O alta problema ce afecteaza cadrul militar romanesc este reprezentata de cadrul politic subred ce genereaza la randul sau alt fond de incertitudini legate de guvernarea Ministerului Apararii si alocarea bugetului.
Pe acest fond accentuat de incertitudini cadrul militar romanesc actual sufera de pe urma a tot mai multor scandaluri.printre care amintim de afacerea ciorogarla soldata cu destituirea sefului Statului Major al Fortelor Aeriene (SMFA),a sefului Directiei de Contrainformatii din cadrul SMG, a sefului Statului Major al Fortelor Aeriene ,a sefulului Directiei Contrainformatii si Siguranta Militara de la SMFA,precum si ofiterul de contrainformatii de la Brigada,,a sefului de Resurse la SMFA, a sefului Serviciului Politie Militara din Statul Major General, seful sectiei Paza si Securitate in serviciul Politiei Militare din SMG si seful Directiei Contrainformatii si Siguranta Militara din cadrul SMG.O alta problema este reprezentata de scandalurile declansate pentru luare de mita a unor ofiteri precum si a altor probleme de spionaj , a aparitiei raportului armaghedon in 2001 si a diferitelor afaceri dubioase precum afacerea Puma si afacerea Motorola.In acest context cadrul militar romanesc trebuie sa raspunda unui numar tot mai mare de cerinte si noi provocari intr-un context dinamic, instabil supus unor tot mai mari fluctuaii.
2.Proiectarea politicilor de securitate
2.1.Generaliti 2.1.1Politica de securitate si strategia militara
Politica de securitate a unui stat si strategia militara a acesteia reprezinta concepte specifice sistemelor sociale complexe fiind interdependente cu un puternic accent politic.
Nu poate fi avuta in vedere o politica de securitate fara interventia decidentului politic sau macar supervizarea acesteia de catre decidentul politic in cauza.
Interdependeta acestora este clar conturata.Nu putem vorbi de o politica globala fara a avea si o strategie globala.Strategia militara ajuta decidentul politic prind instiintarea acestuia cu privire la datele necesare referitoare la starea sistemului de securitate propriu, datele de ordin cantitativ i calitativ ce indica potenialii adversari, posibilitile acestora de aciune precum i capacitatea de a le combate.In acest caz intervine securitatea militara cu ramurile acesteia, care sunt directia informatiilor militare si directia de securitate militara reunite in 2005 sub o singura cupola si anume directia generala de informatii a apararii.Intr-un comunicat pe site-ul ministerului apararii observam ceea ce am confirmat deja si anume ca :Directia generala de informatii a apararii asigura obtinerea, prelucrarea, verificarea, stocarea si valorificarea informatiilor si datelor referitoare la factorii de risc si amenintarile interne si externe, militare si nonmilitare, care pot afecta securitatea nationala n domeniul militar, coordoneaza aplicarea masurilor contrainformative si cooperarea att cu serviciile/structurile departamentale nationale si de informatii, ct si cu cele ale statelor membre ale aliantelor, coalitiilor si organizatiilor internationale la care Romnia este parte si asigura securitatea informatiilor clasificate nationale, NATO si Uniunea Europeana la nivelul Ministerului Apararii.
In acest context politica de aparare a unei tari trebuie adaptata tipologiei amenintarilor , provocarilor si crizelor specifice mediului de securitate, iar principalul furnizor de date privind tipologiile in cauza o reprezinta directia generala de informatii a armatei.Cadrul implementarii unei politici de securitate vine pe un fond in care definirea riscurilor/ameninrilor/incertitudinilor este n primul rnd o problem de percepie iar in a doua parte o incapacitate de a investiga performant realitatea sociala in cadrul careia aceasta va actiona.Rolul serviciilor de informaii devine din ce n ce mai important n analizarea mediului de securitate, cu implicaii directe n planificarea aprrii.Politica de securitate reprezinta o componenta de baza a politicii generaleavand ca ca domeniu de activitate promovarea modalitilor i asigurarea condiiilor de meninere a securitii sistemului asigurand pastrarea intereselor vitale ale statului pe fondul careia acesta actioneaza avand in fata o evolutie permanenta a relaiilor i interdependenelor proceselor i fenomenelor sociale interne i internaionale.Politica de securitate precum si strategia de securitate nationala au in vedere crearea unei bariere de securitate ce are ca scop prevenirea eficienta a riscurilor,amenitarilor ce pun n pericol valorile i interesele naionale fiind o componenta integrata intr-un context global.
Cadrul securitatii unui stat este constituit de mai multe domenii de securitate printre care enumeram:
securitatea militar constnd n interaciunea dubl a capacitilor ofensive i defensive ale statului precum i percepia cu privire la inteniile altor state sau a ameninrilor non-statale la adresa colectivitii respective; securitatea politic constnd n preocuprile pentru asigurarea stabilitii organizaionale a sistemului de guvernare i a ideologiilor care le legitimeaz; securitatea economic constnd n asigurarea accesului la resurse, finane i piee de desfacere necesar pentru a menine un nivel acceptabil de bunstare i de putere a statului; securitatea social constnd n capacitatea statului de a susine, n limite de evoluie acceptabile, elementele tradiionale de limb, cultur, identitate naional, tradiii i religie; securitatea mediului constnd n programele i aciunile destinate meninerii biosferei locale, regionale i planetare ca suport esenial de care depinde ntreaga dezvoltare socio-uman.Pe plan militar intalnim urmatoarele domenii aplicative si anume securitatea persoanei constand in protectia personalului militar ,a identitatii acestuia si alte elemente de securitate fizica
securitatea fizica cadru integrator ce are in componenta atat securitatera fizica a personalului militar cat si pastrarea,depozitarea si intretinerea informatiilor
securitatea informatiilor are ca scop protectia informatiei si a proprietatii intelectuale de la distrugere sau comprimitere de catre actori umani securitatea informatiilor si a comunicatiilor protectia sistemelor IT&C si a datelor stocate in acestea
managmentul riscului cadru integrator ce are in componenta toate elementele enumerate mai sus
Politica de securitate a Romaniei se ghideaza dupa conceptele prevenirii ,descurajarii si rezolvarii pe cale pasnica a crizelor si conflictelor care ar putea degrada interesele ,valorile statului si relatiile internationale ale acestuia.Intr-un cadru decident principalul actor al realizarii si imbunatatirii fortei si puterii militare este constituit de factorul politic din cadrul acelui stat avand implicatii majore in vederea indeplinirii obiectivelor militare propuse.2.2.Siguranta nationala:C.S.A.T.CSAT este autoritatea administrativ autonom investit cu organizarea i coordonarea unitar a activitilor care privesc aprarea i sigurana naional.Atributiile CSAT sunt:
- coordonaz activitatea instituiilor cu responsabiliti n
domeniul aprrii i siguranei naionale
- analizeaz i aprob strategiile, actele normative emise
de Guvern referitoare la acestea, structura i
regulamentele de funcionare, programele de
nzestrare i asigurare logistic, planurile de aciune,
rapoartele de activitate, proiectele de buget
- gestioneaz unele aspecte din domeniul resurselor
umane (numirea sau avizarea numirii unor cadre n
funciile de conducere, acordarea gradelor de general
de brigad sau naintarea n gradul urmtor a generalilor),
precum i relaiile externe ale instituiilor de profil.Activitatiile CSAT:
- Strategia de securitate naional a Romniei
- Strategia pe termen scurt i mediu a SRI
- Strategia de prevenire i combaterea terorismului
- Strategia Serviciului de Informaii Externe
- proiectele Legii siguranei naionale
- Legea de organizare i funcionare a CSAT
- alte acte normative referitoare la sigurana naional
promovate de Guvernul Romniei2.2.1.DOCTRINA NAIONAL A INFORMAIILOR PENTRU SECURITATE Elaborarea doctrinei naionale a informaiilor pentru securitate are menirea de a stabili i defini conceptele fundamentale specifice domeniului activitii de informaii pentru aprarea securitii naionale, n conformitate cu prevederile Constituiei i cu necesitatea realizrii conexiunilor la cultura organizaional i instituional de securitate euroatlantic.1
Doctrina naional a informaiilor pentru securitate definete cadrul general al activitii de informaii pentru securitate i se constituie ntr-un ghid n procesul culegerii, prelucrrii, analizei, interpretrii i utilizrii informaiilor care privesc securitatea Romniei i a aliailor si.
Ca membru al Organizaiei Tratatului Atlanticului de Nord, Romnia acioneaz n conformitate cu Doctrina integrat de informaii, contrainformaii i
securitate a NATO.
Raportul acesteia cu Doctrina naional a informaiilor pentru securitate este urmtorul:doctrina integrat de informaii, contrainformaii i securitate a NATO ofer baza conceptual a colaborrii sistematice cu serviciile de securitate naional ale statelor membre pentru a conveni, de comun acord, asupra informaiilor, valorilor i resurselor care necesit protecie, precum i a standardelor comune de aprare. Aceasta constituie suportul teoretic al securitii naionale asigurate n cadrul msurilor politico-militare comune, realizate prin culegerea i valorificarea informaiilor, respectiv informarea guvernelor asupra naturii ameninrilor i a mijloacelor de protecie mpotriva acestora.
Doctrina naional a informaiilor pentru securitate furnizeaz elementele cadrului conceptual al activitii sistemului securitii naionale i vizeaz integrarea
i coerena politicilor i strategiilor de securitate ale structurilor naionale de informaii, inclusiv complementaritatea acestora cu esena, principiile i conceptele fundamentale ale doctrinei Alianei. Aceasta constituie, de asemenea, parte a ofertei de securitate la patrimoniul strategic al Alianei.
Doctrina naional a informaiilor pentru securitate se adreseaz factorilor implicai n realizarea securitii naionale din sfera legislativului, executivului, sistemului naional de securitate, autoritilor i instituiilor publice, organizaiilor de
1 n elaborarea prezentei doctrine a informaiilor pentru securitate au fost utilizate:
- Studii i cercetri de securitate i siguran naional din statele spaiului euroatlantic;
- Documentul AJP-2 - Doctrina integrat de informaii, contrainformaii i securitate a NATO;
- Culegerea de legi utilizate de comisiile speciale ale Congresului SUA;
- Legislaii ale serviciilor de informaii i securitate din statele membre ale Uniunii Europene,de drept privat, celor neguvernamentale i altor forme asociative ale societii civile, constituind baza teoretic a activitilor i preocuprilor referitoare la domeniul securitii naionale i al serviciilor de informaii, contrainformaii i securitate.
Doctrina naional a informaiilor pentru securitate vizeaz:
- perceperea i nelegerea corect a activitii de informaii, ca prelungire a misiunii sociale de autoaprare exercitat de societate n ansamblul su, fa de
ameninrile i pericolele la adresa ceteanului, naiunii i statului romn i a aliailor si;
- asigurarea suportului teoretic al politicilor, strategiilor i legislaiei privind
activitatea de informaii, contrainformaii i de securitate, care s confere instituiilor abilitate ale statului de drept capacitatea de a desfura, potrivit competenelor, activiti specifice de cutare, obinere i prelucrare, prin tehnici i proceduri specifice, precum i de transmitere, ctre factorii de decizie legal abilitai, a informaiilor cu relevan operativ pentru statul romn i aliaii si;
- statuarea principiilor coordonrii efortului informativ naional n vederea elaborrii produselor analitice i lurii deciziilor privind securitatea naional,
instituirea mecanismelor de evaluare i valorificare integrat a informaiilor pentru securitate, a regulilor de cooperare, conlucrare, colaborare ntre structurile de
informaii ale sistemului securitii naionale, precum i cu cele ale aliailor, pentru cunoaterea, prevenirea i contracararea, potrivit domeniilor de competen, a ameninrilor specifice i comune;
- instituirea terminologiei unitare care s asigure compatibilitatea structurilor de informaii naionale cu cele ale aliailor i dezvoltarea unei culturi de securitate n msur s faciliteze comunicarea la nivelul sistemului securitii naionale, cu celelalte autoriti i instituii publice, inclusiv cu societatea civil, precum i cu
structurile de informaii partenere;
- perfecionarea cadrului organizaional-funcional necesar concentrrii structurilor informative, potrivit domeniilor, problemelor i profilurilor specifice de
activitate, asupra informaiilor cu relevan n planul de securitii, sporind eficiena pe linia prevenirii i contracarrii riscurilor i ameninrilor, precum i n domeniul aprrii i promovrii valorilor i intereselor naionale i ale aliailor.
- asigurarea, n domeniul securitii i al activitii serviciilor de informaii pentru securitate, a supremaiei legii, protejarea statului de drept i a respectului drepturilor i libertilor fundamentale ale omului;
- dezvoltarea i consolidarea participrii la cooperarea internaional i la schimbul de informaii privind ameninrile la adresa securitii naionale i a aliailor Romniei.2.3.Managmentul riscului(amenintari,vulnerabilitati si riscuri de securitate)Managmentul riscului reprezinta un proces complex in elaborarea politicilor de securitate, process ce are in vedere amenintarile vulnerabilitatile si riscurile de securitate ale unui sistem.
In acest context se au in vedere potentialele evenimente nedorite ce pot dauna institutiei militare si a valorilor ei.
Pasul 1Includerea criteriilor i abordarea evalurii risculuiDefinirea Politicii SMSIDocument de Politic
Pasul 2Definirea abordrii evalurii riscului Document de Scop
Identificarea complet a valorilor informaionale
Inventarul valorilor
Pasul 3Identificare i evaluare ameninri, vulnerabiliti, impactntreprinderea evalurii risculuiRaportul evalurii riscului
Pasul 4Identificare i evaluare opiuni de tratare
Definire niveluri de risc acceptateManagementul riscului,
Revizuirea i finalizarea Politicii de securitate a informaiilorTratri propuse
Pasul 5Alegerea mecanismelor de control pentru a fi implementateMecanisme propuse
Pasul 6Pregtirea Formulei de AplicabilitateFormula de Aplicabilitate
Pasul 7Acceptarea riscului rezidual i autorizarea de aciuneObinerea aprobrii conducerii pentru implementarePlanul Programului
In prima parte vom aborda amenintarile la adresa securitatii.Acestea pot fi de mai multe tipuri si anume: amenintari de natura politica,militara,trans-frontaliera,sociala,economica,ecologica etc.Categoria juridico-operativ de ameninare la adresa siguranei naionale este utilizat pentru ntia oar n Romnia, odat cu promulgarea Legii 51/1991.
Inca din Art.1 intalnim clar obiectivele propuse si anume: starea de legalitate, de echilibru si de stabilitate sociala, economica si politica necesara existentei si dezvoltarii statului national roman, ca stat suveran, unitar, independent si indivizibil, mentinerii ordinii de drept, precum si climatului de exercitare neingradita a drepturilor, libertatilor si indatoririlor fundamentale ale cetatenilor, potrivit principiilor si normelor democratice statornicite prin Constitutie.Tot in legea 51/1991 intalnim la art.3 potentialele amenintari pe care le vom enumera succinct si anume: planurile si actiunile care vizeaza suprimarea sau stirbirea suveranitatii, actiunile care au ca scop, direct sau indirect, provocarea de razboi ,tradarea prin ajutarea inamicului, actiunile armate sau orice alte actiuni violente care urmaresc slabirea puterii de stat, spionajul, subminarea, sabotajul ,actiunile prin care se atenteaza la viata, integritatea fizica sau sanatatea persoanelor care indeplinesc functii importante in stat ;initierea, organizarea, savirsirea sau sprijinirea in orice mod a actiunilor totalitariste; actele teroriste, precum si initierea sau sprijinirea in orice mod a oricaror activitati al caror scop il constituie savirsire de asemenea fapte etc. Articolul de lege este structurat pe cinci capitole si anume:dispozitii generale;activitatea de informatii; obligatiile si raspunderile organelor de stat, organizatiilor publice sau private;sanctiuni si dispozitii finale.A doua parte este reprezentata de vulnerabilitatile unui sistem.
Vulnerabilitatea reprezinta o bresa in proiectarea si implementarea unei politici de securitate,a securitatii sau a masurilor de securitatea luate ce poate fi exploatata,accidental sau voit,de catre o amenintare la adresa structurii.Aceasta adduce in chestiune doua limite general valabile,cunoscute in prezent la adresa securitatii si anume:limitele tehnice si limitele umane.
Limitele tehnice ale sistemelor de securitate a informaiilor, referitoare la calitatea soluiei, a implementrii, a nivelului de performan ateptat sau obinut , astfel ca solutiile adoptate nu raspund in totalitate cerintelor.Limitele umane sunt de obicei sunt cele datorate pregtirii, nivelului de nelegere.
Politicile i produsele de securitate pot reduce vulnerabilitile, respectiv posibilitile i probabilitile ca un atac s penetreze sistemul informatic i de comunicaii sau, prin arhitectura de securitate adoptat, pot impune agresorului s investeasc att de mult timp i resurse, nct atacul s nu mai fie profitabil.
In cea de a treia parte o sa discutam despre riscul de securitate si ce presupune acesta.Riscul de securitate reprezinta potentialul detinut de un inamic sau mai multi de a exploata eventualele brese din sistem aducand prejudicii acestuia si a integritatii sale afectand totodata si institutia in sine.
Aici intalnim o serie de etape ce au un rol esential pentru a previne eventualele scurgeri de informatii.Aceste etape sunt:analiza,proiectarea ,implementarea,controlul si revizuirea.Analiza este prima etapa,fiind etapa cheie in dezvoltarea politicilor de securitate avand un rol esential.O analiza realizata atent poate preveni unele neplaceri,iar structurile de securitate au obligatia de a efectua o analiza atenta a eventualelor riscuri de securitate ce pot aparea.Procesul de analiz a riscului se desfoar conform unei proceduri care const n parcurgerea urmtoarelor etape, respectiv:
identificarea i evaluarea informaiilor clasificate supuse riscului;
identificarea ameninrilor;
identificarea vulnerabilitilor, determinarea probabilitii de producere a unui incident de securitate i impactul acestuia;
analiza msurilor de securitate;
determinarea nivelului de risc;
elaborarea raportului privind analiza riscului.Odata cu analiza riscului se vor intreprinde si cercetari asupra probabilitatii de producere, a implicatiilor acestui eveniment asupra integritatii sistemului si a determinarii nivelului de risc.
Dupa intocmirea tuturor pasilor necesari se intreprind actiuni pentru diminuarea riscului printr-o serie de proceduri standard si anume: ierarhizarea aciunilor;
evaluarea msurilor de securitate recomandate;
realizarea unei analize cost beneficiu;
selectarea msurilor de securitate;
atribuirea responsabilitilor;
elaborarea planului de implementare a msurilor de securitate selectate;
implementarea msurilor de securitate selectate controlul masurilor de securitate
revizuirea actiunilor in cazul in care acestea nu functioneaza
Implementarea msurilor de securitate poate reduce nivelul de risc, dar nu l poate elimina iar riscul rmas este definit ca risc rezidual.Msurile generale de realizare a securitii informaiilor clasificate vor fi dezvoltate i modificate n mod continuu, componentele vor fi schimbate i actualizate.
n plus, n timp, vor aprea schimbri de personal, precum i n politicile de securitate ale structurii. Aceste schimbri conduc la apariia unor noi riscuri, iar riscurile reduse anterior devin din nou o preocupare.
2.3.1. Dezvoltarea Criteriilor de Evaluare a RisculuiPentru a evalua riscurile, impactul, consecinele i alegerea mecanismelor, vor fi definite criteriile cantitative/calitative care se vor folosi. Se acord atenie nivelului de risc pe care instituia este dispus s l accepte. Politica de Securitate a Informaiei creat la pasul 1 este unul dintre datele iniiale pentru aceast etap.
Dezvoltarea criteriilor detaliate ale riscurilor va fi influenat de o serie de factori, ca de exemplu:
Politica intern a instituiei, scopurile i obiectivele;
Ateptrile acionarilor (partenerilor) sau beneficiarilor;
Cerinele juridice, legale.
Este important ca criteriile corespunztoare s fie determinate de o evaluare iniial a riscului i s fie continuu revizuite, reanalizate pe ntreaga durat a procesului evalurii riscului. Criteriile de risc pot fi ulterior dezvoltate i perfecionate pentru a avea asigurarea acestea corespund tipurilor de riscuri i modului clar de a exprima nivelul riscului.
Decizia privitoare la acceptabilitatea riscului i tratarea subsecvent a riscului se poate baza pe criterii operaionale, tehnice, financiare, juridice sociale sau umane.
Criteriile pentru evaluarea riscurile de securitate sunt n mod caracteristic (nefiind limitate) consecinele financiare asociate cu:
1) Percepia beneficiarilor i impacturilor reglementrilor a breelor de confidenialitate;
2) Impacturilor operaionale, ale activitii desfurate determinate de informaii indisponibile;
3) Impacturile activitii determinate de pierderea confidenialitii;
4) Impacturilor operaionale, ale activitii desfurate ale pierderii integritii informaiilor.
Guvernul are, de asemenea, o serie de politici care trebuie s fie parte a criteriilor instituiei. Acestea includ:
Ateptrile privind grija i confidenialitatea de a fi date informaii oficiale;
Disponibilitatea informaiilor oficiale pentru informarea public;
Ateptrile despre strngerea, utilizarea i grija datelor personale;
Msurile i procedurile instituiilor trebuie s adopte protecia resurselor oficiale mpotriva fraudei i deteriorrii, deformrii;
Ateptrile pentru asigurarea proteciei corespunztoare a informaiilor clasificate.
Orice instituie trebuie s-i defineasc propriile modaliti i msurile n ceea ce privete faptul c ce poate fi dezastruos pentru o instituie de mici dimensiuni poate fi ceva insignifiant sau sczut pentru o instituie mare.
Un exemplu de criterii pentru determinarea cerinelor de securitate este artat mai jos. Se face referire la clasificarea informaiilor aa cum este recomandat n tema Clasificarea informaiilor i marcarea n cadrul Definirea valorii informaiilor n aceast seciune.
Foarte nalt- Confidenialitatea informaiilor trebuie s fie garantat i consimit cu cerine de strict secret. Informaia este clasificat ca informaie de securitate naional sau nalt Protejat, pentru informaiile de securitate non-naionale.
- Informaia trebuie s fie exact tot timpul
- deciziile decisive necesit existena unei actualizri permanente
Regula general este c eecul sistemelor informaionale pot conduce la un colaps total al instituiei sau la consecine grave ale statului, ale instituiei, beneficiarilor, partenerilor i/sau societii publice. Mecanismele iniiale pot s nu fie suficiente, fiind nevoie de mecanisme suplimentare bazate pe analiza riscului.
nalt - Informaia este clasificat Protejat
- Informaia trebuie s fie corect iar orice eroare trebuie s fie detectabil sau evitabil
- Procesele n zonele critice trebuie s fie ndeplinite ntr-un cadru de timp bine definit. Sunt admise scurte perioade de tranziie (ncetinire) a activitii
Regula general este c n eventualitatea unui avarii (funcionri defectuoase), zonele critice nu pot funciona o lung perioad de timp, rezultnd o afectare a statului, instituiei, beneficiarilor, colaboratorilor, partenerilor i/sau membrilor societii publice. Mecanismele iniiale pot s nu fie suficiente, fiind necesare alte mecanisme suplimentare a fi selectate bazate pe analiza riscului.
Moderat - Confidenialitatea informaiilor trebuie s fie garantat doar pentru utilizarea intern n cadrul instituiei. Informaia este clasificat Confidenial pentru uz intern
- Erorile care pot submina semnificativ ndeplinirea sarcinilor trebuie s fie detectabile i evitabile
- Activitile specifice pot tolera perioade scurte de tranziie (ncetinire) a activitii
Regula general este c consecina unei daune la adresa statului, instituiei, beneficiarilor, partenerilor i/sau membrilor societii publice este limitat. Mecanismele iniiale pot fi insuficiente.
Sczut - Confidenialitatea informaiilor nu este o cerin
- Pot fi tolerate erorile i nu produc probleme n ndeplinirea sarcinilor
- Perioadele de tranziie (ncetinire) au un impact minor asupra instituiei
Regula general este c consecina unei daune este doar de o minor afectare a statului, instituiei, beneficiarilor, partenerilor, membrilor societii publice. Mecanismele iniiale pot fi suficiente.
2.4.Planificarea politicilor de securitateIn cadrul managmentului riscului si a planificarii masurilor de securitate viitoare totul se desfasoara dupa un plan de actiune ce are in vederea reducerilor riscurilor de securitate. Acest plan trebuie secondat de planul ce cuprinde msurile ce atenueaz manifestarea riscurilor i de planul de tratare a situaiilor dificile (riscuri materializate).
Odata cu cunoasterea amenintarilor se permite si o ierarhizare a acestora.Stabilirea unor ierarhii constituie suportul introducerii unei ordini de prioriti n alocarea resurselor, n majoritatea cazurilor limitate, n urma unei analize cost-beneficiu sau, mai general, efort-efect. Este esenial ca organizaia s-i concentreze eforturile spre ceea ce este cu adevrat important, i nu s-i disperseze resursele n zone irelevante pentru scopurile sale.
Sistemul de management al securitatii informatiilor are ca rezultanta directa planificarea politicilor de securitate si este realizata de structura centralacu responsabilitati in domeniul acesta.
Este nevoie ca securitatea informaiei s se adreseze att activitilor de planificare, ct i celor de luare a deciziei n perfecionarea i schimbarea mecanismelor i procedurilor utilizate. Aceasta include dezvoltarea, att a sistemelor de securitate existente avndu-se n vedere noile activiti, ct i ridicarea performanelor sistemelor de suport n cazul n care sunt utilizate SIC.Procesarea (producerea) informaiilor, dei are un accentuat specific opera ional, caracterizat prin tratarea rapid a acestora i facilitat de aportul bazelor de date, al bncilor de informaii, al programelor expert i al performanei computerelor, cu efecte benefice n planul actului decizional, al eficienei i economiei costurilor, se constituie, pe fond, n componenta sau latura analitic a activitilor informative, contrainformative i de securitate.
Procesarea (producerea) informaiilor este procesul analitic desfurat de ctre structurile analitice specializate pe baza coroborrii, integrrii, analizrii i evalurii datelor cu semnificaie operativ.
Pentru a deveni utilizabile n procesul decizional, informaiile sunt supuse unor operaiuni specifice de prelucrare, coroborare, integrare, analiz i evaluare, n vederea stabilirii indicatorilor i a elementelor de caracterizare a acestora.
1. Prelucrarea (tratarea) este etapa procesului analitic realizat prin opera- iuni, proceduri i tehnici aplicate datelor pentru a deveni utilizabile, precum adnotri, referiri, rezumri, indexri, codificri, clasificri tematice, atribuirea unui format,pregtirea pentru prelucrarea electronic etc. cu ajutorul unor mijloace materiale i echipamente specifice.
2. Coroborarea este procesul managerial specific de confirmare/infirmare a coninutului unei informaii, de completare sau ntregire a acestuia, prin operaiuni analitice de integrare i comparare a informaiilor n raport de cunotinele existente la momentul respectiv, despre domeniul sau problema la care se refer, cu scopul de a pune n eviden conexiunile i tendinele i a desprinde sau formula concluzii.
3. Integrarea const n reunirea datelor disparate, obinute succesiv n procesul culegerii sau colectrii, reunirea lor dup criterii i reguli prestabilite, armonizarea i nsumarea elementelor componente ale acestora, estimarea veridicitii i utilitii lor i ncorporarea ntr-o informaie de sine stttoare sau ntr-un produs informaional.
4. Analiza semnific tratarea informaiilor prin folosirea metodelor logice, analogice, sistemice de analiz i ale comunicrii, n scopul stabilirii adevrului,incertului sau falsului ori identificrii i caracterizrii disfunciilor, vulnerabilitilor i factorilor de risc ce pot constitui ameninri.
Analiza este complementar cu sinteza, ambele fiind metode de cercetare i studiere a faptelor i fenomenelor exprimate de informaii, care constau, pe de o parte, n descompunerea acestora n elementele componente, n scopul evidenierii caracteristicilor fenomenelor sau problemelor cercetate informativ i stabilirii relaiei ntre ntreg i prile componente, iar pe de alt parte, n reunirea orientat a acelorai elemente, n funcie de legturile descoperite i cercetate prin analiz.2.5.Analiza informaiilorO alta etapa importanta in proiectarea politicilor de securitate este reprezentata de analiza informatiilor ce parvin in urma culegerii de date.Vom porni de la ncercarea de a explica ntr-o form concis ce reprezint de fapt analiza informaiilor. Acesta este procesul de divizare a informaiei n prile sale componente, de extragere, structurare a semnificaiei acesteia i de reasamblare a explicaiilor acestor sensuri ntr-un mod ce poate fi perceput i pus n practic de persoana cu putere de decizie n momentul stabilirii opiunilor. Ca element central, aceast analiz se refer la utilizarea produsului finit, a informaiilor prelucrate n scopul sprijinirii prcesului de luare a deciziilor i creare a politicilor publice.
ntr-un sens lrgit, activitatea de intelligence, este un domeniu ce presupune culegerea i analizarea informaiilor. De asemenea, include aciunile ntreprinse pentru a contracara activitile informative ale adversarilor, fie neacordndu-le acces la informaii, fie inducndu-i n eroare cu privire la unele fapte i semnificaia acestora.Bruce Berkowitz i Allan Goodman aduc n prim plan procesul intelligenceului strategic i definesc analiza informaiilor drept: procesul evalurii i transformrii datelor brute n rapoarte, explicaii i concluzii pentru beneficiar. De asemenea, n literatura de specialitate, tendina este de a observa c rolul analizei informaiilor este de a-i informa pe cei responsabili cu crearea politicilor publice pentru a-i ajuta s delibereze n modul optim. Acurateea, evoluia n timp i relevana nu sunt de ajuns; intelligence-ul trebuie s ptrund ctre decideni. Se pune n balan pe lng importana produsului finit i necesitatea de a transforma Comunitatea de Intelligence ntr-un spaiu ce se reinventeaz n mod dinamic, pe msur ce climatul de securitate naional se afl n permanent schimbare.Ajungnd la partea concret, activitatea analizei informaiilor se divizeaz n trei etape eseniale: 1) organizarea informaiilor, nelegerea acestora i stabilirea relevanei fiecreia, 2) dezvoltarea n mod obiectiv a acestor informaii pentru a putea ajunge la nelegerea ntregului, 3) comunicarea concluziilor i astfel punerea n aplicare a informaiilor operative.
Tipurile de analiz pe care ne sprijinim n demersul de intelligence sunt att: Analiza operaional (de caz) const n identificarea la nivel local, n teren, a incidentelor ce aduc atingere siguranei naionale sau realizarea statisticilor pentru a stabili modurile eficiente de identificare i prevenire.
Analiza strategic se refer la modalitile i metodele de exercitare a puterii (resurse sau mijloace) pe care conducerea unei entiti politice le are la dispoziie prin exercitarea controlului asupra unor evenimente caracterizate de un set de circumstane, n vederea atingerii anumitor obiective.Pentru a facilita ns analiza i cercetarea n domeniu, trebuie s distingem ntre nivelurile analizei strategice.
Componentele cheie n ceea ce privete culegerea informaiilor se identific n funcie de diversele metode de culegere, astfel c ele se pot clasifica n: 1) culegerea informaiilor din surse umane (la care se face referire ca spionaj sau humint), 2)culegerea prin metode tehnice (informaii tehnice sau techint), 3) culegereainformaiilor din surse deschise.Pe lng modalitile de culegere a informaiilor, un rol cheie l joac ofierii de informaii, ei fiind cei ce vor colecta sau vor i analiza informaiile obinute. n limbajul actual, se face diferena ntre acoperirea oficial i cea neoficial.
Acoperirea oficial const n deghizarea unui ofier de informaii n diplomat pe cnd acoperirea neoficial presupunerea trimiterea unui ofier de informaii sub un alt pretext, necunoscut de guvernul rii gazd.Etapa urmtoare dup culegerea din diferite surse, const n evaluarea
informaiilor ce presupune o evaluare adecvat a exactitii sursei precum i a coninutului acesteia, fiind esenial pentru dezvoltarea deduciilor. Convingerea care st la baza unei concluzii depinde n mod automat de calitatea datelor care au condus ctre ea. Evaluarea trebuie fcut imediat sau ct mai repede posibil pentru a fi siguri c aceasta a fost realizat n contextul propriu-zis. Pe lng aceste aspecte, n momentul n care ne referim la humint, evaluarea necesit n mod separat estimarea credibilitii sursei i a valabilitii informaiei. Sursa i informaia sunt evaluate independent una de cealalt 2.6.Integrarea produsului analitic n crearea politicilor de securitateO politic public poate fi de asemenea conceput i ca o reea de decizii i strategii, interconectate, privind alegerea obiectivelor, a mijloacelor i a resurselor alocate pentru atingerea acelor obiective n situaii specifice.Securitatea naional n ansamblul su, rmne unul dintre bunurile publice asigurate de ctre stat, printr-o serie de decizii, strategii i procese, grupate per total sub eticheta de politica de securitate naional. Dei, chiar i n acest domeniu se discut despre privatizarea securitii, securitatea naional rmne un bun neexclusivist i ne-rival, de care beneficiaz toi cetenii. Astfel, politica de securitate naional poate fi considerat o politic public.. Totui, procesul de formulare a politicilor publice este de-a dreptul complex i are implicaii att asupra dimensiunii,
proceselor, mecanismelor i actorilor, ntr-o reea de relaii interconectate.
Analiza politicilor publice este de fapt o disciplin care utilizeaz multiple metode de cercetare i de argumentare pentru a produce i transforma informaia relevant pentru politici pentru a rezolva probleme publice.Un alt element la care facem referire este confuzia ce se produce uneori ntre conceptele de: politica de securitate naional, politica de aprare i strategia de securitate naional. Pornind de la percepia lui Clausewitz ce vede un continuum politici strategii tactici, el considera c victoriile pe cmpul de lupt nu au niciun sens dac nu corespund unor comandamente politice ale statului.Astfel c, distincia principal dintre politica de securitate i strategia de securitate const n faptul c politica de securitate face referire la stabilirea obiectivelor majore ale statului, pe cnd strategia aduce n discuie modalitile prin care aceste obiective pot fi ndeplinite. De asemenea, politica de aprare are n sine alt sens, fiind vorba de fapt despre scopul final de aprare n faa unui inamic extern.
n timp ce aprarea naional se bazeaz pe mijloace militare, securitatea naionalangajeaz toate resursele naionale.Strategia de securitate naional, prin nsi caracterul comprehensiv naional, reprezint o micro-politic de securitate.
Dei noua strategie pare c restrnge aria de refereni ai securitii, n realitate aria este mai larg, mai complex, deoarece acum sunt inclui individul, comunitile, statul ct i instituiile i organizaiile internaionale din care statul romn face parte.
Aadar, odat cu aderarea Romniei la NATO i UE, aria referenilor securitii este mai complex, iar strategia de securitate naional are acum i o referin internaional.
Conform SSN 2006, interesele de securitate sunt integrarea deplin n Uniunea European i asumarea responsabil a calitii de membru al Alianei Nord-Atlantice; meninerea integritii, unitii, suveranitii, independenei i indivizibilitii statului romn.Elemental central n SSN 2006 intervine sub forma unei echilibrri a
importanei strategice a braelor securitii naionale identificate ca fiind: statutul de membru NATO i UE, parteneriatul strategic cu SUA, reforma sistemului military roman pentru a satisface cerinele i standardele prevzute de NATO i UE. Alturi de alte elemente sunt identificate principalele ameninri la adresa securitii internaionale: terorismul internaional, proliferarea armelor de distrugere n mas,
conflictele regionale, criminalitatea transnaional organizat.Astfel, o dat cu SSN din 2006, se poate constata o abordare mai complex a problemelor de natur internaional; odat cu aderarea la NATO i UE, politica de securitate a Romniei trebuie s se sincronizeze cu cele ale statelor partenere i aliate, ceea ce se ntmpl o dat cu SSN 2006.
Pentru o viziune global asupra noiunii de securitate, este necesar o analiz att la nivelul celor mai importante aliane n care Romnia este implicat, ct i o analiz a unor actori de pe arena internaional i a modului n care se desfoar crearea politicilor publice n acest context.
Din momentul apariiei unei noi probleme pe arena internaional i anume problema terorismului, strategiile de securitate ale NATO i UE s-au adaptat noilor cerine internaionale.
Astfel, strategiile de securitate, fcute publice in 2002, dei identific aceleai pericole i vulnerabiliti ale statelor n raport cu problema crescnd a terorismului,propun soluii diferite pentru rezolvarea acestei probleme.
De exemplu, n cazul SUA, acestea adopt o atitudine mai intruziv, mai ales n alte state, comparative cu UE, care are o abordare pe termen lung; diferenele n abordare sunt ntre unilateralism i multilateralism (preferat de UE), atitudine preemtiv i preventiv.Politica Extern i de Securitate Comun este un sistem de colaborare ntre statele membre ale Uniunii Europene n domeniul securitii i al politicii externe.
Obiectivele acestei politici constau n protejarea intereselor fundamentale ale statelor membre n materie de politic extern i securitate a UE, precum i ncercarea de realizare a unei politici de aprare comune.
Conceptul Identitii Europene de Securitate i Aprare s-a dezvoltat n strns coresponden cu alte dou concepte, dezvoltate ulterior. Este vorba, n primul rnd, de Politica Extern i de Securitate Comun PESC (Common Foreign and Security Policy CFSP), ce denumete un capitol distinct (Titlul V) al Tratatului de la Maastricht i care reprezint unul din cei trei piloni ai construciei europene.
Observnd att numeroasele aspecte ale securitii n complexitatea sa ca noiune, ct i ca politic public, putem afirma c ipoteza noastr general de la care am pornit n cercetare se confirm, demonstrnd c n momentul n care avem de-a face cu o Comunitate de Intelligence bine structurat, ale crei produse finite respect rigorile colectrii i evalurii informaiilor, dar i cu decideni politici capabili, abili, putem afirma c politicile publice structurate sunt n acord att cu amenirile existente ct i cu prevederile internaionale n domeniu.
Rolul pe care l joac analiza informaiilor n structurarea politicilor de securitate este cu adevrat nemijlocit. Activitatea ofierilor de informaii precum i a celorlalte structuri implicate n procesul de intelligence este vital n formularea unor statistici i scenarii ce ulterior se vor transforma att n strategii de securitate precum i n politici de securitate.
2.7.Identificarea si analizarea riscurilorEtapa primara si de baza este constituita de identificarea si analiza riscurilor in cadrul procesului de proiectare a politicilor de securitate.In cadrul identificarii fac parte identificarea,clasificarea si enumerarea riscurilor ce pot afecta si adduce prejudicii organizatiei militare cat si a sigurantei nationale.
Se va incerca sa se ia in calcul toate riscurile posibile chiar daca acestea pot fi sau nu controlate de institutie folosindu-se un proces sistematic bine structurat luandu-se in calcul ca acestea sunt intr-o continua transformare.In cadrul acestei etape de indentificare se va raspunde la cateva intrebari simple:
Ce se poate ntmpla sau ce poate merge incorect?
Cum se poate ntmpla?
De ce se poate ntmpla?
Cine sau ce poate fi afectat? Aceste intrebari permit o identificare mai usoara a a potentialelor riscuri. Se examineaz sursa riscului din perspectiva persoanelor interesate (acionarilor etc.), intern sau extern. Sunt luate n considerare i posibilele cauze sau scenarii. Dupa aceasta etapa primara se realizeaza o analiza a riscurilor ce consta intr-o analiza a consecintelor, a probabilitatii de aparitie a acestora si a nivelului de producere a pagubelor.Analiza separa riscurile majore de cele minore si aduce cu sine o stabilire a prioritatilor in vederea implementarii unor politici de securitate. Cnd riscurile pot fi msurate, poate fi potrivit metoda cantitativ. Regula general este ca metoda s fie solid i practic pentru nevoile instituiei. Metodele cantitative se preteaz s fie folosite n probabilitile bazate pe aprecierea recuperrii investiiei n securitate.
Analiza riscului poate fi calitativ, cantitativ sau semi-cantitativ. n majoritatea cazurilor este folosit analiza calitativ, caz n care sunt determinate scale explicite de probabilitate, consecine i nivelurile riscului. De asemenea, poate fi folosit o metod semi-cantitativ, prin atribuirea numerelor (de obicei ntre 0 i 1) scalei calitative. Cnd riscurile pot fi msurate, poate fi potrivit metoda cantitativ. Regula general este ca metoda s fie solid i practic pentru nevoile instituiei. Metodele cantitative se preteaz s fie folosite n probabilitile bazate pe aprecierea recuperrii investiiei n securitate.
2.8.Evaluarea riscurilor In cadrul acestei etape se determina lista de prioritati pentru urmatoarele actiuni si o reevaluare a riscurilor pentru a asigura c criteriile care au fost identificate pentru toate riscurile semnificative i c nivelul riscului este n concordan cu criteriile.
Evaluarea riscurilor adduce cu sine si o excludere a riscurilor minore ce nu pot fi indepartate din motive tehnice sau economice.Odata cu evaluarea riscurilor se iau in calcul si urmatoarele modalitati de actiune pentru prevenirea si solutionarea acestora.ntrebrile cheie n tratarea riscului sunt:
Ce procese, mecanisme de protecie i aprare exist sau sunt necesare pentru reducerea riscului la un nivel acceptabil?
Procesele, mecanismele de protecie i precauiile sunt, raportat la cost, cele mai eficace corespund cu valoarea informaiei sau consecinele adverse care urmeaz, dac riscul se manifest?
Ce resurse sunt necesare (personal, fonduri, echipament)?
Cine are responsabilitatea i rspunderea tratrii i administrrii riscului?
nainte de a ntreprinde tratarea, ar trebui fcut selectarea mecanismelor adecvate, avnd n vedere strategia general a instituiei, obiectivele operaionale, prioritile, cu resursele i fondurilor disponibile. Este puin probabil ca una din opiunile de tratare a riscurilor menionate mai sus, de ctre agenie, va furniza o soluie complet pentru un anumit risc.
2.9.Selectarea procedurilor Selectarea procedurilor si mecanismelor reprezinta forma bruta a intregului process de proiectare implementare control si revizuire a politicilor de securitate.Aici se vor relua pasi importanti prezentati mai sus si se vor lua in discutie mecanismele ce vor fi implementate pe baza unei analize cost/beneficiu.Ideal pentru un mecanism ar fi ca acesta sa indeplineasca mai multe functiuni si sa ajute la umplerea mai multor brese din sistem.Un mecanism eficient ar trebui sa indeplineasca toate cele sase functiuni si anume:evitarea,protectia,detectia,raspunsul si restaurarea.
Procedurile urmatoare ce vor fi implementate le au in vedere pe cele initiale si posibilitatea acestora de a interactiona.Aceste mecanisme initiale au ca scop un minim de protectie impotriva celor mai comune riscuri posibile fiind aduse la cunostinta intregului personal.In cadrul acestor mecanisme initiale exista intotdeauna lacune mari ce trebuie completate de procedurile ce le preced.
Selectarea mecanismelor ar trebui s includ tot timpul o balan a mecanismelor operaionale (non-tehnice) i tehnice. Mecanismele operaionale de securitate includ mecanismele fizice, de personal, administrative sau procedurale. Exemple ale acestor mecanisme includ: Securitatea fizicMecanismele fizice de securitate includ accesul n cldiri i proiectul, nchiderea uilor cu cifru, sistemele de stingere a incendiilor i paza.
Securitatea personaluluiSecuritatea personalului acoper verificrile la angajarea (recrutarea) personalului, n special pentru poziiile de ncredere, supravegherea personalului i programele de contientizare a securitii informaiilor.
Securitatea procedural Securitatea procedural poate s includ documentaia de proceduri operaionale, procedurile de admitere i dezvoltare a aplicaiilor precum i procedurile de gestionare a incidentelor. Poate s includ procedurile de management al schimbrii. Mai poate s conin procedurile de continuitate a activitii, inclusiv planul de aciune la evenimentele neprevzute/strategiile de restaurare dup un dezastru i plan(uri) precum managementul crizelor. Securitatea tehnicSecuritatea tehnic conine securitatea hardware (dispozitive fizice) i software (programe de calculator) precum i mecanismele de comunicaii. Aceasta include: identificarea i autentificarea, cerinele de control al accesului logic, controlul traiectoriilor/nevoilor jurnalelor de securitate, securitatea apelurilor inverse, autentificarea mesajului, criptarea i semnturile digitale, proteciilor de reea, monitorizarea i analiza reelei, programelor anti-virus. Sistemele i produsele evaluateO instituie poate achiziiona produse, sisteme sau pri ale funciunilor acestora, care au fost evaluate i examinate de un specialist independent . Evaluarea trebuie s fie pentru un profil corespunztor de protecie pentru sisteme i produse i ameninrile la adresa acestuia. Produsele sau sistemele evaluate ofer instituiei convingerea c un set implementat de funcionaliti este corespunztor cerinelor iar implementarea funcionalitilor este corect i complet. Testarea practic i concentrat a securiti poate, de asemenea, fi efectuat pentru confirmarea nivelului garaniei de securitate asigurat. Sunt de preferat criteriile comune ca baz a evalurii, oricum, profilul de protecie i, de aici, nivelul de asigurare a evalurii, trebuie s fie adecvat riscurilor ageniei. Factorii de luat n considerare pentru selectarea mecanismelor pentru implementare includ:
Utilizare uoar a mecanismelor de protecie i paz;
Transparen pentru utilizatori;
Proximitatea mecanismului fa de valoarea de protejat;
Asisten oferit utilizatorilor pentru ndeplinirea activitilor;
Costul mecanismului;
Compatibilitatea cu mecanismele existente;
Puterea relativ a mecanismelor;
Profilul de protecie i nivelul de asigurare al evalurii;
Tipuri de funciuni pe care le poate executa protecie, evitare, detecie, rspuns, restaurare.
Pentru ca mecanismele sa treaca mai departe la implementare acestea trebuie sa aiba in vedere si constrangerile ce apar in implementarea lor.In cazul structurilor M.A.P.N. constrangerile cele mai presante sunt de ordin financiar dar exista si alte constrangeri care trebuie luate in considerare cum ar fi :constrangerile de timp, de ordin ethnic , sociologice ,de mediu ,juridice si de calificare de personal.
Calificarea de personal reprezinta o alta problema presanta in cadrul structurilor datorita unei lipse de cultura a securitatii in cadrul organizatiei militare.
3.IMPLEMENTAREA SI CONTROLUL PDS
3.1.Planul de tratare a riscurilorPlanul de tratare a riscurilor este un plan complex ce stabileste actiunile ce urmeaza a fi intreprinse.Acestea trebuie sa fie implementate la timp conform standardelor si sa isi atinga scopurile pentru care sunt create.Totodata pot aparea doua planuri unul de baza iar celalalt secundar.
Planul de baza trebuie sa cuprinda rezultatele analizei de risc, aciunile care se ntreprind n perioade de timp scurt, mediu i lung pentru atingerea nivelului de securitate corespunztor, costurile i un program de implementare.In plus mai trebuie sa cuprinda si:
Obiectivele de securitate din punctul de vedere al confidenialitii, integritii, disponibilitii, autenticitii i certitudinii informaiilor;
Abordarea analizei de risc;
Un profil de protecie pentru a permite selectarea produselor evaluate i ale oricror evaluri de securitate ale sistemului;
O evaluare a riscurilor reziduale acceptate dup implementarea mecanismelor identificate;
O list a mecanismelor selectate pentru a fi implementate i o list a mecanismelor existente i planificate (n intenie), inclusiv o determinare a eficacitii i a mbuntirilor sistemelor de securitate necesare. Aceast list ar trebui s includ prioritile pentru implementarea mecanismelor selectate, mbuntirile mecanismelor existente i modul cum ar trebui s funcioneze aceste mecanisme n practic;
Estimarea instalrii mecanismelor i costurilor de funcionare;
Estimarea resurselor de personal pentru implementarea acestor mecanisme i pentru aciunile urmtoare;
Un mecanism detaliat pentru implementare, coninnd:
Prioriti;
Un plan de implementare relaionat cu prioritile;
Bugetul necesar;
Responsabiliti.
Contientizarea de securitate i procedurile de pregtire pentru personalul i pentru utilizatorii care au nevoie s asigure eficacitatea mecanismelor;
Un plan pentru procesul de aprobare s aib loc unde este nevoie;Odata cu acest plan apare si planul de aplicabilitate ce are in vedere obiectivele de control si revizuire precum si mecanismele pentru fiecare risc si se iau in calcul toate mecanismele posibile acestea fiind inregistrate si explicate3.2.Implementarea planului de tratare a riscurilorCnd planul de tratare a riscurilor este complet, ar putea fi necesar aprobarea conducerii pentru toate mecanismele, nainte ca planul s fie implementat.
Principalele elemente ale Planului de Tratare a Riscurilor sunt:
Problemele organizaionale i de resurse resursele, inclusiv prioritile;
Msurile de realizare a obiectivelor identificate ale mecanismelor;
Pregtirea de securitate.
Managementul operaiilor i resurselor SMSI este necesar zi de zi, cu o anumit atenie pentru incidentele de securitate.
Mare parte din documentaia planului, mai ales ameninrile, vulnerabilitile i riscurile, poate fi foarte sensibil i trebuie s fie protejat mpotriva divulgrii neautorizate.
Obiectivele programului pregtirii pe linia securitii informaiilor este de a ridica nivelul de contientizare i pe cel al deprinderilor n cadrul instituiei. Programul ar trebui s garanteze c tot personalul instituiei au cunotine adecvate despre sistemele informaionale i c neleg necesitatea mecanismelor de control i tiu s le foloseasc corect.
Datele iniiale ale programului de contientizare n domeniul securitii informaiilor ar trebui s vin din toate nivelurile i zonele instituiei. Este necesar de suportul managementului din toate departamentele pentru pregtirea i contientizarea echipei.
Pentru delimitarea personalului care necesit pregtirea specific de securitate i contientizare, se pot avea n vedere urmtoarele grupuri:
- Personal cu responsabiliti cheie pentru informaii, incluznd managementul i operaiile;
- Personal cu responsabiliti n administrarea securitii informaiilor, de ex. pentru controlul accesului, managementul/evidena registrului de acces (electronic) sau managementul nregistrrilor manuale ale accesului.
Programul de pregtire de securitate trebuie s accentueze nevoia echilibrului ntre mecanismele tehnice i non-tehnice de control. Exemplele de teme referitoare la mecanismele de control sunt:
- Infrastructura de securitate a informaiilor;
- roluri i responsabiliti;
- politica de securitate a informaiilor;
- verificrile periodice de conformitate de securitate;
- manipularea incidentelor de securitate.
- Securitate fizic;
- cldiri;
- zonele de birouri, camerele de echipamente;
- echipament;
- Securitatea personalului;
- Securitatea suporilor de stocare a informaiilor;
- Securitatea echipamentelor i programelor de calculatoare;
- identificare i autorizare;
- controlul logic al accesului;
- auditul de securitate i al conturilor;
- verificarea efectiv a depozitrilor, pstrrii.
- Securitatea comunicaiilor:
- infrastructura de reea;
- puni, aparate de rutare (routere), porile, programele de protecie mpotriva intruziunilor;
- Internetul i alte conexiuni externe.
- Continuitatea activitii, incluznd planificarea situaiilor neprevzute/restaurarea dup un dezastru, strategie i plan(uri).
3.3.Procedurile de urmat3.3.1.Verificarea de conformitate
Verificarea de conformitate se face pentru revizuirea i analizarea mecanismelor de control implementate. Se folosete pentru a verifica dac sistemele sau serviciile informaionale sunt armonizate (n concordan) cu cerinele de securitate documentate n politica de securitate a informaiilor i n planul securitii informaiilor, incluznd documentaia configuraiei pentru elementele individuale hard i soft. Verificarea de conformitate se poate folosi pentru a controla conformitatea:
Noilor sisteme i servicii informaionale dup ce acestea au fost implementate;
Existenei sistemelor i serviciilor informaionale, dup trecerea perioadelor de timp (ex. anual);
Existenei sistemelor i serviciilor informaionale cnd au fost fcute modificri ale politicii de securitate ale sistemelor de securitate, pentru a observa ce ajustri sunt necesare pentru a menine nivelul de securitate necesar.
Mecanismele de control pentru protecia sistemelor informaionale pot fi verificate prin:
conducerea unor inspecii i teste periodice;
monitorizarea performanei operaionale mpotriva incidentelor actuale n desfurare;
conducerea verificrilor prin sondaj pentru a observa starea nivelelor de securitate i obiectivelor n anumite zone de sensibilitate sau interes.
Verificarea de securitate ar trebui s fie bazat pe lista de mecanisme stabilit din rezultatele analizei de risc a politicii de securitate a sistemelor, precum i procedurile operaionale de securitate care au fost aprobate de conducere, inclusiv raportarea incidentelor. Obiectivele verificrilor sunt de a stabili dac mecanismele sunt implementate i utilizate corect.3.3.2 .Managementul Configuraiei
Sistemele informaionale i mediul n care acestea opereaz sunt ntr-o continu schimbare. Schimbrile pot rezulta din noi ameninri sau vulnerabiliti.
Schimbrile sistemelor informaionale pot include:
Noi proceduri;
Noi caracteristici;
Actualizri;
Schimbri ale echipamentului;
Noi utilizatori pentru a include grupurile (de utilizatori) externi sau grupurilor (de utilizatori) anonimi;
Conectri i interconectri suplimentare.
Cnd are loc sau este planificat o modificare a sistemului informaional, aceasta trebuie s fie gestionat n cadrul procesului de management al configuraiei. Este important s se determine ce impact va avea acea modificare, asupra securitii sistemului. Pentru schimbrile majore care includ achiziionarea de noi componente hard, soft sau servicii, este necesar o analiz pentru determinarea noilor cerine de securitate. Pe de alt parte, modificrile numeroase fcute sistemului sunt minore n esen i este posibil s nu necesite analize extinse. De asemenea, trebuie luate n considerare costurile i beneficiile oricrei modificri a sistemului.3.3.3. Supravegherea
Un element esenial n ndeplinirea obiectivelor de securitate este de a msura, pe principii de baz, aderena la politica de securitate. Supravegherea este o parte important a meninerii securitii informaionale.
Tehnica de management pentru controlul zilnic al supravegherii este stabilirea i documentarea procedurilor operaionale de securitate pentru activitile necesare. Acest document trebuie s descrie toate aciunile necesare pentru a asigura c este meninut nivelul securitii pentru toate sistemele i serviciile. De exemplu, procedurile administrative trebuie s fie stabilite astfel nct s asigure c ncercrile i breele reale sunt investigate, cercetate ntr-o perioad de timp oportun i, cnd este adecvat:
S fie ntreprinse aciuni corective i disciplinare prompte;
S fie rectificate condiiile care au condus la crearea breelor.
Unele din aceste bree de securitate pot duce la o reanalizare a msurilor i procedurilor de securitate. Dac este necesar, aceasta poate duce la o modificare sau perfecionare a nivelului de securitate.
De exemplu, rapoartele de violare a securitii instituiei pot indica deficiene n cadrul msurilor de securitate existente, practicilor i procedurilor. Sau, de exemplu, testarea periodic a Planului de Restaurare a Activitii, innd seama de arhitectura de securitate, poate demonstra insuficiene sau ntrzieri n procesul de restaurare i reluare.
In orice caz, eficacitatea sistemelor de securitate a informaiilor trebuie s fie revizuite ntr-o perioad definit, pentru a asigura c obiectivul de securitate i politicile specifice ale instituiei sunt atinse. Este necesar ca responsabilitile instituiei, de exemplu, s fie extinse sau modificate, importana relativ a informaiilor deinute s necesite reevaluare. n plus, dac instituia este restructurat, este necesar reevaluarea responsabilitii pentru securitatea informaiilor.
Este important ca proiectul i implementarea msurilor, practicilor i procedurilor pentru sistemele de securitate a informaiilor, s fie ntreprinse, ct de extins este posibil, simultan cu implementarea unui noi sistem informaional. Implementarea retroactiv a securitii, odat ce sistemul informaional este operaional, nu este numai dificil i scump dar poate s nu fie eficace. 3.3.4. Gestionarea Incidentelor
Niciun sistem de securitate al informaiilor nu funcioneaz perfect tot timpul. Uneori exist evenimente pozitive sau negative. Este necesar documentarea ambelor tipuri de evenimente i ntreprinderea oricror analize pentru determinarea impactului i a aciunilor de modificare sau corectare necesare.
Scopul analizei incidentului este de a:
mbunti revizuirii analizei i managementului riscului;
Asistena n prevenirea incidentelor;
Ridicarea nivelului de contientizare a rezultatelor legate de securitatea informaiilor;
Furnizarea informaiei de Alert pentru utilizarea asemenea echipelor de reacie n caz de urgen.
Legat de acestea, alte aspecte principale care pot fi luate n considerare, includ:
Utilizarea unui sistem standard pentru clasificarea incidentelor de securitate vezi Anexa C;
Stabilirea planurilor de predeterminare pentru gestionarea Incidentelor Nedorite cnd au loc, dac au fost cauzate de factori interni sau externi;
Pregtirea personalului nominalizat (numit) n investigarea incidentelor, de exemplu pentru alctuirea echipelor de reacie n caz de urgen.
Planurile predeterminate trebuie s cuprind:
Pregtirea msurile preventive pre-documentate, instruciunile i procedurile de gestionare a incidentelor, documentaia necesar i planurile de continuare a activitii;
Notificarea procedurile, mijloacele i responsabilitile pentru raportarea incidentelor i cui se raporteaz;
Evaluarea procedurile i responsabilitile pentru investigarea incidentelor i determinarea gravitii acestora;
Gestionarea procedurile i responsabilitile pentru administrarea acestora, limitarea avariilor provocate de acestea, eradicarea acestora i notificarea conducerii;
Restaurarea procedurile i responsabilitile pentru restabilirea unui serviciu normal;
Revizuirea procedurile i responsabilitile pentru aciunile post-incident, incluznd investigaiile implicaiilor juridice i analizele tendinelor.
Mecanismele implementate pot s funcioneze efectiv dac sunt verificate, utilizate corect i orice schimbri sau bree sunt detectate i administrate cu promptitudine.
De-a lungul timpului exist o tendin sau pericol pentru performana planului de securitate a informaiilor ca acesta s se deterioreze, dac nu exist aciuni de urmat sau monitorizare.
Managementul securitii informaiilor este un proces n derulare care continu dup implementarea planului de securitate a informaiilor. Este nevoie ca toate aspectele acestuia s fie auditate.
Figura 1 arat activitile implicate n acest pas.
ntreinere
Multe mecanisme vor necesita ntreinere i suport administrativ pentru a fi siguri c acestea vor continua s funcioneze corect i vor asigura nevoile de desfurare a activitii. Costul ntreinerii i administrrii mecanismelor de control trebuie s fie luate n considerate la selectarea mecanismelor relevante, pentru c aceste costuri pot varia cresctori de la un mecanism la altul.
ntreinerea activitilor include:
Verificarea fiierelor de jurnale (nregistrri);
Modificarea configuraiei i parametrilor pentru a reflecta schimbrile sau adugrile;
Reiniializarea valorilor iniiale sau contoarelor de nregistrare;
Actualizarea cu noile versiuni.
Toate modificrile vor necesita schimbri ale documentaiei, care trebuie s fie ncadrate n managementul configuraiei oficiale (aprobate).4.REVIZUIREA POLITICILOR DE SECURITATE4.1.GeneralittiPolitica poate deveni inadecvat din cauza schimbrilor tehnologice care au loc, legislaiei i reglementrilor, ameninrilor sau operaiilor. Politica trebuie reanalizat anual pentru a i se asigura valabilitatea i acceptabilitatea (caracterul adecvat).Cu aceasta ocazie se asigura un character ciclic al actiunilor dupa cum apare in figura urmatoare:
Participanii trebuie s revizuiasc securitatea sistemelor i reelelor informaionale i s fac modificrile adecvate la politicile de securitate, acces, msuri i proceduri.
n contextul n care majoritatea politicilor guvernamentale de securitate este lsat instituiilor pentru a rezolva n particular fiind gestionarii informaiilor, nseamn c instituiile sunt cele mai n msur s aprecieze valoarea, ameninrile, riscurile i msurile adecvate pentru protecia lor.
Instituiile se gsesc permanent ntr-o provocare cu ameninri la adresa informaiilor i sistemelor informaionale, cum ar fi atacuri pentru blocarea serviciilor, virusarea sistemelor i exploatarea vulnerabilitilor. Aceasta a dus, de asemenea, la o nmulire a produselor de securitatea informaiilor pe pia la care instituiile sunt expuse, care pretind s combat riscurile de securitate.
Este unanim acceptat c nu se poate asigura o securitate perfect. Este nevoie ca riscurile securitii informaiilor s fie gestionate. Produsele de securitate pot furniza o oarecare protecie dar necesitatea i eficiena acestor produse va depinde de managementul cuvenit al securitii informaiilor. La fel de important ca i acoperirea vulnerabilitilor.
Datorit conectivitii sporite a infrastructurii informaionale (telecomunicaii, bnci i finane, transport i distribuie, energie i utiliti, servicii de informaii i alte servicii guvernamentale critice cunoscute ca Infrastructura Informaional Naional), limitele sistemului dispar rapid. Este necesar ca instituiile s-i revizuiasc regimul de securitate existent pentru a evalua implicaiile acestei interconectri i orice alte modificri ale ameninrilor sau riscurilor ce decurg din cauza lor.
5.STUDIU DE CAZ:
Organizarea si structurarea politicilor de securitate in cadrul unei organizatii
Generalizarea utilizrii inovrii ca baz a evoluiei societii, schimbarea cutumelor de difuzare a informaiei de la canale restrnse, ierarhice, pentru decizii puternic centralizate, la flexibilizarea i aplatizarea ierarhiilor, transformarea modurilor tradiionale de producie n ntreprinderi i corporaii virtuale capabile s reacioneze rapid la dinamica pieei i includerea efectiv a informaiei printre factorii de producie sunt repere relevante ce modific substanial perspectiva evoluiilor economico-sociale contemporane.
n egal msur, creterea dependenei societii de tehnologie, n general, i de infrastructura i sistemele informatice i de comunicaii, n particular, sporete vulnerabilitatea utilizatorilor n faa oricror ameninri la adresa acestora. Atenia nu trebuie concentrat doar asupra noilor ameninri, ci i asupra modului n care acestea influeneaz riscurile i ameninrile tradiionaleAcest exemplu de formul de Politic de Securitate a Informaiilor este furnizat pentru a ndruma instituiile pentru dezvoltarea i revizuirea politicilor proprii. n esen este general i n niciun caz definitiv. Fiecare instituie trebuie s evalueze dac coninutul acestuia este relevant pentru propriul mediu i pentru cerinele activitilor specifice. Urmeaz, mai jos, exemplul formulei de politic de securitate
(NUMELE INSTITUIEI)
POLITICA DE SECURITATE A INFORMAIILOR
Introducere
Informaiile sunt baza pe care (numele instituiei) i conduce activitatea. Ca i gestionar al unui mare volum de informaii care sunt personale, comerciale sau senzitive politice, (numele instituiei) are o responsabilitate fundamental n protecia informaiilor mpotriva modificrii accidentale sau neautorizate, pierderii, transmiterii sau impactului asupra securitii i bunstrii persoanelor. Mai mult, informaiile veridice trebuie s fie disponibile pentru ntreprinderea activitilor zilnice ale (numele instituiei).
Caracteristic, informaiile joac un rol vital n susinerea proceselor activitii i serviciilor pentru beneficiari, n sensul contribuiei la deciziile activitilor strategice i operaionale i n consens cu cerinele legale i statutare. n consecin, informaiile trebuie s fie protejate la un nivel echivalent cu valoarea lor n cadrul instituiei.
Rol
Rolul securitii informaiilor este de a proteja (numele instituiei) mpotriva impactului nefavorabil asupra reputaiei i operaiilor care pot rezulta din cauza pierderii:
Confidenialitii n contextul accesului sau divulgrii informaiilor fr competen;
Integritii n contextul caracterului complet, acurateei i rezistenei la modificrile neautorizate sau distrugerii, deteriorrii;
Disponibilitii n contextul continuitii, proceselor activitii i pentru capacitatea de restaurare n eventualitatea unei distrugeri;
Obiective
Obiectivele acestei politici sunt de a:
Asigurarea continuitii (numele instituiei) i serviciilor acesteia pentru beneficiari i parteneri;
Minimizarea posibilitii unei ameninri la adresa securitii informaiei, cauznd daune sau prejudicierea (numele instituiei), Statului, beneficiarilor sau partenerilor de activiti;
Minimizarea extinderii daunei sau prejudiciului din cauza unei bree de securitate sau unei expuneri;
Asigurarea c sunt aplicate resurse adecvate pentru implementarea unui program eficient de securitatea informaiilor;
Informarea ntregului personal din (numele instituiei), altor instituii guvernamentale, beneficiarilor sau partenerilor care au acces la informaiile (numele instituiei), despre responsabilitile i obligaiile pe care le au pentru respectarea securitii;
Asigurarea c principiile securitii informaiilor sunt complete i aplicate n mod eficace pe timpul planificrii i derulrii activitilor (numele instituiei).
Scop
Aceast politic se aplic pentru:
Toi utilizatorii informaiilor (numele instituiei), inclusiv furnizorilor de servicii;
Toate valorilor informaionale inclusiv faciliti, instalaii, date, programe (soft), documentelor tiprite i personalului.
Facilitile includ toate echipamentele, precum i infrastructura fizic i de mediu, astfel:
Procesoarele calculatoarelor de orice capacitate, generale sau pentru activiti speciale, inclusiv calculatoarelor personale;
Echipamentului periferic, staiilor de lucru i echipamentului terminal;
Cablajelor i echipamentelor de telecomunicaii i comunicaii de date;
Echipamentului de reea local sau global;
Sistemelor de control al mediului, inclusiv sistemelor de aer condiionat i alte echipamente de rcire;
Echipamentului de alarmare i protecie;
Serviciilor de utilitate necesare, inclusiv electricitate, gaz i ap;
Cldirilor i construciilor pentru cazarea personalului i funcionarea echipamentelor
Datele includ att datele brute i cele prelucrate:
Fiierele de date electronice, indiferent de mediul de stocare pe care acestea sunt nmagazinate, inclusiv datele n format hrtie i datele aflate n tranzit;
Informaiile derivate din datele prelucrate, indiferent de mediul de stocare sau de prezentare al acestora;
Programele (soft) includ programele dezvoltate (create) local i cele din surse externe:
Programele ca sisteme de operare, utilitile acestora i programele suport;
Programele de validare (sprijin) ale aplicaiilor, inclusiv managementul bazelor de date, telecomunicaii i programele de reea;
Aplicaiile de calculator.
Documentele tiprite includ sistemele de documentaii, manualele de ntrebuinare, planurile de continuitate, contractele, instruciunile i procedurile.
Personalul include angajaii, contractorii, consultanii, furnizorii de servicii, reprezentanii beneficiarilor i colaboratorilor, alte persoane care acceseaz datele i informaiile instituiile.
Abordare
(Numele instituiei) adopt o abordare pro-activ a managementului securitii informaiilor i utilizeaz urmtoarele standarde de management al securitii informaiilor (enumerarea acestor standarde), standarde de management al riscului (enumerarea acestor standarde) ca i cadru de lucru.
Aplicarea tehnicilor de management al riscului, valorile informaionale vor fi evaluate n scopul determinrii valorii lor individuale pentru (numele instituiei) i pentru alegerea msurilor de protecie adecvate. Aceast evaluare va lua n considerare relevana juridic i statutar a cerinelor de conformitate.
Obligaii
Regula de urmat este c mecanismele instalate vor fi eficace conform standardelor de securitate i cerinelor de conformitate care au anumit relevan pentru (numele instituiei). Aceste mecanisme vor fi concentrate pe cerinele subliniate aici.
Autentificarea
Utilizatorii informaiilor vor fi identificai cnd acceseaz informaiile.
IntegritateaPentru asigurarea caracterului complet i acurateea pe timpul extragerii, stocrii, procesrii i vizualizrii informaiilor, vor exista mecanisme de control/protecie adecvate.
ConfidenialitateaPentru a se asigura diseminarea informaiilor numai utilizatorilor autorizai, vor exista mecanisme de control/protecie adecvate.
Disponibilitatea Pentru a se asigura c informaiile vor fi diseminate, pentru derularea activitilor (numele instituiei), cnd este necesar, vor exista mecanisme de control/protecie adecvate. CertitudineaPentru a se asigura c informaiile disponibile sunt complete i corecte, vor exista mecanisme de control/protecie adecvate.
Responsabilitatea Pentru a se asigura responsabilitatea pentru informaiile produse de furnizori sau utilizatori, vor exista mecanisme de control/protecie adecvate.
ConduitValorile informaionale deinute, nchiriate sau date spre nchiriere de (numele instituiei), vor fi numai pentru conducerea activitii instituiei; nu va fi permis utilizarea informaiilor n scopuri personale sau orice alte scopuri.
Educaia i pregtirea(Numele instituiei) recunoate importana educaiei de securitate i nevoia de pregtire i continuare a programelor de educaie pentru tot personalul (numele instituiei), beneficiarilor, colaboratorilor i partenerilor.
Responsabiliti
Managerul responsabil pentru Securitatea Informaiilor (numit CIO-Chief Information Officer) va coordona dezvoltarea instruciunilor i procedurilor pentru implementarea acestei Politici i va fi responsabil pentru revizuirea nentrerupt a eficacitii. Managerul trebuie s asigure informarea ntregului personal cu obligaiile i responsabilitile lor pentru respectarea instruciunilor i procedurilor.
ntreg personalul, angajai, contractori, consultani sau vizitatori, trebuie s se supun instruciunilor de securitatea informaiei, procedurilor i mecanismelor i s joace un rol activ n protecia valorilor informaionale ale instituiei. Ei nu trebuie s acceseze sau opereze n aceste informaii fr a avea autoritatea necesar i trebuie s raporteze breele de securitate sau expunerile, managerului responsabil pentru Securitatea Informaiilor.
Managerii au responsabilitatea de gestionari ai datelor i altor valori informaionale care susin activitile instituiei, sub supravegherea de asigurare c acele informaii valori sunt protejate corespunztor. De asemenea, managerii trebuie s asigure c instruciunile, procedurile i mecanismele sunt observate pe timpul derulrii acelor activiti.
Administratorul de securitate a informaiilor este responsabil pentru administrarea zilnic a procedurilor i practicilor de securitate a informaiilor. Aceast persoan raporteaz direct Managerului responsabil pentru Securitatea Informaiilor ndeplinirea procedurilor i practicilor de securitate a informaiilor.
Supravegherea i Revizuirea
Conformitatea Politicii va fi supravegheat dup o regul de baz. Pentru supravegherea activitilor utilizatorilor pe timpul folosirii valorilor informaionale, se vor produce jurnale de securitate i audit.
Aceast politic, mpreun cu procedurile i instruciunile suport, va fi revizuit cel puin o dat anual pentru a se asigura caracterul complet, eficacitatea i utilitatea.
Sanciuni
Breele deliberate de sustragere de la principiile acestei Politici, instruciuni i proceduri pe care aceasta le implementeaz, va duce la sanciunea disciplinar corespunztoare.
(Semntura)
Manager pentru Securitatea Informaiilor
(Data)
5.1.ablon pentru planul de securitate al informaiilorAcest exemplu de ablon are scopul de a fi un ghid. Ca regul general, nivelul detalierii n cadrul acestui plan trebuie s fie compatibil cu valoarea i importana informaiilor n cadrul obiectivelor instituiei. Planul de securitate trebuie s identifice complet i s descrie mecanismele instalate care funcioneaz sau sunt planificate a fi instalate.
(NUMELE INSTITUIEI)
PLANUL SECURITII INFORMAIILOR
IDENTIFICAREA VALORILOR INFORMAIONALE
Data:
Denumirea valorii (bunului)/Titlul
- Identificator unic i Numele dat valorii informaionale
Organizaia responsabil
- Lista organizaiilor responsabile pentru valoarea informaional
Informaii de contact(e)
- Numele persoanei (persoanelor) care cunosc informate despre aceast informaie sau gestionarul valorii informaionale
- nume
- titlu
- adres
- numr de telefon
Asimilarea responsabilitii pentru securitate
- Numele persoanei responsabile pentru securitatea informaiei
- nume
- titlu
- adres
- numr de telefon
VEDERE GENERAL ASUPRA VALORII INFORMAIONALE
Descrierea general / Scop
Prezentarea rolului sau scopului valorii informaionale;
Prezentarea fluxului procesului informaiei, de la introducere pn la rezultat;
Lista organizaiilor care o folosesc (interne i externe), tipul de date i prelucrarea prevzut;
Dup caz, descrierea configuraiei hard/soft necesar pentru valoarea informaional;
Dup caz, descrierea inter-relaionarea acestei valori informaionale cu altele.
Cerine de securitate a informaiei
Descrierea, n termeni generali, a cerinelor de securitate pentru informaie, n sensul celor trei cerine de protecie de baz (confidenialitate, integritate i disponibilitate. Pentru fiecare din aceste trei categorii, se indic dac cerinele sunt: foarte nalte, nalte, moderate sau sczute; Lista cu orice legi sau reglementri care, n mod specific, afecteaz confidenialitatea, integritatea, disponibilitatea, responsabilitatea, autenticitatea i certitudinea valorii informaionale.
5.2.VEDERE GENERAL A EVALURII RISCULUI
Metodologia Evalurii Riscului
- Descrie metodologia evalurii riscului folosit la identificarea ameninrilor i vulnerabilitilor sistemului. Include data cnd a fost derulat revizuirea. Dac nu exist nicio evaluare a riscului sistemului, include o dat de referin (luna i anul) pentru ncheierea evalurii.
Revizuirea Mecanismelor de Securitate
- Specific orice revizuire independent a securitii derulat pe valoarea informaional n ultimii trei ani.
Ameninri i Vulnerabiliti
- Centralizeaz ameninrile i vulnerabilitile identificate i consecinele care izvorsc din ele.
Valoarea Bunurilor
- Scurt centralizare a valorii bunului sau componentelor acestuia, dup caz, i baza evalurii.
Nivelul de Protecie Necesar
Scurt situaie a nivelului de protecie necesar, inclusiv un Profil de Protecie dac este necesar o evaluare a produselor sau sistemelor de securitate;
Include o formulare a riscului estimat i magnitudinii daunei rezultat din pierderea, ntrebuinrii greite sau accesului neautorizat ori modificrii informaiei n sistem.
Nivelul Acceptat al Riscului
- Scurt situaie a evalurii riscului rezidual acceptat dup implementarea mecanismelor identificate.
TRATAREA RISCULUI
Furnizeaz o matrice de nivel nalt a mecanismelor planificate pentru ameninrile identificate;
Descrie mecanismele implementate sau planificate pentru valorile informaionale, acoperind urmtoarele sectoare 5.3.MECANISME DE MANAGEMENT I ORGANIZAIONALE
Politica de Securitate a Informaiilor
Infrastructura de Securitate a Informaiilor
Procesul de Autorizare pentru Facilitile de Procesare a Informaiilor
Securitatea Accesului Terilor
Externalizarea
Procesarea pe calculatoare mobile
Lucru la distan
Controlul i clasificarea valorilor
Practica personalului
Contientizarea i pregtirea personalului
Concordana cu reglementrile legale i regulamentare
Concordana cu politicile i standardele de securitate
Gestionarea incidentelor
Procesul disciplinar
Managementul continuitii activitii
Auditul sistemului
MECANISMELE FIZICE I DE MEDIU
Zonele de securitate
Securitatea echipamentului
Politica biroului i monitorului curat
Securizarea hard (fizic) a utilizatorilor nedorii (neagreai)
Suprimarea autorizat a proprietii
MECANISME OPERAIONALE
Procedurile documentate de operare
Managementul de reea
Managementul configuraiei i schimbrii
Managementul incidentului
Separarea mediului de dezvoltare de cel operaional
Planificarea capacitii
Admiterea sistemului
Protecia mpotriva codurilor periculoase
Restaurarea informaiilor
Jurnalul evenimentelor i defeciunilor
Schimbul (substituirea) informaiilor i programelor
Securitatea comerului electronic
Securitatea potei electronice
Securitatea sistemelor electronice de birou
Securitatea informaiilor publicate electronic
Gestionarea i securitatea mijloacelor media
MECANISME TEHNICE
Autentificarea i identificarea utilizatorului
Politica controlului accesului
Managementul accesului utilizatorului
Revizuirea drepturilor de acces
Controlul accesului n reea
Controlul accesului n sistemul de operare
Controlul accesului la aplicaii
Utilizarea i supravegherea sistemului de acces
DEZVOLTAREA SISTEMULUI I NTREINEREA MECANISMELOR
Specificaiile cerinelor de securitate
Controlul aplicaiei
Criptografia
Restriciile pentru modificrile pachetelor de programe
5.4.Clasificarea standard a incidentelor de securitateIncidentele de securitate sunt clasificate n concordan cu:
Tipul incidentului (sunt 8 tipuri);
Situaia incidentului atunci cnd este raportat;
Cauzele incidentului.
TIPURI DE INCIDENTE DE SECURITATE
1) Accesul la date sau a unui sistem fr autorizare
Asemenea tentativ poate include:
utilizarea neautorizat a unu cont (privilegii sau altele);
accesul neautorizat al directoarelor, fiierelor i media;
plasarea de dispozitive soft sau hard pentru captur pe un segment de reea pentru capturarea datelor care se propag prin acel segment;
abuzul de relaii de ncredere (ex. ncrederea celor din acelai domeniu).
2) Modificarea datelor fr autorizare
Asemenea tentativ poate include:
plasarea de fiiere:
date noi;
coduri de virui sau troiani;
tergerea de date;
modificri de date:
modificarea permisiunii fiierelor (drepturile de accesare);
deteriorarea paginii de internet (web);
modificarea coninutului fiierului.
3) Blocarea serviciilor sau subminarea activitii sistemului
Asemenea incidente includ:
atac de blocare distribuit a serviciilor (DDoS) determinnd pierderea legturii externe cu reeaua prin inundarea cu pachete de date;
exploatarea vulnerabilitilor determinnd ntreruperea reelei;
determinarea distrugerii sistemului;
determinarea pierderii conectivitii sistemului;
determinarea cderii pariale sau totale a sistemului;
pierderi (daune) fizice sau deteriorarea sistemului.
4) Modificarea programului/programului integrat al sistemului sau mediului fr autorizare
Asemenea incidente includ:
instalarea de coduri ascunse fr autorizare (incluznd violarea de dezvoltatorii de sistem);
modificarea codului sistemului fr autorizare;
modificri ale cablajelor (conectri suplimentare, conectri de rack-uri);
adugarea de programe/sisteme fizice cu intenie ostil (ex. jurnalizarea de tastatur sau pentru accesarea ascuns);
nlturarea neautorizat, adugarea sau nlocuirea de echipamente.
5) Utilizarea sistemelor pentru procesarea sau depozitarea de date fr autorizare
Asemenea incidente includ:
utilizarea sistemelor pentru efectuarea unor lucrri neautorizate;
utilizarea sistemelor pentru comiterea unor atacuri asupra terilor (ex. blocarea serviciilor);
utilizarea sistemelor pentru stocarea neautorizat a datelor (ex. fiiere personale, fiiere audio i video, copii ilegale sau programe).
6) Sondare
Tentative pentru obinerea informaiilor care pot fi folosite pentru comiterea unui atac, incluznd:
scanri automate;
trimitere de impulsuri/scanri ale porturilor;
scanri ale traseelor;
scanri direcionate pe toat plaja de IP sau numai pe o ramur;
ingineria social;
informarea neautorizat despre capabilitile reelei/vulnerabilitilor;
schimbrile neautorizate ale parolelor.
7) Pierderea sau deteriorarea fizic
Transmiterea sistemelor sau datelor indisponibile pe timpul:
furtului;
vandalismului;
incendiului;
inundaiei;
deteriorrii.
8) Violarea unei politici de securitate explicite sau exprimate
Identificate de instituie n legtur cu propriile politici sau proceduri de securitate.
SITUAIA INCIDENTULUI
Incidentele pot fi clasificate astfel:
n desfurare/care continu n timp real, n prezent;
bnuite;
euate;
reuite.
Dup aceea, acestea se identific astfel:
accidentale;
deliberate.
CAUZELE INCIDENTELOR
Incidentele pot fi cauzate de:
angajai:
permaneni;
ocazionali, temporari, contractori.
Entitate extern;
Dezastre naturale.
6.CONCLUZIIEra informaional a indus schimbri profunde n evoluia riscurilor i n modul n care instituiile statului trebuie s rspund provocrilor i oportunitilor create de revoluia tehnologic. Sistemele de securitate trebuie s se adapteze acestor transf
