Teza de an. Scripnic Nadejda
-
Upload
scripnic-nadia -
Category
Documents
-
view
65 -
download
0
Transcript of Teza de an. Scripnic Nadejda
ACADEMIA DE ADMINISTRARE PUBLICĂ
Catedra Tehnologii Informaţionale Aplicate
TEZA DE AN:
„UTILIZAREA INSTRUMENTELOR
DE SECURIZARE A
INFORMAŢIEI”
Masterandul gr. 228 MP,Nadejda SCRIPNIC
Coordonator ştiinţific:Lector superior universitar
Olga CERBU
Chişinău, 2013CUPRINSUL
1
INTRODUCERE...........................................................................................................................3
1. Securitatea reţelelor...............................................................................................................7
2. Administrarea performanţei...............................................................................................12
2.1. Administrarea securităţii................................................................................................................12
2.2. Abordarea problemei securităţii datelor într-o reţea.....................................................................13
2.3. Modelul de securitate pentru un sistem.........................................................................................14
2.4. Diferenţe între OSI şi TMN..............................................................................................................16
3. Soluţii de securitate hardware şi software.........................................................................17
4. Securizarea unui sistem de operare....................................................................................22
4.1. Configurarea securității în sisteme Windows XP, Vista, Win7........................................................22
4.2. Configurarea securizarea sistemelor de operare de tip server.......................................................25
5. Cerinţe privind securitatea informaţiei în sistemul bancar.............................................28
5.1. Reglementări privind securitatea informaţiei în România..............................................................28
5.2. Standarde de securitate a informaţiei............................................................................................29
5.3. Securitatea informaţiei din perspectiva riscului operaţional..........................................................30
5.4. Securitatea informaţiei la nivel de sistem.......................................................................................32
CONCLUZII................................................................................................................................34
BIBLIOGRAFIE.........................................................................................................................37
INTRODUCERE
2
Securitatea informaţiilor este acum o problemă majoră cu care se
confruntă societatea electronică. Indiferent de dimensiunea organizaţiei, odată cu
creşterea explozivă a fluxului informaţional, o companie trebuie să găsească
elementele care să asigure protecţia potrivită la nivel de reţea şi nivel de aplicaţie
în faţa atacurilor din ce în ce mai sofisticate.
Securitatea informației se ocupă cu protejarea informației și sistemelor
informatice, de accesul neautorizat, folosirea, dezvăluirea, întreruperea,
modificarea ori distrugerea lor. Cele trei componente ale securității informației
sunt: confidențialitatea, integritatea și disponibilitatea. Confidențialitatea este
asigurată prin criptarea informației. Integritatea se obține prin mecanisme și
algoritmi de dispersie. Disponibilitatea e asigurată prin întărirea securității rețelei
sau rețelelor de sisteme informatice și asigurarea de copii de siguranță.
Sistemele informaţionale sunt ameninţate atît din interior cît şi din exterior.
Pot fi persoane bine intenţionate care fac diferite erori de operare sau persoane rău
intenţionate, care sacrifică timp şi bani pentru penetrarea sistemelor
informaţionale. Dintre factorii tehnici care permit fisuri de securitate pot fi anumite
erori ale software-ului de prelucrare sau de comunicare sau anumite defecte ale
echipamentelor de calcul sau de comunicaţie. De asemenea, lipsa unei pregătiri
adecvate a administratorului, operatorilor şi utilizatorilor de sisteme amplifică
probabilitatea unor probleme de securitate. Folosirea abuzivă a unor sisteme
(piraterie informatică) reprezintă, de asemenea, unul din factorii de risc major
privind securitatea sistemelor informatice.
Ameliorarea securităţii sistemelor informatice trebuie să fie un obiectiv
important al oricărei organizaţii.Trebuie însă avută în vedere asigurarea unui bun
echilibru între costurile aferente şi avantajele concrete obţinute. Măsurile trebuie să
descurajeze tentativele de penetrare neautorizată, să le facă mai costisitoare decît
obţinerea legală a accesului la aceste programe şi date.
3
Orice reţea conectată la internet are un potenţial ridicat de vulnerabilitate în
faţa unor atacuri sau acţiuni cu efecte distructive pentru resursele informaţionale
din această reţea.
Securitatea înseamnă de obicei că utilizatorii să nu poată executa decât
task-urile pe care sunt autorizaţi să le execute şi să obţină informaţiile pe care sunt
autorizaţi să le aibă. Utilizatorii nu trebuie să poată deteriora datele, aplicaţiile sau
sistemul de operare. Cuvântul securitate implică protecţia împotriva atacurilor rău-
voitoare; de asemenea implică controlul efectelor pe care le au erorile şi
defecţiunile echipamentelor. Dacă un sistem de securitate poate proteja împotriva
unui atac wireless probabil va preveni, de asemenea, şi alte tipuri de probleme.
Astfel pentru implimentarea unu sistem integrat de securitate a unei reţele
este necesar de a se identifica mai întîi marea parte de ameninţări ce urmează să
apară şi împotriva cărora se cere o protecţie maximă.
Securitatea informatică a devenit una din compenentele majore ale
internetului. Analiştii acestui concept au sesizat o contradicţie între nevoia de
comunicaţii şi conectivitate, pe de o parte, şi necesitatea asigurării
confidenţialităţii, integrităţii şi autenticităţii informaţiilor, pe de altă parte.
Domeniul relativ nou al securităţii informatice caută soluţii tehnice pentru
rezolvarea acestei contradicţii aparente. Viteza şi eficienţa
comunicaţiilor “instantanee” de documente şi mesaje conferă numeroase atuuri
actului decizional într-o societate modernă, bazată pe economie concurenţială. Însă
utilizarea serviciilor de poştă electronică, web, transfer de fodnuri etc. se bazează
pe un „sentiment”, adeseori fals de securitate a comunicaţiilor, care poate
transforma potenţialele cîştiguri generate de accesul rapid la informaţii, în pierderi
majore, cauzate de furtul de date sau de înserarea de date false ori denaturate.
Studiile arată că în medie 90% din breşele de securitate identificate nu sunt
datorate problemelor tehnologice ci instalării şi configurării necorespunzătoare sau
datorită nerespectării unor proceduri de utilizare şi administrare a sistemului. În
4
multe cazuri, aceste proceduri nici nu există. Trebuie deci să privim problema pe
ansamblu, adresând tehnologia, oamenii şi procedurile interne ale
companiei/organizaţiei.
Fig. 1. Securitatea la nivel de acces perimetral
Fig. 2. Securitatea la nivel informaţional
Securitatea trebuie să fie o caracteristică intrinsecă a sistemului. Un sistem
sigur este unul bine proiectat, implementat, utilizat şi administrat.
5
Pentru a avea o abordare de ansamblu, trebuie pornit de la lucrurile
elementare: uniformitatea infrastructurii din punct de vedere al sistemelor folosite,
administrarea centralizată, menţinerea la zi a sistemelor din punct de vedere al
patch-urilor şi fix-urilor (pentru sistemele de operare şi aplicaţiile instalate),
aplicarea unor configurări standard de securitate pe toate serverele şi staţiile de
lucru, în funcţie de rolul funcţional al acestora precum şi realizarea unor proceduri
standard de utilizare şi administrare.
Fig. 3. Penetrarea unei reţele de calculatore
Securitatea rețelelor de calculatoare este în acest moment parte
integrantă a domeniului rețelelor de calculatoare și ea implică
protocoale, tehnologii, sisteme, instrumente și tehnici pentru a securiza
și opri atacurile rău intenționate. Atacurile cibernetice au crescut
considerabil în ultimii ani, iar conform unor rapoarte Europol,
infracțiunile comise în spațiul cibernetic provoacă pagube anual de peste
1 trilion de dolari.[1]
1. Securitatea reţelelor
6
Fiind un domeniu complex, au fost create domenii de diviziune pentru a
putea face administrarea mai facilă. Acesta împărțire permite profesionistilor o
abordare mai precisă în privința instruirii, cercetării și diviziuni muncii în acest
domeniu. Sunt 12 domenii ale securității rețelelor specificate de International
Organization for Standardization (ISO)/International Electrotechnical
Commission(IEC):
1. Evaluarea Riscului e primul pas în administrarea riscului și
determină valoarea cantitativă și calitativă a riscului legat de o situație specifică
sau o amnințare cunoscută;
2. Politica de Securitate este un document care tratează măsurile
coercitive și comportamentul membrilor unei organizații și specifică cum vor fi
accesate datele, ce date sunt accesibile și cui;
3. Organizarea Securității Informației e un model de guvernare
elaborat de o organizatie pentru securitatea informației
4. Administrarea Bunurilor reprezintă un inventar potrivit unei scheme
clasificate pentru bunurile informaționale
5. Securitatea Resurselor Umane defineste procedurile de securitate
privind angajarea, detașarea și părăsirea de către un angajat a organizației din care
va face, face sau a făcut parte
6. Securitatea Fizica și a Mediului descrie măsurile de protectie pentru
centrele de date din cadrul unei organizații
7. Administrarea Comunicațiilor și Operațiunilor descrie controalele
de securitate pentru rețele și sisteme
8. Controlul Accesului priveste restricțiile aplicate accesului direct la
rețea, sisteme, aplicații și date
9. Achiziția, Dezvoltarea și Păstrarea Sistemelor
Informatice definește aplicarea măsurilor de securitate în aplicații
7
10. Administrarea Incidentelor de Securitate a Informației tratează
cum anticipează și răspunde sistemul la breșele de securitate
11. Administrarea Continuității Afacerii descrie mîsurile de protecție,
întreținere și recuperare a proceselor critice pentru afacere și sisteme
12. Conformitatea descrie procesul de asigurare a conformității cu
politicile de securitate a informației, standarde și reguli
Aceste 12 domenii au fost create pentru a servi ca bază comună pentru
dezvoltarea de standarde și practici de securitate eficiente și pentru a da încredere
activităților desfășurate între organizații.
Tot pe criterii de eficiență în abordare și usurință în învațare, atacurile de
securitate la adresa rețelelor sunt împartite cu carater general în: recunoaștere,
acces și de imposibilitate onorări cererii(DoS).
Atacuri interne
Multe atacuri privind securitatea rețelei provin din interiorul ei. La atacurile
interne se referă furt de parole (care pot fi utlizate sau vândute), spionaj industrial,
angajați nemulțumiți care tind de a cauza daune angajatorului, sau simpla utilizare
necorespunzătoare. Majoritatea acestor încălcări pot fi soluționate cu ajutorul
ofițerului de securitate a companiei, care monitorizează activitatea utilizatorilor
rețelei.
Puncte de acces nesecurizate
Aceste puncte de acces nesecurizate fără fir sunt foarte slabe împotriva
atacurilor din exterior. Ele des sunt prezentate pe comunitățile locale ale hakerilor.
Punctul slab este că orice persoană poate conecta un ruter fără fir ceea ce ar putea
da acces neautorizat la o rețea protejată.
8
Back Doors
Comenzi rapide administrative, erori de configurare, parole ușor
descifrabile pot fi utilizate de către hackeri pentru a avea acces. Cu ajutorul
căutătorilor computerizați (bots), hackerii pot găsi punctul slab al rețelei.
Denial of Service (DoS și DDoS)
Fig. 1.1. Sniffing şi spoofing
Un atac cibernetic de tip DoS (Denial of Service) sau DDoS (Distributed
Denial of service) este o încercare de a face ca resursele unui calculator să devină
indisponibile utilizatorilor. Deși mijloacele și obiectivele de a efectua acest atac
sunt variabile, în general el constă în eforturile concentrate ale unei, sau ale mai
multor persoane de a împiedica un sit sau serviciu Internet să funcționeze eficient,
temporar sau nelimitat. Inițiatorii acestor atacuri țintesc de obicei la situri sau
servicii găzduite pe servere de nivel înalt, cum ar fi băncile, gateway-uri pentru
plăți prin carduri de credite, și chiar servere întregi.
Hackers, Crackers, Script Kiddies
Hackerii Cuvântul hacker în sine are o mulțime de interpretări. Pentru
mulți, ei reprezintă programatori și utilizatori cu cunoștinte avansate de calculator
9
care încearcă prin diferite mijloace să obțină controlul sistemelor din internet, fie
ele simple PC-uri sau servere. Se referă de asemeni la persoanele care ruleaza
diferite programe pentru a bloca sau încetini accesul unui mare număr de
utilizatori, distrug sau șterg datele de pe servere. Hacker are și o interpretare
pozitivă, descriind profesionistul in rețele de calculatoare care-și utilizează
aptitudinile în programarea calculatoarelor pentru a descoperi rețele vulnerabile la
atacuri de securitate. Actiunea in sine, aceea de hacking e privită ca cea care
impulsionează cercetarea în acest domeniu.
Crackerii sunt niște persoane care au un hobby de a sparge parole și de a
dezvolta programe și virusuri de tip calul troian (en:Trojan Horse), numite Warez.
De obicei ei folosesc programele pentru uz propriu sau pentru a le relizeaza pentru
profit.
Script kiddies sunt persoane care nu au cunoștințe sau aptitudini despre
penetrarea unui sistem ei doar descarcă programe de tip Warez pe care apoi le
lansează cu scopul de a produce pagube imense. Aceste persoane sunt angajați
nemulțumiți, teroriști, cooperativele politice.
Viruși și viermi
Virușii și viermii reprezintă programe care au proprietatea de a se
automultiplica sau fragmente de cod care se atașează de alte programe (viruși) sau
calculatoare (viermii). Virușii de obicei stau în calculatoarele gazdă, pe când
viermii tind să se multiplice și să se extindă prin intermediul rețelei.
Trojan Horse
Acest virus este principala cauză a tuturor atacuri a sistemelor
informaționale. Calul Troian se atașează de alte programe. Când se descarcă un
10
fișier care este infectat cu acest virus el la urma sa infectează sistemul, unde oferă
hakerilor acces de la distanță unde ei pot manipula cu sistemul.
Botnets
Îndată ce un calculator (sau probabil mai multe calculatoare) au fost
compromise de un Troian, hackerul are acces la aceste calculatoare infectate, unde
de aici el poate lansa atacuri cum ar fi DDoS (Distribuited Denial of Service).
Grupa de calculatoare care sunt sub controlul hakerului se numesc botnets.
Cuvântul botnet provine de la robot, aceasta însemnând că calculatoarele
îndeplinesc comenzile proprietarului lor și rețea însemnând mai multe calculatoare
coordonate.
Sniffing/Spoofing
Sniffing se referă la actul de interceptare a pachetelor TCP (Transmission
Control Protocol). Spoofing se referă la actul de trimitere nelegitimă a unui packet
de așteptare ACK.
2. Administrarea performanţei
11
Permite colectarea, salvarea şi interpretarea statisticilor, optimizarea reţelei
cu resurse disponibile, detectarea modificărilor de performanţă, asigurarea călitaţii
serviciilor.
Detectează schimbările în performanţa reţelei cu ajutorul datelor statistice
(cronometre şi contoare) oferind astfel siguranţă şi calitate în funcţionarea reţelei.
Performanţa poate fi utilă şi pentru managementul faulturilor (pentru a
detecta erorile), pentru administrarea conturilor (pentru a adapta costurile) şi pentru
administrarea configuraţiei (ce modificare este necesară pentru o configuraţie
optimă).
2.1. Administrarea securităţii
O reţea de calculatoare este o structură deschisă la care se pot conecta noi
tipuri de echipamente (terminate, calculatoare, modem-uri etc.), lucru care conduce
la o lărgire nu întotdeauna controlată a cercului utilizatorilor cu acces nemijiocit la
resursele reţelei (programe, fişiere, baze de date, trafic etc.).
Administrarea securităţii permite administratorului să iniţializeze şi să
modifice funcţiile care protejează reţeaua de accese neautorizate. Părţile
importante ale administrării securităţii sunt:
• protecţia împotriva tuturor ameninţărilor asupra resurselor, serviciilor şi
datelor din reţea;
• asigurarea autorizării, autentificării, confidenţialităţii şi controlului
drepturilor de acces ale utilizatorilor;
• administrarea cheilor de criptare;
• întreţinerea zidurilor de protecţie;
• crearea conectării securizate.
Vulnerabilitatea reţelelor se manifestă pe două planuri: atacul la
integritatea ei fizică (distnigeri ale suportuiui informaţiei) şi pe de altă parte
12
folosirea sau modificarea neautorizată a informaţiilor şi a resurselor reţelei
(scurgerea de informaţii din cercul limitat de utilizatori stabilit, respectiv utilizarea
abuzivă a resurselor reţelei de către persoane neautorizate).
Dintre factorii tehnici care permit fisuri de securitate pot fi anumite defecte
ale echipamentelor de calcul sau de comunicaţie sau anumite erori ale software-
ului de prelucrare sau de comunicare. De asemenea, lipsa unei pregătiri adecvate a
administratorilor, operatorilor şi utilizatorilor de sisteme amplifică probabilitatea
unor breşe de securitate.
Folosirea abuzivă a unor sisteme (piraterie informatică) reprezintă, de
asemenea, unul din factorii de risc major privind securitatea sistemelor
informatice.
În lucrarea de faţă administrarea securităţii este împărţită în securitatea
echipamentelor fizice, numită şi securitate fizică, securitatea aplicaţiilor, numită şi
securitate logică şi securitatea informaţiei.
2.2. Abordarea problemei securităţii datelor într-o reţea.
Abordarea problemei securităţii datelor într-o reţea presupune în primul
rând identificarea cerinţelor de funcţionare pentru acea reţea, apoi identificarea
tuturor ameninţărilor posibile împotriva cărora este necesară protecţia. Această
analiză constă în principal în 3 sub-etape:
• analiza vulnerabilităţilor: identificarea elementelor potenţial slabe ale
reţelei;
• evaluarea ameninţărilor: determinarea problemelor care pot apărea
datorită elementelor slabe ale reţelei şi modurile în care aceste probleme interferă
cu cerinţele de funcţionare;
• analiza riscurilor: posibilele consecinţe pe care problemele le pot crea.
13
Următoarea etapă constă în definirea politicii de securitate, ceea ce
înseamna să se decidă:
• care ameninţări trebuie eliminate şi care se pot tolera;
• care resurse trebuie protejate şi la ce nivel;
• cu ce mijloace poate fi implementată securitatea
• care este preţul (financiar, uman, social etc.) măsurilor de securitate care
poate fi acceptat.
Odată stabilite obiectivele politicii de securitate, următoarea etapă constă în
selecţia serviciilor de securitate, adică funcţiile individuale care sporesc securitatea
reţelei. Fiecare serviciu poate fi implementat prin metode (mecanisme de
securitate) variate pentru implementarea cărora este nevoie de aşa-numitele funcţii
de gestiune a securităţii. Gestiunea securităţii într-o reţea constă în controlul şi
distribuţia informaţiilor către toate sistemele deschise ce compun acea reţea în
scopul utilizării serviciilor şi mecanismelor de securitate şi al raportării
evenimentelor de securitate ce pot apărea către administratorii de reţea.
2.3. Modelul de securitate pentru un sistem
Modelul de securitate pentru un sistem (un calculator sau o reţea de
calculatoare) poate fi văzut ca avînd mai multe straturi ce reprezintă nivelurile de
securitate ce înconjoară subiectul ce trebuie protejat. Fiecare nivel izolează
subiectul şi îl face mai dificil de accesat în alt mod decît cel în care a fost prevăzut.
Securitatea fizică reprezintă nivelul exterior al modelului de securitate şi
constă, în general, în protecţia sub cheie a echipamentelor informatice într-un birou
sau într-o altă incintă precum şi asigurarea pazei şi a controlului accesului. Această
securitate fizică merită o consideraţie specială. Tot o problemă de securitate fizică
o constituie siguranţa păstrării suportilor de salvare (backup) a datelor şi
programelor. Reţelele locale sunt, în acest caz, de mare ajutor, copiile de rezervă 14
putându-se face prin reţea pe o singură maşină ce poate fi mai uşor securizată. O
altă problemă importantă în securitatea fizică a unui sistem informatic o constituie
pur şi simplu sustragerile de echipamente. În plus, celelalte măsuri de securitate
logică (parole etc.) devin nesemnificative în cazul accesului fizic neautorizat la
echipamente.
Într-un sistem în care prelucrarea este distribuită, prima măsură de
securitate fizică care trebuie avută în vedere este prevenirea accesului la
echipamente.
Securitatea logică constă din acele metode logice (software) care asigură
controlul accesului la resursele şi serviciile sistemului. Ea are, la rândul ei, mai
multe niveluri impartite în două grupe mari : niveluri de securitate a accesului (SA)
si niveluri de securitate a serviciilor (SS).
Securitatea accesului (SA) cuprinde:
• accesul la sistem (AS), care este răspunzător de a determina dacă şi când
reţeaua este accesibilă utilizatorilor şi în ce conditii.
• accesul la cont (AC) cu nume şi parolă validă;
• drepturile de acces (DA) la fişiere, servicii, resurse ale utilizatorului sau
grupului.
Securitatea serviciilor (SS), care se află sub SA, controlează accesul la
serviciile sistem, cum ar fi fire de aşteptare, I/O la disc şi gestiunea serverului. Din
acest nivel fac parte:
• controlul serviciilor (CS) avertizează şi raportează starea serviciilor,
activează sau dezactivează serviciile oferite de sitem;
• drepturile la servicii (DS) cum se foloseşte un seviciu dat.
Accesul intr-un sistem de securitate perfect trebuie să se facă prin aceste
niveluri de securitate, de sus în jos.
15
2.4. Diferenţe între OSI şi TMN
OSI are definit o singură arhitectură de administrare, în timp ce TMN
defineşte arhitecturi multiple la diferitele nivele de organizare a reţelei.
A doua diferenţă este că TMN oferă o structură pentru managementul
multi-nivel, cerinţă care există în reţelele reale. Managementul OSI nu oferă o
asemenea structură.
TMN sugerează o separare conceptuală între reţeaua de telecomunicaţii
care este administrată şi reţeaua care transferă informaţia ce trebuie administrată.
Această separare previne problemele de la administrare a erorilor, astfel încât
TMN are capacităţi mai bune la acest capitol decât OSI.
Reţeaua de comunicaţii de date (DCN - Data Communication Network)
cere introducerea de echipament suplimentar şi de sisteme de transmisie.
Problemele care pot apărea la DCN nu trebuie excluse, ceea ce implică necesitatea
unei administrări şi pentru DCN.
Reţeaua de telecomunicaţii nu are facilităţi de transport a informaţiei de
administrat, de aceea folosim DCN (reţelele de telefonie oferă un tip izocron de
servicii care este diferit de cel asincrom (orientat pe pachete)). Reţelele de
comunicaţii de date oferă capabilităţi mai bune de administrare a erorilor, astfel
încât avantajele acestor reţele depăşesc costurile lor.
16
3. Soluţii de securitate hardware şi software
Conceptul de securitate hardware se referă la posibilităţile de a preveni
furtul, vandalismul şi pierderea datelor. Se identifică patru mari concepte:
a) securizarea accesului – posibilitatea de a restricţiona şi urmări accesul
la reţea (posibilităţile de a îngrădi clădirile şi de a securiza punctele de acces în
cadrul unităţii)
b) securizarea infrastructurii – protejarea caburilor, echipamentelor de
telecomunicaţii şi dispozitivelor de reţea – gruparea pe cât posibil în locaţii
puternic securizate a tuturor echipamentelor de comunicaţie, camere de
supravegheat – cu conectare wireless pentru zone greu accesibile – firewall-uri la
nivel hardware, posibilitatea de a monitoriza modificarea cablării şi a
echipamentelor intermediare de comunicaţie – ex. monitorizarea switch-urilor,
routerelor etc.;
c) securizarea accesului la calculatoare – folosind lacăte pentru cabluri –
mai ales pentru laptopuri – carcase ce se pot închide, eventual cutii securizate ce
conţin unităţile centrale ale desktop-urilor;
d) securizarea datelor – în special pentru prevenirea accesului la sursele de
date – ca de ex. Hard disk-urile externe vor trebui ţinute în carcase prevăzute cu
lacăte, precum şi dispozitive de siguranţă pentru stick-uri USB. O atenţie foarte
mare trebuie oferită soluţiilor de back-up folosite, suporturile acestor date trebuiesc
să fie stocate şi transportate în locaţii şi în condiţii foarte sigure(stricte).
Implementarea unei soluţii de securitate foarte puternice este o procedură foarte
dificilă ce implică de multe ori costuri foarte mari, cât şi personal calificat şi foarte
disciplinat.
Cum s-a menţionat şi în fişa 1.3 se încearcă să se găsească un compromis
între nivelul de securizare dorit şi implicaţiile implementării acestor restricţii. O
dezvoltare a ideii de securizare hardware o reprezintă aşa-numitele elemente de
17
monitorizare hardware a reţelelor. Aceste soluţii sunt echipamente special
concepute a întreţine reţele întregi de calculatoare şi vin să înlocuiască
echipamentele uzuale.
De multe ori aceste echipamente conţin un întreg ansamblu de soluţii –
firewall, antivirus, criptări, IDS (Intrusion Detection System), VPN (virtial private
network), trafic snaping. Aceste soluţii se bazează pe cipuri ASIC (Application-
Specific Integrated Circuit) care sunt circuite integrate personalizate să efectueze o
anumită sarcină (se elimină cazurile generale, implementându-se algoritmi speciali,
specializaţi şi optimizaţi). Versiuni similare sunt aşa numitele SoC (System on a
Cip) care conţin şi alte blocuri funcţionale (procesare pe 32 de biţi, memorie ROM,
RAM, EEPROM, Flash). Aceste echipamente totuşi au preţuri foarte mari,
prohibitive pentru companiile mici şi mijlocii, ele folosindu-se în special în cadrul
marilor companii multi-naţionale.
Menirea unei soluţii de securitate software este de a înlocui şi eventual de a
îmbunătăţi soluţia de tip hardware (decizie luată în special din cauza preţului
dispozitivelor hardware specializate). Astfel şi soluţiile software se pot organiza cu
precizările următoare:
a) la nivelul „accesului” se pot folosi sistemele de monitorizare folosindu-
se de coduri de acces, camere de supraveghere cu detecţia mişcării
b) la nivel de „infrastructură” firewall-uri software, sisteme de
monitorizare ale reţelei în vederea detectării de modificări la nivel de cablări,
schimbări de configurare, declanşări de alarme, etc.;
c) la nivel de „date” – posibilităţi de backup automate, păstrate în diferite
locaţii, programe de criptare, etc;
d) la nivelul „calculatoarelor” - IDS (Intrusion Detection Systems) – care
pot monitoriza modificările din cadrul codului programelor şi sesizează activitatea
„neobişnuită” a reţelei, folosirea de aplicaţii de detectare a elementelor de tip
malaware (viruşi, spyware, adware, grayware);
18
Din alt punct de vedere este foarte important de evidenţiat faptul că aceste
soluţii de securitate se mai clasifică şi în funcţie de importanţa lor, astfel,
deosebim:
a) aplicaţii de tip firewall – pentru filtrarea datelor din cadrul unei reţele;
b) aplicaţii pentru detectarea codurilor dăunătoare: aplicaţii antivirus,
aplicaţii anti-spamware, anti-adware, anti-grayware la nivel de reţea;
c) obligativitatea actualizării de patch-uri pentru sistemele de operare şi
aplicaţii instalate pentru a minimiza posibilităţile de infectare folosind breşele de
securitate nou apărute.
Toate aceste aplicaţii sunt absolut necesare în orice reţea care este conectată
la Internet. Întrucât soluţiile de securitate care se pot seta la nivel de desktop (sau
laptop) sunt relativ limitate – în special prin prisma puterii de procesare şi de
disciplina şi cunoştinţele utilizatorilor – rămâne să se instaleze şi configureze
soluţii dedicate de securitate la nivel de reţea, soluţii de care să se folosească toţi
utilizatorii din cadrul ei.
Conform unui studiu al companiei Blue Coat1 care prezintă primele 5 cele
mai bune practici de securitate pentru conectarea la internet, se disting direcţiile de
urmat în următoarea perioadă (luni, ani) şi anume:
1. Alăturarea la o comunitate de supraveghere (community watch). Din ce
în ce mai mulţi utilizatori, se unesc în comunităţi de supraveghere păstrate în aşa
numitele „cloud services” – reţele între care există relaţii bine-stabilite, de
încredere şi dependenţă, bazându-se pe concepte de procesare în reţea(folosindu-se
astfel de puterea de procesare oferită de fiecare calculator din cadrul ei) – pentru a
se proteja unii pe alţii. Când o persoană detectează o ameninţare, aceasta este
percepută de fiecare utilizator din cadrul norului (cloud) astfel ajungând să se apere
fiecare utilizator. Aceste comunităţi sunt un pas foarte important în asigurarea
1 Solution Brief: Top Five Security Best Practices for you Web Gateway în 2009, din 06.05.2009, link http://networking.ittoolbox.com/research/top-five-security-best-practices-for-your-web-gateway-în-2009-19108
19
securităţii deoarece conferă avantaje foarte puternice comparativ cu alte soluţii
singulare, deoarece are la dispoziţie mai multe resurse şi soluţii defensive.
2. Schimbarea mentalităţii defensive „one against the Web” (singur
împotriva Internetului). Soluţiile personale de protejare împotriva atacurilor
criminale care vizează furtul de date, de orice natură, devin foarte repede
„învechite” întrucât aceste atacuri devin din ce în ce mai complexe şi mai
sofisticate tehnologic. Sistemele de protecţie bazate pe semnături actualizate zilnic
sunt forme de protecţie depăşite. Nu se compară aceste soluţii cu ceea ce se poate
oferi prin soluţiile cu design hibrid folosite de comunităţile de supraveghere, care
se bazează pe servicii de protecţie ce se actualizează odată la 5 minute, beneficiind
de serviciile defensive a peste 50 de milioane de utilizatori.
3. Schimbarea politicilor bazate pe „producţie” în politici bazate pe
„protecţie”. Dacă soluţia existentă la momentul actual este mai veche de 1 an,
atunci această soluţie este bazată pe „producţie” – adică la momentul instalării s-a
luat în calcul mărirea productivităţii utilizatorilor prin blocarea de site-uri cu
conţinut obscen şi neproductiv(ex. jocuri online). Cum s-a ajuns ca peste 90% din
conţinutul malaware să vină de la site-uri populare şi „de încredere”, Internetul-ca
un tot unitar - a ajuns să fie principalul „furnizor” de acest conţinut. Pentru
protejare de atacuri venite din Internet este necesar să se blocheze toate formele de
download venite din partea unor site-uri necunoscute sau cu reputaţii ştirbe,
blocând astfel o întreagă cale de acces al ameninţărilor de tip malaware în reţeaua
locală.
4. Folosirea de servicii Web real-time (în timp real) de evaluare. Conţinutul
Web cuprinde o multitudine de metode de filtrare de adrese URL care actualizează
zilnic listele URL statice conţinute de fiecare site. Serviciile Web care oferă
posibilitatea de a evalua site-urile devin unelte foarte puternice şi necesare pentru a
suplimenta valoare de protecţie oferită de soluţiile de filtrare de URL. Dealtfel
aceste servicii oferă un real ajutor şi utilizatorilor finali, oferind informaţii în timp
20
real cu privire la conţinutul paginilor vizitate, utilizatorii bucurându-se de navigări
relativ sigure folosind politici de securitate acceptabile.
5. Protejarea utilizatorilor ce se conectează de la distanţă. Posibilitatea de a
lucra la distanţă a devenit o foarte importantă unealtă de lucru pentru majoritatea
utilizatorilor. Adăugarea unui agent de tip client, legat la o comunitate de
supraveghere poate proteja mai bine utilizatorii la distanţă. Centralizarea politicilor
de management poate oferi protecţia necesară oferită de filtrarea de conţinut şi
blocarea de malware de pe site-urile detectate de o întreaga reţea defensivă a unei
comunităţi de supraveghere.
Producătorii de hardware au venit cu soluţia simplă de a oferi un nivel de
securitate crescut folosind funcţii bazate pe parole (maxim 8 caractere) pentru
accesul la resursele unui calculator, această formă de acces fiind o formă des
întâlnită, şi la îndemâna oricui. Este aşa-numita „parolare din BIOS”.
Sunt câteva aspecte care conferă acestei forme de securizare anumite
avantaje şi dezavantaje:
- este la îndemâna oricui (se regăseşte în orice laptop sau desktop);
- oferă un grad suplimentar de securitate sistemului, reţelei, etc.;
- se poate securiza doar setările BIOS sau şi partea de bootare (prin
parolarea doar a BIOS-ului se pot dezactiva de ex. alte surse pentru bootare);
- are un număr de 3 încercări pentru a introduce parola validă;
- nu se pot securiza datele de pe HDD (cu excepţia unor cazuri speciale – ex.
seria IBM ThinkPad), acestea fiind accesibile prin montarea în altă unitate;
- odată blocat sistemul este necesară intervenţia specializată (posibile soluţii
pentru utilizatorul obişnuit: resetarea BIOS-ului prin acţionarea unui buton, setarea
unui jumper sau scoaterea bateriei CMOS);
- pentru anumite tipuri de BIOS sunt deja cunoscute unele parole
„backdoor” care pot oferi acces pe sistem, făcând această formă de securizare
inutilă.
21
4. Securizarea unui sistem de operare
4.1. Configurarea securită ii în sisteme Windows XP, Vista, Win7ț
Windows XP și Windows 7 sunt cunoscute pentru stabilitatea şi eficienţa sa,
în contrast cu versiunile 9x de Microsoft Windows. Prezintă o interfaţă semnificant
modificată, mai prietenoasă pentru utilizator decât în celelalte versiuni de
Windows. Capacităţile de management noi al software-ului au fost introduse
pentru a evita "iadul DLL-urilor" care a marcat celelalte versiuni de Windows. Este
prima versiune de Windows care necesită activare pentru a combate pirateria
informatică, o facilitate care nu a fost primită cu plăcere de toţi utilizatorii.
Windows XP a fost criticat pentru vulnerabilităţile legate de securitate, pentru
integrarea aplicaţiilor ca Internet Explorer sau Windows Media Player şi pentru
aspecte legate de interfaţa implicită a spaţiului de lucru.
Pentru Windows deosebim câteva aspecte foarte importante în vederea
asigurării unui nivel de securitate minim:
discurile să fie formatate în sistem NTFS – prin acest sistem oferindu-se
posibilităţi de administrare foarte importante;
activarea Windows Firewall (sau instalarea unui program de la terţi);
realizarea de politici clare pentru parole şi obligativitatea introduceri
secvenţei CTRL+Alt+Delete pentru logare (anumite programe pot simula această
secvenţă pentru realizarea unei conexiuni ascunse);
Realizarea unor politici la fel de clare privind realizarea de backup–uri la
intervale regulate şi nu numai – pentru protejarea datelor în cazuri nedorite;
Activarea serviciului de Restore Point – procedura ce oferă posibilitatea
salvării unor stări de moment ale sistemului;
Stabilirea unor reguli de acces la Internet Explorer (Zona Local Intranet,
pentru site-urile din cadrul organizaţiei sau care se află în spatele firewall-ului
22
utilizatorului, Zona Trusted Sites, pentru site-uri care nu se află în spatele firewall-
ului utilizatorului, dar pentru care utilizatorul are încredere totală, Zona Restricted
Sites, pentru site-uri cunoscute de utilizator că fiind maliţioase, Zona Internet
Zone, pentru restul de site-uri, Zona My Computer, care însă de obicei nu e
configurabilă, deoarece controalele ActiveX pe care chiar sistemul de operare le
instalează rulează pe setările de securitate din această zonă)
Nu în ultimul rând este necesară acordarea de atenţie mărită datelor
critice cu caracter personal (conturi, parole, documente private) folosindu-se de
criptări EFS.
Windows Xp nu vine instalat cu un program antivirus şi de aceea este necesar să se
instaleze şi o astfel de aplicaţie (de preferat o soluţie Internet Suite – care conţine
şi alte aplicaţii gen anti-spyware, firewall, back-up, etc.).
Windows 7 are sute de facilităţi noi, cum ar fi o interfaţă grafică modernă şi
un stil vizual nou, Windows Aero, tehnologia de căutare îmbunătăţită, noi unelte
multimedia, precum şi sub-sistemele complet remodelate de reţea, audio,
imprimare şi afişare (display). Vista va îmbunătăţi comunicarea dintre maşini pe o
reţea casnică folosind tehnologia peer-to-peer, şi va facilita folosirea în comun a
fişierelor, parolelor, şi mediilor digitale între diverse computere şi dispozitive.
Pentru proiectanţii de software, Vista pune de asemenea la dispoziţie versiunea 4.0
a sistemului de proiectare numit .NET Framework.
De o securitate îmbunătăţită putem beneficia folosind şi ultima versiune a
aplicaţiei "Windows Firewall" inclusă în sistemul de operare Windows 7. Dar
securitate înseamnă mult mai mult decât updatarea sistemului de operare, o
aplicaţie antispyware/antivirus sau o aplicaţie firewall. Un sistem de operare
trebuie să ofere încredere utilizatorilor şi să protejeze datele (mai mult sau mai
puţin confidenţiale) stocate pe aceste sisteme. În acest domeniu al securităţii
(protecţia datelor, identitate şi control acces) intră şi tehnologiile "User Account
Control" sau "Internet Explorer 7 – Protected Mode".
23
"User Account Control" - tehnologie care nu există în Windows XP, apărând
prima dată în Windows Vista şi în Windows Server 2008 - reduce posibilitatea că o
aplicaţie cu privilegii minime (low) să dobândească în mod automat şi
necontrolat privilegii sporite şi să aibă acces la fişierele utilizatorului fără
consimţământul acestuia.
Această posibilitate există în Windows 2000/XP unde un utilizator (cu
drepturi de administrator) putea fi indus în eroare mai uşor să execute un anumit
cod (aplicaţie ostilă acelui sistem) şi care putea duce la compromiterea acestuia.
Internet Explorer rulează în mod normal la un nivel "Low" de integritate.
Orice aplicaţie care se descarcă din Internet va dobândi un nivel de integritate
"Low" (egal cu al procesului Internet Explorer) şi nu va putea să se execute şi să-şi
eleveze privilegiile compromiţând sistemul respectiv. Acesta este modul protejat
(Protected mode) în care rulează IE7 pe Windows Vista. Modul protejat oferit de
IE8 este o facilitate prezentă numai pe sistemul de operare Windows 7.
Un utilizator poate accesa şi modifica un obiect în Windows Vista numai
dacă nivelul sau de integritate este mai mare decât cel al obiectului.
În acest scop în Windows 7 sunt definite 3 politici obligatorii de acces:
No WRITE UP – o entitate nu poate modifica un obiect dacă posedă un
nivel de integritate mai mic decât al obiectului respective
No READ UP – o entitate nu poate citi un obiect dacă poseda un nivel de
integritate mai mic decât al obiectului respective
No EXECUTE UP – o entitate nu poate executa un obiect dacă posedă un
nivel de integritate mai mic decât al obiectului respectiv
Principii de securitate
Putem privi aceste tehnologii şi prin prisma altui principiu de securitate –
"principle of least privilege" sau "principle of minimal privilege" - "principiul
privilegiului minim" în care utilizatorul trebuie să aibă privilegii minime pentru
24
accesarea unui sistem informatic conform fişei postului şi sarcinilor pe care trebuie
să le îndeplinească.
În acest fel, în Windows 7 toţi utilizatorii au acelaşi nivel de integritate
(încredere) pe un sistem iar privilegiile administrative se folosesc doar în cazul în
care este necesar.
4.2. Configurarea securizarea sistemelor de operare de tip server
Windows Server 2003, 2008, 2012 sunt construite pe structura sistemului
Windows 2000 şi include toate facilităţile pe care un client le aşteaptă de la un
sistem de operare Windows Server: siguranţă, securitate şi scalabilitate. Familia
cuprinde patru produse:
Windows Web Server reprezintă o bună platformă pentru dezvoltarea
rapidă a aplicaţiilor şi desfăşurarea serviciilor pe Web. Este uşor de administrat şi
se poate gestiona, de la o staţie de lucru aflată la distanţă, cu o interfaţă de tip
browser.
Windows Standard Server este un sistem de operare în reţea care oferă
soluţii pentru firmele de toate mărimile. Acceptă partajarea fişierelor şi
imprimantelor, oferă conectivitate sigură la Internet, permite desfăşurarea
centralizată a aplicaţiilor din spaţiul de lucru, oferă colaborare între angajaţi,
parteneri şi clienţi, acceptă multiprocesarea simetrică cu două căi şi până la 4 GO
de memorie.
Windows Enterprise Server este destinat firmelor medii şi mari. Este un
sistem de operare cu funcţionare completă care acceptă până la 8 procesoare de tip
Intel Itanium.
Windows Data Center Server este o platformă pentru firmele cu un
volum mare de tranzacţii şi cu baze de date scalabile. Este cel mai puternic şi mai
funcţional sistem de operare pentru servere oferit de Microsoft.
25
În general, sistemele Windows se compun din trei clase de programe:
programele sistemului de bază; programele API (Application Programming
Interface) şi programele „maşini virtuale”.
Programele sistemului de bază asigură controlul fişierelor, servicii de
comunicare şi control în reţea, controlul maşinii virtuale, controlul memoriei,
controlul implementării standardului de interconectare „plag&play”.
Sistemul API cuprinde trei componente: nucleul Windows – Kernel,
interfaţa grafică cu echipamentele periferice GDI (Graphic Devices Interface) şi
componenta USER. Aceste componente sunt biblioteci de programe adresate
programatorului de aplicaţii şi mai puţin utilizatorului obişnuit.
Sistemul „maşini virtuale” asigură interfaţa cu utilizatorul şi aplicaţiile sale,
modulele din această clasă fiind apelate de sistemul API. Această componentă
asigură încărcarea şi folosirea corectă a spaţiului de adresare. Din această clasă
face parte şi programul Explorer.
Atunci când se ia în calcul politica de securitate pentru platformele
Windows Server 2003 şi 2008 trebuie evaluate obligatoriu următoarele:
Domain Level Acount Polices – reguli ce se pot seta la nivel de Group
Policies, setări care sunt aplicate la întreg domeniul: politici cu privire la parole,
blocarea conturilor, autentificarea folosind protocolul Kerberos – tot ceea ce uzual
se înţelege prin „acount polices” – politici de cont;
Audit Policy – posibilităţile de utilizare a politicilor de audit pentru a
monitoriza şi forţa setările de securitate instalate. Este obligatoriu să se explice
diferitele setări, folosindu-se de exemple, pentru a se înţelege ce informaţii se
modifică când acele setări sunt modificate;
User Rights – tratează diferitele posibilităţi de logon – drepturi şi
privilegii ce sunt puse la dispoziţie de sistemul de operare şi oferirea de îndrumare
privind care conturi ar trebui să primească drepturi distincte – şi natura acestor
drepturi;
26
Security Options – tratarea setărilor de securitate cu privire la date
criptate cu semnături digitale(digital data signature), statutul conturilor
„Administrator” şi „Guest”, accesul la unităţile de dischetă şi CD-ROM(sau
echivalent), instalarea driver-elor şi posibilităţile de logare(logon prompts);
Event Log – configurarea setărilor pentru diferitele jurnale care există
sum Windows Server 2003(respectiv 2008);
System services – utilizarea serviciilor care sunt absolut necesare şi
documentarea lor – dezactivarea serviciilor care nu sunt folosite sau necesare.
Personalizarea pe cât posibil a acestor servicii – pentru eliminarea setărilor „by
default”;
Software restriction polices – descrierea pe scurt a software-ului instalat
şi mecanismele folosite pentru restricţia rulării acestora;
Additional System Countermeasures – descrierea unor măsuri
suplimentare de securitate care sunt necesare, setări care rezultă din discuţia
privind rolul acelui server, posibilităţile de implementare, disponibilitatea
utilizatorilor şi existenţă personalului calificat – setări cum ar fi:setări care nu pot
fi introduse îîntr-o maniera compactă în cadrul Group Policies, setări la nivel de
drepturi pe fisiere (NTFS), SNMP, dezactivarea NetBIOS, setări Terminal
Services, setări IPsec, Dr. Watson, nu în ultimul rând setările cu privire la
Windows Firewall.
Additional Registry Entries – documentarea modificărilor necesare la
nivel de registri;
Este de reţinut faptul că în Windows 2008 s-a pus un accent mai mare pe
securitate , ca un exemplu dacă în Windows 2003 server cu SP1 erau în jur de
1700 de setări în Group Polices în Windows 2008 Server a crescut la aproximativ
2400.
27
5. Cerinţe privind securitatea informaţiei în sistemul bancar
Informaţia - cel mai important activ al oricărei organizaţii - este expusă în
prezent unui număr din ce în ce mai divers de ameninţări provocate de factori
interni sau externi. Conferinţa CYBERTHREATS 2007, organizată la sfîrşitul lunii
mai de Institutul Bancar Român, a reluat un subiect fierbinte pentru mediul bancar
şi nu numai: securitatea informaţiei, punînd în discuţie tendinţele şi ameninţările
actuale, reglementări, standarde şi proceduri în domeniu, implicaţiile Basel II,
impactul problemelor de securitate asupra riscului operaţional şi alte probleme
privind securitatea informaţiei în mediul bancar.
5.1. Reglementări privind securitatea informaţiei în România
Instituţiile de credit trebuie să se conformeze unor acte legislative, norme şi
regulamente care conţin prevederi privind securitatea informaţiei. Reglementări
specifice sistemului bancar sunt conţinute de Legea bancară, precum şi de norme
BNR, precum Norma 16/2004, privind tehnicile echivalente pentru garantarea
autenticităţii semnăturii, şi Norma 17/2003, pentru organizarea şi controlul intern
al activităţii instituţiilor de credit şi administrarea riscurilor semnificative.
În domeniul plăţilor electronice, cele mai importante reglementări sunt
Ordinul MCTI 218/14.06.2004 şi Regulamentul BNR 6/2006 privind tranzacţiile
efectuate prin intermediul instrumentelor de plată electronice şi relaţiile dintre
participanţi.
Alte reglementări privesc semnatura electronică (Legea 455/2001 a
semnăturii electronice, Legea 451/2004 privind marca temporală) şi comerţul
electronic (Legea nr. 365/2002, cu modificările aduse de Legea nr. 121/2006).
Dispunem şi de legislaţie privind prevenirea şi combaterea criminalităţii
informatice, Legea nr. 161/19.04.2003.
28
Un capitol aparte îl constituie legislaţia privind viaţa privată: Legea
677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor personale,
precum şi Legea 506/2004 privind prelucrarea datelor cu caracter personal şi
protecţia vieţii private în sectorul comunicaţiilor electronice.
La toate acestea se adaugă un număr important de Directive Europene în
domeniul securităţii informaţiei. Reglementările în vigoare acoperă doar parţial
spectrul problemelor pe care le ridică securitatea informaţiei, controlul în domeniul
tehnologiei informaţiilor, administrarea riscurilor şi calitatea serviciilor
informatice.
5.2. Standarde de securitate a informaţiei
Pentru tot mai multe instituţii bancare din România, standardele
internaţionale în domeniu constituie baza organizării activităţilor informatice şi a
securităţii. Printre cele mai importante standarde şi documente publicate privind
controlul securităţii informaţiei se numără:
-CobiT - Control OBjectives for Information and related Technology, dezvoltat
de IT Governance Institute, standard ce permite dezvoltarea de politici şi bune
practici pentru controlul informaţiei şi o mai bună aliniere între tehnologia
informaţiei şi afacere.
-Standardele ISO / IEC
•ISO / IEC 17799 - Code of Practice for Information Security Management, ce
defineşte principiile generale pentru implementarea sistemului de administrare a
securităţii informaţiei, precum şi cele mai bune practici privind obiectivele de
control.
•ISO / IEC 27001 - Specification for an Information Security Management System,
în baza căruia pot fi certificate sistemele de administrare a securităţii informaţiei.
29
De altfel, ISO a rezervat seria 27000 pentru standarde referitoare la administrarea
securităţii informaţiei, unele deja publicate, altele în curs de elaborare.
•ISO / IEC 20000 – Service Management, primul standard internaţional pentru
administrarea serviciilor informatice, ce conţine specificaţii de administrare a
serviciilor, precum şi un cod de practică.
-ITIL – Information Technology Infrastructure Library, un set de documente
create cu scopul de a facilita implementarea unei structuri pentru administrarea
serviciilor informatice. ITIL a fost adoptat rapid ca standard ’de facto’ pentru cele
mai bune practici în furnizarea serviciilor informatice.
-NIST Special Publications, documente dezvoltate de United States National
Institute of Standards and Technology, destinate agenţiilor federale, printre care
seria 500 - Information Technology şi seria 800 - Computer Security.
-Standard of Good Practice for Information Security, dezvoltat de Information
Security Forum, care priveşte securitatea informaţiei din perspectiva afacerii,
furnizînd o bază practică pentru evaluarea sistemului de securitate a informaţiei.
5.3. Securitatea informaţiei din perspectiva riscului operaţional
Riscul operaţional, elementul de noutate adus de Basel II, este definit ca
riscul de pierderi directe şi indirecte cauzate de factori interni şi de factori externi.
Riscul operaţional este cel mai controversat, cel mai puţin definit şi cel mai
probabil să evolueze major în următorii ani. Impactul riscului operaţional poate
afecta relaţia cu clienţii şi partenerii, iar implicaţiile sale valorice sunt greu de
măsurat cu precizie.
Printre factorii interni care influenţează riscul operaţional putem enumera:
derularea ineficientă a unor procese interne, pregătirea necorespunzătoare a
personalului, calitatea sistemelor utilizate. Problemele legate de securitatea
informaţiei intră şi ele în categoria factorilor care au implicaţii directe asupra 30
riscului operaţional: căderile parţiale sau complete ale sistemelor informatice,
problemele generate de atacuri informatice sau pătrunderi neautorizate, fraudele,
greşelile de operare, întreruperea activităţii pentru o perioadă oarecare, şi multe
altele.
Pentru a defini o bună practică privind asigurarea continuităţii operaţionale a
instituţiilor financiare, Joint Forum for Business Continuity - constituit în cadrul
Comitetului Basel - a emis documentul consultativ High-level Principles for
Business Continuity, adresat instituţiilor bancare, dar şi autorităţilor financiare,
avînd ca scop creşterea rezilienţei sistemului financiar global.
Planificarea corespunzătoare a continuităţii operaţionale, prin politici, standarde şi
proceduri pentru asigurarea menţinerii sau reluării în timp util a operaţiunilor în
eventualitatea producerii unor întreruperi, contribuie la reducerea riscurilor
organizaţiei şi adaugă valoare acesteia.
Cîteva standarde care pot constitui baza pentru organizarea asigurării
continuităţii operaţionale pentru instituţiile bancare sunt Good Practice Guidelines,
emis de Business Continuity Institute, PAS 56 si BS 25999, noul standard pentru
administrarea continuităţii operaţionale, emise de British Standards Institution.
Prima parte BS 25999-1:2006 Code of practice for business continuity
management, lansat în 2006, furnizează o bază pentru înţelegerea, dezvoltarea şi
implementarea continuităţii operaţionale într-o organizaţie. Cea de a doua parte BS
25999-2:2006 - Specification for business continuity management va cuprinde
cerinţe pentru definirea, implementarea, operarea, monitorizarea, verificarea,
întreţinerea şi perfecţionarea unui sistem documentat de administrare a
continuităţii operaţionale.
31
5.4. Securitatea informaţiei la nivel de sistem
Cerinţele de securitate a informaţiei cresc în contextul conectării instituţiilor
de credit la infrastructuri de plăţi, de decontări, la sisteme de raportări, constituite
la nivel naţional, regional sau global. Necesitatea asigurării securităţii la nivel de
sistem se traduce în cerinţe minime de securitate pentru fiecare participant,
problemele de securitate ale unui participant putînd afecta funcţionarea întregului
sistem.
Intrarea în funcţiune a Sistemului Electronic de Plăţi a impus condiţii
minime de securitate pentru participanţi şi condiţii de certificare tehnică pentru
participanţii cu procesare integrată (STP) în sistemul SENT. Luînd în considerare
cerinţele specifice impuse de Bank of International Settlement pentru sisteme de
tipul SENT, TransFonD îşi propune să modifice pentru viitor condiţiile de
certificare tehnică STP, în sensul solicitării unui audit anual de certificare de către
un auditor extern autorizat. Se va pune un accent mai mare pe analiza de riscuri şi
pe faptul că politica şi strategiile de securitate ale fiecărei bănci trebuie să acopere
această analiză de riscuri.
Noul sistem de raportări al instituţiilor de credit către BNR, devenit
operaţional la începutul acestui an, va impune şi un upgrade de securitate al reţelei
interbancare şi introducerea semnăturii digitale. Tot din 2007, raportările periodice
ale băncilor către Oficiul Naţional de Prevenire şi Combatere a Spălării Banilor,
raportări făcute anterior pe suport magnetic, se fac prin reţeaua inter-bancară, cu
cerinţe de securitate corespunzătoare.
În octombrie 2007, băncile din Romania au efectuat etapa a doua de migrare
la SWIFTNet, constînd în actualizarea mecanismelor de securitate şi
instrumentelor de administrare a relaţiilor cu băncile corespondente pentru
platforma SWIFTNet. Astfel, va fi introdus un model de securitate unic - bazat pe
32
infrastructura de cheie publica (PKI) - pentru accesul la toate serviciile
SWIFTNet.
Nu în ultimul rînd, prin aderarea României la Uniunea Europeană, instituţiile
de credit au acces la infrastructuri regionale de plăţi precum TARGET2,
TARGET2 Securities, sistemele EBA Clearing (EURO1, STEP1, STEP2) sau alte
infrastructuri de plăţi, care impun cerinţe specifice de securitate.
Tot în zona Euro, proiectul SEPA al zonei unice de plăţi în Euro implică
standardizarea instrumentelor de plată în Euro şi cerinţe noi pentru infrastructurile
de plăţi şi plăţile cu card-uri, incluzând şi o strategie de prevenire a fraudelor cu
card-uri, prin migrarea în tot spaţiul Euro la standardul EMV şi implementarea
3DSecure.
Fiind necesar să se conformeze acestui număr mare de reglementări,
standarde şi cerinţe, securitatea informaţiei trebuie considerată o problemă
generală a organizaţiei, necesită implicarea managementului la cel mai înalt nivel
şi trebuie să angreneze toate compartimentele de activitate ale unei organizaţii, de
la profesioniştii în domeniu pînă la utilizatorii informaţiei. Crearea unei culturi de
securitate a organizaţiei este esenţială, prin educarea continuă a personalului, prin
colaborarea permanentă cu partenerii în vederea unei abordări comune a
problemelor de securitate, dar şi prin constientizarea clienţilor asupra riscurilor
privind securitatea informaţiei.
33
CONCLUZII
Securitatea informatică a devenit una din compenentele majore ale
internetului. Analiştii acestui concept au sesizat o contradicţie între nevoia de
comunicaţii şi conectivitate, pe de o parte, şi necesitatea asigurării
confidenţialităţii, integrităţii şi autenticităţii informaţiilor, pe de altă parte.
Domeniul relativ nou al securităţii informatice caută soluţii tehnice pentru
rezolvarea acestei contradicţii aparente. Viteza şi eficienţa comunicaţiilor
“instantanee” de documente şi mesaje conferă numeroase atuuri actului decizional
într-o societate modernă, bazată pe economie concurentiaţă. Însă utilizarea
serviciilor de poştă electronică, web, transfer de fonduri etc. se bazează pe un
sentiment, adeseori fals, de securitate a comunicaţiilor, care poate transforma
potenţialele cîştiguri generate de accesul rapid la informaţii, în pierderi majore,
cauzate de furtul de date sau de înserarea de date false ori denaturate.
Deoarece niveluri diferite de conectivitate Internet devin esenţiale pentru
menţinerea competitivităţii companiilor, asigurarea securităţii infrastructurii de
reţea devine o cerinţă esenţială.
Companiile trebuie să conceapă o arhitectură a securităţii reţelelor, bazată
pe o politică de securitate a companiei.
În loc de a se focaliza numai pe un anumit tip de securitate, este important
să înţelegeţi că o astfel de soluţie completă de securitate a reţelelor este necesară
companiei pentru aşi proteja datele şi resursele informatice. Această soluţie trebuie
să includă autentificare şi autorizare, confidenţialitatea datelor şi securitatea
perimetrului.
O reţea de calculatoare reprezintă un sistem de calcul complex, format
din mai multe echipamente informatice individuale, omogene sau eterogene,
interconectate prin intermediul unui canal de comunicaţie, astfel încât să poată
folosi în comun anumite resurse hardware şi software. Aceste resurse pot fi 34
unităţile de disc, fişierele, bazele de date, imprimantele, echipamentele de
comunicaţie sau alte periferice.
Ar trebui ca toată lumea să folosească un antivirus şi un firewall, sunt
destul de user-friendly şi intuitive, nu vreau să încep să recomand eu vreun
antivirus sau firewall fiecare este liber să aleagă cel pe care-l doreşte. Ar mai fi
câteva chestii de zis, dar cred ca m-am lungit destul de mult. În concluzie ar trebui
să ţinem cont de câteva lucruri elementare şi de bun simţ:
- ce site-uri vizităm
- ce mail-uri deschidem, pe cine acceptăm în lista noastră de messenger, ce
link-uri accesăm şi de la cine
- sub nicio formă să nu deschidem programe dubioase sau link-uri primite
pe mail de la persoane necunoscute şi chiar şi cunoscute
- să nu oferim informaţii legate de conturile noastre pe diverse site-uri
- să nu avem activată opţiunea din browsere noastre care ne permite să
rulăm java script-urile automat, deoarece pot conţine coduri maliţioase care ne pot
afecta ulterior.
- tot timpul să fim cu update-urile la zi la toate soft-urile pe care le deţinem
în mod legal sau free
- periodic să dăm o scanare să vedem dacă totul funcţionează la parametri
normali
- să folosim parole diferite pentru toate conturile noastre, pentru că dacă un
cont a fost compromis şi avem aceaşi parolă peste tot, este foarte posibil să putem
rămîne fără toate conturile
- de preferat ar fi dacă am schimba parolele periodic
- nu scriţi parolele și nu le lăsaţi în locuri evidente, cum ar fi pe birou sau
pe monitor
- evitați cuvintele dicționar, nume, numere de telefon, și datele. Folosind
cuvinte dicționarul face parolele vulnerabile la atacuri de tip dictionar
35
- combină litere, numere și simboluri. Includeţi cel puțin o literă mică,
majusculă, cifre, şi caracter special
- scriţi greşit în mod intenţionat o parolă. De exemplu, Smith poate fi scris
ca Smyth sau poate include, de asemenea, numere, cum ar fi 5mYth. Un alt
exemplu ar putea fi să scriem cuvântul security scris ca 5ecur1ty
- asiguraţi-vă că parolele sunt suficient de lungi. Cea mai bună practică este
de a avea un minim de 8 caractere
- schimbați parolele cât mai des posibil. Ar trebui să aveţi o politică de
definire când și cât de des parolele trebuie să fie schimbate
- schimbarea parolei oferă frecvent două avantaje. Această practică
limitează fereastra de oportunitate în care un hacker poate sparge o parolă şi
limitează fereastra de expunere, după ce parola a fost compromisă.
36
BIBLIOGRAFIE
1. Bruce Hallberg, Reţele de calculatoare. Ghidul începătorului, Rosetti
Educaţional, Bucureşti, 2006. – 456 p.
2. Corneliu Buraga, Reţele de calculatoare - Introducere în securitate,
Universitatea A. I. Cuza Iasi, 2007
3. Habracken Joe, Reţele de calculatoare pentru începători, Editura ALL
4. Gil Held, Kent Hundley, Arhitecturi de securitate, Editura Teora, 2003
5. Ioan-Cosmin Mihai, Securitatea informațiilor, Editura Sitech, 2012
6. Ioan-Cosmin Mihai, Securitatea sistemului informatic, Editura Dunărea de
Jos, 2007
7. Mircea F. V., Tehnologii de securitate alternative pentru aplicaţii în reţea,
Universitatea Tehnică din Cluj Napoca, 2009
8. Ramón J. Hontanon, Securitatea rețelelor, Editura Teora, 2003
9. Victor Valeriu Patriciu, Monica Ene Pietroşanu, Ion Bica, Justin Priescu,
Semnături electronice și securitate informatică, Editura All, 2006
10. www.cisco.com
11. www.wikipedia.org
12. www.google.com
37