SMSI Curs Ingineri Sisteme de Securitate PDF
SMSI Curs Ingineri Sisteme de Securitate PDF
SMSI Curs Ingineri Sisteme de Securitate PDF
Pe suport electronic
Comunicate electronic
Video
Discuţii
Contextul Internet
Reţea globală
Acces rapid, ieftin, discret, fără urmă
Trafic în creştere
Oricine de oriunde
Arhitectură structural nesigură TCP-
IP
Nivele de securitate
Competitie
Cash Flow
Cerinte legale
Reputatie
?
Securitatea informaţiei – necesitate,
cerinţe, reglementări
Definiţia securităţii informaţiilor ?
Confidenţialitate
Asigurarea că informaţia este accesibilă doar acelora care sunt
autorizaţi să aibă acces.
Integritate
Protejarea corectitudinii şi caracterului complet
al informaţiei şi metodelor de procesare.
Disponibilitate
Asigurarea că utilizatorii autorizaţi au acces la
informaţii şi la bunurile asociate atunci când este necesar.
Securitatea informaţiei – necesitate,
cerinţe, reglementări
Obiectivele securităţii informaţiilor ?
Protejarea organizaţiei de o paletă largă
de pericole şi ameninţări interne şi externe
cu impact asupra securităţii informaţiilor
Asigurarea continuităţii operaţiunilor
Minimizarea pagubelor şi maximizarea
recuperării investiţiilor şi oprtunităţilor de
afaceri
Menţinerea neştirbite a competivităţii,
profitabilităţii, legalităţii, reputaţiei şi
imaginii organizaţiei
Securitatea informaţiei – necesitate,
cerinţe, reglementări
Necesitatea asigurării SI: cerinţe, aşteptări,
principii
Ameninţări Vulnerabilităţi
cresc
expun
protejează
indică
cresc au
impun
Cerinţe de protecţie Impact
Securitatea informaţiei – necesitate,
cerinţe, reglementări
Liste de ameninţări - exemple
Securitatea fizică şi a Securitatea echipamentului
mediului – Defecţiune aer condiţionat
– Incendiu – Particule conductive
– Atac cu bombă – Atac cu bombă
– Cutremur – Contaminare
– Contaminare mediu – Cădere alimentare
– Inundaţie – Deranjament hardware
– Fulger – Eroare de întreţinere
– Software dăunător
– Furt
– Accesarea reţelei de
– Preturbaţii industriale persoane neautorizate
– Vandalism – Eroare de utilizator
Securitatea informaţiei – necesitate,
cerinţe, reglementări
Liste de vulnerabilităţi - exemple
Administrare calculator şi reţea Sistem de control al accesului /
– Linii de comunicaţie neprotejate politică de dezvoltare şi
(interceptare) întreţinere
– Puncte de conexiune neprotejate – Interfaţă de utilizator
(infiltrare comunicaţii) complicată (eroare de
– Lipsa mecanismelor de utilizator)
identificare şi autentificare – Lipsa unei proceduri de
(substituire identitate) ştergere a mediilor de stocare
– Transferul parolelor în clar înainte de reutilizare (utilizare
(accesare reţea de utilizatori neautorizată software)
neautorizaţi) – Lipsa unui control adecvat al
– Linii dial-up (accesare reţea de modificărilor (defecţiuni
utilizatori neautorizaţi) software)
– Administrare reţea neadecvată – Administrare defectuoasă a
(supraîncărcare trafic) parolelor (substituire
identitate)
Securitatea informaţiei – necesitate,
cerinţe, reglementări
Asigurarea SI = ţinerea sub control a riscurilor
Tratarea riscurilor este rezultatul unui proces de management al
riscurilor şi constă în:
- Aplicarea măsurilor de control adecvate pentru reducerea
riscurilor
- Înţelegerea şi acceptarea conştientă a riscurilor în măsura
în care sunt satisfăcute politica organizaţională şi criteriile de
acceptare a riscului
- Eliminarea riscului (renunţarea la unele activităţi; mutarea
unor bunuri în zone mai puţin expuse; renunţarea la procesarea
unor informaţii sensibile)
- Transferarea riscurilor asociate activităţii altor părţi
(asigurare, outsourcing)
Securitatea informaţiei – necesitate,
cerinţe, reglementări
Factori care influenţează conceperea, elaborarea
şi implementarea unei strategii de securitate:
- mărimea organizaţiei şi complexitatea proceselor
- cerinţele de securitate determinate de multiple provocări
(interconectarea sistemelor, spionajul corporativ, terorismul cibernetic,
conştientizarea angajaţilor)
- volumul sporit al informaţiilor sensibile/critice
- profilul activităţii, nevoile şi obiectivele organizaţiei
- ameninţările şi vulnerabilităţile prezente la adresa informaţiilor
prelucrate, stocate şi / sau transmise (de natură umană, legate de
minimizarea costurilor, de natură tehnică sau externe)
- gradul de securitate a sistemelor informatice folosite
gradul de interconectare a sistemelor şi serviciilor
- interconectarea reţelelor interne cu cele publice (Internet) sau
private
- volumul resurselor (umane şi financiare) disponibile
- nivelul de cultură şi tradiţie în domeniul securităţii inf.
Agenda
1. Conceptul de securitate a informaţiilor (definiţie,
elemente fundamentale; ameninţări, vulnerabilităţi,
riscuri; necesitatea asigurării securităţii informaţiilor
(obiectivă, legală, contractuală; cadrul normativ)
2. Sisteme de management al securităţii informaţiilor
(SMSI)
3. Managementul riscului
4. Proiectarea, implementarea, monitorizarea şi
îmbunătăţirea SMSI
5. Certificarea unui SMSI
Ce este un SMSI ?
S.M.S.I.
• parte a sistemului de management al unei organizaţii, bazată pe analiza
riscurilor, destinată elaborării, implementării, operării, supravegherii,
menţinerii şi îmbunătăţirii securităţii informaţiilor
Standarde aplicabile
• ISO 9001/2008 - Cerinţe pentru sistemele de management al calităţii
• ISO 27002/2005 - Ghid practic pentru managementul securităţii
informaţiilor
• ISO 27001/2005 – Sisteme de management al securităţii informaţiilor –
Specificaţii şi instrucţiuni de aplicare
Abordare cuprinzătoare, coerentă a problematicii
10 cerinţe importate care trebuie sa fie
indeplinite de un SMSI
Top managementul
-aprobă scopul SMSI, angajamentul, obiectivele, politica de securitate a
informaţiilor şi toate documentele aferente SMSI;
- emite decizii pentru numirea comitetului de securitate şi a responsabilului cu
securitatea;
-aprobă declaraţia de aplicabilitate a SMSI şi deciziile de tratare a fiecărui risc
în parte;
-aprobă planul de tratare a riscurilor şi toate acţiunile manageriale suplimentare
pentru monitorizarea, evaluarea şi îmbunătăţirea eficienţei măsurilor de
securitate;
-aprobă planurile de auditare a SMSI; efectuează analiza de management
pentru SMSI şi aprobă procesele verbale ale şedinţelor de analiză, precum şi
acţiunile corective şi preventive necesare îmbunătăţirii SMSI;
-aprobă resursele necesare pentru proiectarea, menţinerea şi îmbunătăţirea
SMSI.
Roluri si responsabilităţi în SMSI
Proprietarul resurselor
Identificarea/analiza
Riscurilor
Monitorizare şi Analiză
Comunică şi consultă
Evaluarea Riscurilor:
Probabilitate
Consecinte
Nivel de risc
Tratarea Riscurilor
Plan-Do-Check-Act
Plan
Analiza de risc
Monitorizarea riscurilor
Check
Identificarea ameninţărilor şi
vulnerabilităţilor
Ameninţările - surse
accidentale sau voite de Vulnerabilităţile -
evenimente slăbiciuni asociate
resurselor în:
Exploatează o
vulnerabilitate – Mediul fizic
Factori de analiză: – Personal,
management,
– Resursa administraţie
– Acces – Hardware, software,
– Actor comunicaţii
– Motivaţie Cauzează daune numai
– Impact dacă sunt exploatate de
ameninţări
Exemple
Calculul riscurilor
Metode cantitative
AV – valoarea resursei SMSI
EF – factorul de expunere (valoarea procentuala
a impactului din valoarea resursei)
SLE = AV x EF (Ex. 150.000 lei X 25%=
37.500 lei pierdere la o aparitie a riscului)
SLE – impactul unui risc la o aparitie
Nivel S M R S M R S M R
vulnerabilitate
0 0 1 2 1 2 3 2 3 4
Valoare 1 1 2 3 2 3 4 3 4 5
a bunului
2 2 3 4 3 4 5 4 5 6
3 3 4 5 4 5 6 5 6 7
4 4 5 6 5 6 7 6 7 8
Calculul riscurilor
Metode cantitative
Avantaje
Caracter obiectiv
Formalism convenabil top-managementului
Dezavantaje
Lipsa unor valori unanim recunoscute pentru factorii
de expunere sau ratele de aparitie
Dificultatea de aplicare completa a metodei
Complexitate mare
Credibilitate scazuta
Calculul riscurilor - Metode calitative
Avantaje
• permite elaborarea metodei adecvate organizatiei
• suport intuitiv pentru managementul riscurilor organizatiei
• permite stabilirea de prioriati in tratarea riscurilor
• costurile de aplicare sunt reduse
• adecvata abordarii PDCA
Dezavanje
• o anumita doza de subiectivism
• suport redus pentru analiza cost/efect
Tratamentul riscurilor
Proceduri operationale 1
Sisteme de operare PC 2
Parole utilizator PC 2
Statii PC 2
Studiu de caz (16)
5. Registrul resurselor - continuare
Imprimante 2
Facilitati: Anton P.
Energie electrica 2
Aer conditionat 2
Personalul:
Outsourcing:
Impactul In Is Im
ameninţării
RISC Probabilitate Pn Ps Pm Pn Ps Pm Pn Ps Pm
a amenintarii
1 1 1 2 2 3 4 4 5 5
Valoarea
2 1 2 3 3 4 4 5 5 5
Activului
3 2 2 3 3 4 5 5 5 5
Semnificatia valorilor: 5 = risc foarte mare, 4 = major, 3 = semnificativ, 2 = redus, 1 =
nesemnificativ.
Studiu de caz (22)
6. Evaluarea riscului confidenţialitate.
Contracte 2 Is Pn 3
Corespondenta parteneri 1 Is Pn 3
Active software:
Aplicatii - server si client - prelucrare date si 3 - -
generare rapoarte
Sistem de operare server 2 - -
Sisteme de operare PC 2 - -
Parole administrare server & PC 3 Im Ps 5
Parole utilizator PC 2 Is Ps 4
Active hardware:
Server baze de date 3 - - -
Statii PC 2 - - -
Studiu de caz (24)
6. Evaluarea riscului confidenţialitate - continuare
Imprimante 2 - - -
Facilitati:
Energie electrica 2 - - -
Aer conditionat 2 - - -
Personalul:
Personal administrare & conducere 3 Is Pn 3
Personal operare & executie 2 Is Pn 3
Outsourcing:
Sisteme de comunicatii(date, Internet, e- 3 Is Pn 3
mail, IP - voice)
Studiu de caz (25)
6. Evaluarea riscului Integritate.
Contracte 2 Is Pn 3
Corespondenta parteneri 1 Is Pn 3
Active software:
Aplicatii - server si client - prelucrare date si 3 Im Pn 4
generare rapoarte
Sistem de operare server 2 Is Pn 3
Sisteme de operare PC 2 Is Pn 3
Parole administrare server & PC 3 Im Ps 5
Parole utilizator PC 2 Is Ps 4
Active hardware:
Server baze de date 3 Im Ps 5
Statii PC 2 Is Pn 3
Studiu de caz (27)
6. Evaluarea riscului Integritate - continuare
Imprimante 2 In Pn 1
Facilitati:
Energie electrica 2 - - -
Aer conditionat 2 - - -
Personalul:
Personal administrare & conducere 3 Is Pn 3
Personal operare & executie 2 Is Pn 3
Outsourcing:
Sisteme de comunicatii(date, Internet, e- 3 Is Pn 3
mail, IP - voice)
Studiu de caz (28)
6. Evaluarea riscului Disponibilitate.
Contracte 2 Is Pn 3
Corespondenta parteneri 1 Is Pn 3
Active software:
Aplicatii - server si client - prelucrare date si 3 Is Ps 5
generare rapoarte
Sistem de operare server 2 Is Ps 4
Sisteme de operare PC 2 Is Pn 3
Parole administrare server & PC 3 Im Ps 5
Parole utilizator PC 2 Is Ps 4
Active hardware:
Server baze de date 3 Im Ps 5
Statii PC 2 Is Pn 3
Studiu de caz (30)
6. Evaluarea riscului Disponibilitate - continuare
Imprimante 2 In Pn 1
Facilitati:
Energie electrica 2 Is Pn 3
Aer conditionat 2 Is Pn 3
Personalul:
Personal administrare & conducere 3 Is Pn 3
Personal operare & executie 2 Is Pn 3
Outsourcing:
Sisteme de comunicatii(date, Internet, e- 3 Is Pn 3
mail, IP - voice)
Studiu de caz (31)
6. Nivelul riscului
Indice risc
Activ Valoare C I D
Active informationale- format electronic:
Fisiere de date neprelucrate 3 5 5 5
Fisiere de date prelucrate 3 5 5 5
Rapoarte management & autoritati(pentru 2 4 4 3
printare si semnare)
Documentaţie sisteme 1 1 1 1
Proceduri operationale 1 2 2 2
Active informationale – hartie:
Facturi si alte documente justificative 2 4 4 4
Rapoarte finale de conformitate 1 3 3 3
Rapoarte intermediare de verificare 1 1 1 1
destinate controlului dual
Studiu de caz (32)
6. Nivelul riscului - continuare
Contracte 2 3 3 3
Corespondenta parteneri 1 3 3 3
Active software:
Aplicatii - server si client - prelucrare date si 3 - 4 5
generare rapoarte
Sistem de operare server 2 - 3 4
Sisteme de operare PC 2 - 3 3
Parole administrare server & PC 3 5 5 5
Parole utilizator PC 2 5 5 5
Active hardware:
Server baze de date 3 - 5 5
Statii PC 2 - 3 3
Studiu de caz (33)
6. Nivelul riscului - continuare
Imprimante 2 - 1 1
Facilitati:
Energie electrica 2 - - 3
Aer conditionat 2 - - 3
Personalul:
Personal administrare & conducere 3 3 3 3
Personal operare & executie 2 3 3 3
Outsourcing:
Sisteme de comunicatii(date, Internet, e- 3 3 3 3
mail, IP - voice)
Studiu de caz (34)
6. Evaluarea riscurilor:
In urma analizei efectuate asupra activitatii S.C. CONTRACT S.A. in
conditiile actuale din piaţă, rezulta că materializarea riscurilor identificate
şi cuantificate in Analiza de Risc, pot afecta:
Confidenţialitatea: dezavantaje competitive pe piata; pierderi
financiare; pierderea increderii partenerilor de afaceri ; pierderi capital
imagine; incalcari ale legii si obligatiilor contractuale de confidentialitate;
Integritatea: costuri aditionale financiare; impact negativ asupra
deciziilor de management; neconformitate cu obligatiile legii privind
contabilitatea;
Disponibilitatea: suplimentar fata de consecintele identificate mai
sus: costuri financiare cu recuperarea datelor; intreruperea activitatii.
In aceste conditii, riscul maxim pe care compania este dispusa sa si-l
asume este riscul de nivel 3 – semnificativ.
Studiu de caz (35)
7. Planul de tratare a riscurilor
In vederea reducerii nivelului riscurilor critice (cu nivel 4 şi 5) se
impun urmatoarele masuri:
(m01): Implementarea unui sistem de acces si monitorizare a
accesului pe baza de cartela in camera serverului pentru fiecare locatie
in parte;
PC-ul pe care este instalat soft-ul de management al accesului si
monitorizare va fi instalat in camera serverului;
(m02): Sistem de detectie efractie;
(m03): Opacizarea ferestrelor in zonele cu vizibile in zonele
sensibile;
(m04): Achizitioarea de dulapuri cu inchuietoare pentru
depozitarea documentelor confidentiale in format letric si electronic(sau
dotarea celor actuale cu sisteme de inchidere);
(m05): Elaborarea de reguli privind accesul in incinta S.C.
CONTRACT S.A. de catre vizitatori si salariati in cursul programului si
afara acestuia;
Studiu de caz (36)
7. Planul de tratare a riscurilor - continuare
Proceduri operationale 1 2 2 2 -
Active software:
Aplicatii - server si client - prelucrare 3 - 4 5 m06
date si generare rapoarte
Sistem de operare server 2 - 3 4 m06
Sisteme de operare PC 2 - 3 3 -
Active hardware:
Server baze de date 3 - 5 5 m001, m02, m03, m05, m06, m08,
m9, m11, m12, m13, m14, m15
Statii PC 2 - 3 3 -
Studiu de caz (41)
7. Planul de tratare a riscurilor - corelatia dintre active, riscuri si
masuri
Imprimante - 1 1 -
2
Facilitati:
2 - - 3 -
Energie electrica
Aer conditionat 2 - - 3 -
Personalul:
Personal administrare & conducere 3 3 3 3 -
Outsourcing:
Sisteme de comunicatii(date, 3 3 3 3 -
Internet, e-mail, IP - voice)
Studiu de caz (42)
8. Declaraţia de aplicabilitate
Indicativul Aplicabil
măsurii Denumirea măsurii Da / Nu
Termen
A.15 Conformitatea
A.15.1. Conformitatea cu cerinţele legale
A.15.1.1. Identif icarea legislaţiei aplicabile Da 12 luni
A.15.1.2. Drepturile de proprietate intelectuală Da 12 luni
A.15.1.3. Protejarea înregistrărilor organizaţiei Da 12 luni
A.15.1.4. Protecţia datelor şi inf ormaţiilor personale Nu
A.15.1.5. Prevenirea utilizării necorespunzătoare a f acilităţilor de procesare a inf ormaţiilor
Da 12 luni
A.15.1.6. Reglementarea controalelor criptograf ice Nu
Conformitate cu politicile de securitate şi
A.15.2.
standardele şi reglementările tehnice
A.15.2.1. Conf ormitatea cu politicile de securitate şi standardele Da 12 luni
A.15.2.2. Verif icarea conf ormităţii tehnice Da 12 luni
A.15.3. Consideraţii asupra auditării sistemelor informaţionale
A.15.3.1. Controalele sistemului de audit Da 12 luni
A.15.3.2. Protecţia instrumentelor de audit Da 12 luni
Agenda
1. Conceptul de securitate a informaţiilor (definiţie,
elemente fundamentale; ameninţări, vulnerabilităţi,
riscuri; necesitatea asigurării securităţii informaţiilor
(obiectivă, legală, contractuală; cadrul normativ)
2. Sisteme de management al securităţii informaţiilor
(SMSI)
3. Managementul riscului
4. Proiectarea, implementarea, monitorizarea şi
îmbunătăţirea SMSI
5. Certificarea unui SMSI
Planificarea, implementarea, menţinerea şi
îmbunătăţirea unui SMSI
Aplicarea modelului PDCA (Plan-Do-Check-Act)
PLAN: stabilirea şi documentarea strategiei de securitate, identificarea
proceselor de bază ale afacerii şi a procedurilor relevante pentru managementul
riscului
DO: implementarea şi funcţionarea strategiei, a sistemelor de management
proiectate, a proceselor şi procedurilor pentru fiecare sistem în parte
În ce constă certificarea ?
a) Contactarea O.C.S.M.S.I.
c) Semnarea contractului
e) Auditul de evaluare
f) Certificarea