Aureliu Zgureanu. Bazele securității informaționale. TEMA 1: INTRODUCERE ÎN SECURITATEA INFORMAŢIEI Obiectivele temei: Familiarizarea cu obiectul de studiu al securității informațiilor. Caracterizarea atributelor securității informațiilor. Analiza claselor de amenințări la adresa condidențialității, integrității și disponibilității informației. Cuvinte-cheie: securitatea informației, integritate, măsuri organizatorice, disponobilitate, măsuri legislative, autenticitate, măsuri tehnice, non-repudiere, monfidențialitate, amenințare. 1.1. Obiectul de studiu al securității informațiilor Securitatea informației este un proces care are scopul de a asigura protecția informației de acțiuni neautorizate la adresa acesteia, cum ar fi de exemplu: accesul neautorizat, folosirea, dezvăluirea, întreruperea, modificarea sau distrugerea neautorizată a informației. Tehnicile de asigurare a securităţii pot fi aplicate la orice informaţie, indiferent de natura ei, şi este important de remarcat că informaţia are valoare în special atunci când este subiect al schimbului sau procesării, deci tocmai atunci când este vulnerabilă în faţa unor părţi ce nu pot fi considerate de încredere. Astfel, fără a exclude valoarea informaţiei stocate, valoarea informaţiei creşte evident în acțiunea de schimb sau de procesare şi este evident că o informaţie complet izolată nu conduce la riscuri de securitate foarte mari, dar în acelaşi timp nici nu poate aduce foarte multe beneficii având în general valoare scăzută. Trebuie de menționat că uneori “Securitatea informației” este confundată cu “Securitatea informatică”, care de fapt este o ramură a informaticii ce se ocupă cu identificarea riscurilor implicate de folosirea dispozitivelor informative, cum sunt calculatoarele, smartphone-urile, dar și rețelele de calculatoare atât publice cât și private, și cu oferirea de soluții pentru înlăturarea acestor riscuri. Acest termen însă caracterizează un domeniu mai îngust, calculatoarele fiind doar o componentă a sistemelor informatice. Securitatea informației este dependentă nu numai de tehnica de calcul, ci și de infrastructura conexă, cum ar fi sistemele de alimentare cu energie, apă, căldură, aparate de aer condiționat, mijloacele de comunicare, personalul. În același timp o noțiune mai generală este “Securitatea informațională” prin care înțelegem protejarea atât a informației cât și a sistemelor informatice care asigură depozitarea, accesul și transportul informațiilor. 1 Aureliu Zgureanu. Bazele securității informaționale. Trebuie să fim conștienți de faptul că informaţia este un produs care, ca şi alte produse importante rezultate din activitatea umană, are valoare şi în consecinţă, este necesar să fie protejată corespunzător, iar aceasta se realizează prin: măsuri organizatorice, contra distrugerii datorate catastrofelor naturale, referitoare la selecţia profesională a personalului, organizarea unui sistem de control a accesului, organizarea păstrării şi utilizării suporturilor de informaţii; măsuri juridice, care cuprind documente normative care controlează şi reglementează procesul prelucrării şi folosirii informaţiei; mijloace informatice, constituite din echipamente, programe şi tehnici de protecţie. 1.2. Atribute ale securității informațiilor 1.2.1. Triada confidențialității, integrității și disponibilității Trei dintre obiectivele primare din domeniul securității informațiilor sunt confidențialitatea, integritatea și disponibilitatea, cunoscute ca triada confidențialității, integrității și disponibilității – CIA - (figura 1.1), care ne oferă un model prin intermediul căruia am putea să analizăm și să discutăm diverse concepte de securitate. Confidenţialitatea înseamnă asigurarea accesului la informaţii numai pe baza drepturilor de acces aprobate ale persoanei, în acord cu nivelul de secretizare a informaţiei accesate şi a permisiunii rezultate din aplicarea principiului nevoii de a cunoaşte (need-to-know). Cu alte cuvinte, confidenţialitatea presupune interzicerea accesului neautorizat al persoanelor la informaţia care nu le este destinată. Confidențialitatea este o componentă necesară a vieții private și se referă la capacitatea noastră de a ne proteja datele de cei care nu sunt autorizați să le vizualizeze. Confidențialitatea este un concept care poate fi implementat la multe nivele ale unui proces. Figura 1.1. Triada CIA 2 Aureliu Zgureanu. Bazele securității informaționale. De exemplu, dacă luăm în considerare cazul unei persoane care retrage bani de la un ATM (bancomat), persoana în cauză va încerca probabil să păstreze confidențialitatea numărului personal de identificare (PIN) care îi permite, în combinație cu cardul, să extragă cash de la bancomat. În plus, proprietarul ATM-ului va păstra, sperăm, confidențialitatea numărului de cont, a soldului și a oricăror alte informații necesare pentru a le comunica băncii din care provin fondurile. Banca va păstra confidențialitatea tranzacției cu ATM-ul și modificarea soldului în cont după retragerea fondurilor. Dacă, în oricare moment al tranzacției, confidențialitatea este compromisă, urmările ar putea fi negative pentru individ, proprietarul ATM-ului și bancă, în rezultat apărând ceea ce numim breșă de securitate. Confidențialitatea poate fi compromisă de pierderea unui laptop care conține date, de o persoană care se uită peste umăr în timp ce introducem o parolă, un atașament de e-mail trimis persoanei greșite, un atacator care penetrează sistemele noastre sau alte probleme similare. Integritatea este interdicţia modificării, prin ştergere sau adăugare, ori a distrugerii în mod neautorizat a informaţiilor. Acesta înseamnă că datele să nu poată fi alterate sau să nu poată fi modificate decât de persoane autorizate. Prin alterarea datelor se înţelege atât modificarea voit maliţioasă, cât şi distrugerea acestora. Dar datele pot fi alterate, sau chiar pierdute/distruse, nu numai ca urmare a unei acţiuni răuvoitoare, ci şi ca urmare a unei erori hardware, erori software, erori umane sau a unei erori a sistemelor de securitate. În acest caz se impune să existe un plan de recuperare şi refacere a datelor (existenţa unei copii de siguranţă). Un bun exemplu de mecanisme care ne permit să controlam integritatea îl reprezintă sistemele de fișiere ale multor sisteme de operare moderne, cum ar fi Windows și Linux. În scopul prevenirii modificărilor neautorizate, astfel de sisteme implementează adesea permisiuni care restricționează acțiunile pe care un utilizator neautorizat le poate efectua pe un anumit fișier. În plus, unele astfel de sisteme și numeroase aplicații, cum ar fi bazele de date, ne pot permite să anulam sau să restabilim modificările nedorite. Integritatea este deosebit de importantă atunci când se referă la datele care reprezintă fundamentul pentru unele decizii. Spre exemplu dacă un atacator ar modifica datele care conțineau rezultatele testelor medicale, s-ar putea ca medicul să prescrie greșit tratamentul, care ar putea duce la moartea pacientului. Disponibilitatea înseamnă asigurarea condiţiilor necesare regăsirii şi folosirii cu uşurinţă a informaţiilor ori de câte ori este nevoie, cu respectarea strictă a condiţiilor de confidenţialitate şi integritate. Aceasta înseamnă asigurarea utilizatorilor legali cu informaţia completă atunci când aceştia au nevoie de ea, iar utilizatorii trebuie să aibă acces doar la datele care le sunt destinate. În contextul triadei CIA Securitatea informației poate fi definită ca ansamblul măsurilor şi structurilor îndreptate spre protecţia informaţiilor stocate, prelucrate sau transmise prin intermediul sistemelor informatice și de comunicaţii sau a altor sisteme electronice, precum și împotriva 3 Aureliu Zgureanu. Bazele securității informaționale. ameninţărilor şi a oricăror acţiuni care pot afecta confidenţialitatea, integritatea și disponibilitatea informaţiei sau funcţionarea sistemelor informatice, indiferent dacă acestea apar accidental sau intenţionat. 1.2.2. Autenticitatea, responsabilitatea și non-repudierea Odată cu atingerea nivelului înalt de informatizare pe care îl are societatea modernă la conceptele fundamentale care alcătuiesc triada CIA au mai fost alăturate și autenticitatea, responsabilitatea și non-repudierea, fără de care asigurarea nivelului corespunzător de protecție a informației devine dificilă. Autenticitatea este asigurarea că datele, tranzacțiile, comunicațiile sau documentele (în format electronic sau fizic), sunt autentice. De asemenea, este important de a se valida faptul că ambele părți implicate sunt cine pretind a fi. Responsabilitatea este un concept esențial de securitate a informațiilor și înseamnă că fiecare persoană care lucrează cu un sistem informatic trebuie să aibă responsabilități specifice pentru asigurarea informațiilor. Sarcinile pentru care o persoană este responsabilă fac parte din planul general de securitate a informațiilor și sunt ușor de măsurat de către o persoană care are responsabilitatea managerială pentru asigurarea informațiilor. Un exemplu este declarația de politică conform căreia toți angajații trebuie să evite instalarea software-ului extern pe o infrastructură informatică deținută de companie. Persoana responsabilă cu securitatea informațiilor trebuie să efectueze verificări periodice pentru a se asigura că politica este urmată. Non-repudierea este o măsură prin care se asigură faptul că, după emiterea sau recepţionarea unei informaţii într-un sistem de comunicaţii securizat, expeditorul sau destinatarul nu poate nega, în mod fals, că a expediat sau primit informaţiile în cauză. Non-repudierea îşi propune să confirme destinatarului unui mesaj electronic faptul că acest mesaj este scris şi trimis de persoana care pretinde că l-a trimis. În acest fel se asigură încrederea părţilor. Non-repudierea stă la baza semnăturilor digitale, asigurând autenticitatea acestora. 1.3. Amenințări la adresa securității informației În acest compartiment vom face cunoștință doar cu noțiunea de amenințare la adresa securității informației, fiind pus accentul pe amenințări la adresa confidențialității, integrității și disponibilității, o descrierea mai detaliată și completă fiind dată în compartimentul 9 al acestei cărți. 1.3.1. Noțiune de amenințare la adresa securității informației Ameninţare pentru securitatea informaţională este intenţia, acţiunea sau inacţiunea, manifestate real sau potenţial, sau factorul cu caracter ecologic, tehnic sau de alt gen, realizarea sau 4 Aureliu Zgureanu. Bazele securității informaționale. dezvoltarea căruia contravine sau poate să contravină intereselor legale de bază ale persoanei, societăţii şi statului în spaţiul informaţional. Amenințarea este cauza potențială a unui incident nedorit care poate produce daune unui sistem sau unei organizații (ISO/IEC 27005). O încercare de a pune în aplicare amenințarea se numește atac, iar cel care face o astfel de încercare – un atacator. Atacatorii potențiali sunt numiți surse de amenințare. De obicei amenințarea este un rezultat a vulnerabilității, adică a slăbiciunii unei resurse sau grup de resurse care poate fi exploatată de una sau mai multe amenințări (de exemplu posibilitatea accesului persoanelor neautorizate la echipamentul de o importanță majoră sau existența unei erori în software). Perioada de la momentul apariției vulnerabilității până la eliminarea ei se numește ciclu de viață al vulnerabilității. Atât timp cât persistă o vulnerabilitate sunt posibile atacuri asupra sistemului informatic. Dacă vulnerabilitatea este generată de o eroare de software, atacul este posibil de la apariția instrumentelor de exploatare a erorii până la înlăturarea acestei erori. Pentru majoritatea vulnerabilităților perioada activă este relativ mare (câteva zile, uneori – săptămâni), deoarece în acest timp trebuie să aibă loc următoarele evenimente: trebuie să fie cunoscute mijloacele de utilizare a breșei în apărare; trebuie să fie fabricat patch-ul1 respectiv; patch-ul trebuie să fie aplicat pe sistemul informatic. Vulnerabilitățile și mijloacele de utilizare ale lor apar încontinuu, ceea ce înseamnă că prezența lor trebuie verificată tot timpul, iar fabricarea și aplicarea patch-ului respectiv necesită operativitate maximă. Amenințările la adresa securității informației pot fi clasificate în conformitate cu mai multe criterii: aspectul securității informației (confidențialitate, disponibilitate, integritate), spre care amenințările se îndreaptă în primul rând; componentele sistemelor informatice, care sunt obiectul amenințărilor (date, software, echipament, infrastructura); metoda de realizare (acțiuni accidentale/intenționate naturale/provocate de om); amplasarea sursei amenințării (în interior/afara sistemului). 1 Un patch (în romana plasture) este, de regulă, un mic program prin care se face actualizarea altor programe, se rezolvă unele erori de funcționare ale programelor ori unele probleme de securitate informatică. De exemplu toate update-urile diverselor programe sunt patch-uri. 5 Aureliu Zgureanu. Bazele securității informaționale. 1.3.2. Amenințări la adresa confidențialității Informația confidențială poate fi împărțită în două categorii: informație de serviciu și informație de domeniu. Informația de serviciu (cum ar fi parolele) nu se referă la un anumit domeniu, în sistemul informatic acesta joacă un rol tehnic, însă divulgarea ei este deosebit de periculoasă, deoarece în rezultat se poate obține accesul neautorizat la toate informațiile, inclusiv cele de domeniu. Chiar dacă informația este stocată pe calculator sau este destinată utilizării calculatorului, amenințările la adresa confidențialității ei ar putea să nu fie conexe calculatorului și, în general, ar putea să nu aibă caracter tehnic. Mulți dintre noi suntem utilizatorii nu numai a unui sistem informatic, ci a unui șir de sisteme (servicii informatice). În cazul în care pentru accesul la astfel de sisteme sunt utilizate parole reutilizabile sau altă informație confidențială, datele vor fi stocate nu numai în memoria utilizatorului, ci mai probabil și într-o agendă sau pe foi de hârtie, care pot fi lăsate de către utilizator pe masa de lucru. Este practic imposibil de memorizat mai multe parole diferite; recomandările pentru o schimbare regulată a lor doar agravează situația, utilizatorul fiind impus să utilizeze diverse scheme necomplicate de alternare a parolelor sau chiar poate încerca să le reducă la două sau trei parole care sunt ușor de ținut minte și care pot fi ghicite. Vulnerabilitățile expuse sunt caracterizate de amplasarea datelor confidențiale într-un mediu care nu se bucură de o protecție adecvată. Același caracter îl are și transferul de date confidențiale în clar (în conversație, într-o scrisoare, în rețea), ceea ce face posibilă interceptarea lor. Pentru atacuri pot fi utilizate diverse mijloace tehnice (interceptarea convorbirilor, interceptarea pasivă în rețea, etc.). Interceptarea datelor este o amenințare foarte gravă, iar în cazul în care confidențialitatea este cu adevărat critică și datele sunt transmise prin canale multiple, protecția lor poate fi foarte dificilă și costisitoare. Mijloace tehnice de interceptare sunt bine concepute, disponibile, simple în utilizare și ușor de instalat. Furtul de echipamente de asemenea este o amenințare a confidențialității. Atât pentru unitățile de stocare externe, cât și pentru calculatoare în general, în special cele portabile. O amenințare periculoasă a confidențialității ce nu ține de metodele tehnice este mascarada – realizarea de activități sub masca unei persoane cu autoritatea de acces la date. Abuzul de putere este o amenințare de care este dificil de protejat. În multe tipuri de sisteme utilizatorul privilegiat (administratorul de sistem), are posibilitatea de a citi orice fișier (necriptat), poate avea acces la e-mailul oricărui utilizator, etc. Un alt exemplu constă în cauzarea daunelor în 6 Aureliu Zgureanu. Bazele securității informaționale. timpul deservirilor tehnice. În mod normal, inginerul de la service primește acces nelimitat la echipament și este capabil de a ocoli mecanismele de protecție ale software-ului. 1.3.3. Amenințări la adresa integrității Integritatea poate fi statică, în sensul imutabilității componentelor informatice, și dinamică, care se referă la aplicarea corectă a acțiunilor complexe (tranzacții). Amenințări ale integrității dinamice sunt încălcarea tranzacțiilor atomice2, reordonarea, furtul, duplicarea datelor sau introducerea de mesaje suplimentare (pachete de rețea, etc.). Mijloacele de control ale integrității dinamice se aplică în special la analiza fluxului de mesaje financiare. Acțiunile corespunzătoare ale răuvoitorilor într-un mediu de rețea în scopul de a încălca integritatea dinamică poartă denumirea de interceptare activă. Printre acțiunile răuvoitorului (de obicei, membrul al personalului) în scopul de a încălca integritatea statică se numără introducerea datelor incorecte sau modificarea datelor. Pot fi falsificate de exemplu antetele de e-mail, întreg mesajul poate fi falsificat de către o persoană care cunoaște parola. Acest lucru este posibil chiar și atunci când pentru integritate se folosesc mijloace criptografice. Aici are loc o interacțiune a diferitelor aspecte ale securității informației: în cazul în care se încălcă confidențialitatea, poate fi afectată integritatea. O amenințare a integrității este nu numai falsificarea sau modificarea datelor, dar, de asemenea, și negarea actelor comise, adică repudierea. În acest scop trebuie alocate resurse și pentru asigurarea „non-repudierii”. Integritatea este cel mai important aspect al securității informațiilor în cazurile în care informația este o instrucțiune sau un ghid pentru unele acțiuni exacte. Compoziția medicamentelor, setul și caracteristicile componentelor unor produse, parcursul procesului tehnologic - sunt exemple de informație, încălcarea integrității căreia nu este permisă. Este dezagreabilă și denaturarea informației oficiale, fie textul unei legi sau pagina web a serverului oricărei organizații guvernamentale. Sunt potențial vulnerabile din punct de vedere al încălcării integrității nu doar date, ci și aplicațiile software. Instalarea software-ului rău intenționat este un exemplu al unei astfel de încălcări. 1.3.4. Amenințări la adresa disponibilității Sistemele informatice sunt create pentru servicii informatice specifice. Dacă dintr-un motiv sau altul este imposibilă furnizarea acestor servicii, aceasta va provoca daune utilizatorilor, prestatorilor de servicii și dezvoltatorilor. Din aceste motive disponibilitatea poate fi numită cel mai important element al securității informației. Rolul primordial al disponibilității se manifestă în 2 Caracterul atomic reprezintă proprietatea „tot sau nimic”. O tranzacţie atomică este o unitate indivizibilă, care ori este efectuată în întregime, ori nu este efectuată de loc; 7 Aureliu Zgureanu. Bazele securității informaționale. deosebi în sistemele de gestiune a producției, a transportului etc. Aparent mai puțin dramatice, însă la fel de periculoase pot fi consecințele (atât materiale cât și cele morale) indisponibilității pe termen lung ale serviciilor informatice destinate unui număr mare de oameni (vânzarea biletelor la tren sau avion, servicii bancare etc.). Erorile neintenționate ale utilizatorilor ce fac parte din personalul întreprinderii, ale operatorilor, administratorilor de sistem, și altor persoane care deservesc sistemele informatice sunt destul de frecvente, iar unele dintre aceste erori sunt de fapt amenințări (datele introduse incorect sau o eroare în program care a cauzat prăbușirea sistemului). Uneori aceste erori (care sunt de obicei administrative) creează vulnerabilități pe care atacatorii le pot utiliza. Modul cel mai radical de a lupta cu erorile neintenționate este automatizarea maximă și un control strict. Alte amenințări ale disponibilității pot fi clasificate după componentele sistemului informatic la care se referă amenințarea: 1. refuzul utilizatorului; 2. defectul intern al sistemului informatic; 3. refuzul infrastructurii sistemului. Referitor la refuzul utilizatorilor de obicei sunt prezente următoarele amenințări: refuzul de a lucra cu sistemul informatic (cel mai adesea manifestat în necesitatea de a învăța noile posibilități ale sistemului sau în discrepanțele între cerințele clientului și capacitățile reale ale sistemului și caracteristicile tehnice ale lui); incapacitatea de a lucra cu sistemul din cauza lipsei de pregătire corespunzătoare (lipsa generală de cunoaștere a calculatorului, incapacitatea de a interpreta mesajele de diagnostic, incapacitatea de a lucra cu documentația etc.); incapacitatea de a lucra cu sistemul din cauza lipsei de suport tehnic (documentația incompletă, lipsa de informații de fond etc.). Principalele surse ale defectului intern al sistemului sunt: devierea (accidentală sau intenționată) de la normele stabilite de funcționare; ieșirea sistemului din modul normal de funcționare ca urmare a acțiunilor accidentale sau intenționate ale utilizatorilor sau a personalului de întreținere (creșterea numărului estimat de cereri, volumul excesiv de informații prelucrate, etc.); erorile în configurația sistemului; defecțiuni hardware și software; distrugerea datelor; distrugerea sau deteriorarea echipamentului. În ceea ce privește infrastructura este recomandat să luăm în considerare următoarele amenințări: 8 Aureliu Zgureanu. Bazele securității informaționale. perturbări (accidentale sau intenționate) ale sistemelor de comunicații, de alimentare cu energie electrică sau termică, apă, aer condiționat; distrugerea sau deteriorarea încăperilor; incapacitatea sau refuzul personalului și/sau utilizatorilor de a-și îndeplini sarcinile (tulburări civile, accidente de transport, atac terorist sau amenințarea cu atac, grevă, etc.). De asemenea sunt periculoși și foștii sau actualii angajați “ofensați”, care potențial pot cauza prejudicii organizației - “contravenientului”, cum ar fi de exemplu: deteriorarea echipamentului; încorporarea unei bombe logice care în cele din urmă va duce la distrugerea sistemului și/sau a datelor; ștergerea datelor. Angajații “ofensați”, fie ei și foști angajați, sunt familiarizați cu ordinea interioară a organizației și pot provoca daune considerabile. Trebuie de avut grijă ca atunci când un angajat este concediat drepturile sale de acces (logic și fizic) la resursele informaționale sunt anulate. Sunt periculoase de asemenea și dezastrele naturale și evenimentele percepute ca fiind dezastre naturale - incendiile, inundațiile, cutremurele, uraganele. Amenințările disponibilității se pot dovedi destul de dure, cum este de exemplu deteriorarea sau chiar distrugerea echipamentului. Astfel de daune pot fi provocate de cauze naturale (de multe ori - de furtuni), sunt periculoase scurgerile sistemelor de instalații sanitare și de încălzire, insuficiența aerului condiționat în cazul căldurii extreme. Este binecunoscut că trebuie de făcut periodic copii de rezervă a datelor. Cu toate acestea, chiar și în cazul în care copiile sunt făcute, ele sunt adesea depozitate neglijent. Un mijloc de a perturba regimul normal de funcționare al sistemului poate fi consumul agresiv de resurse (de obicei – a benzii de rețea, a puterii de lucru a procesoarelor sau a memoriei operative). În funcție de localizarea sursei amenințării un astfel de consum poate fi local sau la distanță. În cazul unor erori de configurare a sistemului o aplicație software locală poate practic monopoliza procesorul și/sau memoria fizică, reducând viteza altor aplicații la zero, sau de exemplu, numărul de utilizatori conectați la sistem care este limitat de resurse. Un exemplu de consum de resurse la distanță sunt atacurile DoS – refuzul serviciului. Metodele de protecţie specifice tehnologiei informației din ziua de astăzi sunt variate, depinzând de tipul de vulnerabilităţi spre care sunt orientate. Soluţiile date de programele antivirus, antispam, antispyware, echipamentele sau programele de tip firewall, VPN, programele de detecţie şi prevenire a intruziunii (IDS, IPS) sau criptarea informaţiei sunt metode folosite pe scară largă de toţi cei care sunt conştienţi de riscurile comunicaţiilor în epoca modernă. 9 Aureliu Zgureanu. Bazele securității informaționale. Dat fiind faptul că procesul de asigurare a securității informaţiei este o componentă esenţială a societăţii informaţionale, au fost elaborate standarde internaţionale specifice conexe securității informațiilor. Unele dintre cele mai importante standarde de acest tip se conțin în familia standardelor de securitate ISO 27000 și au scopul de a ajuta organizațiile să obțină un nivel cat mai ridicat al securității informaționale. Întrebări și subiecte pentru aprofundarea cunoștințelor și lucrul individual 1. Care sunt cele trei obiective primare din domeniul securității informațiilor (CIA)? Ce înseamnă fiecare dintre ele? 2. Descrieți o situație eventuală de compromitere a integrității, confidențialității, disponibilității și non-repudierii. Care ar putea fi urmările acestor compromiteri? 3. Definiți Securitatea informației din punctul de vedere a triadei CIA. 4. Ce este o amenințare la adresa securității informației din punctul de vedere al ISO/IEC 27005? 5. Faceți o descriere generală a amenințărilor la adresa triadei CIA. Subliniați cele mai importante momente. 6. Faceți o descriere a amenințărilor la adresa autenticității, responsabilității și nonrepudierii. 10 Aureliu Zgureanu. Bazele securității informaționale TEMA 2: ASPECTE JURIDICE PRIVIND PROTECŢIA ȘI SECURITATEA INFORMAȚIEI Obiectivele temei: Familiarizarea cu noțiunile generale ale aspectului legislativ de protecție a informației. Familiarizarea cu conținutul actelor legislative ale RM referitor la infracţiunilor informatice şi a infracţiunilor în domeniul telecomunicaţiilor. Descierea legislației referitoare la Secretul de stat și secretul comercial. Prezentarea altor acte legislative conexe securității informaționale. Analiza succintă a proiectului Concepţiei securităţii informaţionale a Republicii Moldova. Cuvinte-cheie: Constituţia RM, secretul de stat, Codul penal al RM, secretul comercial, măsuri cu scop restrictiv, Legea comunicațiilor măsuri cu scop creativ electronice, infracţiuni informatice, Securitatea informaţională infracţiuni în domeniul a RM. telecomunicaţiilor, Aspectul legislativ are o importanță majoră în procesul de asigurare a securității informației. Majoritatea oamenilor nu comit infracțiuni legate de securitatea informației nu din cauza că din punct de vedere tehnic ele nu sunt posibile, ci deoarece aceste acțiuni contravin bunului simț, ele sunt condamnate de societate sau chiar pedepsite. 2.1. Noțiuni generale ale aspectului legislativ de protecție a informației La nivelul legislativ de asigurare a securității informației putem evidenția două grupe de măsuri: măsuri cu scop restrictiv, adică măsuri care vizează crearea și menținerea în societate unei atitudini negative (inclusiv cu utilizarea sancțiunilor) față de infracțiunile din domeniul securității informațiilor și autorii acestora; măsuri cu scop creativ, adică măsuri de ghidare și coordonare care îmbunătățesc educația societății în domeniul securității informațiilor și care contribuie la dezvoltarea și distribuirea instrumentelor și mijloacelor de asigurare a securității informației. În practică ambele grupuri de măsuri sunt la fel de importante, însă este necesar de subliniat aspectul respectării conștiente a normelor și reglementărilor de securitate a informațiilor. Aceasta este important pentru toți participanții procesului informațional, deoarece ar fi naiv să credem că ne 1 Aureliu Zgureanu. Bazele securității informaționale putem baza doar pe protecția organelor de aplicare a legii. Pentru cei a căror datorie este de a pedepsi infractorii la fel este importantă cunoașterea și respectarea acestor norme și reglementări, deoarece asigurarea concludenței în timpul anchetei și a procesului în instanță, legat de criminalitatea informatică, este imposibilă fără o pregătire specială. Legea Supremă a Republicii Moldova este Constituţia RM, care a fost adoptată la data de 29 iulie 1994. Prin Constituție, în conformitate cu Articolul 34, avem Dreptul la informație. În acest articol în particular este garantat: (1) Dreptul persoanei de a avea acces la orice informație de interes public nu poate fi îngrădit. (2) Autoritățile publice, potrivit competențelor ce le revin, sunt obligate să asigure informarea corecta a cetățenilor asupra treburilor publice și asupra problemelor de interes personal. (3) Dreptul la informație nu trebuie să prejudicieze măsurile de protecție a cetățenilor sau siguranța națională. Articolul 30 al Constituției RM garantează Secretul corespondenței: (1) Statul asigură secretul scrisorilor, al telegramelor, al altor trimiteri poștale, al convorbirilor telefonice și al celorlalte mijloace legale de comunicare. (2) De la prevederile alineatului (1) se poate deroga prin lege în cazurile când această derogare este necesară în interesele securității naționale, bunăstării economice a țării, ordinii publice și în scopul prevenirii infracțiunilor. Actul legislativ care cuprinde norme de drept ce stabilesc principiile şi dispoziţiile generale şi speciale ale dreptului penal, determină faptele ce constituie infracţiuni şi prevede pedepsele ce se aplică infractorilor este Codul penal al RM, care a fost publicat la 14.04.2009 în Monitorul Oficial Nr. 72-74. Codul penal se aplică în conformitate cu prevederile Constituţiei Republicii Moldova şi ale actelor internaţionale la care Republica Moldova este parte. Articolul 180 al Codului penal Încălcarea intenţionată a legislaţiei privind accesul la informaţie prevede: Încălcarea intenţionată de către o persoană cu funcţie de răspundere a procedurii legale de asigurare şi de realizare a dreptului de acces la informaţie, încălcare ce a cauzat daune în proporţii considerabile drepturilor şi intereselor ocrotite de lege ale persoanei care a solicitat informaţii referitoare la ocrotirea sănătăţii populaţiei, la securitatea publică, la protecţia mediului, 2 Aureliu Zgureanu. Bazele securității informaționale se pedepseşte cu amendă de la 150 la 300 unităţi convenţionale cu (sau fără) privarea de dreptul de a ocupa anumite funcţii sau de a exercita o anumită activitate pe un termen de până la 3 ani. 2.2. Infracţiuni informatice şi infracţiuni în domeniul telecomunicaţiilor Pedepsele pentru infracţiuni informatice şi infracţiuni în domeniul telecomunicaţiilor sunt stipulate în Capitolul XI al Codului penal și cuprinde articolele: Articolul 259. Accesul ilegal la informaţia computerizată. Articolul 260. Producerea, importul, comercializarea sau punerea ilegală la dispoziţie a mijloacelor tehnice sau produselor program. Articolul 2601. Interceptarea ilegală a unei transmisii de date informatice. Articolul 2602. Alterarea integrităţii datelor informatice ţinute într-un sistem informatic. Articolul 2603. Perturbarea funcţionării sistemului informatic. Articolul 2604. Producerea, importul, comercializarea sau punerea ilegală la dispoziţie a parolelor, codurilor de acces sau a datelor similare. Articolul 2605. Falsul informatic. Articolul 2606. Frauda informatică. Articolul 261. Încălcarea regulilor de securitate a sistemului informatic. Articolul 2611. Accesul neautorizat la reţelele şi serviciile de telecomunicaţii. 2.2.1. Accesul ilegal la informaţia computerizată Articolul 259: (1) Accesul ilegal la informaţia computerizată, adică la informaţia din calculatoare, de pe suporţii materiali de informaţie, din sistemul sau reţeaua informatică, al unei persoane care nu este autorizată în temeiul legii sau al unui contract, depăşeşte limitele autorizării ori nu are permisiunea persoanei competente să folosească, să administreze sau să controleze un sistem informatic ori să desfăşoare cercetări ştiinţifice sau să efectueze orice altă operaţiune într-un sistem informatic, dacă este însoţit de distrugerea, deteriorarea, modificarea, blocarea sau copierea informaţiei, de dereglarea funcţionării calculatoarelor, a sistemului sau a reţelei informatice şi dacă a cauzat daune în proporţii mari, se pedepseşte cu amendă în mărime de la 200 la 500 unităţi convenţionale sau cu muncă neremunerată în folosul comunităţii de la 150 la 200 de ore, sau cu închisoare de până la 2 ani, cu amendă, aplicată persoanei juridice, în mărime de la 1000 la 3000 unităţi convenţionale cu privarea de dreptul de a exercita o anumită activitate. (2) Aceeaşi acţiune săvârşită: 3 Aureliu Zgureanu. Bazele securității informaționale a) de două sau mai multe persoane; b) cu violarea sistemelor de protecţie; c) cu conectarea la canalele de telecomunicaţii; d) cu folosirea unor mijloace tehnice speciale; e) cu utilizarea ilegală a calculatorului, sistemului sau reţelei informatice, în scopul săvârşirii uneia dintre infracţiunile prevăzute la alin.(1), la art.2601–2603, 2605 şi 2606; f) în privinţa informaţiei protejată de lege; g) în proporţii deosebit de mari, se pedepseşte cu amendă în mărime de la 500 la 1000 unităţi convenţionale sau cu muncă neremunerată în folosul comunităţii de la 180 la 240 de ore, sau cu închisoare de până la 3 ani, iar persoana juridică se pedepseşte cu amendă în mărime de la 3000 la 6000 unităţi convenţionale cu privarea de dreptul de a exercita o anumită activitate sau cu lichidarea persoanei juridice. 2.2.2. Operații ilegale cu mijloace tehnice sau produse program Articolul 260. Producerea, importul, comercializarea sau punerea ilegală la dispoziţie a mijloacelor tehnice sau produselor program: Producerea, importul, comercializarea sau punerea la dispoziţie, sub orice altă formă, în mod ilegal, a mijloacelor tehnice sau produselor program, concepute sau adaptate, în scopul săvârşirii uneia dintre infracţiunile prevăzute la art.237, 259, 2601–2603, 2605 şi 2606, se pedepseşte cu amendă în mărime de la 500 la 1000 unităţi convenţionale sau cu închisoare de la 2 la 5 ani, cu amendă, aplicată persoanei juridice, în mărime de la 3000 la 6000 unităţi convenţionale cu privarea de dreptul de a exercita o anumită activitate sau cu lichidarea întreprinderii. 2.2.3. Interceptarea ilegală a unei transmisii de date informatice Articolul 2601: Interceptarea ilegală a unei transmisii de date informatice (inclusiv a unei emisii electronice) care nu sunt publice şi care sunt destinate unui sistem informatic, provin dintr-un asemenea sistem sau se efectuează în cadrul unui sistem informatic, se pedepseşte cu amendă în mărime de la 500 la 1000 unităţi convenţionale sau cu închisoare de la 2 la 5 ani, cu amendă, aplicată persoanei juridice, în mărime de la 3000 la 6000 unităţi convenţionale cu privarea de dreptul de a exercita o anumită activitate sau cu lichidarea întreprinderii. 2.2.4. Alterarea integrităţii datelor informatice Articolul 2602. Alterarea integrităţii datelor informatice ţinute într-un sistem informatic: 4 Aureliu Zgureanu. Bazele securității informaționale Modificarea, ştergerea sau deteriorarea intenţionată a datelor informatice ţinute într-un sistem informatic ori restricţionarea ilegală a accesului la aceste date, transferul neautorizat de date informatice dintr-un sistem informatic, dintr-un mijloc de stocare, dobândirea, comercializarea sau punerea la dispoziţie, sub orice formă, a datelor informatice cu acces limitat, dacă aceste acţiuni au cauzat daune în proporţii mari, se pedepsesc cu amendă în mărime de la 500 la 1000 unităţi convenţionale sau cu închisoare de la 2 la 5 ani. 2.2.5 Perturbarea funcţionării sistemului informatic Articolul 2603: (1) Perturbarea funcţionării unui sistem informatic prin introducerea, transmiterea, modificarea, ştergerea sau deteriorarea datelor informatice sau prin restricţionarea accesului la aceste date, dacă aceste acţiuni au cauzat daune în proporţii mari, se pedepseşte cu amendă în mărime de la 700 la 1000 unităţi convenţionale sau cu muncă neremunerată în folosul comunităţii de la 150 la 200 de ore, sau cu închisoare de la 2 la 5 ani, cu amendă, aplicată persoanei juridice, în mărime de la 3000 la 6000 unităţi convenţionale cu privarea de dreptul de a exercita o anumită activitate sau cu lichidarea întreprinderii. (2) Aceeaşi acţiune: a) săvârşită din interes material; b) săvârşită de două sau mai multe persoane; c) săvârşită de un grup criminal organizat sau de o organizaţie criminală; d) care a cauzat daune în proporţii deosebit de mari, se pedepseşte cu amendă în mărime de la 700 la 1000 unităţi convenţionale sau cu închisoare de la 3 la 7 ani, cu amendă, aplicată persoanei juridice, în mărime de la 3000 la 6000 unităţi convenţionale sau cu lichidarea întreprinderii. 2.2.6. Operații frauduloase cu parole, coduri de acces sau date similare Articolul 2604. Producerea, importul, comercializarea sau punerea ilegală la dispoziţie a parolelor, codurilor de acces sau a datelor similare: (1) Producerea, importul, comercializarea sau punerea la dispoziţie, sub orice altă formă, în mod ilegal, a unei parole, a unui cod de acces sau a unor date similare care permit accesul total sau parţial la un sistem informatic în scopul săvârşirii uneia dintre infracţiunile prevăzute la art.237, 259, 2601–2603, 2605 şi 2606, dacă aceste acţiuni au cauzat daune în proporţii mari, 5 Aureliu Zgureanu. Bazele securității informaționale se pedepsesc cu amendă în mărime de la 500 la 1000 unităţi convenţionale sau cu închisoare de la 2 la 5 ani, cu amendă, aplicată persoanei juridice, în mărime de la 1000 la 3000 unităţi convenţionale cu privarea de dreptul de a exercita o anumită activitate. (2) Aceleaşi acţiuni: a) săvârşite din interes material; b) săvârşite de două sau mai multe persoane; c) săvârşite de un grup criminal organizat sau de o organizaţie criminală; d) care au cauzat daune în proporţii deosebit de mari, se pedepsesc cu amendă în mărime de la 1000 la 1500 unităţi convenţionale sau cu închisoare de la 3 la 7 ani, cu amendă, aplicată persoanei juridice, în mărime de la 3000 la 6000 unităţi convenţionale cu privarea de dreptul de a exercita o anumită activitate sau cu lichidarea întreprinderii. 2.2.7. Falsul informatic și frauda informatică Articolul 2605. Falsul informatic: Introducerea, modificarea sau ştergerea ilegală a datelor informatice ori restricţionarea ilegală a accesului la aceste date, rezultând date necorespunzătoare adevărului, în scopul de a fi utilizate în vederea producerii unei consecinţe juridice, se pedepsesc cu amendă în mărime de la 1000 la 1500 unităţi convenţionale sau cu închisoare de la 2 la 5 ani. Articolul 2606. Frauda informatică: (1) Introducerea, modificarea sau ştergerea datelor informatice, restricţionarea accesului la aceste date ori împiedicarea în orice mod a funcţionării unui sistem informatic, în scopul de a obţine un beneficiu material pentru sine sau pentru altul, dacă aceste acţiuni au cauzat daune în proporţii mari, se pedepsesc cu amendă în mărime de la 1000 la 1500 unităţi convenţionale sau cu muncă neremunerată în folosul comunităţii de la 150 la 200 de ore, sau cu închisoare de la 2 la 5 ani. (2) Aceleaşi acţiuni: a) săvârşite de un grup criminal organizat sau de o organizaţie criminală; b) care au cauzat daune în proporţii deosebit de mari,se pedepsesc cu închisoare de la 4 la 9 ani. 6 Aureliu Zgureanu. Bazele securității informaționale 2.2.8. Încălcarea regulilor de securitate a sistemului informatic Articolul 261: Încălcarea regulilor de colectare, prelucrare, păstrare, difuzare, repartizare a informaţiei ori a regulilor de protecţie a sistemului informatic, prevăzute în conformitate cu statutul informaţiei sau gradul ei de protecţie, dacă această acţiune a contribuit la însuşirea, denaturarea sau la distrugerea informaţiei ori a provocat alte urmări grave, se pedepseşte cu amendă în mărime de până la 400 unităţi convenţionale sau cu muncă neremunerată în folosul comunităţii de la 200 la 240 de ore, sau cu închisoare de până la 2 ani, în toate cazurile cu (sau fără) privarea de dreptul de a ocupa anumite funcţii sau de a exercita o anumită activitate pe un termen de la 2 la 5 ani, iar persoana juridică se pedepseşte cu amendă în mărime de la 1.000 la 3.000 unităţi convenţionale cu privarea de dreptul de a exercita o anumită activitate. 2.2.9. Accesul neautorizat la reţelele şi serviciile de telecomunicaţii Articolul 2611: (1) Accesul neautorizat la reţelele şi/sau serviciile de telecomunicaţii cu utilizarea reţelelor şi/sau serviciilor de telecomunicaţii ale altor operatori, dacă acesta a cauzat daune în proporţii mari, se pedepseşte cu amendă în mărime de la 500 la 1000 unităţi convenţionale sau cu închisoare de până la 1 an, iar persoana juridică se pedepseşte cu amendă în mărime de la 1.000 la 3.000 unităţi convenţionale cu privarea de dreptul de a exercita o anumită activitate. (2) Aceeaşi acţiune: a) săvârşită de două sau mai multe persoane; b) săvârşită cu violarea sistemelor de protecţie; c) săvârşită cu folosirea mijloacelor tehnice speciale; d) care a cauzat daune în proporţii deosebit de mari, se pedepseşte cu amendă în mărime de la 1.000 la 3.000 unităţi convenţionale sau cu închisoare de până la 5 ani, iar persoana juridică se pedepseşte cu amendă în mărime de la 3.000 la 6.000 unităţi convenţionale cu privarea de dreptul de a exercita o anumită activitate. Aici este necesar de menționat și Articolul 3011 al Codului penal, care spune: Producerea, comercializarea sau procurarea în scop de comercializare a mijloacelor tehnice speciale destinate pentru obţinerea ascunsă a informaţiei, săvârşite ilegal, 7 Aureliu Zgureanu. Bazele securității informaționale se pedepsesc cu amendă în mărime de la 300 la 500 unităţi convenţionale sau cu muncă neremunerată în folosul comunităţii de la 200 la 240 de ore, sau cu închisoare de până la 3 ani, în toate cazurile cu (sau fără) privarea de dreptul de a ocupa anumite funcţii sau de a exercita o anumită activitate pe un termen de la 1 la 3 ani, iar persoana juridică se pedepseşte cu amendă în mărime de la 1000 la 3000 unităţi convenţionale cu privarea de dreptul de a exercita o anumită activitate pe un termen de la 1 la 3 ani. În completare la aceasta vine Articolul 261 al codului Contravenţional al RM, (1) Proiectarea sau producerea fără scop de comercializare, deţinerea sau utilizarea ilegală a mijloacelor tehnice speciale pentru obţinerea ascunsă a informaţiei, se sancţionează cu amendă de la 30 la 50 de unităţi convenţionale aplicată persoanei fizice, cu amendă de la 100 la 200 de unităţi convenţionale aplicată persoanei cu funcţie de răspundere, cu amendă de la 150 la 300 de unităţi convenţionale aplicată persoanei juridice cu sau fără privarea de dreptul de a desfăşura o anumită activitate pe un termen de la 6 luni la un an. 2.3. Secretul de stat și secretul comercial 2.3.1. Secretul de stat Un loc special în legislație îl ocupă secretul de stat, care reprezintă informaţii protejate de stat în domeniul apărării naţionale, economiei, ştiinţei şi tehnicii, relaţiilor externe, securităţii statului, asigurării ordinii de drept şi activităţii autorităţilor publice, a căror divulgare neautorizată sau pierdere este de natură să aducă atingere intereselor şi/sau securităţii Republicii Moldova. Secretul de stat este reglementat de legea Nr. 245 din 27.11.2008 cu privire la secretul de stat (http://lex.justice.md/md/330847/). Articolul 344 al Codului penal prevede pedeapsa pentru divulgarea secretului de stat: (1) Divulgarea informaţiilor ce constituie secret de stat de către o persoană căreia aceste informaţii i-au fost încredinţate sau i-au devenit cunoscute în legătură cu serviciul sau munca sa, dacă nu constituie trădare de Patrie sau spionaj, se pedepseşte cu amendă în mărime de la 200 la 600 unităţi convenţionale sau cu închisoare de până la 4 ani, în ambele cazuri cu privarea de dreptul de a ocupa anumite funcţii sau de a exercita o anumită activitate pe un termen de până la 5 ani. (2) Aceeaşi acţiune soldată cu urmări grave, se pedepseşte cu închisoare de la 3 la 7 ani cu privarea de dreptul de a ocupa anumite funcţii sau de a exercita o anumită activitate pe un termen de la 2 la 5 ani. 8 Aureliu Zgureanu. Bazele securității informaționale Articolul 345 al Codului penal stipulează pedeapsa pentru pierderea documentelor ce conţin secrete de stat: Pierderea documentelor ce conţin secrete de stat, precum şi a obiectelor datele despre care constituie secret de stat, de către o persoană căreia aceste documente sau obiecte i-au fost încredinţate, dacă pierderea a fost un rezultat al încălcării regulilor stabilite de păstrare a documentelor sau obiectelor menţionate şi a cauzat urmări grave, se pedepseşte cu amendă în mărime de la 150 la 400 unităţi convenţionale sau cu închisoare de până la 3 ani, în ambele cazuri cu privarea de dreptul de a ocupa anumite funcţii sau de a exercita o anumită activitate pe un termen de până la 5 ani. 2.3.2. Secretul comercial sau bancar Informaţiile ce nu constituie secret de stat, și care ţin de producţie, tehnologie, administrare, de activitatea financiară şi de altă activitate a agentului economic, a căror divulgare (transmitere, scurgere) poate să aducă atingere intereselor lui poartă denumirea de secret comercial. Informaţiile ce constituie secret comercial sunt proprietate a agentului antreprenoriatului sau se află în posesia, folosinţa sau la dispoziţia acestuia în limitele stabilite de el în conformitate cu legislaţia. Articolul 24510 al Codului penal stipulează pedeapsa pentru obţinerea ilegală şi/sau divulgarea informaţiilor ce constituie secret comercial sau bancar (1) Colectarea de informaţii care constituie secret comercial sau bancar prin sustragerea de informaţii, inclusiv folosirea mijloacelor tehnice speciale, extorcare sau ameninţarea cu aplicarea violenţei nepericuloase pentru viaţa sau sănătatea persoanei, se pedepseşte cu amendă în mărime de la 1000 la 4000 unităţi convenţionale sau cu închisoare de la 1 la 6 ani, în ambele cazuri cu (sau fără) privarea de dreptul de a ocupa anumite funcţii sau de a exercita o anumită activitate pe un termen de până la 3 ani. (2) Divulgarea ilicită sau utilizarea informaţiilor ce constituie secret comercial sau bancar de către persoana căreia i-a fost încredinţată sau i-a devenit cunoscută această informaţie în virtutea atribuţiilor deţinute, fără consimţământul proprietarului informaţiei, se pedepseşte cu amendă în mărime de la 1000 la 3000 unităţi convenţionale sau cu închisoare de la 1 la 3 ani, în ambele cazuri cu (sau fără) privarea de dreptul de a ocupa anumite funcţii sau de a exercita o anumită activitate pe un termen de până la 5 ani. (3) Aceleaşi acţiuni care au cauzat daune în proporţii deosebit de mari, se pedepsesc cu amendă în mărime de la 4000 la 5000 unităţi convenţionale sau cu închisoare de la 2 la 5 ani, în ambele cazuri cu (sau fără) privarea de dreptul de a 9 Aureliu Zgureanu. Bazele securității informaționale ocupa anumite funcţii sau de a exercita o anumită activitate pe un termen de la 2 la 5 ani. 2.4. Alte acte legislative conexe securității informaționale În continuare sunt relatate pe scurt unele legi, adoptate de către Parlamentul RM, care au un impact direct cu procesul de asigurare a securității informaționale. 2.4.1. Legea cu privire la informatizare şi la resursele informaţionale de stat Legea cu privire la informatizare şi la resursele informaţionale de stat (http://lex.justice.md/md/313189/) stabileşte regulile de bază şi condiţiile de activitate în domeniul creării şi dezvoltării infrastructurii informaţionale naţionale ca mediu de funcţionare al societăţii informaţionale din Republica Moldova, reglementează raporturile juridice care apar în procesul de creare, formare şi utilizare a resurselor informaţionale automatizate de stat, a tehnologiilor, sistemelor şi reţelelor informaţionale. Sub incidenţa acestei legi nu cad raporturile care apar la crearea şi funcţionarea mijloacelor de informare în masă, resurselor informaţionale nestatale, la prelucrarea informaţiei nedocumentate. 2.4.2. Legea comunicaţiilor electronice Legea comunicaţiilor electronice (http://lex.justice.md/md/327198/) stabileşte principalele reguli şi condiţii de activitate în domeniul comunicaţiilor electronice din Republica Moldova, cadrul general al politicii şi strategiei de dezvoltare a domeniului, prin definirea atribuţiilor autorităţii centrale de specialitate, cadrul general de reglementare a activităţilor privind reţelele şi serviciile de comunicaţii electronice, prin definirea atribuţiilor şi obiectivelor autorităţii de reglementare, drepturile şi obligaţiile statului, ale persoanelor fizice şi juridice în procesul creării, gestionării şi utilizării reţelelor de comunicaţii electronice, în scopul asigurării utilizatorilor cu servicii de comunicaţii electronice de calitate, moderne şi utile, la preţuri rezonabile, precum şi al asigurării accesului liber la serviciile publice de comunicaţii electronice. Această lege reglementează activitatea în domeniul comunicaţiilor electronice civile a tuturor furnizorilor de reţele şi/sau servicii de comunicaţii electronice, indiferent de tipul lor de proprietate, şi stabileşte drepturile şi obligaţiile utilizatorilor pe întreg teritoriul Republicii Moldova. Acţiunea Legii comunicaţiilor electronice nu se extinde asupra reţelelor de comunicaţii speciale, crearea şi funcţionarea acestor reţele fiind reglementată de către Guvern. De asemenea această lege nu reglementează conţinutul informaţiei transmise prin reţelele de comunicaţii electronice, cu excepţia informaţiei care identifică utilizatorul final. 10 Aureliu Zgureanu. Bazele securității informaționale 2.4.3. Legea privind protecţia datelor cu caracter personal Legea privind protecţia datelor cu caracter personal (http://lex.justice.md/md/340495/) creează cadrul juridic necesar aplicării Directivei 95/46/CE a Parlamentului European şi a Consiliului din 24 octombrie 1995 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date. Scopul acestei legi este asigurarea protecţiei drepturilor şi libertăţilor fundamentale ale persoanei fizice în ceea ce priveşte prelucrarea datelor cu caracter personal, în special a dreptului la inviolabilitatea vieţii intime, familiale şi private. Prezenta lege reglementează relaţiile juridice care apar în procesul de prelucrare a datelor cu caracter personal ce fac parte dintr-un sistem de evidenţă sau care sunt destinate să fie incluse întrun asemenea sistem, efectuată în totalitate sau în parte prin mijloace automatizate, precum şi prin alte mijloace decât cele automatizate. Domeniul de acţiune al prezentei legi se extinde asupra: a) prelucrării datelor cu caracter personal efectuate în cadrul activităţilor desfăşurate de operatori aflaţi pe teritoriul Republicii Moldova; b) prelucrării datelor cu caracter personal efectuate în cadrul misiunilor diplomatice şi oficiilor consulare ale Republicii Moldova, precum şi de către alţi operatori aflaţi în afara teritoriului ţării, dar pe teritorii în care se aplică dreptul intern al Republicii Moldova, în temeiul dreptului internaţional public; c) prelucrării datelor cu caracter personal efectuate de operatori aflaţi în afara teritoriului Republicii Moldova, cu utilizarea mijloacelor aflate pe teritoriul Republicii Moldova, cu excepţia cazului în care aceste mijloace nu sunt utilizate decât în scopul tranzitării pe teritoriul Republicii Moldova a datelor cu caracter personal care fac obiectul prelucrării respective; d) prelucrării datelor cu caracter personal în cadrul acţiunilor de prevenire şi investigare a infracţiunilor, punerii în executare a sentinţelor de condamnare şi al altor acţiuni din cadrul procedurii penale sau contravenţionale în condiţiile legii. Prevederile prezentei legi sunt aplicabile persoanei împuternicite de către operator, fără a exclude dreptul de a intenta acţiune în justiţie împotriva operatorului. Domeniul de acţiune al prezentei legi nu se extinde asupra: a) prelucrării datelor cu caracter personal efectuate de către operatori exclusiv pentru nevoi personale sau familiale, dacă prin aceasta nu se încalcă drepturile subiecţilor datelor cu caracter personal; 11 Aureliu Zgureanu. Bazele securității informaționale b) prelucrării datelor cu caracter personal atribuite la secret de stat în modul stabilit, cu excepţia celor indicate la alin. (2) lit. d); c) operaţiunilor de prelucrare şi transmitere transfrontalieră a datelor cu caracter personal ce se referă la făptuitorii sau victimele crimelor de genocid, ale crimelor de război şi ale crimelor împotriva umanităţii. 2.4.4. Legea privind prevenirea şi combaterea criminalităţii informatice Legea privind prevenirea şi combaterea criminalităţii informatice (http://lex.justice.md/md/333508/) reglementează raporturile juridice privind: a) prevenirea şi combaterea infracţiunilor informatice; b) cadrul de asistenţă mutuală în prevenirea şi combaterea criminalităţii informatice, în protecţia şi acordarea de ajutor furnizorilor de servicii şi utilizatorilor de sisteme informatice; c) colaborarea autorităţilor administraţiei publice cu organizaţii neguvernamentale şi cu alţi reprezentanţi ai societăţii civile în activitatea de prevenire şi de combatere a criminalităţii informatice; d) cooperarea cu alte state, cu organizaţii internaţionale şi regionale având competenţe în domeniu. 2.4.5. Legea privind accesul la informaţie Legea privind accesul la informaţie (http://lex.justice.md/md/311759/), reglementează: a) raporturile dintre furnizorul de informaţii şi persoana fizică si/sau juridică în procesul de asigurare şi realizare a dreptului constituţional de acces la informaţie; b) principiile, condiţiile, căile şi modul de realizare a accesului la informaţiile oficiale, aflate în posesia furnizorilor de informaţii; c) drepturile solicitanţilor informaţiei; d) obligaţiile furnizorilor de informaţii în procesul asigurării accesului la informaţiile oficiale; e) modalitatea apărării dreptului de acces la informaţie. Nu constituie obiect al acestei legi raporturile care se referă la colectarea, prelucrarea, depozitarea şi garantarea integrităţii informaţiilor, prezentarea obligatorie a informaţiilor prevăzute de lege de către persoane private autorităţilor publice, instituţiilor publice, accesul autorităţilor publice, instituţiilor publice, persoanelor fizice şi/sau juridice, abilitate cu gestionarea unor servicii publice, la informaţiile aflate în posesia altor asemenea autorităţi publice, instituţii publice, 12 Aureliu Zgureanu. Bazele securității informaționale persoane fizice şi/sau juridice, furnizarea informaţiilor referitoare la propria activitate de către persoane fizice şi juridice private, partide şi formaţiuni social-politice, fundaţii, asociaţii obşteşti. Legea privind accesul la informaţie are drept scop: a) crearea cadrului normativ general al accesului la informaţiile oficiale; b) eficientizarea procesului de informare a populaţiei şi a controlului efectuat de către cetăţeni asupra activităţii autorităţilor publice şi a instituţiilor publice; c) stimularea formării opiniilor şi participării active a populaţiei la procesul de luare a deciziilor în spirit democratic. 2.4.6. Legea privind semnătura electronică şi documentul electronic Legea privind semnătura electronică şi documentul electronic (http://lex.justice.md/md/353612/) creează cadrul necesar aplicării Directivei nr. 1999/93/CE a Parlamentului European şi a Consiliului din 13 decembrie 1999 privind un cadru comunitar pentru semnăturile electronice, publicată în Jurnalul Oficial al Comunităţilor Europene nr. L 13 din 19 ianuarie 2000. Scopul legii şi domeniul de aplicare (1) Prezenta lege stabileşte regimul juridic al semnăturii electronice şi al documentului electronic, inclusiv cerinţele principale faţă de valabilitatea acestora şi cerinţele principale faţă de serviciile de certificare. (2) Prezenta lege nu limitează modul de utilizare a documentelor. (3) Recunoaşterea semnăturii electronice şi a documentului electronic în afara Republicii Moldova este reglementată de tratatele internaţionale la care Republica Moldova este parte. În cazul în care tratatele internaţionale la care Republica Moldova este parte stabilesc alte norme decât cele prevăzute de prezenta lege, se aplică normele tratatelor internaţionale. 2.5. Concepţia securităţii informaţionale a Republicii Moldova Cu regret, la momentul publicării acestui manual încă nu a fost adoptată Concepţia securităţii informaţionale a Republicii Moldova, ea fiind aprobată de Guvernul RM și votată în Parlamentul RM în lectura întâi în iunie 2017, fiind propuse diverse modificări la proiectul inițial. În conformitate cu proiectul, Concepţia securităţii informaţionale a Republicii Moldova reprezintă un sistem integrat de opinii referitoare la scopurile, sarcinile, principiile şi direcţiile de bază ale activităţii de asigurare a nivelului necesar de securitate informaţională şi de protecţie a informaţiei în Republica Moldova. Conform proiectului acestei Concepţii, asigurarea securității 13 Aureliu Zgureanu. Bazele securității informaționale informaţionale şi protecţia informaţiei se consideră drept părţi componente ale sistemului naţional de securitate. Concepţia securităţii informaţionale a Republicii Moldova va servi drept bază pentru elaborarea legislației Republicii Moldova, inclusiv a politicii de stat, în domeniul asigurării securităţii informaţionale, pentru asigurarea coordonării și sporirii nivelului de eficiență a activităţii autorităţilor administraţiei publice şi a altor organizaţii din sectorul public și privat, pentru elaborarea programelor speciale de asigurare a securităţii informaţionale, precum şi pentru crearea unui sistem unic de protecţie a informaţiei ce întruneşte măsurile legale, organizatorice, tehnice, tehnologice şi fizice de protecţie. Concepţia are drept scopuri principale crearea sistemului de asigurare a securităţii informaţionale în Republica Moldova, sporirea nivelului de securitate informaţională a statului în ansamblu şi perfecţionarea în continuare a cadrului legislativ privind securitatea informaţională, fundamentată de prevederile Constituţiei Republicii Moldova, Concepţiei securităţii naţionale şi Strategiei de securitate naţională. Concepţia determină scopurile, principiile şi sarcinile de activitate a organelor administraţiei publice în asigurarea securităţii informaţionale, componentele de bază ale securităţii informaţionale, ameninţări principale şi metodele de prevenire a acestora. În final trebuie de menționat că cadrul juridic are o importanță primordială în asigurarea unui nivel înalt de protecție a informației, iar pentru un specialist din domeniul tehnologiilor informaționale este necesar să fie la curent cu legislația actualizată ce ține de acest domeniu. În același timp legislația stabilește modul în care vor fi pedepsiți cei care comit infracțiuni cibernetice, de aceea nu sunt mai puțin importante și standardele și specificațiile care reglementează lucrul activitățile unui specialist în domeniul securității informaționale, dar și a oricărui specialist IT, care este un subiect important în dezvoltarea sistemelor informatice. Întrebări și subiecte pentru aprofundarea cunoștințelor și lucrul individual 1. Care sunt actele legislative ale RM care vizează măsurile cu scop restrictiv de asigurarea a securității informației? Exemplificați prin evidențierea a 3 articole relevante din aceste acte. 2. Descrieți o situație în care măsurile legislative pot contribui la sporirea nivelului de securitate a informației în cadrul unei întreprinderi sau organizații. 3. Realizați o analiză statistică la nivel global a infracțiunilor informatice comise în ultimii 2 ani. Care dintre domeniile de activitate a omului sunt cele mai afectate de astfel de infracțiuni? 4. Estimați rolul Concepției securității informaționale a statului în contextul etapei moderne de activitate cibernetică infracțională. 14 “Tehnicile de securitate standardizate devin cerinţe obligatorii pentru comerţul electronic, mediul sanitar, telecomunicaţii, sectorul auto și multe alte domenii industriale, comerciale sau guvernamentale.” Prof. Edward Humphreys TEMA 3: STANDARDE ÎN DOMENIUL SECURITĂȚII INFORMAȚIEI Obiectivele temei: Introducere în noțiunile de bază ale standardizării. Prezentarea evoluției standardelor de securitate. Caracterizarea generală a standardelor din familia ISO/IEC 27000. Cuvinte-cheie: standardizare, ISO/IEC, ISO27k, sistem de management a securității informației, cod de bună practică, tehnici de securitate, audit şi certificare, managementul inciedntelor de securitate, managementul riscului securităţii informaţiei. AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI Prof. Edward Humphreys, unul dintre responsabilii pentru elaborarea multor dintre standardele de securitate a spus: “Tehnicile de securitate standardizate devin cerinţe obligatorii pentru comerţul electronic, mediul sanitar, telecomunicaţii, sectorul auto și multe alte domenii industriale, comerciale sau guvernamentale.” Cuvintele sale au fost confirmate de-a lungul timpului de experiența avută după implementarea acestor standarde, ele având un impact major în procesul de asigurare a securității informațiilor în diversele domenii de activitate umană. 3.1. Introducere în standardizare Securitatea informațiilor joacă un rol important în protejarea activelor unei organizații, însă deoarece nu există o formulă unică care poate garanta 100% securitatea, este nevoie de un set de criterii, reguli sau standarde pentru a contribui la asigurarea atingerii unui nivel adecvat de securitate, la utilizarea resurselor în mod eficient, la adoptarea celor mai bune practici de securitate. Rolul primordial în elaborarea standardelor îi revine Organizației Internaționale pentru Standardizare (ISO), care împreună cu Comisia Internațională Electrotehnică (IEC) formează un sistem internațional specializat pentru standardizarea mondială. Organismele naționale care sunt membre ale ISO și IEC participă la dezvoltarea standardelor internaționale prin intermediul comitetelor tehnice. Astfel, Statele Unite ale Americii, prin intermediul Institutului Național de Standardizare (ANSI), ocupă poziția de Secretar, 24 de țări au statut de Participanți (Brazilia, Franța, Regatul Unit al Marii Britanii, Coreea, Cehia, Germania, Danemarca, Belgia, Portugalia, Japonia, Olanda, Irlanda, Norvegia, Africa de Sud, Australia, Canada, Finlanda, Suedia, Slovenia, Elveția, Noua Zeelandă și Italia) și alte 40 de țări au statut de Observatori. În conformitate cu ISO “standardul reprezintă documentul stabilit prin consens şi aprobat de către un organism recunoscut, care furnizează pentru utilizări comune şi repetate, reguli, linii directoare (guidelines) sau caracteristici pentru activităţi sau rezultatele lor, în scopul realizării unui grad optim de ordine într-un context dat”. Aceasta definiție este bazată pe rolul și scopul standardelor în lume la etapa modernă și stabilește importanța standardelor pentru orice organizație sau companie, plasându-le, alături de reglementările tehnice, în rândul documentelor de referință care trebuie să stea la baza politicilor și practicilor acestora. Standardul, este cea mai buna și cea mai simplă cale posibila pentru a comunica, pentru a cunoaște nivelul tehnic unanim acceptat pe plan național, european sau internațional în domeniul de activitate al oricărei companii sau organizații și nu în ultimul rând, pentru proiectarea și dezvoltarea practicilor de management. Mii de astfel de standarde sunt disponibile tuturor companiilor sau organizațiilor care, datorită limbajului comun al standardizării, le pot utiliza pentru a fi competente, competitive, participante active fără dificultăți în comunicare pe piață aleasă ca țintă în activitate. Tehnologii Informaționale 2 AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI Legile, reglementările tehnice și prevederile administrative au caracter obligatoriu. Cunoașterea și respectarea lor ajută la evoluția societăților comerciale pe piață. Standardele naționale, europene și internaționale, standardele profesionale sau de firmă pot fi aplicate prin asumarea voluntară. Decizia aplicării unui standard sau standarde aparținând unui organism de standardizare se ia având în vedere piața căreia i se adresează produsul, capacitatea tehnică disponibilă de realizare a prevederilor din standardele relevante pentru un anumit produs sau proces, nivelul tehnic, propria activitate de cercetare, proiectare de produse noi, îndreptată în scopul ocupării unei poziții superioare în piață sau pentru pătrunderea pe noi piețe. Cunoașterea și respectarea standardelor asigură competența societăților comerciale, fiind un factor determinant al succesului activității în cadrul unei piețe unice. Noțiunea de voluntariat presupune asumarea pe proprie răspundere a aplicării standardelor, fapt care ridică pe un plan superior responsabilitatea managementului, a actului de concepție, proiectare, realizare și comercializare a produsului. Standardele pot să joace și un rol important în legislație, în special, în reglementările tehnice. Daca un legislator include standardele într-un document legal sau face referințe la ele întrun fel sau altul, standardele obțin o calitate legala. Astfel standardele devin o parte a cerințelor unui anumit document legislativ sau unui anumit sistem. La fel ca oricare altele, standardele pentru asigurarea securității sistemelor informatice devin esențiale în astfel de circumstanțe. Standardele pot defini sfera de aplicare a funcțiilor și caracteristicilor de securitate necesare, politicile de gestionare a informațiilor și a resurselor umane, criteriile de evaluare a eficacității măsurilor de securitate, tehnicile pentru evaluarea continuă a securității și monitorizarea continuă a încălcărilor securității și procedurile de tratare a securității eșecuri. 3.2. Evoluția standardelor de securitate Cele mai bune practici necesare pentru crearea, dezvoltarea și întreținerea sistemelor de management al securității informației (SMSI) pentru o bună activitate a întreprinderilor sunt incluse în familia (seria) de standarde ISO27k (sau ISO/IEC 27000), care conține la momentul actual nu mai puțin de 40 de standarde publicate, altele fiind în proces de elaborare sau sunt planificate pentru a fi elaborate ulterior (https://www.iso.org/committee/45306/x/catalogue/). Aceste standarde de securitate sunt publicate în comun de către Organizaţia Internaţională pentru Standardizare şi Comisia Electrotehnică Internaţională. Ele sunt produsul activității comitetului ISO/IEC JTC1, subcomitetului SC27, o comisie internaţională membrii căreia se întrunesc de două ori pe an. Seria are un domeniul larg de aplicare, care acoperă problemele conexe triadei CIA dar și problemele de securitate tehnice sau IT. Aceste standarde se aplică pentru toate organizaţiile Tehnologii Informaționale 3 AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI indiferent de forme şi mărimi. Toate organizaţiile sunt încurajate să îşi evalueze riscurile de securitate a informaţiilor și apoi să le trateze (de regulă, folosind controalele de securitate a informațiilor), în funcţie de nevoile lor, folosindu-se de îndrumări şi sugestii acolo unde este cazul. Având în vedere natura dinamică a informaţiilor care trebuie protejate, SMSI încorporează un concept continuu de feedback şi îmbunătăţire a activităţilor conform ciclului Deming PDCA (PlanDo-Check-Act sau Planifică-Implementează-Verifică-Acţionează) de abordare continuă, care caută să abordeze schimbările în ameninţări, vulnerabilităţi de informaţii sau de impact asupra incidentelor de securitate. Standardele de securitate a informației își trag rădăcinile de la sfârșitul anilor 80 ai secolului trecut, când compania olandezo-britanică Royal Dutch Shell elaborează un documentul intern Information Security Policy Manual. În 1989 UK DTI CCSC (UK Department of Trade and Industry’s Commercial Computer Security Centre), folosind ca bază documentul celor de la Shell, a elaborat și publicat ghidul pentru securitatea informației pentru membrii săi - User’s Code of Practice. CCSC a scris, de asemenea și Cartea verde (The Green Books), care fiind susținută de UK Government’s Communications Electronics Security Group (CESG) a fost transformată în standardul ITSEC. În 1993 același UK DTI CCSC prin intermediul British Standards Institution (BSI) a lansat un document gratuit BSI-DISC PD003 - DTI Code of Practice for Information Security Management). În 1995 BSI a adoptat acest cod de practica a securității informației ca standard național al Mari Britanii cu numărul BS 7799 - Code of Practice for Information Security Management. După cum sugerează și numele, acest document oferă îndrumări practice privind managementul securității informațiilor într-o organizație. El descrie 10 domenii și 127 mecanisme de control, necesare pentru elaborarea unui sistem de management al securității informației, definite pe baza celor mai bune exemple din practica mondială a timpului. În 1998 Standardul BS 7799 este redenumit BS 7799 Partea 1, în legătură cu elaborarea părții a doua: BS 7799 Part 2 Information Security Management Systems - Specification with guidance for use. În acest standard a fost introdusă procedura de îmbunătățire a măsurilor de securitate în conformitate cu ciclul Deming. În 1999, după revizuire, standardul BS 7799-1 a fost emis din nou (cu modificări) și transferat către Organizația Internațională de Standardizare, iar un an mai târziu Comitetul Tehnic ISO a adoptat BS 7799-1 fără amendamente ca de standard internațional ISO/IEC 17799: 2000. A doua parte a BS 7799 a fost revizuită în 2002, iar la sfârșitul anului 2005 a fost adoptat ca standard internațional ISO/IEC 27001:2005 - Tehnologia Informației - Tehnici de securitate Tehnologii Informaționale 4 AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI Sisteme de management al securității informației - Cerințe. Odată cu lansarea ISO/IEC 27001 specificațiile SMSI au dobândit un statut internațional, iar de atunci s-a atestat o creștere semnificativă a rolului și prestigiului SMSI certificate în conformitate cu standardul ISO 27001. În același an 2005 standardul ISO/IEC 17799 a fost inclus în gama de standarde 27k cu numărul ISO/IEC 27002: 2005. De fapt, din 2005 își începe existență gama de standarde internaționale ISO 27k. La începutul anului 2006, a fost adoptat noul standard național britanic BS 7799-3 Information security management systems - Guidelines for information security risk management în domeniul administrării riscurilor de securitate a informației, care în anul 2008 a fost aprobat ca standard ISO/IEC 27005. 3.3. Familia de standarde ISO/IEC 27000 În continuare vom analiza cu unele detalii câteva standarde din familia ISO/IEC 27000, în special acelea care au alcătuit piatra de temelie a acestei familii la debutul ei. 3.3.1. ISO/IEC 27000:2016 ISO/IEC 27000:2016, Tehnologia informaţiei - Tehnici de securitate - Sisteme de management al securităţii informaţiei - Prezentare generală şi vocabular. Acest standard oferă o imagine de ansamblu a sistemelor de management al securităţii informaţiei ce fac obiectul familiei de standarde şi defineşte termenii din domeniu. Un sistem de management al securităţii informaţiei reprezintă o abordare sistematică a managementului informaţiei astfel încât aceasta să îndeplinească cele 3 aspecte ale securităţii: confidenţialitatea, integritatea şi disponibilitatea. Sistemul de management al securităţii informaţiei implică atât echipamentele hardware şi procesele software, cât şi întregul personal al unei organizaţii ce are acces la sistemul informaţional. Ca rezultat al implementării standardului ISO/IEC 27000:2016, toate tipurile de organizaţii (de exemplu societăţile comerciale, agenţiile guvernamentale sau organizaţiile non-profit) pot obţine: o imagine de ansamblu asupra familiei ISMS de standarde; o introducere în sistemele de management al securităţii informaţiei; o scurtă descriere a procesului PDCA; o înţelegere a termenilor şi definiţiilor utilizate în întreaga familie ISMS de standarde. Standardul ISO/IEC 27000:2016 împreună cu standardele din familia ISO/IEC 27000 are scopul de a ajuta organizaţiile să obţină un nivel cât mai ridicat al securităţii informaţionale. Obiectivele standardului ISO/IEC 27000:2016 sunt de a oferi termeni, definiţii şi o introducere în familia de standarde SMSI care: Tehnologii Informaționale 5 AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI definesc cerinţele pentru sistemele de management a securităţii informaţiei şi pentru cele care certifică aceste sisteme; oferă suport, îndrumare detaliată şi/sau interpretare a cerinţelor şi proceselor PDCA; oferă îndrumări pentru secţiunile specifice din familia ISMS de standarde; oferă evaluări pentru familia ISMS. 3.3.2. ISO/IEC 27001:2013 ISO/IEC 27001:2013, Tehnologia informaţiei - Tehnici de securitate - Specificaţii ale sistemelor de management al securităţii informaţiei. Standardul ISO/IEC 27001:2013 (fostul BS 7799-2:2002) specifică cerinţele pentru stabilirea, implementarea, operarea, monitorizarea, revizuirea, menţinerea şi îmbunătăţirea unui sistem de management al securităţii informaţiei documentat în contextul riscurilor generale de afaceri ale organizaţiilor. Acest standard specifică cerinţele pentru implementarea unor mijloace de control de securitate personalizate nevoilor organizaţiilor. ISO/IEC 27001:2013 este menit să asigure o selecţie de mijloace de control de securitate adecvate ce protejează informaţiile şi oferă încredere părţilor interesate. Este potrivit pentru diferite tipuri de utilizare, inclusiv pentru: formularea obiectivelor şi cerinţelor de securitate a organizaţiilor; asigurarea că riscurile de securitate sunt gestionate în mod eficient din punct de vedere al costului; asigurarea unei conformităţi cu legislaţia şi diverse reglementări; implementarea şi gestionarea proceselor existente de management al securităţii informaţiei; definirea de noi procese de management al securităţii informaţiei; identificarea şi clarificarea proceselor existente de management al securităţii informaţiei; utilizarea lui de către conducerea organizaţiilor pentru a determina starea activităţilor de management al securităţii informaţiei; utilizarea de către auditorii interni şi externi ai organizaţiilor pentru a determina gradul de conformitate cu politicile, directivele şi standardele adoptate de către organizaţie; furnizarea de informaţii relevante despre politicile de securitate a informaţiei, directivele, standardele şi procedurile către partenerii comerciali şi alte organizaţii cu care organizaţia interacţionează, din motive operaţionale sau comerciale; punerea în aplicare a afacerii, activând securitatea informaţiei; furnizarea de informaţii relevante despre securitatea informaţiei clienţilor organizaţiei. 3.3.3 ISO/IEC 27002:2013 Tehnologii Informaționale 6 AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI ISO/IEC 27002:2013, Tehnologia informației - Tehnici de securitate - Cod de bună practică pentru managementul securității informației. Standardul ISO/IEC 27002:2013 este fostul standard ISO/IEC 17799:2005 căruia i s-a schimbat numele pentru a face parte din seria ISO 27000 dedicată securităţii informaţiei. Stabileşte principiile generale pentru iniţierea, implementarea, menţinerea şi îmbunătăţirea managementului securităţii informaţiei într-o organizaţie. Obiectivul său este să furnizeze indicaţii generale privind obiectivele general acceptate în managementul securităţii informaţiilor. Standardul ISO/IEC 27002:2013 conţine cele mai bune practici de control în următoarele domenii de management al securităţii informaţiei: politica de securitate; organizarea securităţii informaţiei; managementul activelor; securitatea resurselor umane; securitatea fizică şi a mediului înconjurător; managementul comunicaţiilor şi al operaţiilor; controlul accesului; achiziţionarea sistemelor informaţionale, dezvoltarea şi mentenanţa lor; managementul incidentelor de securitate a informaţiilor; managementul afacerii continue. Obiectivele de control în standardul ISO/IEC 27002:2013 sunt destinate să fie puse în aplicare pentru a îndeplini cerinţele identificate printr-o evaluare a riscului. Standardul este conceput ca un ghid practic pentru dezvoltarea standardelor de securitate organizaţională şi practicele efective de management al securităţii şi pentru a ajuta la construirea încrederii în activităţi inter-organizaţionale. Standardul poate fi utilizat ca referință în alegerea mijloacelor de control în cadrul proceselor de implementare a unui sistem de management al securității informației (SMSI) sau ca document de îndrumare pentru organizațiile care implementează mijloace de control de securitate a informației general acceptate. De asemenea, standardul este destinat elaborării de linii directoare de management al securității informației specifice domeniului de activitate sau organizațiilor, luând în considerare mediul lor specific privind riscurile de securitate a informației. ISO/IEC 27002:2013 furnizează linii directoare pentru standardele de securitate a informației și practicile de management al securității informației ale organizației, inclusiv alegerea, implementarea și managementul mijloacelor de control, cu luarea în considerare a mediului de risc de securitate a informației al organizației. Tehnologii Informaționale 7 AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI Acest standard internațional este conceput să fie utilizat de organizații care intenționează: a) să aleagă mijloace de control în cadrul procesului de implementare a unui sistem de management al securității informației pe baza ISO/IEC 27001; b) să implementeze mijloace de control de securitate a informației general acceptate; c) să dezvolte propriile linii directoare referitoare la managementul securității informației. 3.3.4. ISO/IEC 27003:2017 ISO/IEC 27003:2017, Tehnologia informaţiei - Tehnici de securitate - Îndrumări privind implementarea unui sistem de management al securităţii informaţiei. Standardul ISO/IEC 27003:2017 se concentrează pe aspectele critice necesare pentru proiectarea şi implementarea cu succes a unui sistem de management al securităţii informaţiilor (SMASI), în conformitate cu ISO/IEC 27001:2013. Acesta descrie procesul de design şi specificaţii pentru un SMSI de la iniţiere şi până la realizarea planurilor de implementare. Standardul ISO/IEC 27003:2017 descrie procesul de obţinere a aprobării de implementare a unui SMSI, defineşte proiectul de implementare şi oferă îndrumări cu privire la modul de concepere a unui proiect SMSI. Preşedintele grupului de lucru ce a dezvoltat ISO/IEC 27003 (dar și alte standarde), prof. Edward Humphreys, a menționat: “Prin utilizarea ISO/IEC 27003, organizaţia va fi capabilă să dezvolte un proces pentru gestionarea informaţiilor de securitate, oferind părţilor interesate asigurarea că riscurile legate de activele informaţionale sunt menţinute în permanenţă în parametrii optimi de siguranţa, limite stabilite de însăşi organizaţia implementatoare”. Standardul ISO/IEC 27003:2017 este destinat pentru a fi utilizat împreună cu standardele ISO/IEC 27001:2013 şi ISO/IEC 27002:2013, fără a modifica sau elimina nici o prevedere stipulată de cele două standarde. Acest standard oferă concepte legate de planificarea şi proiectarea unui sistem de management al securităţii informaţiei, rezultând într-un final un plan riguros de implementare a unui proiect SMSI. Standardul furnizează îndrumări practice pentru diverse aspecte: 1) Obţinerea aprobării conducerii pentru iniţierea unui proiect SMSI: aspecte generale privind obţinerea aprobării conducerii pentru iniţierea unui proiect SMSI; clarificarea priorităţilor organizaţiei pentru a dezvolta un SMSI; definirea domeniului de aplicare preliminar al SMSI; Tehnologii Informaționale 8 AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI elaborarea analizei afacerii şi a planului proiectului pentru aprobare de către conducere; 2) Definirea domeniului de aplicare, a frontierelor şi a politicii SMSI: aspecte generale privind definirea domeniului de aplicare, a frontierelor şi a politicii SMSI; definirea domeniului de aplicare organizaţional şi a frontierelor sale; definirea domeniului de comunicaţii şi tehnologia informaţiei şi a frontierelor acestuia; definirea domeniului fizic şi a frontierelor acestuia; integrarea fiecărui domeniu şi a frontierelor acestuia pentru a obţine domeniul de aplicare al SMSI şi a frontierelor sale; dezvoltarea politicii SMSI şi obţinerea aprobării din partea conducerii; 3) Realizarea analizei cerinţelor privind securitatea informaţiei: aspecte generale privind realizarea analizei cerinţelor privind securitatea informaţiei; definirea cerinţelor de securitate a informaţiei pentru procesele SMSI; identificarea resurselor din domeniul de aplicare al SMSI; realizarea unei evaluări a securităţii informaţiei; 4) Realizarea aprecierii riscului şi planificarea tratării riscului: aspecte generale privind realizarea evaluării riscului şi planificarea tratării riscului; realizarea evaluării riscului; selectarea obiectivelor de control şi a mijloacelor de control; obţinerea autorizării de către conducere pentru implementarea şi funcţionarea SMSI; 5) Proiectarea SMSI: 1. aspecte generale privind proiectarea SMSI; 2. proiectarea securităţii informaţiei organizaţionale; 3. proiectarea securităţii informaţiei TIC şi fizice; 4. proiectarea securităţii informaţiei specifică SMSI; 5. realizarea planului final al proiectului SMSI; De asemenea, standardul cuprinde şi cinci anexe informative referitoare la: 1. lista de verificări; 2. rolurile şi responsabilităţile pentru securitatea informaţiei; Tehnologii Informaționale 9 AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI 3. informaţii despre auditul intern; 4. structura politicilor; 5. monitorizare şi măsurare. 3.3.5. ISO/IEC 27004:2016 ISO/IEC 27004:2016, Tehnologia informaţiei - Tehnici de securitate - Managementul securităţii informaţiei – Evaluări. Acest standard furnizează îndrumări pentru elaborarea și utilizarea măsurilor și a măsurării în vederea evaluării eficacității unui SMSI implementat și a mijloacelor de control sau grupurilor de mijloace de control, așa cum este specificat în ISO/IEC 27001. Programul de măsurare a securității informației va ajuta managementul să identifice și să evalueze procesele și mijloacele de control SMSI care nu sunt conforme și eficace și să stabilească priorități pentru acțiunile asociate cu îmbunătățirea sau modificarea acestor procese și/sau mijloace de control. De asemenea, acesta poate ajuta organizația să demonstreze conformitatea cu ISO/IEC 27001 și să furnizeze dovezi suplimentare pentru procesele de analiză de către management și pentru procesele de management al riscului de securitate a informației. Acest standard are la bază ipoteza că elaborarea măsurilor și a măsurării pornește de la o profundă înțelegere a riscurilor de securitate a informației pe care o organizație le întâmpină și că activitățile de evaluare a riscului ale organizației s-au desfășurat corect (adică pe baza ISO/IEC 27005), așa cum este cerut de ISO/IEC 27001. Programul de măsurare a securității informației va încuraja o organizație să furnizeze părților interesate relevante informații de încredere referitoare la riscurile de securitate a informației și la stadiul managementului acestor riscuri în SMSI implementat. După implementarea efectivă, programul de măsurare a securității informației va îmbunătăți încrederea părților interesate în rezultatele măsurării și va permite părților interesate să utilizeze aceste măsuri pentru îmbunătățirea continuă a securității informației și a SMSI. Rezultatele acumulate ale măsurării vor permite compararea progresului obținut în atingerea obiectivelor de securitate a informației pe un interval de timp, ca parte a procesului de îmbunătățire continuă a SMSI-ului organizației. 3.3.6. ISO/IEC 27005:2011 ISO/IEC 27005:2011, Tehnologia informaţiei - Tehnici de securitate - Managementul riscului securităţii informaţiei. Standardul ISO/IEC 27005:2011 stabileşte ghidul pentru managementul riscului securităţii informaţiei. Susţine conceptele generale specificate în ISO/IEC 27001 şi este conceput pentru a Tehnologii Informaționale 10 AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI asista la punerea cu succes în aplicare a securităţii informaţiilor bazate pe o abordare de management al riscului. Cunoaşterea de concepte, modele, procese şi terminologia descrisă în ISO/IEC 27001 şi ISO/IEC 27002 este importantă pentru o înţelegere completă a ISO/IEC 27005:2011. Acest standard este aplicabil tuturor tipurilor de organizaţii (societăţi comerciale, agenţii guvernamentale sau organizaţii non-profit) care intenţionează să gestioneze riscurile care ar putea compromite securitatea informaţiilor dintr-o organizaţie. Standardul ISO/IEC 27005:2011 oferă directorilor și angajaților din departamentele IT o platformă de dezvoltare pentru implementarea unei abordări orientată spre gestionarea riscurilor care să îi ajute în administrarea riscurilor legate de sistemul de management al securității informației. Edward Humphreys, organizatorul grupului de lucru ISO/IEC care a dezvoltat standardul, comentează: “ISO/IEC 27005:2011 este un standard esențial pentru aceia care doresc să își gestioneze riscurile eficient și, mai ales, să fie în conformitate cu popularul standard al sistemului de management al securității informației ISO/IEC 27001. Managementul riscului este decisiv pentru o conducere bună a afacerii, iar acest standard ajută organizațiile cu sfaturi despre de ce, ce și cum să fie gestionate riscurile legate de securitatea informației în sprijinul obiectivelor lor de conducere.” În această a doua ediție, cadrul subliniat în ISO/IEC 27005 a fost trecut în revistă și actualizat pentru a reflecta conținutul documentelor de management al riscului: ISO 31000:2009, Managementul riscului – Principii și linii directoare; ISO/IEC 31010:2009, Managementul riscului – Tehnici de evaluare a riscului; ISO Guide73:2009, Managementul riscului – Vocabular. Standardul ISO/IEC 27005:2011 a fost conceput cu intenția de a se alinia strâns lui ISO 31000:2009, cu scopul de a ajuta organizațiile care doresc să își gestioneze riscurile securității informației într-o manieră similară celei în care își gestionează “alte” riscuri. Procesul de management al riscurilor legate de securitatea informației constă din: stabilirea contextului; evaluarea riscului; tratarea riscului; acceptarea riscului; comunicarea riscului; monitorizarea și analizarea riscului. Tehnologii Informaționale 11 AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI Cu toate acestea, ISO 27005:2011 nu oferă nici o metodologie specifică pentru managementul riscurilor legate de securitatea informației, ci o abordare generală. Rămâne la latitudinea organizației să-și definească abordarea față de managementul riscului în funcție, de pildă, de domeniul sistemului de management al securității informației, bazându-se pe contextul managementului riscului sau pe sectorul industrial în care activează. 3.3.7. ISO/IEC 27006:2015 ISO/IEC 27006:2015, Tehnologia informaţiei - Tehnici de securitate - Cerinţe pentru organizaţiile ce efectuează audit şi certificare a sistemelor de management al securităţii informaţiei. Standardul ISO/IEC 27006:2015 specifică cerinţele şi oferă îndrumări pentru organizaţiile ce efectuează audit şi certificare a sistemului de management al securităţii informaţiilor. Standardul este în esenţă destinat să sprijine acreditarea organismelor de certificare ce oferă certificare a sistemului de management a securităţii informaţiilor. Cerinţele cuprinse în ISO/IEC 27006:2015 trebuie să fie demonstrate în termeni de competenţă şi fiabilitate de către orice organizaţie de certificare a SMSI iar orientările cuprinse în ISO/IEC 27006:2015 oferă servicii de interpretare adiţionale a acestor cerinţe pentru orice organizaţie de certificare a SMSI. 3.3.8. ISO/IEC 27011:2016 ISO/IEC 27011:2016, Tehnologia informaţiei - Tehnici de securitate - Ghidul managementului securităţii informaţiei pentru organizaţiile din domeniul telecomunicaţiilor bazat pe standardul ISO/IEC 27002. Scopul acestui standard este de a defini îndrumări în sprijinul implementării managementului securităţii informaţiilor în cadrul organizaţiilor de telecomunicaţii. Adoptarea prezentului standard va permite companiilor de telecomunicaţii să întrunească cerinţele de bază ale managementului securităţii informaţiilor: confidenţialitate, integritate şi disponibilitate, precum şi orice altă proprietate relevantă de securitate. 3.3.9. ISO/IEC 27032:2012 ISO/IEC 27032:2012 - Tehnologia informaţiei - Tehnici de securitate - Ghid pentru securitatea cibernetică. Acest standard oferă un cadru pentru partajarea informaţiilor, coordonare şi tratarea incidentelor. Standardul oferă documentaţia necesară pregătirii sistemului informatic împotriva atacurilor, detectării şi monitorizării acestora. Utilizatorii vor putea răspunde în mod adecvat unor atacuri cum ar fi malware, spyware sau inginerie socială. Tehnologii Informaționale 12 AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI Potrivit organizatorului grupului de lucru responsabil de elaborarea acestui standard, Johann Amsenga, faptul că reţelele care alcătuiesc spaţiul virtual le aparţin mai multor proprietari stă la baza mai multor probleme de securitate, deoarece aceştia nu comunică între ei şi au o percepţie diferită asupra securităţii din cauza diferenţelor dintre activităţile pe care le desfăşoară şi dintre reglementările pe care le aplică. În acest context, standardul ISO 27032 reprezintă o soluţie globală care va ajuta la atenuarea riscurilor care ameninţă securitatea cibernetică. 3.3.10. ISO/IEC 27035:2016 ISO/IEC 27035:2016 - Tehnologia informaţiei - Tehnici de securitate – Managementul incidentelor legate de securitatea informației. ISO 27035:2016 constă din trei părți (27035-1, 27035-2, 27035-3) care oferă instrucțiuni despre detectarea, raportarea și evaluarea incidentelor și vulnerabilităților legate de securitatea informației. El înlocuiește raportul tehnic ISO/IEC TR 18044:2004 și sprijină conceptele generale specificate în ISO/IEC 27001:2013. Noul standard ISO 27035 poate fi aplicat de orice organizație, indiferent de mărimea sa. El acoperă o serie de incidente legate de securitatea informației, deliberate sau accidentale, cauzate prin mijloace fizice sau tehnice. ISO/IEC 27035 stabilește o abordare structurată și planificată privind: detectarea, raportarea și evaluarea incidentelor de securitate a informațiilor; reacția la incidentele de securitate a informațiilor și gestionarea lor; detectarea, evaluarea și gestionarea vulnerabilităților de securitate a informațiilor; îmbunătățirea permanentă a securității informațiilor și gestionarea incidentelor, ca urmare a gestionării incidentelor de securitate a informațiilor și a vulnerabilităților. De reținut că standardul include managementul vulnerabilităților, precum și gestionarea incidentelor. ISO 27035 oferă mai multe avantaje: îmbunătățirea întregii securități a informației; reducerea impactului negativ asupra afacerii; consolidarea unor elemente ca atenția acordată prevenirii incidentelor, stabilirea lor ca prioritate și strângerea de dovezi referitor la ele; contribuția adusă justificării bugetului și resurselor; îmbunătățirea actualizărilor aduse evaluării riscului legat de securitatea informației și a rezultatelor manageriale; oferirea de materiale pentru programele de formare și de conștientizare la problemele securității informației; Tehnologii Informaționale 13 AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI furnizarea de date de intrare necesare politicilor privind securitatea informației și de analize ale documentației asociate. Lista completă de standarde ale securității informației poate fi vizualizată pe pagina oficială a ISO https://www.iso.org/ics/35.030/x/. În această listă sunt prezentate atât standardele publicate, cât și cele în curs elaborare, standardele retrase și proiectele eliminate. Întrebări și subiecte pentru aprofundarea cunoștințelor și lucrul individual 1. Care este rolul standardelor în asigurarea securității informației în cadrul unei întreprinderi sau organizații? 2. Cine este responsabil la nivel internațional de elaborarea standardelor de securitate a informației? Descrieți succint fiecare astfel de organism internațional. 3. Descrieți structură responsabilă în RM pentru elaborarea standardelor de securitate a informației. Care este regulamentul de bază în vederea aprobării standardelor externe ca standarde moldovenești? 4. Care dintre standardele familiei ISO 27000 poate fi supus certificării. Este oare certificarea benevolă sau obligatorie? Pentru ce servesc celelalte standarde ale familiei ISO 27000? 5. Faceți o descriere succintă a standardelor care au stat la baza familiei de standarde de securitate ISO 27000. Tehnologii Informaționale 14 TEMA 4: ASPECTUL ORGANIZATORIC DE ASIGURARE A SECURITĂȚII INFORMAŢIONALE Obiectivele temei: Analiza măsurilor administrative de protecție a informației . Descrierea măsurilor procedurale de protecție a informației. Cuvinte-cheie: politici de securitate, procesul de dezvoltare a progarm de securitate, politicilor, politici de guvernare, separarea atribuțiilor, politici tehnice, minimizarea privelegiilor, acte procedurale, reacția la încălcări. Asigurarea securității informațiilor nu este o problemă unidimensională, iar protecția informației la o întreprindere1 poate fi realizată acționând pe trei dimensiuni – nivelul legislativ, nivelul organizatoric și nivelul tehnic, care împreună pot asigura protecția informației și a sistemelor informatice împotriva influențelor dăunătoare ce afectează subiecții relațiilor informaționale. Măsurile organizatorice reprezintă una dintre pietrele de temelie ale procesului de asigurare a nivelului corespunzător de protecție a informației la o întreprindere. Aceste măsuri constau din măsuri administrative și măsuri procedurale. 4.1. Măsuri administrative de protecție a informației Măsurile administrative de securitate a informațiilor sunt acțiuni generale luate de conducerea organizației referitor la securitatea informației în cadrul acestei organizații. Scopul principal al acestor măsuri este elaborarea unui plan de securitate și asigurarea punerii lui aplicare, alocarea resurselor necesare, precum și monitorizarea continuă a acestui plan. Fundamentul planului de securitate îl reprezintă politica de securitate. 4.1.1. Politica de securitate Politica de securitate este un set de decizii documentate luate de conducerea organizației pentru a asigura securitatea informațiilor. Politica de securitate reflectă abordarea organizației a procesului de protecție a activelor informaționale ale ei și poate fi considerată o strategie a întreprinderii în domeniul securității informațiilor. Pentru a dezvolta o strategie și a o pune în 1 Aici și în continuare fiecare din cuvintele întreprindere, companie, firmă sau organizație le va semnifica și pe celelalte trei aplicare sunt necesare, desigur, unele decizii politice luate la nivelul conducerii de vârf a acestei întreprinderi. Securitatea IT se realizează prin implementarea unui set adecvat de politici, de proceduri, și de măsuri atât la nivel software cât și la nivel hardware pentru toate structurile organizatorice. Toate acestea trebuiesc stabilite, implementate, monitorizate, revizuite și îmbunătățite pentru a se asigura securitatea la acest nivel precum și pentru ca obiectivele economice să poată fi atinse. Așadar elaborarea unei bune politici de securitate trebuie văzută ca un proces continuu și nu ca o acțiune (fig. 4.1). Figura 4.1. Procesul de elaborare a politicii de securitate Politicile de securitate servesc drept linii directoare (ghiduri) generale pentru utilizarea, prelucrarea și managementul informațiilor. O politică de securitate trebuie să specifice în mod clar următoarele aspecte: obiectivele organizaţiei privind securitatea: asigurarea protecţiei datelor împotriva scurgerilor de informaţii către entităţi externe, protejarea datelor faţă de calamităţile naturale, asigurarea integrităţii datelor sau asigurarea continuităţii afacerii; personalul răspunzător pentru asigurarea securităţii, care poate fi: un grup de lucru restrâns, un grup de conducere sau fiecare angajat; implicarea organizaţiei în ansamblu la asigurarea securităţii: cine va asigura instruirea în domeniul securităţii, cum va fi integrată partea de securitate în structura organizaţiei. Dimensiunea și forma politicilor de securitate a informațiilor pot varia foarte mult de la companie la companie. Acest lucru poate depinde de numeroși factori, inclusiv de mărimea companiei, de sensibilitatea informațiilor gestionate referitoare la afacerile ei, precum și de varietatea și de tipurile sistemelor informatice și a sistemelor de calcul pe care le utilizează. Pentru o întreprindere mare elaborarea unui document unitar al politicii de securitate, care să se adreseze tuturor tipurilor de utilizatori din cadrul ei și care abordează toate problemele necesare de securitate a informațiilor, se poate dovedi imposibilă. Un concept mai eficient este de a dezvolta o suită de 2 documente ale politicii care să acopere toate elementele ce asigură securitatea informațiilor, rezultând în final un proces mai eficient pentru întreaga companie. Trebuie remarcat faptul că nu există o singură metodă pentru elaborarea unei politici sau a politicilor de securitate. Trebuie de luat în considerare mai mulți factori, inclusiv tipul de audiență și dimensiunea întreprinderilor. Un alt factor este maturitatea procesului de elaborare a politicilor în vigoare - o companie care nu are în prezent o politică de securitate a informațiilor sau are doar o politică de bază generalizată poate să utilizeze inițial o strategie diferită față de o companie care are deja un concept substanțial al politicii, dar dorește să-l consolideze și să înceapă să folosească politica de securitate în scopuri mai complexe, de exemplu pentru a fi în acord cu legislația. La început, ar fi o idee bună, pornind de la un cadru de bază a politicii, să se aplice o abordare pe etape, prin elaborarea politicilor necesare majore și apoi prin dezvoltarea unui număr mai mare de politici, prin revizuirea celor deja existente și prin adăugarea la ele a unor instrucțiuni și a documentelor Job Aids2 însoțitoare, care vor contribui în calitate de suport la realizarea politicii. 4.1.2. Obiectivele fundamentale ale politicii de securitate O politică de securitate ar trebui să îndeplinească mai multe obiective și anume: protejarea persoanelor și a informațiilor; stabilirea regulilor pentru comportamentul necesar utilizatorilor, administratorilor de sistem, managerilor și a personalului ce se ocupă de securitate; autorizarea personalului de securitate pentru monitorizare, sondare și investigare; definirea și aprobarea consecințelor încălcării cerințelor politicii de securitate; definirea poziției unanime de bază a companiei privind securitatea; ajutorul la minimizarea riscurilor; asigurarea respectării reglementărilor și a legislației. Politicile de securitate a informațiilor oferă un cadru pentru cele mai bune practici care pot fi urmate de toți angajații. Ele ajută la asigurarea minimizării riscului și la aplicarea obligatorie a reacțiilor necesare în caz de incidente de securitate. Politicile de securitate a informațiilor vor contribui, de asemenea, la transformarea personalului în participanți la eforturile companiei de a-și asigura activele informaționale, iar procesul de elaborare a acestor politici va contribui la definirea activelor informaționale ale acestei companii. Politica de securitate a informației definește atitudinea companiei față de informație și anunță intern și extern că informațiile sunt un bun, sunt proprietatea organizației și trebuie protejate împotriva accesului neautorizat, a modificării, divulgării și distrugerii. 2 Job Aid - un instrument sau o altă resursă care oferă doar o cantitate adecvată de informație de îndrumare și suport în momentul în care avem nevoie de el ca parte a muncii, conceput pentru a reduce greșelile evitabile, ajutând o persoană să-și amintească ce să facă sau să fie sigură că a realizat toate etapele necesare în procesul îndeplinirii unei sarcini de lucru. 3 Politica de securitate ar trebui să fie un instrument util pentru protecția securității întreprinderii, ca un ghid și o sursă de informație la care toți utilizatorii se vor adresa în munca lor de zi cu zi. Cu toate acestea, deseori politicile de securitate pot ajunge pur și simplu niște apendice inutile, puțin citite, utilizate sau chiar cunoscute de utilizatori și deconectate de restul politicilor și practicilor de securitate ale companiei, iar ca acest lucru să nu se întâmple politicile trebuie să fie realizabile. 4.1.3. Caracteristici ale politicii de securitate. Politici realizabile Cheia pentru a ne putea asigura că politica de securitate a companiei este una utilă și utilizabilă este ca ea să fie direct conectată la politicile existente ale companiei și să fie dezvoltată o suită de documente de politici care să se potrivească cu publicul3 respectiv. Politicile trebuie să fie folositoare, viabile și realiste. Pentru a realiza acest lucru, este esențială implicarea și suportul actorilor majori în dezvoltarea și susținerea politicilor (cum ar fi managerii superiori, auditorii și juriștii), precum și acelor persoane care vor trebui să utilizeze politicile ca parte a muncii de zi cu zi (cum ar fi experții în materie, administratorii de sistem și utilizatorii finali). Pentru a realiza acest lucru, un element important ar fi să se aducă la cunoștință despre importanța și utilitatea politicilor celor care trebuie să urmeze prevederile acestor politici. Adesea utilizatorii par să creadă că politica este ceva care va sta în calea muncii lor zilnice. Un element important de elaborare a politicilor și de asigurare a aplicării politicilor (și nu de respingere a lor) de către utilizatori este de a face astfel încât să fie clar că politicile le sunt utile. Pentru aceasta, dar și pentru a fi siguri că utilizatorii se vor conforma cerințelor legale, este necesar să li se ofere un cadru, o recomandare pentru cele mai bune practici, bazându-se pe care cu toții își vor putea îndeplini obligațiunile de serviciu. Odată ce utilizatorii își vor da seama că politica este ceva care de fapt le poate ajuta în munca lor, ei vor fi mult mai receptivi în respectarea acesteia, dar și în acordarea unui suport în scopul dezvoltării politicii. În mod similar, odată ce managerii de rang înalt își dau seama că politica este un instrument pe care ei îl pot folosi pentru a asigura respectarea cerințelor legislative și pentru a promova inițiativele noi atât de mult necesare, ei vor susține tot mai mult politica cu suportul financiar și cu alte resurse necesare, devenind ei înșii promotorii politicii de securitate. 4.1.4. Publicul politicii de securitate Politicile de securitate sunt destinate, desigur, tuturor angajaților companiei, însă acest grup mare poate fi împărțit în subcategorii ale publicului politicii în conformitate cu cerințele comune impuse de politica de securitate. Principalele grupuri de acest fel sunt: • managerii – de toate nivelurile; • personalul tehnic – administratorii de sisteme, etc.; 3 Publicul sau audiența politicii de securitate – totalitatea persoanelor cărora le este destinată politica de securitate a întreprinderii. 4 • utilizatorii finali. Fiecare utilizator se va regăsi obligatoriu în cel puțin unul dintre aceste grupuri (utilizatorul final fi numai în unul din grupuri), iar unii se vor regăsi în două sau chiar în toate trei, iar fiecare document al politicii va fi elaborat în funcție de publicul căruia îi este destinată politica. De exemplu, este posibil să nu fie necesar întotdeauna să descriem motivul pentru care am inclus ceva într-o politică: dacă cel căruia îi este adresată această politică este un consilier tehnic care este și responsabil pentru configurarea sistemului, acest lucru poate să nu fie necesar, deoarece probabil el cunoaște deja de ce o acțiune sau alta trebuie să fie realizată. În mod similar, este puțin probabil ca un manager să fie preocupat de aspectele tehnice ale motivului pentru care se face ceva, dar el poate avea nevoie de o privire de ansamblu la nivel înalt (high-level overview) sau de principiul de guvernare care stă la baza acțiunii. Cu toate acestea, dacă cel căruia îi este adresat documentul politicii este un utilizator final, ar putea fi util să includem o descriere a motivului pentru care este necesară o anumită măsură de securitate4, deoarece aceasta nu numai că îl va ajuta să înțeleagă politica, ci îl va face și mai mult să o respecte. Având în vedere varietatea de probleme, de cititori și de utilizări ale politicii, nu putem aborda toate acestea într-un singur document. Companiile trebuie să se asigure că documentele privind politica de securitate a informațiilor sunt coerente cu nevoile publicului, iar pentru a face acest lucru adesea este necesar să se utilizeze mai multe tipuri diferite de documente în cadrul politicii de securitate. Tipul fiecărui document va fi determinat în mare parte de publicul pentru care acel document este destinat. De exemplu, o politică generală va fi sub forma unui document de nivel înalt, în timp ce un document care descrie modalitatea de configurare a sistemului de mesagerie instantanee pentru a se asigura că respectă politica generală poate fi sub forma unui jobaid sau a unui document cu instrucțiuni. Managerul și utilizatorii finali mai degrabă vor fi interesați de primul, în timp ce personalul administrativ este mai probabil să-l folosească pe cel de-al doilea. 4.1.5. Tipuri de politici de securitate O posibilitate de realizare a politicilor de securitate a informației este de a le structura ierarhic, așa cum este arătat în figura 4.2. Ierarhizarea face posibilă o abordare eficientă a politicilor pentru toate grupele de angajați - utilizatorii politicilor de securitate. Acesta este un model de ierarhie a politicilor de securitate a informației care poate fi personalizat pentru a corespunde cerințelor oricărei companii. Pe de altă parte aceasta este o ierarhie pentru un proces destul de matur și bine pus la punct, destinat mai degrabă unei companii mari, unde dezvoltarea politicii a fost susținută pe parcursul mai multor ani. Pentru companiile mai mici sau pentru cei care abia încep să elaboreze o politică de securitate, la fel este posibil să se folosească modelul dat ca un cadru de bază, însă inițial ar trebui să conțină un număr mai mic de politici tehnice și, eventual, să nu existe 4 Măsuri de securitate (security controls) - sunt măsuri de protecție sau contramăsuri pentru evitarea, detectarea, contracararea sau minimizarea riscurilor de securitate pentru informații, sistemele informatice sau alte active. 5 instrucțiuni sau job-aids la începutul procesului de elaborare. În loc de încercarea de a dezvolta o ierarhie mare de la început, este mai realist să fie dezvoltată inițial o politică de guvernare și un număr redus de politici tehnice, apoi pe parcurs, să fie mărit numărul de politici și documente ajutătoare concomitent cu creșterea complexității acestor politici. Politica de Guvernare (un singur document) Politia Tehnică Politia Tehnică Politia Tehnică Politia Tehnică Politia Tehnică Politia Tehnică (documente (documente (documente (documente (documente (documente multiple) multiple) multiple) multiple) multiple) multiple) Instrucțiuni/ Instrucțiuni/ Instrucțiuni/ Instrucțiuni/ Job Aids/ Job Aids/ Job Aids/ Job Aids/ Proceduri Proceduri Proceduri Proceduri (documente (documente (documente (documente multiple) multiple) multiple) multiple) Figura 4.2. Structura ierarhică a politicilor de securitate Este evident că în companiile mari publicul, căruia îi este destinată politica de securitate, va fi mai divers și va fi necesar de a acoperi mai multe subiecte diferite la diferite niveluri. Din acest motiv, într-un mediu corporativ cel mai probabil va funcționa mai bine o suită de documente a politicii de securitate decât un document unitar voluminos. Structura ierarhică a setului de documente a politicii de securitate reflectă structura ierarhică a rolurilor într-o companie mare. Schema propusă este destinată tuturor categoriilor de public și tuturor subiectelor, utilizând două tipuri de politici susținute în caz de necesitate de documente procedurale și anime: Politica de Guvernare, Politica Tehnică, Job-aids/Instrucțiuni. Politica de Guvernare trebuie să acopere conceptele de securitate a informațiilor la un nivel înalt, să definească aceste concepte, să descrie de ce sunt importante și să detalieze în ele poziția companiei. Politica de guvernare va fi citită de către managerii și utilizatorii finali. În mod implicit, va fi citită și de către consilierii tehnici (în special consilierii tehnici pe securitate), deoarece ei sunt și utilizatori finali. Toate aceste grupuri vor folosi politica pentru a înțelege mai bine filosofia generală a politicii de securitate a companiei. Acest lucru poate fi folosit pentru a aduce la cunoștință tuturor despre influența reciprocă dintre securitatea informațiilor și toate unitățile componente ale companiei. 6 Politica de guvernare ar trebui să fie strâns aliniată la HR (resursele umane) existente și viitoare, dar și la alte politici ale companiei, în special acelea în care sunt menționate aspecte legate de securitate, cum ar fi utilizarea e-mailului, mesageriei sau a computerului, etc. Documentul privind politica de guvernare va fi de același nivel cu politicile globale ale companiei. Politica de guvernare este susținută de politicile tehnice care, la rândul lor, acoperă subiectele mai detaliat și le face să fie abordabile pentru fiecare tehnologie relevantă. Includerea anumitor subiecte la nivelul politicii de guvernare poate ajuta la evitarea necesității unei politici tehnice detaliate ce se referă la subiectele respective. De exemplu, aprobarea unei politici de gestionare a parolelor companiei ar înseamnă că detaliile unor elemente specifice în administrarea parolelor pentru fiecare sistem de operare sau aplicație în parte pot fi specificate în politica tehnică relevantă acestor sisteme sau aplicații, în loc să fie necesară o politică tehnică comună privind administrarea parolelor pentru toate sistemele. Acest lucru însă poate să nu fie valabil și în cazul unei companii mai mici, unde sunt mai puține sisteme și aplicații și, prin urmare, poate fi suficientă o singură politică tehnică a parolelor. Pentru o companie mai mare însă, versiunea de politică expusă mai sus oferă un proces mai eficient pentru utilizatori, deoarece aceștia vor trebui să facă referire la mai puține documente - simplificarea acestui proces măresc probabilitatea ca utilizatorii să respecte politica, îmbunătățind astfel securitatea. În ceea ce privește nivelul de detaliere, politica de guvernare ar trebui să abordeze așa numitul „ce” din punctul de vedere al politicii de securitate. Politicile Tehnice vor fi folosite de consilierii tehnici în timp ce își vor îndeplini responsabilitățile legate de securitate pentru sistemul cu care lucrează. Acestea vor fi mai detaliate decât politica de guvernare și vor fi specifice sistemului sau problemei concrete, de exemplu, Politică Tehnică AS-400 (destinată sistemului AS-400) sau Politică Tehnică de Securitate Fizică. Politicile tehnice vor acoperi multe dintre aceleași subiecte ca și politica de guvernare, precum și câteva subiecte specifice subiectului general. Acestea vor fi de fapt un manual care va cuprinde modalitățile de asigurare a securității unui sistem de operare sau a unui dispozitiv de rețea, etc. Aceste politici descriu ce trebuie făcut, dar nu și cum să procedăm - acest lucru este rezervat documentelor procedurale care reprezintă următorul nivel de detaliere după politicile de guvernare și cele tehnice. În ceea ce privește nivelul de detaliere, politica tehnică ar trebui să abordeze „ce” (în mai multe detalii), „cine”, „când” și „unde” din punctul de vedere al politicii de securitate. Documentele de procedură (Job Aids, Instrucțiuni) oferă instrucțiuni detaliate privind modul în care se vor realiza cerințele politicilor. De exemplu, manualul pentru hardering5 al unui server 5 Hardering - procesul de securizare a unui sistem prin reducerea ariei sale de vulnerabilitate, care este mai mare atunci când un sistem execută mai multe funcții; În principiu, un sistem cu o singură funcție este mai sigur decât unul 7 Windows poate consta din unul sau mai multe documente suport pentru o Politică Tehnică Windows. Procedurile și instrucțiunile sunt ca un supliment al politicii de securitate și trebuie să fie scrise la următorul nivel de detaliere, care descrie modul în care trebuie făcut ceva. Acestea furnizează informații sistematice practice despre modul de implementare a cerințelor stabilite în documentele politicii. Ele ar putea fi scrise de diverse grupuri din întreaga companie și ar putea fi menționate în politica relevantă, dar ar putea și să nu fie menționate, în funcție de cerințele concrete. Documentele de procedură pot fi scrise, unde este necesar, pe lângă și în sprijinul celorlalte tipuri de documente de politici, pentru ca prin explicații extinse să îi ajutăm pe cititori să înțeleagă despre ce este vorba în politica de securitate. Nu toate politicile însă vor necesita documente justificative. Trebuie să ne punem în gardă dacă primim solicitări pentru astfel de documente la fiecare politică pe care o elaborăm deoarece documentele originale ar putea fi prea complexe sau greu de înțeles, pe când toate politicile trebuie să fie în primul rând clare, concise și ușor de înțeles. Nu este neapărat ca aceste documente suport să fie realizate de echipa de elaborare a politicilor de guvernare sau a celor tehnice. Poate să fie mai eficient ca atunci când o unitate particulară a întreprinderii va avea nevoie de unele documente suport, ea să și le elaboreze singură. Eficiența ar reieși din disponibilitatea resurselor pentru echipa de elaborare a politicilor, dar în deosebi și datorită faptului că personalul tehnic din unitățile respective va avea probabil cele mai complete și actualizate cunoștințe tehnice în companie pentru a fi cel mai potrivit să elaboreze astfel de documente. Politica le oferă lor un cadru care trebuie de urmat („ce”, „cine”, „când” și „unde” din punctul de vedere al politicii de securitate), iar ei, bazându-se pe acest cadru, pur și simplu trebuie să descrie „cum”. Documentele de procedură vor acționa, de asemenea, ca un instrument de backup pentru cazul în care unii membri ai personalului va pleca, asigurându-ne că cunoștințele lor nu vor fi pierdute și că cerințele de politică pot fi încă executate. 4.1.6. Procesul de dezvoltare a politicilor Raționamentul principal al procesului de dezvoltare a politicilor de securitate ale fiecărei companii va fi nivelul de maturitate al procesului. Este important ca companiile (mai ales cele mai mari) să nu aibă intenții imediate exagerate și să încerce să dezvolte rapid un program de politici cuprinzător și complex. Este puțin probabil ca acest lucru să aibă succes din mai multe motive, printre care nevoia de un buy-in management6, cultura și resursele nepregătite ale companiei etc. În multifuncțional. Reducerea căilor disponibile de atac include de obicei schimbarea parolelor implicite, eliminarea software-urilor inutile, nume de utilizator sau de logare inutile și dezactivarea sau eliminarea serviciilor inutile. 6 Buy-in management-ul (MBI) este o acțiune corporativă în care un manager extern (sau o echipă de management) achiziționează o participație deținută în prima companie și înlocuiește echipa de management existentă. Una dintre premisele acestui tip de acțiune este lipsa unei echipe de management insuficient de competentă în companie. 8 această situație, este recomandabil să se înceapă inițial cu politicile mici, și cu un cadru-schelet al politicii de securitate care să conțină doar politicile esențiale care vor fi elaborate în primul rând. Pe măsură ce procesul crește în maturitate, companiile vor putea să dezvolte, atunci când apare necesitatea, întreaga gamă de politici cu mai multe detalii incluse în fiecare, precum și documentația procedurală însoțitoare. Educația, conștientizarea și procesele de comunicare trebuie să devină ‘mature’ pentru a face față promovării unei game tot mai variate de politici, ceea ce ar trebui să coincidă cu sporirea puterii corporative a politicilor în sine. Atunci cultură corporatistă7 va începe să aprecieze că politicile trebuie urmate și respectate, și de fapt ar putea să înceapă să le utilizate pentru a impulsiona unele modificări necesare în întreaga companie. Apare însă o întrebare foarte importantă: de unde totuși e mai bine de început procesul de elaborare a unei politici de securitate, deoarece există mai multe puncte de pornire: legislația nou adoptată (sau cea care va fi în curând) poate fi adesea un impuls puternic pentru dezvoltarea politicii, la fel ca și recentele incidente de securitate sau administratorii entuziaști care s-au întors recent de la un nou curs de formare. Toate acestea oferă o mare contribuție politicii de securitate, dar cheia spre elaborarea unei politici funcționale este să realizăm un echilibru între toate aceste aspecte. Bazându-ne exclusiv pe abordarea „de sus în jos” prin utilizarea doar a legislației, a regulamentelor și a celor mai bune practici pentru a scrie o politică, rezultatul ar putea fi o politică nerealistă și artificială care nu va fi funcțională în lumea reală. În mod similar, bazându-ne doar pe o metodă „de jos în sus”, axată numai pe cunoștințele administratorului de sistem, am putea elabora o politică prea specifică unui anumit mediu (poate doar pentru o parte dintr-o companie mare), posibil bazată prea mult pe practicile locale curente sau pe cele mai recente sugestii de la cursurile formare, făcând-o prea nerealistă. Cea mai bună politică va proveni dintr-o combinație a acestor abordări, atât de sus în jos, cât și de jos în sus. Pentru a realiza acest lucru, această idee trebuie să fie luată în considerare încă de la început și trebuie să fie reflectată în diversitatea domeniilor implicate în elaborarea politicilor și a tipurilor de politică ce vor fi elaborate ulterior. Această abordare echilibrată va duce cel mai probabil la un proces mai matur de dezvoltare a politicilor și fa vi funcțională atât pentru companiile mici (în care există un spațiu redus între „sus” și „jos”), cât și pentru companiile mari, unde este nevoie de cunoștințe vaste pentru a asigura o politică realistă și viabilă. Dezvoltarea politicilor trebuie să țină seama și de măsura în care politica ar trebui să reflecte practica curentă în raport cu viitorul preferat8. Elaborarea unei politici care să reflecte doar exact ceea ce se face astăzi poate fi depășită deja atunci când este publicată, deoarece o politică, care 7 Cultură corporatistă reprezintă un sistem de valori şi concepte, partajate de toţi lucrătorii unei organizaţii, care determină comportamentul lor şi caracterul activităţii firmei. 8 Un viitor preferat este o viziune pe termen lung, o destinație sau un rezultat care poate fi realizat printr-o planificare atentă și prin acțiuni la nivel de întreprindere. 9 include măsuri ce nu pot fi implementate în mod adecvat, poate fi imposibil de respectat din motive tehnice și poate să fie ignorată ca nerealistă și inoperabilă. Este important ca acest lucru să fie discutat într-o fază incipientă, deoarece altfel am putea ajunge prea departe în dezvoltarea unui model nefuncțional al viitorului preferat, iar acest lucru ar putea să fie depistat doar ulterior, la etapa de identificare a lacunelor politicii, atunci când va fi deja irosit mult timp și efort, dezvoltând ceva ce nu are de fapt valoare. Cea mai bună politică trebuie să atingă un echilibru între practica actuală și viitorul preferat și acesta este scopul pe care ar trebui să-l urmărească echipa de dezvoltare a politicilor. În cele din urmă, când se analizează ce ar trebui să fie inclus în proiectul inițial al politicii, trebuie să ne asigurăm că am luat în considerare toate tipurile de amenințări cu care se poate confrunta compania. Amenințările care provin din exterior de la atacatorii rău intenționați sub formă de viruși, viermi etc. trebuie obligatoriu să fie luate în considerare atunci când se elaborează o politică de securitate. Însă cel puțin la fel de importante sunt și dezastrele naturale, foștii sau actualii angajați nemulțumiți, dar și ignoranța, care conduce la expunerea accidentală a securității. Politicile de securitate ar trebui să cuprindă măsuri pentru combaterea tuturor acestor tipuri de amenințări. 4.1.7. Schița documentului politicii de securitate Fiecare politică de securitate ar trebui să includă așa compartimente ca Politica de Guvernare, Politicile tehnice, Documentele de procedură, și în plus față acestea trebuie să mai conțină neapărat încă câteva secțiuni: introducerea, scopul, domeniul de aplicare, rolurile și responsabilitățile, sancțiunile și încălcările, programul de revizuire și actualizare, informațiile de contact, definițiile și acronimele. Introducere. Această secțiune trebuie să definească numele politicii și să o localizeze în ierarhia altor documente existente privind politicile de securitate a informațiilor și a altor politici ale companiei. Scopul. Este necesar de a preciza principalele obiective ale politicii - acest lucru va explica scopul politicii și va ajuta cititorii să înțeleagă modul în care politica ar trebui utilizată. Aici ar trebui de asemenea menționate problemele legislative și cele de conformitate cu legislația. De asemenea în relatarea scopului se vor include declarații cu privire la orice legislație specifică la care politica este concepută să adere. Domeniul de aplicare este o declarație a infrastructurii și a sistemelor informatice la care se aplică politica, precum și a persoanelor care sunt părți interesate. În mod obișnuit părțile interesate ar include orice utilizator al informațiilor sau a sistemelor incluse în poliță. Roluri și responsabilități. Aceasta este o declarație a structurilor prin care responsabilitățile de implementare a politicilor sunt delegate în întreaga companie. Rolurile posturilor pot fi 10 specificate în această secțiune, de exemplu rolurile administratorilor bazelor de date (DBA), a consilierilor tehnici etc. Sancțiuni și încălcări. Această secțiune detaliază măsura în care o încălcare a prevederilor politicii de securitate este considerată o încălcare de serviciu (de exemplu, este direct corelată cu departamentul HR (resurse umane) și, prin urmare, este legată de contractul unui angajat sau este doar o problemă a departamentului de securitate a informațiilor). Această secțiune trebuie să detalieze modul în care încălcările trebuiesc raportate și ce acțiuni ar trebui să fie luate în cazul unei încălcări. De asemenea aici ar trebui de inclus informații despre ce sancțiuni vor fi aplicate în urma unei încălcări (de exemplu, avertismente verbale sau scrise etc.). Programul de revizuire și actualizare. Această secțiune definește cine este responsabil pentru actualizarea și revizuirea politicii și cât de des acestea vor avea loc. A fi util chiar de specificat aici că acest program este un „document viu”, care poate fi actualizat în funcție de persoanele responsabile pentru actualizări și revizuiri. Acest lucru va asigura că orice revizuiri adhoc sunt contabilizate, la fel ca și actualizările programate. Ar trebui incluse, de asemenea, informații detaliate care vor specifica unde va fi publicată politica și modul în care angajații vor avea acces la aceasta. Informații de contact includ detaliile despre cine trebuie contactat în legătură cu politica. Pentru ca informația de contact să rămână stabilă în timp este preferabil ca aici să fie incluse câteva persoane de contact sau o căsuță poștală în loc de o singură persoană. Definiții/glosar. Este necesar de a defini orice termeni care ar putea fi necunoscuți cititorului. Necesitatea pentru acest lucru va depinde de public, de exemplu, cititorii unei politici tehnice pentru Linux probabil vor fi deja familiarizați cu termenii tehnici Linux, prin urmare nu va fi necesar ca aceștia să fie precizați. Cu toate acestea, secțiunea criptografie a politicii utilizatorului poate include termeni cu care cititorii nu sunt familiarizați și aceștia ar trebui definiți în note de subsol sau în glosar pentru a ajuta la înțelegerea politicii. Acronime. O secțiune separată care descrie acronimele poate fi necesară în cazul în care ele sunt în număr mare sau în cazul în care documentul este lung sau complex. Pentru documente mai scurte, acronimele pot fi scrise în corpul documentului. În final trebuie de menționat că politica de securitate este atât punctul de plecare, cât și piatra de temelie pentru securitatea informațiilor în orice companie. Politica oferă dovezi ale poziției companiei privind securitatea și oferă un instrument vital pentru fiecare angajat pentru a ajuta la construirea și menținerea nivelului de securitate necesar. Prin urmare, este esențial ca politica de securitate să fie corectă, cuprinzătoare și utilizabilă. Poate fi o sarcină dificilă de a produce o politică care să respecte aceste cerințe, însă evaluarea cumpătată a publicului căruia îi sunt destinate politicile, a subiectelor și metodelor incluse în politică utilizând procesele descrise 11 mai sus va ajuta să ne asigurăm că documentele politicilor sunt cât mai posibil de eficiente și mai ușor de utilizat. 4.1.8. Planul de securitate Planul de securitate (sau programul de securitate) este dezvoltat în baza politicii de securitate. În cadrul acestui plan sunt alocate resursele, numiți responsabilii, stabilită ordinea de execuție și control, etc. În baza planului de securitate sunt elaborate norme specifice, regulamente și recomandări pentru activitatea personalului responsabil de securitatea informațiilor. Aceste norme se referă la măsurile procedurale de protecție a informației. Un plan de securitate împreuna cu politica de securitate din care acesta a rezultat sunt proiectate pentru a proteja atât informațiile cât și resursele materiale critice de la o gama larga de amenințări în scopul de a asigura continuitatea activității instituției (a afacerii în cazul unei companii), de a reduce riscul în afaceri, de a maximiza randamentul investițiilor și a oportunităților de afaceri. Scopul planului de securitate este să asigure confidențialitatea, integritatea și disponibilitatea datelor, să definească, să dezvolte, și să documenteze politicile și procedurile de informare ce vin în sprijinul scopului și obiectivelor instituției precum și să permită instituției să îndeplinească din punct de vedere legal și etic responsabilitățile cu privire la resursele IT. Deci după formularea politicii de securitate este deja posibil, dar și necesar, să se pregătească palanul de implementare a acesteia și, de fapt, să se pună în aplicare acest plan. Pentru a înțelege și implementa un astfel de plan, el trebuie să fie organizat pe diferite niveluri, de obicei în conformitate cu structura organizației. În cel mai simplu și cel mai comun caz, există două niveluri – nivelul înalt (sau central), care acoperă întreaga organizație, și cel inferior (sau de exploatare), care se referă la servicii individuale sau grupuri de servicii omogene. Programul de nivel înalt este condus de persoana responsabilă de securitatea informațiilor în întreprindere. Acest program are următoarele obiective principale: managementul riscului (evaluarea riscurilor, selectarea metodelor eficiente de protecție); coordonarea activităților în domeniul securității informațiilor, suplinirea și distribuirea resurselor; planificarea strategică; controlul activităților în domeniul securității informațiilor. În cadrul programului de nivel înalt, se iau decizii strategice pentru asigurarea securității și se evaluează inovațiile tehnologice, deoarece tehnologia informației se dezvoltă foarte rapid și este necesar să existe o politică clară de urmărire și implementare a unor noi mijloace și instrumente de protecție. 12 Controlul activităților de securitate are un sens bidirecțional. În primul rând, este necesar să se asigure că acțiunile companiei nu contravin legilor, în același timp, menținând contactele cu organizațiile de monitorizare externă. În al doilea rând, trebuie să fie monitorizată în permanență starea de securitate în cadrul companiei, să se reacționeze în cazul încălcărilor și să fie finalizate măsurile de protecție ținând cont de situația în schimbare. Trebuie subliniat faptul că programul de nivel înalt ar trebui să dețină un loc strict definit în activitățile organizației, trebuie să fie acceptat oficial și să fie susținut de conducere, având un anumit personal și buget. Scopul programului de nivel inferior este asigurarea unei protecții fiabile și economice pentru un anumit serviciu sau pentru un grup de servicii omogene. La acest nivel, se decide ce mecanisme de protecție ar trebui utilizate, se achiziționează și se instalează mijloacele tehnice, se realizează administrarea zilnică, se monitorizată starea punctelor slabe și așa mai departe. Responsabili de un program de nivel inferior sunt de obicei administratorii de servicii. 4.2. Măsuri procedurale de protecție a informației Măsurile procedurale de securitate a informațiilor reprezintă ansamblul reglementărilor prin care se stabilesc măsurile interne de lucru şi de ordine interioară destinate realizării protecţiei informaţiilor, acestea fiind măsurile de securitate implementate de oameni. Aceste măsuri, care se concretizează în diverse norme specifice, regulamente și recomandări pentru activitatea personalului responsabil de securitatea informațiilor, sunt elaborate în baza planului de securitate. La nivelul procedural de asigurare a securității informațiilor se pot distinge următoarele clase de măsuri: managementul personalului; protecția fizică; menținerea capacității de funcționate; reacționarea la încălcări ale securității; planificarea lucrărilor de recuperare. 4.2.1. Managementul personalului Managementul personalului începe cu admiterea unui nou angajat la serviciu și chiar mai devreme – cu elaborarea fișei postului. Există două principii generale care trebuie luate în considerare: divizarea sarcinilor și minimizarea privilegiilor. Principiul separarea atribuțiilor prescrie alocarea de roluri și responsabilități astfel încât o persoană să nu poată întrerupe un proces de o importanță critică pentru întreprindere. De exemplu, nu este de dorit ca transferurile mari de bani ale companiei să fie efectuate de o singură persoană. Este mai sigur să-i fie încredințată unui angajat procesarea cererilor pentru astfel de plăți, iar altuia 13 să certifice aceste cereri. Un alt exemplu sunt limitările procedurale ale acțiunilor superuser-ului. Putem să „separăm” în mod artificial parola superuser-ului, spunându-i prima parte a acestuia unui angajat, iar a doua parte - celui de-al doilea. În acest caz, aceștia vor putea realiza doar împreună acțiuni de importanță critică în administrarea sistemului informatic, ceea ce reduce probabilitatea erorilor sau abuzurilor. Principiul minimizării privilegiilor prevede acordarea utilizatorilor doar a drepturilor de acces care sunt necesare pentru ca aceștia să-și îndeplinească atribuțiile oficiale. Scopul acestui principiu este evident - de a reduce prejudiciul cauzat de comportamentul greșit, fie el accidental sau intenționat. Elaborarea preliminară a fișei de post permite evaluarea criticității acesteia și planificarea procedurii de verificare și selectare a candidaților. Din momentul în care unui nou angajat i se oferă accesul la sistemul informatic, este necesar de a realiza administrarea contului său de sistem, de a contabiliza și analiza acțiunile efectuate de acesta în scopul de a identifica situațiile suspecte. Atunci când un angajat este concediat, mai ales în cazul unui conflict între el și administrație, este necesar ca în regim de urgență acesta să fie lipsit de drepturile de acces la sistemul informatic al întreprinderii, prin transferul de echipament și împuterniciri către alt angajat. O problemă importantă pentru asigurarea securității informațiilor este calificarea personalului, care, pentru a se menține la nivelul necesar, necesită o instruire regulată. În cazul în care un angajat nu este familiarizat cu politica de securitate a organizației, el nu poate tinde spre atingerea obiectivelor stabilite în această politică. Necunoscând cerințele și măsurile de securitate, el nu le poate respecta. Dimpotrivă, dacă un angajat cunoaște că acțiunile sale sunt controlate, el probabil se va abține de la încălcări. 4.2.2. Protecția fizică Securitatea sistemului informatic depinde în primul rând de mediul în care acest sistem funcționează. De aceea este necesar să se ia măsuri pentru a proteja clădirile și teritoriile adiacente, infrastructura, calculatoarele, mediile de stocare a datelor, etc. Principiul de bază al protecției fizice, a cărui respectare ar trebui să fie monitorizată în mod continuu, poate fi formulat ca „continuitatea protecției în timp și spațiu.“ Putem distinge câteva categorii de protecție fizică: controlul accesului fizic; măsuri de combatere a incendiilor; protecția infrastructurii de suport; protecția împotriva interceptării datelor; protecția sistemelor mobile. 14 Interceptarea datelor poate fi efectuată într-o varietate de moduri. Un atacator poate spiona pe ecranul monitorului, citiți pachetele transmise prin rețea pentru a analiza radiații electromagnetice fără stăpân și interferențe, etc. 4.2.3. Menținerea capacității de funcționare Menținerea capacității de funcționare a sistemelor informatice este fără îndoială vitală, mai ales dacă luăm în considerare faptul că software-ul este unul dintre cele mai importante mijloace de asigurare a integrității informațiilor. Mai întâi de toate, trebuie să putem urmări ce software este instalat pe calculatoare, deoarece în cazul în care utilizatorii îl vor instala la discreția sa, aceasta poate duce la infectarea sistemului, precum și la apariția unor căi de ocolire a instrumentelor și mijloacelor de securitate existente în companie. Alt aspect ține de suportul continuu în scopul de a asigura lipsa modificărilor neautorizate a software-ului și a drepturilor de acces la acesta. În mod normal controlul funcționalității sistemelor poate fi realizat prin combinarea mijloacelor de control al accesului fizic și logic, precum și utilizarea software-ul utilitar de verificare și asigurare a integrității. 4.2.4. Reacția la eventualele încălcări Reacția la încălcările regimului de securitate a informațiilor are următoarele obiective: localizarea incidentelor și reducerea riscurilor; identificarea intrușilor; prevenirea încălcărilor repetate. În cazul unei încălcări a regimului de securitate, trebuie imediat luate măsuri, iar succesiunea acțiunilor pentru astfel de cazuri este foarte important să fie planificată în avans și reflectată în documente. Toți angajații ar trebui să cunoască cum să acționeze și pe cine să contacteze în cazul detectării unei încălcări a securității, precum și să știe ce consecințe îi așteaptă pe ei înșiși în cazul în care vor încălca regulile de securitate a informațiilor. Documentația este o parte integrantă a securității informațiilor. Aproape totul este elaborat sub formă de documente - de la politica de securitate până la un registru de evidență a cheilor. Păstrarea unor documente (care conțin, de exemplu, analiza vulnerabilităților și amenințărilor sistemului) este condiționată de aplicarea unor cerințe de confidențialitate, pe când pentru altele, cum ar fi planul de redresare în caz de dezastru – se înaintează cerințe de integritate și disponibilitate (în situații critice este necesar ca planul să poată fi găsit și citit). Aici mai trebuie de menționat că uneori necesitatea de localizare a unui incident și reducerea prejudiciului intră în conflict cu dorința de a identifica infractorul. Pentru a evita astfel de situații este necesar ca în politica de securitate a organizației să fie în prealabil stabilite clar prioritățile, iar deoarece, după cum arată practica, este foarte dificil să se identifice un intrus, în primul rând ar fi necesar să se aibă grijă de reducerea prejudiciilor. 15 4.2.5. Planificarea lucrărilor de recuperare Planificarea lucrărilor de recuperare ne va permite să fim pregătiți pentru eventualele incidente ca să putem reduce în regim de urgență prejudiciile cauzate de acestea și să ne menținem capacitatea de a funcționa cel puțin la un nivel minim acceptabil. Procesul de planificare a lucrărilor de recuperare poate fi realizat în câteva etape: identificarea funcțiilor de importanță critică ale întreprinderii și stabilirea priorităților; identificarea resurselor necesare pentru îndeplinirea funcțiilor critice; definirea unei liste de accidente posibile; dezvoltarea unei strategii de recuperare; pregătirea pentru implementarea strategiei alese; verificarea strategiei. Un lucru foarte important aici este că atunci când planificăm lucrările de recuperare, trebuie să fim conștienți că nu este întotdeauna posibil să asigurăm imediat o funcționare completă a întreprinderii și de aceea este necesar să se identifice funcțiile de importanță critică, fără de care întreprinderea își pierde identitatea. Chiar mai mult - aceste funcții la fel trebuiesc organizate în conformitate cu astfel de priorități, încât să fie posibil ca într-un timp cât mai scurt și cu costuri minime să fie reluată activitatea după fiecare accident petrecut. Întrebări și subiecte pentru aprofundarea cunoștințelor și lucrul individual 1. Care sunt cele trei clase măsuri care în ansamblul lor definesc procesul de securitate a informației? 2. În ce constau măsurile organizatorice de asigurare a securității informației în cadrul unei întreprinderi sau organizații? 3. Descrieți rolul unei politici de securitate în procesul de menținere a nivelului necesar de securitate a informației pentru o întreprindere sau organizație. 4. Definiți și descrieți succint tipurile de politici de securitate a informației. 5. Care este rolul politicii de guvernare în politica de securitate a informației? 6. Care este rolul nivelului de maturitate al procesului de elaborare a politicii de securitate? 7. Descrieți principiile conexe securității informației care stau la baza managementului personalului în întreprindere. 8. În ce constau măsurile procedurale de protecție a informației? Care sunt principalele clase de astfel de măsuri? 16