Master INFOSEC Abordarea sistemica a securitatii retelelor

1
Master INFOSEC Abordarea sistemica a
securitatii retelelor

• D-rand. Ing. Gh. Muresanu e-mail
  ghemuresanu_at_rdslink.ro

2
Obiectivele cursului

• Introducerea conceptului de securitate ca o parte
  necesara oricarui sistem complex
• Intelegerea faptului ca securitatea informatiilor
  intr-o organizatie este o problema complexa care
  nu poate fi tratata in afara contextului
  organizatiei.
• Intelegerea necesitatii de a aborda problema
  securitatii informatiilor si a retelelor ca o
  problema interdisciplinara care include
  echipamente, reglementari si oameni
• Formarea unui mod de gandire sistemic atunci
  cand se pune problema realizarii unui sistem de
  securitate pentru o organizatie

3
Abordarea sistemica a securitatii informatiilor

• Viziunea holistica asupra securitatii
  informatiei
• Integrarea sarcinilor de securitate in
  organizatie
• Principiile generale ale organizarii securitatii
  informatiilor in format electronic
• Responsabilitatile securitatii
• Structurile specializate de securitate
• Managementul securitatii

4
Conceptul de sistem

• Conceptul clasic de sistem
• Prin sistem, se întelege în general, un ansamblu
  de parti (componente) care interactioneaza între
  ele într-un mod organizat (implica notiunea de
  structura) pentru atingerea unui obiectiv
  (trebuie sa faca ceva).
• Critica conceptului
• concepe sistemul simplist ca o cutie cu intrari
  si iesiri
• vede sistemul izolat

5
Conceptul modern de sistem

• Conceptul clasic caracteristicile
• Adaugarea sau scoaterea unei componente schimba
  sistemul
• O componenta este afectata prin includerea în
  sistem
• Componentele sunt percepute referitor la o
  structura ierarhica
• Exista incluse metode de control si de comunicare
  care promoveaza supravietuirea sistemului 1
  (functia de securitate)
• Sistemul are proprietati de emergenta, dintre
  care unele sunt dificil de prevazut (implica
  descriere probabilistica)
• Sistemul are limite (chiar daca nu pot fi riguros
  definite)
• În afara limitelor sistemului exista mediul care
  afecteaza sistemul
• Sistemul apartine cuiva (cel care stabileste
  obiectivele).

6
Ce aduce nou conceptul modern de sistem

• Componenta sistemului elemente, structuri si
  procese
• Opereaza si cu marimi slab definite (vagi)
• Capacitatea de predictie si control nu mai este
  stricta
• Analiza sistemului include mediul de lucru
• Implica subsisteme cu ierarhii si rezolutii
• Existenta punctelor de vedere diferite care
  coexista proprietar, public, concurenta etc.
• Proprietati de emergenta (sistemul este mai mult
  decat suma componentelor)
• Rolul analistului (observatorului aduce
  informatie noua nu trebuie sa fie neaparat
  neutru - obiectiv)

7

Principiile de baza ale teoriei sistemelor
complexe
Postulatul integralitatii
Principiul cauzalitatii
Postulatul autonomiei
Postulatul complementaritatii
Principiul modelarii
Postulatul nedeterminarii
Postulatul actiunii
Postulatul recuperarii investitiei
Principiul supravietuirii
Postulatul conservarii functiilor critice
Principiul orientarii spre obiectiv
Postulatul alegerii
8
Tipuri de sisteme

• Sisteme mecanice ceas, pompa, bicicleta etc.
• Sisteme tehnice complexe avioane, retele de
  comunicatii
• Sisteme informatice baze de date, retele de
  calculatoare (echipamente infomatii)
• Sisteme biologice plante, animale, virusi si
  bacterii etc.
• Sisteme sociale sistemul de sanatate, sistemul
  de asigurari sociale, sistemul financiar etc.
• Sisteme simbolice sistemul de numeratie,
  sistemul limbajelor,
• Sisteme artificiale complexe
• Sisteme reale (mixte) fabrici, sistemul de
  transport aerian

9
Clasificarea sistemelor

• Sisteme inchise si sisteme deschise referitor
  la interactiunea cu mediul
• Sisteme naturale, artificiale si sociale
  referitor la contributia umana la creare
• Sisteme ierarhice si distribuite (retele)
  referitor la relatiile dintre elementele sale
• Sisteme critice si sisteme ordinare referitor
  la capacitatea de supravietiure

10
Analiza sistemelor

• Aplica principiile teoriei sistemelor pentru
• Identificarea sistemelor
• Constructia si reconstructia sistemelor
• Optimizarea si controlul sistemelor
• In conditii
• Obiective multiple
• Constrangeri de mediu
• Resurse limitate
• Se cauta cursuri de actiune asociate cu riscuri,
  costuri si beneficii.

11
Mecanismul clasic al controlului
12
Controlul sistemului

• Elementul controlor
• Constituit reprezentarea elem controlat si
  agentul de actionare
• Are ca parametrii de intrare obiectivul
  sistemului si perceptia asupra parametrilor elem.
  controlat
• Elementul controlat
• Are o comportare dictata de legi si reguli
• Are parametrii de intrare perturbatiile mediului
  si actiunile agentului de control
• Furnizeaza o imagine a functionarii elemetului
  de control.

13
Reflectarea mecanismului de control in SMS -
bazat de Manag. Risc. (RM)
14
Reflectarea mecanismului de control in SMS -
bazat de manag. riscurilor

• Mecanismul de control implica mediul de lucru
  stabilirea contextului
• Implica multiple bucle de control cu obiective de
  control (reactie) diferite si agenti de decizie
  (actiune) diferiti
• Buclele de control includ emente fizice,
  reglemetari si oameni (observatori) cu puncte de
  vedere diferite.
• Actualizarea buclelor se face functie de context
  (rata de incidente).
• Prin acest mecanism se realizeaza implicit o
  abordare sistemica a managementului sistemului de
  securitate.

15
Definitia securitatii unui sistem

• Deriva din principiul supravietuirii sistemelor
• Are la baza postulatele
• conservarii structurilor (functiilor) critice
• recuperarea investitiilor
• securitatea unui sistem este subsistemul care ii
  asigura atingerea obiectivelor pentru care a fost
  creat sistemul reactionand la conditiile
  variabile impuse de mediu
• securitatea este functia unui sistem de a-si
  asigura supravietuirea în conditii de mediu
  concurential cu resurse limitate

16
Relatia sistemului de management al securitatii
cu sistemul organizatiei (ISO 13335)
17
Impactul subsistemului de securitate asupra
sistemului (costurile securitatii)

• Restrange functionalitatea (eficienta)
  securitatea ridicata implica o functionalitate
  mai redusa
• Creste controlul asupra elementelor sistemului
  implica monitorizare, inregistrare, baze de date
  restrange dreptul la intimitate
• Implica investitii specifice in securitate si
  deturneaza resurse de la dezvoltare scade
  expansiunea sistemului
• Restrangerea functionalitatii si reducerea
  dezvoltarii sunt certe castigul de securitate
  este probabil (vinde cioara de pe gard)

18
Impactul subsistemului de securitate asupra
sistemului (costurile securitatii)

• Nu exista sistem fara mecanisme, mijloace si
  procese de securitate (subsistem de securitate).
• Cu cat sistemele sunt mai complexe cu atat
  subsistemul de securitate este mai evoluat, mai
  sofisticat si coordonat la nivelul cel mai inalt.
• Cele mai complexe sisteme naturale, sistemele vii
  si sistemele sociale si-au dezvoltat pe cale
  naturala sisteme de securitate specializate
  vezi sistemul imunitar biologic.
• Afectarea sistemului de securitate duce la
  disparitia sistemului din mediu.

19
Abordarea analizei sitemului de securitate

• Abordarea analitica descompune sistemul in
  elemente componenete si analizeaza interactiunea
  dintre ele si efectele fiecarui parametru asupra
  iesirii
• Problema descompunerii - modelul
• Problema rezolutiei
• Abordarea sistemica se raporteaza la
  obiectivele sistemului si la mediul de evolutie.
  Priveste sistemul din punct de vedere al
  perceptiei unui observator, urmareste integrarea
  efectelor schimbatilor pluridisciplinare.

20
Abordarea sistemica a securitatii informatiei in
mediul ITC (virtual)

• Stabileste obiectivele misiunile (sistemului
  si ale securitatii)
• Definiste limitele sist. integrarea
  activitatilor
• Mediul de lucru mediul material virtual
• Modelul (modele multiple reprezentarile lor)
• Legitatile de evolutie (ale mediului si ale
  organizatiei)
• Punctul de vedere al proprietarului
• Punctul de vedere al publicului
• Proprietatile de emergenta
• Observatorul

21
Caracterizarea mediului

• mediul este format din echipamente, canale de
  comunicatie, baze de date, reglementari si
  standarde tehnice, oameni si mediul fizic
  (mediul intern, mediul extern).
• mediul ITC este artificial (creat de om) si are
  ca element de baza informatia (nemateriala) si
  tehnologia (materiala)
• evolutiile componentelor mediului se fac cu
  viteze diferite.
• este un mediu virtual cu o anumita reflectare a
  realitatii dar care interactioneaza strâns cu
  mediul fizic prin intermediul informatiilor
  folosite de oameni sau masini si care are
  legitati specifice
• este probabil cel mai socializat mediu - acopera
  întreg globul, toate mediile de comunicatii si
  toata scara sociala magistrala informationala
  globala
• mediul poate fi modificat major si rapid prin
  interventia omului

22
Caracterizarea mediului

• multiplicatul valorilor (informatiilor) în
  ciberspatiu se face foarte usor cu costuri nule
  si operatia nu lasa urme asupra originalului
• valorile (informatiile) por fi manipulate de la
  distante uriase, pot fi deplasate cu viteza
  luminii (teleportate), distruse sau modificate
  fara ca aceste operatii sa lase urme în mediul
  local sistemul de securitate trebuie sa asigure
  trasabilitatea activitatilor
• utilizatorii beneficiaza de protectia
  anonimatului (impusa prin lege sau dat.
  sistemului tehnic
• justitia clasica are dificultati în exercitarea
  prerogativelor
• mediul este in continua schimbare datorita
  progresului tehnologic exploziv

23
Caracterizarea mediuluiEvolutia tehnologica (1)

• Civilizatia siliciului a ajuns la apogeu.
  Posibilitatile de realizare a structurilor
  planare prin litografie s-au epuizat (nu se mai
  pot realiza densitati semnificativ mai mari
  costurile sunt foarte mari si progresele mici).
• Resursele acestor tehnologii se apreciaza ca vor
  fi epuizate in urmatorii 10-15 ani.
• In urmatorii ani se vor realiza progrese prin
  trecerea la tehnologii spatiale (3D).

24
Caracterizarea mediuluievolutia tehnologica (2)

• Sistemele TIC moleculare. Cercetarile din ultimii
  ani au aratat ca nano tuburile din fibre de
  carbon pot avea proprietati care pot fi folosite
  drept elemente de memorie si comutatie. Aceasta
  tehnologie permite realizarea unui tranzistor
  din câteva molecule sau chiar atomi. Daca în
  prezent se pot realiza cipuri de complexitate de
  peste un tera transistoare, tehnologiile
  moleculare permit cresterea densitatii cu 3 4
  ordine de marime. Cipurile vor fi auto
  configurabile, masiv paralele si vor integra
  probabil o serie de servicii de baza. La nivelul
  utilizatorilor va fi practic imposibil sa se
  cunoasca functionarea si sa se estimeze
  vulnerabilitatile. Cipul va fi o cutie neagra a
  caror functii vor putea fi cunoscute partial si
  chiar se vor schimba în timp în mod transparent
  pentru utilizator.

25
Caracterizarea mediului evolutia tehnologica (3)

• Sisteme de calcul biologice. Progresele
  înregistrate de chimia organica din ultimul timp
  au condus la realizarea unor arhitecturi spatiale
  complexe care pot executa operatii logice si
  chiar pot primi instructiuni ce sa le execute.
  Exista în laborator structuri care înteleg
  limbajul C. Principalele caracteristici ale
  acestor sisteme sunt capacitatea de a se auto
  reproduce, capacitatea de a se auto repara,
  posibilitatea de a deveni autonome.

26
Caracterizarea mediului evolutia tehnologica (4)

• Sisteme informatice cuantice. Tehnologia
  exploateaza capacitatea cuantica a unei particule
  elementare de a se afla în doua locuri simultan
  si a comunica într-un fel între ele. Se estimeaza
  ca performantele acestor dispozitive nu au în
  prezent echivalent în lumea reala. Principala
  caracteristica a acestei tehnologii este
  capacitatea de a efectua operatii paralele
  nelimitate. Practic puterea de calcul a acestor
  dispozitive va putea fi considerata infinita.
  Principala consecinta a introducerii acestor
  tehnologii va fi eliminarea echipamentelor de
  criptare bazate pe algoritmii matematici
  cunoscuti. Toate echipamentele de criptare
  actuale se bazeaza pe ideea ca tehnologia si
  algoritmul de calcul permit o complexitate de
  calcul exponentiala în raport cu cheia de
  criptare si tehnologia folosita pentru
  criptanaliza poate fi constriuta foarte mare dar
  nu infinita. Aparitia acestor dispozitive (chiar
  în numar extrem de limitat) va duce la scoaterea
  de pe piata a tuturor acestor echipamente. Pentru
  protectie ar ramâne în acest caz numai
  dispozitivele bazate pe criptografia cuantica.

Evolutia tehnologica a mediului
27
Caracterizarea mediului evolutia tehnologica a
mediului (5)

• Interfete inteligente om masina. In ultimii ani
  tehnologia a realizat progrese mari in
  interpretarea sunetelor (recunoasterea vorbirii,
  detectia starii psihice) interpretarea imaginilor
  (recunoasterea figurilor, a gesturilor, urmarirea
  unei persoane într-o multime etc.) si chiar a
  realizarii unor dispozitive care sa comunice
  direct cu creierul. Aceste tehnologii vor
  amplifica puterea informationala a individului în
  retea foarte mult dar în acelasi timp va deschide
  calea unei invazii în intimitatea individului
  fara precedent. Mecanismele si sistemele de
  securitate vor trebui sa marcheze delimitarea
  dintre partea de intimitate care va fi dezvaluita
  retelei si cea care va fi pastrata si va trebui
  sa o garanteze.

28
Caracterizarea mediului Evolutiile
comunicatiilor (1)

• Tendinta ca toate sistemele sa fie conectate
  permanent la retea (vor dispare sistemele
  izolate)
• Sistemele vor lucra cooperativ, automat
  (transparent pt. utilizator) si reteaua de
  comunicatii va trebui sa ofere suportul necesar
• Terminalele ca si echipamentele de retea se vor
  baza pe tehnologiile paralele si vor rula in
  paralel mai multe aplicatii (dificil de controlat
  de utilizator)
• Echipamentele de retea si terminalele vor
  reactiona automat în functie de context

29
Caracterizarea mediului evolutiile
comunicatiilor (2)

• Reteaua de comunicatii va fi puternic
  descentralizata si va oferi servicii specializate
  pentru aproape toate domeniile de activitate
  umana
• Va permite o mobilitate fara precedent si reteaua
  va trebui sa permita identificarea si urmarirea
  tuturor echipamentelor si chiar a utilizatorilor
  pentru a oferi servicii diferentiate (utilitati,
  costuri, securitate etc.)
• Din punct de vedere al securitatii se poate
  considera ca fiecare terminal va evolua practic
  intr-un mediu în mare parte necunoscut si trebuie
  sa fie pregatit sa reactioneze la cele mai
  neasteptate situatii.

30
Legile de miscare in mediu

• Orice sistem este caraterizat de
• starile elementelor sale (initiala, finala)
• legitatile de evolutie
• constrangerile pt. respectarea legitatilor
• Legi naturale (fizice, chimice, economice,
  sociale, psihologice etc.)
• Reglementari sociale (facute de om dictate de
  interese)
• Scrise (sistemul juridic) legi, norme,
  reglementari locale, ROF-uri etc.
• Nescrise (sistemul etic) reguli de buna
  practica, de buna purtare, sistemul de relatii
  umane
• Standardele tehnice (granita dintre leg. naturale
  si reglemetarile sociale)
• Reglemeteaza modul in care sunt utilizatelegile
  naturii in constructiile umane devin legi
  naturale ale mediului facut de om
• Pentru o problema de constructie exista de regula
  mai multe standarde valabile
• Rolul autoritatilor de reglementare (adoptarea
  standardelor aplicarea lor)

31
Punctul de vedere al proprietarului

• Punctul de vedere al proprietarului trebuie
  inteles ca pe un drept la decizie (Consiliul de
  administratie, Consiliul Director, proprietarul)
• Trebuie considerat pe diverse nivelui de decizie,
  de responsabilitate (superioara, departamente,
  ... loc de munca)
• Proprietarul are dreptul si obligatia sa
  intervina in sistem si sa schimbe regulile sau
  chiar elemetele sistemului la provocarile
  mediului
• Punctul de vedere se schimba cand se schimba
  managementul
• Se materializeaza in principal in strategia si
  politicile de securitate

32
Punctul de vedere al publicului

• Punctul sau punctele de vedere ale grupurilor de
  indivizi fata de sistem (imaginea sistemului)
• Grupuri din interior (angajati)
• Grupuri din exterior (furnizori, clienti,
  parteneri, autoritati, mass-media etc.)
  publicitate, cheltuieli de reprezentare
• Sistemul interactioneaza strans cu mediul si
  numai o parte relativ redusa din decizii sunt
  la latitudinea managementului sistemului -
  majoritatea deciziilor se iau functie de
  raspunsul mediului.
• Imaginea sistemului de securitate
  supraevaluarea si sub evaluarea sistemului de
  securitate

33
Proprietatile de emergenta

• Proprietatea elementelor sistemului ca prin
  interactiune sa produca efecte care nu sunt
  specifice nici unui element constitutiv (nici
  unul din elementele unui ceas nu au legatura cu
  timpul)
• Efectul de avalansa (bulgare de zapada)
  perturbatia mica a unui element se amplifica la
  nivelul sistemului
• Definirea infrastructurilor critice (elemente
  fizice, facilitati, activitati, informatii,
  oameni etc.)

34
Observatorul(analistul, consultantul - expertul)

• Este elementul din afara sistemului care vine cu
  un punct de vedere (si cunostiinte) diferite de
  cele din organizatie
• Este consultat in momente importante din ciclul
  de viata al sistemului sau periodic
• Are rolul de a aduce informatie proaspata in
  sistem si a schimba functionarea acestuia
• Este de dorit sa fie cat mai obiectiv (neutru)
  fata de interesele mediului
• Nu poate sa fie perfect obiectiv si intodeauna
  are si limite
• Aduce un plus de credibilitate atat in interior
  cat si in exterior (problema celei de a treia
  parti partea de incredere)

35
Sistemul de securitate

• Subsistemul de protectie fizica
• prot. perimetrala, control acces, det. efractie
• prot. incendiu, prot. inundatii, TVCI,
• Subsistemul de protectie ITC
• COMPUSEC, COMSEC, TEMPEST, CRIPTO
• Control acces, IDS, prot. fizica, prot. personal
• Subsistemul de protectie a personalului
• Subsistemul de protecie administrativasi al
  documentelor

36
Practica subordonarii subsistemelor de securitate

• Protectia fizica subordonata administratorului
  cladirii (compartimentul logistic)
• Controlul acces subordonat com. resurse umane
  asociat cu pontajul
• Securitatea comunicatiilor si a calculatoarelor
  subordonata compartimentului IT
• Securitatea informatiilor subordonata
  secretariatului registratura
• Securitatea informatiilor clasificate
  conducerii institutuiei prin lege.
• Practic nu exista coordonare intre componentele
  securitatii sau este foarte slaba.

37
Abordarea holistica(puncte de vedere
complementare)

• Abordat ca un sistem bine delimitat, cu marimi
  masurabile si comportari in mare parte
  previzibile abordarea din punct de vedere hard
• Abordat ca un sistem cu delimitari vagi care
  interactioneaza puternic cu mediul, este descris
  de marimi nemasurabile si este supus aprecierilor
  subiective, cu comportari imprevizibile
  abordarea din punct de vedere soft,
• Abordarea din punct de vedere al situatiilor de
  criza (avarie) studiat atunci când unul sau mai
  multe elemente critice sunt scoase din functiune
  datorita unor cauze naturale sau provocate
• Abordat pe durata ciclului de viata cu
  caracteristici de securitate diferite in fazele
  dezvoltarii si utilizarii sistemului analiza
  sistem, proiectare, implementare, testare,
  mentenanta.

38
Abordarea sistemica a sistemelor reale
ABORDARE SOFT probleme slab definite probleme
necuantificabile interactiune umana
ABORDARE HARD probleme clar definite probleme
cuantificabile
ABORDARE CATASTROFICA functionare in afara
regimului de lucru
39
Abordarea sistemica din punct de vedere al
problemelor hard

• Definitia hard a sistemelor
• Formularea problemei in ipoteza hard
• Sisteme naturale
• Sisteme abstracte
• Natura problemelor
• Controlul sistemelor hard functiile obiectiv
• Elemente metodologice

40
Metodologia rezolvarii problemelor hard

• Identificarea problemelor
• Constientizare si intelegere
• Obiective si constrangeri
• Strategii
• Metode de evaluare a progreselor
• Modelarea
• Evaluarea modelului
• Selectia variantei (optimizarea)
• Implementarea.

41
Abordarea sistemica din punct de vedere hard a
subsistemului de securitate

• Integrarea securitatii in sistemul organizational
  (ex.)
• Definitia subsistemului de securitate
• Obiective securitatea sistemului
• Formularea problemei controlul riscurilor
• Managementul securitatii
• Starea initiala standarde si norme de
  securitate
• Subsisteme de securitate - interferente
• Controlul securitatii
• Auditul
• Evaluarea
• Acreditarea

42
Controlul securitatii diagrama audit
43
Abordarea sistemica din punct de vedere al
problemelor soft

• Definitia problemei soft a sistemelor
• Analiza problemei
• Rolul analistului
• Metodologia soft
• Caracteristici si actiuni
• Definitii de baza si aspecte relevante
• Modele conceptuale
• Starea initiala starea finala
• Agenda de lucru discutia agendei
• Actiuni pentru schimbare.

44
Metodologia abordarii din punct de vedere soft
(1/3)

• Culegerea informatiilor
• Analiza
• Definitii de baza si aspecte relevante
• Modelarea conceptuala
• Comparatii pentru constituirea agendei
• Discutia agendei cu factorii semnificativi
• Actiuni pentru schimbare.

45
Abordarea din punct de vedere soft a
subsistemului de securitate (2/3)

• Culegerea de informatii
• Baza de date cu incidente de securitate
• Auditul de securitate
• Analiza de securitate
• Analiza de riscuri
• Evaluarea de securitate
• Definitii de baza si aspecte relevante
• Tratarea neconformitatilor
• Prioritizarea riscurilor
• Analiza cost beneficii

46
Abordarea din punct de vedere soft a
subsistemului de securitate (3/3)

• Modelul conceptual
• Structura de securitate
• Atributii de securitate
• Echipe de lucru (audit, analize, evaluari etc.)
• Cultura de securitate - rolul educatiei
• Tratarea riscurilor
• Comparatii pentru stabilira agendei
• Stabilirea strategiei traseul de abordare
• Politica de securitate

47
Abordarea din punct de vedere soft a
subsistemului de securitate

• Discutia agendei cu actorii
• Conducerea asumarea riscurilor
• Autoritatile standarde, acreditari de
  securitate, puncte de contact interventii
• Departamentele implicate utilizatori
• Furnizori si beneficiari.
• Actiuni pentru schimbare
• Planificare
• Proceduri operationale
• Controale, testare, audit intern si extern
• Masuri operationale.

48
Abordarea din punct de vedere al comportarii
sistemului in regim de criza

• Caracterizarea abordarii catastrofice
• Implicatiile caderii sistemului (subsistemelor)
• Compararea modelelor
• Sistemul formal de paradigme
• Controlul paradigmelor
• Comunicarea
• Fiabilitatea paradigmelor
• Factorii umani
• Analiza caderii sistemelor.

49
Metodologia abordarii din punct de vedere al
comportarii in regim de criza

• Descrierea situatiilor de cadere a sistemului
• Compararea cu paradigmele
• Interpretarea comparatiilor extragerea
  concluziilor
• Invatarea aplicarea concluziilor

50
Abordarea securitatii din punct de vedere al
comportarii in regim catstrofic

• Infrastructuri critice
• Misiuni critice
• Planurile de recuperare in caz de dezastre
• Cutremure plan de evacuare, site-uri in oglinda
  etc.
• Incendii sistemul de stingere a incendiilor
• Inundatii
• Terorism - atac cu bombe
• Planurile de continuitate al afacerii
• Planul de raspuns la incidente scenarii de
  raspuns

51
Abordarea securitatii din punct de vedere al
ciclului de viata al sistemului

• Fazele vietii unui sistem
• Analiza de sistem
• Proiectarea
• Constructia
• Mentenanta
• Casarea.
• Politica de securitate in faza de dezvoltare a
  unui proiect
• Securitatea sistemului pe durata utilizarii
• Securitatea informatiilor in faza de casare a
  sistemului.

52
(No Transcript)
53
Concluzii (1)

• Securitatea este o functie esentiala a oricarui
  sistem functia de supravietuire in mediu
• Securitatea este intrinseca sistemului dar
  foloseste caracteristicile mediului reprezinta
  capacitatea de adaptare
• Mediul concurential cu resurse limitate
  stimuleaza nevoia de securitate
• Securitatea foloseste facilitatile sistemului
  dar se dezvolta si un subsistem specializat care
  coordoneaza actiunile de supravietuire

54
Concluzii (2)

• Coordonerea subsistemului de securitate se face
  la cel mai inalt nivel
• Se justifica studiul specializat al sistemului de
  securitate
• Securitatea informatiilor joaca un rol
  determinant in securitatea sistemelor complexe,
  evoluate are ca obiect informatia elemntul de
  baza al decizie.
• Securitatea informatiilor include toate formele
  si subsistemele de securitate.

55
Principiile generale ale organizarii securitatii
Recomandari OECD

• Obiectivele principiilor de organizare a
  protectiei informatiilor
• Promovarea unei culturi de securitate pentru toti
  participantii
• Constientizarea riscurilor, diseminarea
  politicilor, practicilor si a masurilor de
  securittate necesitatea implementarii lor
• Crearea unui nivel ridicat de incredere in
  sistemele informatice si de comunicatii
• Crearea suportului tehnic pentru securitate si
  implemetarea masurilor si procedurilor de
  securitate
• Promovarea cooperarii intre participanti

56
Principiile generale ale organizarii securitatii
Recomandari OECD

• Princiipile organizarii securitatii
• Participantii trebuie sa fie convinsi de
  necesitatea sistemelor de securitate si sa poata
  decide nivelul acesteia
• Toti participantii sunt responsabili de
  securitatea informatiilor si a sistemelor
• Participantii trebuie sa fie capabili sa raspunda
  prompt, cooperant pentru a preveni, detecta si
  raspunde la incidentele de securitate.

57
Principiile generale ale organizarii securitatii
Recomandari OECD

• Toti participantii trebuie sa respecte interesele
  legitime ale celorlalti
• Masurile de securitate ale informatiilor si
  retelelor trebuie sa fie in concordanta cu
  principiile valorilor democratice
• Participantii trebuie sa isi faca propria analiza
  de riscuri
• Participantii trebuie sa includa masurile de
  securitate ca elemente esentiale ale sistemelor
  informatice di de comunicatii

58
Principiile generale ale organizarii securitatii
Recomandari OECD

• Participantii trebuie sa fie liberi sa adopte
  masurile de securitate adecvate pe care le
  doresc
• Participantii trebuie sa isi revada si sa
  adapteze periodic sistemul de securitate al
  informatiilor si relelelor si sa refaca
  politicile, practicile, masurile si procedurile,

59
Principiile G8 pentru construirea securitatii

• Tarile trebuie sa aiba retele de atentionare de
  urgenta cu privire la vulnerabilitati, amenintari
  si incidente.
• Tarile trebuie sa constientizeze existenta si
  natura infrastructurilor informatice critice,
  rolul pe care trebuie sa-l joace in protejarea
  lor.
• Tarile trebuie sa examineze infrastructura
  existenta, iterdependentele dintre componente si
  sa organizeze protectia adecvata a acestora.

60
Principiile G8 pentru construirea securitatii

• Tarile trebuie sa promoveze parteneriate atat
  public cat si private intre participanti pentru a
  distribui responsabilitatea si analiza
  infrastructurile critice pentru a preveni,
  investiga si raspunde la distrugerea, sau atacul
  asupra acestora.
• Tarile vor crea si mentine o retea de comunicatii
  de criza si o vor testa periodic pentru a se
  asigura ca este functionala si sigura in situatii
  de urgenta.
• Tarile se vor asigura ca exista politici de
  disponibilitate a datelor care tin cont de
  necesitatile de protectie a infrastructurilor
  critice

61
Principiile G8 pentru construirea securitatii

• Tarile vor facilita urmarirea atacurilor
  infrastructurilor critice si vor coopera cu
  celelalte tari prin diseminarea acestor
  informatii.
• Tarile vor organiza exercitii de antrenare pentru
  cresterea capacitatii de raspuns si a testa
  continuitatea si capacitatea de recuperare in caz
  de atac asupra infrastructurilor critice si va
  incuraja pe totimparticipantii da organizeze
  activitati similare.
• Tarile se vor asigura ca au legislatie si
  proceduri adecvate pentru a pune in practica
  Conventia Consiliului Europei din23 Noiembrie
  2001 privitoare al Cibercriminalitate si va
  pregati personal specializat in investigarea
  atacurilor asupra infrastructurii critice,
  capabil sa coopereze adecvat cu celelalte tari.

62
Principiile G8 pentru construirea securitatii

• Tarile se angajeaza la cooperare internationala,
  adecvata, pentru a securiza infrastructurile
  critice prin dezvoltarea si coordonarea
  sistemelor de avertizare de urgenta, impartind si
  analizand informatiile referitoare la
  vulnerabilitati, amenintari precum si in
  coordonarea investigatiilor referitoare la
  atacurile infrastructurii in conformitate cu
  legilatia locala.
• Tarile vor promova cercetarile nationale si
  internationale care aplica tehnologiile de
  securitate a informatiilor si retelelor
  certificate in conformitate cu standardele
  internationale.