Master INFOSEC Abordarea sistemica a securitatii retelelor - PowerPoint PPT Presentation

1 / 62
About This Presentation
Title:

Master INFOSEC Abordarea sistemica a securitatii retelelor

Description:

Master INFOSEC Abordarea sistemica a securitatii retelelor D-rand. Ing. Gh. Muresanu e-mail: ghemuresanu_at_rdslink.ro: Obiectivele cursului Introducerea conceptului ... – PowerPoint PPT presentation

Number of Views:146
Avg rating:3.0/5.0
Slides: 63
Provided by: GM75
Category:

less

Transcript and Presenter's Notes

Title: Master INFOSEC Abordarea sistemica a securitatii retelelor


1
Master INFOSEC Abordarea sistemica a
securitatii retelelor
  • D-rand. Ing. Gh. Muresanu e-mail
    ghemuresanu_at_rdslink.ro

2
Obiectivele cursului
  • Introducerea conceptului de securitate ca o parte
    necesara oricarui sistem complex
  • Intelegerea faptului ca securitatea informatiilor
    intr-o organizatie este o problema complexa care
    nu poate fi tratata in afara contextului
    organizatiei.
  • Intelegerea necesitatii de a aborda problema
    securitatii informatiilor si a retelelor ca o
    problema interdisciplinara care include
    echipamente, reglementari si oameni
  • Formarea unui mod de gandire sistemic atunci
    cand se pune problema realizarii unui sistem de
    securitate pentru o organizatie

3
Abordarea sistemica a securitatii informatiilor
  • Viziunea holistica asupra securitatii
    informatiei
  • Integrarea sarcinilor de securitate in
    organizatie
  • Principiile generale ale organizarii securitatii
    informatiilor in format electronic
  • Responsabilitatile securitatii
  • Structurile specializate de securitate
  • Managementul securitatii

4
Conceptul de sistem
  • Conceptul clasic de sistem
  • Prin sistem, se întelege în general, un ansamblu
    de parti (componente) care interactioneaza între
    ele într-un mod organizat (implica notiunea de
    structura) pentru atingerea unui obiectiv
    (trebuie sa faca ceva).
  • Critica conceptului
  • concepe sistemul simplist ca o cutie cu intrari
    si iesiri
  • vede sistemul izolat

5
Conceptul modern de sistem
  • Conceptul clasic caracteristicile
  • Adaugarea sau scoaterea unei componente schimba
    sistemul
  • O componenta este afectata prin includerea în
    sistem
  • Componentele sunt percepute referitor la o
    structura ierarhica
  • Exista incluse metode de control si de comunicare
    care promoveaza supravietuirea sistemului 1
    (functia de securitate)
  • Sistemul are proprietati de emergenta, dintre
    care unele sunt dificil de prevazut (implica
    descriere probabilistica)
  • Sistemul are limite (chiar daca nu pot fi riguros
    definite)
  • În afara limitelor sistemului exista mediul care
    afecteaza sistemul
  • Sistemul apartine cuiva (cel care stabileste
    obiectivele).

6
Ce aduce nou conceptul modern de sistem
  • Componenta sistemului elemente, structuri si
    procese
  • Opereaza si cu marimi slab definite (vagi)
  • Capacitatea de predictie si control nu mai este
    stricta
  • Analiza sistemului include mediul de lucru
  • Implica subsisteme cu ierarhii si rezolutii
  • Existenta punctelor de vedere diferite care
    coexista proprietar, public, concurenta etc.
  • Proprietati de emergenta (sistemul este mai mult
    decat suma componentelor)
  • Rolul analistului (observatorului aduce
    informatie noua nu trebuie sa fie neaparat
    neutru - obiectiv)

7

Principiile de baza ale teoriei sistemelor
complexe
Postulatul integralitatii
Principiul cauzalitatii
Postulatul autonomiei
Postulatul complementaritatii
Principiul modelarii
Postulatul nedeterminarii
Postulatul actiunii
Postulatul recuperarii investitiei
Principiul supravietuirii
Postulatul conservarii functiilor critice
Principiul orientarii spre obiectiv
Postulatul alegerii
8
Tipuri de sisteme
  • Sisteme mecanice ceas, pompa, bicicleta etc.
  • Sisteme tehnice complexe avioane, retele de
    comunicatii
  • Sisteme informatice baze de date, retele de
    calculatoare (echipamente infomatii)
  • Sisteme biologice plante, animale, virusi si
    bacterii etc.
  • Sisteme sociale sistemul de sanatate, sistemul
    de asigurari sociale, sistemul financiar etc.
  • Sisteme simbolice sistemul de numeratie,
    sistemul limbajelor,
  • Sisteme artificiale complexe
  • Sisteme reale (mixte) fabrici, sistemul de
    transport aerian

9
Clasificarea sistemelor
  • Sisteme inchise si sisteme deschise referitor
    la interactiunea cu mediul
  • Sisteme naturale, artificiale si sociale
    referitor la contributia umana la creare
  • Sisteme ierarhice si distribuite (retele)
    referitor la relatiile dintre elementele sale
  • Sisteme critice si sisteme ordinare referitor
    la capacitatea de supravietiure

10
Analiza sistemelor
  • Aplica principiile teoriei sistemelor pentru
  • Identificarea sistemelor
  • Constructia si reconstructia sistemelor
  • Optimizarea si controlul sistemelor
  • In conditii
  • Obiective multiple
  • Constrangeri de mediu
  • Resurse limitate
  • Se cauta cursuri de actiune asociate cu riscuri,
    costuri si beneficii.

11
Mecanismul clasic al controlului
12
Controlul sistemului
  • Elementul controlor
  • Constituit reprezentarea elem controlat si
    agentul de actionare
  • Are ca parametrii de intrare obiectivul
    sistemului si perceptia asupra parametrilor elem.
    controlat
  • Elementul controlat
  • Are o comportare dictata de legi si reguli
  • Are parametrii de intrare perturbatiile mediului
    si actiunile agentului de control
  • Furnizeaza o imagine a functionarii elemetului
    de control.

13
Reflectarea mecanismului de control in SMS -
bazat de Manag. Risc. (RM)
14
Reflectarea mecanismului de control in SMS -
bazat de manag. riscurilor
  • Mecanismul de control implica mediul de lucru
    stabilirea contextului
  • Implica multiple bucle de control cu obiective de
    control (reactie) diferite si agenti de decizie
    (actiune) diferiti
  • Buclele de control includ emente fizice,
    reglemetari si oameni (observatori) cu puncte de
    vedere diferite.
  • Actualizarea buclelor se face functie de context
    (rata de incidente).
  • Prin acest mecanism se realizeaza implicit o
    abordare sistemica a managementului sistemului de
    securitate.

15
Definitia securitatii unui sistem
  • Deriva din principiul supravietuirii sistemelor
  • Are la baza postulatele
  • conservarii structurilor (functiilor) critice
  • recuperarea investitiilor
  • securitatea unui sistem este subsistemul care ii
    asigura atingerea obiectivelor pentru care a fost
    creat sistemul reactionand la conditiile
    variabile impuse de mediu
  • securitatea este functia unui sistem de a-si
    asigura supravietuirea în conditii de mediu
    concurential cu resurse limitate

16
Relatia sistemului de management al securitatii
cu sistemul organizatiei (ISO 13335)
17
Impactul subsistemului de securitate asupra
sistemului (costurile securitatii)
  • Restrange functionalitatea (eficienta)
    securitatea ridicata implica o functionalitate
    mai redusa
  • Creste controlul asupra elementelor sistemului
    implica monitorizare, inregistrare, baze de date
    restrange dreptul la intimitate
  • Implica investitii specifice in securitate si
    deturneaza resurse de la dezvoltare scade
    expansiunea sistemului
  • Restrangerea functionalitatii si reducerea
    dezvoltarii sunt certe castigul de securitate
    este probabil (vinde cioara de pe gard)

18
Impactul subsistemului de securitate asupra
sistemului (costurile securitatii)
  • Nu exista sistem fara mecanisme, mijloace si
    procese de securitate (subsistem de securitate).
  • Cu cat sistemele sunt mai complexe cu atat
    subsistemul de securitate este mai evoluat, mai
    sofisticat si coordonat la nivelul cel mai inalt.
  • Cele mai complexe sisteme naturale, sistemele vii
    si sistemele sociale si-au dezvoltat pe cale
    naturala sisteme de securitate specializate
    vezi sistemul imunitar biologic.
  • Afectarea sistemului de securitate duce la
    disparitia sistemului din mediu.

19
Abordarea analizei sitemului de securitate
  • Abordarea analitica descompune sistemul in
    elemente componenete si analizeaza interactiunea
    dintre ele si efectele fiecarui parametru asupra
    iesirii
  • Problema descompunerii - modelul
  • Problema rezolutiei
  • Abordarea sistemica se raporteaza la
    obiectivele sistemului si la mediul de evolutie.
    Priveste sistemul din punct de vedere al
    perceptiei unui observator, urmareste integrarea
    efectelor schimbatilor pluridisciplinare.

20
Abordarea sistemica a securitatii informatiei in
mediul ITC (virtual)
  • Stabileste obiectivele misiunile (sistemului
    si ale securitatii)
  • Definiste limitele sist. integrarea
    activitatilor
  • Mediul de lucru mediul material virtual
  • Modelul (modele multiple reprezentarile lor)
  • Legitatile de evolutie (ale mediului si ale
    organizatiei)
  • Punctul de vedere al proprietarului
  • Punctul de vedere al publicului
  • Proprietatile de emergenta
  • Observatorul

21
Caracterizarea mediului
  • mediul este format din echipamente, canale de
    comunicatie, baze de date, reglementari si
    standarde tehnice, oameni si mediul fizic
    (mediul intern, mediul extern).
  • mediul ITC este artificial (creat de om) si are
    ca element de baza informatia (nemateriala) si
    tehnologia (materiala)
  • evolutiile componentelor mediului se fac cu
    viteze diferite.
  • este un mediu virtual cu o anumita reflectare a
    realitatii dar care interactioneaza strâns cu
    mediul fizic prin intermediul informatiilor
    folosite de oameni sau masini si care are
    legitati specifice
  • este probabil cel mai socializat mediu - acopera
    întreg globul, toate mediile de comunicatii si
    toata scara sociala magistrala informationala
    globala
  • mediul poate fi modificat major si rapid prin
    interventia omului

22
Caracterizarea mediului
  • multiplicatul valorilor (informatiilor) în
    ciberspatiu se face foarte usor cu costuri nule
    si operatia nu lasa urme asupra originalului
  • valorile (informatiile) por fi manipulate de la
    distante uriase, pot fi deplasate cu viteza
    luminii (teleportate), distruse sau modificate
    fara ca aceste operatii sa lase urme în mediul
    local sistemul de securitate trebuie sa asigure
    trasabilitatea activitatilor
  • utilizatorii beneficiaza de protectia
    anonimatului (impusa prin lege sau dat.
    sistemului tehnic
  • justitia clasica are dificultati în exercitarea
    prerogativelor
  • mediul este in continua schimbare datorita
    progresului tehnologic exploziv

23
Caracterizarea mediuluiEvolutia tehnologica (1)
  • Civilizatia siliciului a ajuns la apogeu.
    Posibilitatile de realizare a structurilor
    planare prin litografie s-au epuizat (nu se mai
    pot realiza densitati semnificativ mai mari
    costurile sunt foarte mari si progresele mici).
  • Resursele acestor tehnologii se apreciaza ca vor
    fi epuizate in urmatorii 10-15 ani.
  • In urmatorii ani se vor realiza progrese prin
    trecerea la tehnologii spatiale (3D).

24
Caracterizarea mediuluievolutia tehnologica (2)
  • Sistemele TIC moleculare. Cercetarile din ultimii
    ani au aratat ca nano tuburile din fibre de
    carbon pot avea proprietati care pot fi folosite
    drept elemente de memorie si comutatie. Aceasta
    tehnologie permite realizarea unui tranzistor
    din câteva molecule sau chiar atomi. Daca în
    prezent se pot realiza cipuri de complexitate de
    peste un tera transistoare, tehnologiile
    moleculare permit cresterea densitatii cu 3 4
    ordine de marime. Cipurile vor fi auto
    configurabile, masiv paralele si vor integra
    probabil o serie de servicii de baza. La nivelul
    utilizatorilor va fi practic imposibil sa se
    cunoasca functionarea si sa se estimeze
    vulnerabilitatile. Cipul va fi o cutie neagra a
    caror functii vor putea fi cunoscute partial si
    chiar se vor schimba în timp în mod transparent
    pentru utilizator.

25
Caracterizarea mediului evolutia tehnologica (3)
  • Sisteme de calcul biologice. Progresele
    înregistrate de chimia organica din ultimul timp
    au condus la realizarea unor arhitecturi spatiale
    complexe care pot executa operatii logice si
    chiar pot primi instructiuni ce sa le execute.
    Exista în laborator structuri care înteleg
    limbajul C. Principalele caracteristici ale
    acestor sisteme sunt capacitatea de a se auto
    reproduce, capacitatea de a se auto repara,
    posibilitatea de a deveni autonome.

26
Caracterizarea mediului evolutia tehnologica (4)
  • Sisteme informatice cuantice. Tehnologia
    exploateaza capacitatea cuantica a unei particule
    elementare de a se afla în doua locuri simultan
    si a comunica într-un fel între ele. Se estimeaza
    ca performantele acestor dispozitive nu au în
    prezent echivalent în lumea reala. Principala
    caracteristica a acestei tehnologii este
    capacitatea de a efectua operatii paralele
    nelimitate. Practic puterea de calcul a acestor
    dispozitive va putea fi considerata infinita.
    Principala consecinta a introducerii acestor
    tehnologii va fi eliminarea echipamentelor de
    criptare bazate pe algoritmii matematici
    cunoscuti. Toate echipamentele de criptare
    actuale se bazeaza pe ideea ca tehnologia si
    algoritmul de calcul permit o complexitate de
    calcul exponentiala în raport cu cheia de
    criptare si tehnologia folosita pentru
    criptanaliza poate fi constriuta foarte mare dar
    nu infinita. Aparitia acestor dispozitive (chiar
    în numar extrem de limitat) va duce la scoaterea
    de pe piata a tuturor acestor echipamente. Pentru
    protectie ar ramâne în acest caz numai
    dispozitivele bazate pe criptografia cuantica.

Evolutia tehnologica a mediului
27
Caracterizarea mediului evolutia tehnologica a
mediului (5)
  • Interfete inteligente om masina. In ultimii ani
    tehnologia a realizat progrese mari in
    interpretarea sunetelor (recunoasterea vorbirii,
    detectia starii psihice) interpretarea imaginilor
    (recunoasterea figurilor, a gesturilor, urmarirea
    unei persoane într-o multime etc.) si chiar a
    realizarii unor dispozitive care sa comunice
    direct cu creierul. Aceste tehnologii vor
    amplifica puterea informationala a individului în
    retea foarte mult dar în acelasi timp va deschide
    calea unei invazii în intimitatea individului
    fara precedent. Mecanismele si sistemele de
    securitate vor trebui sa marcheze delimitarea
    dintre partea de intimitate care va fi dezvaluita
    retelei si cea care va fi pastrata si va trebui
    sa o garanteze.

28
Caracterizarea mediului Evolutiile
comunicatiilor (1)
  • Tendinta ca toate sistemele sa fie conectate
    permanent la retea (vor dispare sistemele
    izolate)
  • Sistemele vor lucra cooperativ, automat
    (transparent pt. utilizator) si reteaua de
    comunicatii va trebui sa ofere suportul necesar
  • Terminalele ca si echipamentele de retea se vor
    baza pe tehnologiile paralele si vor rula in
    paralel mai multe aplicatii (dificil de controlat
    de utilizator)
  • Echipamentele de retea si terminalele vor
    reactiona automat în functie de context

29
Caracterizarea mediului evolutiile
comunicatiilor (2)
  • Reteaua de comunicatii va fi puternic
    descentralizata si va oferi servicii specializate
    pentru aproape toate domeniile de activitate
    umana
  • Va permite o mobilitate fara precedent si reteaua
    va trebui sa permita identificarea si urmarirea
    tuturor echipamentelor si chiar a utilizatorilor
    pentru a oferi servicii diferentiate (utilitati,
    costuri, securitate etc.)
  • Din punct de vedere al securitatii se poate
    considera ca fiecare terminal va evolua practic
    intr-un mediu în mare parte necunoscut si trebuie
    sa fie pregatit sa reactioneze la cele mai
    neasteptate situatii.

30
Legile de miscare in mediu
  • Orice sistem este caraterizat de
  • starile elementelor sale (initiala, finala)
  • legitatile de evolutie
  • constrangerile pt. respectarea legitatilor
  • Legi naturale (fizice, chimice, economice,
    sociale, psihologice etc.)
  • Reglementari sociale (facute de om dictate de
    interese)
  • Scrise (sistemul juridic) legi, norme,
    reglementari locale, ROF-uri etc.
  • Nescrise (sistemul etic) reguli de buna
    practica, de buna purtare, sistemul de relatii
    umane
  • Standardele tehnice (granita dintre leg. naturale
    si reglemetarile sociale)
  • Reglemeteaza modul in care sunt utilizatelegile
    naturii in constructiile umane devin legi
    naturale ale mediului facut de om
  • Pentru o problema de constructie exista de regula
    mai multe standarde valabile
  • Rolul autoritatilor de reglementare (adoptarea
    standardelor aplicarea lor)

31
Punctul de vedere al proprietarului
  • Punctul de vedere al proprietarului trebuie
    inteles ca pe un drept la decizie (Consiliul de
    administratie, Consiliul Director, proprietarul)
  • Trebuie considerat pe diverse nivelui de decizie,
    de responsabilitate (superioara, departamente,
    ... loc de munca)
  • Proprietarul are dreptul si obligatia sa
    intervina in sistem si sa schimbe regulile sau
    chiar elemetele sistemului la provocarile
    mediului
  • Punctul de vedere se schimba cand se schimba
    managementul
  • Se materializeaza in principal in strategia si
    politicile de securitate

32
Punctul de vedere al publicului
  • Punctul sau punctele de vedere ale grupurilor de
    indivizi fata de sistem (imaginea sistemului)
  • Grupuri din interior (angajati)
  • Grupuri din exterior (furnizori, clienti,
    parteneri, autoritati, mass-media etc.)
    publicitate, cheltuieli de reprezentare
  • Sistemul interactioneaza strans cu mediul si
    numai o parte relativ redusa din decizii sunt
    la latitudinea managementului sistemului -
    majoritatea deciziilor se iau functie de
    raspunsul mediului.
  • Imaginea sistemului de securitate
    supraevaluarea si sub evaluarea sistemului de
    securitate

33
Proprietatile de emergenta
  • Proprietatea elementelor sistemului ca prin
    interactiune sa produca efecte care nu sunt
    specifice nici unui element constitutiv (nici
    unul din elementele unui ceas nu au legatura cu
    timpul)
  • Efectul de avalansa (bulgare de zapada)
    perturbatia mica a unui element se amplifica la
    nivelul sistemului
  • Definirea infrastructurilor critice (elemente
    fizice, facilitati, activitati, informatii,
    oameni etc.)

34
Observatorul(analistul, consultantul - expertul)
  • Este elementul din afara sistemului care vine cu
    un punct de vedere (si cunostiinte) diferite de
    cele din organizatie
  • Este consultat in momente importante din ciclul
    de viata al sistemului sau periodic
  • Are rolul de a aduce informatie proaspata in
    sistem si a schimba functionarea acestuia
  • Este de dorit sa fie cat mai obiectiv (neutru)
    fata de interesele mediului
  • Nu poate sa fie perfect obiectiv si intodeauna
    are si limite
  • Aduce un plus de credibilitate atat in interior
    cat si in exterior (problema celei de a treia
    parti partea de incredere)

35
Sistemul de securitate
  • Subsistemul de protectie fizica
  • prot. perimetrala, control acces, det. efractie
  • prot. incendiu, prot. inundatii, TVCI,
  • Subsistemul de protectie ITC
  • COMPUSEC, COMSEC, TEMPEST, CRIPTO
  • Control acces, IDS, prot. fizica, prot. personal
  • Subsistemul de protectie a personalului
  • Subsistemul de protecie administrativasi al
    documentelor

36
Practica subordonarii subsistemelor de securitate
  • Protectia fizica subordonata administratorului
    cladirii (compartimentul logistic)
  • Controlul acces subordonat com. resurse umane
    asociat cu pontajul
  • Securitatea comunicatiilor si a calculatoarelor
    subordonata compartimentului IT
  • Securitatea informatiilor subordonata
    secretariatului registratura
  • Securitatea informatiilor clasificate
    conducerii institutuiei prin lege.
  • Practic nu exista coordonare intre componentele
    securitatii sau este foarte slaba.

37
Abordarea holistica(puncte de vedere
complementare)
  • Abordat ca un sistem bine delimitat, cu marimi
    masurabile si comportari in mare parte
    previzibile abordarea din punct de vedere hard
  • Abordat ca un sistem cu delimitari vagi care
    interactioneaza puternic cu mediul, este descris
    de marimi nemasurabile si este supus aprecierilor
    subiective, cu comportari imprevizibile
    abordarea din punct de vedere soft,
  • Abordarea din punct de vedere al situatiilor de
    criza (avarie) studiat atunci când unul sau mai
    multe elemente critice sunt scoase din functiune
    datorita unor cauze naturale sau provocate
  • Abordat pe durata ciclului de viata cu
    caracteristici de securitate diferite in fazele
    dezvoltarii si utilizarii sistemului analiza
    sistem, proiectare, implementare, testare,
    mentenanta.

38
Abordarea sistemica a sistemelor reale
ABORDARE SOFT probleme slab definite probleme
necuantificabile interactiune umana
ABORDARE HARD probleme clar definite probleme
cuantificabile
ABORDARE CATASTROFICA functionare in afara
regimului de lucru
39
Abordarea sistemica din punct de vedere al
problemelor hard
  • Definitia hard a sistemelor
  • Formularea problemei in ipoteza hard
  • Sisteme naturale
  • Sisteme abstracte
  • Natura problemelor
  • Controlul sistemelor hard functiile obiectiv
  • Elemente metodologice

40
Metodologia rezolvarii problemelor hard
  • Identificarea problemelor
  • Constientizare si intelegere
  • Obiective si constrangeri
  • Strategii
  • Metode de evaluare a progreselor
  • Modelarea
  • Evaluarea modelului
  • Selectia variantei (optimizarea)
  • Implementarea.

41
Abordarea sistemica din punct de vedere hard a
subsistemului de securitate
  • Integrarea securitatii in sistemul organizational
    (ex.)
  • Definitia subsistemului de securitate
  • Obiective securitatea sistemului
  • Formularea problemei controlul riscurilor
  • Managementul securitatii
  • Starea initiala standarde si norme de
    securitate
  • Subsisteme de securitate - interferente
  • Controlul securitatii
  • Auditul
  • Evaluarea
  • Acreditarea

42
Controlul securitatii diagrama audit
43
Abordarea sistemica din punct de vedere al
problemelor soft
  • Definitia problemei soft a sistemelor
  • Analiza problemei
  • Rolul analistului
  • Metodologia soft
  • Caracteristici si actiuni
  • Definitii de baza si aspecte relevante
  • Modele conceptuale
  • Starea initiala starea finala
  • Agenda de lucru discutia agendei
  • Actiuni pentru schimbare.

44
Metodologia abordarii din punct de vedere soft
(1/3)
  • Culegerea informatiilor
  • Analiza
  • Definitii de baza si aspecte relevante
  • Modelarea conceptuala
  • Comparatii pentru constituirea agendei
  • Discutia agendei cu factorii semnificativi
  • Actiuni pentru schimbare.

45
Abordarea din punct de vedere soft a
subsistemului de securitate (2/3)
  • Culegerea de informatii
  • Baza de date cu incidente de securitate
  • Auditul de securitate
  • Analiza de securitate
  • Analiza de riscuri
  • Evaluarea de securitate
  • Definitii de baza si aspecte relevante
  • Tratarea neconformitatilor
  • Prioritizarea riscurilor
  • Analiza cost beneficii

46
Abordarea din punct de vedere soft a
subsistemului de securitate (3/3)
  • Modelul conceptual
  • Structura de securitate
  • Atributii de securitate
  • Echipe de lucru (audit, analize, evaluari etc.)
  • Cultura de securitate - rolul educatiei
  • Tratarea riscurilor
  • Comparatii pentru stabilira agendei
  • Stabilirea strategiei traseul de abordare
  • Politica de securitate

47
Abordarea din punct de vedere soft a
subsistemului de securitate
  • Discutia agendei cu actorii
  • Conducerea asumarea riscurilor
  • Autoritatile standarde, acreditari de
    securitate, puncte de contact interventii
  • Departamentele implicate utilizatori
  • Furnizori si beneficiari.
  • Actiuni pentru schimbare
  • Planificare
  • Proceduri operationale
  • Controale, testare, audit intern si extern
  • Masuri operationale.

48
Abordarea din punct de vedere al comportarii
sistemului in regim de criza
  • Caracterizarea abordarii catastrofice
  • Implicatiile caderii sistemului (subsistemelor)
  • Compararea modelelor
  • Sistemul formal de paradigme
  • Controlul paradigmelor
  • Comunicarea
  • Fiabilitatea paradigmelor
  • Factorii umani
  • Analiza caderii sistemelor.

49
Metodologia abordarii din punct de vedere al
comportarii in regim de criza
  • Descrierea situatiilor de cadere a sistemului
  • Compararea cu paradigmele
  • Interpretarea comparatiilor extragerea
    concluziilor
  • Invatarea aplicarea concluziilor

50
Abordarea securitatii din punct de vedere al
comportarii in regim catstrofic
  • Infrastructuri critice
  • Misiuni critice
  • Planurile de recuperare in caz de dezastre
  • Cutremure plan de evacuare, site-uri in oglinda
    etc.
  • Incendii sistemul de stingere a incendiilor
  • Inundatii
  • Terorism - atac cu bombe
  • Planurile de continuitate al afacerii
  • Planul de raspuns la incidente scenarii de
    raspuns

51
Abordarea securitatii din punct de vedere al
ciclului de viata al sistemului
  • Fazele vietii unui sistem
  • Analiza de sistem
  • Proiectarea
  • Constructia
  • Mentenanta
  • Casarea.
  • Politica de securitate in faza de dezvoltare a
    unui proiect
  • Securitatea sistemului pe durata utilizarii
  • Securitatea informatiilor in faza de casare a
    sistemului.

52
(No Transcript)
53
Concluzii (1)
  • Securitatea este o functie esentiala a oricarui
    sistem functia de supravietuire in mediu
  • Securitatea este intrinseca sistemului dar
    foloseste caracteristicile mediului reprezinta
    capacitatea de adaptare
  • Mediul concurential cu resurse limitate
    stimuleaza nevoia de securitate
  • Securitatea foloseste facilitatile sistemului
    dar se dezvolta si un subsistem specializat care
    coordoneaza actiunile de supravietuire

54
Concluzii (2)
  • Coordonerea subsistemului de securitate se face
    la cel mai inalt nivel
  • Se justifica studiul specializat al sistemului de
    securitate
  • Securitatea informatiilor joaca un rol
    determinant in securitatea sistemelor complexe,
    evoluate are ca obiect informatia elemntul de
    baza al decizie.
  • Securitatea informatiilor include toate formele
    si subsistemele de securitate.

55
Principiile generale ale organizarii securitatii
Recomandari OECD
  • Obiectivele principiilor de organizare a
    protectiei informatiilor
  • Promovarea unei culturi de securitate pentru toti
    participantii
  • Constientizarea riscurilor, diseminarea
    politicilor, practicilor si a masurilor de
    securittate necesitatea implementarii lor
  • Crearea unui nivel ridicat de incredere in
    sistemele informatice si de comunicatii
  • Crearea suportului tehnic pentru securitate si
    implemetarea masurilor si procedurilor de
    securitate
  • Promovarea cooperarii intre participanti

56
Principiile generale ale organizarii securitatii
Recomandari OECD
  • Princiipile organizarii securitatii
  • Participantii trebuie sa fie convinsi de
    necesitatea sistemelor de securitate si sa poata
    decide nivelul acesteia
  • Toti participantii sunt responsabili de
    securitatea informatiilor si a sistemelor
  • Participantii trebuie sa fie capabili sa raspunda
    prompt, cooperant pentru a preveni, detecta si
    raspunde la incidentele de securitate.

57
Principiile generale ale organizarii securitatii
Recomandari OECD
  • Toti participantii trebuie sa respecte interesele
    legitime ale celorlalti
  • Masurile de securitate ale informatiilor si
    retelelor trebuie sa fie in concordanta cu
    principiile valorilor democratice
  • Participantii trebuie sa isi faca propria analiza
    de riscuri
  • Participantii trebuie sa includa masurile de
    securitate ca elemente esentiale ale sistemelor
    informatice di de comunicatii

58
Principiile generale ale organizarii securitatii
Recomandari OECD
  • Participantii trebuie sa fie liberi sa adopte
    masurile de securitate adecvate pe care le
    doresc
  • Participantii trebuie sa isi revada si sa
    adapteze periodic sistemul de securitate al
    informatiilor si relelelor si sa refaca
    politicile, practicile, masurile si procedurile,

59
Principiile G8 pentru construirea securitatii
  • Tarile trebuie sa aiba retele de atentionare de
    urgenta cu privire la vulnerabilitati, amenintari
    si incidente.
  • Tarile trebuie sa constientizeze existenta si
    natura infrastructurilor informatice critice,
    rolul pe care trebuie sa-l joace in protejarea
    lor.
  • Tarile trebuie sa examineze infrastructura
    existenta, iterdependentele dintre componente si
    sa organizeze protectia adecvata a acestora.

60
Principiile G8 pentru construirea securitatii
  • Tarile trebuie sa promoveze parteneriate atat
    public cat si private intre participanti pentru a
    distribui responsabilitatea si analiza
    infrastructurile critice pentru a preveni,
    investiga si raspunde la distrugerea, sau atacul
    asupra acestora.
  • Tarile vor crea si mentine o retea de comunicatii
    de criza si o vor testa periodic pentru a se
    asigura ca este functionala si sigura in situatii
    de urgenta.
  • Tarile se vor asigura ca exista politici de
    disponibilitate a datelor care tin cont de
    necesitatile de protectie a infrastructurilor
    critice

61
Principiile G8 pentru construirea securitatii
  • Tarile vor facilita urmarirea atacurilor
    infrastructurilor critice si vor coopera cu
    celelalte tari prin diseminarea acestor
    informatii.
  • Tarile vor organiza exercitii de antrenare pentru
    cresterea capacitatii de raspuns si a testa
    continuitatea si capacitatea de recuperare in caz
    de atac asupra infrastructurilor critice si va
    incuraja pe totimparticipantii da organizeze
    activitati similare.
  • Tarile se vor asigura ca au legislatie si
    proceduri adecvate pentru a pune in practica
    Conventia Consiliului Europei din23 Noiembrie
    2001 privitoare al Cibercriminalitate si va
    pregati personal specializat in investigarea
    atacurilor asupra infrastructurii critice,
    capabil sa coopereze adecvat cu celelalte tari.

62
Principiile G8 pentru construirea securitatii
  • Tarile se angajeaza la cooperare internationala,
    adecvata, pentru a securiza infrastructurile
    critice prin dezvoltarea si coordonarea
    sistemelor de avertizare de urgenta, impartind si
    analizand informatiile referitoare la
    vulnerabilitati, amenintari precum si in
    coordonarea investigatiilor referitoare la
    atacurile infrastructurii in conformitate cu
    legilatia locala.
  • Tarile vor promova cercetarile nationale si
    internationale care aplica tehnologiile de
    securitate a informatiilor si retelelor
    certificate in conformitate cu standardele
    internationale.
Write a Comment
User Comments (0)
About PowerShow.com