Controlul securității sistemelor informatice

Procesele de asigurare a securitatii sistemelor informatice indeplinesc functia de a proteja sistemele impotriva folosirii, publicarii sau modificarii neautorizate, distrugerii sau pierderii informatiilor stocate.

Securitatea sistemelor informatice este asigurata prin controale logice de acces, care asigura accesul la sisteme, programe si date numai utilizatorilor autorizati.

Elemente de control logic care asigura securitatea sistemelor informatice:

-cerintele de confidentialitatea datelor;

- controlul autorizarii, autentificarii si accesului;

-identificarea utilizatorului si profilele de autorizare;

-stabilirea informatiilor necesare pentru fiecare profil de utilizator;

-controlul cheilor de criptare;

-gestionarea incidentelor, raportarea si masurile ulterioare;

- protectia impotriva atacurilor virusilor si prevenirea acestora;

-firewalls;

-administrarea centralizata a securitatii sistemelor;

-training-ul utilizatorilor;

-metode de monitorizare a respectarii procedurilor I T, teste de intruziune si rapotare.

Obiective de control detaliate

Asigurarea securitatii sistemelor informatice

1. Controlul masurilor de securitate

Securitatea sistemelor informatice trebuie organizata astfel incat sa fie in concordanta cu obiectivele de afaceri ale organizatiei:

-includerea informatiilor legate de evaluarea riscurilor la nivel organizational in proiectarea securitatii informatice;

-implementarea si actualizarea planului de securitate IT pentru a reflecta modificarile intervenite in structura organizatiei;

-evaluarea impactului modificarilor planurilor de securitate IT, si monitorizarea implementarii procedurilor de securitate;

-alinierea procedurilor de securitate IT la procedurile generale ale organizatiei.

2. Identificarea, autentificarea si accesul

Accesul logic la resursele informatice trebuie restrictionat prin implementarea unor mecanisme adecvate de identificare, autentificare si acces, prin crearea unei legaturi intre utilizatori si resurse, bazata pe drepturi de acces.

3. Securitatea accesului on- line la date

Intr-un mediu IT on-line trebuie implementate proceduri in concordanta cu politica de securitate, care presupune controlul securitatii accesului bazat pe necesitatile individuale de accesare, adaugare, modificare sau stergere a informatiilor.

4. Managementul conturilor utilizator

Conducerea organizatiei trebuie sa stabileasca proceduri care sa permita actiuni rapide privind crearea, atribuirea, suspendarea si anularea conturilor utilizator. O procedura formala in raport cu gestionarea conturilor utilizator trebuie inclusa in planul de securitate.

5. Verificarea conturilor utilizator de catre conducere

Conducerea trebuie sa dispuna de o procedura de control care sa verifice si sa confirme periodic drepturile de acces.

6. Verificarea conturilor utilizator de catre utilizatori

Utilizatorii trebuie sa efectueze periodic controale asupra propriilor lor conturi, in vederea detectarii activitatilor neobisnuite.

7. Supravegherea securitatii sistemului

Administratorii sistemului informatic trebuie sa se asigure ca toate activitatile legate de securitatea sistemului sunt inregistrate intr-un jurnal, si orice indiciu referitor la o potentiala violare a securitatii trebuie raportata imediat persoanelor responsabile.