Sisteme informaționale

1. Introducere

Informaţia este o valoare cu o importanţă deosebită pentru o persoană fizică sau pentru o organizaţie şi, în consecinţă, necesită o protecţie adecvată. Securitatea informaţiei protejează informaţia de o gamă largă de ameninţări. În acest context, securitatea informaţiei este caracterizată ca fiind cea care asigură şi menţine următoarele:

• confidenţialitatea: asigurarea faptului că informaţia este accesibilă doar persoanelor autorizate;

• integritatea păstrarea acurateţei şi completitudinii informaţiei precum şi a metodelor de procesare;

• disponibilitatea: asigurarea faptului că utilizatorii autorizaţi au acces la informaţie şi la resursele asociate atunci când este necesar.

Securitatea informaţiei este obţinută prin implementarea unui set adecvat de politici, practici, proceduri, structuri organizaţionale şi funcţii software. Aceste elemente trebuie implementate în măsura în care se asigură atingerea obiectivelor specifice de securitate.

Este important ca fiecare organizaţie să poată sa-şi identifice propriile cerinţe de securitate. Pentru aceasta ea trebuie să facă apel la trei surse principale:

• evaluarea riscurilor: se identifică ameninţările asupra resurselor, se evaluează vulnerabilitatea la aceste ameninţări şi probabilitatea de producere a lor şi se estimează impactul potenţial;

• legislaţia existentă pe care o organizaţie trebuie să o respecte;

• analiza securităţii: setul specific de principii, obiective şi cerinţe pentru procesarea informaţiei, pe care organizaţia le dezvoltă pentru a-şi susţine activităţile.

Pentru a analiza riscurile, o organizaţie îşi poate identifica propriile cerinţe legate de securitate. Un astfel de proces presupune în general patru etape principale:

• identificare resurselor care trebuie protejate;

• identificarea riscurilor/ameninţărilor specifice fiecărei resurse;

• ierarhizarea riscurilor;

• identificarea controalelor prin care vor fi eliminate/diminuate riscurile.

Pentru a-şi defini politica de securitate compania trebuie să se decidă:

• care ameninţări trebuie eliminate şi care se pot tolera;

• care resurse trebuie protejate şi la ce nivel;

• cu ce mijloace poate fi implementată securitatea;

• care este preţul (financiar, uman, social etc.) măsurilor de securitate care poate fi acceptat.

Un aspect important în stabilirea mecanismelor de securitate o constituie partea financiară. Un mecanism de control nu trebuie să depăşească valoarea bunului ce trebuie protejat.

Odată stabilite obiectivele politicii de securitate, următoare etapă constă în selecţia serviciilor de securitate – funcţiile individuale care sporesc securitatea. Fiecare serviciu poate fi implementat prin metode (mecanisme de securitate) variate pentru implementarea cărora este nevoie de aşa-numitele funcţii de gestiune a securităţii. Gestiunea securităţii constă în controlul şi distribuţia informaţiilor către toate sistemele în scopul utilizării serviciilor şi mecanismelor de securitate şi al raportării evenimentelor de securitate ce pot apărea către administratorii de reţea.

Următorul pas este realizarea modelului de securitate. Modelul de securitate pentru un sistem informatic poate fi văzut ca având mai multe straturi ce reprezintă nivelurile de securitate ce înconjoară subiectul ce trebuie protejat. Fiecare nivel izolează subiectul şi îl face mai dificil de accesat în alt mod decât cel în care a fost prevăzut.

Securitatea fizică reprezintă nivelul exterior al modelului de securitate şi constă, în general, în închiderea echipamentelor informatice într-o altă incintă precum şi asigurarea pazei şi a controlului accesului. O problemă o constituie salvările sub formă de copii de rezervă ale datelor şi programelor, precum şi siguranţa păstrării suporţilor de salvare (backup). Reţelele locale sunt, în acest caz, de mare ajutor, copiile de rezervă putându-se face prin reţea pe o singură maşină ce poate fi mai usor securizată.

Securitatea fizică trebuie abordată foarte serios deoarece toate măsurile de securitate logice, cum ar fi stabilirea de parole pe sistemul respectiv, devin nesemnificative în cazul accesului neautorizat la echipamente. O altă problemă importantă în securitatea fizică a unui sistem informatic o constituie pur şi simplu sustragerile de echipamente sau a suportilor de backup.

Securitatea logică constă din acele metode logice (software) care asigură controlul accesului la resursele şi serviciile sistemului. Ea are, la rândul ei, mai multe niveluri împărţite în două grupe mari: niveluri de securitate a accesului şi niveluri de securitate a serviciilor.