Protecția Datelor Personale în Sistemul Informatic

Protecţia datelor dintr-un sistem informatic are ca scop împiedicarea folosirii lor în mod neautorizat, intenţionat sau nu, de către diverşi agenţi ( utilizatori sau programe), fie că aparţin sau nu organizaţiei care deţine sistemul informatic.

Securitatea sistemelor informaţionale este definită de Comitetul Naţional de Securitate al Sistemelor Informaţionale si de Telecomunicaţii,astfel:

”Protecţia sistemelor informatice împotriva accesului neautorizat la informaţie sau a modificării neautorizate a informaţiei, în cadrul stocării, procesării sau tranzitului, şi împotriva refuzului deservirii utilizatorilor autorizaţi, sau asigurarea deservirii utilizatorilor autorizaţi, incluzând acele masuri necesare pentru a detecta, documenta sau contracara aceste ameninţări.”

Securitatea informaţiei nu poate fi absolută, nu se pot elimina toate riscurile folosirii neautorizate.Nivelul de securitate al informaţiei va trebui să fie stabilit în funcţie de valoarea informaţiei şi de pierderile de orice natură care ar rezulta din folosirea necuvenită a informaţiei,dezvăluirea sau degradarea ei.Este vorba de un proces de management al riscului.

Se consideră că principalele componente ale securităţii informaţiei sunt:

-confidenţialitatea

-integritatea

-disponibilitatea..

Confidenţialitatea

Confidenţialitatea poate fi definită ca fiind prevenirea accesului entităţilor neautorizate (persoane, grupuri de persoane, procese, dispozitive) la un set specific de date sau informaţii şi asigură că setul specific de date sau informaţii sunt accesibile numai celor autorizaţi să aibă acces la ele.

Confidenţialitatea poate fi obţinută prin mai multe procedee :

-împiedicarea accesului

Reprezintă o modalitate directă de asigurare a confidenţialităţii, prin împiedicarea accesului la datele sau informaţiile protejate. În această situaţie, confidenţialitatea datelor este dependentă de securitatea sistemului per ansamblu, fie că e vorba de un calculator, un server sau o legătura de comunicaţie.

-ascunderea informaţiei sau a datelor

Aceasta este o formă de securitate prin obscuritate, şi ca majoritatea schemelor de securitate prin obscuritate, nu oferă garanţii prea mari de confidenţialitate. Ea funcţioneaza în cazul în care eventualul atacator nu are prea multe cunoştiinţe în domeniul informatic, sau nu are uneltele necesare pentru efectuarea unui atac. În cazul unui hacker experimentat, spre exemplu, un astfel de sistem va fi o victimă sigură. Ascunderea nu oferă un nivel de securitate acceptabilă pentru aplicaţiile care manipulează date personale.

-criptarea

Criptarea (cifrarea) este un mecanism puternic de asigurare a confidenţialităţii. Ea asigură confidenţialitatea datelor atunci când mecanismele de împiedicare a accesului la date au eşuat. Este un lucru înţelept să folosim şi criptarea, deoarece sistemele informatice sunt foarte complexe.

Dacă mecanismul de criptare a datelor este puternic şi aplicat în mod corect, atacatorul va avea în faţă nişte date pe care nu va putea să le folosească.

Integritatea

În contextul sistemelor informatice, integritatea se defineste ca fiind protecţia împotriva modificării sau distrugerii neautorizate a informaţiilor.

Modificarea neautorizată se poate realiza fie prin accesul la baza de date, fie prin modificarea mesajelor în tranzit.

Integritatea se poate asigura prin:

-împiedicarea accesului persoanelor neautorizate la sistemul informatic

-autentificarea utilizatorilor şi autorizarea lor în funcţie de informaţiile

de autentificare

-criptarea datelor, astfel încât informaţia sa nu poată fi modificată în

sensul dorit de intrus, iar dacă este modificată, modificarea ei să fie evidentă destinatarului informatiei

-folosirea de sume criptografice de control şi de semnături electronice

pentru a detecta modificarea neautorizată a datelor.

Disponibilitatea

Disponibilitatea se defineste ca fiind asigurarea accesului la date în timp util şi cu un grad mare de siguranţă pentru utilizatorii autorizaţi.

Ea se poate asigura prin urmatoarele mecanisme:

-autentificarea şi autorizarea utilizatorilor pentru accesul la resursele sistemului

-împiedicarea accesului în sistem pentru utilizatorii neautorizaţi

-împiedicarea atacurilor de tip Denial of Service (DoS).

Tipuri de ameninţări

Sistemele informatice sunt supuse la mai multe categorii de ameninţări.

Prinipalul factor de risc îl reprezintă intruşii externi. Aceştia ar putea fi,simpli vizitatori care accesează din curiozitate date de la un calculator. Pericolul cel mai mare îl repreyintă intrusii specializaţi în hacking sau cracking, care accesează sistemul informatic de la faţa locului ,fie de la distanţă, conectându-se prin Internet, printr-o legătură telefonică sau printr-o legătură wireless.

În cazul unui sistem informatic extins, atacatorii pot intercepta datele care circulă între reţelele locale interconectate,în special atunci când această interconectare se face prin Internet.

Personalul de service reprezintă o altă categorie foarte periculoasă,deoarece au acces în mod legitim la tehnici şi surse care nu sunt accesibile majorităţii utilizatorilor.

Furnizorii sunt cei care vând şi dezvoltă sistemele; ei pot avea acces la resursele acestora într-un mod transparent pentru utilizatori (de exemplu, Microsoft colectează date despre programele instalate pe un calculator care rulează Windows, fără ca utilizatorul să ştie despre acest lucru ).