2. “Nici un lanț nu este mai puternic
decât veriga cea mai slabă”
CONTROL = măsură de prevenire a riscului
RISC = eveniment probabil, viitor, ce poate avea impact
negativ asupra unei entități
RISC (DEX) = Posibilitate de a ajunge într-o primejdie, de
a avea de înfruntat un necaz sau de suportat o pagubă;
pericol posibil
RISC = IMPACT x PROBABILITATE
3. Controlul securității sistemului ca
parte a Controlului General
Controlul
Controlul
continuității
organizațional
activității
Controlul
General
Controlul Controlul
dezvoltării și securității
întreținerii sistemului
4. Controlul securității sistemului
RESURSE INFORMAȚIONALE
AUDITOR
CONFIDENTIALITATE
verifică
CONTROL INTEGRITATE
asigură
DISPONIBILITATE
5. Controlul securității sistemului
IDENTIFICARE /
ASIGURARE
AUTENTIFICARE
CONTROLUL
RESPONSABILITATE
ACCESULUI
SECURITATE
SECURIZAREA
TRANSFERULUI CONTINUITATEA
ELECTRONIC SERVICIILOR
ACURATEȚE
6. I.Politica de securitate
informațională
• Set de reguli şi practici care reglează modul în care o organizaţie
foloseşte, administrează, protejează şi distribuie propriile informaţii
sensibile
DOCUMENT
- responsabilităţile personalului în ceea ce priveşte securitatea informaţională
- atribuţiile responsabilului cu securitatea informaţiilor în cadrul organizaţiei
- clasificarea datelor şi nivelurilor de securitate asociate acestei clasificări
- rolul auditorului intern în monitorizarea securităţii sistemului
8. III. Strategia de control a securității
sistemului
1.Analiza activelor 5.Calculul riscului
2.Analiza politicilor, practicilor 6.Analiza măsurilor de
de securitate existente prevenire a atacurilor
3.Analiza posibilelor 7.Determinarea riscului
ameninţări ale sistemului rezidual
8.Întocmirea unui raport de
4.Analiza impactului financiar
analiză a riscurilor identificate
9. III. Strategia de control a securității
sistemului
1.Analiza activelor
• Identificarea şi evaluarea resurselor sistemului informatic ce se
doresc a fi protejate:
- sistem de operare
- aplicaţii
- infrastructura reţelei
- informaţiile prelucrate de sistem.
• Auditorul va verifica existenţa unei clasificări a informaţiilor, în
funcţie de importanţa lor, în cadrul politicii de securitate existente
pentru că măsurile de protecţie ce se impun a fi luate vor fi corelate
cu valoarea acestor active.
10. III. Strategia de control a securității
sistemului
2.Analiza politicilor, practicilor de securitate existente
Politica de securitate se refera la tot personalul angajat
•standarde interne si principii privind securitatea S.I.
-la nivel global
-pe grupe (functii, sectii) de lucru
•codul etic al angajatilor si pregatirea acestora
11. III. Strategia de control a securității
sistemului
Interfata de configurare a politicilor de securitate sub sistemul
de operare Windows Server 2003
12. III. Strategia de control a securității
sistemului
3.Analiza posibilelor ameninţări ale sistemului
Amenințările vizează
-Identificarea/autentifcarea utilizatorilor
-Disponibilitatea informatiilor
-Secretele organizatiei
-Integritatea/acuratetea informatiilor
-Controlul accesului
-Repudierea
-Legalitatea
-Elemente cu caracter general
13. III. Strategia de control a securității
sistemului
4.Analiza impactului financiar
Impactul financiar
•estimarea valorică a pierderilor entităţii ca urmare a exploatării
vulnerabilităţilor sistemului de către ameninţări
•pe termen lung sau pe termen scurt
0 – impact neglijabil
1 – efectul e minor, procesele organizaţiei nu vor fi afectate.
2 – procesele organizaţiei sunt afectate o perioadă de timp, se înregistrează pierderi financiare şi
chiar confidenţialitatea clienţilor este afectată minim.
3 – se înregistrează pierderi semnificative asupra proceselor organizaţiei, confidenţialitatea
clienţilor este pierdută, valoarea de piaţă a acţiunilor scade.
4 – efectele sunt dezastruoase, dar organizaţia poate supravieţui cu costuri semnificative.
5 – efectele sunt catastrofice, societatea nu poate supravieţui.
14. III. Strategia de control a securității
sistemului
5.Calculul riscului
Risc = Impact x Probabilitate
Probabilitate
1 – ameninţarea este foarte improbabil să apară
2 – ameninţarea e posibil să apară mai puţin de o dată pe an
3 – ameninţarea e posibil să apară o dată pe an
4 – ameninţarea e posibil să apară o dată pe lună
5 – ameninţarea e posibil să apară o dată pe săptămână
6 – ameninţarea e posibil să apară o dată pe zi
Riscul poate avea o valoare minimă 0 şi una maximă 25. Auditorul în
această etapă va seta o valoare a riscului acceptabil.
15. III. Strategia de control a securității
sistemului
6.Analiza măsurilor de prevenire a atacurilor
• Control restrictiv ce are ca efect reducerea probabilităţii unui atac
deliberat;
• Control preventiv ce protejează vulnerabilităţile cunoscute sau
presupuse şi reduc impactul unui atac reuşit;
• Control corectiv ce reduce efectul unui atac prin supravegherea
corectitudinii şi integrităţii datelor;
• Control detectiv ce descoperă atacuri iniţiate sau în desfăşurare şi
alarmează sistemul corespunzător.
16. III. Strategia de control a securității
sistemului
Verificarea evenimentelor ce au impact asupra sistemului (log-urilor) sub Windows Server 2003
17. III. Strategia de control a securității
sistemului
6.Analiza măsurilor de prevenire a atacurilor
HACKER Control
Control corectiv
restrictiv minimizează
creează
probabilitate descrește
apariție
ATAC exploatează
descoperă VULNERA
Control
BILITATI
detectiv
protejează
declanșează rezultă în
Control
IMPACT
preventiv
18. III. Strategia de control a securității
sistemului
7.Determinarea riscului rezidual
Riscul rezidual
-rămâne după analiza şi evaluarea tuturor măsurilor de combatere a
riscurilor
-semnalarea punctelor slabe, nevralgice ale sistemului asociate cu
ameninţările corespunzătoare şi probabilitatea lor de a avea loc
-toate măsurile (recomandările) ce se impun a fi aplicate dacă riscul
rezidual nu se încadrează la un nivel acceptabil
19. III. Strategia de control a securității
sistemului
8.Întocmirea unui raport de analiză a riscurilor identificate şi a
securităţii în ansamblul său
Urmarea acestei analize o poate reprezenta detalierea testelor pentru
elementele semnificative ale sistemului, aşa zisele puncte slabe,
vulnerabile. În acest sens, auditorul poate urmări:
-securitatea comunicaţiilor
-controlul accesului logic şi fizic
-securitatea fizică
-evaluarea sistemului copiilor de siguranţă(back-up)
-evaluarea sistemelor de protecţie antivirus
20. III. Strategia de control a securității
sistemului
8.Întocmirea unui raport de analiză a riscurilor identificate şi a
securităţii în ansamblul său
Urmarea acestei analize o poate reprezenta detalierea testelor pentru
elementele semnificative ale sistemului, aşa zisele puncte slabe,
vulnerabile. În acest sens, auditorul poate urmări:
-securitatea comunicaţiilor
-controlul accesului logic şi fizic
-securitatea fizică
-evaluarea sistemului copiilor de siguranţă(back-up)
-evaluarea sistemelor de protecţie antivirus
21. IV. Securitatea comunicațiilor
O aplicaţie ce utilizează sistemele bazate pe securitate trebuie să asigure:
•Confidenţialitatea: menţinerea caracterului privat al informaţiei
•Integritatea: dovada că respectiva informaţie nu a fost modificată
•Autenticitatea: dovada identităţii celui ce transmite mesajul
•Non-repudierea: siguranţa că cel ce generează mesajul nu poate să-l
denigreze mai târziu.
Criptografia este considerată a fi „arta” sau ştiinţa de menţinere a
mesajelor secrete, asigurând confidenţialitatea, prin criptarea unui mesaj,
folosind în acest sens chei asociate cu un algoritm
SISTEME DE CRIPTARE
-Simetrice
-Asimetrice
PKI – Public Key Infrastructure
22. V. Controlul accesului
• Control al accesului în sistem – control fizic
• Control al accesului la resursele sistemului – control logic
Controlul accesului prin parole
Auditorul va verifica dacă sunt stabilite proceduri pentru schimbarea lor
periodică, păstrarea confidenţialităţii parolei, "transparenţa" parolelor,
accesul la fişierele cu parole este protejat.
Controlul accesului in mediile publice
-FIREWALL
-VPN
-Tehnici de cripatare + PKI
-ANTIVIRUSI
23. VI. Securitatea fizică
Controlul securităţii fizice include măsuri ce vor face ca procesarea datelor
să nu fie afectată de dezastre naturale (foc, inundaţii), accidente tehnice
(căderi de tensiune), condiţii de mediu (umiditate, lipsa ventilaţiei).
Auditorul verifică măsura în care accesul fizic la date şi resursele
hardware sunt restricţionate corespunzător:
•spaţii speciale pentru amenajarea calculatoarelor cu protecţie la incendii,
inundaţii, etc.
•analiza mediilor de stocare a datelor. Existenta unor programe gen Easy
Recovery sau Lost & Found care permit recuperarea datelor şterse de pe
mediile de stocare pot genera prejudicii importante.
•echipamentelor trebuie să li se asigure condiţiile de mediu specificate în
documentaţia tehnică;
•sisteme de supraveghere şi alarmă;
•controlul personalului de securitate.
24. VII. Evaluarea sistemului copiilor de
siguranță
• Ce informații necesită copii de siguranță?
• Sunt procedurile de backup (pentru date si soft) cele potrivite?
• Sunt backup-urile corect jurnalizate si stocate in locatii sigure?
• Exista siguranta ca backup-urile si procedurile de restaurare vor lucra la
nevoie?
• Datele din fisierele copii sunt acoperitoare pentru refacerea fisierelor
operationale?
Back-up incremental “fiu-tată-bunic”
25. VII. Evaluarea sistemelor de
protecție antivirus
• verificarea existenţei programelor antivirus la nivel de server şi staţie de
lucru;
• o analiză a update-ul software-ului antivirus cu cele mai recente detalii
despre noii viruşi (automat, manual);
• drepturile de a suspenda monitorizarea antivirus aparţine numai
administratorului sau/şi operatorilor, utilizatorilor;
• analiza configurării software-ul antivirus astfel încât acesta să aibă
posibilitatea de a verifica e-mail-ul, cd-urile, dispozitivele USB, browser-
ul de web, arhivele, alte unităţi de stocare;
• utilizarea unei arhitecturi distribuite client/server pentru
instalarea/configurarea/adminstrarea solutiei antivirus.