Home - Rasfoiesc.com
Educatie Sanatate Inginerie Business Familie Hobby Legal
Doar rabdarea si perseverenta in invatare aduce rezultate bune.stiinta, numere naturale, teoreme, multimi, calcule, ecuatii, sisteme




Biologie Chimie Didactica Fizica Geografie Informatica
Istorie Literatura Matematica Psihologie

Informatica


Index » educatie » Informatica
» Abordari in imbunatatirea securitatii IT


Abordari in imbunatatirea securitatii IT


Abordari in imbunatatirea securitatii IT

1 Abordarea Bottom Up

Aceasta abordare pleaca de la ce se doreste a fi protejat, de la ce nivel trebuie asigurata securitatea si fata de cine trebuie asigurata aceasta protectie. De aceea va trebui sa se procedeze la:

Întelegerea politicilor curente, tipologiei retelei, procedurilor de
operare si a practicii in uz.



Definirea unor posibile cai de atac care sa evidentieze care ar fi
tintele unor atacuri. Aceste scenarii evidentiaza care sunt retelele/sistemele vizibile din retelele externe, care sunt sistemele cele mai importante care vor trebui securizate si cum poate avea loc accesul fizic la ele, daca parolele pot fi divulgate de anumiti angajati etc.

Sintetizarea punctelor slabe identificate in urma parcurgerii celor doua cerinte prezentate mai sus si intocmirea listei cu vulnerabilitatile identificate si posibilele amenintari care trebuie contracarate.

Definirea unei politici informationale, in masura in care acest
lucru nu a fost deja facut.


ITSEC (IT Security)

TCSEC (Trusted Computer System Evaluation Criteria)

Un obiectiv al politicii este realizarea unei clasificari a informatiei si stabilirea informatiilor care prezinta o importanta deosebita pentru organizatie. Instruirea personalului cu privire la continutul politicii informationale.

Crearea de ghiduri tehnice in vederea asigurarii securitatii instalarii, intretinerii si exploatarii serverelor si retelelor precum si auditarea periodica a celor mai importante sisteme ale organizatiei.

2. Abordarea Top Down in procesul imbunatatirii securitatii

Aceasta este o abordare metodica si mult mai precisa dar necesita un timp mai indelungat si costuri initiale mai ridicate. In cazurile in care este necesara o imbunatatire rapida a securitatii se recomanda utilizarea ambelor metode, prezentate anterior, in paralel. Abordarea bottom up va fi aplicabila sistemelor organizatiei care sunt bine cunoscute de echipa antrenata in acest proces, iar abordarea top down va fi aplicabila in procesul, de mai lunga durata, elaborarii unei politici si strategii care sa fie intelese si sustinute de catre componenta manageriala. Abordarea top down presupune:

Analiza bunurilor Acest lucru presupune sa raspundem mai intai la urmatoarea intrebare: Ce trebuie protejat? Raspunsul la aceasta intrebare se va concretiza intr-o lista a informatiilor si proceselor.

Urmatoarele intrebari vor fi: Sunt aceste date stocate in sistem?

Care sunt implicatiile financiare ale distrugerii acestor bunuri?

Masurile care vor fi luate pentru protejarea acestor bunuri vor trebui sa fie in concordanta cu valoarea bunurilor pentru organizatie.

Analiza regulilor de securitate /politicilor/practicilor curente
in cadrul organizatiei.

Definirea obiectivelor de securitate de baza legate de
disponibilitate, confidentialitate si integritate.

Analiza amenintarilor: inainte de a se lua decizia referitoare la modul cum trebuie protejat sistemul trebuie identificate amenintarile la care acesta este supus (razbunari ale angajatilor, actiuni ale hackerilor, spionaj, erori hardware etc).


IAPS (Institute for Advanced Professional Studies)

Analiza de impact

o Care sunt consecintele amenintarilor sau a unei combinatii de amenintari? Va trebui identificata natura (sunt vizate datele secrete, modificarea datelor contabile, falsificarea transferurilor financiare etc) si anvergura acestor consecinte.

o Evaluarea impactului va trebui realizata nu de experti tehnici ci de experti in domeniul in care organizatia isi desfasoara activitatea.

o Evaluarea impactului se va realiza pe doua componente: impactul pe termen scurt si respectiv pe termen lung (amenintarea persista afectand businessul organizatiei pe termen lung). in urma evaluarii, impactul total va fi exprimat printr-o scara de la 0 la 5 dupa cum urmeaza:

Impact neglijabil

Impact minor, procesele majore ale businessului nu au fost afectate.

Procesele afacerii nu sunt operationale o anume perioada de timp, se inregistreaza pierderi de venituri, increderea clientilor este foarte putin afectata.

Se inregistreaza pierderi importante din activitatea organizatiei, pierderea increderii clientilor si a cotei de piata. Clientii vor fi pierduti.

Efectul este dezastruos, compania va putea sa supravietuiasca in conditiile unor costuri semnificative.

Efect catastrofal, compania nu va mai putea sa-si continue activitatea.

Calculul Riscului:

. Care este probabilitatea aparitiei amenintarii (0-5)? Expertii tehnici sunt cei care vor putea cel mai bine sa evalueze acest lucru:

Este putin probabil ca amenintarea sa apara.

Amenintarea poate sa apara cel mult o data pe an.

Amenintarea poate sa apara o data pe an.

Probabilitatea de aparitie este o data pe luna.

Probabilitatea de aparitie este o data pe saptamana.

Probabilitatea de aparitie este o data pe zi.

. Determinarea riscului se va realiza pe baza urmatoarei formule de calcul:

risc = impact * probabilitatea aparitiei

Riscul poate fi 0 (nu exista practic risc) iar valoarea maxima poate fi 25. Cu cat valoarea determinata a riscului este mai mare cu atat sunt mai importante masurile de contracarare.

Este necesar sa se stabileasca un nivel acceptabil al riscului. Toate riscurile care inregistreaza valori peste acest prag sunt considerate riscuri inacceptabile pentru organizatie si vor trebui gandite si implementate masuri de limitare/eliminare a lor.

Prezentam modalitatea de evaluare a valorii de impact pentru principalele categorii de amenintari:

Amenintari avand caracter general:

Amenintare

Val. Impact

Impact

PProbabi­- litate

(0-5)

Eroare umana

Distrugere accidentala, modificare,

Pierdere sau incorecta clasificare a informatiei.

Ignoranta: Inadecvarea securitatii la punctele slabe, lipsa de securitate, lipsa unei documentatii corespunzatoare, pregatire necorespunzatoare a administratorilor.

Supraincarcare cu sarcini: prea multi/prea putini administratori. Presiune mare asupra utilizatorilor.

. Utilizatorii ofera neintentionat informatii

despre bresele de securitate.

Incorecta configurare a sistemului.

Politica de securitate nu este adecvata.

Politica de securitate nu este

implementata

În procesul de analiza a securitatii s-au

omis aspecte importante sau s-au facut

erori

Neonestitate: Frauda, furt, delapidare, oferirea informatiilor confidentiale ale organizatiei pentru avantaje materiale.

Atacuri folosind infrastructuri publice:

Atacatorii pot folosi telefonul asumandu-si identitati false in vederea convingerii

angajatilor/administratorilor sa le

furnizeze nume de utilizatori/parole etc.

. Atacatorii pot incerca sa convinga utilizatorii valizi sa execute programe continand cai troieni.

. Abuz de privilegii / incredere.

. Folosirea neautorizata a unor calculatoare lasate pornite.

. Mixarea testelor si a producerii datelor.

. Folosirea neautorizata de software si

hardware

. Software programat sa distruga sistemul sau anumite date.

. Erori in sistemele de operare (nu toate sistemele de operare au fost proiectate sa fie foarte sigure).

. Erori la nivelul protocoalelor (nu toate protocoalele au fost proiectate sa fie foarte sigure).

.Software programat sa distruga sistemul in anumite conditii_(asa numitele bombe logice).

.Virusi (in programe, documente si atasamentele la email)

Amenintari legate de identificare/autorizare

Amenintare

Val. Impact

Impact

PProbabi­- litate

(0-5)

Cai troeni

2. Atac hardware mascat intr-un hardware comercial normal.

3. Atacatori externi sub identitatea unoir utilizatori valizi.

4. Atacuri interne sub identitatea unor utilizatori valizi.

5. Atacatori sub identitatea personalului auxiliar.

Amenintari privind credibilitatea serviciilor

Amenintari

Val. Impact

Impact

P Probabi­- litate

(0-5)

Dezastre naturale majore: Incendii, fum,

inundatii, cutremure, caderea surselor de energie

electrica, furtuni/tornade etc

Imp 7

2. Dezastre naturale minore.

Imp 8

3. Dezastre majore provocate de oameni razboaie, tulburari sociale, pericole chimice/nucleare, accidente, etc.

Imp 7

4. Erori ale echipamentului (hardware), cablurilor, sistemelor de comunicatii.

Imp8

5. Erori ale echipamentului datorate prafului, functionarii defectuoase a sistemelor de aer conditionat sau datorate interferen-telor electromagnetice sau electricitatii statice.

Imp8

6. Denial of service (DoS)

.

. Abuz in retea: folosirea eronata a protocoalelor de rutare cu scopul de a deruta sistemele.

. Suprasolicitarea serverelor .

Bombardarea cu Email (message flooding).

. Download-area sau primirea (via email) a unor Applets, ActiveX controls, macro-uri, postscript files, etc. periculoase.

7. Sabotaj: distrugere deliberata a informatiei sau a functiilor de procesare a informatiei.

. Distrugerea fizica a device-urilor interfata la retea, a cablurilor.

. Distruderea fizica a calculatoarelor sau mediilor de stocare.

. Distrugerea dispozitivelor electronice si a mediilor de stocare prin radiatie;

Furt

Cresterea frecventei curentului electric sau taierea alimentarii in mod deliberat.

. Virusi si/sau viermi

. Stergerea fisierelor sistem critice; (importante).

Amenintari secrete

Amenintare

Val. Impact

Impact

Probabi- litate

1. Ascultare

. Ascultare electromagnetica / Radiatie Van Eck: calculatoare, tastaturi, monitoare, imprimantele emit radiatii care pot fi detectate de la distante de sute de metri si apoi refacute.

. Ascultarea telefoanelor, faxurilor (via

'clip-on', bug-uri ale telefoanelor,

senzori inductivi etc).

Ascultarea retelelor: monitorizarea

neautorizata a unor date confidentiale in

timpul trasmiterii in reteaua interna.

. Ascultarea retelelor: monitorizarea

neautorizata a unor date confidentiale in

timpul transmiterii prin Internet.

Afectarea DNS cu scopul redirectionarii

de Email sau a altor transmisii.

. Afectare protocoalelor de rutare cu

scopul redirectionarii de Email sau a

altor transmisii

. Ascultarea semnalelor radio: telefoanele mobile analogice si telefoanele fixe cu antena sunt usor de ascultat.

Recuperare de informatii importante

din documente aruncate fara a fi supuse

unui proces de distrugere.

Amenintari ale integritatii/acuratetei:

Amenintare

Val. Impact

Impact

Probabi- litate

1. Distrugerea intentionata a informatiei sau a functiilor de procesare a informatiei din surse externe.

2. Distrugerea intentionata a informatiei sau a functiilor de procesare a informatiei din surse interne.

3. Modificarea intentionata a informatiei.

Amenintari privind controlul accesului:

Amenintare

Val. Impact

Impact

Probabi­litate

7. Erori in software-ul de retea poate crea brese

nestiute/neasteptate de securitate. Aceste brese

pot fi folosite din retele exterioare pentru accesarea retelei supuse atacului. Riscul creste odata cu complexitatea software-ului.

8. Acces fizic neautorizat la sistem.

Amenintari de natura repudierii:

Amenintare

Val.

Impact

Impact

(0-5)

Probabi-

litate

(0-5)

1. Receptorii informatiilor confidentiale pot

refuza sa confirme primirea.

2. Emitentii informatiilor confidentiale

pot refuza sa confirme sursa.

Amenintari legale:

Amenintare

Val.

Impact

Impact

(0-5)

Probabi-

litate

1. Esec in indeplinirea cerintelor legale sau

regulamentare.

2. Legislatia multor tari interzice (inclusiv pe, Internet) incitarea la rasism, spalarea banilor, utilizarea sau distributia de material pornografic sau cu tenta violenta. Organizatia poate fi facuta responsabila daca utilizatorii valizi sau atacatorii folosesc sistemul organizatiei in aceste scopuri.

3. Organizatia poate fi facuta responsabila daca unii dintre utilizatorii autorizati ai sistemului sau ataca pe aceasta cale sistemele altor companii.

Sursele amenintarilor:

1. Spionajul politic

2. Spionaj economic (competitorii).

3. Angajatii

Angajati nemultumiti si fosti angajati.

Angajati mituiti.

Angajati incorecti.

Administratorii de sistem si de securitate sunt inclusi in categoria
utilizatorilor cu risc inalt datorita informatiilor pe care le detin
. De
aceea selectarea acestora trebuie facuta cu multa atentie.

4. Hackeri:

incepatori: stiu putine lucruri, folosesc metode vechi, cunosc metodele de atac.

Braggers (laudarosii): invata mult mai ales de la alti hackeri. Se lauda cu reusitele lor.

Experti: sunt bine instruiti, inventivi. Pot oferi instrumente/informatii bragger-ilor pentru a lansa atacuri, care sa le ascunda propriile atacuri mult mai subtile.

Contractori vanzatori care au acces (fizic sau prin retea) la sisteme.

6. Crima organizata.

7. Investigatori particulari.

8. Impuneri legislative sau ale agentiilor guvernamentale care pot urma sau nu in mod corect proceduri legale

9. Jurnalisti in cautarea unor subiecte

Impacturi

Lista care urmeaza va trebui completata in detaliu de managerii care cunosc businessul organizatiei in detaliu.

Ref.

Impact posibil

Impl

Divulgarea secretelor organizatiei, divulgarea datelor despre clienti, divulgarea secretelor contabile.

Imp2

Modificarea datelor contabile sau datelor despre clienti.

Imp3

Atacatorii lucreaza sub identitatea organizatiei sau a clientilor acesteia.

Imp4

Publicitate proasta: hackerii fac public atacul reusit asupra sistemelor organizatiei

Imp5

Publicitate proasta: informatia despre clienti a fost modificata/stearsa/publicata.

Imp6

Publicitate proasta pentru o directie/compartiment a organizatiei atacatorii externi au folosit o anume directie ca punct de intrare in reteaua organizatiei.

Imp7

Afectarea majora a functiei business-ului

Imp8

Afectarea majora a retelei organizatiei

Imp9

Frauda.

Imp10

Pierderea increderii clientilor (atunci cand afectarea se resimte perioade mai lungi de timp sau se produce frecvent)

Imp11

Organizatia poate fi urmarita in justitie (neglijenta, incalcarea legilor sau regulamentelor).

Imp12

Diminuarea calitatii serviciilor.

Imp13

Posibil castig pentru competitor si prin aceasta pierderea unor

venituri.

Imp14

Reteaua organizatiei poate fi utilizata de atacatori pentru atacul asupra altor site-uri.

Imp15

Reteaua organizatiei poate distribui software continand software a atacatorilor.

Imp16

Frauda electronica

Analiza restrictiilor: in aceasta etapa se evalueaza o serie de restrictii asupra carora nu se poate interveni: cerinte legislative, cerinte ale organizatiei, cultura organizationala, elemente contractuale, bugete etc.

Formularea strategiei:

. Definirea obiectivelor de securitate

. Definirea masurilor (politica, roluri, procese, responsabilitati, mecanisme etc)

. Se verifica masura in care riscurile pot fi reduse la acel nivel considerat acceptabil de catre management. Se verifica daca nu sunt prea mari costurile impuse de masurile de securitate luate.

. Se verifica in ce masura riscurile neacoperite pot fi asigurate (polite de asigurare). :

. În caz contrar se revizuieste strategia.

9) Implementare:

Realizarea politicii de securitate, a documentatiilor necesare si realizarea clasificarii informatiei din sistem.

Definirea modului de organizare a securitatii sau modificarea celei existente. Utilizatorii, administratorii, managerii trebuie sa cunoasca foarte clar care le sunt rolurile/responsabilitatile si sa le respecte.

Efectuarea testelor si corectarea politicilor, proceselor si organizarii in functie de rezultatele obtinute.

Securizarea sistemelor.

10) Asigurare: Re-evaluarea riscurilor si securitatii in mod periodic (recomandabil la 2 ani).





Politica de confidentialitate





Copyright © 2024 - Toate drepturile rezervate