Biologie | Chimie | Didactica | Fizica | Geografie | Informatica | |
Istorie | Literatura | Matematica | Psihologie |
Controlul securitatii fizice
Auditorul verifica masura in care accesul fizic la date si resursele hardware sunt restrictionate corespunzator :
Cum este restrictionat accesul fizic la facilitatile IT din firma?
Cum este restrictionat accesul la spatiile unde se afla
echipamentele pe care se realizeaza prelucrarile?
Cum sunt protejate stocarile off-line de date?
Cat de sigura, din punct de
vedere informational, este scoaterea
din uz a calculatoarelor si mediilor de stocare a datelor?
Este important sa mentionam faptul ca:
Existenta unor programe gen Easy Recovery sau Lost & Found care permit recuperarea datelor sterse de pe mediile de stocare.
Dificultatea asigurarii controlului accesului fizic la fiecare componenta hardware.
Extinderea lucrului in retea si a utilizarii sistemelor distribuite s-a caracterizat prin concentrarea atentiei pe controlul accesului logic, dar controlul accesului fizic ramane in continuare important, el reprezentand ; o componenta a sistemului de securitate.
Securitatea fizica se evalueaza pe urmatoarele componente:
Cladiri
Transportul datelor
copii de siguranta
Discuri
Calculatoare desktop
Laptop-uri/calculatoare portabile
Imprimante
'Clean desks'
Cladiri
Incinta organizatiei trebuie sa fie organizata in urmatoarele zone:
o Zona 1: accesibila publicului.
o Zona 2: neaccesibila publicului ci numai personalului organizatiei.
o Zona 3: Este o zona protejata, cu acces strict controlat accesibila numai pe baza identificarii persoanelor (de obicei prin carduri de acces sau alte tehnici de identificare. De exemplu tehnicile biometrice.
În zonele publice nu trebuie sa existe calculatoare conectate la reteaua locala a organizatiei, cu exceptia cazului cand conectarea este posibila, protectia fiind asigurata prin firewall.
Locatiile serverelor sunt restrictionate accesului, acesta fiind posibil de obicei pe baza cardurilor de electronice de acces.
Accesul in locatiile severelor se recomanda sa fie inregistrate video.
Este necesara protectia impotriva radiatiilor Van Ecka calculatoarelor care stocheaza date sensibile (protectia anti snooping prin radiatii Van Eck).
Cladirile trebuie sa fie monitorizate 7 zile x 24H de catre personal de securitate.
Planurile de reluare a activitatii trebuie sa acopere evenimente cum ar fi caderea sursei de energie, furt, incendii, inundatii, explozii, cutremure etc.
Transportul datelor
Transportul copiilor de siguranta catre locatia special rezervata se va face in genti speciale, securizate, de catre persoane avand aceasta responsabilitate stabilita prin procedurile elaborate.
Discuri
Unitatile de discuri portabile si floppy discurile sunt adesea sursa unor virusi si a software-ului ilegal. În egala masura pot fi utilizate pentru copierea neutorizata a datelor stocate in sistem. O atentie deosebita trebuie acordata procedurilor de stergere a datelor din discuri, stiindu-se faptul ca stergerea se realizeaza in doi pasi: stergere logica si respectiv stergere fizica. De aceea se recomada stergerea completa a datelor (in acest scop recomandandu-se utilizarea unui produs standard). O atentie marita se va acorda procedurilor de stergere din dischete cu atat mai mult cu cat exista programe speciale de recuperare a datelor sterse din astfel de suporturi. O masura de precautie ar fi dezactivarea unitatilor floppy, dealtfel inutile in cazul conectarii calculatoarelor la reteua organizatiei care overa acces la imprimante, severe si sevicii de posta electronica.
De aceea sepcialistii in securitate recomanda:
Folosirea unitatilor de discuri portabile si a floppy discurilor doar atunci cand sunt absolut necesare.
Evitarea copierii datelor pe floppy discuri.
Dezactivarea unitatilor floppy, in caz contrar reteua fiind nesigura.
Datele confidentiale trebuie criptate. Daca serverul de retea nu este consideat suficient de sigur, datele se vor cripta si apoi se vor stoca pe server.
Toate discurile trebuie supuse procesului de clasificare, iar nivelul de clasificare trebuie inscris pe disc.
Suporturile destinate stocarii datelor vor trebui protejate de radiatiile electromagnetice.
Calculatoare desktop
Trebuie asigurata securitatea fizica a calculatoarelor conectate sau nu in reteaua organizatiei. Accesul fizic neautorizat la un calculator conectat in retea poate reprezenta o amenintare. Fie de aici se poate initia un atac in vederea depasirii securitatii logice si astfel initierea unor activitati neautorizate in retea sau chiar furtul fizic al echipamentelor care poate genera pierderi considerabile mai ales daca local pe respectivele calculatoare erau stocate date de o importanta deosebita. În 199610 de la VISA International San Mateo - California s-a furat un calculator desktop in hard-discul acestuia erau stocate necriptate informatii referitoare la 300.000 de conturi de card VISA, MasterCard, American Express si Dinners Club. In urma acestui incident, Citybank a decis sa anuleze cardurile in cauza si sa emita noi carduri in locul celor anulate. Alte banci au hotarat sa pastreze tacerea cu privire la acest incident si sa monitorizeze conturile in cauza pentru identificarea unor posibile tranzactii suspecte. VISA a acceptat sa ramburseze detinatorilor de carduri costul inlocuirii acestora dar incidentul ar fi putut costa organizatia aproximativ 6 milioane USD.
Laptop-uri/calculatoare portabile
Calculatoarele portabile permit personalului sa-si desfasoare activitatea in afara biroului, si nu numai, in conditii de eficienta, permitandu-le inclusiv accesarea informatiei din baza de date a organizatiei. Din punctul de vedere al securitatii aceste calculatoare pot genera riscuri legate de divulgarea informatiei, furt si posibilitatea accesului neautorizat la reteaua organizatiei. De aceea specialistii in domeniul securitatii propun cateva masuri:
Instruirea utilizatorilor cu privire la riscurile
induse de utilizarea
laptop-urilor.
Utilizarea parolelor de protectie in aplicatiile Office cum ar fi Winword care nu reprezinta o protectie impotriva atacatorilor cu experienta.
Hard discurile portabile prezinta riscul furtului si deci posibilitatea utilizarii neautorizate a informatiei.
În domeniul utilizarii laptop-urilor politicile de securitate se recomanda sa prevada:
Consilierea cu privire la
achizitionarea laptop-urilor, pregatirea si
instalarea acestora sa se faca de catre personal IT.
Instalarea unui fisier pentru criptarea sigura a programelor si care in acelasi timp sa fie usor de utilizat. O alta alternativa o reprezinta programele de criptare a discului.
Utilizarea sistemelor de operare UNIX, NT in care utilizatorii neprivilegiati nu au acces deplin in sistem.
Responsabilitatea utilizatorilor cu privire la laptop-urile incredintate pe care le utilizeaza in afara organizatiei.
Mecanisme de blocare automata a ecranului si parole de boot desi aceste parole pentru un hacker documentat nu reprezinta o problema dificil de surmontat.
Scanare activa antivirus.
Securizarea laptop-urilor pe timpul transportului in genti speciale.
Informatia clasificata se va stoca in laptop doar daca este criptata.
Închiderea calculatorului doar cand s-a executat procedura de shut-down.
Nu este permisa stocarea parolelor in laptop-uri care permit accesul la reteua organizatiei.
Champlain J. - Auditing Information Systems. John Wiley & Sons, Inc. Second Edition.2003.
Comunicatii:
o Nu transmiteti informatie clasificata necriptata mai ales in retele nesigure Cuma r fi Internet, Mobile-GSM, etc.
o Accesul Dial-in la reteaua
organizatiei trebuie sa fie
permisa prin politica de acces.
o Închiderea modemurilor cand nu lucreaza.
Imprimante
Listarea rapoartelor continand informatii confidentiale se va realiza pe imprimante aflate in birourile persoanelor autorizate sa acceseze aceste date.
Regula « clean desks
Aceasta regula precizeaza necesitatea securizarii tuturor documentelor si rapoartelor utilizate de catre personalul organizatiei in realizarea sarcinilor de lucru prin depunerea in dulapuri securizate la sfarsitul orelor de program si asigurarea ca accesul persoanelor neautorizate la aceste documente sa nu poata fi posibila.
Copyright © 2024 - Toate drepturile rezervate