SECURITATEA SISTEMELOR INFORMATICE

SECURITATEA SISTEMELOR INFORMATICE

Structura cursului

I. Conceptul de securitate. Necesitatea securitatii

- Securitatea IT presupune:

- Confidentialitate

- Integritate

- Disponibilitate

- Conformitate cu legislatia

- Ce este o amenintare?

- Intrebari cheie prin care se poate obtine o prima imagine privind securitatea

sistemului informatic al unei companii.

- chei de control al securitatii:

Standardele in domeniul securitatii recomanda ca in cadrul analizelor de audit sa se verifice daca sunt satisfacute cerintele privitoare la:

- documentatie

- siguranta

- responsabilitate

- controlul aceesului

- schimbul securizat de date

- disponibilitate

II. Vulnerabilitati si amenintari asociate sistemelor informatice

Ce sunt vulnerabilitatile si amenintarile

Principalele tipuri de amenintari ale unui sistem informatic al unei organizatii

Principalele tipuri de vulnerabilitati

III. Imbunatatirea securitatii IT

- Cum se poate imbunatati securitatea IT

- Principii de respectata in stabilirea politicii de securitate.

IV. Abordari in imbunatatirea securitatii

- Abordarea Bottom Up. Ce presupune aceasta abordare

- Abordarea Top down. Aceasta presupune:

1. Analiza bunurilor

2. Analiza regulilor de securitate /politicilor/practicilor curente in

cadrul organizatiei.

3. Definirea obiectivelor de securitate de baza legate de

disponibilitate, confidentialitate si integritate.

Analiza amenintarilor

5. Analiza de impact si

6. Calculul riscurilor. Modalitatea de evaluare a valorii de impact

pentru principalele categorii de amenintari si anume:

- Amenintari avand caracter general

- Amenintari legate de identificare/autorizare

- Amenintari privind credibilitatea serviciilor

- Amenintari secrete

- Amenintari ale integritatii/acuratetei

- Amenintari privind controlul accesului

- Amenintari de natura repudierii

- Amenintari legale

- Sursele amenintarilor.

- Clasificarea impactului in general si utilizarea ei in aprecierea impactului

amenintarilor asupra bunurilor unei societatii sau institutiei pentru care se

face auditarea.

7. Analiza restrictiilor

8. Formularea strategiei

9. Implementare

10. Asigurare

V. Standarde de audit ale sistemelor informatice.

1. COBIT - Control Objectives for Information and Related Technology (elaborat de Information Systems Audit and control Association):

- Domeniile folosite in cadrul COBIT pentru clasificarea proceselor de

administrare a resurselor IT: planificare si organizare, achizitie si

implementare, livrare si intretinere, monitorizare.

Procesele opereaza cu informatii si cu resursele IT.

- caracteristicile informatiei dupa COBIT

- resursele IT: aplicatii, tehnologie, facilitati, date, personal specializat.

- Principalele componente COBIT : obiectivele controlului, ghidul pentru

management, ghidul pentru audit, modele, factorii critici de succes,

indicatorii cheie tinta si indicatorii de performanta.

- Concepte utilizate de COBIT: Controlul, Controlul obiectivelor IT,

Conducerea IT.

- Structurarea criteriilor dupa care, conform COBIT, trebuie sa se conformeze

informatia: criterii de calitate, criterii fiduciare si criterii de securitate.

- Definirea fiecarui criteriu si anume: eficacitatea, eficienta, confidentialitatea,

integritatea, disponibilitatea, conformitatea, realitatea (increderea),

- Resursele IT asa cum sunt definite in cadrul COBIT: datele, aplicatiile,

tehnologia, facilitati, personal specializat.

Mecanismul functionarii tehnologiilor informatice (IT) poate fi rezumat astfel:

IT este guvernat de practici prin care se urmareste ca informatia si tehnologiile sa sustina obiectivele afacerii, resursele sa fie folosite in mod responsabil si riscurile sa fie gestionate corespunzator. Aceste practici vizeaza domeniile (enuntate mai sus) planificare si organizare, achizitie si implementare, livrare si intretinere, monitorizare cu scopul asigurarii managementului riscurilor (in vederea asigurarii securitatii, increderii, conformitatii) si realizarii beneficiilor (cresterea eficacitatii si eficientei). Rapoartele sunt generate de activitatile IT si sunt supuse controlului.

Managementul resurselor TI decurge conform COBIT pe trei nivele: domenii, procese si activitati (task-uri).

In cursul privitor la capitolul II este prevayut un tabel cu procesele prevazute in cadrul fiecarui domeniu.

2. Alte standarde de audit ale sistemelor informatice

ISA si IAPS, ISO 9126 (elaborat de International Organization of Standardisation), ISO 9001 si ISO 9000-3, care este un ghid pentru aplicarea ISO 9001 pentru dezvoltarea, furnizarea si intretinerea software-ului.

Intrebari recapitulative

Ce presupune securitatea TI?

Ce este in sensul auditului o amenintare?

Care sunt intrebarile cheie prin care se poate obtine o prima imagine privind securitatea sistemului informatic al unei companii

Care sunt punctele cheie legate de controlul securitatii

Ce sunt vulnerabilitatile?

Ce sunt amenintarile ?

Ce exprima amenintarile? Dar riscurile?

Enumerati principalele tipuri de amenintari ale sistemului informatic al unei organizatii.

Enumerati principalele tipuri de vulnerabilitati.

De la ce pleaca abordarea Bottom Up in imbunatatirea securitatii

Cu ce incepe abordarea Top Down in imbunatatirea securitatii

Care sunt principalele categorii de amenintari?

Enumerati sursele amenintarilor.