SlideShare une entreprise Scribd logo

Controlul securitatii sistemelor informatice

Sergiu-George Boboc
Sergiu-George Boboc
Technologie
1  sur  26
CONTROLUL SECURITĂȚII SISTEMELOR INFORMATICE Ing. Sergiu-George Boboc
“Nici un lanț nu este mai puternic decât veriga cea mai slabă”  CONTROL = măsură de prevenire a riscului  RISC = eveniment probabil, viitor, ce poate avea impact negativ asupra unei entități  RISC (DEX) = Posibilitate de a ajunge într-o primejdie, de a avea de înfruntat un necaz sau de suportat o pagubă; pericol posibil  RISC = IMPACT x PROBABILITATE
Controlul securității sistemului ca parte a Controlului General Controlul Controlul continuității organizațional activității Controlul General Controlul Controlul dezvoltării și securității întreținerii sistemului
Controlul securității sistemului RESURSE INFORMAȚIONALE AUDITOR CONFIDENTIALITATE verifică CONTROL INTEGRITATE asigură DISPONIBILITATE
Controlul securității sistemului IDENTIFICARE / ASIGURARE AUTENTIFICARE CONTROLUL RESPONSABILITATE ACCESULUI SECURITATE SECURIZAREA TRANSFERULUI CONTINUITATEA ELECTRONIC SERVICIILOR ACURATEȚE
I.Politica de securitate informațională • Set de reguli şi practici care reglează modul în care o organizaţie foloseşte, administrează, protejează şi distribuie propriile informaţii sensibile DOCUMENT - responsabilităţile personalului în ceea ce priveşte securitatea informaţională - atribuţiile responsabilului cu securitatea informaţiilor în cadrul organizaţiei - clasificarea datelor şi nivelurilor de securitate asociate acestei clasificări - rolul auditorului intern în monitorizarea securităţii sistemului
II. Clasificarea informațiilor Criterii de clasificare INFORMAȚII •Valoarea •Vârsta •Uzura morală 4 SECRETE 3 CONFIDENTIALE 2 INTERNE 1 PUBLICE
III. Strategia de control a securității sistemului 1.Analiza activelor 5.Calculul riscului 2.Analiza politicilor, practicilor 6.Analiza măsurilor de de securitate existente prevenire a atacurilor 3.Analiza posibilelor 7.Determinarea riscului ameninţări ale sistemului rezidual 8.Întocmirea unui raport de 4.Analiza impactului financiar analiză a riscurilor identificate
III. Strategia de control a securității sistemului 1.Analiza activelor • Identificarea şi evaluarea resurselor sistemului informatic ce se doresc a fi protejate: - sistem de operare - aplicaţii - infrastructura reţelei - informaţiile prelucrate de sistem. • Auditorul va verifica existenţa unei clasificări a informaţiilor, în funcţie de importanţa lor, în cadrul politicii de securitate existente pentru că măsurile de protecţie ce se impun a fi luate vor fi corelate cu valoarea acestor active.
III. Strategia de control a securității sistemului 2.Analiza politicilor, practicilor de securitate existente Politica de securitate se refera la tot personalul angajat •standarde interne si principii privind securitatea S.I. -la nivel global -pe grupe (functii, sectii) de lucru •codul etic al angajatilor si pregatirea acestora
III. Strategia de control a securității sistemului Interfata de configurare a politicilor de securitate sub sistemul de operare Windows Server 2003
III. Strategia de control a securității sistemului 3.Analiza posibilelor ameninţări ale sistemului Amenințările vizează -Identificarea/autentifcarea utilizatorilor -Disponibilitatea informatiilor -Secretele organizatiei -Integritatea/acuratetea informatiilor -Controlul accesului -Repudierea -Legalitatea -Elemente cu caracter general
III. Strategia de control a securității sistemului 4.Analiza impactului financiar Impactul financiar •estimarea valorică a pierderilor entităţii ca urmare a exploatării vulnerabilităţilor sistemului de către ameninţări •pe termen lung sau pe termen scurt 0 – impact neglijabil 1 – efectul e minor, procesele organizaţiei nu vor fi afectate. 2 – procesele organizaţiei sunt afectate o perioadă de timp, se înregistrează pierderi financiare şi chiar confidenţialitatea clienţilor este afectată minim. 3 – se înregistrează pierderi semnificative asupra proceselor organizaţiei, confidenţialitatea clienţilor este pierdută, valoarea de piaţă a acţiunilor scade. 4 – efectele sunt dezastruoase, dar organizaţia poate supravieţui cu costuri semnificative. 5 – efectele sunt catastrofice, societatea nu poate supravieţui.
III. Strategia de control a securității sistemului 5.Calculul riscului Risc = Impact x Probabilitate Probabilitate 1 – ameninţarea este foarte improbabil să apară 2 – ameninţarea e posibil să apară mai puţin de o dată pe an 3 – ameninţarea e posibil să apară o dată pe an 4 – ameninţarea e posibil să apară o dată pe lună 5 – ameninţarea e posibil să apară o dată pe săptămână 6 – ameninţarea e posibil să apară o dată pe zi Riscul poate avea o valoare minimă 0 şi una maximă 25. Auditorul în această etapă va seta o valoare a riscului acceptabil.
III. Strategia de control a securității sistemului 6.Analiza măsurilor de prevenire a atacurilor • Control restrictiv ce are ca efect reducerea probabilităţii unui atac deliberat; • Control preventiv ce protejează vulnerabilităţile cunoscute sau presupuse şi reduc impactul unui atac reuşit; • Control corectiv ce reduce efectul unui atac prin supravegherea corectitudinii şi integrităţii datelor; • Control detectiv ce descoperă atacuri iniţiate sau în desfăşurare şi alarmează sistemul corespunzător.
III. Strategia de control a securității sistemului Verificarea evenimentelor ce au impact asupra sistemului (log-urilor) sub Windows Server 2003
III. Strategia de control a securității sistemului 6.Analiza măsurilor de prevenire a atacurilor HACKER Control Control corectiv restrictiv minimizează creează probabilitate descrește apariție ATAC exploatează descoperă VULNERA Control BILITATI detectiv protejează declanșează rezultă în Control IMPACT preventiv
III. Strategia de control a securității sistemului 7.Determinarea riscului rezidual Riscul rezidual -rămâne după analiza şi evaluarea tuturor măsurilor de combatere a riscurilor -semnalarea punctelor slabe, nevralgice ale sistemului asociate cu ameninţările corespunzătoare şi probabilitatea lor de a avea loc -toate măsurile (recomandările) ce se impun a fi aplicate dacă riscul rezidual nu se încadrează la un nivel acceptabil
III. Strategia de control a securității sistemului 8.Întocmirea unui raport de analiză a riscurilor identificate şi a securităţii în ansamblul său Urmarea acestei analize o poate reprezenta detalierea testelor pentru elementele semnificative ale sistemului, aşa zisele puncte slabe, vulnerabile. În acest sens, auditorul poate urmări: -securitatea comunicaţiilor -controlul accesului logic şi fizic -securitatea fizică -evaluarea sistemului copiilor de siguranţă(back-up) -evaluarea sistemelor de protecţie antivirus
III. Strategia de control a securității sistemului 8.Întocmirea unui raport de analiză a riscurilor identificate şi a securităţii în ansamblul său Urmarea acestei analize o poate reprezenta detalierea testelor pentru elementele semnificative ale sistemului, aşa zisele puncte slabe, vulnerabile. În acest sens, auditorul poate urmări: -securitatea comunicaţiilor -controlul accesului logic şi fizic -securitatea fizică -evaluarea sistemului copiilor de siguranţă(back-up) -evaluarea sistemelor de protecţie antivirus
IV. Securitatea comunicațiilor O aplicaţie ce utilizează sistemele bazate pe securitate trebuie să asigure: •Confidenţialitatea: menţinerea caracterului privat al informaţiei •Integritatea: dovada că respectiva informaţie nu a fost modificată •Autenticitatea: dovada identităţii celui ce transmite mesajul •Non-repudierea: siguranţa că cel ce generează mesajul nu poate să-l denigreze mai târziu. Criptografia este considerată a fi „arta” sau ştiinţa de menţinere a mesajelor secrete, asigurând confidenţialitatea, prin criptarea unui mesaj, folosind în acest sens chei asociate cu un algoritm SISTEME DE CRIPTARE -Simetrice -Asimetrice PKI – Public Key Infrastructure
V. Controlul accesului • Control al accesului în sistem – control fizic • Control al accesului la resursele sistemului – control logic Controlul accesului prin parole Auditorul va verifica dacă sunt stabilite proceduri pentru schimbarea lor periodică, păstrarea confidenţialităţii parolei, "transparenţa" parolelor, accesul la fişierele cu parole este protejat. Controlul accesului in mediile publice -FIREWALL -VPN -Tehnici de cripatare + PKI -ANTIVIRUSI
VI. Securitatea fizică Controlul securităţii fizice include măsuri ce vor face ca procesarea datelor să nu fie afectată de dezastre naturale (foc, inundaţii), accidente tehnice (căderi de tensiune), condiţii de mediu (umiditate, lipsa ventilaţiei). Auditorul verifică măsura în care accesul fizic la date şi resursele hardware sunt restricţionate corespunzător: •spaţii speciale pentru amenajarea calculatoarelor cu protecţie la incendii, inundaţii, etc. •analiza mediilor de stocare a datelor. Existenta unor programe gen Easy Recovery sau Lost & Found care permit recuperarea datelor şterse de pe mediile de stocare pot genera prejudicii importante. •echipamentelor trebuie să li se asigure condiţiile de mediu specificate în documentaţia tehnică; •sisteme de supraveghere şi alarmă; •controlul personalului de securitate.
VII. Evaluarea sistemului copiilor de siguranță • Ce informații necesită copii de siguranță? • Sunt procedurile de backup (pentru date si soft) cele potrivite? • Sunt backup-urile corect jurnalizate si stocate in locatii sigure? • Exista siguranta ca backup-urile si procedurile de restaurare vor lucra la nevoie? • Datele din fisierele copii sunt acoperitoare pentru refacerea fisierelor operationale? Back-up incremental “fiu-tată-bunic”
VII. Evaluarea sistemelor de protecție antivirus • verificarea existenţei programelor antivirus la nivel de server şi staţie de lucru; • o analiză a update-ul software-ului antivirus cu cele mai recente detalii despre noii viruşi (automat, manual); • drepturile de a suspenda monitorizarea antivirus aparţine numai administratorului sau/şi operatorilor, utilizatorilor; • analiza configurării software-ul antivirus astfel încât acesta să aibă posibilitatea de a verifica e-mail-ul, cd-urile, dispozitivele USB, browser- ul de web, arhivele, alte unităţi de stocare; • utilizarea unei arhitecturi distribuite client/server pentru instalarea/configurarea/adminstrarea solutiei antivirus.
Mulțumesc!

Recommandé

Think Like a Hacker - Database Attack Vectors
Think Like a Hacker - Database Attack VectorsThink Like a Hacker - Database Attack Vectors
Think Like a Hacker - Database Attack VectorsMark Ginnebaugh
 
Adversary Emulation and the C2 Matrix
Adversary Emulation and the C2 MatrixAdversary Emulation and the C2 Matrix
Adversary Emulation and the C2 MatrixJorge Orchilles
 
AppSec EU 2016: Automated Mobile Application Security Assessment with MobSF
AppSec EU 2016: Automated Mobile Application Security Assessment with MobSFAppSec EU 2016: Automated Mobile Application Security Assessment with MobSF
AppSec EU 2016: Automated Mobile Application Security Assessment with MobSFAjin Abraham
 
Criptografía
CriptografíaCriptografía
CriptografíaOrestes Febles
 
Triền khai firewall thế hệ mới bảo vệ hệ thống mạng doanh nghiệp 9314760
Triền khai firewall thế hệ mới bảo vệ hệ thống mạng doanh nghiệp 9314760Triền khai firewall thế hệ mới bảo vệ hệ thống mạng doanh nghiệp 9314760
Triền khai firewall thế hệ mới bảo vệ hệ thống mạng doanh nghiệp 9314760nataliej4
 
Presentacion Taller Certificado digital guadalinfo
Presentacion Taller Certificado digital guadalinfoPresentacion Taller Certificado digital guadalinfo
Presentacion Taller Certificado digital guadalinfoPunto Vuela Guadalinfo Sanlucar la Mayor
 
Using ATTACK to Create Cyber DBTS for Nuclear Power Plants
Using ATTACK to Create Cyber DBTS for Nuclear Power PlantsUsing ATTACK to Create Cyber DBTS for Nuclear Power Plants
Using ATTACK to Create Cyber DBTS for Nuclear Power PlantsMITRE - ATT&CKcon
 
Starting Over with Sub-Techniques
Starting Over with Sub-TechniquesStarting Over with Sub-Techniques
Starting Over with Sub-TechniquesMITRE - ATT&CKcon
 

Recommandé

Think Like a Hacker - Database Attack Vectors
Think Like a Hacker - Database Attack VectorsThink Like a Hacker - Database Attack Vectors
Think Like a Hacker - Database Attack VectorsMark Ginnebaugh
 
Adversary Emulation and the C2 Matrix
Adversary Emulation and the C2 MatrixAdversary Emulation and the C2 Matrix
Adversary Emulation and the C2 MatrixJorge Orchilles
 
AppSec EU 2016: Automated Mobile Application Security Assessment with MobSF
AppSec EU 2016: Automated Mobile Application Security Assessment with MobSFAppSec EU 2016: Automated Mobile Application Security Assessment with MobSF
AppSec EU 2016: Automated Mobile Application Security Assessment with MobSFAjin Abraham
 
Criptografía
CriptografíaCriptografía
CriptografíaOrestes Febles
 
Triền khai firewall thế hệ mới bảo vệ hệ thống mạng doanh nghiệp 9314760
Triền khai firewall thế hệ mới bảo vệ hệ thống mạng doanh nghiệp 9314760Triền khai firewall thế hệ mới bảo vệ hệ thống mạng doanh nghiệp 9314760
Triền khai firewall thế hệ mới bảo vệ hệ thống mạng doanh nghiệp 9314760nataliej4
 
Presentacion Taller Certificado digital guadalinfo
Presentacion Taller Certificado digital guadalinfoPresentacion Taller Certificado digital guadalinfo
Presentacion Taller Certificado digital guadalinfoPunto Vuela Guadalinfo Sanlucar la Mayor
 
Using ATTACK to Create Cyber DBTS for Nuclear Power Plants
Using ATTACK to Create Cyber DBTS for Nuclear Power PlantsUsing ATTACK to Create Cyber DBTS for Nuclear Power Plants
Using ATTACK to Create Cyber DBTS for Nuclear Power PlantsMITRE - ATT&CKcon
 
Starting Over with Sub-Techniques
Starting Over with Sub-TechniquesStarting Over with Sub-Techniques
Starting Over with Sub-TechniquesMITRE - ATT&CKcon
 
MITRE ATT&CK framework
MITRE ATT&CK frameworkMITRE ATT&CK framework
MITRE ATT&CK frameworkBhushan Gurav
 
Packet sniffing in LAN
Packet sniffing in LANPacket sniffing in LAN
Packet sniffing in LANArpit Suthar
 
Bug Bounty Secrets
Bug Bounty Secrets Bug Bounty Secrets
Bug Bounty Secrets n|u - The Open Security Community
 
ATTACKers Think in Graphs: Building Graphs for Threat Intelligence
ATTACKers Think in Graphs: Building Graphs for Threat IntelligenceATTACKers Think in Graphs: Building Graphs for Threat Intelligence
ATTACKers Think in Graphs: Building Graphs for Threat IntelligenceMITRE - ATT&CKcon
 
Malware.pptx
Malware.pptxMalware.pptx
Malware.pptxRupaliTasnimSamad
 
Sensibilisation à la sécurité
Sensibilisation à la sécurité Sensibilisation à la sécurité
Sensibilisation à la sécurité Thibault Tim
 
security onion
security onionsecurity onion
security onionBoni Yeamin
 
Cyber security presentation
Cyber security presentation Cyber security presentation
Cyber security presentation sweetpeace1
 
Botnet
BotnetBotnet
Botnetlokenra
 
Putting MITRE ATT&CK into Action with What You Have, Where You Are
Putting MITRE ATT&CK into Action with What You Have, Where You ArePutting MITRE ATT&CK into Action with What You Have, Where You Are
Putting MITRE ATT&CK into Action with What You Have, Where You AreKatie Nickels
 
Modern Malware and Threats
Modern Malware and ThreatsModern Malware and Threats
Modern Malware and ThreatsMarketingArrowECS_CZ
 
Noc Vs SOC, Arabic
Noc Vs SOC, ArabicNoc Vs SOC, Arabic
Noc Vs SOC, ArabicEng. Adnan Algunaid
 
Jump-Start The MASVS
Jump-Start The MASVSJump-Start The MASVS
Jump-Start The MASVSPrathan Phongthiproek
 
Networks
NetworksNetworks
Networksguestb23c6b
 
Detection and Response Roles
Detection and Response RolesDetection and Response Roles
Detection and Response RolesFlorian Roth
 
WannaCry ransomware attack
WannaCry ransomware attackWannaCry ransomware attack
WannaCry ransomware attackAbdelhakim Salama
 
Arbor Presentation
Arbor Presentation Arbor Presentation
Arbor Presentation J Hartig
 
WannaCry ransomware outbreak - what you need to know
WannaCry ransomware outbreak - what you need to knowWannaCry ransomware outbreak - what you need to know
WannaCry ransomware outbreak - what you need to knowSymantec Security Response
 
Cyber security
Cyber securityCyber security
Cyber securityAkdu095
 
Adversary Emulation using CALDERA
Adversary Emulation using CALDERAAdversary Emulation using CALDERA
Adversary Emulation using CALDERAErik Van Buggenhout
 
SECURITY & CONTROL OF INFORMATION SYSTEM (Management Information System)
SECURITY & CONTROL OF INFORMATION SYSTEM (Management Information System)SECURITY & CONTROL OF INFORMATION SYSTEM (Management Information System)
SECURITY & CONTROL OF INFORMATION SYSTEM (Management Information System)Biswajit Bhattacharjee
 
Prezentare Generala Securitatea Informatiei - ISO27001
Prezentare Generala Securitatea Informatiei - ISO27001Prezentare Generala Securitatea Informatiei - ISO27001
Prezentare Generala Securitatea Informatiei - ISO27001iso27001consulting
 

Contenu connexe

Tendances

MITRE ATT&CK framework
MITRE ATT&CK frameworkMITRE ATT&CK framework
MITRE ATT&CK frameworkBhushan Gurav
 
Packet sniffing in LAN
Packet sniffing in LANPacket sniffing in LAN
Packet sniffing in LANArpit Suthar
 
ATTACKers Think in Graphs: Building Graphs for Threat Intelligence
ATTACKers Think in Graphs: Building Graphs for Threat IntelligenceATTACKers Think in Graphs: Building Graphs for Threat Intelligence
ATTACKers Think in Graphs: Building Graphs for Threat IntelligenceMITRE - ATT&CKcon
 
Sensibilisation à la sécurité
Sensibilisation à la sécurité Sensibilisation à la sécurité
Sensibilisation à la sécurité Thibault Tim
 
Cyber security presentation
Cyber security presentation Cyber security presentation
Cyber security presentation sweetpeace1
 
Putting MITRE ATT&CK into Action with What You Have, Where You Are
Putting MITRE ATT&CK into Action with What You Have, Where You ArePutting MITRE ATT&CK into Action with What You Have, Where You Are
Putting MITRE ATT&CK into Action with What You Have, Where You AreKatie Nickels
 
Detection and Response Roles
Detection and Response RolesDetection and Response Roles
Detection and Response RolesFlorian Roth
 
Arbor Presentation
Arbor Presentation Arbor Presentation
Arbor Presentation J Hartig
 
WannaCry ransomware outbreak - what you need to know
WannaCry ransomware outbreak - what you need to knowWannaCry ransomware outbreak - what you need to know
WannaCry ransomware outbreak - what you need to knowSymantec Security Response
 
Cyber security
Cyber securityCyber security
Cyber securityAkdu095
 
Adversary Emulation using CALDERA
Adversary Emulation using CALDERAAdversary Emulation using CALDERA
Adversary Emulation using CALDERAErik Van Buggenhout
 

Tendances (20)

MITRE ATT&CK framework
MITRE ATT&CK frameworkMITRE ATT&CK framework
MITRE ATT&CK framework
 
Packet sniffing in LAN
Packet sniffing in LANPacket sniffing in LAN
Packet sniffing in LAN
 
Bug Bounty Secrets
Bug Bounty Secrets Bug Bounty Secrets
Bug Bounty Secrets
 
ATTACKers Think in Graphs: Building Graphs for Threat Intelligence
ATTACKers Think in Graphs: Building Graphs for Threat IntelligenceATTACKers Think in Graphs: Building Graphs for Threat Intelligence
ATTACKers Think in Graphs: Building Graphs for Threat Intelligence
 
Malware.pptx
Malware.pptxMalware.pptx
Malware.pptx
 
Sensibilisation à la sécurité
Sensibilisation à la sécurité Sensibilisation à la sécurité
Sensibilisation à la sécurité
 
security onion
security onionsecurity onion
security onion
 
Cyber security presentation
Cyber security presentation Cyber security presentation
Cyber security presentation
 
Botnet
BotnetBotnet
Botnet
 
Putting MITRE ATT&CK into Action with What You Have, Where You Are
Putting MITRE ATT&CK into Action with What You Have, Where You ArePutting MITRE ATT&CK into Action with What You Have, Where You Are
Putting MITRE ATT&CK into Action with What You Have, Where You Are
 
Modern Malware and Threats
Modern Malware and ThreatsModern Malware and Threats
Modern Malware and Threats
 
Noc Vs SOC, Arabic
Noc Vs SOC, ArabicNoc Vs SOC, Arabic
Noc Vs SOC, Arabic
 
Jump-Start The MASVS
Jump-Start The MASVSJump-Start The MASVS
Jump-Start The MASVS
 
Networks
NetworksNetworks
Networks
 
Detection and Response Roles
Detection and Response RolesDetection and Response Roles
Detection and Response Roles
 
WannaCry ransomware attack
WannaCry ransomware attackWannaCry ransomware attack
WannaCry ransomware attack
 
Arbor Presentation
Arbor Presentation Arbor Presentation
Arbor Presentation
 
WannaCry ransomware outbreak - what you need to know
WannaCry ransomware outbreak - what you need to knowWannaCry ransomware outbreak - what you need to know
WannaCry ransomware outbreak - what you need to know
 
Cyber security
Cyber securityCyber security
Cyber security
 
Adversary Emulation using CALDERA
Adversary Emulation using CALDERAAdversary Emulation using CALDERA
Adversary Emulation using CALDERA
 

En vedette

SECURITY & CONTROL OF INFORMATION SYSTEM (Management Information System)
SECURITY & CONTROL OF INFORMATION SYSTEM (Management Information System)SECURITY & CONTROL OF INFORMATION SYSTEM (Management Information System)
SECURITY & CONTROL OF INFORMATION SYSTEM (Management Information System)Biswajit Bhattacharjee
 
Prezentare Generala Securitatea Informatiei - ISO27001
Prezentare Generala Securitatea Informatiei - ISO27001Prezentare Generala Securitatea Informatiei - ISO27001
Prezentare Generala Securitatea Informatiei - ISO27001iso27001consulting
 
UTI_Dosarul electronic de sanatate
UTI_Dosarul electronic de sanatateUTI_Dosarul electronic de sanatate
UTI_Dosarul electronic de sanatateAgora Group
 
Sisteme colaborative in E-Government
Sisteme colaborative in E-GovernmentSisteme colaborative in E-Government
Sisteme colaborative in E-GovernmentSergiu-George Boboc
 
Planul de dezvoltare al Serviciului Fiscal de Stat 2011-2015
Planul de dezvoltare al Serviciului Fiscal de Stat 2011-2015Planul de dezvoltare al Serviciului Fiscal de Stat 2011-2015
Planul de dezvoltare al Serviciului Fiscal de Stat 2011-2015Moldova ICT Summit
 
Junior recount-powerpoint-2003-version4713
Junior recount-powerpoint-2003-version4713Junior recount-powerpoint-2003-version4713
Junior recount-powerpoint-2003-version4713Yuanita Papamama
 
Prezentarea E-dosar
Prezentarea E-dosar Prezentarea E-dosar
Prezentarea E-dosar Irina Luca
 
Proiect programare web
Proiect programare webProiect programare web
Proiect programare webOana Assd
 
Prezentarea lui Gremalschi Anatol
Prezentarea lui Gremalschi AnatolPrezentarea lui Gremalschi Anatol
Prezentarea lui Gremalschi AnatolAlexandru Lebedev
 
Arhitectura proceselor în Sistemul Informațional de Sănătate
Arhitectura proceselor în Sistemul Informațional de SănătateArhitectura proceselor în Sistemul Informațional de Sănătate
Arhitectura proceselor în Sistemul Informațional de SănătateAgora Group
 
46678951 sisteme-informationale-si-aplicatii-informatice-in-administrarea-afa...
46678951 sisteme-informationale-si-aplicatii-informatice-in-administrarea-afa...46678951 sisteme-informationale-si-aplicatii-informatice-in-administrarea-afa...
46678951 sisteme-informationale-si-aplicatii-informatice-in-administrarea-afa...anaany2
 
Prezentare E-Dosar 16.07.2015
Prezentare E-Dosar 16.07.2015Prezentare E-Dosar 16.07.2015
Prezentare E-Dosar 16.07.2015UNDP Moldova
 
медискрин описание технологий
медискрин описание технологиймедискрин описание технологий
медискрин описание технологийФатима Эркенова
 
Information systems audit and control
Information systems audit and controlInformation systems audit and control
Information systems audit and controlKashif Rana ACCA
 
Curs management-proiect
Curs management-proiectCurs management-proiect
Curs management-proiectcaddylac_slk
 

En vedette (20)

SECURITY & CONTROL OF INFORMATION SYSTEM (Management Information System)
SECURITY & CONTROL OF INFORMATION SYSTEM (Management Information System)SECURITY & CONTROL OF INFORMATION SYSTEM (Management Information System)
SECURITY & CONTROL OF INFORMATION SYSTEM (Management Information System)
 
Prezentare Generala Securitatea Informatiei - ISO27001
Prezentare Generala Securitatea Informatiei - ISO27001Prezentare Generala Securitatea Informatiei - ISO27001
Prezentare Generala Securitatea Informatiei - ISO27001
 
UTI_Dosarul electronic de sanatate
UTI_Dosarul electronic de sanatateUTI_Dosarul electronic de sanatate
UTI_Dosarul electronic de sanatate
 
Sisteme colaborative in E-Government
Sisteme colaborative in E-GovernmentSisteme colaborative in E-Government
Sisteme colaborative in E-Government
 
Planul de dezvoltare al Serviciului Fiscal de Stat 2011-2015
Planul de dezvoltare al Serviciului Fiscal de Stat 2011-2015Planul de dezvoltare al Serviciului Fiscal de Stat 2011-2015
Planul de dezvoltare al Serviciului Fiscal de Stat 2011-2015
 
Junior recount-powerpoint-2003-version4713
Junior recount-powerpoint-2003-version4713Junior recount-powerpoint-2003-version4713
Junior recount-powerpoint-2003-version4713
 
Prezentarea E-dosar
Prezentarea E-dosar Prezentarea E-dosar
Prezentarea E-dosar
 
Proiect programare web
Proiect programare webProiect programare web
Proiect programare web
 
Prezentarea lui Gremalschi Anatol
Prezentarea lui Gremalschi AnatolPrezentarea lui Gremalschi Anatol
Prezentarea lui Gremalschi Anatol
 
iHealth Mobile Diagnostics Device for Android
iHealth Mobile Diagnostics Device for AndroidiHealth Mobile Diagnostics Device for Android
iHealth Mobile Diagnostics Device for Android
 
Arhitectura proceselor în Sistemul Informațional de Sănătate
Arhitectura proceselor în Sistemul Informațional de SănătateArhitectura proceselor în Sistemul Informațional de Sănătate
Arhitectura proceselor în Sistemul Informațional de Sănătate
 
Telemedica and iHealth device
Telemedica and iHealth deviceTelemedica and iHealth device
Telemedica and iHealth device
 
46678951 sisteme-informationale-si-aplicatii-informatice-in-administrarea-afa...
46678951 sisteme-informationale-si-aplicatii-informatice-in-administrarea-afa...46678951 sisteme-informationale-si-aplicatii-informatice-in-administrarea-afa...
46678951 sisteme-informationale-si-aplicatii-informatice-in-administrarea-afa...
 
Prezentare E-Dosar 16.07.2015
Prezentare E-Dosar 16.07.2015Prezentare E-Dosar 16.07.2015
Prezentare E-Dosar 16.07.2015
 
медискрин описание технологий
медискрин описание технологиймедискрин описание технологий
медискрин описание технологий
 
Information systems audit and control
Information systems audit and controlInformation systems audit and control
Information systems audit and control
 
Curs management-proiect
Curs management-proiectCurs management-proiect
Curs management-proiect
 
Steps in it audit
Steps in it auditSteps in it audit
Steps in it audit
 
Cum luăm decizii
Cum luăm deciziiCum luăm decizii
Cum luăm decizii
 
Ghid practic pentru managementul proiectelor
Ghid practic pentru managementul proiectelorGhid practic pentru managementul proiectelor
Ghid practic pentru managementul proiectelor
 

Similaire à Controlul securitatii sistemelor informatice

Managament integrat de risc si matrice analiza de risc
Managament integrat de risc si matrice analiza de riscManagament integrat de risc si matrice analiza de risc
Managament integrat de risc si matrice analiza de riscIonel Nitu
 
Prezentare defcamp 2012 Bogdan Belu
Prezentare defcamp 2012 Bogdan BeluPrezentare defcamp 2012 Bogdan Belu
Prezentare defcamp 2012 Bogdan BeluDistinct Buzz
 
IT Security by provision security distribution
IT Security by provision security distributionIT Security by provision security distribution
IT Security by provision security distributionJulian Medeleanu MBA
 
Is21 cybersecurity
Is21 cybersecurityIs21 cybersecurity
Is21 cybersecurityCrescendo
 
Class IT - 11nov2011
Class IT - 11nov2011Class IT - 11nov2011
Class IT - 11nov2011Agora Group
 

Similaire à Controlul securitatii sistemelor informatice (8)

Cap4 securitatea si
Cap4 securitatea siCap4 securitatea si
Cap4 securitatea si
 
prez14.ppt
prez14.pptprez14.ppt
prez14.ppt
 
Managament integrat de risc si matrice analiza de risc
Managament integrat de risc si matrice analiza de riscManagament integrat de risc si matrice analiza de risc
Managament integrat de risc si matrice analiza de risc
 
Provision Security Long Version
Provision Security Long VersionProvision Security Long Version
Provision Security Long Version
 
Prezentare defcamp 2012 Bogdan Belu
Prezentare defcamp 2012 Bogdan BeluPrezentare defcamp 2012 Bogdan Belu
Prezentare defcamp 2012 Bogdan Belu
 
IT Security by provision security distribution
IT Security by provision security distributionIT Security by provision security distribution
IT Security by provision security distribution
 
Is21 cybersecurity
Is21 cybersecurityIs21 cybersecurity
Is21 cybersecurity
 
Class IT - 11nov2011
Class IT - 11nov2011Class IT - 11nov2011
Class IT - 11nov2011
 

Controlul securitatii sistemelor informatice

  • 2. “Nici un lanț nu este mai puternic decât veriga cea mai slabă”  CONTROL = măsură de prevenire a riscului  RISC = eveniment probabil, viitor, ce poate avea impact negativ asupra unei entități  RISC (DEX) = Posibilitate de a ajunge într-o primejdie, de a avea de înfruntat un necaz sau de suportat o pagubă; pericol posibil  RISC = IMPACT x PROBABILITATE
  • 3. Controlul securității sistemului ca parte a Controlului General Controlul Controlul continuității organizațional activității Controlul General Controlul Controlul dezvoltării și securității întreținerii sistemului
  • 4. Controlul securității sistemului RESURSE INFORMAȚIONALE AUDITOR CONFIDENTIALITATE verifică CONTROL INTEGRITATE asigură DISPONIBILITATE
  • 5. Controlul securității sistemului IDENTIFICARE / ASIGURARE AUTENTIFICARE CONTROLUL RESPONSABILITATE ACCESULUI SECURITATE SECURIZAREA TRANSFERULUI CONTINUITATEA ELECTRONIC SERVICIILOR ACURATEȚE
  • 6. I.Politica de securitate informațională • Set de reguli şi practici care reglează modul în care o organizaţie foloseşte, administrează, protejează şi distribuie propriile informaţii sensibile DOCUMENT - responsabilităţile personalului în ceea ce priveşte securitatea informaţională - atribuţiile responsabilului cu securitatea informaţiilor în cadrul organizaţiei - clasificarea datelor şi nivelurilor de securitate asociate acestei clasificări - rolul auditorului intern în monitorizarea securităţii sistemului
  • 7. II. Clasificarea informațiilor Criterii de clasificare INFORMAȚII •Valoarea •Vârsta •Uzura morală 4 SECRETE 3 CONFIDENTIALE 2 INTERNE 1 PUBLICE
  • 8. III. Strategia de control a securității sistemului 1.Analiza activelor 5.Calculul riscului 2.Analiza politicilor, practicilor 6.Analiza măsurilor de de securitate existente prevenire a atacurilor 3.Analiza posibilelor 7.Determinarea riscului ameninţări ale sistemului rezidual 8.Întocmirea unui raport de 4.Analiza impactului financiar analiză a riscurilor identificate
  • 9. III. Strategia de control a securității sistemului 1.Analiza activelor • Identificarea şi evaluarea resurselor sistemului informatic ce se doresc a fi protejate: - sistem de operare - aplicaţii - infrastructura reţelei - informaţiile prelucrate de sistem. • Auditorul va verifica existenţa unei clasificări a informaţiilor, în funcţie de importanţa lor, în cadrul politicii de securitate existente pentru că măsurile de protecţie ce se impun a fi luate vor fi corelate cu valoarea acestor active.
  • 10. III. Strategia de control a securității sistemului 2.Analiza politicilor, practicilor de securitate existente Politica de securitate se refera la tot personalul angajat •standarde interne si principii privind securitatea S.I. -la nivel global -pe grupe (functii, sectii) de lucru •codul etic al angajatilor si pregatirea acestora
  • 11. III. Strategia de control a securității sistemului Interfata de configurare a politicilor de securitate sub sistemul de operare Windows Server 2003
  • 12. III. Strategia de control a securității sistemului 3.Analiza posibilelor ameninţări ale sistemului Amenințările vizează -Identificarea/autentifcarea utilizatorilor -Disponibilitatea informatiilor -Secretele organizatiei -Integritatea/acuratetea informatiilor -Controlul accesului -Repudierea -Legalitatea -Elemente cu caracter general
  • 13. III. Strategia de control a securității sistemului 4.Analiza impactului financiar Impactul financiar •estimarea valorică a pierderilor entităţii ca urmare a exploatării vulnerabilităţilor sistemului de către ameninţări •pe termen lung sau pe termen scurt 0 – impact neglijabil 1 – efectul e minor, procesele organizaţiei nu vor fi afectate. 2 – procesele organizaţiei sunt afectate o perioadă de timp, se înregistrează pierderi financiare şi chiar confidenţialitatea clienţilor este afectată minim. 3 – se înregistrează pierderi semnificative asupra proceselor organizaţiei, confidenţialitatea clienţilor este pierdută, valoarea de piaţă a acţiunilor scade. 4 – efectele sunt dezastruoase, dar organizaţia poate supravieţui cu costuri semnificative. 5 – efectele sunt catastrofice, societatea nu poate supravieţui.
  • 14. III. Strategia de control a securității sistemului 5.Calculul riscului Risc = Impact x Probabilitate Probabilitate 1 – ameninţarea este foarte improbabil să apară 2 – ameninţarea e posibil să apară mai puţin de o dată pe an 3 – ameninţarea e posibil să apară o dată pe an 4 – ameninţarea e posibil să apară o dată pe lună 5 – ameninţarea e posibil să apară o dată pe săptămână 6 – ameninţarea e posibil să apară o dată pe zi Riscul poate avea o valoare minimă 0 şi una maximă 25. Auditorul în această etapă va seta o valoare a riscului acceptabil.
  • 15. III. Strategia de control a securității sistemului 6.Analiza măsurilor de prevenire a atacurilor • Control restrictiv ce are ca efect reducerea probabilităţii unui atac deliberat; • Control preventiv ce protejează vulnerabilităţile cunoscute sau presupuse şi reduc impactul unui atac reuşit; • Control corectiv ce reduce efectul unui atac prin supravegherea corectitudinii şi integrităţii datelor; • Control detectiv ce descoperă atacuri iniţiate sau în desfăşurare şi alarmează sistemul corespunzător.
  • 16. III. Strategia de control a securității sistemului Verificarea evenimentelor ce au impact asupra sistemului (log-urilor) sub Windows Server 2003
  • 17. III. Strategia de control a securității sistemului 6.Analiza măsurilor de prevenire a atacurilor HACKER Control Control corectiv restrictiv minimizează creează probabilitate descrește apariție ATAC exploatează descoperă VULNERA Control BILITATI detectiv protejează declanșează rezultă în Control IMPACT preventiv
  • 18. III. Strategia de control a securității sistemului 7.Determinarea riscului rezidual Riscul rezidual -rămâne după analiza şi evaluarea tuturor măsurilor de combatere a riscurilor -semnalarea punctelor slabe, nevralgice ale sistemului asociate cu ameninţările corespunzătoare şi probabilitatea lor de a avea loc -toate măsurile (recomandările) ce se impun a fi aplicate dacă riscul rezidual nu se încadrează la un nivel acceptabil
  • 19. III. Strategia de control a securității sistemului 8.Întocmirea unui raport de analiză a riscurilor identificate şi a securităţii în ansamblul său Urmarea acestei analize o poate reprezenta detalierea testelor pentru elementele semnificative ale sistemului, aşa zisele puncte slabe, vulnerabile. În acest sens, auditorul poate urmări: -securitatea comunicaţiilor -controlul accesului logic şi fizic -securitatea fizică -evaluarea sistemului copiilor de siguranţă(back-up) -evaluarea sistemelor de protecţie antivirus
  • 20. III. Strategia de control a securității sistemului 8.Întocmirea unui raport de analiză a riscurilor identificate şi a securităţii în ansamblul său Urmarea acestei analize o poate reprezenta detalierea testelor pentru elementele semnificative ale sistemului, aşa zisele puncte slabe, vulnerabile. În acest sens, auditorul poate urmări: -securitatea comunicaţiilor -controlul accesului logic şi fizic -securitatea fizică -evaluarea sistemului copiilor de siguranţă(back-up) -evaluarea sistemelor de protecţie antivirus
  • 21. IV. Securitatea comunicațiilor O aplicaţie ce utilizează sistemele bazate pe securitate trebuie să asigure: •Confidenţialitatea: menţinerea caracterului privat al informaţiei •Integritatea: dovada că respectiva informaţie nu a fost modificată •Autenticitatea: dovada identităţii celui ce transmite mesajul •Non-repudierea: siguranţa că cel ce generează mesajul nu poate să-l denigreze mai târziu. Criptografia este considerată a fi „arta” sau ştiinţa de menţinere a mesajelor secrete, asigurând confidenţialitatea, prin criptarea unui mesaj, folosind în acest sens chei asociate cu un algoritm SISTEME DE CRIPTARE -Simetrice -Asimetrice PKI – Public Key Infrastructure
  • 22. V. Controlul accesului • Control al accesului în sistem – control fizic • Control al accesului la resursele sistemului – control logic Controlul accesului prin parole Auditorul va verifica dacă sunt stabilite proceduri pentru schimbarea lor periodică, păstrarea confidenţialităţii parolei, "transparenţa" parolelor, accesul la fişierele cu parole este protejat. Controlul accesului in mediile publice -FIREWALL -VPN -Tehnici de cripatare + PKI -ANTIVIRUSI
  • 23. VI. Securitatea fizică Controlul securităţii fizice include măsuri ce vor face ca procesarea datelor să nu fie afectată de dezastre naturale (foc, inundaţii), accidente tehnice (căderi de tensiune), condiţii de mediu (umiditate, lipsa ventilaţiei). Auditorul verifică măsura în care accesul fizic la date şi resursele hardware sunt restricţionate corespunzător: •spaţii speciale pentru amenajarea calculatoarelor cu protecţie la incendii, inundaţii, etc. •analiza mediilor de stocare a datelor. Existenta unor programe gen Easy Recovery sau Lost & Found care permit recuperarea datelor şterse de pe mediile de stocare pot genera prejudicii importante. •echipamentelor trebuie să li se asigure condiţiile de mediu specificate în documentaţia tehnică; •sisteme de supraveghere şi alarmă; •controlul personalului de securitate.
  • 24. VII. Evaluarea sistemului copiilor de siguranță • Ce informații necesită copii de siguranță? • Sunt procedurile de backup (pentru date si soft) cele potrivite? • Sunt backup-urile corect jurnalizate si stocate in locatii sigure? • Exista siguranta ca backup-urile si procedurile de restaurare vor lucra la nevoie? • Datele din fisierele copii sunt acoperitoare pentru refacerea fisierelor operationale? Back-up incremental “fiu-tată-bunic”
  • 25. VII. Evaluarea sistemelor de protecție antivirus • verificarea existenţei programelor antivirus la nivel de server şi staţie de lucru; • o analiză a update-ul software-ului antivirus cu cele mai recente detalii despre noii viruşi (automat, manual); • drepturile de a suspenda monitorizarea antivirus aparţine numai administratorului sau/şi operatorilor, utilizatorilor; • analiza configurării software-ul antivirus astfel încât acesta să aibă posibilitatea de a verifica e-mail-ul, cd-urile, dispozitivele USB, browser- ul de web, arhivele, alte unităţi de stocare; • utilizarea unei arhitecturi distribuite client/server pentru instalarea/configurarea/adminstrarea solutiei antivirus.