PROTECŢIA SURSELOR GENERATOARE DE INFORMAŢII INFOSEC PROTECŢIA SURSELOR GENERATOARE DE INFORMAŢII – INFOSEC Modalităţile şi măsurile de protecţie a informaţiilor clasificate care se prezintă în format electronic sunt similare celor pe suport de hârtie. Noțiuni generale INFOSEC – ansamblul măsurilor şi structurilor de protecţie a informaţiilor clasificate care sunt prelucrate, stocate sau transmise prin intermediul sistemelor informatice de comunicaţii şi al altor sisteme electronice, împotriva ameninţărilor şi a oricăror acţiuni care pot aduce atingere confidenţialităţii, integrităţii, disponibilităţii autenticităţii şi nerepudierii informaţiilor clasificate precum şi afectarea funcţionării sistemelor informatice, indiferent dacă acestea apar accidental sau intenţionat. informaţiile în format electronic – texte, date, imagini, sunete, înregistrate pe dispozitive de stocare sau pe suporturi magnetice, optice, electrice ori transmise sub formă de curenţi, tensiuni sau câmp electromagnetic, în eter sau în reţele de comunicaţii; sistemul informatic şi de comunicaţii (SIC) – ansamblu informatic prin intermediul căruia se stochează, se procesează şi se transmit informaţii în format electronic; confidenţialitatea – asigurarea accesului la informaţii clasificate numai pe baza certificatului de securitate al persoanei, în acord cu nivelul de secretizare a informaţiei accesate şi a permisiunii rezultate din aplicarea principiului nevoii de a cunoaşte; integritatea – interdicţia modificării – prin ştergere sau adăugare – ori a distrugerii în mod neautorizat a informaţiilor clasificate; disponibilitatea – asigurarea condiţiilor necesare regăsirii şi folosirii cu uşurinţă, ori de câte ori este nevoie, cu respectarea strictă a condiţiilor de confidenţialitate şi integritate a informaţiilor clasificate; autenticitatea – asigurarea posibilităţii de verificare a identităţii pe care un utilizator de SPAD sau RTD pretinde că o are; nerepudierea – măsură prin care se asigură faptul că, după emiterea/recepţionarea unei informaţii într-un sistem de comunicaţii securizat, expeditorul/destinatarul nu poate nega, în mod fals, că a expediat/primit informaţii; risc de securitate – probabilitatea ca o ameninţare sau o vulnerabilitate ale SPAD sau RTD – SIC să se materializeze în mod efectiv; acreditarea – etapa de acordare a autorizării şi aprobării unui SIC de a prelucra informaţii clasificate, în spaţiul/mediul operaţional propriu; ameninţarea – posibilitatea de compromitere accidentală sau deliberată a securităţii SPAD sau RTD -SIC, prin pierderea confidenţialităţii, a integrităţii sau disponibilităţii informaţiilor în format electronic sau prin afectarea funcţiilor care asigură autenticitatea şi nerepudierea informaţiilor; vulnerabilitatea – slăbiciune sau lipsă de control care ar putea permite sau facilita o manevră tehnică, procedurală sau operaţională, prin care se ameninţă o valoare sau ţintă specifică. Lucrul cu informațiile clasificate în format electronic Lucrul cu informații clasificate pe sistemele informatice și de comunicații se face doar pe sisteme acreditate. Suporții pe care sunt gestionate informații clasificate trebuie să fie, în prealabil, înregistrați într-o evidență specifică. Conform legii, mediile de stocare a sistemelor informatice pentru stocare și prelucrare sunt: dischete, compact-discuri, hard-discuri, memorii PROM şi EPROM, riboane Informaţia în format electronic este reprezentată în texte, date, imagini, sunete, înregistrate pe dispozitive electronice de stocare sau pe suporturi magnetice, optice, electrice ori transmise sub formă de curenţi, tensiuni sau câmp electromagnetic, în eter sau în reţele de comunicaţii. Informaţie în format electronic întâlnim în sistemele de calcul, în reţelele de transmisii date, în telefonia fixă sau mobilă, în transmisiile radio, etc. Informaţia clasificată în format electronic reprezintă orice informaţie în format electronic de interes pentru securitatea naţională, care, datorită nivelurilor de importanţă şi consecinţelor care s-ar produce ca urmare a dezvăluirii şi diseminării neautorizate, trebuie să fie protejată. Nu se poate vorbi despre informaţie clasificată în format electronic decât în strânsă legătură cu sistemele informatice si de comunicaţie (SIC) care le procesează, stochează sau transmit între diverse componente prin diverse medii de transmitere (fir, aer, mediu de stocare). Securitatea informaţiei în format electronic – stare de siguranţă în care se află informaţia – se realizează prin măsuri de protecţie asupra sistemelor informatice şi de comunicaţii, a căror implementare duce la înlăturarea riscului de securitate (probabilitatea ca o ameninţare la adresa securităţii unui sistem informatic şi de comunicaţii să exploateze o vulnerabilitate a acestuia, efectul fiind compromiterea obiectivelor de securitate, respectiv: confidenţialitatea, integritatea, disponibilitatea, autenticitatea şi nerepudierea informaţiilor clasificate vehiculate prin acel sistem informatic). Potrivit Standardelor naţionale de protecţie a informaţiilor clasificate în România – securitatea informaţiilor clasificate în format electronic acoperă securitatea calculatoarelor, a mediilor de stocare, a comunicaţiilor, precum şi depistarea şi prevenirea ameninţărilor la care sunt expuse informaţiile şi sistemele informatice. Există legislaţie în domeniu, începând cu Legea nr.182, Standardele de protecţie a informaţiilor clasificate, Ordinele Directorului ORNISS în care sunt prezentate în amănunt măsurile de protecţie ce trebuie luate pentru protecţia informaţiei clasificate în format electronic. Sunt măsuri şi proceduri care trebuie urmate începând de la achiziţie, operaţionalizare, acreditare şi scoatere din uz a sistemelor informatice. Totuşi, până a ajunge la implementarea în detaliu a tuturor acestor măsuri şi proceduri de securitate sunt necesare şi posibile demersuri care ne stau la îndemână şi a căror implementare duce la scăderea considerabilă a riscului de securitate. O parte din acestea sunt cele valabile şi la gestionarea în condiţii de securitate a documentelor pe suport de hârtie, sau sunt facilități ale sistemelor informatice oferite de fabricant (hard sau soft) sau se referă la protecţia personalului. Standardele naţionale de protecţie a informaţiilor clasificate operează cu următoarele componente INFOSEC: Securitatea personalului Securitatea fizică Controlul accesului la SIC Securitatea informaţiilor clasificate în format electronic Controlul şi evidenţa informaţiilor în format electronic Manipularea şi controlul mediilor de stocare a informaţiilor clasificate în format electronic Declasificarea şi distrugerea mediilor de stocare a informaţiilor în format electronic Dintre aceste componente, ne-am propus să supunem atenţiei componenta de securitate a informaţiei clasificate în format electronic iar în această perspectivă să discutăm despre: securitatea calculatoarelor – a sistemelor informatice; securitatea mediilor de stocare; securitatea comunicaţiilor. Măsurile de protecţie pentru a căror implementare nu este necesară intervenţia cuiva din afară ci poate fi făcută de structura de securitate – administratorii bazelor de date şi ai reţelelor de calculatoare sunt: Securitatea calculatoarelor Securitatea mediilor de stocare a informaţiilor Securitatea comunicaţiilor Securitatea fizică A. Securitatea calculatoarelor – COMPUSEC Securitatea calculatoarelor – COMPUSEC – aplicarea la nivelul fiecărui calculator a facilităţilor de securitate hardware, firmware şi software,
Securitatea în rețele sociale și controlul parental în mediul online
Securitatea în rețele sociale și controlul parental în mediul online Ghid realizat în cadrul campaniei de conștientizare a riscurilor de securitate cibernetică derulată în România sub egida ECSM de către CERT-RO. securitatea în rețelele sociale controlul parental în mediul online sfaturi pentru părinți INTRODUCERE Securitatea în rețelele sociale preocupă tot mai mulţi utilizatori din întreaga lume. Este şi firesc, din moment ce oamenii împărtăşesc o multitudine de informaţii personale, la care au acces nu doar prietenii și familia, ci și escrocii, care creează ameninţări tot mai variate. Anul acesta, cei aproximativ 900 de milioane de utilizatori Facebook au fost expuşi la scam-uri “clasice” de tipul “ghici cine ți-a vizualizat profilul“, dar și la campanii frauduloase care promiteau premii substanţiale. Bitdefender prezintă câteva aspecte mai puţin ştiute despre reţelele sociale şi metodele care vă ajută să stați departe de escroci, viruşi, fraude şi alte ameninţări distribuite pe Facebook, Twitter, Pinterest sau LinkedIn. Producătorul de soluții de securitate va defini apoi cele mai importante probleme cu care se confruntă copiii în mediul online și va arăta cum pot părinții să îi protejeze pe cei mici folosind software de control parental. AMENINŢĂRI ÎN REŢELE SOCIALE Toate rețelele sociale sunt amenințate de amenințări , fie că este vorba de probleme de conectare, erori de tip “cross-site scripting” sau vulnerabilități Java pe care hackerii le pot exploata. Un simplu Troian de tip „dropper” pe care un atacator îl ascunde într-un banner sau link de pe o rețea socială poate ajunge ușor, de la un utilizator la altul, direct pe sistemele vulnerabile. Când utilizatorul intră apoi pe site-ul unui magazin online sau își plătește facturile pe Internet, Troianul îi poate fura parolele, datele de identificare ale cardului bancar, precum şi alte informații personale pe care le trimite la un server de comandă şi control (C&C). Deşi rețelele sociale precum Facebook au propriul sistem „cloud” în care stochează datele utilizatorilor, multe aplicații externe neverificate accesează o multitudine de informații personale pentru că oamenii le acordă prea multe permisiuni. Odată ce acestea sunt introduse în sistemul de stocare al aplicațiilor, nimeni nu mai poate controla ce se întâmplă cu ele. În ultimii doi ani, numărul de viruşi propagaţi prin rețele sociale, cel mai adesea prin scam-uri de pe Facebook, a crescut. În 2013, cel mai popular virus care a circulat şi pe timeline-uri din România a fost Dorkbot. Acesta s-a răspândit prin chat-ul de pe Facebook sub forma unor linkuri trimise accidental de prieteni. Virusul îşi putea face singur actualizările pentru a-şi instala cea mai nouă versiune şi fusese deja detectat de Bitdefender într-o versiune iniţială, în urmă cu doi ani. Pentru că avea capacităţi rootkit, virusul putea să împiedice soluţiile obişnuite de securitate să se actualizeze şi, totodată, spiona activitatea utilizatorilor în browser. Dorkbot nu se răspândea doar prin mesageria instant, ci şi prin dispozitive USB. În aprilie 2013, un studiu realizat de Bitdefender a arătat că, în România, cele mai populare escrocherii de pe Facebook sunt de tipul “vezi cine ţi-a vizualizat profilul”. Acestea le promit utilizatorilor că pot primi o listă a persoanelor care le urmăresc activitatea, mesajele şi pozele de pe rețeaua socială. În topul site-urilor periculoase răspândite pe Facebook se află şi linkurile frauduloase, care încearcă să îi convingă pe utilizatori să participe la sondaje pentru a câștiga premii, de obicei telefoane mobile sau tablete. Pentru că utilizatorii au învățat să recunoască mesajele de tip phishing, prin care le sunt furate datele personale, această ameninţare nu mai este atât de populară ca acum câţiva ani. După mesajele false de tipul “cine ți-a văzut profilul”, pe locul doi în topul escrocheriilor de pe Facebook se află un filmuleț care ar înfăţișa-o pe cântăreața Rihanna în ipostaze indecente. Un click pe un astfel de link instalează viruşi pe calculatoarele victimelor şi îi păcălește să dezvăluie date personale. Astfel de escrocherii sunt recurente, apărând periodic pe rețeaua socială. Inițiatorii campaniilor variază doar numele vedetelor şi mesajul folosit, fără a schimba alte coordonate ale scam-ului. Studiul Bitdefender a arătat că, anul acesta, Rihanna şi Taylor Swift au fost numele de vedete cele mai folosite pentru a păcăli utilizatorii. Acestora leau urmat Kim Kardashian, Megan Fox, Justin Bieber, Selena Gomez şi Chris Brown. O campanie spam populară pe Facebook la nivel internațional a fost adresată utilizatorilor care îşi doreau să schimbe tematica standard a profilului într-una diferită (de culoare verde sau roşie). Scam-ul le cerea utilizatorilor să descarce şi să execute un fişier de pe un link din afara rețelei sociale. Acesta era, în unele cazuri, o extensie de browser pentru Firefox sau Chrome care îi redirecţiona către pagini cu sondaje şi servicii cu supra-taxă pentru horoscop sau tonuri de apel. EXCROCHERII PE FACEBOOK Pentru că frecvența anumitor teme în escrocheriile de pe rețelele sociale le poate indica utilizatorilor care sunt mesajele de care să se ferească, Bitdefender a realizat şi un top 10 al escrocheriilor de pe Facebook: 1. Numărul total de vizitatori 24% 2. Video porno cu Rihanna şi iubitul ei 17% 3. Am aflat cum să îi văd pe cei care se uită la profilul meu – 5,31% 5% 4. Verifică dacă te-a șters un prieten 5% 5. Spune adio paginii de Facebook albastre 4% 6. Clip video porno cu Taylor Swift – 3,76% 3% 7. Bilete “gratis” la Disneyland – 2,55% 2% 8. Activează-ţi butonul “nu îmi place”- 2,15% 2% 9. Îi pot vedea pe cei care mă spionează – 1,67% 1% 10. Schimbă-ţi culoarea de Facebook- 1,64% 1% 11. Altele – 32,53% 32% Dacă în România utilizatorii sunt mai atraşi de escrocheria “vezi cine ţi-a vizualizat profilul”, în Franţa oamenii se lasă adesea păcăliţi să îşi “schimbe” culoarea paginii de Facebook. În schimb, englezii şi spaniolii cad repede în capcana promisiunii că pot afla care dintre foștii iubiţi le verifică profilul. Deşi este destinația socială cea mai populară pentru escroci, Facebook nu este singura platformă care le-a acaparat atenţia. Anul acesta, Pinterest a început să devină,
Securitatea datelor și informațiilor în sistemele informatice
Securitatea datelor și informațiilor în sistemele informatice Securitatea informațiilor , uneori scurtată la INFOSEC , este practica protejării informațiilor prin reducerea riscurilor de informare. Face parte din managementul riscului informațional. De obicei implică prevenirea sau cel puțin reducerea probabilității accesului neautorizat / inadecvat la date sau utilizarea ilegală, divulgarea, întreruperea, ștergerea, corupția, modificarea, inspecția, înregistrarea sau devalorizarea informațiilor. CONCEPTE CHEIE TIPURI AMENIȚĂRI MĂSURI PROTECȚIE Introducere Orice organizatie are nevoie de securitate. Nu dimensiunea unei organizatii determina necesitatea de protectie a datelor, ci criticitatea sau confidentialitatea acestora. Un aspect foarte important este cel al functionalitatii comunicatiilor si de aici necesitatea unei protectii adecvate. Sectorul financiar-bancar este cel mai constient de nevoia de securitate, aici existand si norme legislative, mai ales in conditiile in care bancile oferă servicii precum Internet Banking, insa si alte sectoare, cum ar fi infrastructurile mari utilizează continuu Internetul pe toate palierele de activitate ale acestora, dar, în special, pentru comunicare. Solutiile de genul firewall-antivirus nu mai acopera de mult nevoia de securitate a unui sistem informatic, desi instalarea unor astfel de solutii actuale si eficiente sunt inca de interes, la ora actuala fiind cautate sistemele de protecttie antiintruziune, atat la nivel de retea, cat si de server, de sisteme pentru protectia comunicatiilor, de solutii puternice de autentificare si mai ales de servicii profesionale de consultanta, training, suport, audit si certificare. Trebuie deci realizata o protectie reala a sistemelor informatice si nu doar asigurata securizarea lor. Securitatea IT inseamna: tehnologie; procese educatie. Dezvoltarea unui sistem de protectie trebuie facuta planificat, pe baza unui buget stabilit, a unei strategii si trebuie dublata de dezvoltarea de competente pentru utilizarea sa ulterioara. Daca la nivelul anilor trecuti nivelul de constientizare era destul de scazut la noi si din acest motiv numai companiile mari urmareau serios dezvoltarea de sisteme de protectie solide, in momentul de fata asistam la o informatizare pe scara larga a institutiilor, lucru datorat avantajelor aduse de sistemele informatice. Astfel colectarea, transmiterea, procesarea, stocarea si regasirea datelor se face mai rapid, mai ieftin, mai usor, cu o economie mai mare de spatiu, ceea ce duce la o economie semnificativa de timp si de efort, care pot fi investite astfel pentru realizarea unor activitati curente de o mai buna calitate. De asemenea, se asigura un control mai bun al sistemului, in special in ceea ce priveste costurile. Cu toate acestea, exista si un dezavantaj major: securitatea datelor devine mai greu de asigurat. O persoana poate sa aiba acces la unele date de la distanta, fara sa fie vazuta si fara sa lase urme. De asemenea, accesul la o mare cantitate de date intr-un timp scurt si eventual preluarea lor este mult usurata. De asemenea, se pot sterge si modifica date, de multe ori fara a se lasa nici un indiciu ca acest lucru s-ar fi intamplat. Toate acestea se realizeaza cu ajutorul calculatoarelor, al retelelor de comunicatii si a dispozitivelor aferente . Cum pot fi protejate datele in sistemele informatice, care sunt amenintarile la adresa securitatii lor si cum pot fi ele reduse ori eliminate? Protectia datelor dintr-un sistem informatic are ca scop impiedicarea folosirii lor in mod neadecvat, intentionat sau nu, de catre diversi agenti (utilizatori sau programe), fie ca apartin sau nu organizatiei care detine sistemul informatic. Acest domeniu face parte din cadrul mai larg al securitatii informatiei, care nu este restransa la sistemele informatice sau la informatia aflata intr-o forma electronica sau usor de citit de catre o masina, ci se aplica tuturor aspectelor protejarii datelor si informatiilor . Glosarul National de Securitate al Sistemelor Informationale, publicat de National Security Telecommunications and Information Systems Security Committee (Comitetul National de Securitate al Sistemelor Informationale si de Telecomunicatii) din cadrul guvernului federal al SUA, defineste securitatea sistemelor informationale (INFOSEC) in felul urmator: ”Protectia sistemelor informatice impotriva accesului neautorizat la informatie sau a modificarii neautorizate a informatei, in cadrul stocarii, procesarii sau tranzitului, si impotriva refuzului deservirii utilizatorilor autorizati, sau asigurarea deservirii utilizatorilor autorizati, incluzand acele masuri necesare pentru a detecta, documenta sau contracara aceste amenintari.” Merita mentionat faptul ca securitatea informatiei nu poate fi absoluta. Nimeni nu poate elimina toate riscurile folosirii neadecvate ale informatiei. In orice situatie particulara, nivelul de securitate al informatiei va trebui sa fie stabilit in functie de valoarea informatiei si de pierderile de orice natura care are ar rezulta din folosirea necuvenita a informatiei dezvaluirea, degradarea, refuzul accesului sau altele. Este vorba de un proces de management al riscului. O politica de securitate prea stricta, spre exemplu, ar ingreuna prea mult accesul la informatie, ar mari timpul de lucru, ar avea costuri financiare prea mari, etc. Triada confidențialitate, integritate, disponibilitate CONFIDENȚIALITATE Prevenirea accesului entitatilor neautorizate (persoane, grupuri de persoane, procese, dispozitive) la un set specific de date sau informatii, sau asigurarea faptului ca un set specific de date sau informatii sunt accesibile numai celor autorizati sa aiba acces la ele. INTEGRITATE Protectia impotriva modificarii sau distrugerii neautorizate a informatiilor. Modificarea neautorizata a informatiilor poate avea efecte grave in cazul sistemelor informatice si se poate realiza fie prin accesul la baza de date, fie prin modificarea mesajelor in tranzit. DISPONIBILITATE Sistemele de calcul utilizate pentru stocarea și procesarea informațiilor, controalele de securitate utilizate pentru protejarea acestora și canalele de comunicații utilizate pentru a le accesa trebuie să funcționeze corect. confidențialitatea datelor Poate fi definita ca fiind prevenirea accesului entitatilor neautorizate (persoane, grupuri de persoane, procese, dispozitive) la un set specific de date sau informatii, sau asigurarea faptului ca un set specific de date sau informatii sunt accesibile numai celor autorizati sa aiba acces la ele. Confidentialitatea poate fi obtinuta prin mai multe procedee, dupa cum urmeaza: Restricția accesului care reprezinta o modalitate directa de asigurare a confidentialitatii prin impiedicarea accesului la datele sau informatiile protejate. In aceasta situatie, confidentialitatea datelor este dependenta de securitatea sistemului per ansamblu, fie ca e vorba de un calculator, un server sau o legatura de comunicatie. Restrictia accesului poate fi implementata mai intai la nivel fizic,
Protecția surselor generatoare de informații clasificate – INFOSEC
Protecția surselor generatoare de informații clasificate – INFOSEC – IMPORTANT !! Modalităţile şi măsurile de protecţie a informaţiilor clasificate care se prezintă în format electronic sunt similare celor pe suport de hârtie. NOȚIUNI INFOSEC – ansamblul măsurilor şi structurilor de protecţie a informaţiilor clasificate care sunt prelucrate, stocate sau transmise prin intermediul sistemelor informatice de comunicaţii şi al altor sisteme electronice, împotriva ameninţărilor şi a oricăror acţiuni care pot aduce atingere confidenţialităţii, integrităţii, disponibilităţii autenticităţii şi nerepudierii informaţiilor clasificate precum şi afectarea funcţionării sistemelor informatice, indiferent dacă acestea apar accidental sau intenţionat. Informaţiile în format electronic – texte, date, imagini, sunete, înregistrate pe dispozitive de stocare sau pe suporturi magnetice, optice, electrice ori transmise sub formă de curenţi, tensiuni sau câmp electromagnetic, în eter sau în reţele de comunicaţii; Sistemul informatic şi de comunicaţii (SIC) – ansamblu informatic prin intermediul căruia se stochează, se procesează şi se transmit informaţii în format electronic; Confidenţialitatea – asigurarea accesului la informaţii clasificate numai pe baza certificatului de securitate al persoanei, în acord cu nivelul de secretizare a informaţiei accesate şi a permisiunii rezultate din aplicarea principiului nevoii de a cunoaşte; Integritatea – interdicţia modificării – prin ştergere sau adăugare – ori a distrugerii în mod neautorizat a informaţiilor clasificate; Disponibilitatea – asigurarea condiţiilor necesare regăsirii şi folosirii cu uşurinţă, ori de câte ori este nevoie, cu respectarea strictă a condiţiilor de confidenţialitate şi integritate a informaţiilor clasificate; Autenticitatea – asigurarea posibilităţii de verificare a identităţii pe care un utilizator de SPAD sau RTD pretinde că o are; Nerepudierea – măsură prin care se asigură faptul că, după emiterea/recepţionarea unei informaţii într-un sistem de comunicaţii securizat, expeditorul/destinatarul nu poate nega, în mod fals, că a expediat/primit informaţii; Risc de securitate – probabilitatea ca o ameninţare sau o vulnerabilitate ale SPAD sau RTD – SIC să se materializeze în mod efectiv; Acreditarea – etapa de acordare a autorizării şi aprobării unui SIC de a prelucra informaţii clasificate, în spaţiul/mediul operaţional propriu; Ameninţarea – posibilitatea de compromitere accidentală sau deliberată a securităţii SPAD sau RTD -SIC, prin pierderea confidenţialităţii, a integrităţii sau disponibilităţii informaţiilor în format electronic sau prin afectarea funcţiilor care asigură autenticitatea şi nerepudierea informaţiilor; Vulnerabilitatea – slăbiciune sau lipsă de control care ar putea permite sau facilita o manevră tehnică, procedurală sau operaţională, prin care se ameninţă o valoare sau ţintă specifică. Lucrul cu informațiile clasificate în format electronic Lucrul cu informații clasificate pe sistemele informatice și de comunicații se face doar pe sisteme acreditate. Suporții pe care sunt gestionate informații clasificate trebuie să fie, în prealabil, înregistrați într-o evidență specifică. Medii de stocare a sistemelor informatice pentru stocare și prelucrare sunt: Floppy Disk CD-ROM HDD/SSD memorii PROM şi EPROM Riboane Informaţia în format electronic reprezintă texte, date, imagini, sunete, înregistrate pe dispozitive electronice de stocare sau pe suporturi magnetice, optice, electrice ori transmise sub formă de curenţi, tensiuni sau câmp electromagnetic, în eter sau în reţele de comunicaţii. Informaţie în format electronic întâlnim în sistemele de calcul, în reţelele de transmisii date, în telefonia fixă sau mobilă, în transmisiile radio, etc. Informaţia clasificată în format electronic reprezintă orice informaţie în format electronic de interes pentru securitatea naţională, care, datorită nivelurilor de importanţă şi consecinţelor care s-ar produce ca urmare a dezvăluirii şi diseminării neautorizate, trebuie să fie protejată. Nu se poate vorbi despre informaţie clasificată în format electronic decât în strânsă legătură cu sistemele informatice si de comunicaţie (SIC) care le procesează, stochează sau transmit între diverse componente prin diverse medii de transmitere (fir, aer, mediu de stocare). Securitatea informaţiei în format electronic – stare de siguranţă în care se află informaţia – se realizează prin măsuri de protecţie asupra sistemelor informatice şi de comunicaţii, a căror implementare duce la înlăturarea riscului de securitate (probabilitatea ca o ameninţare la adresa securităţii unui sistem informatic şi de comunicaţii să exploateze o vulnerabilitate a acestuia, efectul fiind compromiterea obiectivelor de securitate, respectiv: confidenţialitatea, integritatea, disponibilitatea, autenticitatea şi nerepudierea informaţiilor clasificate vehiculate prin acel sistem informatic). Potrivit Standardelor naţionale de protecţie a informaţiilor clasificate în România – securitatea informaţiilor clasificate în format electronic acoperă securitatea calculatoarelor, a mediilor de stocare, a comunicaţiilor, precum şi depistarea şi prevenirea ameninţărilor la care sunt expuse informaţiile şi sistemele informatice. Există legislaţie în domeniu, începând cu Legea nr.182, Standardele de protecţie a informaţiilor clasificate, Ordinele Directorului ORNISS în care sunt prezentate în amănunt măsurile de protecţie ce trebuie luate pentru protecţia informaţiei clasificate în format electronic. Sunt măsuri şi proceduri care trebuie urmate începând de la achiziţie, operaţionalizare, acreditare şi scoatere din uz a sistemelor informatice. Totuşi, până a ajunge la implementarea în detaliu a tuturor acestor măsuri şi proceduri de securitate sunt necesare şi posibile demersuri care ne stau la îndemână şi a căror implementare duce la scăderea considerabilă a riscului de securitate. O parte din acestea sunt cele valabile şi la gestionarea în condiţii de securitate a documentelor pe suport de hârtie, sau sunt facilități ale sistemelor informatice oferite de fabricant (hard sau soft) sau se referă la protecţia personalului. Standardele naţionale de protecţie a informaţiilor clasificate operează cu următoarele componente INFOSEC: Securitatea personalului Securitatea fizică Controlul accesului la SIC Securitatea informaţiilor clasificate în format electronic Controlul şi evidenţa informaţiilor în format electronic Manipularea şi controlul mediilor de stocare a informaţiilor clasificate în format electronic Declasificarea şi distrugerea mediilor de stocare a informaţiilor în format electronic Dintre aceste componente, ne-am propus să supunem atenţiei componenta de securitate a informaţiei clasificate în format electronic iar în această perspectivă să discutăm despre securitatea calculatoarelor – a sistemelor informatice, securitatea mediilor de stocare şi securitatea comunicaţiilor. În continuare vă supun atenţiei câteva din aceste măsuri de protecţie pentru a căror implementare nu este necesară intervenţia cuiva din afară ci poate fi făcută de structura de securitate – administratorii bazelor de date şi ai reţelelor de calculatoare. A. Securitatea calculatoarelor Securitatea calculatoarelor – COMPUSEC – aplicarea la nivelul fiecărui calculator a facilităţilor de securitate hardware, firmware şi software, pentru