cultura de securitate Reguli generale de evidenţă, procesare, multiplicare, manipulare, transmitere, transport şi distrugere Tolerably earnestly middleton extremely distrusts she boy now not. Add and offered prepare how cordial two promise. Greatly who affixed suppose but enquire compact prepare all put. Added forth chief trees but rooms think may. În unităţile deţinătoare de informaţii clasificate se organizează compartimente speciale pentru evidenţa, întocmirea, păstrarea, procesarea, multiplicarea, manipularea, transportul, transmiterea şi distrugerea acestora în condiţii de siguranţă. Activitatea compartimentelor speciale prevăzute este coordonată de structura/funcţionarul de securitate In conformitate cu prevederile H.G. 781/25.07.2002 privind protecţia informaţiilor secrete de serviciu, standardele naţionale de protecţie a informaţiilor clasificate în România, aprobate prin H.G. 585/2002, se aplică în mod corespunzător şi informaţiilor secrete de serviciu în ceea ce priveşte: clasificarea, declasificarea şi măsurile minime de protecţie; regulile generale de evidenţă, întocmire, păstrare, procesare, multiplicare, manipulare, transport, transmitere şi distrugere; obligaţiile şi răspunderile ce revin conducătorilor autorităţilor şi instituţiilor publice, agenţilor economici şi altor persoane juridice; accesul cetăţenilor străini, al cetăţenilor români care au şi cetăţenia altui stat, precum şi al persoanelor apatride la informaţii clasificate şi în locurile în care îşi desfăşoară activităţi, se expun obiecte sau se execută lucrări din aceasta categorie; exercitarea controlului asupra măsurilor de protecţie. identificare, marcare și SEMNARE În situaţia în care documentul de bază este însoţit de anexe, la sfârşitul textului se indică, pentru fiecare anexă, numărul de înregistrare, numărul de file al acesteia şi clasa sau nivelul de secretizare. Anexele se clasifică în funcţie de conţinutul lor şi nu de cel al documentelor pe care le însoţesc. Adresa de însoţire a documentului nu va cuprinde informaţii detaliate referitoare la conţinutul documentelor anexate. Documentele anexate se semnează, dacă este cazul, de persoanele care au semnat documentul de bază. Aplicarea, pe documentele anexate, a ştampilei unităţii emitente este obligatorie. IDENTIFICARE MARCARE SEMNARE La redactarea documentelor ce conţin informaţii clasificate se vor respecta următoarele reguli: menţionarea, în antet, a unităţii emitente, a numărului şi datei înregistrării, a clasei sau nivelului de secretizare, a numărului de exemplare şi, după caz, a destinatarului; numerele de înregistrare se înscriu pe toate exemplarele documentului şi pe anexele acestora, fiind precedate de un zero (0) pentru documentele secrete, de două zerouri (00) pentru cele strict secrete, de trei zerouri (000) pentru cele strict secrete de importanţă deosebită şi de litera “S” pentru secrete de serviciu; la sfârşitul documentului se înscriu în clar, după caz, rangul, funcţia, numele şi prenumele conducătorului unităţii emitente, precum şi ale celui care îl întocmeşte, urmate de semnăturile acestora şi ştampila unităţii; înscrierea, pe fiecare pagină a documentului, a clasei sau nivelului de secretizare atribuit acestuia; pe fiecare pagină a documentelor ce conţin informaţii clasificate se înscriu numărul curent al paginii, urmat de numărul total al acestora. Informaţiile clasificate vor fi marcate, inscripţionate şi gestionate numai de către persoane care au autorizaţie sau certificat de securitate corespunzător nivelului de clasificare a acestora. Marcajul de clasificare va fi aplicat separat de celelalte marcaje, cu caractere şi/sau culori diferite. Toate documentele, indiferent de formă, care conţin informaţii clasificate au înscrise, pe fiecare pagină, nivelul de secretizare. Nivelul de secretizare se marchează prin ştampilare, dactilografiere, tipărire sau olograf, astfel: în partea dreaptă sus şi jos, pe exteriorul copertelor, pe pagina cu titlul şi pe prima pagină a documentului; în partea de jos şi de sus, la mijlocul paginii, pe toate celelalte pagini ale documentului; sub legendă, titlu sau scara de reprezentare şi în exterior – pe verso – atunci când acestea sunt pliate, pe toate schemele, diagramele, hărţile, desenele şi alte asemenea documente. Vezi și marcarea altor suporți Când documentele ce conţin informaţii clasificate se semnează de o singură persoană, datele privind rangul, funcţia, numele şi prenumele acesteia se înscriu sub text, în centrul paginii. Când semnează două sau mai multe persoane, rangul, funcţia, numele şi prenumele conducătorului unităţii se înscriu în partea stângă, iar ale celorlalţi semnatari în partea dreaptă, în ordinea rangurilor şi funcţiilor. Când documentele care conţin informaţii clasificate se emit în comun de două sau mai multe unităţi, denumirile acestora se înscriu separat în antet, iar la sfârşit se semnează de către conducătorii unităţilor respective, de la stânga la dreapta, aplicându-se ştampilele corespunzătoare. La redactarea documentelor ce conţin informaţii clasificate se vor respecta următoarele reguli: menţionarea, în antet, a unităţii emitente, a numărului şi datei înregistrării, a clasei sau nivelului de secretizare, a numărului de exemplare şi, după caz, a destinatarului; numerele de înregistrare se înscriu pe toate exemplarele documentului şi pe anexele acestora, fiind precedate de un zero (0) pentru documentele secrete, de două zerouri (00) pentru cele strict secrete, de trei zerouri (000) pentru cele strict secrete de importanţă deosebită şi de litera “S” pentru secrete de serviciu; la sfârşitul documentului se înscriu în clar, după caz, rangul, funcţia, numele şi prenumele conducătorului unităţii emitente, precum şi ale celui care îl întocmeşte, urmate de semnăturile acestora şi ştampila unităţii; înscrierea, pe fiecare pagină a documentului, a clasei sau nivelului de secretizare atribuit acestuia; pe fiecare pagină a documentelor ce conţin informaţii clasificate se înscriu numărul curent al paginii, urmat de numărul total al acestora. Informaţiile clasificate vor fi marcate, inscripţionate şi gestionate numai de către persoane care au autorizaţie sau certificat de securitate corespunzător nivelului de clasificare a acestora. Marcajul de clasificare va fi aplicat separat de celelalte marcaje, cu caractere şi/sau culori diferite. Toate documentele, indiferent de formă, care conţin informaţii clasificate au înscrise, pe fiecare pagină, nivelul de secretizare. Nivelul de secretizare se marchează prin ştampilare, dactilografiere, tipărire sau olograf, astfel: în partea dreaptă sus şi jos, pe exteriorul copertelor, pe pagina cu titlul şi pe prima pagină a documentului; în partea de jos şi de sus, la mijlocul paginii, pe toate celelalte pagini ale documentului; sub legendă, titlu sau scara de reprezentare şi în exterior –
Protecția a informațiilor clasificate în domeniul activităților contractuale
SECURITATEA INDUSTRIALĂ Activitatea contractuală care implică accesul operatorilor economici la informații clasificate presupune implementarea şi respectarea unui set unitar de norme şi măsuri, care au menirea de a asigura protecția acestor informații, în cadrul etapelor de atribuire, derulare ori de finalizare a contractelor. domeniul activităților contractuale Securitate industrială – sistemul de norme şi măsuri care reglementează protecţia informaţiilor clasificate în domeniul activităţilor contractuale NOȚIUNI INTRODUCTIVE Măsurile de protecție a informațiilor clasificate în activitatea contractuală se vor aplica tuturor persoanelor juridice de drept public sau privat care desfăşoară ori solicită să desfăşoare activităţi contractuale ce presupun accesul la informaţii clasificate. Definiții Securitate industrială – sistemul de norme şi măsuri care reglementează protecţia informaţiilor clasificate în domeniul activităţilor contractuale; Autorizaţie de securitate industrială – document eliberat de Oficiul Registrului Naţional al Informaţiilor Secrete de Stat – ORNISS – unui obiectiv industrial, prin care se atestă că este abilitat să participe la procedura de negociere a unui contract clasificat; Aviz de securitate industrială – document eliberat de către ADS prin care se atestă că obiectivul industrial contractant a implementat toate măsurile de securitate necesare protecţiei informaţiilor clasificate vehiculate în derularea contractului încheiat; Certificat de securitate industrială – document eliberat de ORNISS unui obiectiv industrial, prin care se atestă că este abilitat să deruleze activităţi industriale şi/sau de cercetare ce presupun accesul la informaţii clasificate; Subcontractant – parte care îşi asumă executarea unei părţi a contractului clasificat sub coordonarea contractantului Protecția informațiilor clasificate care fac obiectul activităților contractuale La clasificarea contractelor se vor aplica următoarele reguli generale: în toate stadiile de planificare şi execuţie, contractul se clasifică pe niveluri corespunzătoare, în funcţie de conţinutul informaţiilor; clasificările se aplică numai acelor părţi ale contractului care trebuie protejate; când în derularea unui contract se folosesc informaţii din mai multe surse, cu niveluri de clasificare diferite, contractul va fi clasificat în funcţie de nivelul cel mai înalt al informaţiilor, iar măsurile de protecţie vor fi stabilite în mod corespunzător; declasificarea sau trecerea la o altă clasă sau nivel de secretizare a unei informaţii din cadrul contractului se aprobă de conducătorul persoanei juridice care a autorizat clasificarea iniţială. În cazul în care contractantul cedează unui subcontractant realizarea unei părţi din contractul clasificat, se va asigura că acesta deţine autorizaţie sau certificat de securitate industrială şi este obligat să înştiinţeze contractorul, iar la încheierea subcontractului să prevadă clauze şi proceduri de protecţie. În procesul de negociere a unui contract clasificat pot participa doar reprezentanţi autorizaţi ai obiectivelor industriale care deţin autorizaţie de securitate industrială. Autorizaţiile de securitate industrială se eliberează pentru fiecare contract clasificat în parte. În cazul în care obiectivul industrial nu deţine autorizaţii de securitate industrială pentru participarea la negocierea acelui contract, este obligatorie iniţierea procedurii de autorizare. Contractantul şi subcontractanţii sunt obligaţi să implementeze şi să respecte toate măsurile de protecţie a informaţiilor clasificate puse la dispoziţie sau care au fost generate pe timpul derulării contractelor. Contractul clasificat va putea fi pus în executare numai în condiţiile în care: s-a emis certificatul de securitate industrială; au fost eliberate certificate de securitate sau autorizaţii de acces pentru persoanele care, în îndeplinirea sarcinilor ce le revin, necesită acces la informaţii secrete de stat; personalul autorizat al contractantului a fost instruit asupra reglementărilor de securitate industrială de către structura/funcţionarul de securitate şi a semnat fişa individuală de pregătire. Aspecte privind verificarea, avizarea şi certificarea obiectivelor industriale care negociază şi derulează contracte clasificate Verificarea, avizarea şi eliberarea autorizaţiei şi certificatului de securitate industrială reprezintă ansamblul procedural de securitate ce se aplică numai obiectivelor industriale care au sau vor avea acces la informaţii clasificate în cadrul contractelor sau subcontractelor , încheiate cu deţinătorii unor astfel de informaţii. Pentru a i se elibera autorizaţia şi certificatul de securitate, obiectivul industrial trebuie să: posede program de prevenire a scurgerii de informaţii clasificate, avizat conform reglementărilor în vigoare; fie stabil din punct de vedere economic; nu fi înregistrat o greşeală de management cu implicaţii grave asupra stării de securitate a informaţiilor clasificate pe care le gestionează; fi respectat obligaţiile de securitate din cadrul contractelor clasificate derulate anterior; personalul implicat în derularea contractului să deţină certificat de securitate de nivel egal celui al informaţiilor vehiculate în cadrul contractului clasificat. Neîndeplinirea cerinţelor , precum şi furnizarea intenţionată a unor informaţii inexacte în completarea chestionarului sau în documentele prezentate constituie elemente de incompatibilitate în procesul de eliberare a autorizaţiei sau certificatului de securitate industrială. Obiectivul industrial nu este considerat stabil din punct de vedere economic dacă: este în proces de lichidare; este în stare de faliment ori se află în procedura reorganizării judiciare sau a falimentului; este implicat într-un litigiu care îi afectează stabilitatea economică; nu își îndeplinește obligațiile financiare către stat; nu și-a îndeplinit la timp, în mod sistematic, obligațiile financiare către persoane fizice sau juridice. Un obiectiv industrial nu corespunde din punct de vedere al protecției informațiilor clasificate dacă se constată că prezintă riscuri de securitate. Sunt considerate riscuri de securitate: derularea unor activităţi ce contravin intereselor de siguranţă naţională sau angajamentelor pe care România şi le-a asumat în cadrul acordurilor bilaterale sau multinaţionale; relaţiile cu persoane fizice sau juridice străine ce ar putea aduce prejudicii intereselor statului român; asociaţiile, persoane fizice şi juridice, care pot reprezenta factori de risc pentru interesele de stat ale României. În cazul unui obiectiv industrial la al cărui management/acţionariat participă cetăţeni străini, cetăţeni români care au şi cetăţenia altui stat sau/şi persoane apatride, se va evalua măsura în care interesul străin ar putea reprezenta o ameninţare la adresa protecţiei informaţiilor claasificate, care vor fi încredinţate acelui obiectiv industrial. Autorizaţia sau certificatul de securitate industrială se retrage în următoarele cazuri: la solicitarea obiectivului industrial; la propunerea motivată a autorităţii desemnate de securitate competente; la expirarea termenului de valabilitate; la încetarea contractului; la schimbarea nivelului de certificare acordat iniţial. Pregătire, Securitate industrială Securitate industrială Admin BlogPICoctombrie 23, 2023 Pregătire, Securitate industrială Protecția a informațiilor clasificate în domeniul activităților contractuale Admin BlogPICoctombrie 23, 2023 Uncategorized Criptografie și Securitate Cibernetică Admin BlogPICoctombrie 20,
Reguli generale privind gestionarea informațiilor clasificate
blogpic.ro Reguli generale privind gestionarea informațiilor clasificate Informațiile clasificate sunt supuse următoarelor operațiuni: Întocmire Evidență Păstrare Multiplicare Manipulare Transmitere Transport Distrugere Întocmire La redactarea documentelor ce conţin informaţii clasificate se vor respecta următoarele reguli: mmenţionarea, în antet, a unităţii emitente, a numărului şi datei înregistrării, a clasei sau nivelului de secretizare, a numărului de exemplare şi, după caz, a destinatarului; numerele de înregistrare se înscriu pe toate exemplarele documentului şi pe anexele acestora, fiind precedate de un zero (0) pentru documentele secrete, de două zerouri (00) pentru cele strict secrete, de trei zerouri (000) pentru cele strict secrete de importanţă deosebită şi de litera “S” pentru secrete de serviciu; la sfârşitul documentului se înscriu în clar, după caz, rangul, funcţia, numele şi prenumele conducătorului unităţii emitente, precum şi ale celui care îl întocmeşte, urmate de semnăturile acestora şi ştampila unităţii; înscrierea, pe fiecare pagină a documentului, a clasei sau nivelului de secretizare atribuit acestuia; pe fiecare pagină a documentelor ce conţin informaţii clasificate se înscriu numărul curent al paginii, urmat de numărul total al acestora. În situaţia în care documentul de bază este însoţit de anexe, la sfârşitul textului se indică, pentru fiecare anexă, numărul de înregistrare, numărul de file al acesteia şi clasa sau nivelul de secretizare. Anexele se clasifică în funcţie de conţinutul lor şi nu de cel al documentelor pe care le însoţesc. Adresa de însoţire a documentului nu va cuprinde informaţii detaliate referitoare la conţinutul documentelor anexate. Documentele anexate se semnează, dacă este cazul, de persoanele care au semnat documentul de bază. Aplicarea, pe documentele anexate, a ştampilei unităţii emitente este obligatorie. Când documentele ce conţin informaţii clasificate se semnează de o singură persoană, datele privind rangul, funcţia, numele şi prenumele acesteia se înscriu sub text, în centrul paginii. Când semnează două sau mai multe persoane, rangul, funcţia, numele şi prenumele conducătorului unităţii se înscriu în partea stângă, iar ale celorlalţi semnatari în partea dreaptă, în ordinea rangurilor şi funcţiilor. Când documentele care conţin informaţii clasificate se emit în comun de două sau mai multe unităţi, denumirile acestora se înscriu separat în antet, iar la sfârşit se semnează de către conducătorii unităţilor respective, de la stânga la dreapta, aplicându-se ştampilele corespunzătoare. Informaţiile clasificate vor fi marcate, inscripţionate şi gestionate numai de către persoane care au autorizaţie sau certificat de securitate corespunzător nivelului de clasificare a acestora. Toate documentele, indiferent de formă, care conţin informaţii clasificate au înscrise, pe fiecare pagină, nivelul de secretizare. Nivelul de secretizare se marchează prin ştampilare, dactilografiere, tipărire sau olograf, astfel: în partea dreaptă sus şi jos, pe exteriorul copertelor, pe pagina cu titlul şi pe prima pagină a documentului; în partea de jos şi de sus, la mijlocul paginii, pe toate celelalte pagini ale documentului; sub legendă, titlu sau scara de reprezentare şi în exterior – pe verso – atunci când acestea sunt pliate, pe toate schemele, diagramele, hărţile, desenele şi alte asemenea. Porţiunile clar identificabile din documentele clasificate complexe, cum sunt secţiunile, anexele, paragrafele, titlurile, care au niveluri diferite de secretizare sau care nu sunt clasificate, trebuie marcate corespunzător nivelului de clasificare şi secretizare. Marcajul de clasificare va fi aplicat separat de celelalte marcaje, cu caractere şi/sau culori diferite. Toate documentele clasificate aflate în lucru sau în stadiu de proiect vor avea înscrise menţiunile “Document în lucru” sau “Proiect” şi vor fi marcate potrivit clasei sau nivelului de secretizare a informaţiilor ce le conţin. Gestionarea documentelor clasificate aflate în lucru sau în stadiu de proiect se face în aceleaşi condiţii ca şi a celor în formă definitivă. Documentele sau materialele care conţin informaţii clasificate şi sunt destinate unei persoane strict determinate vor fi inscripţionate, sub destinatar, cu menţiunea „Personal”. EVIDENȚĂ Evidenţa materialelor şi documentelor care conţin informaţii clasificate se ţine în registre speciale, întocmite potrivit modelelor prevăzute în legislația în vigoare. Fiecare document sau material va fi inscripționat cu numărul de înregistrare şi data când este înscris în registrele de evidență. Numerele de înregistrare sunt precedate de numărul de zerouri corespunzător nivelului de secretizare atribuit sau de litera “S” pentru secrete de serviciu. Toate registrele, condicile şi borderourile se înregistrează în registrul unic de evidenţă a registrelor, condicilor, borderourilor şi a caietelor pentru însemnări clasificate. Fac excepţie actele de gestiune, imprimatele înseriate şi alte documente sau materiale cuprinse în forme de evidenţă specifice. Emitenţii şi deţinătorii de informaţii clasificate sunt obligaţi să înregistreze şi să ţină evidenţa tuturor documentelor şi materialelor primite, expediate sau a celor întocmite de unitatea proprie, potrivit legii. În registrele pentru evidenţa informaţiilor clasificate vor fi menţionate numele şi prenumele persoanei care a primit documentul, iar aceasta va semna de primire pe condica de predare primire. Registrele de evidenţă vor fi completate de persoana desemnată care deţine autorizaţie sau certificat de securitate corespunzător. PĂSTRAREA Informațiile clasificate se păstrează în containere de securitate. Containerele folosite pentru păstrarea informaţiilor clasificate se împart în trei clase: Clasa A: containere aprobate la nivel naţional pentru depozitarea informaţiilor strict secrete de importanţă deosebită în zone de securitate clasa I sau clasa a II-a; Clasa B: containere aprobate la nivel naţional pentru păstrarea informaţiilor strict secrete şi secrete în zone de securitate clasa I sau clasa a II-a; Clasa C: mobilier de birou adecvat numai pentru păstrarea informaţiilor secrete de serviciu. Cheile containerelor şi încăperilor de securitate nu trebuie scoase din clădirea sau zona de securitate în care se află documentele clasificate. Combinaţiile încuietorilor (containerelor de securitate) vor fi cunoscute numai de persoanele abilitate. MULTIPLICAREA Multiplicarea prin dactilografiere şi procesare la calculator a documentelor clasificate poate fi realizată numai de către persoane autorizate să aibă acces la astfel de informaţii. Multiplicarea documentelor clasificate poate fi realizată de persoane autorizate, numai în încăperi special destinate. Documentelor care conţin informaţii clasificate rezultate în procesul de multiplicare li se atribuie numere din registrul de evidenţă a informaţiilor
Lucrul cu informațiile clasificate în format electronic
PROTECŢIA SURSELOR GENERATOARE DE INFORMAŢII INFOSEC PROTECŢIA SURSELOR GENERATOARE DE INFORMAŢII – INFOSEC Modalităţile şi măsurile de protecţie a informaţiilor clasificate care se prezintă în format electronic sunt similare celor pe suport de hârtie. Noțiuni generale INFOSEC – ansamblul măsurilor şi structurilor de protecţie a informaţiilor clasificate care sunt prelucrate, stocate sau transmise prin intermediul sistemelor informatice de comunicaţii şi al altor sisteme electronice, împotriva ameninţărilor şi a oricăror acţiuni care pot aduce atingere confidenţialităţii, integrităţii, disponibilităţii autenticităţii şi nerepudierii informaţiilor clasificate precum şi afectarea funcţionării sistemelor informatice, indiferent dacă acestea apar accidental sau intenţionat. informaţiile în format electronic – texte, date, imagini, sunete, înregistrate pe dispozitive de stocare sau pe suporturi magnetice, optice, electrice ori transmise sub formă de curenţi, tensiuni sau câmp electromagnetic, în eter sau în reţele de comunicaţii; sistemul informatic şi de comunicaţii (SIC) – ansamblu informatic prin intermediul căruia se stochează, se procesează şi se transmit informaţii în format electronic; confidenţialitatea – asigurarea accesului la informaţii clasificate numai pe baza certificatului de securitate al persoanei, în acord cu nivelul de secretizare a informaţiei accesate şi a permisiunii rezultate din aplicarea principiului nevoii de a cunoaşte; integritatea – interdicţia modificării – prin ştergere sau adăugare – ori a distrugerii în mod neautorizat a informaţiilor clasificate; disponibilitatea – asigurarea condiţiilor necesare regăsirii şi folosirii cu uşurinţă, ori de câte ori este nevoie, cu respectarea strictă a condiţiilor de confidenţialitate şi integritate a informaţiilor clasificate; autenticitatea – asigurarea posibilităţii de verificare a identităţii pe care un utilizator de SPAD sau RTD pretinde că o are; nerepudierea – măsură prin care se asigură faptul că, după emiterea/recepţionarea unei informaţii într-un sistem de comunicaţii securizat, expeditorul/destinatarul nu poate nega, în mod fals, că a expediat/primit informaţii; risc de securitate – probabilitatea ca o ameninţare sau o vulnerabilitate ale SPAD sau RTD – SIC să se materializeze în mod efectiv; acreditarea – etapa de acordare a autorizării şi aprobării unui SIC de a prelucra informaţii clasificate, în spaţiul/mediul operaţional propriu; ameninţarea – posibilitatea de compromitere accidentală sau deliberată a securităţii SPAD sau RTD -SIC, prin pierderea confidenţialităţii, a integrităţii sau disponibilităţii informaţiilor în format electronic sau prin afectarea funcţiilor care asigură autenticitatea şi nerepudierea informaţiilor; vulnerabilitatea – slăbiciune sau lipsă de control care ar putea permite sau facilita o manevră tehnică, procedurală sau operaţională, prin care se ameninţă o valoare sau ţintă specifică. Lucrul cu informațiile clasificate în format electronic Lucrul cu informații clasificate pe sistemele informatice și de comunicații se face doar pe sisteme acreditate. Suporții pe care sunt gestionate informații clasificate trebuie să fie, în prealabil, înregistrați într-o evidență specifică. Conform legii, mediile de stocare a sistemelor informatice pentru stocare și prelucrare sunt: dischete, compact-discuri, hard-discuri, memorii PROM şi EPROM, riboane Informaţia în format electronic este reprezentată în texte, date, imagini, sunete, înregistrate pe dispozitive electronice de stocare sau pe suporturi magnetice, optice, electrice ori transmise sub formă de curenţi, tensiuni sau câmp electromagnetic, în eter sau în reţele de comunicaţii. Informaţie în format electronic întâlnim în sistemele de calcul, în reţelele de transmisii date, în telefonia fixă sau mobilă, în transmisiile radio, etc. Informaţia clasificată în format electronic reprezintă orice informaţie în format electronic de interes pentru securitatea naţională, care, datorită nivelurilor de importanţă şi consecinţelor care s-ar produce ca urmare a dezvăluirii şi diseminării neautorizate, trebuie să fie protejată. Nu se poate vorbi despre informaţie clasificată în format electronic decât în strânsă legătură cu sistemele informatice si de comunicaţie (SIC) care le procesează, stochează sau transmit între diverse componente prin diverse medii de transmitere (fir, aer, mediu de stocare). Securitatea informaţiei în format electronic – stare de siguranţă în care se află informaţia – se realizează prin măsuri de protecţie asupra sistemelor informatice şi de comunicaţii, a căror implementare duce la înlăturarea riscului de securitate (probabilitatea ca o ameninţare la adresa securităţii unui sistem informatic şi de comunicaţii să exploateze o vulnerabilitate a acestuia, efectul fiind compromiterea obiectivelor de securitate, respectiv: confidenţialitatea, integritatea, disponibilitatea, autenticitatea şi nerepudierea informaţiilor clasificate vehiculate prin acel sistem informatic). Potrivit Standardelor naţionale de protecţie a informaţiilor clasificate în România – securitatea informaţiilor clasificate în format electronic acoperă securitatea calculatoarelor, a mediilor de stocare, a comunicaţiilor, precum şi depistarea şi prevenirea ameninţărilor la care sunt expuse informaţiile şi sistemele informatice. Există legislaţie în domeniu, începând cu Legea nr.182, Standardele de protecţie a informaţiilor clasificate, Ordinele Directorului ORNISS în care sunt prezentate în amănunt măsurile de protecţie ce trebuie luate pentru protecţia informaţiei clasificate în format electronic. Sunt măsuri şi proceduri care trebuie urmate începând de la achiziţie, operaţionalizare, acreditare şi scoatere din uz a sistemelor informatice. Totuşi, până a ajunge la implementarea în detaliu a tuturor acestor măsuri şi proceduri de securitate sunt necesare şi posibile demersuri care ne stau la îndemână şi a căror implementare duce la scăderea considerabilă a riscului de securitate. O parte din acestea sunt cele valabile şi la gestionarea în condiţii de securitate a documentelor pe suport de hârtie, sau sunt facilități ale sistemelor informatice oferite de fabricant (hard sau soft) sau se referă la protecţia personalului. Standardele naţionale de protecţie a informaţiilor clasificate operează cu următoarele componente INFOSEC: Securitatea personalului Securitatea fizică Controlul accesului la SIC Securitatea informaţiilor clasificate în format electronic Controlul şi evidenţa informaţiilor în format electronic Manipularea şi controlul mediilor de stocare a informaţiilor clasificate în format electronic Declasificarea şi distrugerea mediilor de stocare a informaţiilor în format electronic Dintre aceste componente, ne-am propus să supunem atenţiei componenta de securitate a informaţiei clasificate în format electronic iar în această perspectivă să discutăm despre: securitatea calculatoarelor – a sistemelor informatice; securitatea mediilor de stocare; securitatea comunicaţiilor. Măsurile de protecţie pentru a căror implementare nu este necesară intervenţia cuiva din afară ci poate fi făcută de structura de securitate – administratorii bazelor de date şi ai reţelelor de calculatoare sunt: Securitatea calculatoarelor Securitatea mediilor de stocare a informaţiilor Securitatea comunicaţiilor Securitatea fizică A. Securitatea calculatoarelor – COMPUSEC Securitatea calculatoarelor – COMPUSEC – aplicarea la nivelul fiecărui calculator a facilităţilor de securitate hardware, firmware şi software,
Clasificarea si declasificarea informațiilor secrete de stat şi secrete de serviciu
clasificarea si declasificarea informaţiilor secrete de stat şi secrete de serviciu CLASIFICARE DECLASIFICARE ce sunt informațiile clasificate? Informațiile clasificate sunt informațiile, datele, documentele de interes pentru securitatea națională, care, datorită nivelurilor de importanta si consecințelor care s-ar produce ca urmare a dezvăluirii sau diseminării neautorizate, trebuie sa fie protejate CLASE DE SECURIZARE SECRET DE STAT Informațiile care privesc securitatea națională, prin a căror divulgare se pot prejudicia siguranța națională și apărarea țării SECRET DE SERVICIU Informațiile a căror divulgare este de natura sa determine prejudicii unei persoane juridice de drept public sau privat În lista cu informații secrete de serviciu vor fi incluse informațiile care se referă la activitatea unității și care, fără a constitui, în înțelesul legii, secrete de stat, nu trebuie cunoscute decât de persoanele cărora le sunt necesare pentru îndeplinirea atribuțiilor de serviciu, divulgarea lor putând prejudicia interesul unității NIVELURI DE CLASIFICARE Informațiile secrete de stat includ următoarele niveluri de secretizare STRICT SECRET DE IMPORTANŢĂ DEOSEBITĂ (SSID) Se atribuie exclusiv informațiilor a căror divulgare neautorizată este de natură să producă daune de o gravitate excepțională securității naționale STRICT SECRET (SS) Se atribuie exclusiv informaţiilor a căror divulgare neautorizată este de natură să producă daune grave securităţii naţionale SECRET (S) Se atribuie exclusiv informațiilor a căror divulgare neautorizată este de natură să producă daune securității naționale clasificarea informațiilor Potrivit art.19 din Legea 182/2002 sunt împuterniciţi sa atribuie unul dintre nivelurile de secretizare a informaţiilor cu prilejul elaborării lor: pentru informaţiile strict secrete de importanta deosebita: Preşedintele României; preşedintele Senatului si preşedintele Camerei Deputaţilor; membrii Consiliului Suprem de Apărare a Tarii; primul-ministru; membrii Guvernului si secretarul general al Guvernului; guvernatorul Băncii Naţionale a României; directorii serviciilor naţionale de informaţii; directorul Serviciului de Protecţie si Paza; directorul Serviciului de Telecomunicaţii Speciale; secretarul general al Senatului si secretarul general al Camerei Deputaţilor; preşedintele Institutului Naţional de Statistica; directorul Administraţiei Naţionale a Rezervelor de Stat; alte autorităţi împuternicite de Preşedintele României sau de primul-ministru; pentru informaţiile strict secrete – împuterniciţii prevăzuţi la lit. a), precum si funcţionarii cu rang de secretar de stat, potrivit competentelor materiale ale acestora; pentru informaţiile secrete – împuterniciţii prevăzuţi la lit. a) si b), precum si funcţionarii superiori cu rang de subsecretar de stat, secretar general ori director general, potrivit competentelor materiale ale acestora. Autorităţile publice care elaborează ori lucrează cu informaţii secrete de stat au obligaţia să întocmească un ghid pe baza căruia se va realiza clasificarea corectă şi uniformă a acestora. Ghidul se aprobă personal şi în scris de către împuterniciţii sau, după caz, funcţionarii superiori abilitaţi să atribuie nivelurile de secretizare, conform legii. Autorităţile şi instituţiile publice întocmesc liste proprii cuprinzând categoriile de informaţii secrete de stat în domeniile lor de activitate, care se aprobă şi se actualizează prin hotărâre a Guvernului. Listele cu informaţii secrete de serviciu se stabilesc de conducătorii unităţilor deţinătoare de astfel de informaţii. În listele cu informaţii secrete de serviciu vor fi incluse informaţiile care se referă la activitatea unităţii şi care, fără a constitui, în înţelesul legii, secrete de stat, nu trebuie cunoscute decât de persoanele cărora le sunt. necesare pentru îndeplinirea atribuţiilor de serviciu, divulgarea lor putând prejudicia interesul unităţii. Atribuirea clasei şi nivelului de secretizare a informaţiilor se realizează prin consultarea ghidului de clasificare, a listelor cu informaţii secrete de stat şi a listelor cu informaţii secrete de serviciu, elaborate potrivit legii. Termenele de clasificare a informaţiilor secrete de stat vor fi stabilite de emitent, în funcţie de importanţa acestora şi de consecinţele care s-ar produce ca urmare a dezvăluirii sau diseminării lor neautorizate. Termenele de clasificare a informaţiilor secrete de stat, pe niveluri de secretizare, cu excepţia cazului când acestea necesită o protecţie mai îndelungată, sunt de până la: TERMENE DE CLASIFICARE 100 ani pentru strict secret de importanţă deosebită 50 ani pentru strict secret 30 ani pentru secret REGULI DE CLASIFICARE Marcarea informaţiilor clasificate are drept scop atenţionarea persoanelor care le gestionează sau le accesează că sunt în posesia unor informaţii în legătură cu care trebuie aplicate măsuri specifice de acces şi protecţie, în conformitate cu legea. Informaţiile vor fi clasificate numai în cazul în care se impune protecţia acestora, iar nivelurile de secretizare şi termenele de clasificare subzistă atât timp cât dezvăluirea sau diseminarea lor neautorizată ar putea prejudicia siguranţa naţională, apărarea ţării, ordinea publică sau interesele persoanelor juridice de drept public sau privat. Supraevaluarea sau subevaluarea nivelului de secretizare a informaţiilor şi a duratei pentru care au fost clasificate se pot contesta de către orice persoană fizică sau juridică română, în contencios administrativ. Documentul elaborat pe baza prelucrării informaţiilor cu niveluri de secretizare diferite va fi clasificat conform noului conţinut, care poate fi superior originalelor. Documentul rezultat din cumularea neprelucrată a unor extrase provenite din informaţii clasificate va primi clasa sau nivelul de secretizare corespunzător conţinutului extrasului cu cel mai înalt nivel de secretizare. Rezumatele, traducerile şi extrasele din documentele clasificate primesc clasa sau nivelul de secretizare corespunzător conţinutului. Declasificarea şi trecerea informaţiilor clasificate la un nivel inferior de secretizare Informațiile secrete de stat pot fi declasificate prin hotărâre a Guvernului, la solicitarea motivată a emitentului. Informaţiile se declasifică dacă: termenul de clasificare a expirat; dezvăluirea informaţiilor nu mai poate prejudicia siguranţa naţională, apărarea ţării, ordinea publică, ori interesele persoanelor de drept public sau privat deţinătoare; a fost atribuit de o persoană neîmputernicită prin lege. Declasificarea sau trecerea la un alt nivel de secretizare a informaţiilor secrete de stat se realizează de împuterniciţii şi funcţionarii superiori abilitaţi prin lege să atribuie niveluri de secretizare, cu avizul prealabil al instituţiilor care coordonează activitatea şi controlul măsurilor privitoare la protecţia informaţiilor clasificate, potrivit competenţelor materialeemitentului. Emitenţii documentelor secrete de stat vor evalua periodic necesitatea menţinerii în nivelurile de secretizare acordate anterior şi vor prezenta împuterniciţilor şi funcţionarilor superiori abilitaţi prin lege să atribuie niveluri de secretizare, propuneri în consecinţă. Ori de câte ori este posibil, emitentul unui document clasificat trebuie să precizeze dacă acesta poate fi declasificat ori trecut la
Securitatea în rețele sociale și controlul parental în mediul online
Securitatea în rețele sociale și controlul parental în mediul online Ghid realizat în cadrul campaniei de conștientizare a riscurilor de securitate cibernetică derulată în România sub egida ECSM de către CERT-RO. securitatea în rețelele sociale controlul parental în mediul online sfaturi pentru părinți INTRODUCERE Securitatea în rețelele sociale preocupă tot mai mulţi utilizatori din întreaga lume. Este şi firesc, din moment ce oamenii împărtăşesc o multitudine de informaţii personale, la care au acces nu doar prietenii și familia, ci și escrocii, care creează ameninţări tot mai variate. Anul acesta, cei aproximativ 900 de milioane de utilizatori Facebook au fost expuşi la scam-uri “clasice” de tipul “ghici cine ți-a vizualizat profilul“, dar și la campanii frauduloase care promiteau premii substanţiale. Bitdefender prezintă câteva aspecte mai puţin ştiute despre reţelele sociale şi metodele care vă ajută să stați departe de escroci, viruşi, fraude şi alte ameninţări distribuite pe Facebook, Twitter, Pinterest sau LinkedIn. Producătorul de soluții de securitate va defini apoi cele mai importante probleme cu care se confruntă copiii în mediul online și va arăta cum pot părinții să îi protejeze pe cei mici folosind software de control parental. AMENINŢĂRI ÎN REŢELE SOCIALE Toate rețelele sociale sunt amenințate de amenințări , fie că este vorba de probleme de conectare, erori de tip “cross-site scripting” sau vulnerabilități Java pe care hackerii le pot exploata. Un simplu Troian de tip „dropper” pe care un atacator îl ascunde într-un banner sau link de pe o rețea socială poate ajunge ușor, de la un utilizator la altul, direct pe sistemele vulnerabile. Când utilizatorul intră apoi pe site-ul unui magazin online sau își plătește facturile pe Internet, Troianul îi poate fura parolele, datele de identificare ale cardului bancar, precum şi alte informații personale pe care le trimite la un server de comandă şi control (C&C). Deşi rețelele sociale precum Facebook au propriul sistem „cloud” în care stochează datele utilizatorilor, multe aplicații externe neverificate accesează o multitudine de informații personale pentru că oamenii le acordă prea multe permisiuni. Odată ce acestea sunt introduse în sistemul de stocare al aplicațiilor, nimeni nu mai poate controla ce se întâmplă cu ele. În ultimii doi ani, numărul de viruşi propagaţi prin rețele sociale, cel mai adesea prin scam-uri de pe Facebook, a crescut. În 2013, cel mai popular virus care a circulat şi pe timeline-uri din România a fost Dorkbot. Acesta s-a răspândit prin chat-ul de pe Facebook sub forma unor linkuri trimise accidental de prieteni. Virusul îşi putea face singur actualizările pentru a-şi instala cea mai nouă versiune şi fusese deja detectat de Bitdefender într-o versiune iniţială, în urmă cu doi ani. Pentru că avea capacităţi rootkit, virusul putea să împiedice soluţiile obişnuite de securitate să se actualizeze şi, totodată, spiona activitatea utilizatorilor în browser. Dorkbot nu se răspândea doar prin mesageria instant, ci şi prin dispozitive USB. În aprilie 2013, un studiu realizat de Bitdefender a arătat că, în România, cele mai populare escrocherii de pe Facebook sunt de tipul “vezi cine ţi-a vizualizat profilul”. Acestea le promit utilizatorilor că pot primi o listă a persoanelor care le urmăresc activitatea, mesajele şi pozele de pe rețeaua socială. În topul site-urilor periculoase răspândite pe Facebook se află şi linkurile frauduloase, care încearcă să îi convingă pe utilizatori să participe la sondaje pentru a câștiga premii, de obicei telefoane mobile sau tablete. Pentru că utilizatorii au învățat să recunoască mesajele de tip phishing, prin care le sunt furate datele personale, această ameninţare nu mai este atât de populară ca acum câţiva ani. După mesajele false de tipul “cine ți-a văzut profilul”, pe locul doi în topul escrocheriilor de pe Facebook se află un filmuleț care ar înfăţișa-o pe cântăreața Rihanna în ipostaze indecente. Un click pe un astfel de link instalează viruşi pe calculatoarele victimelor şi îi păcălește să dezvăluie date personale. Astfel de escrocherii sunt recurente, apărând periodic pe rețeaua socială. Inițiatorii campaniilor variază doar numele vedetelor şi mesajul folosit, fără a schimba alte coordonate ale scam-ului. Studiul Bitdefender a arătat că, anul acesta, Rihanna şi Taylor Swift au fost numele de vedete cele mai folosite pentru a păcăli utilizatorii. Acestora leau urmat Kim Kardashian, Megan Fox, Justin Bieber, Selena Gomez şi Chris Brown. O campanie spam populară pe Facebook la nivel internațional a fost adresată utilizatorilor care îşi doreau să schimbe tematica standard a profilului într-una diferită (de culoare verde sau roşie). Scam-ul le cerea utilizatorilor să descarce şi să execute un fişier de pe un link din afara rețelei sociale. Acesta era, în unele cazuri, o extensie de browser pentru Firefox sau Chrome care îi redirecţiona către pagini cu sondaje şi servicii cu supra-taxă pentru horoscop sau tonuri de apel. EXCROCHERII PE FACEBOOK Pentru că frecvența anumitor teme în escrocheriile de pe rețelele sociale le poate indica utilizatorilor care sunt mesajele de care să se ferească, Bitdefender a realizat şi un top 10 al escrocheriilor de pe Facebook: 1. Numărul total de vizitatori 24% 2. Video porno cu Rihanna şi iubitul ei 17% 3. Am aflat cum să îi văd pe cei care se uită la profilul meu – 5,31% 5% 4. Verifică dacă te-a șters un prieten 5% 5. Spune adio paginii de Facebook albastre 4% 6. Clip video porno cu Taylor Swift – 3,76% 3% 7. Bilete “gratis” la Disneyland – 2,55% 2% 8. Activează-ţi butonul “nu îmi place”- 2,15% 2% 9. Îi pot vedea pe cei care mă spionează – 1,67% 1% 10. Schimbă-ţi culoarea de Facebook- 1,64% 1% 11. Altele – 32,53% 32% Dacă în România utilizatorii sunt mai atraşi de escrocheria “vezi cine ţi-a vizualizat profilul”, în Franţa oamenii se lasă adesea păcăliţi să îşi “schimbe” culoarea paginii de Facebook. În schimb, englezii şi spaniolii cad repede în capcana promisiunii că pot afla care dintre foștii iubiţi le verifică profilul. Deşi este destinația socială cea mai populară pentru escroci, Facebook nu este singura platformă care le-a acaparat atenţia. Anul acesta, Pinterest a început să devină,
Incidentul de securitate
INCIDENTUL DE SECURITATE I. Consideraţii generale. Definirea informaţiei clasificate compromise şi a incidentului de securitate Punctul de plecare în definirea incidentului de securitate îl reprezintă înţelesul dat de art. 3 din Standardele naţionale de protecţie a informaţiilor clasificate în România, aprobate prin HG nr. 585/2002, termenilor informaţie clasificată compromisă, respectiv incident de securitate. Informaţia clasificată compromisă este informaţia care şi-a pierdut integritatea, a fost rătăcită, pierdută ori accesată, total sau parţial de persoane neautorizate. Compromiterea poate fi accidentală sau deliberată şi poate determina una sau mai multe dintre consecinţele menţionate (ex. informaţia poate fi rătăcită şi în acelaşi timp accesată de persoane neautorizate). Pentru a se stabili dacă informaţia a fost compromisă este necesar să se aibă în vedere semnificaţiile compromiterii. Spre exemplu, pierderea integrităţii, respectiv alterarea informaţiei clasificate înseamnă atât pierderea suportului material, cât şi pierderea confidenţialităţii, disponibilităţii, autenticităţii informaţiei clasificate (mai ales în cazul celor în format electronic). Incidentul de securitate este orice acţiune sau inacţiune contrară reglementărilor de securitate a cărei consecinţă a determinat sau este de natură să determine compromiterea informaţiilor clasificate. Prin urmare, orice manifestare prin care o persoană acţionează neconform dispoziţiilor legale în materia protecţiei informaţiilor clasificate, fie că acestea impun sau interzic o anumită conduită, fapt care determină sau este de natură să determine compromiterea unei astfel de informaţii, constituie incident de securitate (ex. diseminarea sau distrugerea neautorizată; nerespectarea normelor privind evidenţa, întocmirea, păstrarea, procesarea, multiplicarea, manipularea, transportul, transmiterea şi distrugerea informaţiilor clasificate). Pentru ca acţiunea sau inacţiunea contrară reglementărilor de securitate să constituie incident de securitate, este necesar ca aceasta să determine sau să fie de natură să determine compromiterea informaţiei clasificate. Întrucât prima dintre posibilele urmări ale incidentului de securitate, respectiv aceea de a fi determinat compromiterea informaţiei clasificate nu ridică probleme, se va insista asupra celeilalte ipoteze, respectiv cea în care acţiunea sau inacţiunea este de natură să determine compromiterea. Astfel, chiar dacă rezultatul incidentului de securitate nu s-a “consumat” (informaţia nu şi-a pierdut integritatea, nu a fost rătăcită, pierdută etc.), starea de pericol la adresa valorilor sociale ocrotite s-a produs (subliniem că valorile sociale protejate prin aplicarea dispoziţiilor legale în domeniul protecţiei informaţiilor clasificate secret de stat sunt securitatea naţională şi apărarea ţării). De aceea orice acţiune sau inacţiune care este de natură să determine compromiterea informaţiilor clasificate trebuie tratată ca incident de securitate, în primul rând pentru că legea prevede astfel în mod expres şi în al doilea rând pentru că numai cercetarea administrativă poate stabili împrejurările în care s-a produs incidentul şi urmările sale. Altfel spus, există posibilitatea ca, aparent, informaţia să nu fi fost compromisă, în vreme ce, în realitate, consecinţele incidentului s-au produs (ex. un document clasificat secret de stat uitat într-o încăpere neprotejată, situată în afara zonelor de securitate, este găsit după câteva ore; chiar şi în acest caz sunt necesare cercetări pentru a se stabili dacă, în respectivul interval de timp, relativ scurt, documentul a fost accesat de o persoană neautorizată). II. Premise ale producerii incidentelor de securitate Incidentele de securitate pot să apară pe fondul existenţei unor deficienţe în respectarea dispoziţiilor legale în domeniul protecţiei informaţiilor clasificate, care favorizează sau potenţează producerea incidentelor, constituind premise ale acestora. Enumerăm, cu titlu exemplificativ, unele dintre aceste disfuncţii: – nerespectarea normelor care prevăd componentele protecţiei informaţiilor clasificate: protecţia juridică, protecţia prin măsuri procedurale, protecţia fizică, protecţia personalului care are acces la informaţii clasificate ori este desemnat să asigure securitatea acestora, protecţia surselor generatoare de informaţii. Altfel spus, implementarea şi respectarea măsurilor de protecţie a informaţiilor clasificate pe toate aceste componente constituie o garanţie împotriva producerii incidentelor de securitate; – transportul informaţiilor clasificate realizat de către persoane juridice neautorizate ori expedierea documentelor şi materialelor care conţin astfel de informaţii prin poştă, în condiţiile în care dispoziţiile art. 81 alin. (1) din Standardele naţionale de protecţie a informaţiilor clasificate în România, aprobate prin HG nr. 585/2002, reglementează obligaţia ca transportul să se realizeze prin intermediul unităţii specializate a SRI; – tergiversarea îndeplinirii obligaţiilor prevăzute de art. 18 din Standardele naţionale de protecţie a informaţiilor clasificate în România, aprobate prin HG nr. 585/2002. Astfel, informaţiile secrete de stat şi secrete de serviciu stabilite astfel potrivit HCM nr. 19/1972 nu sunt înregistrate şi sunt gestionate în condiţii improprii, iar nerespectarea dispoziţiilor art. 18 alin. (1) şi (2), care ar determina inventarierea, aducerea sub incidenţa noilor reglementări în materia protecţiei informaţiilor clasificate şi asigurarea securităţii acestor informaţii, constituie deficienţe des întâlnite în practică. În acest context, subliniem că nerespectarea termenului de 12 luni stabilit de art. 18 alin. (1) nu înseamnă că deţinătorii informaţiilor secrete de stat şi secrete de serviciu stabilite astfel potrivit HCM nr. 19/1972 sunt exoneraţi de obligaţia aducerii la îndeplinire a procedurii de încadrare în noi clase şi niveluri de secretizare, ci, dimpotrivă, reprezintă o circumstanţă agravantă, care va fi avută în vedere în contextul constatării contravenţiei la art. 18 şi al aplicării sancţiunii prevăzute de Standardele naţionale; – compromisuri în privinţa întocmirii şi implementării programelor de prevenire a scurgerii de informaţii clasificate (ex. superficialitatea în întocmirea programelor, transmiterea acestora în mod repetat şi fără a se ţine cont de observaţiile comunicate în mod oficial de Serviciul Român de Informaţii cu ocazia restituirii, întârzierea implementării concrete a măsurilor prevăzute în programe etc.); – gestionarea în condiţii de risc, cu încălcarea normelor privind evidenţa, întocmirea, păstrarea, procesarea, multiplicarea, manipularea, transportul, transmiterea şi distrugerea informaţiilor clasificate. Nerespectarea dispoziţiilor menţionate constituie unele dintre situaţiile des întâlnite în practică şi care determină compromiterea informaţiilor clasificate; – de asemenea, reprezintă premise de producere a incidentelor de securitate supraclasificarea şi, mai ales, subclasificarea informaţiilor (ex. subclasificarea determină ca măsurile de securitate să nu fie dimensionate corect, în raport cu clasa ori nivelul real de secretizare a informaţiilor); – nerespectarea prevederilor Standardelor naţionale de protecţie a informaţiilor clasificate în România, aprobate prin HG nr.585/2002, de către persoanele juridice care participă
Securitatea datelor și informațiilor în sistemele informatice
Securitatea datelor și informațiilor în sistemele informatice Securitatea informațiilor , uneori scurtată la INFOSEC , este practica protejării informațiilor prin reducerea riscurilor de informare. Face parte din managementul riscului informațional. De obicei implică prevenirea sau cel puțin reducerea probabilității accesului neautorizat / inadecvat la date sau utilizarea ilegală, divulgarea, întreruperea, ștergerea, corupția, modificarea, inspecția, înregistrarea sau devalorizarea informațiilor. CONCEPTE CHEIE TIPURI AMENIȚĂRI MĂSURI PROTECȚIE Introducere Orice organizatie are nevoie de securitate. Nu dimensiunea unei organizatii determina necesitatea de protectie a datelor, ci criticitatea sau confidentialitatea acestora. Un aspect foarte important este cel al functionalitatii comunicatiilor si de aici necesitatea unei protectii adecvate. Sectorul financiar-bancar este cel mai constient de nevoia de securitate, aici existand si norme legislative, mai ales in conditiile in care bancile oferă servicii precum Internet Banking, insa si alte sectoare, cum ar fi infrastructurile mari utilizează continuu Internetul pe toate palierele de activitate ale acestora, dar, în special, pentru comunicare. Solutiile de genul firewall-antivirus nu mai acopera de mult nevoia de securitate a unui sistem informatic, desi instalarea unor astfel de solutii actuale si eficiente sunt inca de interes, la ora actuala fiind cautate sistemele de protecttie antiintruziune, atat la nivel de retea, cat si de server, de sisteme pentru protectia comunicatiilor, de solutii puternice de autentificare si mai ales de servicii profesionale de consultanta, training, suport, audit si certificare. Trebuie deci realizata o protectie reala a sistemelor informatice si nu doar asigurata securizarea lor. Securitatea IT inseamna: tehnologie; procese educatie. Dezvoltarea unui sistem de protectie trebuie facuta planificat, pe baza unui buget stabilit, a unei strategii si trebuie dublata de dezvoltarea de competente pentru utilizarea sa ulterioara. Daca la nivelul anilor trecuti nivelul de constientizare era destul de scazut la noi si din acest motiv numai companiile mari urmareau serios dezvoltarea de sisteme de protectie solide, in momentul de fata asistam la o informatizare pe scara larga a institutiilor, lucru datorat avantajelor aduse de sistemele informatice. Astfel colectarea, transmiterea, procesarea, stocarea si regasirea datelor se face mai rapid, mai ieftin, mai usor, cu o economie mai mare de spatiu, ceea ce duce la o economie semnificativa de timp si de efort, care pot fi investite astfel pentru realizarea unor activitati curente de o mai buna calitate. De asemenea, se asigura un control mai bun al sistemului, in special in ceea ce priveste costurile. Cu toate acestea, exista si un dezavantaj major: securitatea datelor devine mai greu de asigurat. O persoana poate sa aiba acces la unele date de la distanta, fara sa fie vazuta si fara sa lase urme. De asemenea, accesul la o mare cantitate de date intr-un timp scurt si eventual preluarea lor este mult usurata. De asemenea, se pot sterge si modifica date, de multe ori fara a se lasa nici un indiciu ca acest lucru s-ar fi intamplat. Toate acestea se realizeaza cu ajutorul calculatoarelor, al retelelor de comunicatii si a dispozitivelor aferente . Cum pot fi protejate datele in sistemele informatice, care sunt amenintarile la adresa securitatii lor si cum pot fi ele reduse ori eliminate? Protectia datelor dintr-un sistem informatic are ca scop impiedicarea folosirii lor in mod neadecvat, intentionat sau nu, de catre diversi agenti (utilizatori sau programe), fie ca apartin sau nu organizatiei care detine sistemul informatic. Acest domeniu face parte din cadrul mai larg al securitatii informatiei, care nu este restransa la sistemele informatice sau la informatia aflata intr-o forma electronica sau usor de citit de catre o masina, ci se aplica tuturor aspectelor protejarii datelor si informatiilor . Glosarul National de Securitate al Sistemelor Informationale, publicat de National Security Telecommunications and Information Systems Security Committee (Comitetul National de Securitate al Sistemelor Informationale si de Telecomunicatii) din cadrul guvernului federal al SUA, defineste securitatea sistemelor informationale (INFOSEC) in felul urmator: ”Protectia sistemelor informatice impotriva accesului neautorizat la informatie sau a modificarii neautorizate a informatei, in cadrul stocarii, procesarii sau tranzitului, si impotriva refuzului deservirii utilizatorilor autorizati, sau asigurarea deservirii utilizatorilor autorizati, incluzand acele masuri necesare pentru a detecta, documenta sau contracara aceste amenintari.” Merita mentionat faptul ca securitatea informatiei nu poate fi absoluta. Nimeni nu poate elimina toate riscurile folosirii neadecvate ale informatiei. In orice situatie particulara, nivelul de securitate al informatiei va trebui sa fie stabilit in functie de valoarea informatiei si de pierderile de orice natura care are ar rezulta din folosirea necuvenita a informatiei dezvaluirea, degradarea, refuzul accesului sau altele. Este vorba de un proces de management al riscului. O politica de securitate prea stricta, spre exemplu, ar ingreuna prea mult accesul la informatie, ar mari timpul de lucru, ar avea costuri financiare prea mari, etc. Triada confidențialitate, integritate, disponibilitate CONFIDENȚIALITATE Prevenirea accesului entitatilor neautorizate (persoane, grupuri de persoane, procese, dispozitive) la un set specific de date sau informatii, sau asigurarea faptului ca un set specific de date sau informatii sunt accesibile numai celor autorizati sa aiba acces la ele. INTEGRITATE Protectia impotriva modificarii sau distrugerii neautorizate a informatiilor. Modificarea neautorizata a informatiilor poate avea efecte grave in cazul sistemelor informatice si se poate realiza fie prin accesul la baza de date, fie prin modificarea mesajelor in tranzit. DISPONIBILITATE Sistemele de calcul utilizate pentru stocarea și procesarea informațiilor, controalele de securitate utilizate pentru protejarea acestora și canalele de comunicații utilizate pentru a le accesa trebuie să funcționeze corect. confidențialitatea datelor Poate fi definita ca fiind prevenirea accesului entitatilor neautorizate (persoane, grupuri de persoane, procese, dispozitive) la un set specific de date sau informatii, sau asigurarea faptului ca un set specific de date sau informatii sunt accesibile numai celor autorizati sa aiba acces la ele. Confidentialitatea poate fi obtinuta prin mai multe procedee, dupa cum urmeaza: Restricția accesului care reprezinta o modalitate directa de asigurare a confidentialitatii prin impiedicarea accesului la datele sau informatiile protejate. In aceasta situatie, confidentialitatea datelor este dependenta de securitatea sistemului per ansamblu, fie ca e vorba de un calculator, un server sau o legatura de comunicatie. Restrictia accesului poate fi implementata mai intai la nivel fizic,
Protecția surselor generatoare de informații clasificate – INFOSEC
Protecția surselor generatoare de informații clasificate – INFOSEC – IMPORTANT !! Modalităţile şi măsurile de protecţie a informaţiilor clasificate care se prezintă în format electronic sunt similare celor pe suport de hârtie. NOȚIUNI INFOSEC – ansamblul măsurilor şi structurilor de protecţie a informaţiilor clasificate care sunt prelucrate, stocate sau transmise prin intermediul sistemelor informatice de comunicaţii şi al altor sisteme electronice, împotriva ameninţărilor şi a oricăror acţiuni care pot aduce atingere confidenţialităţii, integrităţii, disponibilităţii autenticităţii şi nerepudierii informaţiilor clasificate precum şi afectarea funcţionării sistemelor informatice, indiferent dacă acestea apar accidental sau intenţionat. Informaţiile în format electronic – texte, date, imagini, sunete, înregistrate pe dispozitive de stocare sau pe suporturi magnetice, optice, electrice ori transmise sub formă de curenţi, tensiuni sau câmp electromagnetic, în eter sau în reţele de comunicaţii; Sistemul informatic şi de comunicaţii (SIC) – ansamblu informatic prin intermediul căruia se stochează, se procesează şi se transmit informaţii în format electronic; Confidenţialitatea – asigurarea accesului la informaţii clasificate numai pe baza certificatului de securitate al persoanei, în acord cu nivelul de secretizare a informaţiei accesate şi a permisiunii rezultate din aplicarea principiului nevoii de a cunoaşte; Integritatea – interdicţia modificării – prin ştergere sau adăugare – ori a distrugerii în mod neautorizat a informaţiilor clasificate; Disponibilitatea – asigurarea condiţiilor necesare regăsirii şi folosirii cu uşurinţă, ori de câte ori este nevoie, cu respectarea strictă a condiţiilor de confidenţialitate şi integritate a informaţiilor clasificate; Autenticitatea – asigurarea posibilităţii de verificare a identităţii pe care un utilizator de SPAD sau RTD pretinde că o are; Nerepudierea – măsură prin care se asigură faptul că, după emiterea/recepţionarea unei informaţii într-un sistem de comunicaţii securizat, expeditorul/destinatarul nu poate nega, în mod fals, că a expediat/primit informaţii; Risc de securitate – probabilitatea ca o ameninţare sau o vulnerabilitate ale SPAD sau RTD – SIC să se materializeze în mod efectiv; Acreditarea – etapa de acordare a autorizării şi aprobării unui SIC de a prelucra informaţii clasificate, în spaţiul/mediul operaţional propriu; Ameninţarea – posibilitatea de compromitere accidentală sau deliberată a securităţii SPAD sau RTD -SIC, prin pierderea confidenţialităţii, a integrităţii sau disponibilităţii informaţiilor în format electronic sau prin afectarea funcţiilor care asigură autenticitatea şi nerepudierea informaţiilor; Vulnerabilitatea – slăbiciune sau lipsă de control care ar putea permite sau facilita o manevră tehnică, procedurală sau operaţională, prin care se ameninţă o valoare sau ţintă specifică. Lucrul cu informațiile clasificate în format electronic Lucrul cu informații clasificate pe sistemele informatice și de comunicații se face doar pe sisteme acreditate. Suporții pe care sunt gestionate informații clasificate trebuie să fie, în prealabil, înregistrați într-o evidență specifică. Medii de stocare a sistemelor informatice pentru stocare și prelucrare sunt: Floppy Disk CD-ROM HDD/SSD memorii PROM şi EPROM Riboane Informaţia în format electronic reprezintă texte, date, imagini, sunete, înregistrate pe dispozitive electronice de stocare sau pe suporturi magnetice, optice, electrice ori transmise sub formă de curenţi, tensiuni sau câmp electromagnetic, în eter sau în reţele de comunicaţii. Informaţie în format electronic întâlnim în sistemele de calcul, în reţelele de transmisii date, în telefonia fixă sau mobilă, în transmisiile radio, etc. Informaţia clasificată în format electronic reprezintă orice informaţie în format electronic de interes pentru securitatea naţională, care, datorită nivelurilor de importanţă şi consecinţelor care s-ar produce ca urmare a dezvăluirii şi diseminării neautorizate, trebuie să fie protejată. Nu se poate vorbi despre informaţie clasificată în format electronic decât în strânsă legătură cu sistemele informatice si de comunicaţie (SIC) care le procesează, stochează sau transmit între diverse componente prin diverse medii de transmitere (fir, aer, mediu de stocare). Securitatea informaţiei în format electronic – stare de siguranţă în care se află informaţia – se realizează prin măsuri de protecţie asupra sistemelor informatice şi de comunicaţii, a căror implementare duce la înlăturarea riscului de securitate (probabilitatea ca o ameninţare la adresa securităţii unui sistem informatic şi de comunicaţii să exploateze o vulnerabilitate a acestuia, efectul fiind compromiterea obiectivelor de securitate, respectiv: confidenţialitatea, integritatea, disponibilitatea, autenticitatea şi nerepudierea informaţiilor clasificate vehiculate prin acel sistem informatic). Potrivit Standardelor naţionale de protecţie a informaţiilor clasificate în România – securitatea informaţiilor clasificate în format electronic acoperă securitatea calculatoarelor, a mediilor de stocare, a comunicaţiilor, precum şi depistarea şi prevenirea ameninţărilor la care sunt expuse informaţiile şi sistemele informatice. Există legislaţie în domeniu, începând cu Legea nr.182, Standardele de protecţie a informaţiilor clasificate, Ordinele Directorului ORNISS în care sunt prezentate în amănunt măsurile de protecţie ce trebuie luate pentru protecţia informaţiei clasificate în format electronic. Sunt măsuri şi proceduri care trebuie urmate începând de la achiziţie, operaţionalizare, acreditare şi scoatere din uz a sistemelor informatice. Totuşi, până a ajunge la implementarea în detaliu a tuturor acestor măsuri şi proceduri de securitate sunt necesare şi posibile demersuri care ne stau la îndemână şi a căror implementare duce la scăderea considerabilă a riscului de securitate. O parte din acestea sunt cele valabile şi la gestionarea în condiţii de securitate a documentelor pe suport de hârtie, sau sunt facilități ale sistemelor informatice oferite de fabricant (hard sau soft) sau se referă la protecţia personalului. Standardele naţionale de protecţie a informaţiilor clasificate operează cu următoarele componente INFOSEC: Securitatea personalului Securitatea fizică Controlul accesului la SIC Securitatea informaţiilor clasificate în format electronic Controlul şi evidenţa informaţiilor în format electronic Manipularea şi controlul mediilor de stocare a informaţiilor clasificate în format electronic Declasificarea şi distrugerea mediilor de stocare a informaţiilor în format electronic Dintre aceste componente, ne-am propus să supunem atenţiei componenta de securitate a informaţiei clasificate în format electronic iar în această perspectivă să discutăm despre securitatea calculatoarelor – a sistemelor informatice, securitatea mediilor de stocare şi securitatea comunicaţiilor. În continuare vă supun atenţiei câteva din aceste măsuri de protecţie pentru a căror implementare nu este necesară intervenţia cuiva din afară ci poate fi făcută de structura de securitate – administratorii bazelor de date şi ai reţelelor de calculatoare. A. Securitatea calculatoarelor Securitatea calculatoarelor – COMPUSEC – aplicarea la nivelul fiecărui calculator a facilităţilor de securitate hardware, firmware şi software, pentru