joi, 17 mai 2012

definitia securitatii informationale

  • Securitatea unei entităţi (fiinta, sistem, organizatie) este definita de regula ca ansamblul de masuri si mijloace pentru asigurarea tuturor condiţiilor astfel ca entitatea să poată să îşi atingă obiectivele pentru care a fost creată.
  • Nu este cunoscută o definiţie general acceptată, clara, a informaţiei şi cu atât mai puţin a securităţii informaţiei ( informaţie sigura ?, a informaţie utila ?, asigurarea confidenţialităţii ?, a disponibilităţii ?). Notiunea este perceputa cu un continut vag.
  • De regulă, prin securitatea informaţiei se înţelege asigurarea confidenţialităţii ei (asigurarea secretului). Conceptul are rădăcini „istorice” şi este vehiculat în mediile militare. Reprezentarea este restrictivă şi nu este „productivă” în condiţiile societăţii bazate pe prelucrarea informaţiilor unde se pot produce prejudicii mult mai mari prin afectarea disponibilităţii, a integrităţii sau a autenticităţii unor informaţii.
  • De regulă, asigurarea disponibilităţii informaţiei este mult mai „productivă” decât asigurarea confidenţialităţii ei şi necesită cu prioritate protecţie.
  • Pentru acest site propunem sa fie folosita urmatoarea definitie pentru securitatea informatiei:

Atributele de securitate ale informaţiei Atribute de funcţionalitate a informaţiei:
    • Disponibilitatea informaţiei este acea proprietate a sistemului sau reţelei de a asigura utilizatorilor legali informaţia completă atunci când aceştia au nevoie.
    • Confidenţialitatea este acea proprietate a sistemului sau a reţelei de a permite accesul la informaţii numai utilizatorilor cărora le este destinată şi să ofere garanţii suficiente pentru a interzice accesul celorlalţi utilizatorilor.
    • Integritatea informaţiei este acea proprietate a sistemului sau a reţelei de a asigura livrarea informaţiei fără modificări accidentale sau neautorizate.
Atribute pentru recuperarea prejudiciului:
    • Autenticitatea informaţiei este acea proprietate a sistemului sau a reţelei de a permite asocierea informaţiei cu sursa legală de producere a ei.
    • Nerepudierea informaţiei este acea proprietate a sistemului sau areţelei de a asocia informaţiei dovada că informaţia a fost transmisă de o entitate identificată şi a fost recepţionată de o altă entitate identificată fără posibilitate de contestare.

Clase de informaţii Cele mai utilizate clase de informaţii:
  • Informaţiile clasificate (secrete de stat) – obligă la confidenţialitate în condiţii stabilite prin lege;
  • Informaţiile proprietare (sensibile) – obligă la confidenţialitate în condiţiile stabilite de proprietar (la noi asimilate cu informaţiile secret de serviciu);
  • Datele personale ale cetăţenilor– limitează diseminarea informaţiilor despre utilizatorii serviciilor publice;
  • Conţinutul corespondenţei şi al comunicaţiilor – interzice accesul la conţinutul corespondenţei şi al comunicaţiilor;
  • Drepturile de autor – obligă la plată pentru utilizare;
  • Informaţiile de interes public – obligă proprietarul să asigure disponibilitatea necondiţionat.
     nformaţiile clasificate – accesul la informaţii clasificate
  • Prin informaţii clasificate se înţelege acea categorie de informaţii pentru care statul are interese majore si prin diseminarea acestora se pot aduce prejudicii instituţiilor statului sau cetăţenilor săi luaţi în ansamblu şi, în consecinţă, statul limitează disponibilitatea informaţiilor la un grup restrâns de persoane, care prezintă un anumit nivel de încredere, stabilit prin verificări de loaialitate (securitate). Sfera de cuprindere este stabilită prin lege.
  • Sunt definite patru clase de informaţii clasificate în funcţie de amploarea prejudiciului ce se poate produce prin diseminarea necontrolată a lor: strict secrete de importanţă deosebită, strict secrete, secrete şi separat, secrete de serviciu.
  • Accesul persoanelor la informaţii clasificate se face pe baza principiului „nevoii de a cunoaşte şi este permis numai în urma avizului autorităţilor abilitate: ORNISS pentru angajaţii firmelor şi instituţiilor publice şi ADS-uri pentru personalul propriu.
  • Drepturile de acces la informaţii clasificate ale personalului avizat de autorităţile abilitate, depind de nivelul de verificare la care este supus personalul.
  • Dreptul de acces al firmelor la informaţii clasificate se poate face numai în urma avizului de securitate industrială eliberat de ORNISS după probarea faptului că s-au asigurat condiţii de păstrare şi manipulare a informaţiilor clasificate în conformitate cu prevederile legii.
  • În România se folosesc informaţiile clasificate: naţionale, NATO, UE precum si cele stabilite prin relaţii bilaterale internaţionale.
  • Autorităţile abilitate cu investigarea incidentelor de securitate cu implicarea informaţiilor clasificate sunt ADS-urile: SRI - pe teritoriul ţării, SIE - în afara ţării, MIRA, MJ, STS, MApN, SPP pentru structurile proprii. 
Caracteristicile securităţii informaţiilor în mediul virtual
Securitatea informaţiilor in format document hârtie (clasică):
  • Orientată spre protecţia suportului;
  • Suportul (hârtia) poartă o multitudine de informaţii colaterale despre autor, cititor, împrejurări redactare etc. care pot fi utilizate în cercetări criminalistice;
  • Modificările informaţiei afectează suportul, sunt relativ dificil de făcut şi pot fi detectate uşor;
  • Pentru manipulare frauduloasă este necesar accesul fizic la suport lucru care este relativ uşor de detectat şi probat cu un sistem de protecţie fizică.
Securitatea informaţiilor în format electronic (IFE):
  • Informaţia nu are caracter material;
  • Informaţia este independentă de suport şi se identifică prin ea însăşi;
  • Este sarcina sistemului de securitate să asocieze informaţii suplimentare colaterale (de regulă în headere) pentru necesităţi de identificare şi securitate;
  • Accesul la informaţie nu implică acces fizic şi poate fi făcut anonim de la distanţă;
  • Modificările sunt foarte uşor de făcut şi nu lasă „urme” dacă sistemul sau reţeaua nu sunt „instruite” (configurate) să facă asta;
  • „Urmele” sunt de natură informatică şi pot fi manipulate dacă nu se iau măsuri speciale de conservare;
  • Sfera celor care pot avea acces la informaţii se extinde de la persoanele îndreptăţite, prin adaugarea personalului auxiliar de întreţinere, procese şi echipamente, cărora nu li se poate interzice practic accesul;
  • Constatarea abuzului în folosirea informaţiilor sau a sistemelor nu poate fi determinată examinând informaţia ci si activităţile din sistem sau reţea care sunt dinamice şi depind de un anumit context.
  • Timpii în care se produc abuzurile sunt de regulă foarte mici (fracţiuni de secundă) pe cand reacţia de raspuns este de tip uman si este lungă (minute – zile);
  • Sistemele şi reţelele sunt de mare complexitate şi de regulă sunt cunoscute parţial în profunzime de administratori şi utilizatori şi cu atât mai puţin de investigatori.
  • Pastreaza si caracteristici ale informatiei ca document fizic cand este asociata cu suportul.
Publicat de la

Niciun comentariu:

Trimiteți un comentariu

Abonați-vă la: Postare comentarii (Atom)