+ All Categories
Home > Documents > PSSI bb15

PSSI bb15

Date post: 29-Sep-2015
Category:
Upload: turnea-dragos
View: 27 times
Download: 6 times
Share this document with a friend
Description:
protectia si securitatea informatiilor
139
UNIVERSITATEA “Al.I.Cuza “ IAŞI FACULTATEA DE ECONOMIE ŞI ADMINISTRAREA AFACERILOR DEPARTAMENTUL PENTRU ÎNVAŢĂMÂNT LA DISTANŢĂ ŞI ÎNVĂŢĂMÂNT CU FRECVENŢĂ REDUSĂ DUMITRU OPREA PROTECŢIA ŞI SECURITATEA SISTEMELOR INFORMAŢIONALE Material de studiu pentru învăţământul la distanţă/ învăţământul cu frecvenţă redusă Iaşi, 2015
Transcript
  • UNIVERSITATEA Al.I.Cuza IAI

    FACULTATEA DE ECONOMIE I ADMINISTRAREA AFACERILOR

    DEPARTAMENTUL PENTRU NVAMNT LA DISTAN I NVMNT CU FRECVEN REDUS

    DUMITRU OPREA

    PROTECIA I SECURITATEA SISTEMELOR

    INFORMAIONALE

    Material de studiu pentru nvmntul la distan/ nvmntul cu frecven

    redus

    Iai, 2015

  • Cuprins

    Cuprins .................................................................................................................................................. 2 Prefa ................................................................................................................................................... 6 Unitatea de studiu I Cadrul general al proteciei i securitii sistemelor informaionale 7 1.1 Scurt istorie modern a (in)securitii informaiilor .............................................................. 7 1.2. Particulariti ale securitii sistemelor informaionale ........................................................ 11

    1.2.1 Vulnerabilitatea microcalculatoarelor .......................................................................................... 14 1.2.2 Forme de manifestare a pericolelor n sistemele informaionale ................................................. 17 1.2.3 Asigurarea securitii sistemelor informaionale pai de urmat i reguli generale ................ 21

    1.3 Mecanisme de aprare prezentare general ......................................................................... 22 Rezumat .................................................................................................................................................... 24 Bibliografie disponibil n biblioteca FEAA .......................................................................................... 24

    Unitatea de studiu II Protecia informaiilor prin clasificarea lor 25 2.1 Forme embrionare de protejare a informaiilor ...................................................................... 25 2.2 nceputurile clasificrii moderne a informaiilor .................................................................... 26 2.3 Clasificarea informaiilor .......................................................................................................... 28

    2.3.1 Informaii subiective ....................................................................................................................... 29 2.3.2 Informaii obiective ......................................................................................................................... 29 2.3.3 Secrete subiective, secrete obiective i secrete comerciale ........................................................... 30 2.3.4 Determinarea necesitii clasificrii informaiilor ....................................................................... 31

    2.4 Declasificarea i degradarea informaiilor clasificate ............................................................. 33 2.5 Principiile protejrii informaiilor speciale ............................................................................. 34 2.6 Protejarea suporturilor informaionale ................................................................................... 35

    2.6.1 Marcarea materialelor cu regim special ....................................................................................... 36 2.6.2 Pstrarea i distrugerea materialelor speciale .............................................................................. 36

    2.7 Clasificarea informaiilor organizaiilor .................................................................................. 37 Rezumat .................................................................................................................................................... 38 Bibliografie disponibil n biblioteca FEAA .......................................................................................... 39

    Unitatea de studiu III Controlul accesului n sistemele informaionale 40 3.1 Tipuri de control al accesului n sistem .................................................................................... 40 3.2 Identificarea i autentificarea .................................................................................................... 43

    3.2.1 Principii de baz ale controlului accesului .................................................................................... 44 3.2.2 Controlul accesului prin obiecte .................................................................................................... 45 3.2.3 Controlul accesului prin biometrie ................................................................................................ 47 3.2.4 Controlul accesului prin parole ..................................................................................................... 49 3.2.5 Controlul geografic al accesului n sistem ..................................................................................... 52 Rezumat .................................................................................................................................................... 53 Bibliografie disponibil n biblioteca FEAA .......................................................................................... 53

    Unitatea de studiu IV Politici, standarde, norme i proceduri de securitate 54 4.1 Modele de politici de securitate ................................................................................................. 54

    4.1.1 Modele de securitate multinivel ..................................................................................................... 55 4.1.2 Modele ale securitii multilaterale ............................................................................................... 58

    4.2 Programul de securitate ............................................................................................................. 60 4.2.1 Politicile ............................................................................................................................................ 61 4.2.2 Standardele, normele i procedurile de securitate ....................................................................... 62 4.2.3 Exemple de politici de securitate .................................................................................................... 63 Rezumat .................................................................................................................................................... 68 Bibliografie disponibil n biblioteca FEAA .......................................................................................... 68

    Unitatea de studiu V Criptografia 69 5.1 Concepte de baz ........................................................................................................................ 69 5.2 Scurt istoric al criptografiei ....................................................................................................... 70 5.3 Tehnologii criptografice ............................................................................................................. 71

  • 5.3.1 Substituia ........................................................................................................................................ 72 5.3.2 Transpoziia (permutarea) ............................................................................................................. 72 5.3.3 Cifrul lui Vernam ............................................................................................................................ 73 5.3.4 Cifrul carte ...................................................................................................................................... 73 5.3.5 Codurile ........................................................................................................................................... 74 5.3.6 Ascunderea informaiilor ............................................................................................................... 74

    5.4 Sisteme de criptare prin chei secrete (simetrice) ..................................................................... 81 5.5 Sisteme de criptare prin chei publice (asimetrice) .................................................................. 82 5.6 Semntura digital ...................................................................................................................... 83

    Rezumat .................................................................................................................................................... 84 Bibliografie disponibil n biblioteca FEAA .......................................................................................... 84

    Unitatea de studiu VI Securitatea la nivelul centrelor de prelucrare a datelor 85 6.1 Alegerea amplasamentului centrelor de calcul ................................................................................ 85 6.2 Proiectarea centrului de calcul ......................................................................................................... 86 6.3 Protecia i securitatea mediului de lucru al calculatoarelor ......................................................... 88 Rezumat .................................................................................................................................................... 90 Bibliografie disponibil n biblioteca FEAA .......................................................................................... 90

    Unitatea de studiu VII Securitatea echipamentelor de prelucrare a datelor 91 7.1 Vulnerabilitatea echipamentelor de prelucrare a datelor .............................................................. 91 7.2 Asigurarea echipamentelor mpotriva inteniilor de modificare a lor ........................................... 92 7.3 Controlul integritii echipamentelor ............................................................................................... 92 7.4 Proceduri de ntreinere a echipamentelor ...................................................................................... 93 7.5 Tolerana la cdere a echipamentelor .............................................................................................. 94 7.6 Contractele ncheiate cu furnizorii de echipamente ........................................................................ 95 Rezumat .................................................................................................................................................... 96

    Unitatea de studiu VIII Securitatea software-ului ................................................................... 97 8.1 Obiectivele securitii prin software ................................................................................................. 97 8.2 Limitele softului pentru asigurarea securitii ................................................................................ 97 8.3 Msuri generale de asigurare a securitii softului ......................................................................... 98 Rezumat .................................................................................................................................................. 100 Bibliografie disponibil n biblioteca FEAA ........................................................................................ 100

    Unitatea de studiu IX Securitatea personalului..................................................................... 101 9.1 Ameninri de securitate asociate personalului ............................................................................. 101 9.2 Principii manageriale de securitate a personalului ....................................................................... 102 9.3 Msuri pe linia securitii din punct de vedere al personalului ................................................... 102 Rezumat .................................................................................................................................................. 108 Bibliografie disponibil n biblioteca FEAA ........................................................................................ 108

    Unitatea de studiu X Securitatea comunicaiilor 109 10.1 Interceptarea conversaiilor .................................................................................................. 109 10.2 Securitatea telefoanelor standard ......................................................................................... 110 10.3 Securitatea telefoniei mobile .................................................................................................. 113

    Rezumat .................................................................................................................................................. 120 Unitatea de studiu XI Aspecte juridice privind protecia i securitatea sistemelor informaionale 121 11.1 Legislaia n Romnia ............................................................................................................. 121 11.2 Protecia prin patente, copyright, licene i mrci nregistrate ......................................... 134

    11.2.1 Patentele la nivelul Oficiului European de Patente (EPO European Patent Office) .......... 135 11.2.2 Copyright-ul ................................................................................................................................ 136 11.2.3 Protejarea mrcilor nregistrate ................................................................................................ 141 11.2.4 Licenele ....................................................................................................................................... 141 Rezumat .................................................................................................................................................. 142 Bibliografie disponibil n biblioteca FEAA ........................................................................................ 142

    Bibliografie general 143 Referine Internet 144 Bibliografie disponibil n biblioteca FEAA 145

  • Unitatea de studiu I

    Cadrul general al proteciei i securitii sistemelor informaionale

    Unitatea de studiu 1 dorete s-i conving cititorii c:

    averile informaionale sunt foarte importante n activitatea organizaiilor mai mici i mai mari, iar preocuprile pe linia asigurrii securitii lor, dei exist din cele mai vechi timpuri, s-au intensificat o dat cu dezvoltarea tehnicii de calcul;

    exist o gam larg de pericole i vulnerabiliti asociate acestor averi, iar ea se extinde simultan cu dezvoltarea tot mai rapid a tehnologiilor informaionale i de comunicaii;

    securitatea averilor informaionale este o component de baz a ecuaiei succesului organizaional i o problem mai degrab uman dect tehnic, posibil de rezolvat cu mijloace ieftine.

    Unitatea de studiu trateaz:

    o scurt istorie modern a (in)securitii informaiilor; particularitile securitii sistemelor informaionale; elementele de vulnerabilitate a microcalculatoarelor; formele de manifestare a pericolelor n sistemele informaionale; regulile generale de asigurare a securitii sistemelor infomaionale; mecanismele de aprare a averilor informaionale.

    Timpul de lucru necesar:

    pentru parcurgerea unitii: 4 h; pentru rezolvarea temelor individuale: 4 h.

    1.1 Scurt istorie modern a (in)securitii informaiilor

    Investind n tehnic sume colosale, firesc, oamenii au nceput s foloseasc metode

    adecvate de pstrare a ei n camere speciale, cu ui ncuiate prin sisteme sofisticate, bazate pe

    cifru, ferind, ca i pn acum, noua avere de privirile curioilor. S-a tratat, deci, tehnica de

    calcul ca i seifurile ce pstrau banii i bijuteriile de familie, uitndu-se un amnunt foarte

    important, i anume c noile averi sunt nu cele materiale, ci imateriale, cu forme speciale de

    utilizare, i cu valori intrinseci, invizibile de cele mai multe ori, iar cile de protejare folosite

    pn acum devin ineficiente sau insuficiente. Mai clar, informaia, cci ea reprezint noua

    avere, devine o resurs de nebnuit a organismelor economico-sociale. Alturi de capital i

    oameni, informaia este una dintre averile deosebite ale firmei.

    Insecuritatea, amintit anterior, rezid i din faptul c orice persoan care dialogheaz cu

    calculatorul unei firme, fie prin multitudinea tipurilor de reele, fie prin sistemele de pot

    electronic (e-mail) sau prin intermediul dischetelor, CD-urilor, DVD-urilor, USB-urilor, al

    benzilor magnetice sau al altor suporturi de informaii, aduse din afara unitii, sau prin

    scrierea unor programe cu rol special, poate s fac urmtoarele lucruri: s copieze fiierele

    importante ale altor firme, s influeneze evidenele altora pentru a le cauza pierderi, s

    reprogrameze calculatoarele incluse n configuraia sistemelor de producie pentru a provoca

    avarierea utilajelor sau pentru producerea accidentelor umane (inclusiv uciderea lor), s

    tearg programe sau fiiere i multe altele.

  • PROTECIA I SECURITATEA SISTEMELOR INFORMAIONALE 8

    Dac ne raportm la dinamica fantastic din domeniu, ne dm seama de creterea

    constant a riscului la care se expun beneficiarii noilor tehnologii informaionale, platformele

    de lucru genernd, la rndul lor, noi medii de utilizare. Se pot puncta cteva momente

    eseniale, pe planul evoluiei tehnologiilor folosite, cu impact asupra sistemelor de securitate,

    i ncercm s efectum o grupare a lor pe generaii, astfel:

    generaia I, securitatea sistemelor bazate pe calculatoare mari, de sine stttoare; generaia a II-a, securitatea sistemelor distribuite; generaia a III-a, securitatea microcalculatoarelor, inclusiv a reelelor locale; generaia a IV-a, securitatea Internetului; generaia a V-a, securitatea comerului i afacerilor electronice; generaia a VI-a, securitatea comerului i afacerilor mobile; generaia a VII-a, securitatea global a lumii virtuale, a ntregului spaiu cibernetic. Dintr-un alt punct de vedere, al elementelor prelucrate i al produselor oferite

    utilizatorilor, am putea vorbi de o alt sistematizare evolutiv, dup cum urmeaz:

    securitatea datelor; securitatea datelor i informaiilor; securitatea datelor, informaiilor i cunotinelor. Prin aceast ultim prezentare, am intenionat s suprindem trecerea de la societatea

    preocupat de creterea performanelor prin colectarea mai rapid a datelor, la societatea

    informaional a zilelor noastre, pn la societatea ce se contureaz n mileniul III, a

    cunoaterii.

    Analiza locurilor de amplasare a echipamentelor folosite pentru atingerea scopurilor

    prelucrrii, implicit ale securizrii, ne va conduce, n timp, spre spaii tot mai extinse: centre

    de prelucrare automat a datelor, puncte de amplasare a terminalelor clasice, birouri i case

    ale utilizatorilor, cldiri izolate i/sau grupate componente ale reelelor locale, metropole,

    ari, grupuri de ri, ajungnd, prin world-wide-web (www), la ntreaga planet.

    Dac, din curiozitate, vei accesa www.attrition.org, vei afla ct de vulnerabile sunt pn

    i site-urile marilor corporaii. n fiecare an, site-uri ale unor companii celebre (Pepsi Cola

    UK, Egypt Air, U.S.A. Government National Oceanic and Atmospheric Administration,

    McDonalds etc.) sufer atacuri de diverse naturi.

    Soluia? Msuri dure de securitate luate pe cont propriu sau prin apelarea la firme care v

    asigur mpotriva unor astfel de incidente. Liderul mondial absolut l vei gsi la adresa

    www.counterpane.com. El v protejeaz mpotriva pierderilor din cauza hackerilor de pn la

    1 milion dolari, cu o asigurare de 20.000 dolari anual; cu 75.000 dolari v asigur anual

    pierderile de pn la 10 milioane dolari; pierderile pn la o sut de milioane dolari pot fi

    asigurate prin sume negociabile.

    Oricum, calculatoarele, pe zi ce trece, devin o parte tot mai intim a vieii noastre, a

    tuturor. Despre aspectele securitii sistemelor informaionale, pe plan mondial, s-au scris o

    mulime de cri, s-au inut conferine sau seminarii internaionale, dar s-a fcut nc puin

    pentru transpunerea lor n practic. Muli cred c n-au nevoie de ea sau consider c

    necazurile se pot ine doar de alii.

    Soluia problemei nu este de natur tehnic, att timp ct cu mijloace tehnice reduse ca

    performan se pot efectua pagube imense. n mod asemntor, trebuie pus i problema

    securitii, ea fiind uor de realizat cu mijloace ieftine. Securitatea sistemelor informaionale

    este, n primul rnd, o problem uman, nu tehnic, i se impune a fi tratat ca atare. Trebuie

    s se neleag faptul c securitatea sistemelor informaionale este o component de baz a

    ecuaiei succesului firmelor. De multe ori, conducerea se intereseaz doar de reducerea

  • CADRUL GENERAL AL PROTECIEI I SECURITII SISTEMELOR INFORMAIONALE 9

    cheltuielilor generale, neglijnd aspectele att de importante ale protejrii averii

    informaionale. Totui, n ultimul timp, se constat o schimbare a opticii manageriale.

    Preocupri deosebite pe linia securitii datelor, ndeosebi a celor prelucrate automat, sau

    a sistemelor electronice de calcul, n toat complexitatea lor, au aprut nc din anii 1960.

    ntre timp, s-au creat organisme naionale i internaionale, cu un astfel de obiectiv. Au aprut

    numeroase cri, inclusiv cursuri universitare, cu teme apropiate, cum ar fi Criptografia i securitatea datelor, curs predat din anii 1970 la Universitatea George Washington,

    Securitatea datelor i informaiilor i contabilitatea analitic, la universitile din Delaware i Ohio. Rezultate remarcabile a nregistrat i Universitatea din Ontario de Vest, din Canada.

    Ulterior, n Europa, reeaua specialitilor n securitatea sistemelor informaionale s-a extins

    din Anglia n Olanda, Belgia, Suedia, Germania, cuprinznd ntreaga arie a rilor puternic

    dezvoltate. n numeroase ri se predau cursuri universitare care conin tematici apropiate ca

    formulare, dar toate au un obiectiv comun: securitatea informaiilor n sistemele de prelucrare

    automat a datelor. Ca efect, n universiti se creeaz diverse grupuri de iniiai n domeniu,

    cei mai reprezentativi fiind experii sau realizatorii de sisteme expert pentru verificarea

    securitii, analiza riscului i evaluarea potenialelor pagube, sau productorii de software

    specializat n auditarea sistemelor informaionale.

    Din anul universitar 1999/2000, la Georgetown University, se pred cursul Rzboiul

    informaional i securitatea pentru studenii din diverse domenii, cum ar fi cei de la politici

    internaionale, de la administraie public, administrarea afacerilor, comunicare, tiine exacte

    i n toate domeniile socio-umane.

    n ultimul timp, se poate vorbi de o mare gam a specializrilor n foarte complexa

    problem a securitii sistemelor.

    La nivel internaional, semnificativ este constituirea, nc din 1960, a IFIP

    (International Federation for Information Processing = Federaia Internaional pentru

    Prelucrarea Informaiilor), creat sub auspiciile UNESCO, care reunete cadrele didactice i

    ali specialiti preocupai de prelucrarea informaiilor, n numr de peste 3500. Din ea fac

    parte organizaii din 58 de ri sau regiuni. Activitatea tehnic a IFIP este coordonat prin 14

    comisii tehnice, fiecare dintre ele avnd un numr diferit de grupuri de lucru, care se ocup cu

    aspecte concrete ale unui anumit domeniu de activitate.1 Comisia TC11 Protecia i

    securitatea n sistemele de prelucrare a informaiilor are urmtoarele grupuri de lucru: WG11.1 Managementul securitii informaiilor;

    WG11.2 Securitatea sistemelor omniprezente (Pervasive Systems Security);

    WG11.3 Securitatea datelor i aplicaiilor;

    WG11.4 Securitatea reelelor i sistemelor distribuite;

    WG11.5 Integritatea i controlul sistemelor dizolvat n 2007;

    WG11.6 Managementul identitii;

    WG11.7 Tehnologii informaionale: Abuzurile i cadrul legal;

    WG11.8 Educaia n domeniul securitii informaiilor;

    WG11.9 Criminalistic n mediul digital (Digital Forensics);

    WG11.10 Protecia infrastructurilor critice;

    WG11.11 Managementul ncrederii (Trust Management);

    WG11.12 Aspecte umane ale securitii i asigurrii informaionale;

    WG11.13 Cercetri n domeniul securitii sistemelor informaionale.

    1 Potrivit www.ifip.org, ianuarie 2011.

  • PROTECIA I SECURITATEA SISTEMELOR INFORMAIONALE 10

    Pentru a v edifica asupra rolului unor astfel de organizaii, putei lectura scopul nfiinrii i a obiectivele urmrite de fiecare dintre grupurile de lucru menionate la adresa de Internet www.ifip.org. De asemenea, recomandm site-ul pentru informarea privind domeniile actuale de interes, principalele evenimente profesional-academice i personalitile din zona IT.

    n 1974, s-a nfiinat Institutul pentru Securitatea Calculatoarelor (Computer Security

    Institute CSI , cu site-ul www.gocsi.com) pentru formarea i perfecionarea continu a

    specialitilor n securitatea informaiilor, a calculatoarelor i a reelelor.

    n anul 1990, Comitetul pentru Informaii, Calculatoare i Politici de Comunicaie ale

    Organizaiei pentru Cooperare i Dezvoltare Economic (OECD) a constituit un grup de

    experi pentru a pregti ghidul securitii sistemelor informaionale. n octombrie 1992, s-a

    realizat Ghidul pentru securitatea sistemelor informaionale, iar, n noiembrie 1992, cele 24 de ri membre ale OECD l-au aprobat. Obiectivul de baz l-a constituit crearea unui cadru de

    baz care s nlesneasc dezvoltarea i introducerea mecanismelor, practicilor i a

    procedurilor pentru asigurarea securitii sistemelor informaionale. Ghidul se adresa tuturor

    sistemelor informaionale din sectorul public i privat, supuse jurisdiciei naionale, prin

    enunarea a nou principii de baz: responsabilitate, contientizare, etic,

    multidisciplinaritate, proporionalitate, integrare, oportunitate, reevaluare periodic,

    democraie.

    De asemenea, la nivelul anului 1990, Consiliul Cercetrii Naionale al SUA, printr-un

    raport special, Computer at Risk (CAR), prezenta starea securitii sistemelor informaionale

    din SUA i recomanda ase seturi de aciuni. Prima recomandare se referea la crearea i

    promulgarea principiilor general acceptate de securitate a sistemelor (Generally Accepted

    System Security Principles, GASSP). Recomandarea pentru crearea GASSP a condus la

    nfiinarea, la sfritul anului 1992, a Fundaiei Internaionale pentru Securitatea

    Informaiilor.

    n 1997, comitetul GASSP, care era format din experi n securitatea informaiilor din

    zece ri, inclusiv SUA, a lansat GASSP, versiunea 1.0, care conine nou principii de baz,

    referite ca principii universale, bazate pe principiile OECD. n acelai timp, Institutul

    Naional de Standarde i Tehnologie din SUA a emis un raport cu aceleai nou principii,

    aplicabile la nivelul organismelor guvernamentale federale.

    Menionm i faptul c, pn n anul 1994, a existat Comitetul Coordonator pentru

    Controlul Multilateral al Exporturilor (Coordinating Committee for Multilateral Export

    Controls, COCOM), cu scopul instituirii unui regim comun de control al exporturilor la

    nivelul celor 17 ri membre. Acestea erau Australia, Belgia, Canada, Danemarca, Frana,

    Germania, Grecia, Italia, Japonia, Luxemburg, Marea Britanie, Norvegia, Olanda, Portugalia,

    Spania, Statele Unite ale Americii, Turcia. Ca membri asociai erau Austria, Coreea de Sud,

    Elveia, Finlanda, Irlanda, Noua Zeeland, Polonia, Singapore, Slovacia, Suedia, Taiwan i

    Ungaria n total 12 ri. Scopul principal l constituie restricionarea exporturilor spre

    anumite ri, cum ar fi Libia, Irak, Iran, Coreea de Nord considerate a fi ri ce sprijin

    micrile teroriste. Exporturile spre alte ri erau permise, ns pe baz de licene.

    n 1991, COCOM a adoptat Nota General privind Software-ul (General Software Note,

    GSN), prin care s-a permis exportul de mas al softului criptografiat, inclusiv cel din

    domeniul public, la nivelul rilor membre. De asemenea, erau acceptate exporturile

    criptografice folosite pentru autentificare, inclusiv produsele folosite pentru criptarea

    parolelor. Toate rile membre au respectat Nota, cu excepia SUA, Marea Britanie i Frana.

    n iulie 1996, 31 de ri au semnat Acordul Wassenaar privind Controlul Exporturilor de

    Arme Convenionale, Bunuri i Tehnologii cu Dubl ntrebuinare. Acesta a fost semnat i de

  • CADRUL GENERAL AL PROTECIEI I SECURITII SISTEMELOR INFORMAIONALE 11

    Romnia, Rusia, Republica Ceh, iar ulterior, de Bulgaria i Ucraina. Prevederile privind

    criptografia au fost preluate de la COCOM.

    Deci, dac de peste patru decenii sunt preocupri pe linia securitii informaiilor

    prelucrate n sistemele de prelucrare automat, prin cursuri universitare, cri, simpozioane

    .a., dac pe plan internaional exist attea organisme care se ocup de problematica

    menionat, considerm fireasc abordarea i la noi, cu mai mult seriozitate, a Proteciei i securitii informaiilor.

    Identificai cteva repere istorice (la nivel statal, academic sau organizaional) privind protecia i securitatea informaiilor n Romnia.

    1.2. Particulariti ale securitii sistemelor informaionale

    Odat cu trecerea spre prelucrarea masiv a datelor cu ajutorul calculatoarelor

    electronice, ca urmare a volumului mare al investiiilor i a transferrii grijii informaiei

    ctre sistemele electronice de calcul, s-a pus ntr-un alt context problema protejrii noilor

    averi, fizice i informaionale. Totul trebuie pornit de la schimbarea opticii privind gestiunea

    fizic a noilor averi, dar i de la valorificarea pe multiple planuri a datelor memorate,

    ncercndu-se s se obin alte dimensiuni ale funciei de informare a conducerii, prin

    utilizarea informaiilor arhivate i pstrate n alte condiii.

    n vederea obinerii noilor performane, datele prelucrate sunt supuse unor operaiuni

    suplimentare n faza de culegere, astfel nct s poat fi valorificate ulterior pe mai multe

    planuri. Preluarea datelor din dou sau mai multe documente operative n unul sau mai multe

    fiiere, avnd suportul de nregistrare specific noii variante de prelucrare, constituie o

  • PROTECIA I SECURITATEA SISTEMELOR INFORMAIONALE 12

    ndeprtare vizibil de modul tradiional de pstrare a documentelor primare, de gestionare a

    lor, i duce la apariia mai multor persoane care pot accesa aceleai date. Mai mult, prin

    agregarea nregistrrilor anterioare, pot rezulta chiar noi informaii.

    Cum noile resurse fizice ale sistemelor de calcul sunt destul de scumpe, se constat o

    tendin de centralizare a prelucrrilor de date, din motive de economie, dar, n acelai timp,

    sporete grija asigurrii securitii lor, ntruct riscul pierderii lor sau al consultrii

    neautorizate este i mai mare. ntr-un astfel de caz, nu trebuie uitat principiul dominant al

    prelucrrii automate a datelor, GIGI (Gunoi la Intrare, Gunoi la Ieire), conform cruia o

    eroare strecurat ntr-un sistem integrat se propag cu o vitez inimaginabil, n zeci sau sute

    de locuri din sistem, genernd, la rndul ei, o multitudine de erori n rapoartele ce se vor

    obine ulterior.

    Alt element, deosebit de important, l constituie factorul uman. Dac n vechile sisteme

    erau uor de controlat locurile de pstrare a informaiei, acum, ntr-un mediu puternic

    informatizat, persoanele cu atribuii de urmrire a modului de realizare a securitii datelor au

    o misiune mult mai dificil. Se pot nregistra dou cazuri: fie c nu pot intui cile prin care

    datele pot fi accesate pe ascuns, n vederea sustragerii sau modificrii lor, fie c nu reuesc s

    descopere de unde i cine, cu ajutorul unui calculator aflat la distan de locul pstrrii

    datelor, are acces neautorizat n sistem. Surpriza poate veni tocmai de la persoanele care

    lucreaz cu cea mai mare asiduitate la anumite aplicaii. Loialitatea excesiv, n acest caz,

    poate da de gndit.

    Prin trecerea la prelucrarea automat a datelor (p.a.d.) s-au schimbat i suporturile

    informaiei, precum i mijloacele de lucru, situaie n care apar noi aspecte, i anume:

    Densitatea informaiei este mult mai mare n mediul informatic dect n sistemele

    clasice, bazate pe hrtie. Prin utilizarea discurilor optice sau a stick-urilor USB, zeci de

    volume, nsumnd zeci de mii de pagini de hrtie, pot fi introduse cu mult uurin ntr-un

    buzunar. CD-urile, DVD-urile, cardurile, memoriile flash, hard-discurile portabile i alte

    suporturi moderne pot fi astfel subtilizate discret, cu eforturi minime dar cu efecte distructive

    majore.

    Obscuritatea sau invizibilitatea constituie o alt problem, ntruct coninutul

    documentelor electronice i al rapoartelor derivate stocate pe suporturile enumerate mai sus

    nu poate fi sesizat pe cale vizual la un control de rutin. De multe ori, cei pui s controleze

    nu au pregtirea informatic i nici echipamentele necesare pentru a observa o eventual

    sustragere de fiiere.

    Accesibilitatea datelor din sistemele de calcul este mai mare, cel puin pentru o nou

    categorie de infractori, catalogai hoi cu gulere albe, fcndu-se trimitere vdit la nivelul

    de cultur, n primul rnd informatic, al acestora.

    Lipsa urmelor eventualelor atacuri criminale constituie un alt element ngrijortor al

    noului mediu de lucru. tersturile din vechile documente pentru schimbarea sumelor,

    precum i adugrile de noi nregistrri cu creionul nu mai exist, modificrile n fiierele

    electronice sunt efectuate cu mult lejeritate i foarte greu de depistat ulterior.

    Remanena suporturilor, dup ce au fost terse, poate constitui o cale sigur de intrare n posesia informaiilor memorate anterior. Se cunosc numeroase programe de restaurare a

    fiierelor terse.

    Agregarea datelor. Puse laolalt, datele capt alt valoare dect cea avut prin pstrarea

    lor n mai multe locuri separate unele de altele. Uneori, informaiile de sintez sunt

    valorificate prin programe speciale n vederea obinerii, tot cu ajutorul calculatorului, a

    strategiei i tacticii firmei ntr-un anumit domeniu. Edificator este cazul benzilor magnetice

  • CADRUL GENERAL AL PROTECIEI I SECURITII SISTEMELOR INFORMAIONALE 13

    ale firmei IBM, care conineau direciile de cercetare pe urmtorii 15 ani, intrate n posesia

    unei firme dintr-o ar concurent.

    Necunoaterea calculatoarelor. Pentru foarte multe persoane, ndeosebi de vrst naintat, calculatorul este investit cu fore supraomeneti, ceea ce le confer o ncredere

    oarb n datele obinute prin intermediul lui. De asemenea, din motive de nepricepere, aceti

    anagajai pot fi victime uoare ale coruptorilor ... informatizai.

    Progresul tehnologic. Rezultatele cercetrilor tehnico-tiinifice se transform zi de zi n

    tehnologii din ce n ce mai performante de accesare a datelor. Nu acelai lucru se poate spune

    i despre progresele nregistrate n domeniul securitii datelor.

    Comunicaiile i reelele, devenind tot mai performante, au extins aria utilizatorilor, att din punct de vedere numeric, ct i al dispersiei n teritoriu, ntregul spaiu terestru fiind

    accesibil reelelor foarte mari. Odat cu noile progrese, i aria utilizatorilor ru intenionai s-a

    mrit, precum i variantele de furt informatizat.

    Integrarea puternic a sistemelor apare ca o consecin a mbuntirii formelor de comunicaie i a proliferrii reelelor de calculatoare. Pe acelai canal de comunicaie sunt

    transmise tot felul de date. n plus, introducnd o dat eronat n sistem, de la un banal punct

    de vnzare, ea ptrunde cu rapiditate n zeci de fiiere i, implicit, aplicaii ale firmei.

    Comerul i afacerile electronice au deschis i mai mult apetitul specialitilor n fraud.

    Apariia utilizatorilor finali informatizai constituie un veritabil succes, dar sporete i

    riscul pierderii datelor importante din calculatorul principal al companiilor.

    Standardele de securitate, n pofida attor altor domenii n care se nregistreaz mutaii

    vizibile n intervale scurte de timp, nu se concretizeaz n forme general valabile i, ct timp

    un lucru nu este interzis prin reguli scrise, el ori se consider c nu exist, ori se trage

    concluzia c este permis.

    Totui, efortul uman pentru protejarea, asigurarea sau securizarea sistemelor s-a

    accentuat n mod vizibil. n tabelul 1.1 am redat numrul de site-uri care trateaz concepte

    specifice temei discutate, la nivelul lunilor aprilie 2002 i ianuarie 2011, folosind motorul de

    cutare Google. Dup cum se observ, se detaeaz net conceptele: internet security, network

    security, information security, computer security, data protection, digital signature, e-

    security n ordinea numrului de apariii n site-uri.

    n concluzie, odat cu dezvoltarea noilor sisteme informaionale i cu transferarea ctre

    acestea a secretelor firmelor, trebuie vzut n ele, n acelai timp, ajutorul numrul unu, dar i

    elementele cele mai tentante pentru noii criminali. Hardul i softul pot fi manevrate cu mult

    uurin de ctre om. n acest caz, ca i n altele intrate n obinuina cotidian, inteligena

    calculatorului las de dorit, putndu-se spune c tot omul (a)sfinete ... calculatorul, motiv

    esenial pentru sporirea preocuprilor tuturor specialitilor din domeniul securitii sistemelor

    informaionale.

    Tabel nr. 1.1 Numrul site-urilor ce trateaz concepte specifice

    proteciei i securitii sistemelor informaionale

    Nr. crt. Conceptul cutat cu Google 2002 2012

    1. computer security 534.000 8.890.000 2. information security 439.000 13.600.000 3. data security 305.000 2.860.000 4. data protection 495.000 12.700.000 5. information protection 36.700 714.000 6. information assurance 36.500 839.000 7. data assurance 569 90.900 8. computer protection 7.720 2.160.000

  • PROTECIA I SECURITATEA SISTEMELOR INFORMAIONALE 14

    Nr. crt. Conceptul cutat cu Google 2002 2012

    9. computer data protection 171 39.900 10. computer assurance 1.820 11.800 11. network assurance 590 181.000 12. network protection 12.800 253.000 13. network security 615.000 14.700.000 14. internet security 758.000 82.200.000 15. internet protection 19.100 284.000 16. internet assurance 169 36.600 17. computer vulnerability 1.140 34.600 18. data vulnerability 908 9.230 19. information vulnerability 713 22.100 20. network vulnerability 6.910 408.000 21. internet vulnerability 1.320 48.000 22. digital signature 217.000 1.940.000 23. digital protection 1.790 42.500 24. e-signature 11.800 600.000 25. e-security 140.000 1.490.000 26. e-protection 5.600 349.000

    Propunei alte concepte relevante pentru domeniul proteciei i securitii informaionale i completai tabelul de mai sus cu numrul paginilor oferite ca rspuns de motorul de cutare Google pentru ele.

    Conceptul cutat cu Google Numrul de pagini returnate, 2013

    1.2.1 Vulnerabilitatea microcalculatoarelor

    Odat cu lansarea IBM-ului n producia de microcalculatoare, n 1981, acest domeniu a

    nregistrat progrese uluitoare. Dac la nceput nu au fost luate n seam, acum s-a ajuns ca un

    microcalculator de cteva sute de dolari s efectueze ceea ce, cu doar cteva zeci de ani n

    urm, efectuau doar calculatoarele mari, de milioane de dolari.

    Apariia milioanelor de utilizatori a dus la constituirea unei adevrate bresle de specialiti

    n butonat a se citi apsarea tastelor , cu destul de puine cunotine despre teoria

    sistemelor informaionale i cu nici o team de implicaiile posibile ale unui sistem fr

    securitate. De la utilizatorii izolai s-a trecut la constituirea de reele puternice, care au

    mpnzit orice col al organizaiilor. Urmtoarele trepte au constat n depirea granielor

    firmei, ale oraului, respectiv ale rii. S-a creat, astfel, posibilitatea ca sistemele bazate pe

    calculatoare mari s fie accesate din sute sau mii de locuri, afectnd substanial integritatea,

    confidenialitatea i accesibilitatea datelor.

    Datorit microcalculatoarelor, se poate spune c s-a nregistrat un progres colosal pe linia

    domeniilor de aplicabilitate ale informaticii. Ele rezolv rapid i ieftin o mulime de probleme

    de planificare tehnico-economic, de exploatare, de administrare, procesare de texte,

    comunicaii i alte faciliti de lucru n reea. n aceste condiii, microcalculatoarele aduc i

    noi forme de manifestare a slbiciunii sistemelor electronice de calcul i a vulnerabilitii lor.

    Hazardul joac un rol din ce n ce mai mare, astfel:

    1. De la bun nceput ele au fost concepute mult mai prietenoase dect vechile sisteme, deci

    destul de tentante n a fi utilizate i de copiii i de funcionarii fr prea multe cunotine

    tehnice, aceasta concretizndu-se n:

  • CADRUL GENERAL AL PROTECIEI I SECURITII SISTEMELOR INFORMAIONALE 15

    a) apariia numeroaselor eecuri sau erori n operaiunea de creare a copiilor de siguran de exemplu, realizarea lor pe suportul intern de memorare al aceluiai microcalculator, chiar pe aceeai partiie de disc;

    b) eecuri n controlul accesului sistemului. Sistemele de protecie prin parole nu se folosesc la toate microcalculatoarele, iar cnd exist nu sunt folosite corespunztor,

    parolele fiind cunoscute de mai muli utilizatori, i nu numai att, ele aflndu-se scrise

    pe o bucat de hrtie, lipit pe colul monitorului sau pe masa de lucru;

    c) tratarea tuturor datelor la fel, omindu-se cele de o importan deosebit, care ar

    trebui s aib cu totul alt regim;

    d) greeli n pstrarea i utilizarea resurselor sistemului. Discurile de orice tip, casetele, benzile sunt mpnzite prin toat unitatea, prin toate birourile, putnd fi folosite sau

    sustrase cu mult uurin de alte persoane. Un suport din afar poate fi introdus

    printre cele deja existente, strecurndu-se astfel i viruii distructivi. Hrtia de

    imprimant (de regul cea care conine mici greeli sau a doua copie a unei lucrri

    efectuate n dou exemplare), benzile tuate ale acesteia (riboanele), celelalte resturi

    sunt accesibile noilor scormonitori n gunoaie informatice, cu scopul de a gsi un

    col de pine printre informaiile coninute de aceste materiale;

    e) scrutarea cu uurin a sistemului. Deseori, din pur curiozitate, un coleg, un prieten,

    un copil venit n vizit la biroul prinilor, avnd cunotine limitate despre

    calculatoare, ncep s se joace cu tastele unui microcalculator pornit, situaie n care

    se pot distruge date foarte importante. Mai periculos este cazul n care joaca are un

    scop anume;

    2. Calculatoarele nu mai sunt doar la dispoziia specialitilor, ci i a altor persoane, care nu

    cunosc prea multe lucruri despre alte tipuri de sisteme. Odat cu apariia

    microcalculatoarelor, problemele de instruire informatic se pun ntr-un alt mod;

    3. Prin politica de instaurare a unor restricii n utilizare, apelndu-se la sistemul parolelor

    multiple, din faza de iniializare a sistemului pn la accesul la ci i fiiere, se reduce

    dramatic viteza de prelucrare, deci scade productivitatea sistemului;

    4. Fiind plasate n aproape toate birourile, iar condiiile de pstrare puternic diversificate,

    riscul defectrii este diferit de la un birou la altul;

    5. Resursele ntregului sistem fiind mprtiate prin toate colurile unitii, securitatea

    tradiional a slii calculatorului unic dispare, aceasta avnd ca rezultat:

    a) documentaia sistemului, softul, manualele de utilizare sunt ineficient folosite sau n

    condiii de risc sporit;

    b) pierderea cheilor de deschidere a PC-urilor le poate face inutilizabile o perioad de

    timp;

    c) softul de aplicaii se realizeaz n mod haotic, ducnd uneori la lucrul n paralel la

    aceeai problem, neexistnd o eviden centralizat a preocuprilor;

    d) parolele nu se nregistreaz, deci nu poate fi vorba de un control al lor;

    e) manualele de utilizare sunt pstrate neglijent, iar cnd sunt necesare nu mai sunt de

    gsit;

    6. Actele cu scop de fraud pot fi svrite cu mai mult uurin i de ctre mai multe

    persoane, ceea ce diminueaz eficiena controlului;

    7. Prin preluarea de ctre calculator a activitilor prestate anterior de mai multe persoane,

    posibilitatea de furt, fr complotul mai multor angajai, devine mult mai lejer;

    8. Persoanele care n condiiile prelucrrii clasice aveau grija i posibilitatea de a lucra doar

    ntr-un domeniu, destul de limitat, pot s-i extind aria cunoaterii asupra ntregii baze

    de date a unitii;

  • PROTECIA I SECURITATEA SISTEMELOR INFORMAIONALE 16

    9. Pe suporturile cu capacitate de memorare foarte mare, fiind ascunse datele deosebit de

    importante, acestea erau mai greu de gsit, n schimb, pe un disc optic sau video disc

    operaiunea este mult mai uoar;

    10. Sistemele de operare ale microcalculatoarelor nu dispun de aceleai performane de

    protecie precum sistemele mari;

    11. Slaba securitate, nsoit de facilitile de lucru n reea, conduce la sporirea posibilitilor

    de accesare neautorizat a sistemului;

    12. Datele pot fi preluate pe un PC fie din reea, fie din calculatorul mare i tiprite sau

    transferate pe diverse tipuri de discuri, cu scopul sustragerii lor;

    13. Resursele locale ale unui PC pot fi folosite de ctre utilizatorii lor pentru a ataca reeaua

    sau calculatorul central;

    14. Prin dimensiunile lor reduse i greutatea mic, PC-urile sunt uor de mutat dintr-un loc n

    altul, ceea ce sporete riscul defectrii lor;

    15. Posibilitatea defectrii sau ntreruperii temporare a sursei de alimentare cu energie

    electric este mult mai mare dect n cazul unei singure sli a calculatoarelor.

    Pornind de la elementele de vulnerabilitate a microcalculatoarelor prezentate mai sus, identificai cte 3 elemente similare de vulnerabilitate a calculatoarelor portabile i, respectiv, a telefoanelor mobile folosite n organizaii.

    3 elemente de vulnerabilitate a calculatoarelor portabile:

    3 elemente de vulnerabilitate a telefoanelor mobile:

  • CADRUL GENERAL AL PROTECIEI I SECURITII SISTEMELOR INFORMAIONALE 17

    1.2.2 Forme de manifestare a pericolelor n sistemele informaionale

    Cnd se proiecteaz noi aplicaii informatice, grija principal a realizatorilor trebuie s o

    constituie protejarea datelor prelucrate. n orice mediu de lucru, datele trebuie s respecte

    principiile C.I.A.:

    Confidenialitatea se concretizeaz n oferirea condiiilor de pstrare n conformitate cu restriciile legale descrise de utilizatori i proiectani. Numai persoanele autorizate

    pot accesa datele sistemului, lundu-se msuri de prevenire a accesului neautorizat;

    Integritatea, ceea ce nseamn c ele trebuie s fie pstrate n forma original. Datele nu trebuie s fie modificate prin consultare sau pe ci ilegale, nici accidental. De

    asemenea, ele nu trebuie s fie expuse pericolului distrugerii involuntare. Integritatea

    este o msur a corectitudinii datelor i a asigurrii ncrederii n ele;

    Accesibilitatea se refer la asigurarea accesului la date, pentru cei autorizai, n orice moment.

    Pentru o organizaie cunoscut de dvs., realizai un clasament al celor mai importante 3 averi informaionale, preciznd pentru fiecare dintre ele dac este important asigurarea confidenialitii i/sau

    integritii i/sau accesibilitii. Justificai.

    Locul

    Avere informaional Importana C Importana I Importana A

    1

    2

    3

    Datelor supuse prelucrrii automate trebuie s li se asigure cel puin aceleai condiii de

    protecie ca i celor prelucrate manual. Totui, din cauza creterii riscului prin informatizare,

    aa cum rezult din descrierea sumar a vulnerabilitii noilor sisteme, se impun i unele

    msuri suplimentare de realizare a proteciei, situaie n care utilizatorii trebuie s cunoasc n

    detaliu natura noilor ameninri. Literatura de specialitate le grupeaz n diverse moduri.

    Oricum, ele pot fi sintetizate n trei mari categorii:

    ameninri cauzate de incidente ivite n sistem; factori naturali, bazai pe hazard; ameninarea sistemelor prin aciunea voit a omului.

    1.2.2.1 Ameninri cauzate de incidente ivite n sistem

    Realitatea a demonstrat c exist urmtoarele cauze care pot afecta securitatea sistemelor:

    1. Apariia unor defeciuni la echipamentele sistemului. De multe ori micile defeciuni, n special cele cu o perioad de manifestare foarte scurt, sunt mai greu de detectat i

  • PROTECIA I SECURITATEA SISTEMELOR INFORMAIONALE 18

    reparat dect cele catastrofale. Avnd un caracter imprevizibil, pentru ele nu se pot

    stabili anumite msuri de prevenire. Mai grav este atunci cnd ele nu au forme sesizabile

    n momentul producerii, iar datele eronate apar mult mai trziu, fcnd reconstituirea

    celor originale foarte anevoioas sau chiar imposibil;

    2. Apariia inevitabilelor erori umane, conform dictonului errare humanum est, conduce la luarea elementarei msuri preventive de reducere substanial a interveniei umane n

    procesul de prelucrare a datelor cu ajutorul calculatorului electronic. Cauzele erorilor pot

    fi: indiferena cu care se exercit o anumit operaiune, slaba instruire, entuziasmul

    excesiv, nelegerea greit a modului de funcionare a sistemului. Erorile pot s aparin

    operatorilor, dar, i mai grav, programatorilor. Riscul cel mai mare provine din

    posibilitatea perpeturii modului eronat de exercitare a operaiunilor sau a programrii.

    Soluiile constau n introducerea n soft a mai multor teste de validare a introducerilor de

    date, iar, pe linia programrii, apelarea la standardizare sau la utilizarea sistemelor

    CASE (Computer Aided Software Engineering);

    3. Funcionarea defectuoas a softului. Chiar i atunci cnd se apeleaz la un ntreg arsenal de metode de testare a lui, softul poate pstra anumite vicii ascunse, care s

    produc erori inimaginabile. Este cazul programelor foarte mari, de milioane de linii

    surs, care, practic, sunt tot mai greu de controlat. Edificator este cazul unui

    academician rus care a demisionat dintr-o important funcie informatic din ministerul

    aprrii, ntruct spunea c pericolul producerii unor grave incidente, cu efecte nebnuite

    asupra securitii omenirii, devine tot mai mare, din cauza imposibilitii controlrii

    programelor. Multitudinea ramificaiilor din program poate s duc la scurt-circuitarea

    lor, genernd ci imprevizibile de execuie, concretizate n luarea unor decizii

    surprinztoare;

    4. ntreruperea sistemului de alimentare cu energie sau funcionarea lui n afara parametrilor tehnici admii. n aceast categorie intr i cderea legturilor de

    comunicaie, precum i a altor utiliti necesare sistemului.

    Care este cel mai distructiv incident care a afectat securitatea informaional a unei organizaii cunoscute de dvs.? Motivai.

  • CADRUL GENERAL AL PROTECIEI I SECURITII SISTEMELOR INFORMAIONALE 19

    1.2.2.2 Factorii naturali, bazai pe hazard

    Calculatoarele sunt sisteme deosebit de sensibile. Deseori sunt comparate cu creierele

    umane, deci asemnarea poate continua. Dac pe creier se depun mici cheaguri de snge, el

    funcioneaz eronat sau poate s-i nceteze exercitarea funciilor sale. Cheagurile

    calculatoarelor pot fi: exces de umiditate, exces de cldur, praf, fire de pr, scrum de igar

    .a. Nu sunt de neglijat diversele insecte, ndeosebi mute, nari, pianjeni, gndaci, viespi,

    viermi. Cel mai mare pericol l reprezint mouse-ul, dar de data aceasta cel adevrat, adic

    micuul oricel.

    Tot n aceast categorie intr cutremurele, vijeliile, furtunile, inundaiile i alte forme de

    dezlnuire a naturii.

    1.2.2.3 Ameninarea sistemelor prin aciunea voit a omului

    Ca orice avere, i cea informaional strnete tentaii umane, iar regula decalogului, care

    ndeamn s nu furi, nici n acest caz nu este respectat. S-au constituit, n timp, grupuri de

    specialiti care exploateaz slbiciunile sistemelor. Cel mai grav este faptul c unii

    realizatori de sisteme sunt i cei mai periculoi dumani ai propriilor creaii, fiind un fel de

    Kronoi ai vremurilor noastre, devorndu-i propriii lor copii, adic sistemele. Motivele

    atacurilor pot fi destul de variate: de la spionajul industrial, militar, pn la cele mai meschine

    interese. Atacurile pot fi deliberate sau accidentale, deschise sau mascate (ascunse).

    1. Spionajul i serviciile secrete acioneaz, de regul, n domeniul militar, dar i fac simit prezena i n industrie, comer, nvmnt, cercetare .a. Cile de obinere a

    informaiilor variaz de la banalele apeluri telefonice, pn la sofisticatele metode

    tehnice de captare a datelor. Microfonul ascuns ntr-o camer este deja o form de

    primitivism, ntruct au proliferat tehnici de-a dreptul miraculoase de captare.

    2. Dumanii, nedreptiii i neloialii dintre angajaii firmei. Aceast categorie nu apeleaz la tehnici prea performante, deoarece, desfurndu-i activitatea n

    interiorul sistemului, pot nfptui acte criminale cu mijloace mult mai simple.

    Motivaia lor poate s fie un ctig personal sau o rzbunare. Mai grav este cazul

    cnd o ter persoan din sistem, investit cu autorizarea unor operaiuni, n mod

    involuntar, contribuie la nfptuirea atacului.

    Trecerea spre PC-uri, culturalizarea informatic a utilizatorilor constituie reale

    ameninri pentru sistemele informaionale. Cu banii pltii de firm, ntruct

    efectueaz atacul n timpul programului de lucru din birou, angajaii devin dumanii

    cei mai periculoi ai unitii. Tot n aceast categorie sunt ncadrai i grevitii.

    3. Vandalii i huliganii au la dispoziie forme noi de manifestare, renunnd la bte i pietre, dar apelnd la spargeri informatice, la virui .a. Mai periculoi sunt cei

    strecurai n unitate pe principiul calului troian. Zicala Doamne, spune-mi dumanul

    care mi-e prieten, cci pe cellalt l tiu eu trebuie s devin un adevrat crez pentru

    conducerea unitilor.

    4. Utilizatorii pot s contribuie substanial la pierderile informatizate, ndeosebi prestnd activiti nestandardizate i neautorizate. Pe primul loc se afl jocurile pe

    calculator, care, pe lng faptul c nseamn folosirea resurselor firmei n scop

    personal i irosirea timpului de lucru, chiar dac este o simpl distracie, devin cea

    mai sigur surs de importare a viruilor. Pe locul doi se afl softul tentant, de

    ultim or, necumprat de firm, dar aflat n posesia unui prieten. Dei este

    procurat cu intenii vdit benefice firmei, se transform n altceva.

  • PROTECIA I SECURITATEA SISTEMELOR INFORMAIONALE 20

    Pentru evitarea acestor cazuri, se impun: instruirea personalului, controlarea i

    supravegherea permanent a lui, precum i interzicerea utilizrii altor materiale dect

    a celor aflate n posesia legal a unitii.

    5. Organizaiile subversive i teroriste i-au gsit noi ci de nfptuire a obiectivelor. Exist chiar organizaii care i propun, n mod declarat, abolirea calculatoarelor. Din

    nou, cei mai periculoi sunt angajaii unitii care aparin acestor grupuri. Formele lor

    de manifestare pot fi foarte inteligente, dar i foarte violente. Se pare c viruii cei

    mai periculoi sunt realizai de astfel de grupri.

    6. Ziaritii, n intenia de a realiza articole de senzaie, pe principiul scopul scuz mijloacele, scurm n Berevoietiul informatic sau chiar n locurile, aparent, bine

    tinuite.

    7. Publicul larg, din pur curiozitate informaional sau din dorina de a-i verifica aptitudinile informatice, atenteaz la integritatea multor sisteme.

    8. Adolescenii, dei fac parte din categoria anterioar, au forme specifice i rezultate deosebite n atacarea sistemelor. De cele mai multe ori, dispun de cunotine

    informatice impresionante, care, dac se cupleaz cu accesul la datele folosite de

    prinii lor n sistemele informaionale, devin extrem de periculoi. Printre ei se afl

    cei mai mptimii hackeri, phrackeri i alte categorii descrise ulterior.

    9. Criminalii devin noii bogai ai zilelor noastre. Unele firme nu raporteaz pierderile cauzate de atacurile informatice, fie pentru a nu da curaj i altora s ncerce, fiind

    deja un precedent, fie de teama de a nu fi trase la rspundere c nu au luat cele mai

    bune msuri de asigurare a securitii, fie pentru a nu face un nume prost aplicaiilor

    folosite. Cu calculatorul s-au nfptuit cele mai multe crime perfecte. Cum motivaia

    lor este evident, furtul, investiiile fcute de organizaiile care se ocup cu o astfel de

    activitate sunt mult mai mari pe linia cercetrii tiinifice dect ale oricrei firme

    n parte pe linia asigurrii securitii sistemului.

    Care este cel mai periculos atacator (potenial sau nu) al unui sistem informatic din cadrul unei organizaii cunoscute de dvs.? Motivai.

  • CADRUL GENERAL AL PROTECIEI I SECURITII SISTEMELOR INFORMAIONALE 21

    1.2.3 Asigurarea securitii sistemelor informaionale pai de urmat i

    reguli generale

    Dup prezentarea elementelor vulnerabile din diversele medii informatizate de lucru,

    putem spune c securitatea, n astfel de sisteme, se refer la:

    1. identificarea i evaluarea elementelor patrimoniale de protejat, astfel nct nimic s nu fie omis, iar valorile deosebite s aib un tratament special;

    2. recunoaterea de la bun nceput a vulnerabilitii i slbiciunii sistemelor informaionale;

    3. specificarea tuturor atentatelor posibile asupra sistemelor electronice de calcul, n general, i asupra unei aplicaii informaionale anume, n special;

    4. evaluarea potenialelor pierderi sau riscuri generate de un anumit incident, cu toate consecinele care decurg de aici;

    5. realizarea, implementarea i consolidarea unor metode de asigurare a securitii, cu costuri rezonabile, pentru reducerea riscurilor de deteriorare a sistemelor, inclusiv a

    bazelor de date, la valori minime, asigurndu-se obiectivele pentru care au fost

    realizate sistemele;

    6. pregtirea planurilor de reconstituire a datelor pierdute din cauza dezastrelor; 7. controlul i auditarea periodic a eficienei msurilor de asigurare a securitii

    sistemului.

    Regulile generale, aplicabile tuturor sistemelor de securitate, concretizate n 20 de msuri

    preventive, sunt urmtoarele:

    1. Stabilirea autorizrilor;

    2. Asigurarea loialitii i ncrederii personalului;

    3. Stabilirea modalitilor prin care aciunile de autorizare s fie eficiente;

    4. Identificarea mijloacelor materiale prin care s se realizeze protecia;

    5. Inventarierea elementelor de protejat;

    6. Gruparea valorilor importante pentru o mai bun protecie;

    7. Stabilirea zonelor de amplasare a valorilor protejate;

    8. Aprarea valorilor protejate;

    9. Asigurarea verificrii bunurilor protejate;

    10. Restricii privind utilizarea bunurilor protejate i a mecanismelor de protecie;

    11. Controlul accesului la bunurile protejate;

    12. Expunerea redus a bunurilor protejate;

    13. Privilegii limitate privind bunurile protejate;

    14. Responsabiliti clare pe linia bunurilor protejate;

    15. Consemnarea, n scris, a faptelor care au afectat valorile patrimoniale;

    16. Verificarea dubl a tuturor operaiunilor referitoare la valorile patrimoniale;

    17. Elaborarea documentaiilor de analiz a operaiunilor cu valori patrimoniale;

    18. Cercetarea tuturor neregulilor;

    19. Sancionarea abaterilor;

    20. Crearea posibilitii de redresare, n orice moment, dup unele aciuni care au euat.

    Care este, n opinia dvs., cea mai important regul general de securitate pentru o organizaie? Argumentai.

  • PROTECIA I SECURITATEA SISTEMELOR INFORMAIONALE 22

    1.3 Mecanisme de aprare prezentare general

    Literatura de specialitate consemneaz apte mecanisme de asigurare a eficienei

    securitii sistemelor informaionale:

    1. Securitatea fizic se refer la controlul accesului fizic n sistem i se va concretiza sub diverse moduri: de la mprejmuiri ale amplasamentelor i ui, la lacte i sisteme

    de alarm, inclusiv crearea cadrului de intervenie n cazuri de urgen.

    2. Securitatea personalului presupune selecia, urmrirea, autorizarea i supravegherea angajailor.

    3. Criptarea informaiilor importante nseamn protejarea datelor comunicate la distan, fcndu-le neinteligibile pentru orice alte persoane dect cele autorizate a le

    recepiona.

    4. Studierea tehnicilor specializate ale intruilor astfel nct echipamentele acestora s nu poat ptrunde n configuraia sistemului.

    5. Suprimarea radiaiilor compromitoare este o operaiune necesar pentru c echipamentele folosite n centrele de prelucrare automat a datelor produc radiaii

    acustice i electromagnetice, care pot fi interceptate i analizate. Este cazul

    consolelor, imprimantelor, cablurilor de legtur, al echipamentelor de vizualizare

    .a.

    6. Securitatea liniilor de comunicaie se refer la garantarea comunicrii corecte pe liniile care interconecteaz componentele sistemului, astfel nct intruii s nu le

    poat penetra.

    7. Securitatea sistemelor de prelucrare automat a datelor se ocup de protejarea datelor din sistem mpotriva accesului neautorizat, prin prisma autorizrii

    utilizatorilor i a protejrii datelor, stabilindu-se reguli foarte precise de folosire a lor.

    Fiecare mecanism de protecie trebuie s realizeze obiectivele pentru care a fost

    conceput. Eficiena lui nu trebuie s depind de prezumii false privind imposibilitatea

    atacrii sistemului. El trebuie s demonstreze completitudine, ceea ce se va concretiza printr-o

    funcionare normal la orice eventual ameninare, corectitudine, prin oferirea rspunsurilor

    anticipate, ndeosebi atunci cnd s-ar nregistra intenii frauduloase sau s-ar produce erori n

    utilizare. Mecanismul perfect trebuie s fie ct mai simplu posibil, precum i uor de

    ntrebuinat i s ofere un numr ct mai mic de erori sau alarme false.

    Supravieuirea lui este o alt proprietate, stabilindu-se cu o precizie ct mai mare perioada de funcionare la un anumit nivel asigurat al proteciei, n condiii optime de

    utilizare. Nu trebuie uitat raportul cost sistem - eficien.

  • CADRUL GENERAL AL PROTECIEI I SECURITII SISTEMELOR INFORMAIONALE 23

    Gradul de confidenialitate a informaiei protejate va determina ce mecanisme de aprare

    s fie folosite, conform figurii 1.1.

    Fig. 1.1 Protecia informaiei prin mecanisme specializate

    Modul n care mecanismele generale de mai sus sunt tratate n prezentul manual este

    vizibil n diagrama din figura 1.2.

    Fig. 1.2 Sinteza coninutului manualului pe mecanisme de securitate

    Din ce motiv credei c nu au fost bifate cu X csuele cu fundal mai nchis din Figura 1.1?

    US11 Aspectejuridice privind protecia i securitatea sistemelor informaionale

  • PROTECIA I SECURITATEA SISTEMELOR INFORMAIONALE 24

    Care este, n opinia dvs., cel mai important mecanism de securitate pentru o organizaie cunoscut de dvs.?

    Justificai, cu exemple.

    Rezumat

    Alturi de capital i oameni, informaia este una dintre averile deosebite ale firmei. Pentru a periclita

    aceast resurs important, orice persoan care dialogheaz cu calculatorul unei organizaii poate s fac

    (cel puin) urmtoarele lucruri: s copieze fiierele importante ale altor firme, s influeneze evidenele

    altora pentru a le cauza pierderi, s reprogrameze calculatoarele incluse n configuraia sistemelor de

    producie pentru a provoca avarierea utilajelor sau pentru producerea accidentelor umane, s tearg

    programe sau fiiere. Din acest motiv, considerm absolut necesar tratarea cu prioritate de ctre manageri

    a problemelor de securitate informaional.

    n funcie de tehnologiile folosite i de evoluia n timp a preocuprilor ce o privesc, securitatea

    informaional poate fi abordat prin prisma unui numr mai mare sau mai mic de generaii. Capitolul 1

    prezint i cteva repere din istoria modern a preocuprilor internaionale pe linia proteciei i securitii

    informaionale, cu dorina de a contientiza cititorii de necesitatea unei discipline de profil n cadrul

    Facultii de Economie i Administrarea Afacerilor.

    n orice mediu de lucru, datele trebuie s respecte principiile C.I.A Confidenialitate, Integritate,

    Accesibilitate. Urmrind acesast triad, particularitile proteciei unui sistem informaional se refer la

    luarea unor msuri speciale de aprare a datelor, prin intermediul echipamentelor de prelucrare automat a

    datelor, softului de sistem sau de aplicaii, precum i al comunicaiilor, dac se lucreaz ntr-un astfel de

    mod. Msurile de aprare sunt necesare pentru a contra-pondera pericolele care vizeaz informaiile dintr-o

    organizaie: incidentele, factorii naturali, bazai pe hazard, atacurile.

    Literatura de specialitate consemneaz apte mecanisme de asigurare a eficienei securitii sistemelor

    informaionale: securitatea fizic, securitatea personalului, criptarea informaiilor importante, studierea

    tehnicilor specializate ale intruilor, suprimarea radiaiilor compromitoare, securitatea liniilor de

    comunicaii, securitatea sistemelor de prelucrare automat a datelor, care vor fi tratate pe parcursul

    capitolelor urmtoare.

    Bibliografie disponibil n biblioteca FEAA

    1. Bigdoli, H. - Handbook of Information Security, vol.1- 3, John Wiley - Sons, 2006 2. De Leeuw, K., Bergstra, J. - The History of Information Security. A Comprehensive Handbook,

    Elsevier, Amsterdam, 2007

    3. Davis, C., Cowen, D., Philipp, A. - Hacking Exposed. Computer Forensics Secrets & Solutions, McGraw Hill/Osborne, New York, 2005

    4. McClure, S., Scambray, J., Kurtz, G. - Hacking Exposed Fifth Edition: Network Security Secrets & Solutions, McGraw Hill/Osborne, New York, 2005

    5. Mitnick, K., Simon, W. - Arta de a stoarce informaii, Ed. Teora, Bucureti, 2005 6. Taylor, P. - Hackers, Routledge, London, 1999

  • Unitatea de studiu II

    Protecia informaiilor prin clasificarea lor

    Printre obiectivele unitii de studiu se numr:

    (re)cunoaterea necesitii de clasificare a informaiilor i a principalelor criterii folosite pentru aceasta;

    familiarizarea cu tipurile de informaii ce sunt supuse clasificrii; identificarea principalelor roluri i responsabiliti n procesul de clasificare a

    datelor;

    cunoaterea modalitilor de marcare i distrugere a materialelor cu regim special dintr-o organizaie.

    Unitatea de studiu trateaz:

    formele embrionare de protejare a informaiilor; nceputurile clasificrii moderne a informaiilor; clasificarea informaiilor; declasificarea i degradarea informaiilor clasificate; principiile protejrii informaiilor speciale; protejarea suporturilor informaionale; clasificarea informaiilor organizaiilor.

    Timpul de lucru necesar:

    pentru parcurgerea unitii: 4 h; pentru rezolvarea temelor individuale: 4 h.

    2.1 Forme embrionare de protejare a informaiilor

    Dac n urm cu peste 10.000 de ani s-au realizat primele forme de inere a evidenei

    produselor necesare hranei unei comuniti umane, fcndu-se trimitere la perioada neolitic a

    Orientului Mijlociu cam n anii 8500 .C. , tot atunci s-au nregistrat i primele preocupri

    pe linia securizrii informaiilor pstrate. Produsele obinute erau evideniate prin mici forme

    realizate din lut, difereniate dup proprietar, dar, cum recolta se inea n comun, n hambarele

    comunitii, i obiectele se pstrau n vase speciale, cu particulariti date de gestionarul

    produselor, vase pe care el le sigila dup rularea argilei umede, constituindu-se forme

    asemntoare unor mingi de mrimi diferite. Cnd proprietarul voia s-i ia napoi ceea ce-i

    aparinea, magazionerul sprgea vasul cu nsemnele de lut ale acestuia, operaiune efectuat

    n prezena martorilor. Acesta este considerat primul protocol de securitate.

    Dup vreo patru mii de ani, pe teritoriul actualului Peru, s-au realizat forme mai lejere de

    eviden, prin intermediul nodurilor de pe funii sau sfori. La fel de bine, am putea spune c, n

    urm cu ase mii de ani, oamenii au nceput s fie trai pe sfoar, chiar dac ea se numea la

    peruvieni quippos. Firesc, trgea pe sfoar cel ce avea grija ei. N-ar trebui s ne punem

    problema c ele nu se pstrau n condiii de securitate deplin.

    Cu vreo 3000 de ani .C. s-a inventat scrierea. Dar i aceasta era securizat. Se spune c

    preoii egipteni interziceau folosirea scrierii alfabetice pe pmntul reavn, ca, nu cumva,

    muritorii de rnd s aib acces la inveniile vremii. V amintii de celebrul tablou coala de

    la Atena, n care Pitagora demonstreaz pe nisip teorema sa. Tragem concluzia c prezenta o

    informaie public.

    Dup alt o mie de ani au aprut formele echivalente ale actualelor obligaiuni, avize de

    expediie .a. n acelai timp, adic n urm cu circa patru mii de ani, au nceput s se

  • PROTECIA I SECURITATEA INFORMAIILOR 26

    foloseasc lingourile de metal ca obiecte universale de schimb. Cu 750 de ani .C. s-au

    inventat monedele, i procesul evolutiv a continuat, pn s-a ajuns la sistemul de contabilitate

    n partid dubl. Procesul fost surprins n prima carte de acest tip, de Luca Paciolo, n 1494, cnd, din motive de securitate a operaiunilor, au fost promovate principiile dublei

    reprezentri i dublei nregistrri, dei acestea apruser n anii 1300. Dup renascentism s-au

    nfptuit multiple sisteme de securitate; o bun parte din ele se regsesc n mai multe seciuni

    ale crii de fa.

    Cunoatei i alte momente istorice relevante n clasificarea informaiilor? Prezentai-le succint, preciznd sursa bibliografic.

    2.2 nceputurile clasificrii moderne a informaiilor

    Dup scurta istorie a preocuprilor viznd securitatea, s ne apropiem de vremurile

    noastre i de punctul de vedere al securitii sistemelor fa de tipurile de informaii protejate.

    Dac dup cel de-al doilea rzboi mondial au rmas attea amintiri neplcute, se cuvine,

    totui, s recunoatem i cteva moteniri teribile. Ne gndim la cercetarea operaional, a lui

    Claude Shannon, transferat din domeniul militar n cel economic, la aportul lui Alan Turing

    n domeniul tehnicilor de criptare-decriptare a datelor, dar i la ceea ce ne intereseaz pe noi

    mai mult, marcarea documentelor cu regim special. NATO are meritul principal n

    dezvoltarea acestui sistem, al clasificrii. Clasificare nseamn etichetri cresctoare ale

    documentelor sau informaiilor, de la cel mai de jos nivel, unde se situeaz informaiile

    deschise (open) sau neclasificate (unclassified), la cele confideniale, urcnd spre informaii

    secrete i strict secrete (top secret).

    Iniial, s-a pornit de la ideea c informaiile care prin compromitere pot costa viei umane

    sunt marcate secrete, n timp ce informaiile a cror compromitere cost pierderea multor

    viei umane sunt definite top secret (strict secrete). Angajaii n domeniul securitii

    sistemelor sunt investii cu responsabiliti diverse, dar i cu dreptul de a lucra cu anumite

    categorii de informaii. Se poate vorbi de o strns legtur ntre responsabiliti i categoriile

    de informaii cu care se d dreptul de a lucra. n SUA, dreptul de verificare a fiierelor cu

    amprente ale FBI este acordat doar pentru verificarea unor informaii secrete, n timp ce o

    verificare de tip top secret d dreptul de accesare a tuturor datelor despre locurile de munc

    din ultimii 5 pn la 15 ani.

    Pe linia accesului la unele categorii de informaii, pentru exercitarea controlului lucrurile

    sunt mai clare: un oficial poate citi documentele dintr-o anumit categorie numai dac el are

    cel puin mputernicirea de accesare a informaiilor din categoria respectiv sau dintr-una

  • PROTECIA INFORMAIILOR PRIN CLASIFICAREA LOR 27

    superioar. De exemplu, un mputernicit s acceseze informaii strict secrete poate citi

    informaii confideniale, secrete i strict secrete, iar unul cu drept de accesare a informaiilor

    secrete nu le poate accesa pe cele strict secrete. Regula este c informaiile pot circula doar

    n sus, de la confidenial la secret i strict secret, n timp ce invers, de sus n jos, pot circula

    doar dac o persoan autorizat ia n mod deliberat decizia de a le declasifica.

    De asemenea, s-au stabilit reguli de pstrare a documentelor, dup cum urmeaz:

    documentele confideniale sunt pstrate n dulapuri cu cheie, n orice birou guvernamental, n

    timp ce documentele din categoriile superioare necesit seifuri de un anumit tip, ui pzite i

    control asupra copiatoarelor i al celorlalte echipamente electronice.

    Sunt foarte puine uniti care au proceduri stricte pe linia asigurrii securitii

    informaiilor. Pe de alt parte, la nivel naional exist proceduri foarte riguroase privind

    secretul de stat. De regul, exist o ierarhie a ceea ce este cunoscut sub numele de clasificare,

    prin care orice document i alte elemente importante sunt ncadrate ntr-o anumit categorie.

    Se practic dou strategii de baz pe linia securitii naionale: 1. Tot ceea ce nu este interzis este permis.

    2. Tot ceea ce nu este permis este interzis.

    n Statele Unite ale Americii, prima strategie este cea care guverneaz accesul la

    informaiile guvernamentale. n multe ri de pe glob, accesul la informaiile naionale este

    controlat prin legi privind secretul de stat, folosindu-se cea de-a doua strategie. Un angajat

    loial i devotat firmei nu discut afacerile acesteia pn cnd nu are convingerea c problema

    respectiv poate s fie fcut public.

    Se apeleaz la dou tactici de implementare a strategiei fundamentale privind protejarea

    informaiilor deosebite:

    controlul discreionar al accesului; controlul legal al accesului. Prima tactic de control al accesului implementeaz principiul celui mai mic privilegiu:

    nici o persoan, n virtutea rangului sau a poziiei ce o deine, nu are drepturi nelimitate de a

    vedea informaiile deosebite, iar persoanele care au o astfel de facilitate trebuie s le vad

    numai pe cele care intr n sfera lor de activitate. Controlul discreionar al accesului este

    aplicat printr-o matrice de control, conform modelului redat n fig 2.1. Pentru fiecare

    persoan (subiect) aflat pe list i pentru fiecare informaie (obiect), matricea arat ceea ce

    poate face fiecare subiect cu obiectele din list: citire, scriere, execuie, aprobare .a.

    Fig. 2.1 Matrice de control al accesului

    Controlul legal al accesului i exercit fora pe baza legilor existente (legea securitii

    naionale, legea energiei atomice .a.). n SUA, prin lege, sunt stabilite dou tipuri de structuri

    de control: ierarhizate i neierarhizate.

  • PROTECIA I SECURITATEA INFORMAIILOR 28

    Structura ierarhizat ncadreaz informaiile senzitive n patru categorii: strict secrete, secrete, confideniale i neclasificate.

    Primele trei categorii sunt referite printr-o denumire generic: informaii clasificate. n alte ri NATO, inclusiv Canada, a patra categorie este cunoscut sub numele de

    informaii restrictive. n structura neierarhizat sunt dou categorii: compartimentate i cu obiecii sau ascunse

    vederii unor categorii de persoane. Compartimentrile pot avea nume scurte, suficient de

    sugestive, care s scoat n relief aspecte cum sunt: SECOM (securitatea comunicaiei),

    CRIPTA (criptare), COMSEC (comunicaii secrete), HUMINT (Human INTeligence), SIGINT

    (SIGnal INTeligence), IMINT (IMage INTeligence) .a. Categoria cu obiecii privete

    ndeosebi naionalitatea potenialilor cititori i autori ai obiectelor. n SUA, contestaiile

    (obieciile) sunt: NOFOR (no foreign = neaccesibile strinilor), US/UK EYES ONLY (de

    vzut numai de ctre englezi sau americani) .a.

    Informaiile strict secrete, care sunt ntr-o anumit compartimentare, se numesc

    informaii senzitive compartimentate i presupun o atenie deosebit la ntrebuinare. Doar o categorie este superioar acesteia din urm. Este vorba despre informaiile din planul operativ integrat unic sau rspunsul naional n caz de rzboi.

    Clasificarea i legislaia din Romnia sunt prezentate n unitatea de studiu 11.

    Informai-v despre cazul Wikileaks.

    Argumentai pro sau contra oportunitii existenei acestui proiect.

    2.3 Clasificarea informaiilor

    Atunci cnd informaiile au fost mprite n dou mari categorii, clasificate i

    neclasificate, s-a inut cont de anumite principii. Pentru a le cunoate, ns, este nevoie de o

    abordare preliminar a unor concepte1.

    Guvernele pornesc de la o clasificare mai larg, mprind informaiile n dou mari

    tipuri: informaii subiective i informaii obiective. Anterior a operat o alt clasificare: informaii operaionale i informaii tiinifice. Unii chiar au menionat un al treilea tip

    de informaii clasificate de guverne informaii tehnice, ns n multe materiale, informaiile tehnice i cele tiinifice sunt submulimi ale informaiilor obiective.

    1 U.S. Department of Energy Identification of Classified Information, Office of Classification, December 1991, Chapter

    IV, Part B, 3.

  • PROTECIA INFORMAIILOR PRIN CLASIFICAREA LOR 29

    2.3.1 Informaii subiective

    Informaiile subiective au mai fost caracterizate i ca secrete adevrate, iar ali autori le-au numit informaii operaionale sau secrete operaionale. Cel mai potrivit nume este, ns, informaii subiective sau secrete subiective. Aceste informaii sunt unice pentru guvern,

    n sensul c el decide asupra modului n care se vor derula principalele activiti ce-i revin.

    Ct timp guvernul controleaz i protejeaz informaiile pe baza crora ia decizii, acele

    informaii nu pot fi dezvluite independent de ctre adversar. De exemplu, n domeniul

    militar, o informaie subiectiv este cea referitoare la planul de invadare a altei ri (momentul

    i locul invaziei). Adversarul nu are cum s produc o astfel de informaie, dar o poate obine

    numai prin spionaj sau dezvluire neautorizat.

    Aceste informaii au urmtoarele caracteristici:

    dimensiune redus secretul poate fi exprimat prin doar cteva cuvinte; din aceast cauz poate s fie furat cu uurin i dat altora;

    perceptibilitate universal nu este nevoie de pregtire special pentru a nelege secretul; oricine poate s-l fure;

    supuse arbitrarului pentru a intra n posesia lor un adversar le poate fura; secretul nu poate fi descoperit independent;

    coninutul poate fi schimbat secretul poate fi modificat i n ultima clip; dac o ar a aflat c adversarul cunoate momentul i locul invaziei, acestea pot fi schimbate;

    sunt perisabile dup scurt timp secretele au o via scurt; dup declanarea invaziei, adversarul a aflat secretul, el devenind public; n concluzie, secretul poate fi

    inut doar pentru o perioad scurt de timp.

    Dai exemple de informaii subiective ntlnite n cadrul organizaiilor economice. Justificai importana lor

    pentru respectivele organizaii.

    2.3.2 Informaii obiective

    Informaiile obiective sunt acelea care chiar dac sunt descoperite, dezvoltate sau controlate de ctre guvern, pot fi deja cunoscute sau pot fi descoperite independent de o alt

    ar. n aceast categorie intr informaiile tiinifice sau secretele tiinifice. Asupra acestui

    fel de informaii nu se poate avea un control absolut. Ele in de natura lucrurilor, nu de un

    secret. Oamenii de tiin din alte ri, independeni unii de alii, pot face descoperiri identice.

    Informaiile de acest tip sunt referite i ca informaii obiective sau secrete obiective. Informaiile obiective sunt marcate de urmtoarele caracteristici:

  • PROTECIA I SECURITATEA INFORMAIILOR 30

    sunt confuze de regul, nu se bazeaz pe o formul magic; pentru descrierea informaiilor tiinifice sunt necesare rapoarte lungi; din aceast cauz ele nu se pot

    transmite cu uurin;

    pot fi nelese numai de ctre oamenii de tiin; nu sunt supuse arbitrarului i alii pot s afle rspunsul la o anumit ntrebare

    tiinific, dac formuleaz ntrebarea cuvenit;

    nu sunt supuse schimbrii au caracter etern; un fenomen natural are o singur valoare;

    pot avea o via lung ca secret alii pot descoperi informaiile n mod independent, dar o astfel de descoperire necesit mult timp, ceea ce va conduce la pstrarea

    secretului pentru o lung perioad.

    Dai exemple de informaii obiective ntlnite n cadrul organizaiilor economice. Justificai importana lor

    pentru respectivele organizaii.

    2.3.3 Secrete subiective, secrete obiective i secrete comerciale

    Cu toate c exist dou tipuri principale de informaii clasificate (secrete subiective i

    obiective), legea secretului comercial recunoate numai un tip al secretelor comerciale

    secretele obiective. Secretele comerciale includ informaiile despre procesele de fabricaie,

    reetele unor produse (cum este cazul formulei de fabricaie pentru Coca-Cola), precum i

    alte informaii obiective care pot fi descoperite independent de ctre alte afaceri. Multe

    secrete comerciale sunt asemntoare informaiilor tiinifice i tehnice.

    Secretele subiective nu sunt protejate prin legile secretului comercial. Dac un guvern

    poate clasifica i proteja datele privind invazia unei alte ri (informaii subiective), o firm

    nu poate primi protecia secretului comercial pentru data la care i planific s introduc n

    fabricaie un nou produs.

    Dai exemple de secrete comerciale cunoscute de dvs.

  • PROTECIA INFORMAIILOR PRIN CLASIFICAREA LOR 31

    2.3.4 Determinarea necesitii clasificrii informaiilor

    n vederea clasificrii informaiilor se parcurg trei etape distincte:

    1. stabilirea nevoii de clasificare; 2. determinarea nivelurilor clasificrii; 3. determinarea duratei clasificrii.

    Stabilirea nevoii de clasificare

    Etapa se realizeaz n cinci pai principali:

    a. definirea cu exactitate a informaiilor de clasificat (opional, dar recomandat); b. stabilirea dac informaiile se ncadreaz ntr-unul din domeniile supuse clasificrii; c. verificarea dac informaiile se afl sub control guvernamental; d. concluzionarea dac dezvluirea informaiilor poate s conduc la cauzarea daunelor

    pentru securitatea naional;

    e. specificarea precis a nevoii de clasificare a informaiilor (opional, dar recomandat).

    Determinarea nivelurilor clasificrii

    Atunci cnd o informaie trebuie s fie clasificat ei i se va atribui un nivel de clasificare,

    ceea ce va evidenia importana relativ a informaiei clasificate n sistemul naional de

    securitate, specificndu-se cerinele minime pe care trebuie s le ndeplineasc acea

    informaie.

    Un sistem de clasificare eficient trebuie s se bazeze pe niveluri de clasificare definite cu

    mare claritate.

    n sistemul american de clasificare a informaiilor exist trei niveluri de clasificare: top

    secret (strict secret), secret i confidenial. Informaiile neclasificate constituie o alt

    categorie. n Legea 182/2002 privind protecia informaiilor clasificate, din Romnia,

    informaiile clasificate din clasa secretelor de stat sunt ncadrate n trei niveluri, astfel: strict

    secrete de importan deosebit, strict secrete i secrete.

    Informaiile strict secrete (SUA), crora le corespund informaiile strict secrete de

    importan deosebit (Romnia), sunt informaiile a cror divulgare neautorizat este de

    natur s produc daune de o gravitate excepional securitii naionale.

    Informaiile secrete (SUA), ceea ce echivaleaz cu informaiile strict secrete (Romnia), sunt informaiile a cror divulgare neautorizat este de natur s produc daune grave

    securitii naionale.

    Informaiile confideniale (SUA), corespunztoare informaiilor secrete (Romnia), sunt

    informaiile a cror divulgare neautorizat este de natur s produc daune securitii

    naionale.

    Apreciem c o nesincronizare a nivelurilor de clasificare din sistemul romnesc cu cel

    american este o prob de neinspiraie, cu att mai mult cu ct intrarea n NATO genereaz,

    probabil, multe disfuncionaliti circulaiei informaiilor clasificate. Considerm c, n timp,

    nivelurile securizrii din Romnia vor fi schimbate tocmai pentru eliminarea neajunsurilor

    menionate anterior.

    Determinarea duratei clasificrii

    Guvernele clasific informaiile i aplic proceduri de securitate special documentelor i

    materialelor ce le conin sau sunt purttoare ale acelor informaii pentru a prentmpina

    obinerea lor de ctre adversari, cu intenia de a le folosi mpotriva deintorului autorizat.

    Din pcate, informaiile clasificate nu stopeaz, n mod automat, accesul adversarilor la ele.

  • PROTECIA I SECURITATEA INFORMAIILOR 32

    Se spune2 c pentru pstrarea n mare tain a informaiilor trebuie fie s nu spui nimnui

    acele informaii, fie s foloseti metoda cpitanului Kidd. Totui, cum informaiile trebuie s

    fie utilizate de mai muli guvernani, ele nu pot fi inute n tain de o singur persoan. Pe de

    alt parte, metoda cpitanului Kidd, de pstrare a secretului, este de neacceptat. n consecin,

    guvernele folosesc metoda clasificrii informaiilor pentru a asigura pstrarea secretului. Metoda cpitanului Kidd, din pcate, a operat mult timp n istoria omenirii. El era un cpitan

    pirat despre care se spune c i ngropa comorile cu scopul de a le recupera ulterior. Toi cei

    care participau la astfel de operaiuni erau ucii, nct nimeni altul dect Kidd nu mai tia

    locul ascuns al comorilor. Discipolii lui Kidd au lansat chiar sloganul sadic Trei persoane

    pot pstra un secret dac dou dintre ele sunt omorte.

    n general, informaiile, orict ar fi de preioase, nu pot fi pstrate o perioad nelimitat

    de timp fr s fie aflate de adversari. Uneori ei le obin prin spionaj. Alteori, ele sunt aflate

    datorit proastei gestionri de ctre posesorul autorizat. Sunt i cazuri n care, ndeosebi

    pentru informaiile tiinifice i tehnice, adversarii le obin cu eforturi proprii, prin invenii i

    inovaii.

    Chiar dac informaiile pot fi pstrate ani muli fr a fi aflate de adversari, nu este, de

    regul, recomandat s se pstreze perioade ndelungate. Clasificatorii informaiilor sunt cei ce

    vor hotr dac este cazul s se specifice timpul de pstrare a informaiei clasificate sau s se

    indice momentul n care va interveni declasificarea automat. Durata informaiilor clasificate

    trebuie s fie att de scurt ct s nu genereze costuri fr rost cu pstrarea lor. Nici duratele

    prea scurte nu sunt recomandate, deoarece adversarii ar intra prea devreme n posesia lor i ar

    putea aciona pentru ubrezirea ntregului sistem de securitate naional. n concluzie, doar

    clasificatorul trebuie s aib grija stabilirii duratei de clasificare.

    Cnd se ncearc a se discuta despre durata de pstrare a informaiilor clasificate, prerile

    sunt destul de diferite. n SUA, n 1970, ntr-un raport al unui organism specializat, s-a fcut

    urmtoarea declaraie: Este puin probabil ca informaiile clasificate s poat fi protejate o

    perioad mai mare de cinci ani i este mult mai rezonabil s presupunem c ele devin

    cunoscute de ctre alii n perioade de cel mult un an, prin descoperire independent,

    dezvluire clandestin sau alte mijloace. Ali specialiti au declarat c experiena istoriei

    demonstreaz c nici un secret militar nu poate fi pstrat prea mult; n unele cazuri exist

    aproape ntotdeauna o limit definit de timp, n funcie de importan. Un director al

    Departamentului Aprrii din SUA declara c durata pstrrii informaiilor clasificate poate fi

    influenat de o serie de