Date post: | 29-Sep-2015 |
Category: |
Documents |
Upload: | turnea-dragos |
View: | 27 times |
Download: | 6 times |
UNIVERSITATEA Al.I.Cuza IAI
FACULTATEA DE ECONOMIE I ADMINISTRAREA AFACERILOR
DEPARTAMENTUL PENTRU NVAMNT LA DISTAN I NVMNT CU FRECVEN REDUS
DUMITRU OPREA
PROTECIA I SECURITATEA SISTEMELOR
INFORMAIONALE
Material de studiu pentru nvmntul la distan/ nvmntul cu frecven
redus
Iai, 2015
Cuprins
Cuprins .................................................................................................................................................. 2 Prefa ................................................................................................................................................... 6 Unitatea de studiu I Cadrul general al proteciei i securitii sistemelor informaionale 7 1.1 Scurt istorie modern a (in)securitii informaiilor .............................................................. 7 1.2. Particulariti ale securitii sistemelor informaionale ........................................................ 11
1.2.1 Vulnerabilitatea microcalculatoarelor .......................................................................................... 14 1.2.2 Forme de manifestare a pericolelor n sistemele informaionale ................................................. 17 1.2.3 Asigurarea securitii sistemelor informaionale pai de urmat i reguli generale ................ 21
1.3 Mecanisme de aprare prezentare general ......................................................................... 22 Rezumat .................................................................................................................................................... 24 Bibliografie disponibil n biblioteca FEAA .......................................................................................... 24
Unitatea de studiu II Protecia informaiilor prin clasificarea lor 25 2.1 Forme embrionare de protejare a informaiilor ...................................................................... 25 2.2 nceputurile clasificrii moderne a informaiilor .................................................................... 26 2.3 Clasificarea informaiilor .......................................................................................................... 28
2.3.1 Informaii subiective ....................................................................................................................... 29 2.3.2 Informaii obiective ......................................................................................................................... 29 2.3.3 Secrete subiective, secrete obiective i secrete comerciale ........................................................... 30 2.3.4 Determinarea necesitii clasificrii informaiilor ....................................................................... 31
2.4 Declasificarea i degradarea informaiilor clasificate ............................................................. 33 2.5 Principiile protejrii informaiilor speciale ............................................................................. 34 2.6 Protejarea suporturilor informaionale ................................................................................... 35
2.6.1 Marcarea materialelor cu regim special ....................................................................................... 36 2.6.2 Pstrarea i distrugerea materialelor speciale .............................................................................. 36
2.7 Clasificarea informaiilor organizaiilor .................................................................................. 37 Rezumat .................................................................................................................................................... 38 Bibliografie disponibil n biblioteca FEAA .......................................................................................... 39
Unitatea de studiu III Controlul accesului n sistemele informaionale 40 3.1 Tipuri de control al accesului n sistem .................................................................................... 40 3.2 Identificarea i autentificarea .................................................................................................... 43
3.2.1 Principii de baz ale controlului accesului .................................................................................... 44 3.2.2 Controlul accesului prin obiecte .................................................................................................... 45 3.2.3 Controlul accesului prin biometrie ................................................................................................ 47 3.2.4 Controlul accesului prin parole ..................................................................................................... 49 3.2.5 Controlul geografic al accesului n sistem ..................................................................................... 52 Rezumat .................................................................................................................................................... 53 Bibliografie disponibil n biblioteca FEAA .......................................................................................... 53
Unitatea de studiu IV Politici, standarde, norme i proceduri de securitate 54 4.1 Modele de politici de securitate ................................................................................................. 54
4.1.1 Modele de securitate multinivel ..................................................................................................... 55 4.1.2 Modele ale securitii multilaterale ............................................................................................... 58
4.2 Programul de securitate ............................................................................................................. 60 4.2.1 Politicile ............................................................................................................................................ 61 4.2.2 Standardele, normele i procedurile de securitate ....................................................................... 62 4.2.3 Exemple de politici de securitate .................................................................................................... 63 Rezumat .................................................................................................................................................... 68 Bibliografie disponibil n biblioteca FEAA .......................................................................................... 68
Unitatea de studiu V Criptografia 69 5.1 Concepte de baz ........................................................................................................................ 69 5.2 Scurt istoric al criptografiei ....................................................................................................... 70 5.3 Tehnologii criptografice ............................................................................................................. 71
5.3.1 Substituia ........................................................................................................................................ 72 5.3.2 Transpoziia (permutarea) ............................................................................................................. 72 5.3.3 Cifrul lui Vernam ............................................................................................................................ 73 5.3.4 Cifrul carte ...................................................................................................................................... 73 5.3.5 Codurile ........................................................................................................................................... 74 5.3.6 Ascunderea informaiilor ............................................................................................................... 74
5.4 Sisteme de criptare prin chei secrete (simetrice) ..................................................................... 81 5.5 Sisteme de criptare prin chei publice (asimetrice) .................................................................. 82 5.6 Semntura digital ...................................................................................................................... 83
Rezumat .................................................................................................................................................... 84 Bibliografie disponibil n biblioteca FEAA .......................................................................................... 84
Unitatea de studiu VI Securitatea la nivelul centrelor de prelucrare a datelor 85 6.1 Alegerea amplasamentului centrelor de calcul ................................................................................ 85 6.2 Proiectarea centrului de calcul ......................................................................................................... 86 6.3 Protecia i securitatea mediului de lucru al calculatoarelor ......................................................... 88 Rezumat .................................................................................................................................................... 90 Bibliografie disponibil n biblioteca FEAA .......................................................................................... 90
Unitatea de studiu VII Securitatea echipamentelor de prelucrare a datelor 91 7.1 Vulnerabilitatea echipamentelor de prelucrare a datelor .............................................................. 91 7.2 Asigurarea echipamentelor mpotriva inteniilor de modificare a lor ........................................... 92 7.3 Controlul integritii echipamentelor ............................................................................................... 92 7.4 Proceduri de ntreinere a echipamentelor ...................................................................................... 93 7.5 Tolerana la cdere a echipamentelor .............................................................................................. 94 7.6 Contractele ncheiate cu furnizorii de echipamente ........................................................................ 95 Rezumat .................................................................................................................................................... 96
Unitatea de studiu VIII Securitatea software-ului ................................................................... 97 8.1 Obiectivele securitii prin software ................................................................................................. 97 8.2 Limitele softului pentru asigurarea securitii ................................................................................ 97 8.3 Msuri generale de asigurare a securitii softului ......................................................................... 98 Rezumat .................................................................................................................................................. 100 Bibliografie disponibil n biblioteca FEAA ........................................................................................ 100
Unitatea de studiu IX Securitatea personalului..................................................................... 101 9.1 Ameninri de securitate asociate personalului ............................................................................. 101 9.2 Principii manageriale de securitate a personalului ....................................................................... 102 9.3 Msuri pe linia securitii din punct de vedere al personalului ................................................... 102 Rezumat .................................................................................................................................................. 108 Bibliografie disponibil n biblioteca FEAA ........................................................................................ 108
Unitatea de studiu X Securitatea comunicaiilor 109 10.1 Interceptarea conversaiilor .................................................................................................. 109 10.2 Securitatea telefoanelor standard ......................................................................................... 110 10.3 Securitatea telefoniei mobile .................................................................................................. 113
Rezumat .................................................................................................................................................. 120 Unitatea de studiu XI Aspecte juridice privind protecia i securitatea sistemelor informaionale 121 11.1 Legislaia n Romnia ............................................................................................................. 121 11.2 Protecia prin patente, copyright, licene i mrci nregistrate ......................................... 134
11.2.1 Patentele la nivelul Oficiului European de Patente (EPO European Patent Office) .......... 135 11.2.2 Copyright-ul ................................................................................................................................ 136 11.2.3 Protejarea mrcilor nregistrate ................................................................................................ 141 11.2.4 Licenele ....................................................................................................................................... 141 Rezumat .................................................................................................................................................. 142 Bibliografie disponibil n biblioteca FEAA ........................................................................................ 142
Bibliografie general 143 Referine Internet 144 Bibliografie disponibil n biblioteca FEAA 145
Unitatea de studiu I
Cadrul general al proteciei i securitii sistemelor informaionale
Unitatea de studiu 1 dorete s-i conving cititorii c:
averile informaionale sunt foarte importante n activitatea organizaiilor mai mici i mai mari, iar preocuprile pe linia asigurrii securitii lor, dei exist din cele mai vechi timpuri, s-au intensificat o dat cu dezvoltarea tehnicii de calcul;
exist o gam larg de pericole i vulnerabiliti asociate acestor averi, iar ea se extinde simultan cu dezvoltarea tot mai rapid a tehnologiilor informaionale i de comunicaii;
securitatea averilor informaionale este o component de baz a ecuaiei succesului organizaional i o problem mai degrab uman dect tehnic, posibil de rezolvat cu mijloace ieftine.
Unitatea de studiu trateaz:
o scurt istorie modern a (in)securitii informaiilor; particularitile securitii sistemelor informaionale; elementele de vulnerabilitate a microcalculatoarelor; formele de manifestare a pericolelor n sistemele informaionale; regulile generale de asigurare a securitii sistemelor infomaionale; mecanismele de aprare a averilor informaionale.
Timpul de lucru necesar:
pentru parcurgerea unitii: 4 h; pentru rezolvarea temelor individuale: 4 h.
1.1 Scurt istorie modern a (in)securitii informaiilor
Investind n tehnic sume colosale, firesc, oamenii au nceput s foloseasc metode
adecvate de pstrare a ei n camere speciale, cu ui ncuiate prin sisteme sofisticate, bazate pe
cifru, ferind, ca i pn acum, noua avere de privirile curioilor. S-a tratat, deci, tehnica de
calcul ca i seifurile ce pstrau banii i bijuteriile de familie, uitndu-se un amnunt foarte
important, i anume c noile averi sunt nu cele materiale, ci imateriale, cu forme speciale de
utilizare, i cu valori intrinseci, invizibile de cele mai multe ori, iar cile de protejare folosite
pn acum devin ineficiente sau insuficiente. Mai clar, informaia, cci ea reprezint noua
avere, devine o resurs de nebnuit a organismelor economico-sociale. Alturi de capital i
oameni, informaia este una dintre averile deosebite ale firmei.
Insecuritatea, amintit anterior, rezid i din faptul c orice persoan care dialogheaz cu
calculatorul unei firme, fie prin multitudinea tipurilor de reele, fie prin sistemele de pot
electronic (e-mail) sau prin intermediul dischetelor, CD-urilor, DVD-urilor, USB-urilor, al
benzilor magnetice sau al altor suporturi de informaii, aduse din afara unitii, sau prin
scrierea unor programe cu rol special, poate s fac urmtoarele lucruri: s copieze fiierele
importante ale altor firme, s influeneze evidenele altora pentru a le cauza pierderi, s
reprogrameze calculatoarele incluse n configuraia sistemelor de producie pentru a provoca
avarierea utilajelor sau pentru producerea accidentelor umane (inclusiv uciderea lor), s
tearg programe sau fiiere i multe altele.
PROTECIA I SECURITATEA SISTEMELOR INFORMAIONALE 8
Dac ne raportm la dinamica fantastic din domeniu, ne dm seama de creterea
constant a riscului la care se expun beneficiarii noilor tehnologii informaionale, platformele
de lucru genernd, la rndul lor, noi medii de utilizare. Se pot puncta cteva momente
eseniale, pe planul evoluiei tehnologiilor folosite, cu impact asupra sistemelor de securitate,
i ncercm s efectum o grupare a lor pe generaii, astfel:
generaia I, securitatea sistemelor bazate pe calculatoare mari, de sine stttoare; generaia a II-a, securitatea sistemelor distribuite; generaia a III-a, securitatea microcalculatoarelor, inclusiv a reelelor locale; generaia a IV-a, securitatea Internetului; generaia a V-a, securitatea comerului i afacerilor electronice; generaia a VI-a, securitatea comerului i afacerilor mobile; generaia a VII-a, securitatea global a lumii virtuale, a ntregului spaiu cibernetic. Dintr-un alt punct de vedere, al elementelor prelucrate i al produselor oferite
utilizatorilor, am putea vorbi de o alt sistematizare evolutiv, dup cum urmeaz:
securitatea datelor; securitatea datelor i informaiilor; securitatea datelor, informaiilor i cunotinelor. Prin aceast ultim prezentare, am intenionat s suprindem trecerea de la societatea
preocupat de creterea performanelor prin colectarea mai rapid a datelor, la societatea
informaional a zilelor noastre, pn la societatea ce se contureaz n mileniul III, a
cunoaterii.
Analiza locurilor de amplasare a echipamentelor folosite pentru atingerea scopurilor
prelucrrii, implicit ale securizrii, ne va conduce, n timp, spre spaii tot mai extinse: centre
de prelucrare automat a datelor, puncte de amplasare a terminalelor clasice, birouri i case
ale utilizatorilor, cldiri izolate i/sau grupate componente ale reelelor locale, metropole,
ari, grupuri de ri, ajungnd, prin world-wide-web (www), la ntreaga planet.
Dac, din curiozitate, vei accesa www.attrition.org, vei afla ct de vulnerabile sunt pn
i site-urile marilor corporaii. n fiecare an, site-uri ale unor companii celebre (Pepsi Cola
UK, Egypt Air, U.S.A. Government National Oceanic and Atmospheric Administration,
McDonalds etc.) sufer atacuri de diverse naturi.
Soluia? Msuri dure de securitate luate pe cont propriu sau prin apelarea la firme care v
asigur mpotriva unor astfel de incidente. Liderul mondial absolut l vei gsi la adresa
www.counterpane.com. El v protejeaz mpotriva pierderilor din cauza hackerilor de pn la
1 milion dolari, cu o asigurare de 20.000 dolari anual; cu 75.000 dolari v asigur anual
pierderile de pn la 10 milioane dolari; pierderile pn la o sut de milioane dolari pot fi
asigurate prin sume negociabile.
Oricum, calculatoarele, pe zi ce trece, devin o parte tot mai intim a vieii noastre, a
tuturor. Despre aspectele securitii sistemelor informaionale, pe plan mondial, s-au scris o
mulime de cri, s-au inut conferine sau seminarii internaionale, dar s-a fcut nc puin
pentru transpunerea lor n practic. Muli cred c n-au nevoie de ea sau consider c
necazurile se pot ine doar de alii.
Soluia problemei nu este de natur tehnic, att timp ct cu mijloace tehnice reduse ca
performan se pot efectua pagube imense. n mod asemntor, trebuie pus i problema
securitii, ea fiind uor de realizat cu mijloace ieftine. Securitatea sistemelor informaionale
este, n primul rnd, o problem uman, nu tehnic, i se impune a fi tratat ca atare. Trebuie
s se neleag faptul c securitatea sistemelor informaionale este o component de baz a
ecuaiei succesului firmelor. De multe ori, conducerea se intereseaz doar de reducerea
CADRUL GENERAL AL PROTECIEI I SECURITII SISTEMELOR INFORMAIONALE 9
cheltuielilor generale, neglijnd aspectele att de importante ale protejrii averii
informaionale. Totui, n ultimul timp, se constat o schimbare a opticii manageriale.
Preocupri deosebite pe linia securitii datelor, ndeosebi a celor prelucrate automat, sau
a sistemelor electronice de calcul, n toat complexitatea lor, au aprut nc din anii 1960.
ntre timp, s-au creat organisme naionale i internaionale, cu un astfel de obiectiv. Au aprut
numeroase cri, inclusiv cursuri universitare, cu teme apropiate, cum ar fi Criptografia i securitatea datelor, curs predat din anii 1970 la Universitatea George Washington,
Securitatea datelor i informaiilor i contabilitatea analitic, la universitile din Delaware i Ohio. Rezultate remarcabile a nregistrat i Universitatea din Ontario de Vest, din Canada.
Ulterior, n Europa, reeaua specialitilor n securitatea sistemelor informaionale s-a extins
din Anglia n Olanda, Belgia, Suedia, Germania, cuprinznd ntreaga arie a rilor puternic
dezvoltate. n numeroase ri se predau cursuri universitare care conin tematici apropiate ca
formulare, dar toate au un obiectiv comun: securitatea informaiilor n sistemele de prelucrare
automat a datelor. Ca efect, n universiti se creeaz diverse grupuri de iniiai n domeniu,
cei mai reprezentativi fiind experii sau realizatorii de sisteme expert pentru verificarea
securitii, analiza riscului i evaluarea potenialelor pagube, sau productorii de software
specializat n auditarea sistemelor informaionale.
Din anul universitar 1999/2000, la Georgetown University, se pred cursul Rzboiul
informaional i securitatea pentru studenii din diverse domenii, cum ar fi cei de la politici
internaionale, de la administraie public, administrarea afacerilor, comunicare, tiine exacte
i n toate domeniile socio-umane.
n ultimul timp, se poate vorbi de o mare gam a specializrilor n foarte complexa
problem a securitii sistemelor.
La nivel internaional, semnificativ este constituirea, nc din 1960, a IFIP
(International Federation for Information Processing = Federaia Internaional pentru
Prelucrarea Informaiilor), creat sub auspiciile UNESCO, care reunete cadrele didactice i
ali specialiti preocupai de prelucrarea informaiilor, n numr de peste 3500. Din ea fac
parte organizaii din 58 de ri sau regiuni. Activitatea tehnic a IFIP este coordonat prin 14
comisii tehnice, fiecare dintre ele avnd un numr diferit de grupuri de lucru, care se ocup cu
aspecte concrete ale unui anumit domeniu de activitate.1 Comisia TC11 Protecia i
securitatea n sistemele de prelucrare a informaiilor are urmtoarele grupuri de lucru: WG11.1 Managementul securitii informaiilor;
WG11.2 Securitatea sistemelor omniprezente (Pervasive Systems Security);
WG11.3 Securitatea datelor i aplicaiilor;
WG11.4 Securitatea reelelor i sistemelor distribuite;
WG11.5 Integritatea i controlul sistemelor dizolvat n 2007;
WG11.6 Managementul identitii;
WG11.7 Tehnologii informaionale: Abuzurile i cadrul legal;
WG11.8 Educaia n domeniul securitii informaiilor;
WG11.9 Criminalistic n mediul digital (Digital Forensics);
WG11.10 Protecia infrastructurilor critice;
WG11.11 Managementul ncrederii (Trust Management);
WG11.12 Aspecte umane ale securitii i asigurrii informaionale;
WG11.13 Cercetri n domeniul securitii sistemelor informaionale.
1 Potrivit www.ifip.org, ianuarie 2011.
PROTECIA I SECURITATEA SISTEMELOR INFORMAIONALE 10
Pentru a v edifica asupra rolului unor astfel de organizaii, putei lectura scopul nfiinrii i a obiectivele urmrite de fiecare dintre grupurile de lucru menionate la adresa de Internet www.ifip.org. De asemenea, recomandm site-ul pentru informarea privind domeniile actuale de interes, principalele evenimente profesional-academice i personalitile din zona IT.
n 1974, s-a nfiinat Institutul pentru Securitatea Calculatoarelor (Computer Security
Institute CSI , cu site-ul www.gocsi.com) pentru formarea i perfecionarea continu a
specialitilor n securitatea informaiilor, a calculatoarelor i a reelelor.
n anul 1990, Comitetul pentru Informaii, Calculatoare i Politici de Comunicaie ale
Organizaiei pentru Cooperare i Dezvoltare Economic (OECD) a constituit un grup de
experi pentru a pregti ghidul securitii sistemelor informaionale. n octombrie 1992, s-a
realizat Ghidul pentru securitatea sistemelor informaionale, iar, n noiembrie 1992, cele 24 de ri membre ale OECD l-au aprobat. Obiectivul de baz l-a constituit crearea unui cadru de
baz care s nlesneasc dezvoltarea i introducerea mecanismelor, practicilor i a
procedurilor pentru asigurarea securitii sistemelor informaionale. Ghidul se adresa tuturor
sistemelor informaionale din sectorul public i privat, supuse jurisdiciei naionale, prin
enunarea a nou principii de baz: responsabilitate, contientizare, etic,
multidisciplinaritate, proporionalitate, integrare, oportunitate, reevaluare periodic,
democraie.
De asemenea, la nivelul anului 1990, Consiliul Cercetrii Naionale al SUA, printr-un
raport special, Computer at Risk (CAR), prezenta starea securitii sistemelor informaionale
din SUA i recomanda ase seturi de aciuni. Prima recomandare se referea la crearea i
promulgarea principiilor general acceptate de securitate a sistemelor (Generally Accepted
System Security Principles, GASSP). Recomandarea pentru crearea GASSP a condus la
nfiinarea, la sfritul anului 1992, a Fundaiei Internaionale pentru Securitatea
Informaiilor.
n 1997, comitetul GASSP, care era format din experi n securitatea informaiilor din
zece ri, inclusiv SUA, a lansat GASSP, versiunea 1.0, care conine nou principii de baz,
referite ca principii universale, bazate pe principiile OECD. n acelai timp, Institutul
Naional de Standarde i Tehnologie din SUA a emis un raport cu aceleai nou principii,
aplicabile la nivelul organismelor guvernamentale federale.
Menionm i faptul c, pn n anul 1994, a existat Comitetul Coordonator pentru
Controlul Multilateral al Exporturilor (Coordinating Committee for Multilateral Export
Controls, COCOM), cu scopul instituirii unui regim comun de control al exporturilor la
nivelul celor 17 ri membre. Acestea erau Australia, Belgia, Canada, Danemarca, Frana,
Germania, Grecia, Italia, Japonia, Luxemburg, Marea Britanie, Norvegia, Olanda, Portugalia,
Spania, Statele Unite ale Americii, Turcia. Ca membri asociai erau Austria, Coreea de Sud,
Elveia, Finlanda, Irlanda, Noua Zeeland, Polonia, Singapore, Slovacia, Suedia, Taiwan i
Ungaria n total 12 ri. Scopul principal l constituie restricionarea exporturilor spre
anumite ri, cum ar fi Libia, Irak, Iran, Coreea de Nord considerate a fi ri ce sprijin
micrile teroriste. Exporturile spre alte ri erau permise, ns pe baz de licene.
n 1991, COCOM a adoptat Nota General privind Software-ul (General Software Note,
GSN), prin care s-a permis exportul de mas al softului criptografiat, inclusiv cel din
domeniul public, la nivelul rilor membre. De asemenea, erau acceptate exporturile
criptografice folosite pentru autentificare, inclusiv produsele folosite pentru criptarea
parolelor. Toate rile membre au respectat Nota, cu excepia SUA, Marea Britanie i Frana.
n iulie 1996, 31 de ri au semnat Acordul Wassenaar privind Controlul Exporturilor de
Arme Convenionale, Bunuri i Tehnologii cu Dubl ntrebuinare. Acesta a fost semnat i de
CADRUL GENERAL AL PROTECIEI I SECURITII SISTEMELOR INFORMAIONALE 11
Romnia, Rusia, Republica Ceh, iar ulterior, de Bulgaria i Ucraina. Prevederile privind
criptografia au fost preluate de la COCOM.
Deci, dac de peste patru decenii sunt preocupri pe linia securitii informaiilor
prelucrate n sistemele de prelucrare automat, prin cursuri universitare, cri, simpozioane
.a., dac pe plan internaional exist attea organisme care se ocup de problematica
menionat, considerm fireasc abordarea i la noi, cu mai mult seriozitate, a Proteciei i securitii informaiilor.
Identificai cteva repere istorice (la nivel statal, academic sau organizaional) privind protecia i securitatea informaiilor n Romnia.
1.2. Particulariti ale securitii sistemelor informaionale
Odat cu trecerea spre prelucrarea masiv a datelor cu ajutorul calculatoarelor
electronice, ca urmare a volumului mare al investiiilor i a transferrii grijii informaiei
ctre sistemele electronice de calcul, s-a pus ntr-un alt context problema protejrii noilor
averi, fizice i informaionale. Totul trebuie pornit de la schimbarea opticii privind gestiunea
fizic a noilor averi, dar i de la valorificarea pe multiple planuri a datelor memorate,
ncercndu-se s se obin alte dimensiuni ale funciei de informare a conducerii, prin
utilizarea informaiilor arhivate i pstrate n alte condiii.
n vederea obinerii noilor performane, datele prelucrate sunt supuse unor operaiuni
suplimentare n faza de culegere, astfel nct s poat fi valorificate ulterior pe mai multe
planuri. Preluarea datelor din dou sau mai multe documente operative n unul sau mai multe
fiiere, avnd suportul de nregistrare specific noii variante de prelucrare, constituie o
PROTECIA I SECURITATEA SISTEMELOR INFORMAIONALE 12
ndeprtare vizibil de modul tradiional de pstrare a documentelor primare, de gestionare a
lor, i duce la apariia mai multor persoane care pot accesa aceleai date. Mai mult, prin
agregarea nregistrrilor anterioare, pot rezulta chiar noi informaii.
Cum noile resurse fizice ale sistemelor de calcul sunt destul de scumpe, se constat o
tendin de centralizare a prelucrrilor de date, din motive de economie, dar, n acelai timp,
sporete grija asigurrii securitii lor, ntruct riscul pierderii lor sau al consultrii
neautorizate este i mai mare. ntr-un astfel de caz, nu trebuie uitat principiul dominant al
prelucrrii automate a datelor, GIGI (Gunoi la Intrare, Gunoi la Ieire), conform cruia o
eroare strecurat ntr-un sistem integrat se propag cu o vitez inimaginabil, n zeci sau sute
de locuri din sistem, genernd, la rndul ei, o multitudine de erori n rapoartele ce se vor
obine ulterior.
Alt element, deosebit de important, l constituie factorul uman. Dac n vechile sisteme
erau uor de controlat locurile de pstrare a informaiei, acum, ntr-un mediu puternic
informatizat, persoanele cu atribuii de urmrire a modului de realizare a securitii datelor au
o misiune mult mai dificil. Se pot nregistra dou cazuri: fie c nu pot intui cile prin care
datele pot fi accesate pe ascuns, n vederea sustragerii sau modificrii lor, fie c nu reuesc s
descopere de unde i cine, cu ajutorul unui calculator aflat la distan de locul pstrrii
datelor, are acces neautorizat n sistem. Surpriza poate veni tocmai de la persoanele care
lucreaz cu cea mai mare asiduitate la anumite aplicaii. Loialitatea excesiv, n acest caz,
poate da de gndit.
Prin trecerea la prelucrarea automat a datelor (p.a.d.) s-au schimbat i suporturile
informaiei, precum i mijloacele de lucru, situaie n care apar noi aspecte, i anume:
Densitatea informaiei este mult mai mare n mediul informatic dect n sistemele
clasice, bazate pe hrtie. Prin utilizarea discurilor optice sau a stick-urilor USB, zeci de
volume, nsumnd zeci de mii de pagini de hrtie, pot fi introduse cu mult uurin ntr-un
buzunar. CD-urile, DVD-urile, cardurile, memoriile flash, hard-discurile portabile i alte
suporturi moderne pot fi astfel subtilizate discret, cu eforturi minime dar cu efecte distructive
majore.
Obscuritatea sau invizibilitatea constituie o alt problem, ntruct coninutul
documentelor electronice i al rapoartelor derivate stocate pe suporturile enumerate mai sus
nu poate fi sesizat pe cale vizual la un control de rutin. De multe ori, cei pui s controleze
nu au pregtirea informatic i nici echipamentele necesare pentru a observa o eventual
sustragere de fiiere.
Accesibilitatea datelor din sistemele de calcul este mai mare, cel puin pentru o nou
categorie de infractori, catalogai hoi cu gulere albe, fcndu-se trimitere vdit la nivelul
de cultur, n primul rnd informatic, al acestora.
Lipsa urmelor eventualelor atacuri criminale constituie un alt element ngrijortor al
noului mediu de lucru. tersturile din vechile documente pentru schimbarea sumelor,
precum i adugrile de noi nregistrri cu creionul nu mai exist, modificrile n fiierele
electronice sunt efectuate cu mult lejeritate i foarte greu de depistat ulterior.
Remanena suporturilor, dup ce au fost terse, poate constitui o cale sigur de intrare n posesia informaiilor memorate anterior. Se cunosc numeroase programe de restaurare a
fiierelor terse.
Agregarea datelor. Puse laolalt, datele capt alt valoare dect cea avut prin pstrarea
lor n mai multe locuri separate unele de altele. Uneori, informaiile de sintez sunt
valorificate prin programe speciale n vederea obinerii, tot cu ajutorul calculatorului, a
strategiei i tacticii firmei ntr-un anumit domeniu. Edificator este cazul benzilor magnetice
CADRUL GENERAL AL PROTECIEI I SECURITII SISTEMELOR INFORMAIONALE 13
ale firmei IBM, care conineau direciile de cercetare pe urmtorii 15 ani, intrate n posesia
unei firme dintr-o ar concurent.
Necunoaterea calculatoarelor. Pentru foarte multe persoane, ndeosebi de vrst naintat, calculatorul este investit cu fore supraomeneti, ceea ce le confer o ncredere
oarb n datele obinute prin intermediul lui. De asemenea, din motive de nepricepere, aceti
anagajai pot fi victime uoare ale coruptorilor ... informatizai.
Progresul tehnologic. Rezultatele cercetrilor tehnico-tiinifice se transform zi de zi n
tehnologii din ce n ce mai performante de accesare a datelor. Nu acelai lucru se poate spune
i despre progresele nregistrate n domeniul securitii datelor.
Comunicaiile i reelele, devenind tot mai performante, au extins aria utilizatorilor, att din punct de vedere numeric, ct i al dispersiei n teritoriu, ntregul spaiu terestru fiind
accesibil reelelor foarte mari. Odat cu noile progrese, i aria utilizatorilor ru intenionai s-a
mrit, precum i variantele de furt informatizat.
Integrarea puternic a sistemelor apare ca o consecin a mbuntirii formelor de comunicaie i a proliferrii reelelor de calculatoare. Pe acelai canal de comunicaie sunt
transmise tot felul de date. n plus, introducnd o dat eronat n sistem, de la un banal punct
de vnzare, ea ptrunde cu rapiditate n zeci de fiiere i, implicit, aplicaii ale firmei.
Comerul i afacerile electronice au deschis i mai mult apetitul specialitilor n fraud.
Apariia utilizatorilor finali informatizai constituie un veritabil succes, dar sporete i
riscul pierderii datelor importante din calculatorul principal al companiilor.
Standardele de securitate, n pofida attor altor domenii n care se nregistreaz mutaii
vizibile n intervale scurte de timp, nu se concretizeaz n forme general valabile i, ct timp
un lucru nu este interzis prin reguli scrise, el ori se consider c nu exist, ori se trage
concluzia c este permis.
Totui, efortul uman pentru protejarea, asigurarea sau securizarea sistemelor s-a
accentuat n mod vizibil. n tabelul 1.1 am redat numrul de site-uri care trateaz concepte
specifice temei discutate, la nivelul lunilor aprilie 2002 i ianuarie 2011, folosind motorul de
cutare Google. Dup cum se observ, se detaeaz net conceptele: internet security, network
security, information security, computer security, data protection, digital signature, e-
security n ordinea numrului de apariii n site-uri.
n concluzie, odat cu dezvoltarea noilor sisteme informaionale i cu transferarea ctre
acestea a secretelor firmelor, trebuie vzut n ele, n acelai timp, ajutorul numrul unu, dar i
elementele cele mai tentante pentru noii criminali. Hardul i softul pot fi manevrate cu mult
uurin de ctre om. n acest caz, ca i n altele intrate n obinuina cotidian, inteligena
calculatorului las de dorit, putndu-se spune c tot omul (a)sfinete ... calculatorul, motiv
esenial pentru sporirea preocuprilor tuturor specialitilor din domeniul securitii sistemelor
informaionale.
Tabel nr. 1.1 Numrul site-urilor ce trateaz concepte specifice
proteciei i securitii sistemelor informaionale
Nr. crt. Conceptul cutat cu Google 2002 2012
1. computer security 534.000 8.890.000 2. information security 439.000 13.600.000 3. data security 305.000 2.860.000 4. data protection 495.000 12.700.000 5. information protection 36.700 714.000 6. information assurance 36.500 839.000 7. data assurance 569 90.900 8. computer protection 7.720 2.160.000
PROTECIA I SECURITATEA SISTEMELOR INFORMAIONALE 14
Nr. crt. Conceptul cutat cu Google 2002 2012
9. computer data protection 171 39.900 10. computer assurance 1.820 11.800 11. network assurance 590 181.000 12. network protection 12.800 253.000 13. network security 615.000 14.700.000 14. internet security 758.000 82.200.000 15. internet protection 19.100 284.000 16. internet assurance 169 36.600 17. computer vulnerability 1.140 34.600 18. data vulnerability 908 9.230 19. information vulnerability 713 22.100 20. network vulnerability 6.910 408.000 21. internet vulnerability 1.320 48.000 22. digital signature 217.000 1.940.000 23. digital protection 1.790 42.500 24. e-signature 11.800 600.000 25. e-security 140.000 1.490.000 26. e-protection 5.600 349.000
Propunei alte concepte relevante pentru domeniul proteciei i securitii informaionale i completai tabelul de mai sus cu numrul paginilor oferite ca rspuns de motorul de cutare Google pentru ele.
Conceptul cutat cu Google Numrul de pagini returnate, 2013
1.2.1 Vulnerabilitatea microcalculatoarelor
Odat cu lansarea IBM-ului n producia de microcalculatoare, n 1981, acest domeniu a
nregistrat progrese uluitoare. Dac la nceput nu au fost luate n seam, acum s-a ajuns ca un
microcalculator de cteva sute de dolari s efectueze ceea ce, cu doar cteva zeci de ani n
urm, efectuau doar calculatoarele mari, de milioane de dolari.
Apariia milioanelor de utilizatori a dus la constituirea unei adevrate bresle de specialiti
n butonat a se citi apsarea tastelor , cu destul de puine cunotine despre teoria
sistemelor informaionale i cu nici o team de implicaiile posibile ale unui sistem fr
securitate. De la utilizatorii izolai s-a trecut la constituirea de reele puternice, care au
mpnzit orice col al organizaiilor. Urmtoarele trepte au constat n depirea granielor
firmei, ale oraului, respectiv ale rii. S-a creat, astfel, posibilitatea ca sistemele bazate pe
calculatoare mari s fie accesate din sute sau mii de locuri, afectnd substanial integritatea,
confidenialitatea i accesibilitatea datelor.
Datorit microcalculatoarelor, se poate spune c s-a nregistrat un progres colosal pe linia
domeniilor de aplicabilitate ale informaticii. Ele rezolv rapid i ieftin o mulime de probleme
de planificare tehnico-economic, de exploatare, de administrare, procesare de texte,
comunicaii i alte faciliti de lucru n reea. n aceste condiii, microcalculatoarele aduc i
noi forme de manifestare a slbiciunii sistemelor electronice de calcul i a vulnerabilitii lor.
Hazardul joac un rol din ce n ce mai mare, astfel:
1. De la bun nceput ele au fost concepute mult mai prietenoase dect vechile sisteme, deci
destul de tentante n a fi utilizate i de copiii i de funcionarii fr prea multe cunotine
tehnice, aceasta concretizndu-se n:
CADRUL GENERAL AL PROTECIEI I SECURITII SISTEMELOR INFORMAIONALE 15
a) apariia numeroaselor eecuri sau erori n operaiunea de creare a copiilor de siguran de exemplu, realizarea lor pe suportul intern de memorare al aceluiai microcalculator, chiar pe aceeai partiie de disc;
b) eecuri n controlul accesului sistemului. Sistemele de protecie prin parole nu se folosesc la toate microcalculatoarele, iar cnd exist nu sunt folosite corespunztor,
parolele fiind cunoscute de mai muli utilizatori, i nu numai att, ele aflndu-se scrise
pe o bucat de hrtie, lipit pe colul monitorului sau pe masa de lucru;
c) tratarea tuturor datelor la fel, omindu-se cele de o importan deosebit, care ar
trebui s aib cu totul alt regim;
d) greeli n pstrarea i utilizarea resurselor sistemului. Discurile de orice tip, casetele, benzile sunt mpnzite prin toat unitatea, prin toate birourile, putnd fi folosite sau
sustrase cu mult uurin de alte persoane. Un suport din afar poate fi introdus
printre cele deja existente, strecurndu-se astfel i viruii distructivi. Hrtia de
imprimant (de regul cea care conine mici greeli sau a doua copie a unei lucrri
efectuate n dou exemplare), benzile tuate ale acesteia (riboanele), celelalte resturi
sunt accesibile noilor scormonitori n gunoaie informatice, cu scopul de a gsi un
col de pine printre informaiile coninute de aceste materiale;
e) scrutarea cu uurin a sistemului. Deseori, din pur curiozitate, un coleg, un prieten,
un copil venit n vizit la biroul prinilor, avnd cunotine limitate despre
calculatoare, ncep s se joace cu tastele unui microcalculator pornit, situaie n care
se pot distruge date foarte importante. Mai periculos este cazul n care joaca are un
scop anume;
2. Calculatoarele nu mai sunt doar la dispoziia specialitilor, ci i a altor persoane, care nu
cunosc prea multe lucruri despre alte tipuri de sisteme. Odat cu apariia
microcalculatoarelor, problemele de instruire informatic se pun ntr-un alt mod;
3. Prin politica de instaurare a unor restricii n utilizare, apelndu-se la sistemul parolelor
multiple, din faza de iniializare a sistemului pn la accesul la ci i fiiere, se reduce
dramatic viteza de prelucrare, deci scade productivitatea sistemului;
4. Fiind plasate n aproape toate birourile, iar condiiile de pstrare puternic diversificate,
riscul defectrii este diferit de la un birou la altul;
5. Resursele ntregului sistem fiind mprtiate prin toate colurile unitii, securitatea
tradiional a slii calculatorului unic dispare, aceasta avnd ca rezultat:
a) documentaia sistemului, softul, manualele de utilizare sunt ineficient folosite sau n
condiii de risc sporit;
b) pierderea cheilor de deschidere a PC-urilor le poate face inutilizabile o perioad de
timp;
c) softul de aplicaii se realizeaz n mod haotic, ducnd uneori la lucrul n paralel la
aceeai problem, neexistnd o eviden centralizat a preocuprilor;
d) parolele nu se nregistreaz, deci nu poate fi vorba de un control al lor;
e) manualele de utilizare sunt pstrate neglijent, iar cnd sunt necesare nu mai sunt de
gsit;
6. Actele cu scop de fraud pot fi svrite cu mai mult uurin i de ctre mai multe
persoane, ceea ce diminueaz eficiena controlului;
7. Prin preluarea de ctre calculator a activitilor prestate anterior de mai multe persoane,
posibilitatea de furt, fr complotul mai multor angajai, devine mult mai lejer;
8. Persoanele care n condiiile prelucrrii clasice aveau grija i posibilitatea de a lucra doar
ntr-un domeniu, destul de limitat, pot s-i extind aria cunoaterii asupra ntregii baze
de date a unitii;
PROTECIA I SECURITATEA SISTEMELOR INFORMAIONALE 16
9. Pe suporturile cu capacitate de memorare foarte mare, fiind ascunse datele deosebit de
importante, acestea erau mai greu de gsit, n schimb, pe un disc optic sau video disc
operaiunea este mult mai uoar;
10. Sistemele de operare ale microcalculatoarelor nu dispun de aceleai performane de
protecie precum sistemele mari;
11. Slaba securitate, nsoit de facilitile de lucru n reea, conduce la sporirea posibilitilor
de accesare neautorizat a sistemului;
12. Datele pot fi preluate pe un PC fie din reea, fie din calculatorul mare i tiprite sau
transferate pe diverse tipuri de discuri, cu scopul sustragerii lor;
13. Resursele locale ale unui PC pot fi folosite de ctre utilizatorii lor pentru a ataca reeaua
sau calculatorul central;
14. Prin dimensiunile lor reduse i greutatea mic, PC-urile sunt uor de mutat dintr-un loc n
altul, ceea ce sporete riscul defectrii lor;
15. Posibilitatea defectrii sau ntreruperii temporare a sursei de alimentare cu energie
electric este mult mai mare dect n cazul unei singure sli a calculatoarelor.
Pornind de la elementele de vulnerabilitate a microcalculatoarelor prezentate mai sus, identificai cte 3 elemente similare de vulnerabilitate a calculatoarelor portabile i, respectiv, a telefoanelor mobile folosite n organizaii.
3 elemente de vulnerabilitate a calculatoarelor portabile:
3 elemente de vulnerabilitate a telefoanelor mobile:
CADRUL GENERAL AL PROTECIEI I SECURITII SISTEMELOR INFORMAIONALE 17
1.2.2 Forme de manifestare a pericolelor n sistemele informaionale
Cnd se proiecteaz noi aplicaii informatice, grija principal a realizatorilor trebuie s o
constituie protejarea datelor prelucrate. n orice mediu de lucru, datele trebuie s respecte
principiile C.I.A.:
Confidenialitatea se concretizeaz n oferirea condiiilor de pstrare n conformitate cu restriciile legale descrise de utilizatori i proiectani. Numai persoanele autorizate
pot accesa datele sistemului, lundu-se msuri de prevenire a accesului neautorizat;
Integritatea, ceea ce nseamn c ele trebuie s fie pstrate n forma original. Datele nu trebuie s fie modificate prin consultare sau pe ci ilegale, nici accidental. De
asemenea, ele nu trebuie s fie expuse pericolului distrugerii involuntare. Integritatea
este o msur a corectitudinii datelor i a asigurrii ncrederii n ele;
Accesibilitatea se refer la asigurarea accesului la date, pentru cei autorizai, n orice moment.
Pentru o organizaie cunoscut de dvs., realizai un clasament al celor mai importante 3 averi informaionale, preciznd pentru fiecare dintre ele dac este important asigurarea confidenialitii i/sau
integritii i/sau accesibilitii. Justificai.
Locul
Avere informaional Importana C Importana I Importana A
1
2
3
Datelor supuse prelucrrii automate trebuie s li se asigure cel puin aceleai condiii de
protecie ca i celor prelucrate manual. Totui, din cauza creterii riscului prin informatizare,
aa cum rezult din descrierea sumar a vulnerabilitii noilor sisteme, se impun i unele
msuri suplimentare de realizare a proteciei, situaie n care utilizatorii trebuie s cunoasc n
detaliu natura noilor ameninri. Literatura de specialitate le grupeaz n diverse moduri.
Oricum, ele pot fi sintetizate n trei mari categorii:
ameninri cauzate de incidente ivite n sistem; factori naturali, bazai pe hazard; ameninarea sistemelor prin aciunea voit a omului.
1.2.2.1 Ameninri cauzate de incidente ivite n sistem
Realitatea a demonstrat c exist urmtoarele cauze care pot afecta securitatea sistemelor:
1. Apariia unor defeciuni la echipamentele sistemului. De multe ori micile defeciuni, n special cele cu o perioad de manifestare foarte scurt, sunt mai greu de detectat i
PROTECIA I SECURITATEA SISTEMELOR INFORMAIONALE 18
reparat dect cele catastrofale. Avnd un caracter imprevizibil, pentru ele nu se pot
stabili anumite msuri de prevenire. Mai grav este atunci cnd ele nu au forme sesizabile
n momentul producerii, iar datele eronate apar mult mai trziu, fcnd reconstituirea
celor originale foarte anevoioas sau chiar imposibil;
2. Apariia inevitabilelor erori umane, conform dictonului errare humanum est, conduce la luarea elementarei msuri preventive de reducere substanial a interveniei umane n
procesul de prelucrare a datelor cu ajutorul calculatorului electronic. Cauzele erorilor pot
fi: indiferena cu care se exercit o anumit operaiune, slaba instruire, entuziasmul
excesiv, nelegerea greit a modului de funcionare a sistemului. Erorile pot s aparin
operatorilor, dar, i mai grav, programatorilor. Riscul cel mai mare provine din
posibilitatea perpeturii modului eronat de exercitare a operaiunilor sau a programrii.
Soluiile constau n introducerea n soft a mai multor teste de validare a introducerilor de
date, iar, pe linia programrii, apelarea la standardizare sau la utilizarea sistemelor
CASE (Computer Aided Software Engineering);
3. Funcionarea defectuoas a softului. Chiar i atunci cnd se apeleaz la un ntreg arsenal de metode de testare a lui, softul poate pstra anumite vicii ascunse, care s
produc erori inimaginabile. Este cazul programelor foarte mari, de milioane de linii
surs, care, practic, sunt tot mai greu de controlat. Edificator este cazul unui
academician rus care a demisionat dintr-o important funcie informatic din ministerul
aprrii, ntruct spunea c pericolul producerii unor grave incidente, cu efecte nebnuite
asupra securitii omenirii, devine tot mai mare, din cauza imposibilitii controlrii
programelor. Multitudinea ramificaiilor din program poate s duc la scurt-circuitarea
lor, genernd ci imprevizibile de execuie, concretizate n luarea unor decizii
surprinztoare;
4. ntreruperea sistemului de alimentare cu energie sau funcionarea lui n afara parametrilor tehnici admii. n aceast categorie intr i cderea legturilor de
comunicaie, precum i a altor utiliti necesare sistemului.
Care este cel mai distructiv incident care a afectat securitatea informaional a unei organizaii cunoscute de dvs.? Motivai.
CADRUL GENERAL AL PROTECIEI I SECURITII SISTEMELOR INFORMAIONALE 19
1.2.2.2 Factorii naturali, bazai pe hazard
Calculatoarele sunt sisteme deosebit de sensibile. Deseori sunt comparate cu creierele
umane, deci asemnarea poate continua. Dac pe creier se depun mici cheaguri de snge, el
funcioneaz eronat sau poate s-i nceteze exercitarea funciilor sale. Cheagurile
calculatoarelor pot fi: exces de umiditate, exces de cldur, praf, fire de pr, scrum de igar
.a. Nu sunt de neglijat diversele insecte, ndeosebi mute, nari, pianjeni, gndaci, viespi,
viermi. Cel mai mare pericol l reprezint mouse-ul, dar de data aceasta cel adevrat, adic
micuul oricel.
Tot n aceast categorie intr cutremurele, vijeliile, furtunile, inundaiile i alte forme de
dezlnuire a naturii.
1.2.2.3 Ameninarea sistemelor prin aciunea voit a omului
Ca orice avere, i cea informaional strnete tentaii umane, iar regula decalogului, care
ndeamn s nu furi, nici n acest caz nu este respectat. S-au constituit, n timp, grupuri de
specialiti care exploateaz slbiciunile sistemelor. Cel mai grav este faptul c unii
realizatori de sisteme sunt i cei mai periculoi dumani ai propriilor creaii, fiind un fel de
Kronoi ai vremurilor noastre, devorndu-i propriii lor copii, adic sistemele. Motivele
atacurilor pot fi destul de variate: de la spionajul industrial, militar, pn la cele mai meschine
interese. Atacurile pot fi deliberate sau accidentale, deschise sau mascate (ascunse).
1. Spionajul i serviciile secrete acioneaz, de regul, n domeniul militar, dar i fac simit prezena i n industrie, comer, nvmnt, cercetare .a. Cile de obinere a
informaiilor variaz de la banalele apeluri telefonice, pn la sofisticatele metode
tehnice de captare a datelor. Microfonul ascuns ntr-o camer este deja o form de
primitivism, ntruct au proliferat tehnici de-a dreptul miraculoase de captare.
2. Dumanii, nedreptiii i neloialii dintre angajaii firmei. Aceast categorie nu apeleaz la tehnici prea performante, deoarece, desfurndu-i activitatea n
interiorul sistemului, pot nfptui acte criminale cu mijloace mult mai simple.
Motivaia lor poate s fie un ctig personal sau o rzbunare. Mai grav este cazul
cnd o ter persoan din sistem, investit cu autorizarea unor operaiuni, n mod
involuntar, contribuie la nfptuirea atacului.
Trecerea spre PC-uri, culturalizarea informatic a utilizatorilor constituie reale
ameninri pentru sistemele informaionale. Cu banii pltii de firm, ntruct
efectueaz atacul n timpul programului de lucru din birou, angajaii devin dumanii
cei mai periculoi ai unitii. Tot n aceast categorie sunt ncadrai i grevitii.
3. Vandalii i huliganii au la dispoziie forme noi de manifestare, renunnd la bte i pietre, dar apelnd la spargeri informatice, la virui .a. Mai periculoi sunt cei
strecurai n unitate pe principiul calului troian. Zicala Doamne, spune-mi dumanul
care mi-e prieten, cci pe cellalt l tiu eu trebuie s devin un adevrat crez pentru
conducerea unitilor.
4. Utilizatorii pot s contribuie substanial la pierderile informatizate, ndeosebi prestnd activiti nestandardizate i neautorizate. Pe primul loc se afl jocurile pe
calculator, care, pe lng faptul c nseamn folosirea resurselor firmei n scop
personal i irosirea timpului de lucru, chiar dac este o simpl distracie, devin cea
mai sigur surs de importare a viruilor. Pe locul doi se afl softul tentant, de
ultim or, necumprat de firm, dar aflat n posesia unui prieten. Dei este
procurat cu intenii vdit benefice firmei, se transform n altceva.
PROTECIA I SECURITATEA SISTEMELOR INFORMAIONALE 20
Pentru evitarea acestor cazuri, se impun: instruirea personalului, controlarea i
supravegherea permanent a lui, precum i interzicerea utilizrii altor materiale dect
a celor aflate n posesia legal a unitii.
5. Organizaiile subversive i teroriste i-au gsit noi ci de nfptuire a obiectivelor. Exist chiar organizaii care i propun, n mod declarat, abolirea calculatoarelor. Din
nou, cei mai periculoi sunt angajaii unitii care aparin acestor grupuri. Formele lor
de manifestare pot fi foarte inteligente, dar i foarte violente. Se pare c viruii cei
mai periculoi sunt realizai de astfel de grupri.
6. Ziaritii, n intenia de a realiza articole de senzaie, pe principiul scopul scuz mijloacele, scurm n Berevoietiul informatic sau chiar n locurile, aparent, bine
tinuite.
7. Publicul larg, din pur curiozitate informaional sau din dorina de a-i verifica aptitudinile informatice, atenteaz la integritatea multor sisteme.
8. Adolescenii, dei fac parte din categoria anterioar, au forme specifice i rezultate deosebite n atacarea sistemelor. De cele mai multe ori, dispun de cunotine
informatice impresionante, care, dac se cupleaz cu accesul la datele folosite de
prinii lor n sistemele informaionale, devin extrem de periculoi. Printre ei se afl
cei mai mptimii hackeri, phrackeri i alte categorii descrise ulterior.
9. Criminalii devin noii bogai ai zilelor noastre. Unele firme nu raporteaz pierderile cauzate de atacurile informatice, fie pentru a nu da curaj i altora s ncerce, fiind
deja un precedent, fie de teama de a nu fi trase la rspundere c nu au luat cele mai
bune msuri de asigurare a securitii, fie pentru a nu face un nume prost aplicaiilor
folosite. Cu calculatorul s-au nfptuit cele mai multe crime perfecte. Cum motivaia
lor este evident, furtul, investiiile fcute de organizaiile care se ocup cu o astfel de
activitate sunt mult mai mari pe linia cercetrii tiinifice dect ale oricrei firme
n parte pe linia asigurrii securitii sistemului.
Care este cel mai periculos atacator (potenial sau nu) al unui sistem informatic din cadrul unei organizaii cunoscute de dvs.? Motivai.
CADRUL GENERAL AL PROTECIEI I SECURITII SISTEMELOR INFORMAIONALE 21
1.2.3 Asigurarea securitii sistemelor informaionale pai de urmat i
reguli generale
Dup prezentarea elementelor vulnerabile din diversele medii informatizate de lucru,
putem spune c securitatea, n astfel de sisteme, se refer la:
1. identificarea i evaluarea elementelor patrimoniale de protejat, astfel nct nimic s nu fie omis, iar valorile deosebite s aib un tratament special;
2. recunoaterea de la bun nceput a vulnerabilitii i slbiciunii sistemelor informaionale;
3. specificarea tuturor atentatelor posibile asupra sistemelor electronice de calcul, n general, i asupra unei aplicaii informaionale anume, n special;
4. evaluarea potenialelor pierderi sau riscuri generate de un anumit incident, cu toate consecinele care decurg de aici;
5. realizarea, implementarea i consolidarea unor metode de asigurare a securitii, cu costuri rezonabile, pentru reducerea riscurilor de deteriorare a sistemelor, inclusiv a
bazelor de date, la valori minime, asigurndu-se obiectivele pentru care au fost
realizate sistemele;
6. pregtirea planurilor de reconstituire a datelor pierdute din cauza dezastrelor; 7. controlul i auditarea periodic a eficienei msurilor de asigurare a securitii
sistemului.
Regulile generale, aplicabile tuturor sistemelor de securitate, concretizate n 20 de msuri
preventive, sunt urmtoarele:
1. Stabilirea autorizrilor;
2. Asigurarea loialitii i ncrederii personalului;
3. Stabilirea modalitilor prin care aciunile de autorizare s fie eficiente;
4. Identificarea mijloacelor materiale prin care s se realizeze protecia;
5. Inventarierea elementelor de protejat;
6. Gruparea valorilor importante pentru o mai bun protecie;
7. Stabilirea zonelor de amplasare a valorilor protejate;
8. Aprarea valorilor protejate;
9. Asigurarea verificrii bunurilor protejate;
10. Restricii privind utilizarea bunurilor protejate i a mecanismelor de protecie;
11. Controlul accesului la bunurile protejate;
12. Expunerea redus a bunurilor protejate;
13. Privilegii limitate privind bunurile protejate;
14. Responsabiliti clare pe linia bunurilor protejate;
15. Consemnarea, n scris, a faptelor care au afectat valorile patrimoniale;
16. Verificarea dubl a tuturor operaiunilor referitoare la valorile patrimoniale;
17. Elaborarea documentaiilor de analiz a operaiunilor cu valori patrimoniale;
18. Cercetarea tuturor neregulilor;
19. Sancionarea abaterilor;
20. Crearea posibilitii de redresare, n orice moment, dup unele aciuni care au euat.
Care este, n opinia dvs., cea mai important regul general de securitate pentru o organizaie? Argumentai.
PROTECIA I SECURITATEA SISTEMELOR INFORMAIONALE 22
1.3 Mecanisme de aprare prezentare general
Literatura de specialitate consemneaz apte mecanisme de asigurare a eficienei
securitii sistemelor informaionale:
1. Securitatea fizic se refer la controlul accesului fizic n sistem i se va concretiza sub diverse moduri: de la mprejmuiri ale amplasamentelor i ui, la lacte i sisteme
de alarm, inclusiv crearea cadrului de intervenie n cazuri de urgen.
2. Securitatea personalului presupune selecia, urmrirea, autorizarea i supravegherea angajailor.
3. Criptarea informaiilor importante nseamn protejarea datelor comunicate la distan, fcndu-le neinteligibile pentru orice alte persoane dect cele autorizate a le
recepiona.
4. Studierea tehnicilor specializate ale intruilor astfel nct echipamentele acestora s nu poat ptrunde n configuraia sistemului.
5. Suprimarea radiaiilor compromitoare este o operaiune necesar pentru c echipamentele folosite n centrele de prelucrare automat a datelor produc radiaii
acustice i electromagnetice, care pot fi interceptate i analizate. Este cazul
consolelor, imprimantelor, cablurilor de legtur, al echipamentelor de vizualizare
.a.
6. Securitatea liniilor de comunicaie se refer la garantarea comunicrii corecte pe liniile care interconecteaz componentele sistemului, astfel nct intruii s nu le
poat penetra.
7. Securitatea sistemelor de prelucrare automat a datelor se ocup de protejarea datelor din sistem mpotriva accesului neautorizat, prin prisma autorizrii
utilizatorilor i a protejrii datelor, stabilindu-se reguli foarte precise de folosire a lor.
Fiecare mecanism de protecie trebuie s realizeze obiectivele pentru care a fost
conceput. Eficiena lui nu trebuie s depind de prezumii false privind imposibilitatea
atacrii sistemului. El trebuie s demonstreze completitudine, ceea ce se va concretiza printr-o
funcionare normal la orice eventual ameninare, corectitudine, prin oferirea rspunsurilor
anticipate, ndeosebi atunci cnd s-ar nregistra intenii frauduloase sau s-ar produce erori n
utilizare. Mecanismul perfect trebuie s fie ct mai simplu posibil, precum i uor de
ntrebuinat i s ofere un numr ct mai mic de erori sau alarme false.
Supravieuirea lui este o alt proprietate, stabilindu-se cu o precizie ct mai mare perioada de funcionare la un anumit nivel asigurat al proteciei, n condiii optime de
utilizare. Nu trebuie uitat raportul cost sistem - eficien.
CADRUL GENERAL AL PROTECIEI I SECURITII SISTEMELOR INFORMAIONALE 23
Gradul de confidenialitate a informaiei protejate va determina ce mecanisme de aprare
s fie folosite, conform figurii 1.1.
Fig. 1.1 Protecia informaiei prin mecanisme specializate
Modul n care mecanismele generale de mai sus sunt tratate n prezentul manual este
vizibil n diagrama din figura 1.2.
Fig. 1.2 Sinteza coninutului manualului pe mecanisme de securitate
Din ce motiv credei c nu au fost bifate cu X csuele cu fundal mai nchis din Figura 1.1?
US11 Aspectejuridice privind protecia i securitatea sistemelor informaionale
PROTECIA I SECURITATEA SISTEMELOR INFORMAIONALE 24
Care este, n opinia dvs., cel mai important mecanism de securitate pentru o organizaie cunoscut de dvs.?
Justificai, cu exemple.
Rezumat
Alturi de capital i oameni, informaia este una dintre averile deosebite ale firmei. Pentru a periclita
aceast resurs important, orice persoan care dialogheaz cu calculatorul unei organizaii poate s fac
(cel puin) urmtoarele lucruri: s copieze fiierele importante ale altor firme, s influeneze evidenele
altora pentru a le cauza pierderi, s reprogrameze calculatoarele incluse n configuraia sistemelor de
producie pentru a provoca avarierea utilajelor sau pentru producerea accidentelor umane, s tearg
programe sau fiiere. Din acest motiv, considerm absolut necesar tratarea cu prioritate de ctre manageri
a problemelor de securitate informaional.
n funcie de tehnologiile folosite i de evoluia n timp a preocuprilor ce o privesc, securitatea
informaional poate fi abordat prin prisma unui numr mai mare sau mai mic de generaii. Capitolul 1
prezint i cteva repere din istoria modern a preocuprilor internaionale pe linia proteciei i securitii
informaionale, cu dorina de a contientiza cititorii de necesitatea unei discipline de profil n cadrul
Facultii de Economie i Administrarea Afacerilor.
n orice mediu de lucru, datele trebuie s respecte principiile C.I.A Confidenialitate, Integritate,
Accesibilitate. Urmrind acesast triad, particularitile proteciei unui sistem informaional se refer la
luarea unor msuri speciale de aprare a datelor, prin intermediul echipamentelor de prelucrare automat a
datelor, softului de sistem sau de aplicaii, precum i al comunicaiilor, dac se lucreaz ntr-un astfel de
mod. Msurile de aprare sunt necesare pentru a contra-pondera pericolele care vizeaz informaiile dintr-o
organizaie: incidentele, factorii naturali, bazai pe hazard, atacurile.
Literatura de specialitate consemneaz apte mecanisme de asigurare a eficienei securitii sistemelor
informaionale: securitatea fizic, securitatea personalului, criptarea informaiilor importante, studierea
tehnicilor specializate ale intruilor, suprimarea radiaiilor compromitoare, securitatea liniilor de
comunicaii, securitatea sistemelor de prelucrare automat a datelor, care vor fi tratate pe parcursul
capitolelor urmtoare.
Bibliografie disponibil n biblioteca FEAA
1. Bigdoli, H. - Handbook of Information Security, vol.1- 3, John Wiley - Sons, 2006 2. De Leeuw, K., Bergstra, J. - The History of Information Security. A Comprehensive Handbook,
Elsevier, Amsterdam, 2007
3. Davis, C., Cowen, D., Philipp, A. - Hacking Exposed. Computer Forensics Secrets & Solutions, McGraw Hill/Osborne, New York, 2005
4. McClure, S., Scambray, J., Kurtz, G. - Hacking Exposed Fifth Edition: Network Security Secrets & Solutions, McGraw Hill/Osborne, New York, 2005
5. Mitnick, K., Simon, W. - Arta de a stoarce informaii, Ed. Teora, Bucureti, 2005 6. Taylor, P. - Hackers, Routledge, London, 1999
Unitatea de studiu II
Protecia informaiilor prin clasificarea lor
Printre obiectivele unitii de studiu se numr:
(re)cunoaterea necesitii de clasificare a informaiilor i a principalelor criterii folosite pentru aceasta;
familiarizarea cu tipurile de informaii ce sunt supuse clasificrii; identificarea principalelor roluri i responsabiliti n procesul de clasificare a
datelor;
cunoaterea modalitilor de marcare i distrugere a materialelor cu regim special dintr-o organizaie.
Unitatea de studiu trateaz:
formele embrionare de protejare a informaiilor; nceputurile clasificrii moderne a informaiilor; clasificarea informaiilor; declasificarea i degradarea informaiilor clasificate; principiile protejrii informaiilor speciale; protejarea suporturilor informaionale; clasificarea informaiilor organizaiilor.
Timpul de lucru necesar:
pentru parcurgerea unitii: 4 h; pentru rezolvarea temelor individuale: 4 h.
2.1 Forme embrionare de protejare a informaiilor
Dac n urm cu peste 10.000 de ani s-au realizat primele forme de inere a evidenei
produselor necesare hranei unei comuniti umane, fcndu-se trimitere la perioada neolitic a
Orientului Mijlociu cam n anii 8500 .C. , tot atunci s-au nregistrat i primele preocupri
pe linia securizrii informaiilor pstrate. Produsele obinute erau evideniate prin mici forme
realizate din lut, difereniate dup proprietar, dar, cum recolta se inea n comun, n hambarele
comunitii, i obiectele se pstrau n vase speciale, cu particulariti date de gestionarul
produselor, vase pe care el le sigila dup rularea argilei umede, constituindu-se forme
asemntoare unor mingi de mrimi diferite. Cnd proprietarul voia s-i ia napoi ceea ce-i
aparinea, magazionerul sprgea vasul cu nsemnele de lut ale acestuia, operaiune efectuat
n prezena martorilor. Acesta este considerat primul protocol de securitate.
Dup vreo patru mii de ani, pe teritoriul actualului Peru, s-au realizat forme mai lejere de
eviden, prin intermediul nodurilor de pe funii sau sfori. La fel de bine, am putea spune c, n
urm cu ase mii de ani, oamenii au nceput s fie trai pe sfoar, chiar dac ea se numea la
peruvieni quippos. Firesc, trgea pe sfoar cel ce avea grija ei. N-ar trebui s ne punem
problema c ele nu se pstrau n condiii de securitate deplin.
Cu vreo 3000 de ani .C. s-a inventat scrierea. Dar i aceasta era securizat. Se spune c
preoii egipteni interziceau folosirea scrierii alfabetice pe pmntul reavn, ca, nu cumva,
muritorii de rnd s aib acces la inveniile vremii. V amintii de celebrul tablou coala de
la Atena, n care Pitagora demonstreaz pe nisip teorema sa. Tragem concluzia c prezenta o
informaie public.
Dup alt o mie de ani au aprut formele echivalente ale actualelor obligaiuni, avize de
expediie .a. n acelai timp, adic n urm cu circa patru mii de ani, au nceput s se
PROTECIA I SECURITATEA INFORMAIILOR 26
foloseasc lingourile de metal ca obiecte universale de schimb. Cu 750 de ani .C. s-au
inventat monedele, i procesul evolutiv a continuat, pn s-a ajuns la sistemul de contabilitate
n partid dubl. Procesul fost surprins n prima carte de acest tip, de Luca Paciolo, n 1494, cnd, din motive de securitate a operaiunilor, au fost promovate principiile dublei
reprezentri i dublei nregistrri, dei acestea apruser n anii 1300. Dup renascentism s-au
nfptuit multiple sisteme de securitate; o bun parte din ele se regsesc n mai multe seciuni
ale crii de fa.
Cunoatei i alte momente istorice relevante n clasificarea informaiilor? Prezentai-le succint, preciznd sursa bibliografic.
2.2 nceputurile clasificrii moderne a informaiilor
Dup scurta istorie a preocuprilor viznd securitatea, s ne apropiem de vremurile
noastre i de punctul de vedere al securitii sistemelor fa de tipurile de informaii protejate.
Dac dup cel de-al doilea rzboi mondial au rmas attea amintiri neplcute, se cuvine,
totui, s recunoatem i cteva moteniri teribile. Ne gndim la cercetarea operaional, a lui
Claude Shannon, transferat din domeniul militar n cel economic, la aportul lui Alan Turing
n domeniul tehnicilor de criptare-decriptare a datelor, dar i la ceea ce ne intereseaz pe noi
mai mult, marcarea documentelor cu regim special. NATO are meritul principal n
dezvoltarea acestui sistem, al clasificrii. Clasificare nseamn etichetri cresctoare ale
documentelor sau informaiilor, de la cel mai de jos nivel, unde se situeaz informaiile
deschise (open) sau neclasificate (unclassified), la cele confideniale, urcnd spre informaii
secrete i strict secrete (top secret).
Iniial, s-a pornit de la ideea c informaiile care prin compromitere pot costa viei umane
sunt marcate secrete, n timp ce informaiile a cror compromitere cost pierderea multor
viei umane sunt definite top secret (strict secrete). Angajaii n domeniul securitii
sistemelor sunt investii cu responsabiliti diverse, dar i cu dreptul de a lucra cu anumite
categorii de informaii. Se poate vorbi de o strns legtur ntre responsabiliti i categoriile
de informaii cu care se d dreptul de a lucra. n SUA, dreptul de verificare a fiierelor cu
amprente ale FBI este acordat doar pentru verificarea unor informaii secrete, n timp ce o
verificare de tip top secret d dreptul de accesare a tuturor datelor despre locurile de munc
din ultimii 5 pn la 15 ani.
Pe linia accesului la unele categorii de informaii, pentru exercitarea controlului lucrurile
sunt mai clare: un oficial poate citi documentele dintr-o anumit categorie numai dac el are
cel puin mputernicirea de accesare a informaiilor din categoria respectiv sau dintr-una
PROTECIA INFORMAIILOR PRIN CLASIFICAREA LOR 27
superioar. De exemplu, un mputernicit s acceseze informaii strict secrete poate citi
informaii confideniale, secrete i strict secrete, iar unul cu drept de accesare a informaiilor
secrete nu le poate accesa pe cele strict secrete. Regula este c informaiile pot circula doar
n sus, de la confidenial la secret i strict secret, n timp ce invers, de sus n jos, pot circula
doar dac o persoan autorizat ia n mod deliberat decizia de a le declasifica.
De asemenea, s-au stabilit reguli de pstrare a documentelor, dup cum urmeaz:
documentele confideniale sunt pstrate n dulapuri cu cheie, n orice birou guvernamental, n
timp ce documentele din categoriile superioare necesit seifuri de un anumit tip, ui pzite i
control asupra copiatoarelor i al celorlalte echipamente electronice.
Sunt foarte puine uniti care au proceduri stricte pe linia asigurrii securitii
informaiilor. Pe de alt parte, la nivel naional exist proceduri foarte riguroase privind
secretul de stat. De regul, exist o ierarhie a ceea ce este cunoscut sub numele de clasificare,
prin care orice document i alte elemente importante sunt ncadrate ntr-o anumit categorie.
Se practic dou strategii de baz pe linia securitii naionale: 1. Tot ceea ce nu este interzis este permis.
2. Tot ceea ce nu este permis este interzis.
n Statele Unite ale Americii, prima strategie este cea care guverneaz accesul la
informaiile guvernamentale. n multe ri de pe glob, accesul la informaiile naionale este
controlat prin legi privind secretul de stat, folosindu-se cea de-a doua strategie. Un angajat
loial i devotat firmei nu discut afacerile acesteia pn cnd nu are convingerea c problema
respectiv poate s fie fcut public.
Se apeleaz la dou tactici de implementare a strategiei fundamentale privind protejarea
informaiilor deosebite:
controlul discreionar al accesului; controlul legal al accesului. Prima tactic de control al accesului implementeaz principiul celui mai mic privilegiu:
nici o persoan, n virtutea rangului sau a poziiei ce o deine, nu are drepturi nelimitate de a
vedea informaiile deosebite, iar persoanele care au o astfel de facilitate trebuie s le vad
numai pe cele care intr n sfera lor de activitate. Controlul discreionar al accesului este
aplicat printr-o matrice de control, conform modelului redat n fig 2.1. Pentru fiecare
persoan (subiect) aflat pe list i pentru fiecare informaie (obiect), matricea arat ceea ce
poate face fiecare subiect cu obiectele din list: citire, scriere, execuie, aprobare .a.
Fig. 2.1 Matrice de control al accesului
Controlul legal al accesului i exercit fora pe baza legilor existente (legea securitii
naionale, legea energiei atomice .a.). n SUA, prin lege, sunt stabilite dou tipuri de structuri
de control: ierarhizate i neierarhizate.
PROTECIA I SECURITATEA INFORMAIILOR 28
Structura ierarhizat ncadreaz informaiile senzitive n patru categorii: strict secrete, secrete, confideniale i neclasificate.
Primele trei categorii sunt referite printr-o denumire generic: informaii clasificate. n alte ri NATO, inclusiv Canada, a patra categorie este cunoscut sub numele de
informaii restrictive. n structura neierarhizat sunt dou categorii: compartimentate i cu obiecii sau ascunse
vederii unor categorii de persoane. Compartimentrile pot avea nume scurte, suficient de
sugestive, care s scoat n relief aspecte cum sunt: SECOM (securitatea comunicaiei),
CRIPTA (criptare), COMSEC (comunicaii secrete), HUMINT (Human INTeligence), SIGINT
(SIGnal INTeligence), IMINT (IMage INTeligence) .a. Categoria cu obiecii privete
ndeosebi naionalitatea potenialilor cititori i autori ai obiectelor. n SUA, contestaiile
(obieciile) sunt: NOFOR (no foreign = neaccesibile strinilor), US/UK EYES ONLY (de
vzut numai de ctre englezi sau americani) .a.
Informaiile strict secrete, care sunt ntr-o anumit compartimentare, se numesc
informaii senzitive compartimentate i presupun o atenie deosebit la ntrebuinare. Doar o categorie este superioar acesteia din urm. Este vorba despre informaiile din planul operativ integrat unic sau rspunsul naional n caz de rzboi.
Clasificarea i legislaia din Romnia sunt prezentate n unitatea de studiu 11.
Informai-v despre cazul Wikileaks.
Argumentai pro sau contra oportunitii existenei acestui proiect.
2.3 Clasificarea informaiilor
Atunci cnd informaiile au fost mprite n dou mari categorii, clasificate i
neclasificate, s-a inut cont de anumite principii. Pentru a le cunoate, ns, este nevoie de o
abordare preliminar a unor concepte1.
Guvernele pornesc de la o clasificare mai larg, mprind informaiile n dou mari
tipuri: informaii subiective i informaii obiective. Anterior a operat o alt clasificare: informaii operaionale i informaii tiinifice. Unii chiar au menionat un al treilea tip
de informaii clasificate de guverne informaii tehnice, ns n multe materiale, informaiile tehnice i cele tiinifice sunt submulimi ale informaiilor obiective.
1 U.S. Department of Energy Identification of Classified Information, Office of Classification, December 1991, Chapter
IV, Part B, 3.
PROTECIA INFORMAIILOR PRIN CLASIFICAREA LOR 29
2.3.1 Informaii subiective
Informaiile subiective au mai fost caracterizate i ca secrete adevrate, iar ali autori le-au numit informaii operaionale sau secrete operaionale. Cel mai potrivit nume este, ns, informaii subiective sau secrete subiective. Aceste informaii sunt unice pentru guvern,
n sensul c el decide asupra modului n care se vor derula principalele activiti ce-i revin.
Ct timp guvernul controleaz i protejeaz informaiile pe baza crora ia decizii, acele
informaii nu pot fi dezvluite independent de ctre adversar. De exemplu, n domeniul
militar, o informaie subiectiv este cea referitoare la planul de invadare a altei ri (momentul
i locul invaziei). Adversarul nu are cum s produc o astfel de informaie, dar o poate obine
numai prin spionaj sau dezvluire neautorizat.
Aceste informaii au urmtoarele caracteristici:
dimensiune redus secretul poate fi exprimat prin doar cteva cuvinte; din aceast cauz poate s fie furat cu uurin i dat altora;
perceptibilitate universal nu este nevoie de pregtire special pentru a nelege secretul; oricine poate s-l fure;
supuse arbitrarului pentru a intra n posesia lor un adversar le poate fura; secretul nu poate fi descoperit independent;
coninutul poate fi schimbat secretul poate fi modificat i n ultima clip; dac o ar a aflat c adversarul cunoate momentul i locul invaziei, acestea pot fi schimbate;
sunt perisabile dup scurt timp secretele au o via scurt; dup declanarea invaziei, adversarul a aflat secretul, el devenind public; n concluzie, secretul poate fi
inut doar pentru o perioad scurt de timp.
Dai exemple de informaii subiective ntlnite n cadrul organizaiilor economice. Justificai importana lor
pentru respectivele organizaii.
2.3.2 Informaii obiective
Informaiile obiective sunt acelea care chiar dac sunt descoperite, dezvoltate sau controlate de ctre guvern, pot fi deja cunoscute sau pot fi descoperite independent de o alt
ar. n aceast categorie intr informaiile tiinifice sau secretele tiinifice. Asupra acestui
fel de informaii nu se poate avea un control absolut. Ele in de natura lucrurilor, nu de un
secret. Oamenii de tiin din alte ri, independeni unii de alii, pot face descoperiri identice.
Informaiile de acest tip sunt referite i ca informaii obiective sau secrete obiective. Informaiile obiective sunt marcate de urmtoarele caracteristici:
PROTECIA I SECURITATEA INFORMAIILOR 30
sunt confuze de regul, nu se bazeaz pe o formul magic; pentru descrierea informaiilor tiinifice sunt necesare rapoarte lungi; din aceast cauz ele nu se pot
transmite cu uurin;
pot fi nelese numai de ctre oamenii de tiin; nu sunt supuse arbitrarului i alii pot s afle rspunsul la o anumit ntrebare
tiinific, dac formuleaz ntrebarea cuvenit;
nu sunt supuse schimbrii au caracter etern; un fenomen natural are o singur valoare;
pot avea o via lung ca secret alii pot descoperi informaiile n mod independent, dar o astfel de descoperire necesit mult timp, ceea ce va conduce la pstrarea
secretului pentru o lung perioad.
Dai exemple de informaii obiective ntlnite n cadrul organizaiilor economice. Justificai importana lor
pentru respectivele organizaii.
2.3.3 Secrete subiective, secrete obiective i secrete comerciale
Cu toate c exist dou tipuri principale de informaii clasificate (secrete subiective i
obiective), legea secretului comercial recunoate numai un tip al secretelor comerciale
secretele obiective. Secretele comerciale includ informaiile despre procesele de fabricaie,
reetele unor produse (cum este cazul formulei de fabricaie pentru Coca-Cola), precum i
alte informaii obiective care pot fi descoperite independent de ctre alte afaceri. Multe
secrete comerciale sunt asemntoare informaiilor tiinifice i tehnice.
Secretele subiective nu sunt protejate prin legile secretului comercial. Dac un guvern
poate clasifica i proteja datele privind invazia unei alte ri (informaii subiective), o firm
nu poate primi protecia secretului comercial pentru data la care i planific s introduc n
fabricaie un nou produs.
Dai exemple de secrete comerciale cunoscute de dvs.
PROTECIA INFORMAIILOR PRIN CLASIFICAREA LOR 31
2.3.4 Determinarea necesitii clasificrii informaiilor
n vederea clasificrii informaiilor se parcurg trei etape distincte:
1. stabilirea nevoii de clasificare; 2. determinarea nivelurilor clasificrii; 3. determinarea duratei clasificrii.
Stabilirea nevoii de clasificare
Etapa se realizeaz n cinci pai principali:
a. definirea cu exactitate a informaiilor de clasificat (opional, dar recomandat); b. stabilirea dac informaiile se ncadreaz ntr-unul din domeniile supuse clasificrii; c. verificarea dac informaiile se afl sub control guvernamental; d. concluzionarea dac dezvluirea informaiilor poate s conduc la cauzarea daunelor
pentru securitatea naional;
e. specificarea precis a nevoii de clasificare a informaiilor (opional, dar recomandat).
Determinarea nivelurilor clasificrii
Atunci cnd o informaie trebuie s fie clasificat ei i se va atribui un nivel de clasificare,
ceea ce va evidenia importana relativ a informaiei clasificate n sistemul naional de
securitate, specificndu-se cerinele minime pe care trebuie s le ndeplineasc acea
informaie.
Un sistem de clasificare eficient trebuie s se bazeze pe niveluri de clasificare definite cu
mare claritate.
n sistemul american de clasificare a informaiilor exist trei niveluri de clasificare: top
secret (strict secret), secret i confidenial. Informaiile neclasificate constituie o alt
categorie. n Legea 182/2002 privind protecia informaiilor clasificate, din Romnia,
informaiile clasificate din clasa secretelor de stat sunt ncadrate n trei niveluri, astfel: strict
secrete de importan deosebit, strict secrete i secrete.
Informaiile strict secrete (SUA), crora le corespund informaiile strict secrete de
importan deosebit (Romnia), sunt informaiile a cror divulgare neautorizat este de
natur s produc daune de o gravitate excepional securitii naionale.
Informaiile secrete (SUA), ceea ce echivaleaz cu informaiile strict secrete (Romnia), sunt informaiile a cror divulgare neautorizat este de natur s produc daune grave
securitii naionale.
Informaiile confideniale (SUA), corespunztoare informaiilor secrete (Romnia), sunt
informaiile a cror divulgare neautorizat este de natur s produc daune securitii
naionale.
Apreciem c o nesincronizare a nivelurilor de clasificare din sistemul romnesc cu cel
american este o prob de neinspiraie, cu att mai mult cu ct intrarea n NATO genereaz,
probabil, multe disfuncionaliti circulaiei informaiilor clasificate. Considerm c, n timp,
nivelurile securizrii din Romnia vor fi schimbate tocmai pentru eliminarea neajunsurilor
menionate anterior.
Determinarea duratei clasificrii
Guvernele clasific informaiile i aplic proceduri de securitate special documentelor i
materialelor ce le conin sau sunt purttoare ale acelor informaii pentru a prentmpina
obinerea lor de ctre adversari, cu intenia de a le folosi mpotriva deintorului autorizat.
Din pcate, informaiile clasificate nu stopeaz, n mod automat, accesul adversarilor la ele.
PROTECIA I SECURITATEA INFORMAIILOR 32
Se spune2 c pentru pstrarea n mare tain a informaiilor trebuie fie s nu spui nimnui
acele informaii, fie s foloseti metoda cpitanului Kidd. Totui, cum informaiile trebuie s
fie utilizate de mai muli guvernani, ele nu pot fi inute n tain de o singur persoan. Pe de
alt parte, metoda cpitanului Kidd, de pstrare a secretului, este de neacceptat. n consecin,
guvernele folosesc metoda clasificrii informaiilor pentru a asigura pstrarea secretului. Metoda cpitanului Kidd, din pcate, a operat mult timp n istoria omenirii. El era un cpitan
pirat despre care se spune c i ngropa comorile cu scopul de a le recupera ulterior. Toi cei
care participau la astfel de operaiuni erau ucii, nct nimeni altul dect Kidd nu mai tia
locul ascuns al comorilor. Discipolii lui Kidd au lansat chiar sloganul sadic Trei persoane
pot pstra un secret dac dou dintre ele sunt omorte.
n general, informaiile, orict ar fi de preioase, nu pot fi pstrate o perioad nelimitat
de timp fr s fie aflate de adversari. Uneori ei le obin prin spionaj. Alteori, ele sunt aflate
datorit proastei gestionri de ctre posesorul autorizat. Sunt i cazuri n care, ndeosebi
pentru informaiile tiinifice i tehnice, adversarii le obin cu eforturi proprii, prin invenii i
inovaii.
Chiar dac informaiile pot fi pstrate ani muli fr a fi aflate de adversari, nu este, de
regul, recomandat s se pstreze perioade ndelungate. Clasificatorii informaiilor sunt cei ce
vor hotr dac este cazul s se specifice timpul de pstrare a informaiei clasificate sau s se
indice momentul n care va interveni declasificarea automat. Durata informaiilor clasificate
trebuie s fie att de scurt ct s nu genereze costuri fr rost cu pstrarea lor. Nici duratele
prea scurte nu sunt recomandate, deoarece adversarii ar intra prea devreme n posesia lor i ar
putea aciona pentru ubrezirea ntregului sistem de securitate naional. n concluzie, doar
clasificatorul trebuie s aib grija stabilirii duratei de clasificare.
Cnd se ncearc a se discuta despre durata de pstrare a informaiilor clasificate, prerile
sunt destul de diferite. n SUA, n 1970, ntr-un raport al unui organism specializat, s-a fcut
urmtoarea declaraie: Este puin probabil ca informaiile clasificate s poat fi protejate o
perioad mai mare de cinci ani i este mult mai rezonabil s presupunem c ele devin
cunoscute de ctre alii n perioade de cel mult un an, prin descoperire independent,
dezvluire clandestin sau alte mijloace. Ali specialiti au declarat c experiena istoriei
demonstreaz c nici un secret militar nu poate fi pstrat prea mult; n unele cazuri exist
aproape ntotdeauna o limit definit de timp, n funcie de importan. Un director al
Departamentului Aprrii din SUA declara c durata pstrrii informaiilor clasificate poate fi
influenat de o serie de