PSSI bb15

UNIVERSITATEA Al.I.Cuza IAI

FACULTATEA DE ECONOMIE I ADMINISTRAREA AFACERILOR

DEPARTAMENTUL PENTRU NVAMNT LA DISTAN I NVMNT CU FRECVEN REDUS

DUMITRU OPREA

PROTECIA I SECURITATEA SISTEMELOR

INFORMAIONALE

Material de studiu pentru nvmntul la distan/ nvmntul cu frecven

redus

Iai, 2015

Cuprins

Cuprins .................................................................................................................................................. 2 Prefa ................................................................................................................................................... 6 Unitatea de studiu I Cadrul general al proteciei i securitii sistemelor informaionale 7 1.1 Scurt istorie modern a (in)securitii informaiilor .............................................................. 7 1.2. Particulariti ale securitii sistemelor informaionale ........................................................ 11

1.2.1 Vulnerabilitatea microcalculatoarelor .......................................................................................... 14 1.2.2 Forme de manifestare a pericolelor n sistemele informaionale ................................................. 17 1.2.3 Asigurarea securitii sistemelor informaionale pai de urmat i reguli generale ................ 21

1.3 Mecanisme de aprare prezentare general ......................................................................... 22 Rezumat .................................................................................................................................................... 24 Bibliografie disponibil n biblioteca FEAA .......................................................................................... 24

Unitatea de studiu II Protecia informaiilor prin clasificarea lor 25 2.1 Forme embrionare de protejare a informaiilor ...................................................................... 25 2.2 nceputurile clasificrii moderne a informaiilor .................................................................... 26 2.3 Clasificarea informaiilor .......................................................................................................... 28

2.3.1 Informaii subiective ....................................................................................................................... 29 2.3.2 Informaii obiective ......................................................................................................................... 29 2.3.3 Secrete subiective, secrete obiective i secrete comerciale ........................................................... 30 2.3.4 Determinarea necesitii clasificrii informaiilor ....................................................................... 31

2.4 Declasificarea i degradarea informaiilor clasificate ............................................................. 33 2.5 Principiile protejrii informaiilor speciale ............................................................................. 34 2.6 Protejarea suporturilor informaionale ................................................................................... 35

2.6.1 Marcarea materialelor cu regim special ....................................................................................... 36 2.6.2 Pstrarea i distrugerea materialelor speciale .............................................................................. 36

2.7 Clasificarea informaiilor organizaiilor .................................................................................. 37 Rezumat .................................................................................................................................................... 38 Bibliografie disponibil n biblioteca FEAA .......................................................................................... 39

Unitatea de studiu III Controlul accesului n sistemele informaionale 40 3.1 Tipuri de control al accesului n sistem .................................................................................... 40 3.2 Identificarea i autentificarea .................................................................................................... 43

3.2.1 Principii de baz ale controlului accesului .................................................................................... 44 3.2.2 Controlul accesului prin obiecte .................................................................................................... 45 3.2.3 Controlul accesului prin biometrie ................................................................................................ 47 3.2.4 Controlul accesului prin parole ..................................................................................................... 49 3.2.5 Controlul geografic al accesului n sistem ..................................................................................... 52 Rezumat .................................................................................................................................................... 53 Bibliografie disponibil n biblioteca FEAA .......................................................................................... 53

Unitatea de studiu IV Politici, standarde, norme i proceduri de securitate 54 4.1 Modele de politici de securitate ................................................................................................. 54

4.1.1 Modele de securitate multinivel ..................................................................................................... 55 4.1.2 Modele ale securitii multilaterale ............................................................................................... 58

4.2 Programul de securitate ............................................................................................................. 60 4.2.1 Politicile ............................................................................................................................................ 61 4.2.2 Standardele, normele i procedurile de securitate ....................................................................... 62 4.2.3 Exemple de politici de securitate .................................................................................................... 63 Rezumat .................................................................................................................................................... 68 Bibliografie disponibil n biblioteca FEAA .......................................................................................... 68

Unitatea de studiu V Criptografia 69 5.1 Concepte de baz ........................................................................................................................ 69 5.2 Scurt istoric al criptografiei ....................................................................................................... 70 5.3 Tehnologii criptografice ............................................................................................................. 71

5.3.1 Substituia ........................................................................................................................................ 72 5.3.2 Transpoziia (permutarea) ............................................................................................................. 72 5.3.3 Cifrul lui Vernam ............................................................................................................................ 73 5.3.4 Cifrul carte ...................................................................................................................................... 73 5.3.5 Codurile ........................................................................................................................................... 74 5.3.6 Ascunderea informaiilor ............................................................................................................... 74

5.4 Sisteme de criptare prin chei secrete (simetrice) ..................................................................... 81 5.5 Sisteme de criptare prin chei publice (asimetrice) .................................................................. 82 5.6 Semntura digital ...................................................................................................................... 83

Rezumat .................................................................................................................................................... 84 Bibliografie disponibil n biblioteca FEAA .......................................................................................... 84

Unitatea de studiu VI Securitatea la nivelul centrelor de prelucrare a datelor 85 6.1 Alegerea amplasamentului centrelor de calcul ................................................................................ 85 6.2 Proiectarea centrului de calcul ......................................................................................................... 86 6.3 Protecia i securitatea mediului de lucru al calculatoarelor ......................................................... 88 Rezumat .................................................................................................................................................... 90 Bibliografie disponibil n biblioteca FEAA .......................................................................................... 90

Unitatea de studiu VII Securitatea echipamentelor de prelucrare a datelor 91 7.1 Vulnerabilitatea echipamentelor de prelucrare a datelor .............................................................. 91 7.2 Asigurarea echipamentelor mpotriva inteniilor de modificare a lor ........................................... 92 7.3 Controlul integritii echipamentelor ............................................................................................... 92 7.4 Proceduri de ntreinere a echipamentelor ...................................................................................... 93 7.5 Tolerana la cdere a echipamentelor .............................................................................................. 94 7.6 Contractele ncheiate cu furnizorii de echipamente ........................................................................ 95 Rezumat .................................................................................................................................................... 96

Unitatea de studiu VIII Securitatea software-ului ................................................................... 97 8.1 Obiectivele securitii prin software ................................................................................................. 97 8.2 Limitele softului pentru asigurarea securitii ................................................................................ 97 8.3 Msuri generale de asigurare a securitii softului ......................................................................... 98 Rezumat .................................................................................................................................................. 100 Bibliografie disponibil n biblioteca FEAA ........................................................................................ 100

Unitatea de studiu IX Securitatea personalului..................................................................... 101 9.1 Ameninri de securitate asociate personalului ............................................................................. 101 9.2 Principii manageriale de securitate a personalului ....................................................................... 102 9.3 Msuri pe linia securitii din punct de vedere al personalului ................................................... 102 Rezumat .................................................................................................................................................. 108 Bibliografie disponibil n biblioteca FEAA ........................................................................................ 108

Unitatea de studiu X Securitatea comunicaiilor 109 10.1 Interceptarea conversaiilor .................................................................................................. 109 10.2 Securitatea telefoanelor standard ......................................................................................... 110 10.3 Securitatea telefoniei mobile .................................................................................................. 113

Rezumat .................................................................................................................................................. 120 Unitatea de studiu XI Aspecte juridice privind protecia i securitatea sistemelor informaionale 121 11.1 Legislaia n Romnia ............................................................................................................. 121 11.2 Protecia prin patente, copyright, licene i mrci nregistrate ......................................... 134

11.2.1 Patentele la nivelul Oficiului European de Patente (EPO European Patent Office) .......... 135 11.2.2 Copyright-ul ................................................................................................................................ 136 11.2.3 Protejarea mrcilor nregistrate ................................................................................................ 141 11.2.4 Licenele ....................................................................................................................................... 141 Rezumat .................................................................................................................................................. 142 Bibliografie disponibil n biblioteca FEAA ........................................................................................ 142

Bibliografie general 143 Referine Internet 144 Bibliografie disponibil n biblioteca FEAA 145

Unitatea de studiu I

Cadrul general al proteciei i securitii sistemelor informaionale

Unitatea de studiu 1 dorete s-i conving cititorii c:

averile informaionale sunt foarte importante n activitatea organizaiilor mai mici i mai mari, iar preocuprile pe linia asigurrii securitii lor, dei exist din cele mai vechi timpuri, s-au intensificat o dat cu dezvoltarea tehnicii de calcul;

exist o gam larg de pericole i vulnerabiliti asociate acestor averi, iar ea se extinde simultan cu dezvoltarea tot mai rapid a tehnologiilor informaionale i de comunicaii;

securitatea averilor informaionale este o component de baz a ecuaiei succesului organizaional i o problem mai degrab uman dect tehnic, posibil de rezolvat cu mijloace ieftine.

Unitatea de studiu trateaz:

o scurt istorie modern a (in)securitii informaiilor; particularitile securitii sistemelor informaionale; elementele de vulnerabilitate a microcalculatoarelor; formele de manifestare a pericolelor n sistemele informaionale; regulile generale de asigurare a securitii sistemelor infomaionale; mecanismele de aprare a averilor informaionale.

Timpul de lucru necesar:

pentru parcurgerea unitii: 4 h; pentru rezolvarea temelor individuale: 4 h.

1.1 Scurt istorie modern a (in)securitii informaiilor

Investind n tehnic sume colosale, firesc, oamenii au nceput s foloseasc metode

adecvate de pstrare a ei n camere speciale, cu ui ncuiate prin sisteme sofisticate, bazate pe

cifru, ferind, ca i pn acum, noua avere de privirile curioilor. S-a tratat, deci, tehnica de

calcul ca i seifurile ce pstrau banii i bijuteriile de familie, uitndu-se un amnunt foarte

important, i anume c noile averi sunt nu cele materiale, ci imateriale, cu forme speciale de

utilizare, i cu valori intrinseci, invizibile de cele mai multe ori, iar cile de protejare folosite

pn acum devin ineficiente sau insuficiente. Mai clar, informaia, cci ea reprezint noua

avere, devine o resurs de nebnuit a organismelor economico-sociale. Alturi de capital i

oameni, informaia este una dintre averile deosebite ale firmei.

Insecuritatea, amintit anterior, rezid i din faptul c orice persoan care dialogheaz cu

calculatorul unei firme, fie prin multitudinea tipurilor de reele, fie prin sistemele de pot

electronic (e-mail) sau prin intermediul dischetelor, CD-urilor, DVD-urilor, USB-urilor, al

benzilor magnetice sau al altor suporturi de informaii, aduse din afara unitii, sau prin

scrierea unor programe cu rol special, poate s fac urmtoarele lucruri: s copieze fiierele

importante ale altor firme, s influeneze evidenele altora pentru a le cauza pierderi, s

reprogrameze calculatoarele incluse n configuraia sistemelor de producie pentru a provoca

avarierea utilajelor sau pentru producerea accidentelor umane (inclusiv uciderea lor), s

tearg programe sau fiiere i multe altele.

PROTECIA I SECURITATEA SISTEMELOR INFORMAIONALE 8

Dac ne raportm la dinamica fantastic din domeniu, ne dm seama de creterea

constant a riscului la care se expun beneficiarii noilor tehnologii informaionale, platformele

de lucru genernd, la rndul lor, noi medii de utilizare. Se pot puncta cteva momente

eseniale, pe planul evoluiei tehnologiilor folosite, cu impact asupra sistemelor de securitate,

i ncercm s efectum o grupare a lor pe generaii, astfel:

generaia I, securitatea sistemelor bazate pe calculatoare mari, de sine stttoare; generaia a II-a, securitatea sistemelor distribuite; generaia a III-a, securitatea microcalculatoarelor, inclusiv a reelelor locale; generaia a IV-a, securitatea Internetului; generaia a V-a, securitatea comerului i afacerilor electronice; generaia a VI-a, securitatea comerului i afacerilor mobile; generaia a VII-a, securitatea global a lumii virtuale, a ntregului spaiu cibernetic. Dintr-un alt punct de vedere, al elementelor prelucrate i al produselor oferite

utilizatorilor, am putea vorbi de o alt sistematizare evolutiv, dup cum urmeaz:

securitatea datelor; securitatea datelor i informaiilor; securitatea datelor, informaiilor i cunotinelor. Prin aceast ultim prezentare, am intenionat s suprindem trecerea de la societatea

preocupat de creterea performanelor prin colectarea mai rapid a datelor, la societatea

informaional a zilelor noastre, pn la societatea ce se contureaz n mileniul III, a

cunoaterii.

Analiza locurilor de amplasare a echipamentelor folosite pentru atingerea scopurilor

prelucrrii, implicit ale securizrii, ne va conduce, n timp, spre spaii tot mai extinse: centre

de prelucrare automat a datelor, puncte de amplasare a terminalelor clasice, birouri i case

ale utilizatorilor, cldiri izolate i/sau grupate componente ale reelelor locale, metropole,

ari, grupuri de ri, ajungnd, prin world-wide-web (www), la ntreaga planet.

Dac, din curiozitate, vei accesa www.attrition.org, vei afla ct de vulnerabile sunt pn

i site-urile marilor corporaii. n fiecare an, site-uri ale unor companii celebre (Pepsi Cola

UK, Egypt Air, U.S.A. Government National Oceanic and Atmospheric Administration,

McDonalds etc.) sufer atacuri de diverse naturi.

Soluia? Msuri dure de securitate luate pe cont propriu sau prin apelarea la firme care v

asigur mpotriva unor astfel de incidente. Liderul mondial absolut l vei gsi la adresa

www.counterpane.com. El v protejeaz mpotriva pierderilor din cauza hackerilor de pn la

1 milion dolari, cu o asigurare de 20.000 dolari anual; cu 75.000 dolari v asigur anual

pierderile de pn la 10 milioane dolari; pierderile pn la o sut de milioane dolari pot fi

asigurate prin sume negociabile.

Oricum, calculatoarele, pe zi ce trece, devin o parte tot mai intim a vieii noastre, a

tuturor. Despre aspectele securitii sistemelor informaionale, pe plan mondial, s-au scris o

mulime de cri, s-au inut conferine sau seminarii internaionale, dar s-a fcut nc puin

pentru transpunerea lor n practic. Muli cred c n-au nevoie de ea sau consider c

necazurile se pot ine doar de alii.

Soluia problemei nu este de natur tehnic, att timp ct cu mijloace tehnice reduse ca

performan se pot efectua pagube imense. n mod asemntor, trebuie pus i problema

securitii, ea fiind uor de realizat cu mijloace ieftine. Securitatea sistemelor informaionale

este, n primul rnd, o problem uman, nu tehnic, i se impune a fi tratat ca atare. Trebuie

s se neleag faptul c securitatea sistemelor informaionale este o component de baz a

ecuaiei succesului firmelor. De multe ori, conducerea se intereseaz doar de reducerea

CADRUL GENERAL AL PROTECIEI I SECURITII SISTEMELOR INFORMAIONALE 9

cheltuielilor generale, neglijnd aspectele att de importante ale protejrii averii

informaionale. Totui, n ultimul timp, se constat o schimbare a opticii manageriale.

Preocupri deosebite pe linia securitii datelor, ndeosebi a celor prelucrate automat, sau

a sistemelor electronice de calcul, n toat complexitatea lor, au aprut nc din anii 1960.

ntre timp, s-au creat organisme naionale i internaionale, cu un astfel de obiectiv. Au aprut

numeroase cri, inclusiv cursuri universitare, cu teme apropiate, cum ar fi Criptografia i securitatea datelor, curs predat din anii 1970 la Universitatea George Washington,

Securitatea datelor i informaiilor i contabilitatea analitic, la universitile din Delaware i Ohio. Rezultate remarcabile a nregistrat i Universitatea din Ontario de Vest, din Canada.

Ulterior, n Europa, reeaua specialitilor n securitatea sistemelor informaionale s-a extins

din Anglia n Olanda, Belgia, Suedia, Germania, cuprinznd ntreaga arie a rilor puternic

dezvoltate. n numeroase ri se predau cursuri universitare care conin tematici apropiate ca

formulare, dar toate au un obiectiv comun: securitatea informaiilor n sistemele de prelucrare

automat a datelor. Ca efect, n universiti se creeaz diverse grupuri de iniiai n domeniu,

cei mai reprezentativi fiind experii sau realizatorii de sisteme expert pentru verificarea

securitii, analiza riscului i evaluarea potenialelor pagube, sau productorii de software

specializat n auditarea sistemelor informaionale.

Din anul universitar 1999/2000, la Georgetown University, se pred cursul Rzboiul

informaional i securitatea pentru studenii din diverse domenii, cum ar fi cei de la politici

internaionale, de la administraie public, administrarea afacerilor, comunicare, tiine exacte

i n toate domeniile socio-umane.

n ultimul timp, se poate vorbi de o mare gam a specializrilor n foarte complexa

problem a securitii sistemelor.

La nivel internaional, semnificativ este constituirea, nc din 1960, a IFIP

(International Federation for Information Processing = Federaia Internaional pentru

Prelucrarea Informaiilor), creat sub auspiciile UNESCO, care reunete cadrele didactice i

ali specialiti preocupai de prelucrarea informaiilor, n numr de peste 3500. Din ea fac

parte organizaii din 58 de ri sau regiuni. Activitatea tehnic a IFIP este coordonat prin 14

comisii tehnice, fiecare dintre ele avnd un numr diferit de grupuri de lucru, care se ocup cu

aspecte concrete ale unui anumit domeniu de activitate.1 Comisia TC11 Protecia i

securitatea n sistemele de prelucrare a informaiilor are urmtoarele grupuri de lucru: WG11.1 Managementul securitii informaiilor;

WG11.2 Securitatea sistemelor omniprezente (Pervasive Systems Security);

WG11.3 Securitatea datelor i aplicaiilor;

WG11.4 Securitatea reelelor i sistemelor distribuite;

WG11.5 Integritatea i controlul sistemelor dizolvat n 2007;

WG11.6 Managementul identitii;

WG11.7 Tehnologii informaionale: Abuzurile i cadrul legal;

WG11.8 Educaia n domeniul securitii informaiilor;

WG11.9 Criminalistic n mediul digital (Digital Forensics);

WG11.10 Protecia infrastructurilor critice;

WG11.11 Managementul ncrederii (Trust Management);

WG11.12 Aspecte umane ale securitii i asigurrii informaionale;

WG11.13 Cercetri n domeniul securitii sistemelor informaionale.

1 Potrivit www.ifip.org, ianuarie 2011.


Pentru a v edifica asupra rolului unor astfel de organizaii, putei lectura scopul nfiinrii i a obiectivele urmrite de fiecare dintre grupurile de lucru menionate la adresa de Internet www.ifip.org. De asemenea, recomandm site-ul pentru informarea privind domeniile actuale de interes, principalele evenimente profesional-academice i personalitile din zona IT.

n 1974, s-a nfiinat Institutul pentru Securitatea Calculatoarelor (Computer Security

Institute CSI , cu site-ul www.gocsi.com) pentru formarea i perfecionarea continu a

specialitilor n securitatea informaiilor, a calculatoarelor i a reelelor.

n anul 1990, Comitetul pentru Informaii, Calculatoare i Politici de Comunicaie ale

Organizaiei pentru Cooperare i Dezvoltare Economic (OECD) a constituit un grup de

experi pentru a pregti ghidul securitii sistemelor informaionale. n octombrie 1992, s-a

realizat Ghidul pentru securitatea sistemelor informaionale, iar, n noiembrie 1992, cele 24 de ri membre ale OECD l-au aprobat. Obiectivul de baz l-a constituit crearea unui cadru de

baz care s nlesneasc dezvoltarea i introducerea mecanismelor, practicilor i a

procedurilor pentru asigurarea securitii sistemelor informaionale. Ghidul se adresa tuturor

sistemelor informaionale din sectorul public i privat, supuse jurisdiciei naionale, prin

enunarea a nou principii de baz: responsabilitate, contientizare, etic,

multidisciplinaritate, proporionalitate, integrare, oportunitate, reevaluare periodic,

democraie.

De asemenea, la nivelul anului 1990, Consiliul Cercetrii Naionale al SUA, printr-un

raport special, Computer at Risk (CAR), prezenta starea securitii sistemelor informaionale

din SUA i recomanda ase seturi de aciuni. Prima recomandare se referea la crearea i

promulgarea principiilor general acceptate de securitate a sistemelor (Generally Accepted

System Security Principles, GASSP). Recomandarea pentru crearea GASSP a condus la

nfiinarea, la sfritul anului 1992, a Fundaiei Internaionale pentru Securitatea

Informaiilor.

n 1997, comitetul GASSP, care era format din experi n securitatea informaiilor din

zece ri, inclusiv SUA, a lansat GASSP, versiunea 1.0, care conine nou principii de baz,

referite ca principii universale, bazate pe principiile OECD. n acelai timp, Institutul

Naional de Standarde i Tehnologie din SUA a emis un raport cu aceleai nou principii,

aplicabile la nivelul organismelor guvernamentale federale.

Menionm i faptul c, pn n anul 1994, a existat Comitetul Coordonator pentru

Controlul Multilateral al Exporturilor (Coordinating Committee for Multilateral Export

Controls, COCOM), cu scopul instituirii unui regim comun de control al exporturilor la

nivelul celor 17 ri membre. Acestea erau Australia, Belgia, Canada, Danemarca, Frana,

Germania, Grecia, Italia, Japonia, Luxemburg, Marea Britanie, Norvegia, Olanda, Portugalia,

Spania, Statele Unite ale Americii, Turcia. Ca membri asociai erau Austria, Coreea de Sud,

Elveia, Finlanda, Irlanda, Noua Zeeland, Polonia, Singapore, Slovacia, Suedia, Taiwan i

Ungaria n total 12 ri. Scopul principal l constituie restricionarea exporturilor spre

anumite ri, cum ar fi Libia, Irak, Iran, Coreea de Nord considerate a fi ri ce sprijin

micrile teroriste. Exporturile spre alte ri erau permise, ns pe baz de licene.

n 1991, COCOM a adoptat Nota General privind Software-ul (General Software Note,

GSN), prin care s-a permis exportul de mas al softului criptografiat, inclusiv cel din

domeniul public, la nivelul rilor membre. De asemenea, erau acceptate exporturile

criptografice folosite pentru autentificare, inclusiv produsele folosite pentru criptarea

parolelor. Toate rile membre au respectat Nota, cu excepia SUA, Marea Britanie i Frana.

n iulie 1996, 31 de ri au semnat Acordul Wassenaar privind Controlul Exporturilor de

Arme Convenionale, Bunuri i Tehnologii cu Dubl ntrebuinare. Acesta a fost semnat i de


Romnia, Rusia, Republica Ceh, iar ulterior, de Bulgaria i Ucraina. Prevederile privind

criptografia au fost preluate de la COCOM.

Deci, dac de peste patru decenii sunt preocupri pe linia securitii informaiilor

prelucrate n sistemele de prelucrare automat, prin cursuri universitare, cri, simpozioane

.a., dac pe plan internaional exist attea organisme care se ocup de problematica

menionat, considerm fireasc abordarea i la noi, cu mai mult seriozitate, a Proteciei i securitii informaiilor.

Identificai cteva repere istorice (la nivel statal, academic sau organizaional) privind protecia i securitatea informaiilor n Romnia.

1.2. Particulariti ale securitii sistemelor informaionale

Odat cu trecerea spre prelucrarea masiv a datelor cu ajutorul calculatoarelor

electronice, ca urmare a volumului mare al investiiilor i a transferrii grijii informaiei

ctre sistemele electronice de calcul, s-a pus ntr-un alt context problema protejrii noilor

averi, fizice i informaionale. Totul trebuie pornit de la schimbarea opticii privind gestiunea

fizic a noilor averi, dar i de la valorificarea pe multiple planuri a datelor memorate,

ncercndu-se s se obin alte dimensiuni ale funciei de informare a conducerii, prin

utilizarea informaiilor arhivate i pstrate n alte condiii.

n vederea obinerii noilor performane, datele prelucrate sunt supuse unor operaiuni

suplimentare n faza de culegere, astfel nct s poat fi valorificate ulterior pe mai multe

planuri. Preluarea datelor din dou sau mai multe documente operative n unul sau mai multe

fiiere, avnd suportul de nregistrare specific noii variante de prelucrare, constituie o


ndeprtare vizibil de modul tradiional de pstrare a documentelor primare, de gestionare a

lor, i duce la apariia mai multor persoane care pot accesa aceleai date. Mai mult, prin

agregarea nregistrrilor anterioare, pot rezulta chiar noi informaii.

Cum noile resurse fizice ale sistemelor de calcul sunt destul de scumpe, se constat o

tendin de centralizare a prelucrrilor de date, din motive de economie, dar, n acelai timp,

sporete grija asigurrii securitii lor, ntruct riscul pierderii lor sau al consultrii

neautorizate este i mai mare. ntr-un astfel de caz, nu trebuie uitat principiul dominant al

prelucrrii automate a datelor, GIGI (Gunoi la Intrare, Gunoi la Ieire), conform cruia o

eroare strecurat ntr-un sistem integrat se propag cu o vitez inimaginabil, n zeci sau sute

de locuri din sistem, genernd, la rndul ei, o multitudine de erori n rapoartele ce se vor

obine ulterior.

Alt element, deosebit de important, l constituie factorul uman. Dac n vechile sisteme

erau uor de controlat locurile de pstrare a informaiei, acum, ntr-un mediu puternic

informatizat, persoanele cu atribuii de urmrire a modului de realizare a securitii datelor au

o misiune mult mai dificil. Se pot nregistra dou cazuri: fie c nu pot intui cile prin care

datele pot fi accesate pe ascuns, n vederea sustragerii sau modificrii lor, fie c nu reuesc s

descopere de unde i cine, cu ajutorul unui calculator aflat la distan de locul pstrrii

datelor, are acces neautorizat n sistem. Surpriza poate veni tocmai de la persoanele care

lucreaz cu cea mai mare asiduitate la anumite aplicaii. Loialitatea excesiv, n acest caz,

poate da de gndit.

Prin trecerea la prelucrarea automat a datelor (p.a.d.) s-au schimbat i suporturile

informaiei, precum i mijloacele de lucru, situaie n care apar noi aspecte, i anume:

Densitatea informaiei este mult mai mare n mediul informatic dect n sistemele

clasice, bazate pe hrtie. Prin utilizarea discurilor optice sau a stick-urilor USB, zeci de

volume, nsumnd zeci de mii de pagini de hrtie, pot fi introduse cu mult uurin ntr-un

buzunar. CD-urile, DVD-urile, cardurile, memoriile flash, hard-discurile portabile i alte

suporturi moderne pot fi astfel subtilizate discret, cu eforturi minime dar cu efecte distructive

majore.

Obscuritatea sau invizibilitatea constituie o alt problem, ntruct coninutul

documentelor electronice i al rapoartelor derivate stocate pe suporturile enumerate mai sus

nu poate fi sesizat pe cale vizual la un control de rutin. De multe ori, cei pui s controleze

nu au pregtirea informatic i nici echipamentele necesare pentru a observa o eventual

sustragere de fiiere.

Accesibilitatea datelor din sistemele de calcul este mai mare, cel puin pentru o nou

categorie de infractori, catalogai hoi cu gulere albe, fcndu-se trimitere vdit la nivelul

de cultur, n primul rnd informatic, al acestora.

Lipsa urmelor eventualelor atacuri criminale constituie un alt element ngrijortor al

noului mediu de lucru. tersturile din vechile documente pentru schimbarea sumelor,

precum i adugrile de noi nregistrri cu creionul nu mai exist, modificrile n fiierele

electronice sunt efectuate cu mult lejeritate i foarte greu de depistat ulterior.

Remanena suporturilor, dup ce au fost terse, poate constitui o cale sigur de intrare n posesia informaiilor memorate anterior. Se cunosc numeroase programe de restaurare a

fiierelor terse.

Agregarea datelor. Puse laolalt, datele capt alt valoare dect cea avut prin pstrarea

lor n mai multe locuri separate unele de altele. Uneori, informaiile de sintez sunt

valorificate prin programe speciale n vederea obinerii, tot cu ajutorul calculatorului, a

strategiei i tacticii firmei ntr-un anumit domeniu. Edificator este cazul benzilor magnetice


ale firmei IBM, care conineau direciile de cercetare pe urmtorii 15 ani, intrate n posesia

unei firme dintr-o ar concurent.

Necunoaterea calculatoarelor. Pentru foarte multe persoane, ndeosebi de vrst naintat, calculatorul este investit cu fore supraomeneti, ceea ce le confer o ncredere

oarb n datele obinute prin intermediul lui. De asemenea, din motive de nepricepere, aceti

anagajai pot fi victime uoare ale coruptorilor ... informatizai.

Progresul tehnologic. Rezultatele cercetrilor tehnico-tiinifice se transform zi de zi n

tehnologii din ce n ce mai performante de accesare a datelor. Nu acelai lucru se poate spune

i despre progresele nregistrate n domeniul securitii datelor.

Comunicaiile i reelele, devenind tot mai performante, au extins aria utilizatorilor, att din punct de vedere numeric, ct i al dispersiei n teritoriu, ntregul spaiu terestru fiind

accesibil reelelor foarte mari. Odat cu noile progrese, i aria utilizatorilor ru intenionai s-a

mrit, precum i variantele de furt informatizat.

Integrarea puternic a sistemelor apare ca o consecin a mbuntirii formelor de comunicaie i a proliferrii reelelor de calculatoare. Pe acelai canal de comunicaie sunt

transmise tot felul de date. n plus, introducnd o dat eronat n sistem, de la un banal punct

de vnzare, ea ptrunde cu rapiditate n zeci de fiiere i, implicit, aplicaii ale firmei.

Comerul i afacerile electronice au deschis i mai mult apetitul specialitilor n fraud.

Apariia utilizatorilor finali informatizai constituie un veritabil succes, dar sporete i

riscul pierderii datelor importante din calculatorul principal al companiilor.

Standardele de securitate, n pofida attor altor domenii n care se nregistreaz mutaii

vizibile n intervale scurte de timp, nu se concretizeaz n forme general valabile i, ct timp

un lucru nu este interzis prin reguli scrise, el ori se consider c nu exist, ori se trage

concluzia c este permis.

Totui, efortul uman pentru protejarea, asigurarea sau securizarea sistemelor s-a

accentuat n mod vizibil. n tabelul 1.1 am redat numrul de site-uri care trateaz concepte

specifice temei discutate, la nivelul lunilor aprilie 2002 i ianuarie 2011, folosind motorul de

cutare Google. Dup cum se observ, se detaeaz net conceptele: internet security, network

security, information security, computer security, data protection, digital signature, e-

security n ordinea numrului de apariii n site-uri.

n concluzie, odat cu dezvoltarea noilor sisteme informaionale i cu transferarea ctre

acestea a secretelor firmelor, trebuie vzut n ele, n acelai timp, ajutorul numrul unu, dar i

elementele cele mai tentante pentru noii criminali. Hardul i softul pot fi manevrate cu mult

uurin de ctre om. n acest caz, ca i n altele intrate n obinuina cotidian, inteligena

calculatorului las de dorit, putndu-se spune c tot omul (a)sfinete ... calculatorul, motiv

esenial pentru sporirea preocuprilor tuturor specialitilor din domeniul securitii sistemelor

informaionale.

Tabel nr. 1.1 Numrul site-urilor ce trateaz concepte specifice

proteciei i securitii sistemelor informaionale

Nr. crt. Conceptul cutat cu Google 2002 2012

1. computer security 534.000 8.890.000 2. information security 439.000 13.600.000 3. data security 305.000 2.860.000 4. data protection 495.000 12.700.000 5. information protection 36.700 714.000 6. information assurance 36.500 839.000 7. data assurance 569 90.900 8. computer protection 7.720 2.160.000


Nr. crt. Conceptul cutat cu Google 2002 2012

9. computer data protection 171 39.900 10. computer assurance 1.820 11.800 11. network assurance 590 181.000 12. network protection 12.800 253.000 13. network security 615.000 14.700.000 14. internet security 758.000 82.200.000 15. internet protection 19.100 284.000 16. internet assurance 169 36.600 17. computer vulnerability 1.140 34.600 18. data vulnerability 908 9.230 19. information vulnerability 713 22.100 20. network vulnerability 6.910 408.000 21. internet vulnerability 1.320 48.000 22. digital signature 217.000 1.940.000 23. digital protection 1.790 42.500 24. e-signature 11.800 600.000 25. e-security 140.000 1.490.000 26. e-protection 5.600 349.000

Propunei alte concepte relevante pentru domeniul proteciei i securitii informaionale i completai tabelul de mai sus cu numrul paginilor oferite ca rspuns de motorul de cutare Google pentru ele.

Conceptul cutat cu Google Numrul de pagini returnate, 2013

1.2.1 Vulnerabilitatea microcalculatoarelor

Odat cu lansarea IBM-ului n producia de microcalculatoare, n 1981, acest domeniu a

nregistrat progrese uluitoare. Dac la nceput nu au fost luate n seam, acum s-a ajuns ca un

microcalculator de cteva sute de dolari s efectueze ceea ce, cu doar cteva zeci de ani n

urm, efectuau doar calculatoarele mari, de milioane de dolari.

Apariia milioanelor de utilizatori a dus la constituirea unei adevrate bresle de specialiti

n butonat a se citi apsarea tastelor , cu destul de puine cunotine despre teoria

sistemelor informaionale i cu nici o team de implicaiile posibile ale unui sistem fr

securitate. De la utilizatorii izolai s-a trecut la constituirea de reele puternice, care au

mpnzit orice col al organizaiilor. Urmtoarele trepte au constat n depirea granielor

firmei, ale oraului, respectiv ale rii. S-a creat, astfel, posibilitatea ca sistemele bazate pe

calculatoare mari s fie accesate din sute sau mii de locuri, afectnd substanial integritatea,

confidenialitatea i accesibilitatea datelor.

Datorit microcalculatoarelor, se poate spune c s-a nregistrat un progres colosal pe linia

domeniilor de aplicabilitate ale informaticii. Ele rezolv rapid i ieftin o mulime de probleme

de planificare tehnico-economic, de exploatare, de administrare, procesare de texte,

comunicaii i alte faciliti de lucru n reea. n aceste condiii, microcalculatoarele aduc i

noi forme de manifestare a slbiciunii sistemelor electronice de calcul i a vulnerabilitii lor.

Hazardul joac un rol din ce n ce mai mare, astfel:

1. De la bun nceput ele au fost concepute mult mai prietenoase dect vechile sisteme, deci

destul de tentante n a fi utilizate i de copiii i de funcionarii fr prea multe cunotine

tehnice, aceasta concretizndu-se n:


a) apariia numeroaselor eecuri sau erori n operaiunea de creare a copiilor de siguran de exemplu, realizarea lor pe suportul intern de memorare al aceluiai microcalculator, chiar pe aceeai partiie de disc;

b) eecuri n controlul accesului sistemului. Sistemele de protecie prin parole nu se folosesc la toate microcalculatoarele, iar cnd exist nu sunt folosite corespunztor,

parolele fiind cunoscute de mai muli utilizatori, i nu numai att, ele aflndu-se scrise

pe o bucat de hrtie, lipit pe colul monitorului sau pe masa de lucru;

c) tratarea tuturor datelor la fel, omindu-se cele de o importan deosebit, care ar

trebui s aib cu totul alt regim;

d) greeli n pstrarea i utilizarea resurselor sistemului. Discurile de orice tip, casetele, benzile sunt mpnzite prin toat unitatea, prin toate birourile, putnd fi folosite sau

sustrase cu mult uurin de alte persoane. Un suport din afar poate fi introdus

printre cele deja existente, strecurndu-se astfel i viruii distructivi. Hrtia de

imprimant (de regul cea care conine mici greeli sau a doua copie a unei lucrri

efectuate n dou exemplare), benzile tuate ale acesteia (riboanele), celelalte resturi

sunt accesibile noilor scormonitori n gunoaie informatice, cu scopul de a gsi un

col de pine printre informaiile coninute de aceste materiale;

e) scrutarea cu uurin a sistemului. Deseori, din pur curiozitate, un coleg, un prieten,

un copil venit n vizit la biroul prinilor, avnd cunotine limitate despre

calculatoare, ncep s se joace cu tastele unui microcalculator pornit, situaie n care

se pot distruge date foarte importante. Mai periculos este cazul n care joaca are un

scop anume;

2. Calculatoarele nu mai sunt doar la dispoziia specialitilor, ci i a altor persoane, care nu

cunosc prea multe lucruri despre alte tipuri de sisteme. Odat cu apariia

microcalculatoarelor, problemele de instruire informatic se pun ntr-un alt mod;

3. Prin politica de instaurare a unor restricii n utilizare, apelndu-se la sistemul parolelor

multiple, din faza de iniializare a sistemului pn la accesul la ci i fiiere, se reduce

dramatic viteza de prelucrare, deci scade productivitatea sistemului;

4. Fiind plasate n aproape toate birourile, iar condiiile de pstrare puternic diversificate,

riscul defectrii este diferit de la un birou la altul;

5. Resursele ntregului sistem fiind mprtiate prin toate colurile unitii, securitatea

tradiional a slii calculatorului unic dispare, aceasta avnd ca rezultat:

a) documentaia sistemului, softul, manualele de utilizare sunt ineficient folosite sau n

condiii de risc sporit;

b) pierderea cheilor de deschidere a PC-urilor le poate face inutilizabile o perioad de

timp;

c) softul de aplicaii se realizeaz n mod haotic, ducnd uneori la lucrul n paralel la

aceeai problem, neexistnd o eviden centralizat a preocuprilor;

d) parolele nu se nregistreaz, deci nu poate fi vorba de un control al lor;

e) manualele de utilizare sunt pstrate neglijent, iar cnd sunt necesare nu mai sunt de

gsit;

6. Actele cu scop de fraud pot fi svrite cu mai mult uurin i de ctre mai multe

persoane, ceea ce diminueaz eficiena controlului;

7. Prin preluarea de ctre calculator a activitilor prestate anterior de mai multe persoane,

posibilitatea de furt, fr complotul mai multor angajai, devine mult mai lejer;

8. Persoanele care n condiiile prelucrrii clasice aveau grija i posibilitatea de a lucra doar

ntr-un domeniu, destul de limitat, pot s-i extind aria cunoaterii asupra ntregii baze

de date a unitii;


9. Pe suporturile cu capacitate de memorare foarte mare, fiind ascunse datele deosebit de

importante, acestea erau mai greu de gsit, n schimb, pe un disc optic sau video disc

operaiunea este mult mai uoar;

10. Sistemele de operare ale microcalculatoarelor nu dispun de aceleai performane de

protecie precum sistemele mari;

11. Slaba securitate, nsoit de facilitile de lucru n reea, conduce la sporirea posibilitilor

de accesare neautorizat a sistemului;

12. Datele pot fi preluate pe un PC fie din reea, fie din calculatorul mare i tiprite sau

transferate pe diverse tipuri de discuri, cu scopul sustragerii lor;

13. Resursele locale ale unui PC pot fi folosite de ctre utilizatorii lor pentru a ataca reeaua

sau calculatorul central;

14. Prin dimensiunile lor reduse i greutatea mic, PC-urile sunt uor de mutat dintr-un loc n

altul, ceea ce sporete riscul defectrii lor;

15. Posibilitatea defectrii sau ntreruperii temporare a sursei de alimentare cu energie

electric este mult mai mare dect n cazul unei singure sli a calculatoarelor.

Pornind de la elementele de vulnerabilitate a microcalculatoarelor prezentate mai sus, identificai cte 3 elemente similare de vulnerabilitate a calculatoarelor portabile i, respectiv, a telefoanelor mobile folosite n organizaii.

3 elemente de vulnerabilitate a calculatoarelor portabile:

3 elemente de vulnerabilitate a telefoanelor mobile:


1.2.2 Forme de manifestare a pericolelor n sistemele informaionale

Cnd se proiecteaz noi aplicaii informatice, grija principal a realizatorilor trebuie s o

constituie protejarea datelor prelucrate. n orice mediu de lucru, datele trebuie s respecte

principiile C.I.A.:

Confidenialitatea se concretizeaz n oferirea condiiilor de pstrare n conformitate cu restriciile legale descrise de utilizatori i proiectani. Numai persoanele autorizate

pot accesa datele sistemului, lundu-se msuri de prevenire a accesului neautorizat;

Integritatea, ceea ce nseamn c ele trebuie s fie pstrate n forma original. Datele nu trebuie s fie modificate prin consultare sau pe ci ilegale, nici accidental. De

asemenea, ele nu trebuie s fie expuse pericolului distrugerii involuntare. Integritatea

este o msur a corectitudinii datelor i a asigurrii ncrederii n ele;

Accesibilitatea se refer la asigurarea accesului la date, pentru cei autorizai, n orice moment.

Pentru o organizaie cunoscut de dvs., realizai un clasament al celor mai importante 3 averi informaionale, preciznd pentru fiecare dintre ele dac este important asigurarea confidenialitii i/sau

integritii i/sau accesibilitii. Justificai.

Locul

Avere informaional Importana C Importana I Importana A

1

2

3

Datelor supuse prelucrrii automate trebuie s li se asigure cel puin aceleai condiii de

protecie ca i celor prelucrate manual. Totui, din cauza creterii riscului prin informatizare,

aa cum rezult din descrierea sumar a vulnerabilitii noilor sisteme, se impun i unele

msuri suplimentare de realizare a proteciei, situaie n care utilizatorii trebuie s cunoasc n

detaliu natura noilor ameninri. Literatura de specialitate le grupeaz n diverse moduri.

Oricum, ele pot fi sintetizate n trei mari categorii:

ameninri cauzate de incidente ivite n sistem; factori naturali, bazai pe hazard; ameninarea sistemelor prin aciunea voit a omului.

1.2.2.1 Ameninri cauzate de incidente ivite n sistem

Realitatea a demonstrat c exist urmtoarele cauze care pot afecta securitatea sistemelor:

1. Apariia unor defeciuni la echipamentele sistemului. De multe ori micile defeciuni, n special cele cu o perioad de manifestare foarte scurt, sunt mai greu de detectat i


reparat dect cele catastrofale. Avnd un caracter imprevizibil, pentru ele nu se pot

stabili anumite msuri de prevenire. Mai grav este atunci cnd ele nu au forme sesizabile

n momentul producerii, iar datele eronate apar mult mai trziu, fcnd reconstituirea

celor originale foarte anevoioas sau chiar imposibil;

2. Apariia inevitabilelor erori umane, conform dictonului errare humanum est, conduce la luarea elementarei msuri preventive de reducere substanial a interveniei umane n

procesul de prelucrare a datelor cu ajutorul calculatorului electronic. Cauzele erorilor pot

fi: indiferena cu care se exercit o anumit operaiune, slaba instruire, entuziasmul

excesiv, nelegerea greit a modului de funcionare a sistemului. Erorile pot s aparin

operatorilor, dar, i mai grav, programatorilor. Riscul cel mai mare provine din

posibilitatea perpeturii modului eronat de exercitare a operaiunilor sau a programrii.

Soluiile constau n introducerea n soft a mai multor teste de validare a introducerilor de

date, iar, pe linia programrii, apelarea la standardizare sau la utilizarea sistemelor

CASE (Computer Aided Software Engineering);

3. Funcionarea defectuoas a softului. Chiar i atunci cnd se apeleaz la un ntreg arsenal de metode de testare a lui, softul poate pstra anumite vicii ascunse, care s

produc erori inimaginabile. Este cazul programelor foarte mari, de milioane de linii

surs, care, practic, sunt tot mai greu de controlat. Edificator este cazul unui

academician rus care a demisionat dintr-o important funcie informatic din ministerul

aprrii, ntruct spunea c pericolul producerii unor grave incidente, cu efecte nebnuite

asupra securitii omenirii, devine tot mai mare, din cauza imposibilitii controlrii

programelor. Multitudinea ramificaiilor din program poate s duc la scurt-circuitarea

lor, genernd ci imprevizibile de execuie, concretizate n luarea unor decizii

surprinztoare;

4. ntreruperea sistemului de alimentare cu energie sau funcionarea lui n afara parametrilor tehnici admii. n aceast categorie intr i cderea legturilor de

comunicaie, precum i a altor utiliti necesare sistemului.

Care este cel mai distructiv incident care a afectat securitatea informaional a unei organizaii cunoscute de dvs.? Motivai.


1.2.2.2 Factorii naturali, bazai pe hazard

Calculatoarele sunt sisteme deosebit de sensibile. Deseori sunt comparate cu creierele

umane, deci asemnarea poate continua. Dac pe creier se depun mici cheaguri de snge, el

funcioneaz eronat sau poate s-i nceteze exercitarea funciilor sale. Cheagurile

calculatoarelor pot fi: exces de umiditate, exces de cldur, praf, fire de pr, scrum de igar

.a. Nu sunt de neglijat diversele insecte, ndeosebi mute, nari, pianjeni, gndaci, viespi,

viermi. Cel mai mare pericol l reprezint mouse-ul, dar de data aceasta cel adevrat, adic

micuul oricel.

Tot n aceast categorie intr cutremurele, vijeliile, furtunile, inundaiile i alte forme de

dezlnuire a naturii.

1.2.2.3 Ameninarea sistemelor prin aciunea voit a omului

Ca orice avere, i cea informaional strnete tentaii umane, iar regula decalogului, care

ndeamn s nu furi, nici n acest caz nu este respectat. S-au constituit, n timp, grupuri de

specialiti care exploateaz slbiciunile sistemelor. Cel mai grav este faptul c unii

realizatori de sisteme sunt i cei mai periculoi dumani ai propriilor creaii, fiind un fel de

Kronoi ai vremurilor noastre, devorndu-i propriii lor copii, adic sistemele. Motivele

atacurilor pot fi destul de variate: de la spionajul industrial, militar, pn la cele mai meschine

interese. Atacurile pot fi deliberate sau accidentale, deschise sau mascate (ascunse).

1. Spionajul i serviciile secrete acioneaz, de regul, n domeniul militar, dar i fac simit prezena i n industrie, comer, nvmnt, cercetare .a. Cile de obinere a

informaiilor variaz de la banalele apeluri telefonice, pn la sofisticatele metode

tehnice de captare a datelor. Microfonul ascuns ntr-o camer este deja o form de

primitivism, ntruct au proliferat tehnici de-a dreptul miraculoase de captare.

2. Dumanii, nedreptiii i neloialii dintre angajaii firmei. Aceast categorie nu apeleaz la tehnici prea performante, deoarece, desfurndu-i activitatea n

interiorul sistemului, pot nfptui acte criminale cu mijloace mult mai simple.

Motivaia lor poate s fie un ctig personal sau o rzbunare. Mai grav este cazul

cnd o ter persoan din sistem, investit cu autorizarea unor operaiuni, n mod

involuntar, contribuie la nfptuirea atacului.

Trecerea spre PC-uri, culturalizarea informatic a utilizatorilor constituie reale

ameninri pentru sistemele informaionale. Cu banii pltii de firm, ntruct

efectueaz atacul n timpul programului de lucru din birou, angajaii devin dumanii

cei mai periculoi ai unitii. Tot n aceast categorie sunt ncadrai i grevitii.

3. Vandalii i huliganii au la dispoziie forme noi de manifestare, renunnd la bte i pietre, dar apelnd la spargeri informatice, la virui .a. Mai periculoi sunt cei

strecurai n unitate pe principiul calului troian. Zicala Doamne, spune-mi dumanul

care mi-e prieten, cci pe cellalt l tiu eu trebuie s devin un adevrat crez pentru

conducerea unitilor.

4. Utilizatorii pot s contribuie substanial la pierderile informatizate, ndeosebi prestnd activiti nestandardizate i neautorizate. Pe primul loc se afl jocurile pe

calculator, care, pe lng faptul c nseamn folosirea resurselor firmei n scop

personal i irosirea timpului de lucru, chiar dac este o simpl distracie, devin cea

mai sigur surs de importare a viruilor. Pe locul doi se afl softul tentant, de

ultim or, necumprat de firm, dar aflat n posesia unui prieten. Dei este

procurat cu intenii vdit benefice firmei, se transform n altceva.


Pentru evitarea acestor cazuri, se impun: instruirea personalului, controlarea i

supravegherea permanent a lui, precum i interzicerea utilizrii altor materiale dect

a celor aflate n posesia legal a unitii.

5. Organizaiile subversive i teroriste i-au gsit noi ci de nfptuire a obiectivelor. Exist chiar organizaii care i propun, n mod declarat, abolirea calculatoarelor. Din

nou, cei mai periculoi sunt angajaii unitii care aparin acestor grupuri. Formele lor

de manifestare pot fi foarte inteligente, dar i foarte violente. Se pare c viruii cei

mai periculoi sunt realizai de astfel de grupri.

6. Ziaritii, n intenia de a realiza articole de senzaie, pe principiul scopul scuz mijloacele, scurm n Berevoietiul informatic sau chiar n locurile, aparent, bine

tinuite.

7. Publicul larg, din pur curiozitate informaional sau din dorina de a-i verifica aptitudinile informatice, atenteaz la integritatea multor sisteme.

8. Adolescenii, dei fac parte din categoria anterioar, au forme specifice i rezultate deosebite n atacarea sistemelor. De cele mai multe ori, dispun de cunotine

informatice impresionante, care, dac se cupleaz cu accesul la datele folosite de

prinii lor n sistemele informaionale, devin extrem de periculoi. Printre ei se afl

cei mai mptimii hackeri, phrackeri i alte categorii descrise ulterior.

9. Criminalii devin noii bogai ai zilelor noastre. Unele firme nu raporteaz pierderile cauzate de atacurile informatice, fie pentru a nu da curaj i altora s ncerce, fiind

deja un precedent, fie de teama de a nu fi trase la rspundere c nu au luat cele mai

bune msuri de asigurare a securitii, fie pentru a nu face un nume prost aplicaiilor

folosite. Cu calculatorul s-au nfptuit cele mai multe crime perfecte. Cum motivaia

lor este evident, furtul, investiiile fcute de organizaiile care se ocup cu o astfel de

activitate sunt mult mai mari pe linia cercetrii tiinifice dect ale oricrei firme

n parte pe linia asigurrii securitii sistemului.

Care este cel mai periculos atacator (potenial sau nu) al unui sistem informatic din cadrul unei organizaii cunoscute de dvs.? Motivai.


1.2.3 Asigurarea securitii sistemelor informaionale pai de urmat i

reguli generale

Dup prezentarea elementelor vulnerabile din diversele medii informatizate de lucru,

putem spune c securitatea, n astfel de sisteme, se refer la:

1. identificarea i evaluarea elementelor patrimoniale de protejat, astfel nct nimic s nu fie omis, iar valorile deosebite s aib un tratament special;

2. recunoaterea de la bun nceput a vulnerabilitii i slbiciunii sistemelor informaionale;

3. specificarea tuturor atentatelor posibile asupra sistemelor electronice de calcul, n general, i asupra unei aplicaii informaionale anume, n special;

4. evaluarea potenialelor pierderi sau riscuri generate de un anumit incident, cu toate consecinele care decurg de aici;

5. realizarea, implementarea i consolidarea unor metode de asigurare a securitii, cu costuri rezonabile, pentru reducerea riscurilor de deteriorare a sistemelor, inclusiv a

bazelor de date, la valori minime, asigurndu-se obiectivele pentru care au fost

realizate sistemele;

6. pregtirea planurilor de reconstituire a datelor pierdute din cauza dezastrelor; 7. controlul i auditarea periodic a eficienei msurilor de asigurare a securitii

sistemului.

Regulile generale, aplicabile tuturor sistemelor de securitate, concretizate n 20 de msuri

preventive, sunt urmtoarele:

1. Stabilirea autorizrilor;

2. Asigurarea loialitii i ncrederii personalului;

3. Stabilirea modalitilor prin care aciunile de autorizare s fie eficiente;

4. Identificarea mijloacelor materiale prin care s se realizeze protecia;

5. Inventarierea elementelor de protejat;

6. Gruparea valorilor importante pentru o mai bun protecie;

7. Stabilirea zonelor de amplasare a valorilor protejate;

8. Aprarea valorilor protejate;

9. Asigurarea verificrii bunurilor protejate;

10. Restricii privind utilizarea bunurilor protejate i a mecanismelor de protecie;

11. Controlul accesului la bunurile protejate;

12. Expunerea redus a bunurilor protejate;

13. Privilegii limitate privind bunurile protejate;

14. Responsabiliti clare pe linia bunurilor protejate;

15. Consemnarea, n scris, a faptelor care au afectat valorile patrimoniale;

16. Verificarea dubl a tuturor operaiunilor referitoare la valorile patrimoniale;

17. Elaborarea documentaiilor de analiz a operaiunilor cu valori patrimoniale;

18. Cercetarea tuturor neregulilor;

19. Sancionarea abaterilor;

20. Crearea posibilitii de redresare, n orice moment, dup unele aciuni care au euat.

Care este, n opinia dvs., cea mai important regul general de securitate pentru o organizaie? Argumentai.


1.3 Mecanisme de aprare prezentare general

Literatura de specialitate consemneaz apte mecanisme de asigurare a eficienei

securitii sistemelor informaionale:

1. Securitatea fizic se refer la controlul accesului fizic n sistem i se va concretiza sub diverse moduri: de la mprejmuiri ale amplasamentelor i ui, la lacte i sisteme

de alarm, inclusiv crearea cadrului de intervenie n cazuri de urgen.

2. Securitatea personalului presupune selecia, urmrirea, autorizarea i supravegherea angajailor.

3. Criptarea informaiilor importante nseamn protejarea datelor comunicate la distan, fcndu-le neinteligibile pentru orice alte persoane dect cele autorizate a le

recepiona.

4. Studierea tehnicilor specializate ale intruilor astfel nct echipamentele acestora s nu poat ptrunde n configuraia sistemului.

5. Suprimarea radiaiilor compromitoare este o operaiune necesar pentru c echipamentele folosite n centrele de prelucrare automat a datelor produc radiaii

acustice i electromagnetice, care pot fi interceptate i analizate. Este cazul

consolelor, imprimantelor, cablurilor de legtur, al echipamentelor de vizualizare

.a.

6. Securitatea liniilor de comunicaie se refer la garantarea comunicrii corecte pe liniile care interconecteaz componentele sistemului, astfel nct intruii s nu le

poat penetra.

7. Securitatea sistemelor de prelucrare automat a datelor se ocup de protejarea datelor din sistem mpotriva accesului neautorizat, prin prisma autorizrii

utilizatorilor i a protejrii datelor, stabilindu-se reguli foarte precise de folosire a lor.

Fiecare mecanism de protecie trebuie s realizeze obiectivele pentru care a fost

conceput. Eficiena lui nu trebuie s depind de prezumii false privind imposibilitatea

atacrii sistemului. El trebuie s demonstreze completitudine, ceea ce se va concretiza printr-o

funcionare normal la orice eventual ameninare, corectitudine, prin oferirea rspunsurilor

anticipate, ndeosebi atunci cnd s-ar nregistra intenii frauduloase sau s-ar produce erori n

utilizare. Mecanismul perfect trebuie s fie ct mai simplu posibil, precum i uor de

ntrebuinat i s ofere un numr ct mai mic de erori sau alarme false.

Supravieuirea lui este o alt proprietate, stabilindu-se cu o precizie ct mai mare perioada de funcionare la un anumit nivel asigurat al proteciei, n condiii optime de

utilizare. Nu trebuie uitat raportul cost sistem - eficien.


Gradul de confidenialitate a informaiei protejate va determina ce mecanisme de aprare

s fie folosite, conform figurii 1.1.

Fig. 1.1 Protecia informaiei prin mecanisme specializate

Modul n care mecanismele generale de mai sus sunt tratate n prezentul manual este

vizibil n diagrama din figura 1.2.

Fig. 1.2 Sinteza coninutului manualului pe mecanisme de securitate

Din ce motiv credei c nu au fost bifate cu X csuele cu fundal mai nchis din Figura 1.1?

US11 Aspectejuridice privind protecia i securitatea sistemelor informaionale


Care este, n opinia dvs., cel mai important mecanism de securitate pentru o organizaie cunoscut de dvs.?

Justificai, cu exemple.

Rezumat

Alturi de capital i oameni, informaia este una dintre averile deosebite ale firmei. Pentru a periclita

aceast resurs important, orice persoan care dialogheaz cu calculatorul unei organizaii poate s fac

(cel puin) urmtoarele lucruri: s copieze fiierele importante ale altor firme, s influeneze evidenele

altora pentru a le cauza pierderi, s reprogrameze calculatoarele incluse n configuraia sistemelor de

producie pentru a provoca avarierea utilajelor sau pentru producerea accidentelor umane, s tearg

programe sau fiiere. Din acest motiv, considerm absolut necesar tratarea cu prioritate de ctre manageri

a problemelor de securitate informaional.

n funcie de tehnologiile folosite i de evoluia n timp a preocuprilor ce o privesc, securitatea

informaional poate fi abordat prin prisma unui numr mai mare sau mai mic de generaii. Capitolul 1

prezint i cteva repere din istoria modern a preocuprilor internaionale pe linia proteciei i securitii

informaionale, cu dorina de a contientiza cititorii de necesitatea unei discipline de profil n cadrul

Facultii de Economie i Administrarea Afacerilor.

n orice mediu de lucru, datele trebuie s respecte principiile C.I.A Confidenialitate, Integritate,

Accesibilitate. Urmrind acesast triad, particularitile proteciei unui sistem informaional se refer la

luarea unor msuri speciale de aprare a datelor, prin intermediul echipamentelor de prelucrare automat a

datelor, softului de sistem sau de aplicaii, precum i al comunicaiilor, dac se lucreaz ntr-un astfel de

mod. Msurile de aprare sunt necesare pentru a contra-pondera pericolele care vizeaz informaiile dintr-o

organizaie: incidentele, factorii naturali, bazai pe hazard, atacurile.

Literatura de specialitate consemneaz apte mecanisme de asigurare a eficienei securitii sistemelor

informaionale: securitatea fizic, securitatea personalului, criptarea informaiilor importante, studierea

tehnicilor specializate ale intruilor, suprimarea radiaiilor compromitoare, securitatea liniilor de

comunicaii, securitatea sistemelor de prelucrare automat a datelor, care vor fi tratate pe parcursul

capitolelor urmtoare.

Bibliografie disponibil n biblioteca FEAA

1. Bigdoli, H. - Handbook of Information Security, vol.1- 3, John Wiley - Sons, 2006 2. De Leeuw, K., Bergstra, J. - The History of Information Security. A Comprehensive Handbook,

Elsevier, Amsterdam, 2007

3. Davis, C., Cowen, D., Philipp, A. - Hacking Exposed. Computer Forensics Secrets & Solutions, McGraw Hill/Osborne, New York, 2005

4. McClure, S., Scambray, J., Kurtz, G. - Hacking Exposed Fifth Edition: Network Security Secrets & Solutions, McGraw Hill/Osborne, New York, 2005

5. Mitnick, K., Simon, W. - Arta de a stoarce informaii, Ed. Teora, Bucureti, 2005 6. Taylor, P. - Hackers, Routledge, London, 1999

Unitatea de studiu II

Protecia informaiilor prin clasificarea lor

Printre obiectivele unitii de studiu se numr:

(re)cunoaterea necesitii de clasificare a informaiilor i a principalelor criterii folosite pentru aceasta;

familiarizarea cu tipurile de informaii ce sunt supuse clasificrii; identificarea principalelor roluri i responsabiliti n procesul de clasificare a

datelor;

cunoaterea modalitilor de marcare i distrugere a materialelor cu regim special dintr-o organizaie.

Unitatea de studiu trateaz:

formele embrionare de protejare a informaiilor; nceputurile clasificrii moderne a informaiilor; clasificarea informaiilor; declasificarea i degradarea informaiilor clasificate; principiile protejrii informaiilor speciale; protejarea suporturilor informaionale; clasificarea informaiilor organizaiilor.

Timpul de lucru necesar:

pentru parcurgerea unitii: 4 h; pentru rezolvarea temelor individuale: 4 h.

2.1 Forme embrionare de protejare a informaiilor

Dac n urm cu peste 10.000 de ani s-au realizat primele forme de inere a evidenei

produselor necesare hranei unei comuniti umane, fcndu-se trimitere la perioada neolitic a

Orientului Mijlociu cam n anii 8500 .C. , tot atunci s-au nregistrat i primele preocupri

pe linia securizrii informaiilor pstrate. Produsele obinute erau evideniate prin mici forme

realizate din lut, difereniate dup proprietar, dar, cum recolta se inea n comun, n hambarele

comunitii, i obiectele se pstrau n vase speciale, cu particulariti date de gestionarul

produselor, vase pe care el le sigila dup rularea argilei umede, constituindu-se forme

asemntoare unor mingi de mrimi diferite. Cnd proprietarul voia s-i ia napoi ceea ce-i

aparinea, magazionerul sprgea vasul cu nsemnele de lut ale acestuia, operaiune efectuat

n prezena martorilor. Acesta este considerat primul protocol de securitate.

Dup vreo patru mii de ani, pe teritoriul actualului Peru, s-au realizat forme mai lejere de

eviden, prin intermediul nodurilor de pe funii sau sfori. La fel de bine, am putea spune c, n

urm cu ase mii de ani, oamenii au nceput s fie trai pe sfoar, chiar dac ea se numea la

peruvieni quippos. Firesc, trgea pe sfoar cel ce avea grija ei. N-ar trebui s ne punem

problema c ele nu se pstrau n condiii de securitate deplin.

Cu vreo 3000 de ani .C. s-a inventat scrierea. Dar i aceasta era securizat. Se spune c

preoii egipteni interziceau folosirea scrierii alfabetice pe pmntul reavn, ca, nu cumva,

muritorii de rnd s aib acces la inveniile vremii. V amintii de celebrul tablou coala de

la Atena, n care Pitagora demonstreaz pe nisip teorema sa. Tragem concluzia c prezenta o

informaie public.

Dup alt o mie de ani au aprut formele echivalente ale actualelor obligaiuni, avize de

expediie .a. n acelai timp, adic n urm cu circa patru mii de ani, au nceput s se

PROTECIA I SECURITATEA INFORMAIILOR 26

foloseasc lingourile de metal ca obiecte universale de schimb. Cu 750 de ani .C. s-au

inventat monedele, i procesul evolutiv a continuat, pn s-a ajuns la sistemul de contabilitate

n partid dubl. Procesul fost surprins n prima carte de acest tip, de Luca Paciolo, n 1494, cnd, din motive de securitate a operaiunilor, au fost promovate principiile dublei

reprezentri i dublei nregistrri, dei acestea apruser n anii 1300. Dup renascentism s-au

nfptuit multiple sisteme de securitate; o bun parte din ele se regsesc n mai multe seciuni

ale crii de fa.

Cunoatei i alte momente istorice relevante n clasificarea informaiilor? Prezentai-le succint, preciznd sursa bibliografic.

2.2 nceputurile clasificrii moderne a informaiilor

Dup scurta istorie a preocuprilor viznd securitatea, s ne apropiem de vremurile

noastre i de punctul de vedere al securitii sistemelor fa de tipurile de informaii protejate.

Dac dup cel de-al doilea rzboi mondial au rmas attea amintiri neplcute, se cuvine,

totui, s recunoatem i cteva moteniri teribile. Ne gndim la cercetarea operaional, a lui

Claude Shannon, transferat din domeniul militar n cel economic, la aportul lui Alan Turing

n domeniul tehnicilor de criptare-decriptare a datelor, dar i la ceea ce ne intereseaz pe noi

mai mult, marcarea documentelor cu regim special. NATO are meritul principal n

dezvoltarea acestui sistem, al clasificrii. Clasificare nseamn etichetri cresctoare ale

documentelor sau informaiilor, de la cel mai de jos nivel, unde se situeaz informaiile

deschise (open) sau neclasificate (unclassified), la cele confideniale, urcnd spre informaii

secrete i strict secrete (top secret).

Iniial, s-a pornit de la ideea c informaiile care prin compromitere pot costa viei umane

sunt marcate secrete, n timp ce informaiile a cror compromitere cost pierderea multor

viei umane sunt definite top secret (strict secrete). Angajaii n domeniul securitii

sistemelor sunt investii cu responsabiliti diverse, dar i cu dreptul de a lucra cu anumite

categorii de informaii. Se poate vorbi de o strns legtur ntre responsabiliti i categoriile

de informaii cu care se d dreptul de a lucra. n SUA, dreptul de verificare a fiierelor cu

amprente ale FBI este acordat doar pentru verificarea unor informaii secrete, n timp ce o

verificare de tip top secret d dreptul de accesare a tuturor datelor despre locurile de munc

din ultimii 5 pn la 15 ani.

Pe linia accesului la unele categorii de informaii, pentru exercitarea controlului lucrurile

sunt mai clare: un oficial poate citi documentele dintr-o anumit categorie numai dac el are

cel puin mputernicirea de accesare a informaiilor din categoria respectiv sau dintr-una

PROTECIA INFORMAIILOR PRIN CLASIFICAREA LOR 27

superioar. De exemplu, un mputernicit s acceseze informaii strict secrete poate citi

informaii confideniale, secrete i strict secrete, iar unul cu drept de accesare a informaiilor

secrete nu le poate accesa pe cele strict secrete. Regula este c informaiile pot circula doar

n sus, de la confidenial la secret i strict secret, n timp ce invers, de sus n jos, pot circula

doar dac o persoan autorizat ia n mod deliberat decizia de a le declasifica.

De asemenea, s-au stabilit reguli de pstrare a documentelor, dup cum urmeaz:

documentele confideniale sunt pstrate n dulapuri cu cheie, n orice birou guvernamental, n

timp ce documentele din categoriile superioare necesit seifuri de un anumit tip, ui pzite i

control asupra copiatoarelor i al celorlalte echipamente electronice.

Sunt foarte puine uniti care au proceduri stricte pe linia asigurrii securitii

informaiilor. Pe de alt parte, la nivel naional exist proceduri foarte riguroase privind

secretul de stat. De regul, exist o ierarhie a ceea ce este cunoscut sub numele de clasificare,

prin care orice document i alte elemente importante sunt ncadrate ntr-o anumit categorie.

Se practic dou strategii de baz pe linia securitii naionale: 1. Tot ceea ce nu este interzis este permis.

2. Tot ceea ce nu este permis este interzis.

n Statele Unite ale Americii, prima strategie este cea care guverneaz accesul la

informaiile guvernamentale. n multe ri de pe glob, accesul la informaiile naionale este

controlat prin legi privind secretul de stat, folosindu-se cea de-a doua strategie. Un angajat

loial i devotat firmei nu discut afacerile acesteia pn cnd nu are convingerea c problema

respectiv poate s fie fcut public.

Se apeleaz la dou tactici de implementare a strategiei fundamentale privind protejarea

informaiilor deosebite:

controlul discreionar al accesului; controlul legal al accesului. Prima tactic de control al accesului implementeaz principiul celui mai mic privilegiu:

nici o persoan, n virtutea rangului sau a poziiei ce o deine, nu are drepturi nelimitate de a

vedea informaiile deosebite, iar persoanele care au o astfel de facilitate trebuie s le vad

numai pe cele care intr n sfera lor de activitate. Controlul discreionar al accesului este

aplicat printr-o matrice de control, conform modelului redat n fig 2.1. Pentru fiecare

persoan (subiect) aflat pe list i pentru fiecare informaie (obiect), matricea arat ceea ce

poate face fiecare subiect cu obiectele din list: citire, scriere, execuie, aprobare .a.

Fig. 2.1 Matrice de control al accesului

Controlul legal al accesului i exercit fora pe baza legilor existente (legea securitii

naionale, legea energiei atomice .a.). n SUA, prin lege, sunt stabilite dou tipuri de structuri

de control: ierarhizate i neierarhizate.


Structura ierarhizat ncadreaz informaiile senzitive n patru categorii: strict secrete, secrete, confideniale i neclasificate.

Primele trei categorii sunt referite printr-o denumire generic: informaii clasificate. n alte ri NATO, inclusiv Canada, a patra categorie este cunoscut sub numele de

informaii restrictive. n structura neierarhizat sunt dou categorii: compartimentate i cu obiecii sau ascunse

vederii unor categorii de persoane. Compartimentrile pot avea nume scurte, suficient de

sugestive, care s scoat n relief aspecte cum sunt: SECOM (securitatea comunicaiei),

CRIPTA (criptare), COMSEC (comunicaii secrete), HUMINT (Human INTeligence), SIGINT

(SIGnal INTeligence), IMINT (IMage INTeligence) .a. Categoria cu obiecii privete

ndeosebi naionalitatea potenialilor cititori i autori ai obiectelor. n SUA, contestaiile

(obieciile) sunt: NOFOR (no foreign = neaccesibile strinilor), US/UK EYES ONLY (de

vzut numai de ctre englezi sau americani) .a.

Informaiile strict secrete, care sunt ntr-o anumit compartimentare, se numesc

informaii senzitive compartimentate i presupun o atenie deosebit la ntrebuinare. Doar o categorie este superioar acesteia din urm. Este vorba despre informaiile din planul operativ integrat unic sau rspunsul naional n caz de rzboi.

Clasificarea i legislaia din Romnia sunt prezentate n unitatea de studiu 11.

Informai-v despre cazul Wikileaks.

Argumentai pro sau contra oportunitii existenei acestui proiect.

2.3 Clasificarea informaiilor

Atunci cnd informaiile au fost mprite n dou mari categorii, clasificate i

neclasificate, s-a inut cont de anumite principii. Pentru a le cunoate, ns, este nevoie de o

abordare preliminar a unor concepte1.

Guvernele pornesc de la o clasificare mai larg, mprind informaiile n dou mari

tipuri: informaii subiective i informaii obiective. Anterior a operat o alt clasificare: informaii operaionale i informaii tiinifice. Unii chiar au menionat un al treilea tip

de informaii clasificate de guverne informaii tehnice, ns n multe materiale, informaiile tehnice i cele tiinifice sunt submulimi ale informaiilor obiective.

1 U.S. Department of Energy Identification of Classified Information, Office of Classification, December 1991, Chapter

IV, Part B, 3.


2.3.1 Informaii subiective

Informaiile subiective au mai fost caracterizate i ca secrete adevrate, iar ali autori le-au numit informaii operaionale sau secrete operaionale. Cel mai potrivit nume este, ns, informaii subiective sau secrete subiective. Aceste informaii sunt unice pentru guvern,

n sensul c el decide asupra modului n care se vor derula principalele activiti ce-i revin.

Ct timp guvernul controleaz i protejeaz informaiile pe baza crora ia decizii, acele

informaii nu pot fi dezvluite independent de ctre adversar. De exemplu, n domeniul

militar, o informaie subiectiv este cea referitoare la planul de invadare a altei ri (momentul

i locul invaziei). Adversarul nu are cum s produc o astfel de informaie, dar o poate obine

numai prin spionaj sau dezvluire neautorizat.

Aceste informaii au urmtoarele caracteristici:

dimensiune redus secretul poate fi exprimat prin doar cteva cuvinte; din aceast cauz poate s fie furat cu uurin i dat altora;

perceptibilitate universal nu este nevoie de pregtire special pentru a nelege secretul; oricine poate s-l fure;

supuse arbitrarului pentru a intra n posesia lor un adversar le poate fura; secretul nu poate fi descoperit independent;

coninutul poate fi schimbat secretul poate fi modificat i n ultima clip; dac o ar a aflat c adversarul cunoate momentul i locul invaziei, acestea pot fi schimbate;

sunt perisabile dup scurt timp secretele au o via scurt; dup declanarea invaziei, adversarul a aflat secretul, el devenind public; n concluzie, secretul poate fi

inut doar pentru o perioad scurt de timp.

Dai exemple de informaii subiective ntlnite n cadrul organizaiilor economice. Justificai importana lor

pentru respectivele organizaii.

2.3.2 Informaii obiective

Informaiile obiective sunt acelea care chiar dac sunt descoperite, dezvoltate sau controlate de ctre guvern, pot fi deja cunoscute sau pot fi descoperite independent de o alt

ar. n aceast categorie intr informaiile tiinifice sau secretele tiinifice. Asupra acestui

fel de informaii nu se poate avea un control absolut. Ele in de natura lucrurilor, nu de un

secret. Oamenii de tiin din alte ri, independeni unii de alii, pot face descoperiri identice.

Informaiile de acest tip sunt referite i ca informaii obiective sau secrete obiective. Informaiile obiective sunt marcate de urmtoarele caracteristici:


sunt confuze de regul, nu se bazeaz pe o formul magic; pentru descrierea informaiilor tiinifice sunt necesare rapoarte lungi; din aceast cauz ele nu se pot

transmite cu uurin;

pot fi nelese numai de ctre oamenii de tiin; nu sunt supuse arbitrarului i alii pot s afle rspunsul la o anumit ntrebare

tiinific, dac formuleaz ntrebarea cuvenit;

nu sunt supuse schimbrii au caracter etern; un fenomen natural are o singur valoare;

pot avea o via lung ca secret alii pot descoperi informaiile n mod independent, dar o astfel de descoperire necesit mult timp, ceea ce va conduce la pstrarea

secretului pentru o lung perioad.

Dai exemple de informaii obiective ntlnite n cadrul organizaiilor economice. Justificai importana lor

pentru respectivele organizaii.

2.3.3 Secrete subiective, secrete obiective i secrete comerciale

Cu toate c exist dou tipuri principale de informaii clasificate (secrete subiective i

obiective), legea secretului comercial recunoate numai un tip al secretelor comerciale

secretele obiective. Secretele comerciale includ informaiile despre procesele de fabricaie,

reetele unor produse (cum este cazul formulei de fabricaie pentru Coca-Cola), precum i

alte informaii obiective care pot fi descoperite independent de ctre alte afaceri. Multe

secrete comerciale sunt asemntoare informaiilor tiinifice i tehnice.

Secretele subiective nu sunt protejate prin legile secretului comercial. Dac un guvern

poate clasifica i proteja datele privind invazia unei alte ri (informaii subiective), o firm

nu poate primi protecia secretului comercial pentru data la care i planific s introduc n

fabricaie un nou produs.

Dai exemple de secrete comerciale cunoscute de dvs.


2.3.4 Determinarea necesitii clasificrii informaiilor

n vederea clasificrii informaiilor se parcurg trei etape distincte:

1. stabilirea nevoii de clasificare; 2. determinarea nivelurilor clasificrii; 3. determinarea duratei clasificrii.

Stabilirea nevoii de clasificare

Etapa se realizeaz n cinci pai principali:

a. definirea cu exactitate a informaiilor de clasificat (opional, dar recomandat); b. stabilirea dac informaiile se ncadreaz ntr-unul din domeniile supuse clasificrii; c. verificarea dac informaiile se afl sub control guvernamental; d. concluzionarea dac dezvluirea informaiilor poate s conduc la cauzarea daunelor

pentru securitatea naional;

e. specificarea precis a nevoii de clasificare a informaiilor (opional, dar recomandat).

Determinarea nivelurilor clasificrii

Atunci cnd o informaie trebuie s fie clasificat ei i se va atribui un nivel de clasificare,

ceea ce va evidenia importana relativ a informaiei clasificate n sistemul naional de

securitate, specificndu-se cerinele minime pe care trebuie s le ndeplineasc acea

informaie.

Un sistem de clasificare eficient trebuie s se bazeze pe niveluri de clasificare definite cu

mare claritate.

n sistemul american de clasificare a informaiilor exist trei niveluri de clasificare: top

secret (strict secret), secret i confidenial. Informaiile neclasificate constituie o alt

categorie. n Legea 182/2002 privind protecia informaiilor clasificate, din Romnia,

informaiile clasificate din clasa secretelor de stat sunt ncadrate n trei niveluri, astfel: strict

secrete de importan deosebit, strict secrete i secrete.

Informaiile strict secrete (SUA), crora le corespund informaiile strict secrete de

importan deosebit (Romnia), sunt informaiile a cror divulgare neautorizat este de

natur s produc daune de o gravitate excepional securitii naionale.

Informaiile secrete (SUA), ceea ce echivaleaz cu informaiile strict secrete (Romnia), sunt informaiile a cror divulgare neautorizat este de natur s produc daune grave

securitii naionale.

Informaiile confideniale (SUA), corespunztoare informaiilor secrete (Romnia), sunt

informaiile a cror divulgare neautorizat este de natur s produc daune securitii

naionale.

Apreciem c o nesincronizare a nivelurilor de clasificare din sistemul romnesc cu cel

american este o prob de neinspiraie, cu att mai mult cu ct intrarea n NATO genereaz,

probabil, multe disfuncionaliti circulaiei informaiilor clasificate. Considerm c, n timp,

nivelurile securizrii din Romnia vor fi schimbate tocmai pentru eliminarea neajunsurilor

menionate anterior.

Determinarea duratei clasificrii

Guvernele clasific informaiile i aplic proceduri de securitate special documentelor i

materialelor ce le conin sau sunt purttoare ale acelor informaii pentru a prentmpina

obinerea lor de ctre adversari, cu intenia de a le folosi mpotriva deintorului autorizat.

Din pcate, informaiile clasificate nu stopeaz, n mod automat, accesul adversarilor la ele.


Se spune2 c pentru pstrarea n mare tain a informaiilor trebuie fie s nu spui nimnui

acele informaii, fie s foloseti metoda cpitanului Kidd. Totui, cum informaiile trebuie s

fie utilizate de mai muli guvernani, ele nu pot fi inute n tain de o singur persoan. Pe de

alt parte, metoda cpitanului Kidd, de pstrare a secretului, este de neacceptat. n consecin,

guvernele folosesc metoda clasificrii informaiilor pentru a asigura pstrarea secretului. Metoda cpitanului Kidd, din pcate, a operat mult timp n istoria omenirii. El era un cpitan

pirat despre care se spune c i ngropa comorile cu scopul de a le recupera ulterior. Toi cei

care participau la astfel de operaiuni erau ucii, nct nimeni altul dect Kidd nu mai tia

locul ascuns al comorilor. Discipolii lui Kidd au lansat chiar sloganul sadic Trei persoane

pot pstra un secret dac dou dintre ele sunt omorte.

n general, informaiile, orict ar fi de preioase, nu pot fi pstrate o perioad nelimitat

de timp fr s fie aflate de adversari. Uneori ei le obin prin spionaj. Alteori, ele sunt aflate

datorit proastei gestionri de ctre posesorul autorizat. Sunt i cazuri n care, ndeosebi

pentru informaiile tiinifice i tehnice, adversarii le obin cu eforturi proprii, prin invenii i

inovaii.

Chiar dac informaiile pot fi pstrate ani muli fr a fi aflate de adversari, nu este, de

regul, recomandat s se pstreze perioade ndelungate. Clasificatorii informaiilor sunt cei ce

vor hotr dac este cazul s se specifice timpul de pstrare a informaiei clasificate sau s se

indice momentul n care va interveni declasificarea automat. Durata informaiilor clasificate

trebuie s fie att de scurt ct s nu genereze costuri fr rost cu pstrarea lor. Nici duratele

prea scurte nu sunt recomandate, deoarece adversarii ar intra prea devreme n posesia lor i ar

putea aciona pentru ubrezirea ntregului sistem de securitate naional. n concluzie, doar

clasificatorul trebuie s aib grija stabilirii duratei de clasificare.

Cnd se ncearc a se discuta despre durata de pstrare a informaiilor clasificate, prerile

sunt destul de diferite. n SUA, n 1970, ntr-un raport al unui organism specializat, s-a fcut

urmtoarea declaraie: Este puin probabil ca informaiile clasificate s poat fi protejate o

perioad mai mare de cinci ani i este mult mai rezonabil s presupunem c ele devin

cunoscute de ctre alii n perioade de cel mult un an, prin descoperire independent,

dezvluire clandestin sau alte mijloace. Ali specialiti au declarat c experiena istoriei

demonstreaz c nici un secret militar nu poate fi pstrat prea mult; n unele cazuri exist

aproape ntotdeauna o limit definit de timp, n funcie de importan. Un director al

Departamentului Aprrii din SUA declara c durata pstrrii informaiilor clasificate poate fi

influenat de o serie de

Date post:	29-Sep-2015
Category:	Documents
Upload:	turnea-dragos
View:	27 times
Download:	6 times

PSSI bb15

Documents