STRATEGII POLITICI PROCEDURI DE SECURITATE DOCUMENTAREA SMS Strategii

STRATEGII, POLITICI PROCEDURI DE SECURITATE DOCUMENTAREA SMS

Strategii de securitate n n n n Descurajarea atacului. Managementul centralizat; Mangementul descentralizat; Strategia de aparate statica – tip cetate, zonarea; Apararea in adancime; Sisteme adaptive de aparare – sisteme imune – oferta de tinte false; Tratarea incidentelor – constituirea de baze de date; Cooperarea.

Descurajarea atacului n n “Frica pazeste pepenii nu paznicul” Sistemul de securitate este construit “declarativ” ca fiind supra dimensionat pentru a descuraja orice tentativa. Sistemul de protectie pune accent pe interventie, documentarea infractiunii si pe cale de consecinta pe pedepsirea tentativei fara posibilitate de evitare. Strategia se bazeaza pe pastrarea “secretului” ca forta “declarata” este mai mare decat cea reala (acrediteaza ideea ca este periculos). Presupune protectia prin lege (oferita de lege): delimiteaza ce este interzis si prevede pedeapsa pt. incalcare).

MANAGEMENTUL CENTRALIZAT AL SECURITATII SISTEMELOR n n Conducerea păstreaza toate prerogativele şi conduce prin dispozitii – păstrează toată răspunderea la nivelul conducerii; Avantajele conducerii centralizate • Uniformitatea contramasurilor • Control eficient, implementare simplă, costuri reduse n Dezavantajele conducerii centralizate • Dificil de adaptat la condiţii de mediu eterogene, variabile în timp • Exonerare de răspundere pe treptele de decizie inferioare n Aplicabilitatea modelului • Structuri uniforme – sisteme militare

MANAGEMENTUL DESCENTALIZAT AL SECURITATII n n Păstrarea la nivelul conducerii a atributelor esenţiale de decizie (investiţii, reglementare, promovare personal, autorizare, investigatii etc. ) Delegarea de autoritate către structuri specializate pe nivele inferioare de decizie (teritorial şi ierarhic) • • n încărcare cu răspundere privind soluţiile şi efectele lor concepţie, realizare, utilizare, control, evaluare, certificare Avantaje • se adaptează la o plajă mare de situaţii diferite de mediu • se optimizează contramăsurile la condiţiile specifice locale n Dezavantaje • Este mai dificil de asigurat uniformitatea nivelului de protecţie • Este necesar un mecanism complex de management n Aplicabilitatea modelului • Organizaţii mari, eterogene care evoluează în medii care se schimbă rapid

Strategia de aparate statica tip cetate, (arhitectura de sec) n n Valorile relativ importante se concentreaza in arii de protectie speciala; Se definesc ariile de protectie (ex. ): • Aria de protectie administrativa (perimetrul); • Aria de protectie clasa I – vizitatori insotiti; • Aria de protectia clasa II – vizitatori neinsotiti; n n n Ariile delimitate de bariere solide (ziduri) care intarzie depasirea (timpul de penetrare t. p. z. ); Se identifica punctele de acces si se introduce sistem de control (t. p. p. a. ); Se pun senzori (sentinele) pentru detectie si alarmare la tentative de penetrare; Se stabileste un mijloc de interventie (t. i. <t. p. ) In retele - se delimiteaza arii de protectie prin porti, swich-uri, routere etc. (politici si controale diferite) - se compartimenteaza – divide et impera;

Strategia de apararea in adancime n n Strategia apararii in adancime presupune plasarea valorilor cat mai in interiorul ariei de protectie si protectia cu mai multe bariere concentrice. Pe cat se poate natura barierelor, a senzorilor de detectie si natura interventiei sa fie diferita pentru fiecare bariera pt. a pune probleme diferite atacatorului – necesita timp de informare si depasire a barierei – folosit de aparare.

Strategii adaptive n n n n Valorile se impart in valor relativ mici si se distribuie in toata organizatia de regula se diminueaza apararea unei singure valori. Are la baza ideea limitarii castigului atacatorului si culegerea de Se controleaza accesul in toata organizatia si se detecteaza accesul la valori. Se documenteaza (IDS, IPS) actiunile asupra valorilor. Se actioneaza pentru limitarea prejudiciilor si recuperare. Se mentin pierderile la un nivel suportabil; Este importanta analiza incidentelor si adaptarea rapida a mecanismelor de securitate; Sistemul este eficace la evolutii tehnologice si de mediu rapide.

Tratarea incidentelor – constituirea de baze de date n n n O strategie eficace consta in consttuirea unor baze de date credibile, la zi, cu toate incidentele de securitate din domeniu, modul in care s-a actionat, si efectele interventiei; Bazele de date constituie baza informationala pentru analizele de riscuri specifice domeniului si perfectionarea (adaptarea) sistemului de protectie. Cooperarea in domeniul schimbului de informatii privind incidentele de securitate poate duce la identificare agentilor de amenintare si a capacitatii acestora.

Politica de securitate

Politica de securitate -definitiin Politica de securitate reprezinta un set de decizii care impart starile posibile ale unui sistem in stari autorizate (sigure) si neautorizate (nesigure). • In practica este extrem de dificil de aplicat – prin politica se intelege un set de reguli de “buna conduita” care sa conduca si sa pastreze sistemul in conditii acceptabile de functionare. n n Mecanisme de securitate – modul in care se implementeaza politica – procedurile de securitate (de evitat confuzia cu politica) Sistem sigur – un sistem care se initializeaza intr-o stare autorizata si nu evolueaza intr-o stare neautorizata. • In practica nu exista sisteme sigure – se vorbeste de un grad de siguranta asumat de factorii de decizie prin politica de securitate. n Incidentul de securitate – evolutia sistemului intr-o stare neautorizata. • In practica – incidentul de securitate reprezinta incalcarea politicii de securitate.

Politica de securitate exemple n Politici de securitate practice – definesc regulile de functionare pentru a proteja valorile si misiunile unei organizatii; • Integreaza toate masurile luate pentru a proteja valorile si misiunile unei organizatii in conditiile in care in mediul de lucru apar factori perturbatori. • Politici de securitate la nivel: state, ministere, corporatii, companii;

Obiectivele politicii de securitate n n n Defineste si fixeaza regulile “jocului”; Stabileste legatura dintre cadrul general de securitate si conditiile locale de securitate – aplica regulile generale la conditiile locale, rezolva conflictele; Arata modul de integrare al mecanismelor de securitate in functionarea generala a organizatiei; Fixează cadrul general de securitate necesar instituţiei; Stabileşte principiile după care se ghidează securitatea; Trimite un mesaj al conducerii şi al structurii de securitate către: public, personalul angajat, clienţi si beneficiari;

Principiile de bază § Scurtă şi clară; § Deschisa catre schimbare; § Stabileşte obiective sub forma de recomandări; § Formulări largi pentru a permite particularizare si adaptare la nivele inferioare prin proceduri; § Realizată în perspectiva percepţiei publicului; § Trebuie sa fie o reflectare a culturii de securitate şi să ţină cont de ea.

Conţinutul politicii de securitate 1. 2. 3. Defineste termenii de specialitate utilizati; Descrierea mediului; Cadrul de reglementare; 1. 2. 3. 4. 5. 6. Recomandări ale forurilor internaţionale şi tratate bilaterale; Legi; Norme departamentale; Prevederi contractuale; Norme de etică profesională aplicabile; Standarde tehnice Politica de securitate este o prelungire a acestor reglementari adaptată la nevoile specifice.

Conţinutul politicii de securitate 3. Identifică valorile de apărat (critice); 1. 2. 3. Oamenii – personalul activ; Bunuri materiale; Informaţii: 1. 2. 3. 4. 5. 6. Clasificate; Sensibile; Proprietate intelectuală; Date personale; Publice; Imaginea instituţiei; Relaţiile cu partenerii (beneficiarii şi furnizorii); Facilitati – (comunicatii, transport, finantare, etc. )

Conţinutul politicii de securitate 4. Descrie obiectivele şi misiunile importante ale instituţiei - aspecte relevante pt. securitate; 5. Angajamentul conducerii pentru securitate (angajarea resurselor firmei în securitate); 1. 2. 3. Materiale – investiţiile, proiectele noi; Umane – structura, învăţământ, antrenare; Financiare - bugetul pentru securitate 6. Delimitează ariile de apărat şi responsabilităţile; 5. 6. Ariile de protecţie fizică si logica; Domeniile de activitate (funcţiile si structurile critice);

Conţinutul politicii de securitate 7. Descrie politica de ansamblu si politicile sectoriale : 1. Politica de control al accesului (descrie perimetrul, ariile de protecţie si condiţiile de acces pt. personal propriu, vizitatori, public, personal de deservire) 1. Controlul accesului fizic pt. persoane si vehicole (mijloace fizice, mijloace tehnice); 2. Controlul accesului logic (mijloace fizice, mijloace tehnice); 1. Utilizarea parolelor; 2. Punctele de acces in ariile logice; 2. Politica de securitate a informaţiilor definirea informaţiilor protejate şi circulaţia lor – protecţia disponibilităţii, confidenţialităţii, integrităţii, autenticităţii şi nerepudierii;

Conţinutul politicii de securitate Politici sectoriale (exemple): 3. Politica de securitate COMSEC şi COMPUSEC 4. Politica de utilizare a înregistrărilor ( insemnari in jurnale, pistele de audit, rapoarte etc. ) 5. Politica de utilizare a INTERNETULUI; 6. Politica de folosire a e-mailurilor; 7. Politica de protecţie a documentelor; 8. Politica de utilizare a semnăturilor electronice; 9. Politica de utilizare a criptografiei;

Conţinutul politicii de securitate 8. Tratarea riscurilor remanente – indica orientarea conducerii pentru tratarea riscurilor importante prin: 1. 2. 3. 4. 5. 6. Asumare; Limitare a efectelor – oprirea propagarii; Diminuare – adoptare contramăsuri; Eliminarea surselor de ameninţare – renuntare la valoarea vulnerabila; Recuperare – (justitie, asigurare) Transfer al riscurilor – externalizare.

Conţinutul politicii de securitate 9. Modul de răspuns la incidente 1. 2. 3. 4. 5. 6. Înregistrarea incidentelor; Repunerea in funcţiune; Limitarea pagubelor; Recuperarea prejudiciilor; Măsurile de corecţie ale sistemului de securitate Planurile de continuitate (BCP – Bussines Continuity Plan - alternative la distrugerea functiilor critice )

Principii de redactare forma, aprobări 1. 2. 3. Folosirea termenilor de specialitate definiti – baza pentru proceduri si atributii – pt. masuri punitive; Scurta si clara (vorba multa saracia omului); Redactat în două variante: 1. 2. 4. 5. 6. 7. Varianta scurta pentru utilizatori si public – politici generale (valoare de imagine, educativa pt. salariati, pozitia conducerii) ; Varianta completa: pentru structura de securitate, audit, certificari si acreditari – aspectele concrete critice – baza “legala” pt. activitatile structurii de securitate; O schemă sau un tabel poate înlocui multe explicaţii; Discutarea politicii in faza de proiect; Aprobarea - forul cel mai inalt al organizatiei; Diseminarea: 1. 2. 3. Disponibil la sefii de departamente; Disponibil pe site-ul organizatiei; Studiu programele de invatamant;

Managementul securitatii: implementare, menţinere şi perfecţionare • • • Procedurile de securitate; Înregistrările activităţilor de securitate; Fişa postului; Prelucrarea incidentelor de securitate; Controale periodice de securitate; n n Teste de securitate; Auditul intern si extern; • Certificarea;

Functiile politicii de securitate in etapele ciclului de viata Dezvoltare Creare Implementare Mentenanta Dispunere Constientizare Comunicare Monitorizare Consultare revedere Realizare Revizuire Tratare incidente Aprobare Exceptii Mentenanta

Principiile repartizarii sarcinilor n Separarea raspunderii; • Evitarea conflictelor de interese (locului de munca vs. sarcini de securitate, interesele organizatiei – interese externe, alt job); • Aplicarea principiului “two men rule” la operatiile critice; n Eficienta activitatii; • Sarcinile de securitate trebuie sa se suprapuna peste activitatea curenta - cerintele postului sa fie armonizate cu sarcinile de securitate (efort suplimentar minim); n In limitele de autoritate ale persoanei (in organizatie); • Asigura vizibilitate masurilor de securitate; • Este exemplu; n In limitele de control ale persoanei; • Masurile de monitorizare si de impunere trebuie sa se suprapuna cu atributiile de control din organizatie; n n Functie de cunostiintele disponibile (teoretice, experienta, relatii); Evaluarea aplicarii masurilor – asupra activitatii – de regula restrictineaza activitatea de baza);

Proceduri operationale de securitate n n n Procedurile operationale de securitate sunt transpuneri precise de instructiuni pentru indeplinirea tuturor activitatilor care presupun si sarcini sau activitati de securitate. Procedurile sunt instrumentele de transpunere in practica a politicilor de securitate; Procedurile trebuie sa indice clar reglemetarile pe care se bazeaza, cine are raspunderea indeplinirii lor, cine controleaza activitatea si inregistrarile de traseabilitate pe care le presupun. Procedurile se actualizeaza oride cate ori se constata o disfunctionalitate. Se pastreaza formele vechi pentru a se analiza progresul. Forma de prezentare – (ISO 9000 – managementul calitatii)

Documentarea sistemului de management al securitatii n Necesitarea documentarii sistemului – referinta pentru analize, audit, teste, evaluari; Documentele sistemului de management: • • • Analiza de riscuri; Cerintele de securitate (cerinte generale, cerinte specifice); Politica de securitate; Procedurile operationale de securitate; Planurile obiectivului si ale sistemului tehnic de securitate; Fisele de post (structura de securitate, prevederi de securitate in celelalte fise de post); Inregistrari de securitate (rapoarte incidente, rez. controale, inregistrari predare – primire post, echipamente etc. ); Rapoarte de audit intern si extern; Rapoarte certificari; Decizii acreditare – autorizare functionare;