Politici de securitate IT - Securitatea Informatica

Politici de securitate IT

Securitatea electronică este definită astfel: “acele politici, recomandări şi actiuni necesare minimizării riscului aferent efectuării tranzactiilor electronice, risc ce se referă la breşe în sistem, intruziuni sau furt”. Măsurile de securitate nu garantează eliminarea completă a oricărui risc, dar poate săl reducă la un nivel acceptabil.

Securitatea IT se concentrează pe cearea unei platforme de calcul unde personae sau programe să nu poată desfăşura actiuni pentru care nu au drepturi alocate.

Cerintele de securitate pe care trebuie să le îndeplinească un sistem informatic sunt:

1) Identificarea – reprezintă procesele şi procedurile necesare pentru stabilirea unei identităti unice pentru un utilizator sau o entitate în cadrul unui sistem informatic. Identificarea permite contabilizarea tuturor operatiunilor individuale şi previne accesul neautorizat.

2) Autentificarea – este procedura pentru verificarea identitătii entitătii care solicită acces la un sistem, procesul prin care sistemul validează informatiile de conectare oferite de entitatea utilizatoare.

3) Controlul accesului – determină ce anume poate face o anumită entitate autentificată în sistem, având în vedere: controlul accesului la sistem, controlul accesului la retea, clasificarea informatiei, privilegiile.

4) Responsabilitatea – este strâns legată de măsurile de securitate impuse utilizatorilor sistemului, care vor fi răspunzători pentru actiunile întreprinse după conectarea la sistem.

5) Auditul de securitate – se ocupă cu analiza înregistrăriloractivitătilor executate, pentru a determina dacă sistemul de protectie este în concordantă cu politicile şi procedurile de securitate stabilite. Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate.

6) Integritatea sistemului – pentru a se mentine integritatea sistemului se iau următoarele măsuri:

  • separarea proceselor şi datelor utilizatorilor
  • separarea proceselor şi datelor sistemului
  • protejarea softwareului, datelor şi hardwareului de modificări, fie că acestea sunt voite sau accidentale
  • controlul actiunilor şi operatiilor de întretinere

7) Integritatea informatiilor – presupune mecanisme de protectie a datelor împotriva distrugerii sau accesului neautorizat şi mecanisme de înregistrare a modificărilor survenite.

8) Fiabilitatea serviciilor – se referă la cât de uşor şi sigur un utilizator autentificat poate accesa şi utilize resursele unui sistem.

9) Documentarea privind securitatea – este vitală pentru mentinerea unui anumit sistem de securitate operational şi eficient.

Politicile de securitate formale vor dicta cerintele de bază şi obiectivele pe care trebuie să le îndeplinească o tehnologie. Politica de securitate este o componentă a politicilor de dezvoltare a companiei prin care:

se garantează continuitatea functională a proceselor de afacere se asigură protectia informatiilor confidentiale

Pentru a realiza un sistem de protectie eficient este necesar să se parcurgă următoarele cinci etape:

  1. evaluarea riscurilor
  2. definirea politicii de securitate
  3. implementarea
  4. administrarea
  5. auditul

Politica de securitate la nivelul unei organizatii joacă un rol esential fiind responsabilă chiar de managementul afacerilor. Pentru stabilirea politicii de securitate vor fi parcurse etapele:

  • se analizează riscurile majore ale organizatiei (pentru definirea procedurilor prin intermediul cărora vor fi prevenite riscurile ca urmare a aparitiei unor evenimente nedorite)
  • se defineşte politica de securitate (pentru tratarea componentelor la care nu pot fi prevenite anumite actiuni fără a impune măsuri de protectie)
  • stabilirea unui plan de urgentă care se va aplica în cazul în care măsurile de protectie sunt învinse
  • deoarece aceste probleme nu pot fi rezolvate numai prin definirea unei politici de securitate şi prin investirea de bani pentru anumite activităti, în final se cere acordul şefului departamentului de management pentru acceptarea unor riscuri

Există mai multe motive pentru care trebuie să concepem o politică de securitate pentru sisteme şi reteaua din care ele fac parte.

O politică solidă ne permite să conturăm securitatea ca un “sistem” decât doar un set de diferite caracteristici. Spre exemplu, fără o politică, un administrator poate decide să închidă accesul telnet, pentru că transmite parole necriptate, dar să lase deschis accesul ftp, ce detine aceeaşi slăbiciune. O politică bună de securitate ne permite să identificăm măsurile ce merită aplicate şi cele care nu.

Pentru a diagnostica problemele, conduce audituri sau depista intruşii, este posibil să trebuiască să interceptăm traficul prin retea, să inspectăm istoricul autentificărilor şi comenzilor utilizatorilor şi să analizăm directoarele home. Utilizatorii trebuie înştiintati de aceste actiuni, pentru că altfel ele pot deveni ilegale.

Conturile de utilizator compromise reprezintă unele din cele mai comune amenintări securitătii unui sistem. Trebuie să se explice utilizatorilor importanta securitătii şi cum să practice o securitate solidă (spre ex. să nuşi scrie parolele pe un bilet lipit pe biroul acestora).

Politica efectivă, este un document, sau mai multe documente, ce evidentiază caracteristicile retelei şi ale sistemului (cum ar fi serviciile oferite), utilizarea acceptabilă şi utilizarea interzisă, “practici solide” de securitate, şi aşa mai departe. Toti utilizatorii ar trebui înştiintati de politica de securitate, dar şi de modificările aduse acesteia în vederea actualizării.

O politică de securitate ar trebui să contină, cel putin, următoarele subiecte:

Utilizare acceptabilă:

  1. Aplicatii Screen saver
  2. Manipularea parolei
  3. Descărcarea şi instalarea aplicatiilor
  4. Informatii ce mentionează că utilizatorii sunt monitorizati
  5. Utilizarea de aplicatii antivirus

Manipularea informatiei sensibile (în orice formă scrisă, hârtie sau format digital) :

  1. Curătarea biroului şi încuierea informatiilor confidentiale
  2. Oprirea sistemului PC înainte de a părăsi spatiul
  3. Utilizarea encriptarii
  4. Manipularea cheilor colegilor de încredere
  5. Manipularea materialului confidential în călătorii
  6. Manipularea sistemului laptop în călătorii şi stationările la hoteluri

Utilizatori diferiti pot necesita nivele sau tipuri diferite de acces, deci politica poate varia pentru a acoperi toate situatiile.

Politica de securitate poate deveni foarte mare în continut, iar informatiile vitale pot fi uşor uitate. Politica pentru personalul IT poate contine informatii ce sunt confidentiale pentru utilizatorul obişnuit, fiind vitală împărtirea acesteia în mai multe politici mai mici; spre ex. Politica de Utilizare Acceptabilă, Politica pentru parole, Politica pentru Mesageria Electronică şi Politica pentru Accesul la Distantă.

Abordarea ce mai bună privind politicile de securitate aplicate în cadrul unei retele este de a aplica un set de politici de bază la nivelul întregului domeniu, politici care să se aplice tuturor maşinilor (servere şi statii de lucru) şi tuturor utilizatorilor. Aceste politici vor fi completate diferentiat cu alte politici suplimentare, aplicabile anumitor roluri functionale pe care le au serverele şi statiile din retea.

Această abordare simplifică modul de gestionare al politicilor şi ne asigură că avem un nivel de securitate de bază (baseline) pentru întreaga retea.

Două lucruri sunt foarte importante atunci când dorim să asigurăm un nivel de securitate de bază pentru toate sistemele din retea:

  • sistemele trebuie să fie mentinute la zi din punct de vedere al patchurilor şi fixurilor de securitate
  • trebuie să aplicăm un set de configurări de securitate de bază pe toate sistemele din retea, adică să facem întărirea securitătii sistemelor (hardening). Despre acest lucru vom vorbi în continuare.

Iată câteva setări de securitate care merită luate în considerare pentru securizarea de bază a sistemelor şi pot fi aplicate cu un Group Policy Template la nivelul întregului domeniu Active Directory:

Politici de audit:

  • Account logon & Management
  • Directory Service Access
  • Object Access
  • System Events

Privilegiile utilizatorilor:

  • Allow logon locally
  • Logon cu Terminal Services
  • Deny logon as a batch job
  • Deny force shutdown from Remote system

Cel mai simplu este să pornim de la un template cu măsuri de securitate, pe care săl adaptăm la cerintele noastre şi săl aplicăm în întreaga retea. Putem face acest lucru cu ajutorul lui Security Configuration Manager. Acesta contine: templateuri care definesc setările ce trebuie aplicate pentru câteva configuratii tipice, snapinul MMC Security Configuration & Analysis, utilitarul linie de comandă secedit cu ajutorul căruia se poate automatiza procesul de aplicare al politicilor.

Templateurile de securitate sunt fişiere text cu extensia .inf ce contin un set predefinit de setări de securitate. Aceste setări pot fi adaptate şi aplicate asupra sistemelor din retea. Setările de securitate disponibile includ: aplicarea de ACLuri pe chei de Registry şi fişiere, aplicarea de politici de conturi şi parole, parametri de start la servicii, setarea de valori ale unor chei de Registry. Templateurile sunt aditive, adică se pot aplica succesiv mai multe templateuri. Ordinea de aplicare este importantă: setările din ultimul template aplicat vor suprascrie setările anterioare. Templateurile pot fi aplicate global, cu ajutorul Group Policy, sau individual, cu ajutorul Security Configuration & Analysis. Templateurile pot fi obtinute din mai multe surse: Windows Server 2003 vine cu un set predefinit de templateuri, în Windows Server 2003 Security Guide se pot găsi templateuri aditionale, CIAC, SANS, NSA publică propriile recomandări şi templateuri pentru sistemele de operare Microsoft.

Security Configuration & Analysis este un snapin MMC cu ajutorul căruia putem crea o bază de date cu setări de securitate, putem importa templateuri şi putem aplica setări suplimentare, iar apoi putem compara setările sistemului cu templateul creat în baza de date. Comparatia este nondistructivă, adică sunt raportate doar diferentele între starea actuală a sistemului şi templateul ales. De asemenea, putem aplica setările respective asupra sistemului curent.

SECEDIT este un utilitar linie de comandă cu ajutorul căruia putem automatiza operatiile de aplicare ale templateurilor folosind scripturi. Parametrii programului permit analiza, configurarea, importul, exportul, validarea sau rollbackul setărilor de securitate aplicate sistemelor.

Aplicând templateuri de securitate asupra sistemelor obtinem un nivel de securitate de bază peste care putem clădi suplimentar.

Twitter Digg Delicious Stumbleupon Technorati Facebook


Un raspuns la “Politici de securitate IT”

  1. felicitari.
    aici gasesc orice despre securitate informatica

Lasa un raspuns

This site is protected by Comment SPAM Wiper. This site is protected by WP-CopyRightPro