Auditul si securitatea sistemelor informatice - Securitatea Informatica

Auditul si securitatea sistemelor informatice

Securitatea informaţiilor presupune asigurarea capacităţii de a proteja corespunzător informaţiile deţinute (sub orice formă pe hârtie, stocată electronic, transmisă prin poşta clasică sau electronic, prezentată pe filme sau comunicată verbal) de ameninţările care ar putea exploata vulnerabilitatea existentă în sistem.

În cea mai mare parte, la ora actuală informaţiile sunt prelucrate, transferate şi stocate utilizând sisteme informatice aşa numitele echipamente (mijloace, facilităţi, de procesare automată a datelor – MPAD). Prin sistem informatic înţelegem, în contextual acestei cărţi, componentele hardware şi software, interconectarea în reţele, cadrul organizatoric în care acestea funcţionează. Se poate considera că transmiterea informaţiilor în toată lumea se realizează utilizând sisteme informatice, respectiv poşta electronică, telefon mobil, de cele mai multe ori cu memorie, aparate foto şi cameră video, toată lumea accesează şi descarcă informaţii de pe Internet inclusiv programe specializate.

Am considerat că pentru realizarea securităţii informaţiilor sunt prioritare 2 direcţii:

  • realizarea securităţii sistemelor informatice,
  • securitate din prisma resurselor umane, a persoanelor care au acces la informaţii (le deţin, le manipulează, utilizează, le transferă).

Securitatea sistemelor informatice este un fragment important al securităţii informaţiilor, nu se rezolvă toate problemele de securitate a informaţiilor realizând numai securitatea sistemelor informatice, dar în această carte nu dorim să le acoperim toate acele probleme, ci numai pe cele care ţin de securitatea sistemelot informatice, respectiv a mijloacelor de prelucrare automată a informaţiilor, tranferul acestora prin utilizarea tehnicii de calcul, a reţelor de calculatoare, şi arhivarea informaţiilor pe suport informatic (la aceeastă oră se arhivează pe CD, casete şi mai puţin, dar încă se utilizează dischetele, deşi Laptop-urile de ultimă generaţie nu mai pot citi sau scrie pe dischete, nici măcar cu unitate externă)

Auditul sistemelor informatice este un subiect relativ nou, deşi chiar şi în România începând cu anul 1994 s-a efectuat auditul sistemelor informatice, în cadrul sistemului calităţii dintr-o organizaţie care utiliza echipamente de procesare automată sau chiar pentru organizaţia furnizoare de hard şi soft care se asimila cu servicii. A existat chiar un standard de calitate specific pentru software, SR-EN 9003 :1994 Standarde pentru conducerea calităţii şi asigurarea calităţii, Partea

3 : Ghid pentru aplicarea ISO 9001 de dezvoltarea, livrarea şi mentenanţa software.

La data publicarii acestei cărţi auditul sistemelor informatice se realiza după acelaşi referenţial ca şi auditul calităţii şi al mediului, respectiv după SR-EN-ISO 19011:2003 Ghid pentru auditarea sistemelor de management al calităţii şi/sau de mediu ISO 19011:2004. La acestă dată standardul

Auditul sistemelor informatice nu se deosebeşte de auditul calităţii altor sisteme prin modul lui de planificare, efectuare şi raportare, ci numai prin direcţiile şi aspectele urmărite şi conţinutul chestionarului de audit şi mai ales prin modul în care sunt prezentate dovezile pentru audit, în sensul că cele mau multe dintre acestea nu pot fi oferite pe hârtie auditorilor pentru evaluare, iar accesul auditorilor în sistem, în reţeaua unei organizaţii poate reprezenta o ameninţare mare, iar organizaţia este obligată să-şi ia măsuri pentru a putea oferi toate dovezile de audit, dar în acelaşi timp, să-şi protejeze secretul informaţiilor existente în aceste sisteme.

Există 5 elemente cheie ale oricărei strategii de securitate a unei organizaţii, care se bazează unul pe altul, se completează şi întrepătrund:

  1. Politici de securitate stabilite în concordanţă cu activitatea organizaţiei, politica scrisă cu obiective precise şi susţinută de măsuri ferme şi resurse corespunzătoare. Aceste politici se fac cunoscute angajaţilor, colaboratorilor, terţilor cu care există contracte şi tuturor părţilor interesate cu care organizaţia are legături.
  2. Planuri de securitate în care sunt stabilite strategiile pentru implementarea politicilor, în care să fie abordate toate elementele activităţii organizaţiei, activităţile şi tehnologiile existente dar şi direcţiile în care urmează a evolua aceasta.
  3. Produsele/serviciile cheie necesare pentru executarea planului şi atingerea obiectivelor fixate. Cum trebuie să se desfăşoare activităţile pentru a asigura nivelele de securitate adecvate, performanţă şi calitate.
  4. Procesele monitorizate şi gestionate pentru a avea garanţia că se realizează nivelul de securitate preconizat. Care sunt măsurile şi metodele folosite pentru a analiza desfăşurarea proceselor şi performanţele lor, cum vor fi aliniate acestea la activităţile în continuă evoluţie ale organizaţiei.
  5. Personalul necesar pentru implementarea politicilor, planurilor, produselor şi proceselor de securitate.

Personalul cu calificarea necesară şi de încredere care să fie implicat în activitatea de securitate este greu de găsit iar atunci când este găsit, costurile cu angajarea lui sunt substanţiale. Trebuie calculate însă şi costurile ascunse care ar putea apare în lipsa unui astfel de personal. De asemenea trebuie analizat dacă sunt necesare subcontractări pentru anumite direcţii de securitate şi cum se evaluează şi monitorizează aceşti subcontractanţi.

În această carte nu ne-am propus să studiem securitatea din punct de vedere al resurselor umane, deşi, oamenii sunt cei care utilizează şi întreţin şi sistemele informatice. Modul în care reacredinţa sau neştiinţa propriilor angajaţi reprezintă ameninţări serioase la adresa securităţii nu va fi tratat aici. Am considerat însă că modul în care angajaţii sunt instruiţi, competenţi şi conştienţi, îi face să introducă riscuri cât mai mici la securitatea sistemelor pe care le utilizează. Considerăm că toţi utilizatorii sistemelor sunt persoane raţionale, competente pentu postul ocupat, conştiente de importanţa activităţii şi erorilor lor şi că vor acţiona normal atât în situaţii normale cât şi în situaţii de criză. Fiabilitate factorului uman nu reprezintă subiect în acestă carte, am abordat acest subiect într-o altă carte, pornind de la faptul constatat şi anume, comportamentul uman în situaţii limită nu este numai o problemă de psihologie ci şi de educaţie, conştientizare şi mai ales de simularea unor situaţii posibile şi acţionarea în consecinţă.

Există pericolul ca teama de violare a sistemului de securitatate al unei organizaţii să genereze comportamente exagerate din partea managerilor, ofiterului cu securitatea sau chiar a administratoruluoi de sistem. Nici de aceste aspecte nu ne vom ocupa. Am prezentat o serie de măsuri de securitate care pot fi implementate, până la un anumit nivel, adecvat fiecărei organizaţii, astfel încât să se asigure cele trei atribute ale securităţii : confidenţialitate, disponibilitate şi integritate, aşa cum se va prezenta în primul capitol al acestei cărţi.

Nu ne vom referi în mod special nici la securitatea arhivei din hârtie, ci numai la cea pe suport informatic (salvări de siguranţă, redundante). Securitatea informaţiilor financiare şi a datelor cu caracter privat stocate şi procesate cu ajutorul calculatorului nu reprezintă o direcţie de studiu în această carte.

Această carte se adresează în primul rând managerilor de sisteme se securitate sau integrate cu alte sisteme de management, auditori, ingineri de sisteme IT precum şi studenţilor şi masteranzilor la specialităţi de management, informatică şi automatică. Se adresează acelor persoane care deţin cunoştinţe de informatică, ştiu să utilizeze un PC şi toate facilităţile oferite de Internet, fără a fi însă neapărat ingineri de sistem sau absolvenţi de facultate de informatică sau automatică, dar care au şi cunoştinţe de managementul calităţii şi doresc extinderea domeniului de competenţă şi asupra certificării sistemului de management asupra securităţii informaţiilor.

Twitter Digg Delicious Stumbleupon Technorati Facebook


Nici un comentariu inca... Fii primul care lasa un comentariu!

Lasa un raspuns

This site is protected by Comment SPAM Wiper. This site is protected by WP-CopyRightPro