Securitatea Informatiei - WordPress
Securitatea informatiei
Securitatea informatiei1. Notiuni generale privind securitatea sistemelorinformatice2. Fundamente privind vulnerabilităţile sistemelorinformatice3. Concepte şi metodologii privind procesul demanagement al vulnerabilităţilor4. Bune practici privind procesul de management alvulnerabilitatilor
1. Notiuni generale privind securitateasistemelor informaticeSistem informaticUn sistem informatic este un sistem care permite: introducerea de date prin procedee manuale sau princulegere automată de către sistem stocarea datelor prelucrarea datelor extragerea informației (rezultatelor) sub diverseforme
1. Notiuni generale privind securitateasistemelor informaticeSistem informaticComponentele sistemului informatic: Calculatoarele/dispozitivele de calcul Programele Retelele de calculatoare Datele Utilizatorii Procesele
1. Notiuni generale privind securitateasistemelor informaticeSecuritatea sistemelor informaticeSecuritatea informatiei (InfoSec) inseamna: protejarea informatiei (datelor) si a sistemelor deinformatii impotriva accesului, inspectiei, utilizarii,inregistrarii, dezvaluirii, intreruperii, modificarii saudistrugerii neautorizate Este un termen general ce se poate aplica indiferentde modul in care se prezinta datele (electronic saufizic)
1. Notiuni generale privind securitateasistemelor informaticeSecuritatea sistemelor informaticeSecuritatea IT – este Securitatea Informatiilor aplicatatehnologiei (computerelor)
1. Notiuni generale privind securitateasistemelor informaticeSecuritatea sistemelor informaticeMultiple specializari: Securizarea retelelor si infrastructurii Securizarea aplicatiilor si bazelor de date Testarea securitatii (Pen Testing) Auditarea sistemelor informatice Planificarea continuitatii afacerii Digital Forensics Etc.
1. Notiuni generale privind securitateasistemelor informaticeSecuritatea sistemelorinformaticeAtribute (CIA): Confidentialitatea Integritatea Disponibilitatea (Availability)
1. Notiuni generale privind securitateasistemelor informaticeConfidentialitatea Asigura ca nivelul necesar de secretizare este impusla fiecare punct de procesare a datelor si previnedezvaluirea neautorizata. Nivelul de confidentialitate trebuie pastrat dinmomentul in care datele sunt stocate pe sisteme sidispozitive, cand sunt transmise prin retea si candajung la destinatie
1. Notiuni generale privind securitateasistemelor informaticeAmenintariConfidentialitateaMasuri Monitorizarea retelei Shoulder surfing –monitorizarea tastelor saua informatiilor introdusepe ecran Furtul fisierelor de parole Social Engineering –folosirea laturii umanepentru a obtine informatiiconfidentiale Criptarea datelor stocate sitransmise Blocarea razei vizuale,folosirea unor ecrane cuunghiuri mici Implementarea unormecanisme stricte de controlal accesului Pregatirea personaluluiasupra procedurilor permise
1. Notiuni generale privind securitateasistemelor informaticeIntegritateaIntegritatea datelor este protejata atunci cand se oferaasigurarea acuratetii informatiei si se previnemodificarea neautorizata
1. Notiuni generale privind securitateasistemelor informaticeIntegritateaAmenintari Virusi Man in the Middle BackdoorsMasuri Control strict alaccesului Detectia intruziunilor Hash-uri
1. Notiuni generale privind securitateasistemelor informaticeDisponibilitateaDisponibilitatea asigura stabilitatea si accesul intimputil la date si resurse catre persoane autorizate.
1. Notiuni generale privind securitateasistemelor informaticeDisponibilitateaAmenintariMasuri Erori software sau ale Mentinerea unui sistemechipamentelorde backup pentru a Probleme legate deinlocui sistemul defectmediu, precum caldura IDS pentru monitorizareasau frig excesiv,traficului de retea si aumiditate, electricitateactivitatii sistemelorstatica, etc. Configurarea Atacuri DoS (Denial ofcorespunzatoare aService)firewall-ului si router-elor
1. Notiuni generale privind securitateasistemelor informaticeManagementul securitatii informatieiManagementul securitatii informatiei se bazeaza peasigurarea unui management al riscurilor si verificareaca resursele organizatiei sunt utilizate in modresponsabil, prin impunerea unor politici interne si/sauexterne.
1. Notiuni generale privind securitateasistemelor informaticePolitica: Ce anume se securizeaza ?– de obicei un sistemsau o informatie Cine trebuie sa se conformeze politicii ?– de obicei angajatii Care sunt vulnerabilitatile, amenintarile sau riscurile ?
1. Notiuni generale privind securitateasistemelor informaticeTipuri de politici: Reglementari – asigura ca organizatia urmeazastandarde impuse de reglementari in industrie – ex.PCI-DSS Recomandari – din partea autoritatilor, suntoptionale – ex. NISP Informative – nu impune, ci invata angajatii anumiteelemente relevante organizatiei
1. Notiuni generale privind securitateasistemelor informaticeStandarde Se refera la activitati, actiuni, reguli sau reglementariobligatorii Pot oferi politicilor suport suplimentar in fatamanagementului Standardele pot fi impuse intern sau extern
1. Notiuni generale privind securitateasistemelor informaticeProceduri Activitati pas cu pas ce trebuie indeplinite pentru aobtine un anumit rezultat (ex. Prodedura pentruinstalarea sistemului de operare) Sunt considerate ca fiind la cel mai jos nivel intr-o politicadeoarece sunt cele mai apropiade de computere siutilizatori Indica modul in care politicile, standardele si indicatiilevor fi efectiv implementate in productie Explica pasii prin care se obtine un rezultat cerut inpolitica, definind metoda de implementare, configurare,auditare, etc.
1. Notiuni generale privind securitateasistemelor informaticeConfiguratie de baza O configuratie la un anumitmoment in timp, ce va fi folositapentru comparatii cu viitoarele modificari. Dupa ce au fost eliminate riscurile si implementatasecuritatea, configuratia de baza trebuie revazuta si aprobata,si folosita pentru comparatii ulterioare Reprezinta de obicei un nivel minim de protectie care estecerut Pot fi definite in functie de tipul sistemului, indicand setarilenecesare pentru fiecare in parte. Spre exemplu, se poate cereca toate sistemele din departamentul contabilitate saindeplineasca cel putin cerintele configuratiei de bazaEvaluation Assurance Level (EAL) 4.
1. Notiuni generale privind securitateasistemelor informaticeModele de securitate1. Control Objectives for Information and RelatedTechnology (COBIT)2. ISO/IEC 17799/BS 77993. Information Technology Infrastructure Library (ITIL)4. Operationally Critical Threat, Asset and VulnerabilityEvaluation (OCTAVE).
1. Notiuni generale privind securitateasistemelor informatice1. COBIT 4.x Control Objectives for Information and relatedTechnology este un set de bune practici (framework)pentru management IT, creat de Information SystemsAudit and Control Association (ISACA), si IT GovernanceInstitute (ITGI) in 1992. COBIT oferamanagerilor, auditorilor si utilizatorilor IT unset de masuri, indicatori si procese general acceptate sibune practici pentru a-I ajuta sa maximizeze beneficiiledin utilizarea IT si a dezvolta controale ITcorespunzatoare
1. Notiuni generale privind securitateasistemelor informatice2. ISO/IEC 17799/BS 7799 Istoria standardului ISO pentru managementulsecuritatii informatiei a inceput cu BS 7799 rezultandmai tarziu ISO 17799 si in final “familia de standarde”ISO 27000 pentru Information Security ManagementSystems (ISMS). Seria ISO/IEC 27000 este compusa din standardepentru securitatea informatiei publicate in comun deInternational Organization for Standardization (ISO) siInternational Electrotechnical Commission (IEC).
1. Notiuni generale privind securitateasistemelor informatice3. ITIL Information Technology Infrastructure Library (ITIL) esteun set de concepte si tehnici pentru administrareainfrastructurii, dezvoltarii si operatiilor IT ITIL este publicat ca o serie de carti, fiecare acoperind unsubiect din managmentul IT ITIL v3 contine volumele: ITIL Service Strategy Book ITIL Service Design Book ITIL Service Transition Book ITIL Service Operation Book ITIL Continual Service Improvement Book
Securitatea informatiei1. Notiuni generale privind securitatea sistemelorinformatice2. Fundamente privind vulnerabilităţile sistemelorinformatice3. Concepte şi metodologii privind procesul demanagement al vulnerabilităţilor4. Bune practici privind procesul de management alvulnerabilitatilor
2. Fundamente privind vulnerabilităţilesistemelor informaticeVulnerabilitatatea – Definitii ISO 27005 – o slabiciune a unui element sau grup deelemente care pot fi exploatate de una sau mai multeamenintari IETF RFC 2828 – un defect sau o slabiciune in designul, implementarea, operarea sau managementul unuisistem, care pot fi exploatate pentru a viola politicade securitate a sistemului ISACA - o slabiciune in design, implementare,operare sau control intern
2. Fundamente privind vulnerabilităţilesistemelor informaticeDefinitii Amenintare – potentialul ca o anumitavulnerabilitate sa fie utilizata, intentionat sauaccidental Control – masura luata pentru a preveni, detecta,minimiza sau elimina riscul, pentru a protejaConfidentialitatea, Integritatea si Disponibilitatea(Availability) informatiilor Evaluarea vulnerabilitatilor (VA) – procesul deidentificare, cuantificare si prioritizare avulnerabilitatilor din sistem
2. Fundamente privind vulnerabilităţilesistemelor informaticeVulnerabilitatea si modele pentru factorul de riscOWASP
2. Fundamente privind vulnerabilităţilesistemelor informaticeInformation Security Management System (ISMS) ISMS – un set de politici legate de managementulsecuritatii informatiei Proiectat sa administreze, conform principiilor deRisc Management, contra-masurile necesare pentrua asigura ca strategia de securitate este stabilitapentru a urma regulile si reglementarile aplicabile Contra-masurile mai sunt numite si controale desecuritate
2. Fundamente privind vulnerabilităţilesistemelor informaticeClasificarea vulnerabilitatilor Hardware Susceptibilitate la umiditate Susceptibilitate la praf Susceptibilitate la murdarire Software Testare insuficienta Lipsa urmelor de audit Retea Linii de comunicatie neprotejate Arhitectura de retea nesecurizata
2. Fundamente privind vulnerabilităţilesistemelor informaticeClasificarea vulnerabilitatilor Personal Procese de recrutare neadecvate Cunostinte insuficiente despre securitate Locatie Zona cu inundatii Surse de tensiune instabile Organizational Lipsa auditarilor regulate Lipsa unui plan de continuitate Lipsa securitatii
2. Fundamente privind vulnerabilităţilesistemelor informaticeCauzele vulnerabilitatilor (I)1) Complexitatea - sistemele mari, complexe cresteprobabilitatea unor defecte si a punctelor de accesnedorite2) Familiaritatea – folosirea unor programe, sisteme deoperare si/sau hardware comun, bine cunoscut, cresteprobabilitatea ca atacatorul sa aiba sau sa gaseascauneltele si cunostintele necesare pentru a exploatadefectul
2. Fundamente privind vulnerabilităţilesistemelor informaticeCauzele vulnerabilitatilor (II)3) Conectivitatea – cu cat sunt mai multe conexiuni fizice,privilegii, porturi, si servicii accesibile, cu atat crestevulnerabilitatea4) Slabiciuni in managementul parolelor Folosirea parolelor slabe, care pot fi descoperite prin forta bruta Stocarea parolelor pe calculator, unde pot fi accesate de catreprograme Utilizarea aceleiasi parole pentru mai multe programe/site-uri
2. Fundamente privind vulnerabilităţilesistemelor informaticeCauzele vulnerabilitatilor (III)5) Erori de proiectare a sistemului de operare –proiectantul sistemului de operare a ales sa impunapolitici care nu sunt optime legate de managementulutilizatorilor/programelor6) Navigarea pe Internet Unele site-uri web pot contine Spyware sau Adware carese pot instala automat pe calculator
2. Fundamente privind vulnerabilităţilesistemelor informatice Cauzele vulnerabilitatilor (IV)7) Erori de programare (bug) – programatorul lasa unbug ce poate fi exploatat in software8) Lipsa verificarii datelor introduse - atunci candprogramul presupune ca toate datele introduse deutilizator sunt sigure si corecte.Programele care nu fac aceasta verificare pot permiteexecutia unor comenzi sau a unor declaratii SQL
2. Fundamente privind vulnerabilităţilesistemelor informaticeIdentificarea si eliminarea vulnerabilitatilor (I) Exista multe unelte care pot ajuta in detectareavulnerabilitatilor de pe calculatoare Desi ele pot fi de mare ajutor auditorilor, au limitari sinecesita si judecata umana Vulnerabilitatile se gasesc in toate sistemele deoperare importante Pentru a reduce exploatarea vulnerabilitatilor: Efectuati o mentenanta atenta a sistemelor (patch-uri) Folositi bunele practici in implementare Auditati sistemele (in intregul ciclu de viata)
Securitatea informatiei1. Notiuni generale privind securitatea sistemelorinformatice2. Fundamente privind vulnerabilităţile sistemelorinformatice3. Concepte şi metodologii privind procesul demanagement al vulnerabilităţilor4. Bune practici privind procesul de management alvulnerabilitatilor
3. Concepte şi metodologii privind procesulde management al vulnerabilităţilorConcepte (I) Managementul vulnerabilitatilor – procesulcontinuu de identificare, clasificare, remediere sieliminare vulnerabilitatilor, in special in software sifirmware. Vulnerabilitatile pot fi descoperite de catre unscanner de vulnerabilitati, care analizeaza un sistemin cautarea vulnerabilitatilor cunoscute: Porturi deschise Configuratii software nesecurizate Susceptibilitate la malware, etc.
3. Concepte şi metodologii privind procesulde management al vulnerabilităţilorConcepte (II) Vulnerabilitatile necunoscute, precumatacurile zero-day,pot fi detectate prin fuzz testing, care poate identificaanumite tipuri de vulnerabilitati, precum buffer overflow Anumite programe antivirus capabile de analiza heuristica,pot descoperi malware nedocumentat care se comportasuspicios. Corectarea vulnerabilitatilor poate include: Instalarea unui patchO modificare in politica de securitate a reteleiReconfigurarea unui software (ex. Firewall)Educarea utilizatorilor despre social engineering
3. Concepte şi metodologii privind procesulde management al vulnerabilităţilorProgram pentru managementul vulnerabilitatilor (I) Ofera o abordare asupra eliminarea riscurilor siamenintarilor Evalueaza potentialul impact asupra afacerii siprobabilitatea ca amenintarea sa aiba loc Aceste programe faciliteaza si conformitatea cudiverse reglementari
Securitatea informatiei1. Notiuni generale privind securitatea sistemelorinformatice2. Fundamente privind vulnerabilităţile sistemelorinformatice3. Concepte şi metodologii privind procesul demanagement al vulnerabilităţilor4. Bune practici privind procesul de management alvulnerabilitatilor
4. Bune practici privind procesul demanagement al vulnerabilitatilorProgram pentru managementul vulnerabilitatilor (II)Elemente majore1. Inventarierea bunurilor (assets inventory)2. Administrarea fluxului de informatii3. Evaluarea nivelului de risc al bunurilor sivulnerabilitatilor4. Urmarirea remedierii5. Planul de raspuns
4. Bune practici privind procesul demanagement al vulnerabilitatilor1. Inventarierea bunurilor (I)a) Provocari Lipsa resurselor si a uneltelor Lipsa responsabilitatii Management al schimbarii neadecvat Servere/statii instalate neautorizat Limite neclare ale retelelor
4. Bune practici privind procesul demanagement al vulnerabilitatilor1. Inventarierea bunurilor (II)b) Bune practici Stabilirea unui singur punct de autoritate pentruinventariere (PVG –Patch & Vulnerability Group), diferitde administratorii locali Avizarea utilizatorilor de persoanele pe care trebuie sa lecontacteze in cazul unei schimbari Actualizarea inventarului prin intermediul unui proces demanagement al schimbarii Folosirea unei scheme consistente de numerotare abunurilor Validarea regulata (ex. anuala) a inventarului
4. Bune practici privind procesul demanagement al vulnerabilitatilor2. Administrarea fluxului de informatii (I)a) Provocari Exista un flux constant de informatii despre noivulnerabilitati, virusi, si amenintari Cantitate mare de date Identificarea vulnerabilitatilor si amenintarilor caresunt relevante organizatiei Multitudinea de surse Lipsa unui ghid de raspuns la incidente
4. Bune practici privind procesul demanagement al vulnerabilitatilor2. Administrarea fluxului de informatii (II)b) Bune practici Stabilirea unei echipe CSIRT (Computer SecurityIncident Response Team) care sa evalueze continuunivelul amenintarilor in organizatie Transmiterea de informatii de catre CSIRT catreutilizatorii finali folosind un mailing list si mentinereaunui site web cu sfaturi Crearea de ghiduri pentru raspuns la incidentedestinate utilizatorilor Crearea unui format de alerta standardizat
4. Bune practici privind procesul demanagement al vulnerabilitatilor3. Evaluarea nivelului de risc al bunurilor sivulnerabilitatilor (I)a) Provocari Lipsa informatiilor – despre bunuri, designul retelei,procese, etc. Lipsa resurselor Lipsa unui control al schimbarilor Stabilirea bunurilor pentru care se face evaluarea
4. Bune practici privind procesul demanagement al vulnerabilitatilor3. Evaluarea nivelului de risc al bunurilor si vulnerabilitatilor(II)b) Bune practici (I) Documentarea proceselor de evaluare a noilorvulnerabilitati pe masura ce sunt anuntate Metoda de asignare consistenta a riscului Publicarea nivelului de risc si a definitiei pentru acel nivel Utilizarea unui inventar exact (vezi Inventarierea bunurilor) Implementarea proceselor de managementul schimbarii Crearea unei documentatii ce contine uneltele deremediere folosite si rezolvarea pe care o ofera, locatiaimplementarii
4. Bune practici privind procesul demanagement al vulnerabilitatilor3. Evaluarea nivelului de risc al bunurilor si vulnerabilitatilor(II)b) Bune practici (II) Obtineti permisiune inclusiv in controlul schimbarii pentrua rula scanari, in cazul in care provocati o indisponibilitate aresurselor din retea Testati noile verificari intr-un laborator, pentru a identificafalse pozitive, false negative, si indisponibilitatea serviciilor Creati politici personalizate in functie de OS sau destandardul in industrie (SANS Top20, Windows Top 10Vulns) Documentati scanarea printr-o procedura de operarestandard
4. Bune practici privind procesul demanagement al vulnerabilitatilor4. Urmarirea remedierii si raportarea) Provocari Conectarea personalului corect cu bunurile cetrebuie remediate Stabilirea responsabilitatii pentru actualizarea siremedierea sistemelor vulnerabile Crearea de rapoarte relevante
4. Bune practici privind procesul demanagement al vulnerabilitatilor4. Urmarirea remedierii si raportareb) Bune practici Folositi o unealta care are o metoda de notificare aproprietarilor bunurilor ca au vulnerabilitati de remediat Stabiliti impreuna cu managementul tipurile de rapoartepe care le doresc si puteti sa le oferiti Obtineti suportul managementului pentru stabilirea unuiinterval de timp pentru remediere si a consecintelor dacanu sunt remediate sistemele Concentrati-va pe vulnerabilitatile importanteclasificandu-le in functie de nivelul vulnerabilitatii si albunului afectat
4. Bune practici privind procesul demanagement al vulnerabilitatilor5. Planul de raspunsa) Provocari Transmiterea informatiilor de catre CSIRT catrepersoanele potrivite Eliminarea activitatii duplicate in cadrul diferitelorechipe Lipsa informatiilor despre activitatile ce trebuieefectuate de fiecare echipa
4. Bune practici privind procesul demanagement al vulnerabilitatilor5. Planul de raspunsBune practici Stabilirea unui plan documentat, si publicat, pe care CSIRT siceilalti angajati cheie sa il inteleaga si sa il urmeze Oferiti informatii rapide si exacte catre personalul tehnic sicatre utilizatorii finali Asigurati-va ca personalul help-desk este notificat si informatcum sa trateze situatia CSIRT si echipa de evaluare a vulnerabilitatilor trebuie sa aibala indemana informatiile despre retea, pentru a actiona rapidla nivelul intregii organizatii
4. Bune practici privind procesul demanagement al vulnerabilitatilor5. Planul de raspunsTrebuie sa includa: Daca se va remedia, atenua sau acceptavulnerabilitatea Daca se va folosi remediere automata sau manuala Strategii pentru atenuarea vulnerabilitatilor ramase Justificari pentru acceptarea vulnerabilitatilor
4. Bune practici privind procesul demanagement al vulnerabilitatilorConcluzie“Organizatiile pot remedia expunerea la vulnerabilitatisi pregati protectii potrivite prin definirea si executiaproactiva a unui plan care urmeaza bunele practici sifoloseste cele mai noi tehnologii automatizate pentru aface acel plan repetabil”Carl Banzhof, “Strategies to Protect against NetworkSecurity Vulnerabilities”
Referinte bibliografice1. rii3/managementul-securitatea-informatiei.html2. Carl Banzhof, “Strategies to Protect against Network ect-against-network-security-vulnerabilities.html
3. ITIL Information Technology Infrastructure Library (ITIL) este un set de concepte si tehnici pentru administrarea infrastructurii, dezvoltarii si operatiilor IT ITIL este publicat ca o serie de carti, fiecare acoperind un subiect din managmentul IT ITIL v3 contine volumele: ITIL Service Strategy Book ITIL Service Design Book
1. Formularea problemei 2. Cantitatea de informatie in cazul discret . Anexa A2: Unele aplicatii ale teoriei codurilor . I Masura informatiei in sisteme discrete (Shannon,1950) 1. Formularea problemei . x1(punct), x2
1.1.3 WordPress.com dan WordPress.org WordPress menyediakan dua alamat yang berbeda, yaitu WordPress.com dan WordPress.org. WordPress.com merupakan situs layanan blog yang menggunakan mesin WordPress, didirikan oleh perusahaan Automattic. Dengan mendaftar pada situs WordPress.com, pengguna tidak perlu melakukan instalasi atau
Caucaz, Asia Centrală şi inima fostului imperiu sovietic. După Gregory Connor1, directorul Centrului pentru Cooperare Transfrontalieră de la EastWest Institute Bruxelles, provocările identificate cărora regiunea Mării Negre trebuie să le facă faţă sunt: naţionalismul şi conflictele; securitatea; managementul resurselor naturale;
WordPress Themes WordPress Premium Themes WordPress Free Themes WordPress Plugins ite Templates WordPress Hosting WordPress.com CreativeMarket.com . with crowdfunding b Astoundif plugin and fundif theme. Plugin will empower o
Lesson 2. Install Wordpress On Your Domain Lesson 3. How To Log In And Out Of Wordpress Lesson 4. The Design Of Your Wordpress Website Lesson 5. First Steps To A Perfect Website Lesson 6. Add Your First Wordpress Page Lesson 7. Add Your First Wordpress Post Lesson 8. All About Widgets IN-DEPTH GUIDE - DRILL DOWN TO THE WONDERS OF WORDPRESS .
9. geografie 1 10. logicĂ Și argumentare 1 11. tehnologia informaȚiei Și comunicĂrii (tic) 1 12. sport 1 13. religie 1 total 19 nr.crt. curriculum diferenȚiat nr. ore 1. chimie 1 2. matematicĂ 1 3. culturĂ de specialitate: 6 modulul i bazele contabilitĂȚii 2 modulul ii economia Întreprinderii 2 modulul iii calitatea produselor Și .
Pornind de la definiţii diverse asupra comunicării didactice, Luminiţa Iacob (1994, p. 238) realizează o serie de sublinieri care se dovedesc deosebit de utile în acest context: a) actul comunicării este văzut ca o unitate a informaţiei cu dimensiunea relaţională,
Part 4 Authorized Inspection (ASME) . The 2019 Edition of NB-263, RCI-1 Rules for Commissioned Inspectors replaces the 2017 Edition. RCI-1 is arranged into Parts, as listed below: Part 1 – National Board Commissions and Endorsements Part 2 – National Board Commission and Endorsement Examinations Part 3 – Inservice Inspection Part 4 – Authorized Inspection (ASME .
