Politica de securitate

Categoriile Politicii de securitate

Principalele categorii ale Politicii de securitate sunt:

• Politica de identificare și autentificare - Specifică persoanele autorizate care pot avea acces la resursele rețelei și prezintă procedurile de verificare.

• Politici de parolă - Se asigură că parolele îndeplinesc cerințele minime și sunt modificate în mod regulat.

• Politică de utilizare acceptabilă - Specifică resursele și modul de utilizare a rețelei care sunt acceptabile pentru organizație. De asemenea, poate identifica consecințele dacă această politică este încălcată.

• Politici de acces la distanță - Descrie modul în care utilizatorii la distanță pot accesa o rețea și ce este accesibil prin conectivitate la distanță.

• Politici de întreținere a rețelei - Specifică procedurile de actualizare a sistemelor de operare pentru dispozitivele de rețea și a aplicațiilor.

• Politici privind gestionarea incidentelor - Descrie modul în care sunt tratate incidentele de securitate.

Cerințe ale Politicii de securitate

Valoarea echipamentelor fizice este deseori cu mult mai mică decât valoarea datelor conținute. Pierderea de date importante ale unei companii, care ajung la concurenți sau la infractori poate fi costisitoare. Astfel de pierderi pot duce la o lipsă de încredere în companie și la eliberarea din funcție a tehnicienilor de calculator care se ocupă de securitatea calculatoarelor. Pentru a proteja datele, pot fi implementate mai multe metode de protecție a securității.

O organizație trebuie să se străduiască să atingă cea mai bună și cea mai economică metodă de securitate împotriva pierderii datelor sau distrugerilor aduse software-ului și echipamentului. Tehnicienii de rețea și managementul organizației trebuie să lucreze împreună pentru a dezvolta o politică de securitate prin care să se asigure că datele și echipamentele sunt protejate împotriva tuturor amenințărilor de securitate. În dezvoltarea unei politici, managementul ar trebui să calculeze costul datelor pierdute față de cheltuielile de protecție a securității și să determine care compromisuri sunt acceptabile. O politică de securitate include o declarație cuprinzătoare cu privire la nivelul de securitate cerut și modalitatea prin care va fi obținută.

La crearea unei politici de securitate, trebuie să adresați următoarele întrebări pentru a determina factorii de securitate:

• Calculatorul este situat acasă sau la sediul unei firme? - Calculatoarele de acasă sunt vulnerabile la intruziuni prin rețeaua fără fir. Calculatoarele din sediul unei firme prezintă o amenințare ridicată din partea intruziunile prin rețea, deoarece afacerile sunt mult mai atractive pentru infractori și pentru că utilizatorii legitimi ar putea abuza de privilegiile de acces.

• Este acces la Internet non-stop? - Cu cât un calculator este conectat la Internet mai mult timp, cu atât cresc șansele de a fi atacat. Un calculator care accesează Internetul trebuie să utilizeze un paravan de protecție și un program anti-virus.

• Calculatorul este un laptop? - Securitatea fizică este o problemă specifică laptop-urilor. Există măsuri de securitate pentru laptop-uri, cum ar fi încuietori cu cablu, elementele biometrice integrate și tehnici de urmărire.

La crearea unei politici de securitate, este necesar să se țină cont de următoarele cerințe:

• Identificarea utilizatorilor – reprezintă procesele și procedurile necesare pentru stabilirea unei identități unice la nivel de utilizator sau aplicație în cadrul sistemului informatic. Identificarea va permite contabilizarea (jurnalizarea sau auditarea) tuturor operațiunilor individuale și astfel putând preveni accesul neautorizat.

• Autentificarea utilizatorilor – este procedura prin care se verifică utilizatorii sau aplicațiile definite la pasul anterior, astfel orice formă de acces devine autorizată. (Tehnologii de autentificare pentru a accesa datele: nume de utilizator, parole, date biometrice și carduri inteligente.)

• Controlul accesului - determină cine (ce) anume poate executa o anumită operaţie autentificată în sistem, având în vedere, minim următoarele: controlul accesului la sistem sau la reţea, clasificarea sau gruparea informaţiei accesibile, stabilirea privilegiilor permise la nivel de operaţii (scrieri, modificări, interogări, etc.)

• Responsabilitatea – este strâns legată de politicile de securitate definite la pasul anterior şi se referă în special la regulile impuse utilizatorilor sistemului, care vor fi răspunzători pentru acţiunile întreprinse după conectarea la sistem. Aici se vor defini persoanele cheie care vor avea puteri de acces (scrieri, modificări, ştergeri, etc.) superioare. (Comportamente care sunt permise și Comportamente care sunt interzise)

• Auditul de securitate – cerinţă care este folosită în special pentru analiza înregistrărilor activităţilor executate, pentru a determina dacă sistemul de protecţie este în concordanţă cu politicile şi procedurile de securitate stabilite (sau în concordanţă cu un minim acceptat).

• Integritatea sistemului – cerinţă prin care se urmăreşte să se crească redundanţa sistemului în cazul apariţiei unor defecţiuni.

• Integritatea informaţiilor – presupune mecanisme de protecţie a datelor împotriva distrugerii sau accesului neautorizat precum şi mecanisme de propagare a unor modificări survenite de-a lungul timpului.

• Fiabilitatea serviciilor – etapă prin care se încearcă să se optimizeze modul de lucru al utilizatorilor sau mai bine zis cât de uşor şi sigur un utilizator autentificat poate accesa şi utiliza resursele unui sistem.

• Tratarea incidentelor - procesul de tratare a incidentelor de securitate a rețelei.

Politica de securitate ar trebui de asemenea să furnizeze informații detaliate despre următoarele probleme în caz de urgență:

• Pașii ce trebuie urmați în cazul încălcării securității

• Persoanele de contact în caz de urgență

• Informațiile care pot fi comunicate clienților, furnizorilor și mass-mediei

• Locații secundare folosite în cazul unei evacuări

• Pașii ce trebuie urmați după ce o situație de urgență s-a terminat, inclusiv prioritatea serviciilor ce trebuie refăcute

Domeniul de aplicare al politicii și consecințele nerespectării ei trebuie să fie descrise clar. Politicile de securitate ar trebui să fie revizuite periodic și actualizate când este necesar. Păstrați o istorie de revizuire pentru a urmări toate modificările politicii. Securitatea este responsabilitatea fiecărei persoane din cadrul companiei. Toți angajații, inclusiv non-utilizatorii de calculator, trebuie să fie instruiți pentru a înțelege politica de securitate și anunțați cu privire la orice actualizări a politicii de securitate.

Într-o politică de securitate ar trebui să se definească, de asemenea, accesul angajaților la date. Politica ar trebui să protejeze datele extrem de sensibile de accesul public, asigurându-se în același timp de faptul că angajații își pot îndeplini în continuare atribuțiile de serviciu. Datele pot fi clasificate de la publice la secrete, cu mai multe niveluri diferite între ele. Informațiile de interes public pot fi văzute de oricine și nu au cerințe de securitate. Informațiile de interes public nu pot fi folosite cu intenția de a prejudicia o companie sau un individ. Informațiile secrete au nevoie de cel mai înalt grad de securitate, deoarece expunerea datelor poate fi extrem de dăunătoare pentru un guvern, o companie sau un individ.

Securizarea dispozitivelor și datelor

Pentru a exemplifica o politică de securitate formală (de început) putem configura următoarele trei nivele:

1. Nivelul de utilizare acceptabilă: Aplicaţii Screen saver cu activarea parolării, Manipularea parolei, Folosirea în mod uzual, a conturilor cu drepturi restrictive (de tip „restricted user”), Descărcarea şi instalarea aplicaţiilor (necesită drept de administrator), Informaţii ce menţionează ce utilizatori sunt monitorizaţi (pentru administrare, necesită drept de administrare), Utilizarea de aplicaţii anti-virus.

2. Manipularea informaţiei sensibile, private (în orice formă scrisă, hârtie sau format digital): curăţarea biroului şi încuierea informaţiilor confidenţiale, oprirea sistemului PC înainte de a părăsi spaţiul, utilizarea criptării, manipularea cheilor de acces la echipamente (stabilirea regulilor de încredere), manipularea materialului confidenţial în afara sistemului sau pe durata călătorilor

3. Manipularea echipamentului în afara sistemului sau pe durata călătoriilor – tratează manipularea sistemelor mobile gen laptop, netbook, telefon, etc. în afara sistemului, pe durata călătoriilor sau conectărilor la zone nesigure (de ex. „hot spot”- uri gratuite).