INSTITUŢIONALIZAREA SECURITĂŢII INFORMAŢIONALE
Ludmila Evstrati
Serviciul Securitate Informaţională
Banca de Economii S.A.
Abstract. This work states the generic IT baseline protection safeguards which, on a standard basis, should be implemented with regard to personnel matters. A wide variety of safeguards are required, commencing with taking on of the new staff till the termination of their employment.
Pentru a implementa o protecţie de bază a tehnologiilor informaţionale, poate fi considerat următorul set de măsuri de protecţie:
Familiarizarea bine reglamentată a noilor colaboratori cu funcţiile lor de serviciu.
Noii colaboratori trebuie să ia cunoştinţă cu regulamentele, procedurile, normele interne referitoare la TI. Fără o instruire adecvată referitor la funcţia ocupată, angajaţii nu vor înţelege ce măsuri de securitate a TI trebuie să fie implementate şi ce politică de SI urmăreşte organizaţia, ceea ce ar putea cauza pagube ce ar afecta funcţionarea TI. Familiarizarea va include, minim, următoarele:
planificarea instruirii pentru activităţile exercitate în funcţia în care este angajat; instruirea;
aducerea la cunoştinţă tuturor persoanelor a informaţiei de contact (pentru întrebări);
explicarea regulamentelor şi normelor interne referitoare la securitatea TI.
Obligarea colaboratorilor de a respecta legile, regulamentele şi prevederile relevante.
Noii colaboratori trebuie să fie obligaţi de a respecta regulamentele şi normele interne. Pentru a obţine aceasta, e necesar nu doar de a le impune o asemenea obligaţie, dar de asemenea de a oferi angajaţilor, contra semnătură, copii ale regulamentelor corespunzătoare sau de a păstra undeva toate copiile respective, fiind oricând disponibile angajaţilor pentru familiarizare, revizuire.
Delegarea responsabilităţilor.
Delegarea responsabilităţilor are scopul să asigure continuitatea anumitor operaţii în cazul absenţei, pierderii de personal. Se specifică din timp cine va substitui pe cine, în ce activităţi, cu ce autoritate.
Pentru a delega responsabilităţile e necesar să fie satisfăcute anumite condiţii generale:
Să existe toată documentaţia aferentă statutului curent al proiectelor şi procedurilor relevante.
Nu este suficientă doar desemnarea locţiitorului; locţiitorul trebuie instruit pentru a fi calificat suficient ca să-şi asume sarcinile respective. Dacă sunt persoane care nu pot fi înlocuite în scurt timp, instruirea locţiitorului este de importanţă critică.
Trebuie să fie stabilit pentru fiecare locţiitor ce domeniu de însărcinări îi vor fi încredinţate.
Locţiitorii vor primi împuternicirile necesare doar la îndeplinirea sarcinilor delegate.
Instruirea înaintea utilizării reale a unui program.
Prejudiciile cauzate de utilizarea necorespunzătoare a aplicaţiilor program pot fi evitate dacă utilizatorilor li se vor oferi directive detaliate privind aplicaţiile program respective. Aceasta se referă atât la pachetul de programe standard, cât şi aplicaţiile program special elaborate.
Cultivarea măsurilor de securitate informaţională.
Educarea utilizatorilor în spiritul SI, trebuie să includă subiectele:
Conştientizarea securităţii TI
Fiecare angajat trebuie sa conştientizeze necesitatea securităţii TI, dependenţa organizaţiei de o funcţionare sănătoasă a sistemelor TI. De asemenea, e necesar să se acorde o deosebită atenţie valorii informaţiei, în special referitor la confidenţialitatea, integritatea şi disponibilitatea ei.
Măsuri de securitate TI referitoare la angajaţi
Angajaţii sunt familiarizaţi cu toate măsurile de securitate informaţională dezvoltate conform politicii de SI şi care trebuie să fie implementate de diferiţi angajaţi. Aceasta este foarte important, multe măsuri de securitate pot fi efectiv aplicate doar după o educare şi motivare adecvată.
Măsuri de securitate TI referitoare la produse
Angajaţii sunt familiarizaţi cu toate măsurile de SI referitoare la produsele utilizate sau cele ce urmează a fi utilizate. Acestea pot include parola de înregistrare, screensaver-e etc. Recomandările referitor la structura şi organizarea fişierelor ce conţin date de lucru ar facilita acordarea drepturilor de acces şi ar reduce considerabil volumul de lucru implicat în protecţia datelor.
Comportamentul în cazul infectării cu virus a calculatorului personal
Angajaţii trebuie să fie instruiţi cum să manevreze un virus de calculator, iar instruirea să cuprindă:
detectarea infectării calculatorului,
tipuri de viruşi (după acţiuni),
reacţia imediată în cazul suspectării unei infectări cu virus,
măsuri de înlăturare a viruşilor,
măsuri preventive.
Utilizarea corespunzătoare a parolelor
În acest context trebuie să fie explicate importanţa unei parole în securitatea TI şi condiţiile esenţiale pentru asigurarea unei utilizări efective a parolelor.
Importanţa dublării datelor şi implementarea ei
Efectuarea regulată a copiilor datelor este una din cele mai importante măsuri de securitate informaţională în orice sistem TI. Angajaţii vor fi instruiţi referitor la politica organizaţiei de dublare a datelor şi despre însărcinările referitor la copiile ce trebuie efectuate de fiecare. Aceasta este semnificativ pentru utilizatorii calculatoarelor personale, deoarece efectuarea copiilor în acest caz este responsabilitatea fiecăruia în parte.
Manipularea cu informaţia despre persoane
Manipularea informaţiei despre persoane cere o atenţie deosebită. Instruirea angajaţilor care lucrează cu asemenea informaţie trebuie să cuprindă: gestiunea cererilor de oferire a informaţiei, a cererilor de modificare a informaţiei, ştergerea informaţiei doar în cazurile stipulate legal, protejarea intimităţii şi comunicarea informaţiei.
Măsuri întreprinse în situaţii excepţionale(SE)
Toţi colaboratorii trebuie să cunoască măsurile de securitate în SE şi anume: informaţia despre ieşirile de rezervă, proceduri în caz de incendiu, sistemul de raportare în SE.
Procedură reglamentată privind terminarea lucrului.
În cazul concedierii angajaţilor, următoarele lucruri trebuie urmărite:
Înainte de concediere, succesorul persoanei respective să fie familiarizat cu sarcinile preluate.
Toate documentele, parolele, cheile, echipamentele TI acordate pentru realizarea funcţiilor de serviciu, cartelele de identificare trebuie returnate organizaţiei.
Toate drepturile de acces trebuie să fie revocate.
Înainte ca persoana să plece, i se aminteşte că acordul de confidenţialitate rămâne în vigoare.
Toate persoanele cărora le sunt încredinţate sarcini ce ţin de securitate, în special personalul ce efectuează controlul la intrare în încăpere, trebuie să fie informat despre asemenea schimbări.
Persoanelor care nu mai lucrează în organizaţie trebuie să le fie interzis accesul nemonitorizat în încăperile organizaţiei, în special în camerele cu acces limitat.
Nu este suficient ca fiecare angajat să fie instruit o singură dată pe parcursul întregii sale perioade de angajare. Prin majoritatea formelor de instruire, dacă este prezentată multă informaţie deodată, participanţii pot fi supraîncărcaţi cu informaţie. Doar o mică parte din informaţia prezentată se memorează pentru o perioadă îndelungată, iar 80 % este în general uitată chiar după cursuri. De aceea măsurile propuse de instituţionalizare a securităţii informaţionale e necesar de a fi abordate nu ca o activitate de proiect, ci ca un proces continuu.
Bibliografie:
Information Security Officer’s Manual, RUSecure (http://www.computer-security-policies.com)
Procese şi activităţi de management al securităţii informaţionale: http://www.secinf.net/Network_Security/
Instrumente şi resurse pentru securitatea informaţională: http://www.theiia.org/?doc_id=3061