UNITATEA 1 Introducere în securitatea informațiilor

Modelul de securitate CNSS. Cum le-ai aborda în organizația ta?

În lumea de astăzi, există milioane de rețele de calculatoare nesecurizate în

comunicare continuă între ele. Amenințarea tot mai mare a atacurilor cibernetice a făcut
guvernele și companiile mai conștiente de necesitatea de a apăra sistemele de control
controlate de computer ale utilităților și alte infrastructuri critice. Când vine vorba de
încălcări ale datelor, riscul pentru guvern și companii este mare, de la costurile ușor de
calculat ale notificării și pierderea afacerii până la efectele mai puțin tangibile asupra
mărcii unei organizații și loialității clienților. Odată cu creșterea numărului de viermi,
viruși, furtul de proprietăți intelectuale, hackeri, statele naționale care se angajează în
războiul informațional și insider-ul rău intenționat - combinat cu noul mileniu exploziv
mediu de reglementare - organizațiile adoptă cel mai bun model de infrastructură de
securitate pentru a se proteja, organizația. și clienții.
Pe lângă problemele de proprietate și de conformitate, prevalența și daunele cauzate de
atacuri au crescut la proporții uluitoare. Aceste atacuri nu numai că cresc în frecvență, ci
și în complexitate și severitate. Timpul până la exploatarea celor mai sofisticați viermi și
viruși de astăzi s-a redus de la ani la luni la zile și, în unele cazuri, la câteva ore.
Apărarea împotriva acestor atacuri devine din ce în ce mai dificilă într-o perioadă scurtă.
Organizațiile trebuie să se apere nu doar împotriva atacurilor externe, ci și a persoanelor
din interior rău intenționate care urmăresc să fure date confidențiale interne, ale clienților
și ale afacerii și să le vândă unor persoane din afară pentru câștigul lor financiar.
Conform studiului recent, instituțiile financiare sunt victimele atacurilor din interior. De
asemenea, multe companii de peste mări nici măcar nu știu că infractorii cibernetici le-au
atacat. De asemenea, atacurile Insider devin o amenințare severă pentru organizații
datorită tehnologiilor emergente, cum ar fi cloud computing, care oferă computerul ca un
utilitar care a atras organizațiile să-și stocheze datele sensibile de la distanță, abonându-
se la stocarea virtuală de la furnizorul de servicii cloud. Această misiune va evidenția

1
 UNITATEA 1 Introducere în securitatea informațiilor

modul în care Comitetul pentru Sistemul Național de Securitate poate ajuta la reducerea
amenințărilor interne rău intenționate în organizație.
fundal
An de an, importanța securității informațiilor (InfoSec) și a asigurării
informațiilor (IA) crește. În 2018, bugetele de securitate au primit o prioritate mai mare la
nivel mondial, comparativ cu 2017. Cheltuielile pentru securitate sunt de așteptat să
crească de la 101 miliarde de dolari în 2017 la 124 de miliarde de dolari în 2019, o
creștere de 12,4% față de anul trecut, conform ultimei prognoze de la Gartner, Inc. În
2019, piața va crește cu 8,7% până la 124 de miliarde de dolari [1].
Cheltuieli de securitate la nivel mondial pe segmente, 2017-2019 (milioane de
dolari SUA) **

Porțiunea de Date Date Date

piață 2017 2018 2019

Securitatea
aplicației 2,434 2,742 3,003

Cloud
Security 185 304 459

Securitatea
datelor 2,563 3,063 3,524

Management
ul accesului
la identitate 8,823 9,768 10,578

Protecția
infrastructurii 12,583 14,106 15,337

Management
ul integrat al
riscurilor 3,949 4,347 4,712

Echipamente
de securitate
a rețelei 10,911 12,427 13,321

Alte
programe de
securitate a
informațiilor 1,832 2,079 2,285

Servicii de
securitate 52,315 58,920 64,237

Software de 5,948 6,395 6,661

securitate
pentru

2
 UNITATEA 1 Introducere în securitatea informațiilor

consumatori

Total 101,544 114,152 124,116

Sursa: Gartner (august 2018)

Gartner a identificat tendințele cheie care afectează cheltuielile pentru securitatea
informațiilor în perioada 2018-2019
Definiția InfoSec și IA
Termenul InfoSec și IA sunt adesea interpretate diferit și sunt adoptate de [2] unde sunt
elaborate prin analiza detaliată. Definițiile InfoSec și IA din această sarcină sunt
prezentate mai jos (în tot textul, toate definițiile importante sunt scrise în cursive).
1. Securitatea informațiilor
InfoSec este o zonă multidisciplinară de studiu și activitate profesională care se
preocupă de dezvoltarea și implementarea contramăsurilor de securitate de toate tipurile
disponibile (tehnice, organizaționale, orientate către om și juridice) pentru a păstra
informațiile în toate locațiile sale (în interiorul și în afara acestuia). perimetrul organizației)
și, în consecință, sistemele informaționale, în care informațiile sunt create, procesate,
stocate, transmise și distruse, fără amenințări[2].
2. Asigurarea informațiilor
IA este o arie multidisciplinară de studiu și activitate profesională care își propune să
protejeze afacerea prin reducerea riscurilor asociate cu sistemele informaționale și
informaționale folosind un management cuprinzător și sistematic al contramăsurilor de
securitate, care este condus de analiza riscurilor și eficiența costurilor [2].
Aici mă refer la zona de cunoștințe Asigurarea și Securitatea Informației (IAS)
[2], aceasta include toate acțiunile îndreptate spre menținerea în siguranță a informațiilor,
precum și managementul acestor acțiuni. Securitatea informațiilor nu mai este acum
responsabilitatea exclusivă a unui grup discret de oameni din companie, ci este
responsabilitatea fiecărui angajat, în special a managerului de sus în jos sau de jos până
la nivelul superior.
Ce este securitatea?
Securitatea este „calitatea sau starea de a fi în siguranță – a fi liber de pericol [3]”. cu
alte cuvinte, protejează adversarii, vătămarea, viermii și atacurile, intenționat sau altfel –
este obiecția.
Securitatea este adesea realizată prin diferite mijloace de planificare și strategii
întreprinse simultan sau utilizate în combinație unele cu altele. De exemplu, Securitatea
Națională este un sistem multistrat, care îi protejează bunurile, resursele, oamenii și
suveranitatea unui stat.
Domenii specializate de securitate
Atingerea nivelului adecvat de securitate pentru o organizație necesită, de asemenea,
un sistem cu mai multe fațete. O organizație de succes ar trebui să aibă următoarele
straturi multiple de securitate pentru a-și proteja operațiunile;

3
 UNITATEA 1 Introducere în securitatea informațiilor

 Securitate fizică: este pentru a proteja obiectele fizice, obiectele sau zonele împotriva
accesului neautorizat și a utilizării greșite
 Securitate personală: este pentru a proteja persoana sau grupul de persoane care sunt
autorizate să acceseze organizația și operațiunile acesteia
 Securitatea operațiunii : este pentru a proteja detaliile operațiunii sau o serie de
activități.
 Securitatea comunicațiilor: se adresează mijloacelor de comunicare, tehnologiei și
conținutului.
 Securitatea rețelei: este pentru a proteja componentele de rețea, conexiunile și
conținutul.
 Securitatea informațiilor: este protecția informațiilor și a elementelor sale critice
(Confidențialitate, Integritate și disponibilitate), inclusiv sistemele și hardware-ul care
utilizează, stochează și transmit acele informații prin aplicarea politicilor, educației,
tehnologiei, instruirii și conștientizării. program.
Comitetul pentru sistemele naționale de securitate (CNSS)
CNSS definește securitatea informațiilor ca fiind protecția informațiilor și a elementelor
sale critice, inclusiv sistemele și hardware-ul care utilizează, stochează și transmit acele
informații [4]. Modelul CNSS de securitate a informațiilor a evoluat dintr-un concept
dezvoltat de industria securității informatice numit triunghiul CIA. Figura 1-1 arată că
securitatea informațiilor include domenii largi de management al securității informațiilor,
securitatea computerelor și tata și securitatea rețelei.

Figu
ra 1-1 Componentele securității informațiilor

Triada/Triunghiul CIA
Triunghiul CIA a fost standardul industriei pentru securitatea computerelor de la
dezvoltarea mainframe-ului. Se bazează pe cele trei caracteristici ale informațiilor care îi
conferă valoare organizației.

4
 UNITATEA 1 Introducere în securitatea informațiilor

Figura
1.2 CI A Triunghi/Triadă
Caracteristicile critice ale informațiilor
La început, se bazează pe trei caracteristici majore ale informațiilor, iar acum s-a extins
într-o listă mai cuprinzătoare de caracteristici critice ale informațiilor.
 Confidențialitate: Un alt termen pentru confidențialitate ar fi confidențialitate. Politicile
companiei ar trebui să restricționeze accesul la informații personalului autorizat și să se
asigure că numai acele persoane autorizate vizualizează aceste date. Datele pot fi
compartimentate în funcție de nivelul de securitate sau de sensibilitate al informațiilor.
Folosire greșită.
De exemplu, operatorul mașinii nu ar trebui să aibă acces la informațiile personale ale
tuturor angajaților. În plus, angajații ar trebui să primească instruire pentru a înțelege cele
mai bune practici în protejarea informațiilor sensibile pentru a se proteja pe ei înșiși și
organizația de atacuri.
Cea mai bună metodă folosită aici pentru a asigura confidențialitatea este de a include
criptarea datelor, ID-ul numelui de utilizator și parola, autentificarea în doi factori și
reducerea la minimum a expunerii informațiilor sensibile.
 Integritate: Integritatea este denumirea de acuratețea, consistența și credibilitatea
datelor pe parcursul întregului ciclu de viață. Aici ne asigurăm că datele trebuie să fie
nemodificate în timpul tranzitului și să nu fie modificate de entități neautorizate.
5
 UNITATEA 1 Introducere în securitatea informațiilor

cum se asigură integritatea datelor?

 Permisiunile fișierelor și controlul accesului utilizatorului pot împiedica accesul
neautorizat.
 Controlul versiunilor poate fi utilizat pentru a preveni modificările accidentale de către
utilizatorii autorizați.
 Backup-ul trebuie să fie disponibil pentru a restaura orice date corupte
 Hashingul sumei de control poate fi utilizat pentru a verifica integritatea datelor în timpul
transferului
 O sumă de verificare este utilizată pentru a verifica integritatea fișierelor sau șirurilor de
caractere după ce acestea au fost transferate de la un dispozitiv la altul prin rețeaua
locală sau pe internet.

 De exemplu: dacă uitați parola, parola dvs. nu poate fi recuperată din valoarea hashing.
Ele trebuie resetate.
 Dacă ați descărcat un fișier, puteți verifica integritatea acestuia verificând valorile hash
din sursă cu cea pe care ați generat-o folosind orice calculator hash. Comparând valorile
hash, vă puteți asigura că fișierul nu a fost alterat sau corupt în timpul transferului.
 Disponibilitate: Caracteristica informațiilor care permite utilizatorului accesul la informații
într-un format cerut, fără interferențe sau obstacole. Un utilizator în această definiție
poate fi fie o persoană, fie un alt sistem informatic.
 De exemplu, aceasta include întreținerea echipamentelor, efectuarea de reparații
hardware, menținerea actualizate a sistemelor de operare și a software-ului și crearea de
copii de rezervă pentru a asigura disponibilitatea rețelei și a datelor pentru utilizatorii
autorizați. Ar trebui să existe planuri de recuperare rapidă în urma dezastrelor naturale
sau provocate de om. Echipamentele de securitate sau software-ul, cum ar fi firewall-
urile, protejează împotriva timpilor de nefuncționare din cauza atacurilor, cum ar fi refuzul
serviciului (DoS). Refuzarea serviciului apare atunci când un atacator încearcă să
copleșească resursele, astfel încât serviciile nu sunt disponibile pentru utilizatori.

6
 UNITATEA 1 Introducere în securitatea informațiilor

Figu
ra 1.3 ADS (Soluție Anti-DDoS)
 Confidențialitate: Informațiile care sunt colectate, utilizate și stocate de o organizație
trebuie utilizate numai în scopul declarat proprietarului datelor la momentul în care au
fost colectate. Această definiție a confidențialității se concentrează asupra libertății de
observație, ci mai degrabă înseamnă că informațiile vor fi utilizate numai într-un mod
cunoscut de persoana care le furnizează.
 Identificare: Un sistem informațional posedă caracteristica identificării atunci când
recunoaște utilizatorii individuali. Identificarea și autentificarea sunt esențiale pentru
stabilirea nivelului de acces sau autorizare pe care i se acordă unei persoane.
 Autentificare : autentificarea are loc atunci când un control oferă dovada că un utilizator
deține identitatea pe care o pretinde. În domeniul securității informatice, e-Business și
informaționale, este necesar să se asigure că datele, tranzacțiile, comunicările sau
documentele (electronice sau fizice) sunt autentice sau nu au fost falsificate sau
fabricate.
 Autorizare : După ce identitatea unui utilizator este autentificată, un proces numit
autorizare oferă asigurarea că utilizatorul (fie o persoană sau un computer) a fost
autorizat în mod specific și explicit de către autoritatea competentă să acceseze, să
actualizeze sau să poată șterge conținutul activelor informaționale. . Utilizatorul poate fi o
persoană sau un computer.
 Responsabilitate : Caracteristica responsabilității există atunci când un control oferă
asigurarea că fiecare activitate întreprinsă poate fi atribuită unei persoane numite sau
unui proces automat. De exemplu, jurnalele de audit care urmăresc activitatea
utilizatorului pe un sistem de informații oferă responsabilitate.
 Acuratețe : informațiile trebuie să aibă acuratețe. Informațiile au acuratețe atunci când
sunt lipsite de greșeli sau erori și au valoarea la care se așteaptă utilizatorii finali. Dacă
informația conține o valoare diferită de așteptările utilizatorului, din cauza modificării
intenționate sau neintenționate a conținutului acesteia, aceasta nu mai este exactă.
 Utilitate : Utilitatea informațiilor este calitatea de a avea valoare pentru un scop final.
Dacă informațiile sunt disponibile, dar nu sunt într-un format semnificativ pentru
utilizatorul final, nu sunt utile. De exemplu, datele recensământului din SUA pot fi greu
de interpretat pentru un cetățean privat în comparație cu politicienii. Politicianului îi poate
dezvălui informații legate de următoarea sa campanie.

7
 UNITATEA 1 Introducere în securitatea informațiilor

 Posesia: Posesia securității informațiilor este calitatea sau starea de a deține

proprietatea sau controlul asupra unui obiect sau articol.
Model de securitate NSTISSC
„Comitetul de securitate națională pentru telecomunicații și sisteme informatice”. Acum
se numește Standardul național de instruire pentru profesioniști în securitatea
informațiilor. Acest model de securitate este un model cuprinzător de InfoSec cunoscut
sub numele de cubul McCumbers creat în 1991, care poartă numele unui dezvoltator,
John McComber. Devine un standard pentru a determina caracteristicile, locația și
securitatea informațiilor. Este un model tridimensional. Aceste trei dimensiuni sunt
reprezentate într-un cub cu 27 de celule, fiecare celulă reprezentând fiecare aspect al
informației.
Celulele care pot fi reprezentate sunt cele de mai jos
 Confidențialitate, integritate, disponibilitate
 Politică, Educație, Tehnologie
 Stocare, procesare, transmitere
Cubul McCumbers din figura 1-5, arată trei dimensiuni, fiecare axă devenind un cub
3x3x3 cu 27 de celule reprezentând zone care trebuie abordate pentru a securiza
sistemele informaționale de astăzi. Fiecare dintre cele 27 de zone trebuie abordate în
mod corespunzător în timpul procesului de securitate,
De exemplu
Intersecția dintre tehnologie, integritate și stocare necesită control sau protecție
care abordează nevoia de a utiliza tehnologia pentru a proteja integritatea informațiilor în
timpul stocării. Un astfel de control ar putea fi un sistem de detectare a intruziunii gazdei
care protejează integritatea informațiilor, alertând administratorii de securitate cu privire
la potențiala modificare a fișierelor critice.

8
 UNITATEA 1 Introducere în securitatea informațiilor

Ceea ce este în mod obișnuit lăsat în afara unui astfel de model este nevoia de linii
directoare și politici care să ofere direcție pentru practicile și implementările tehnologiilor.
Componentele unui sistem informatic
– Software – Hardware – Date
– Oameni – Proceduri – Rețele
 Software
Componentele software ale Sistemului Informațional (IS) cuprind aplicații, sisteme de
operare și utilitare de comandă asortate. Programele software sunt vasele care
transportă sângele vital al informațiilor printr-o organizație. Acestea sunt adesea create
sub constrângerile solicitante ale managementului de proiect, care limitează timpul,
costurile și forța de muncă.
 Hardware
Hardware-ul este tehnologia fizică care execută software-ul, stochează și transportă
datele și oferă interfețe pentru introducerea și eliminarea informațiilor din sistem. Politicile
de securitate fizică se ocupă de hardware-ul ca bun fizic și de protecția acestor active
fizice împotriva vătămării sau furtului. Aplicarea instrumentelor tradiționale de securitate
fizică, cum ar fi încuietori și chei, restricționează accesul și interacțiunea cu
componentele hardware ale oricărui sistem informatic. Securizarea locației fizice a
computerelor și a computerelor în sine este importantă, deoarece o încălcare a securității
fizice poate duce la pierderea de informații. Din păcate, majoritatea sistemelor de
informații sunt construite pe platforme hardware care nu pot garanta niciun nivel de
securitate a informațiilor dacă accesul nerestricționat la hardware, dacă este posibil.
 Date
 Datele stocate, procesate și transmise printr-un sistem informatic trebuie protejate
 Datele sunt adesea cel mai valoros bun deținut de o organizație și sunt ținta principală a
atacurilor intenționate.
 Faptele și cifrele brute, neorganizate, izolate potențial utile, care sunt ulterior procesate și
manipulate pentru a produce informații.
 oameni
Există multe roluri pentru oameni în sistemele informaționale. cele comune includ
 Analist de sistem
 Programator
 Tehnician
 Inginer
 Manager de rețea
 MIS (Manager de sisteme informatice)
 Operator introducere date
 Procedură

9
 UNITATEA 1 Introducere în securitatea informațiilor

O procedură este o serie de acțiuni documentate întreprinse pentru a realiza ceva. O

procedură este mai mult decât o singură sarcină simplă. O procedură poate fi destul de
complexă și implicată, cum ar fi efectuarea unei copii de siguranță, închiderea unui
sistem, corecția software-ului.
 Rețele
 Atunci când sistemele informaționale sunt conectate pentru a forma rețele locale (LAN),
iar aceste rețele LAN sunt conectate la alte rețele, cum ar fi internetul, apar rapid noi
provocări de securitate.
 Pașii pentru asigurarea securității rețelei sunt esențiali, la fel ca și implementarea
sistemului de alarmă și intruziune pentru a-i face pe proprietarii de sisteme conștienți de
compromisurile în curs.
Componente de Securizare
Protejarea componentelor de potențialele utilizări abuzive și abuzive de către utilizatori
neautorizați, în cazul în care computerul este folosit ca instrument activ pentru a conduce
atacul sau computerul însuși este entitatea atacată.
Există două tipuri de atacuri
 Atacul direct: Când un hacker își folosește computerul personal pentru a intra în sistem.
 Atacul indirect: Când un sistem este compromis și folosit pentru a ataca un alt sistem.

Prin urmare, un computer poate fi atât subiectul, cât și obiectul unui atac, de exemplu,
dacă sistemul de la distanță un atac asupra sistemului și apoi sistemul este compromis și
apoi folosește acel sistem pentru a ataca un alt sistem, moment în care devine mai
vulnerabil. obiectul atacului unui atac,
Echilibrarea securității informațiilor și accesului
 Securitatea informațiilor nu poate fi absolută: este procesată, nu un scop
 Trebuie să ofere securitatea și, de asemenea, este posibil să accesați informațiile pentru
aplicarea sa
 Ar trebui să echilibreze protecția și disponibilitatea.
Abordări ale implementării informațiilor
10
 UNITATEA 1 Introducere în securitatea informațiilor

 Abordarea de jos în sus

 Abordare de sus în jos
 Are o probabilitate mai mare de succes.
 Proiectul este inițiat de manageri de nivel superior care emit politici, proceduri și procese.
 Dictează obiectivele și rezultatele așteptate ale proiectului.
 Determinați cine este potrivit pentru fiecare dintre acțiunile necesare.
Metodologia SDLC Waterfall
SDLC – este o metodologie pentru proiectarea și implementarea unui sistem
informațional într-o organizație.
 O metodologie este o abordare formală a rezolvării unei probleme bazată pe o secvență
structurată de proceduri.
 SDLC este format din 6 faze.

Investigație: Este cea mai importantă fază și începe cu o examinare a evenimentului sau a
planului care inițiază procesul. În timpul fazei, sunt specificate obiectivele, constrângerile și
domeniul de aplicare al proiectului. La finalul acestei faze, se realizează o analiză de
fezabilitate, care evaluează fezabilitățile economice, tehnice și comportamentale ale
procesului și se asigură că implementarea merită timpul și efortul organizației.
Analiza: Se incepe cu informatiile obtinute in faza de investigatie. Constă în calitatea
organizației, starea sistemelor actuale și capacitatea de a susține sistemele propuse. Analiștii
încep prin a determina ce se așteaptă să facă noul sistem și cum va interacționa cu sistemele
existente.
Proiectare logică: În această fază, informațiile obținute din faza de analiză sunt folosite
pentru a începe crearea unei soluții de sistem pentru problema de afaceri. Pe baza nevoilor
afacerii, sunt selectate aplicații care pot oferi serviciile necesare. Pe baza aplicațiilor necesare,
sunt apoi alese suportul de date și structurile capabile să ofere intrările necesare. În această
fază, analiștii generează mai multe soluții alternative, fiecare având punctele forte și punctele
slabe corespunzătoare, precum și costurile și beneficiile. La finalul acestei faze, se realizează
o altă analiză de fezabilitate.

11
 UNITATEA 1 Introducere în securitatea informațiilor

Proiectare fizică: În această fază, sunt selectate tehnologii specifice pentru a sprijini soluțiile
dezvoltate în proiectarea logică. Componentele selectate sunt evaluate pe baza unei decizii de
a face sau de a cumpăra. Designul final integrează diverse componente și tehnologii.
Implementare: În această fază, este creat orice software necesar. Componentele sunt
comandate, primite și testate Ulterior; utilizatorii sunt instruiți și se creează documentație de
sprijin. Odată ce toate componentele sunt testate individual, acestea sunt instalate și testate
ca un sistem. Din nou, este pregătită o analiză de fezabilitate, iar sponsorilor li se prezintă apoi
sistemul pentru o evaluare a performanței și un test de acceptare.
Întreținere și schimbare: este cea mai lungă și mai costisitoare fază a procesului. Acesta
constă în sarcinile necesare pentru a susține și modifica sistemul pentru restul ciclului de viață
util. Periodic, sistemul este testat pentru conformitate, cu nevoile afacerii. Actualizările,
actualizările și corecțiile sunt gestionate. Pe măsură ce nevoile organizației se schimbă,
trebuie să se schimbe și sistemele care susțin organizația. Când un sistem actual nu mai
poate susține organizația, proiectul este încheiat și este implementat un nou proiect.
Profesionişti în securitate şi organizaţie
 Biroul de informare principal al conducerii (CIO) este responsabil pentru evaluarea,
managementul și implementarea securității informațiilor în organizație.
 Echipa de proiect pentru securitatea informațiilor
 Campion: promovează proiectul pentru a-i asigura sprijinul, atât financiar, cât și
administrativ.
 Lider de echipă: înțeleg managementul de proiect, managementul personalului și
cerințele tehnice de securitate informațională.
 Dezvoltatori de politici de securitate: astfel de persoane care înțeleg cultura
organizațională, politicile existente și cerințele pentru dezvoltarea și
implementarea politicilor de succes.
 Specialiști în evaluarea riscurilor: aceștia sunt acele persoane care înțeleg
tehnicile de evaluare a riscurilor financiare, valoarea activelor organizaționale și
metoda de securitate care trebuie utilizată.
 Profesioniști în securitate: ar trebui să fie specialiști dedicați, instruiți și bine
educați în toate aspectele securității informațiilor, atât din punct de vedere tehnic.
 Administratori de sistem: aceștia administrează sistemele care găzduiesc
informațiile utilizate de organizație.

12
 UNITATEA 1 Introducere în securitatea informațiilor

 Proprietarii de date: sunt responsabili pentru securitatea și utilizarea unui set de

informații. Ei sunt, de asemenea, responsabili să determine nivelul de clasificare a
datelor. Ei lucrează cu managerii subordonați pentru a supraveghea administrarea de zi
cu zi a datelor.
 Custozii de date: sunt responsabili pentru stocarea, întreținerea și protecția informațiilor.
Ei trebuie să supravegheze stocarea datelor și backup-urile, implementând procedurile și
politicile specifice.
 Utilizatori de date: lucrează cu informațiile pentru a-și îndeplini sarcinile zilnice
susținând misiunea organizației. Toată lumea din organizație este responsabilă pentru
securitatea datelor, astfel încât utilizatorii de date sunt incluși aici ca persoane cu rol de
securitate a informațiilor.
Modelul CNSS pentru Securitate Universitară
Obiectivele de bază ale modelului CNSS/NSTISSC sunt securizarea datelor în 3
moduri probabile:
 Utilizarea serviciilor de securitate
 Menținerea stărilor informaționale
 Stabilirea contramăsurilor de securitate

13
 UNITATEA 1 Introducere în securitatea informațiilor

1. Confidențialitate-Politică și stocare: în acest proces, Universitatea are anumite politici

și linii directoare pentru un student și personal înscris. Toate datele relevante asociate
sunt păstrate confidențiale și accesibile numai personalului autorizat, iar Universitatea
oferă o soluție de stocare securizată pentru a proteja datele acesteia și ale studenților.
2. Confidențialitate-Politică și prelucrare: în acest proces, o persoană autorizată este
desemnată să prelucreze datele ori de câte ori este necesar. Acea persoană trebuie să
păstreze confidențialitatea datelor și să lucreze în conformitate cu politicile universității.
Exemplul pe care îl pot pune aici este că trimit această temă electronic doar lectorului
meu.
3. Confidențialitate-Politică și transmitere: în acest proces, doar păstrarea confidențialității
datelor și a lucrului personal conform politicilor nu este suficientă, deoarece este necesar
un mediu securizat pentru transmiterea acelor date atunci când un utilizator solicită
accesul. Universitatea este obligată să utilizeze toate măsurile necesare pentru a asigura
o transmitere.
4. Confidențialitate-Educație și stocare: numai un student înscris ar trebui să primească
materialele subiectului înscris. Aceasta înseamnă că utilizarea datelor educaționale și
stocarea materialelor ar trebui păstrate confidențiale pentru studenții actuali, nu pentru
toți.
5. Confidențialitate-Educație și Prelucrare: lectorul trebuie să actualizeze diapozitivele sau
materialele educaționale actualizează în mod constant orice materiale noi și le trimite
studenților la subiectul înscris.
6. Confidențialitate-Educație și transmitere: Datele și informațiile legate de subiect să fie
păstrate în siguranță prin aplicarea unei game de măsuri, cum ar fi doar studenții înscriși

14
 UNITATEA 1 Introducere în securitatea informațiilor

care participă la cursuri, deoarece schimbul de carduri va deschide doar ușile sălii de
curs.
7. Confidențialitate-Tehnologie și stocare: utilizarea unui sistem de baze de date pentru a
stoca și a transfera date numai către studenții care urmează să le folosească.
8. Confidențialitate-Tehnologie și procesare: Sistem de procesare avansat, deoarece viteza
de colectare a textului și stocarea datelor în baza de date a universității. Această metodă
menține confidențialitatea deoarece sistemul integrează automat datele dintr-un formular
în altul.
9. Confidențialitate-Tehnologie și transmisie: Utilizarea fibrei optice pentru a transfera date
între terminale scade șansele ca datele să fie furate, corupte, în mod similar, utilizarea
criptografiei în transmisie asigură securitatea datelor.
10. Integritate-Politică și stocare: Datele care urmează să fie încărcate în format electronic,
profesorul și personalul universitar ar trebui să verifice fișierele pentru a fi corupte sau
deteriorate. Politica de încărcare a fișierelor trebuie menținută.
11. Integritate-politică și procesare: prelucrarea ar trebui să fie efectuată de o persoană care
este la curent cu politicile universității și este suficient de bine informată pentru a nu greși
datele în timpul procesării.
12. Integritate-Politică și transmitere: Datele electronice corecte sunt accesibile studenților la
un moment dat, folosind metode cu fir sau fără fir.
13. Integritate-Educație și stocare: Cursul oferă date actualizate despre baza de date a
universității pentru ca studenții să o utilizeze fără greșeli cu privire la informațiile pe care
le obțin.
14. Integritate-Educație și procesare: Datele și materialele educaționale în timpul procesării
nu trebuie modificate și verificate înainte de finalizarea încărcării în sistem.
15. Integritate-Educație-Transmitere: numai datele exacte și utile să fie încărcate în baza de
date a studenților, deoarece nicio dată incorectă nu duce la o problemă în universitate.
16. Integritate-Tehnologie și stocare: Materialele subiectului legate de un anumit subiect sunt
stocate în sistemul de baze de date a universității după ce au fost verificate și verificate
ca fiind corecte și utile studenților.
17. Integritate-Tehnologie și procesare: Unele sisteme sau software sunt utilizate pentru a
verifica autenticitatea datelor de încărcare.
18. Integritate-Tehnologie și transmisie: datele din rețeaua universitară trebuie să fie corecte
și să fie disponibile numai după finalizarea integrității utilizării acesteia.
19. Disponibilitate-Politică și stocare: studenții ar trebui să obțină oricând datele din baza de
date a universității. Datele ar trebui să respecte toate regulile și politicile stabilite de
universitate.
20. Disponibilitate-Politică și procesare: Datele din sistemul universitar ar trebui să fie lăsate
să fie editate de către o persoană responsabilă ori de câte ori se găsesc unele probleme
în datele disponibile.

15
 UNITATEA 1 Introducere în securitatea informațiilor

21. Disponibilitate-Politică și transmitere: modificarea datelor de către lector cu privire la

subiectul lor ar trebui să fie imediat disponibilă pentru utilizare de către studenți și nu ar
trebui să încalce nicio regulă și politică.
22. Disponibilitate-Educație și stocare: Materialul stocat în baza de date a universității trebuie
să fie actualizat și gata de utilizare de către un student în orice moment.
23. Disponibilitate-Educație și procesare: Dacă urmează să fie făcute modificări în
diapozitivele cursului sau în orice date. Personalul autorizat trebuie să îl acceseze și să
fie gata de utilizare.
24. Disponibilitate-Educație și transmitere: datele întotdeauna gata de utilizare ar trebui
să fie în sistem, astfel încât studenții să poată utiliza și descărca oricând au nevoie.
25. Disponibilitate-Tehnologie și stocare: Toate documentele necesare legate de stocarea
studenților în sistemul de baze de date universitar după ce au fost verificate și verificate
ca fiind corecte, astfel încât studentul să poată utiliza și descărca fără probleme
26. Disponibilitate-Tehnologie și procesare: Datele din sistemul universitar ar trebui să fie
disponibile pentru a fi editate de către o persoană responsabilă ori de câte ori se găsește
o problemă cu datele disponibile.
27. Disponibilitate-Tehnologie și transmitere: Toate documentele necesare trebuie să fie
accesibile studenților și profesorilor pentru a le descărca sau modifica în funcție de
privilegii oricând doresc.

16