UNIVERSITATEA DE STAT DIN MOLDOVA

FACULTATEA DE FIZICĂ ȘI INGINERIE

DEPARTAMENTUL FIZICĂ APLICATĂ ȘI INFORMATICĂ

BRICEAC DOINA

“METODE ȘI TEHNICI DE PROTECȚIE ȘI SECURITATE A

SISTEMELOR INFORMAȚIONALE”

526.2 TEHNOLOGII INFORMAȚIONALE

Teză de an

Șef Departament _____________ Vatavu Sergiu dr.,conf.,univ

(semnătura)

Conducător ştiinţific: _____________ Beldiga Maria dr.,conf.,univ

(semnătura)

Autorul: ______________
(semnătura)

Chişinău-2019
 CUPRINS
LISTA ABREVIERI LOR 3

INTRODUCERE 4

SISTEM INFORMAȚIONAL 5

1.1 Noțiuni , definiții ,concepte 5

1.2 Metode și tehnici de realizare a sistemelor informatice 5

1.3 Securitatea Sistemelor Informaționale 7

1.4 Clasificarea amenințărilor Sistemelor Informaționale după criterii 8

1.5 Concluzii la capitolul I 9

II. METODE ȘI TEHNICI DE PROTECȚIE A SISTEMELOR INFORMAȚIONALE 11

2.1Tehnologii de restricție 11

2.2 Managementul sistemului de securitate informațională al firmei 14

2.4 Concluzii la capitolul II 22

CONCLUZII ȘI RECOMANDĂRI 24

BIBLIOGRAFIE 25

2
 LISTA ABREVIERI LOR

OECD - (Organization of Economic Cooperation and Development): este unul din organismele
internaționale preocupate de domeniul protecției datelor cu caracter personal, securității
sistemelor informatice, politicii de cifrare şi al protecției proprietății intelectuale.
ISO/IEC - Organizația Internațională de Standardizare cu privire la securitatea sistemelor
informaționale
ISMS - Sistemul de management al securității informațiilor, o politică de securitate a
informațiilor
CTS - Centrului de telecomunicaţii speciale
UE - Uniunea Europeană
TI - Tehnologii Informaționale
SI: Securitatea Sistemelor Informaționale
PKI - Chei publice
SSL - Secure Socket Layer publice ( reprezintă un protocol Web securizat care permite criptarea
şi autentificarea comunicațiilor Web utilizând PKI pentru autentificarea serverelor şi a clienților)
SSO - Semnătură electronică

3
 INTRODUCERE

Actualitatea și importanța temei. Societatea contemporană îmbrățișează din ce în ce

mai mult tehnologia informației ca factor de producție. Până nu de mult informația avea la bază
hârtia, actualmente, aceasta, este gestionată mai mult în forma electronică. [4]. Progresele
științifice și tehnologice au transformat informațiile într-un produs care poate fi cumpărat, vândut
sau schimbat. Deseori, costul datelor este de câteva ori mai mare decât costul întregului sistem
tehnic care stochează și procesează informații. Având în vedere că, calitatea informațiilor
comerciale asigură efectul economic necesar pentru instituții, este foarte important să se
protejeze datele critice de acțiuni ilegale. O gestiune corespunzătoare a documentelor în format
electronic face necesară implementarea unor măsuri specifice. Acestea ar trebui să asigure
protecția informațiilor împotriva pierderii, distrugerii sau divulgării neautorizate. Cel mai
sensibil aspect este acela de a asigura securitatea informației gestionată de sistemele informatice
în noul context tehnologic al economiei contemporane[9].
Un sistem informatic reprezintă un sistem care permite introducerea de date prin
procedee manuale sau prin culegere automată de către sistem, stocarea acestora, prelucrarea lor
și extragerea informației sub diverse forme. Astfel , prin securitatea sistemelor informatice se
presupune protejarea împotriva furtului sau a deteriorării hardware-ului, a software-ului și a
informațiilor despre acestea, precum și perturbarea sau apariția unor greșeli pentru serviciile pe
care le furnizează [1].
Scopul lucrării constă în delimitarea noțiunilor de securitate a sistemelor informatice și
securitate informațională, identificarea cauzelor și condițiilor care favorizează lezarea securității
sistemelor informatice, în vederea elucidării recomandărilor privind măsurile de asigurare a
securității sistemelor informatice, care stau la baza siguranței informaționale. Totodată, în cadrul
lucrării se propune să se definească conceptul de sistem de protecție a informației
computerizate, precum și de identificat pilonii care stau la baza organizării unei protecții de
rigoare a sistemelor informatice. În capitolul întâi , se pune accent pe cauzele și consecințele unei
eventuale crime informaționale ,necesitatea soluționării problemelor legate de securitatea
sistemelor informaționale . Capitolul doi,se referă la metode de protecție si pașii necesari pentru
aplicarea și implementarea unor norme de siguranță binevenite pentru orice sistem de calcul.

4
 I. SISTEM INFORMAȚIONAL

1.1 Noțiuni , definiții ,concepte

Un sistem reprezintă un ansamblu de elemente (componente) interdependente între

care se stabilește o interacțiune dinamică, pe baza unor reguli prestabilite, cu scopul atingerii
unui anumit obiectiv [4]. Conform teoriei sistemelor orice organism economic este un sistem.
în cadrul acestei lucrări prin organizație se va referi o intreprindere, instituție, societate
comercială. în orice organizație se disting 3 componente: sistemul de conducere sau de
decizie; sistemul informațional; sistemul operațional.
Sistemul informațional cuprinde ansamblul informațiilor interne şi externe utilizate
în cadrul organizației precum şi datele care au stat la baza obținerii lor, procedurile şi tehnicile
de obținere a informațiilor (plecând de la datele primare) şi de difuzare a informațiilor,
precum și personalul implicat în culegerea, transmiterea, stocarea şi prelucrarea datelor.
Sistemul informațional are două componente: componenta pentru stocarea (memorarea
informațiilor); componenta pentru prelucrarea informațiilor. Orice organizație interacționează
cu alte organizații externe ei primind informații din exterior și furnizând informații către
lumea exterioară. Funcțiile unui sistem informațional sunt: - să colecteze informații din
sistemele operațional și decizional precum și informațiile ce provin din mediul extern; - să
memoreze aceste informații precum și informații rezultate din prelucrarea lor; - să asigure
accesul la memorie în vederea comunicării informațiilor stocate; - să prelucreze informațiile
la cererea sistemului operațional și a sistemului de conducere.
Noțiunea de sistem informatic este legată de informatizarea activității organizației,
deci folosirea echipamentelor hardware și a produselor software pentru organizarea şi
administrarea informațiilor. Utilizarea calculatoarelor în cadrul sistemului informațional (SI)
al unei organizații conduce la definirea componentei
Un sistem informatic este un sistem utilizator-calculator integrat, care furnizează
informații pentru a sprijini activitățile de la nivel operațional și activitățile de management
într-o organizație, utilizând echipamente hardware și produse software, proceduri manuale, o
bază de date şi modele matematice pentru analiză, planificare, control şi luarea deciziilor [10].

5
 1.2 Metode și tehnici de realizare a sistemelor informatice

La realizarea sistemelor informatice se utilizează : metode, tehnici, instrumente,

procedee de lucru [2]. Metodele utilizate în proiectarea sistemelor informatice reprezintă
modul unitar sau maniera comună în care analiștii de sisteme, programatorii și alte categorii
de persoane implicate, realizează procesul de analiză a sistemului informațional-decizional
existent, proiectarea şi introducerea sistemului informatic. Deci, metoda are un caracter
general, în cadrul ei aplicându-se anumite tehnici de lucru.

Tehnicile de lucru utilizate în proiectarea sistemelor informatice reprezintă felul în

care se acționează eficient şi rapid, în cadrul unei metode, pentru soluționarea diferitelor
probleme ce apar în procesul de proiectare. Prin aceste tehnici se îmbină armonios
cunoștințele despre metode cu măiestria personală a celor chemați să aplice metodele și să
utilizeze instrumentele adecvate [2]. Utilizarea acestor metode, tehnici, instrumente, procedee
de lucru în proiectarea sistemelor informatice se face în conformitate cu o serie de principii şi
în limita unor metodologii de lucru care se adoptă în funcție de situația reală la care se referă.
în abordările incipiente se lucra cu probleme izolate și ulterior s-a efectuat trecerea la
abordarea sistemică (modulară), odată cu abordarea funcțională sau, mai bine zis, cu analiza
și descompunerea funcțională (în fiecare modul există câte o funcție) şi ulterior abordarea
orientată-obiect [2]. Pe parcurs s-au impus două strategii de abordare şi anume: - strategia top
down (de sus în jos); - strategia bottom - up evolutivă (de jos în sus). în strategia top - down
abordarea generală este divizată în unități componente prin rafinări repetate, metoda de
proiectare putând fi descrisă sub forma unei diagrame ierarhice cu module de control pe
nivele superioare şi cu module detaliate pe nivelele inferioare.

Structura organizatorică a unei unități economico-sociale numită organigrama unității

poate fi reprezentată printr-o astfel de diagramă ierarhică. Pentru unități economice
productive în organigramă se disting următoarele patru nivele de reprezentare [10]: -nivelul
conducerii strategice, reprezentat de directorul general şi consiliul de administrație; nivelul
conducerii tactice (directori pe funcții); nivelul compartimentelor funcționale (servicii şi
posturi de lucru) și de proiectare, cercetare (laboratoare) care asigură conducerea operativă a
sistemului prin șefii lor; nivelul compartimentelor de producție (secții, ateliere) care
realizează funcția de producție a sistemului economic. în strategia bottom - up evolutivă, se
pornește de la o tratare minimală care se extinde treptat pe măsura înaintării în realizarea
sistemului.

6
 1.3 Securitatea Sistemelor Informaționale
Potențialul societății informaționale este în continuă creștere datorită dezvoltării
tehnologice și a căilor de acces multiple. În acest context, desfășurarea în bune condiții a
activității securității sistemelor informatice impune existența unui sistem IT funcțional
Managementul securității sistemelor IT constituie un factor hotărâtor în buna desfășurare
a activității unei companii, pentru asigurarea protecției datelor și a efectuării de tranzacții
electronice în condițiile în care activitatea celor mai multe instituții, întreprinderi depinde în
proporție de circa 67 % de propriul lor sistem informatic. Se pot enumera printre principalele
mijloace tehnice implementate de întreprinderile societății moderne a căror activitate nu se poate
desfășura optim fără un sistem informatic bine pus la punct: programe antivirus, salvare a
datelor, instruire referitoare la importanța implementării și urmăririi măsurilor de securitate.
Societatea informațională impune: reglementarea legilor și drepturilor pentru dezvoltarea
comerțului electronic,îmbunatățirea productivității și calității vieții .
Securitatea informației se definește ca capacitatea sistemului de prelucrare a informației
de a asigura în anumită perioadă de timp a posibilității de executare a cerințelor stabilite după
mărimea probabilității realizării evenimentelor, manifestate în:exodul informației;modificarea
sau pierderea de date, ce prezintă anumită valoare pentru deținător . Cauzele acestor evenimente
pot fi:impactul acțiunilor cu caracter stocastic ale omului;impactul acțiunilor premeditate ale
omului în formă de acces nesancționat în sistem [2].
Asigurarea securității datelor presupune realizarea a patru obiective:

1. Confidențialitatea, uneori numită secretizare, își propune să interzică accesul

neautorizat al persoanelor la informația care nu le este destinată. Confidențialitatea reprezintă
țelul suprem al securității calculatoarelor. Pentru asigurarea confidențialității trebuie știut care
sunt informațiile care trebuie protejate și cine trebuie sau cine nu trebuie să aibă acces la ele.
Aceasta presupune să existe mecanisme de protecție a informațiilor care sunt stocate în
calculatoare și care sunt transferate în rețea între calculatoare. În Internet, confidențialitatea
capătă noi dimensiuni sub forma unor măsuri de control al confidențialității. Ţările dezvoltate,
Statele Unite, Canada, Australia, Japonia etc., au reglementat prin lege controlul
confidenţialităţii.

2.Integritatea,uneori numită acurateţe, îşi propune ca datele stocate în calculator să nu

poată fi alterate sau să nu poată fi modificate decât de persoane autorizate. Prin alterarea datelor
se înţelege atât modificarea voit malițioasă, cât şi distrugerea acestora. Dar datele pot fi alterate,
sau chiar pierdute/distruse, nu numai ca urmare a unei acţiuni răuvoitoare, ci şi ca urmare a unei
erori hardware, erori software, erori umane sau a unei erori a sistemelor de securitate. În acest
caz se impune să existe un plan de recuperare şi refacere a datelor(existenţa unei copii de
siguranţă)[2].

7
 3.Disponibilitatea,îşi propune ca datele stocate în calculatoare să poată să fie accesate de
persoanele autorizate. Utilizatorii trebuie să aibă acces doar la datele care le sunt destinate. Se
pot distinge aici două categorii de utilizatori, cu drepturi de acces diferite: administratorii de
sistem şi utilizatorii generali, excepţie făcând sistemele de operare care echipează calculatoarele
desktop. Orice utilizator general va putea să schimbe configurările de securitate ale
calculatorului mergând până acolo încât să le anuleze[2].

4.Nerepudierea, termen recent apărut în literatura de specialitate, îşi propune să

confirme destinatarului unui mesaj electronic faptul că acest mesaj este scris şi trimis de
persoana care pretinde că l-a trimis. În acest fel se asigură încrederea părţilor. Expeditorul nu
poate să nege că nu a trimis el mesajul. Nerepudierea stă la baza semnăturilor digitale, asigurând
autenticitatea acestora, în noua piaţă a comerţului electronic (E-Commerce).

Obiectele critice (supuse securitizării, controlului sau/ şi gestiunii în condiţii de

siguranţă): sisteme de telecomunicaţie ,sisteme bancare,stații atomice,sisteme de gestiune a
transportului aerian şi rutier;isteme de prelucrare şi păstrare a informaţiei secrete şi
confidenţiale[2].

1.4 Clasificarea ameninţărilor Sistemelor Informaționale după criterii

După mijloacele de realizare/ de acţionare asupra sistemului de calcul (în clase):

1.Intervenţia omului în funcţionarea sistemului de calcul:mijloacele organizaţionale de

perturbare a securităţii sistemului de calcul, inclusiv:furtul purtătorului informaţiei , accesul
nesancţionat la dispozitivele de păstrare şi prelucrare a informaţiei;deteriorarea utilijului,
etc.;realizarea de către infractor a accesului nesancţionat la componentele de program sistemului
de calcul, inclusiv: toate modalităţile de penetrare neautorizată în sistem;modalităţile de obţinere
de către utilizatorul-infractor a drepturilor ilegale la accesul la componentele sistemului;Măsurile
de asigurare a securităţii sistemului la astfel de pericole pot fi:organizatorice (paza, regim de
acces la dispozitivele sistemului) , perfecţionarea sistemelor de delimitare a accesului în
sistem;sisteme de depistare a tentativelor de selectare a parolelor[8].

2.Intervenţia tehnică în funcţionarea sistemului de calcul: obţinerea informaţiei după

radiaţia electromagnetică a dispozitivelor sistemului , acţiune electromagnetică asupra canalelor
de transmitere a informaţiei;alte metode;Măsurile de protecţie contra astfel de emeninţări pot fi:
organizatorice;tehnice (ecranarea radiaţiei dispozitivelor, protecţia canalelor de transmitere a
informaţiei de la ascultare nesancţionată);de programare (cifrarea mesajelor în canalelor de
comunicaţie).

8
 3.Acţiune distructivă asupra componentelor de program a sistemului de calcul cu
ajutorul mijloacelor de program, inclusiv: viruşi “calul Troian” , mijloace de penetrare în sisteme
la distanţă cu utilizarea reţelelor locale şi globale;

Măsurile de protecţie pot fi instalarea unor sisteme tehnice și sisteme de program care vor ține
piept tuturor atacurilor cibernetice[7]

.Ameninţările naturale şi fizice vin din partea fenomenelor naturale sau a altor elemente
fizice care interacţionează cu calculatoarele. Se pot enunță aici cutremurele, inundațiile,
furtunile, fulgerele, căderile de tensiune şi supratensiunile etc. Se poate acţiona în sensul
minimizării efectelor ameninţărilor sau chiar al eliminării acestora. Se pot instala dispozitive de
avertizare în caz de dezastre naturale sau dispozitive care să elimine efectul acestora.

5.Ameninţările cu caracter neintenţionat vin din partea oamenilor. Aceștia pot produce
ameninţări şi dezastre asupra calculatoarelor din cauza neglijenţelor în manipularea diferitelor
componente, insuficientei pregătiri profesionale, citirii insuficiente a documentaţilor etc.

6.Ameninţările intenţionate sunt şi cele mai frecvente. Aceste ameninţări pot fi

categorisite în interne și externe.

7. Ameninţările interne vin din partea propriilor angajaţi. Aceştia au acces mai uşor la
informaţie , având de trecut mai puține bariere şi știind şi o parte din politica de securitate a
firmei.

8. Ameninţările externe vin din partea mai multor categorii, şi anume: agenții de spionaj
străine; teroriști şi organizaţii teroriste; criminali; raiders; hackeri şi crackeri.[5] Agenţiile de
spionaj străine au tot interesul să intre în posesia de informaţii referitoare la noile tehnologii.
Firmele producătoare de înaltă tehnologie sunt ţinta atacurilor care vin din partea acestora. Se
impune ca aceste firme să folosească tehnologii şi programe de criptare foarte sofisticate pentru a
proteja informaţiile[6].

1.5 Concluzii la capitolul I

În acest capitol,accentul a fost pus pe pericolele securității sistemelor informaționale și

primile acțiuni de interprindere în cazul depistărilor unor fraude a sistemului informatic,
deasemenea a fost realizată o clasificare succintă a tuturor amenințărilor asupra unui sistem
informațional , care pot fi de ordin intern-extren , a sistemelor tehnice sau a sistemelor de

9
program, deasemenea o funcționare incorecta a unui SI poate fi rezultatul uniei crime
informaționale realizată de către personalul organizației sau ce vine din exterior.
Am analizat amenințărilor la adresa sistemelor informatice și consecințele impactului
acestora arată că obiectivele lor finale sunt denaturarea informațiilor, încălcarea procedurilor
de schimb de informații, precum și încălcarea procedurilor de gestionare a componentelor de
rețea sau a întregii rețele În acest sens, problema cea mai frecventă pe care aproape fiecare
sistem suferă este furtul datelor sau deturnarea datelor.

10
 II. METODE ȘI TEHNICI DE PROTECȚIE A SISTEMELOR
INFORMAȚIONALE

2.1Tehnologii de restricție
Tehnologiile de restricţie sunt menite să limiteze accesul la informaţie, ceea ce inseamnă
că accesarea informației va fi realizată doar având permisiune si careva privilegii acordate Din
această categorie fac parte:

1. Controlul accesului este un termen folosit pentru a defini un set de tehnologii de

securitate care sunt proiectate pentru restricționarea accesului. Aceasta presupune ca numai
persoanele care au permisiunea vor putea folosi calculatorul şi avea acces la datele stocate.
Termenul de control al accesului (acces control) definește un set de mecanisme de control
implementate în sistemele de operare de către producători pentru restricționarea accesului. De
această facilitate beneficiază sistemele de operare Windows, UNIX, Linux etc[4].

2. Identificarea şi autentificarea, folosindu-se de conturi şi parole, permit doar accesul

utilizatorilor avizați la informaţie. Identificarea şi autentificarea poate fi făcută şi cu ajutorul
cartelelor electronice (smart card) sau prin metode biometrice. Acestea presupun identificarea
după amprentă, voce, irisul ochiului etc [5].

3. Firewall-ul reprezintă un filtru hardware sau software care stopează un anumit trafic
prestabilit din reţea şi permite trecerea altuia. Firewall-ul se interpune între rețeaua internă şi
Internet şi filtrează pachetele care trec. De asemenea, firewall-ul poate fi folosit şi în interiorul
propriei reţele pentru a separa subreţele cu nivele diferite de securitate [5].

4. VPN36-urile permit comunicarea sigură între două calculatoare aflate într-o reţea. O
conexiune VPN se poate realiza atât în reţeaua locală, cât şi în Internet. VPN foloseşte tehnologii
de criptare avansată a informaţiei care face ca aceasta să nu poată să fie modificată sau sustrasă
fără ca acest lucru să fie detectat [5].

5. Infrastructura cu chei publice (PKI) îşi propune să asigure securitatea în sisteme

deschise, cum ar fi Internetul, şi să asigure încrederea între două persoane care nu s-au cunoscut
niciodată. Într-o structură PKI complet., fiecare utilizator va fi complet identificat printr-o
metodă garantată, iar fiecare mesaj pe care-l trimite sau aplicație pe care o lansează este
transparent şi complet asociat cu utilizatorul [5].

11
 6. Secure Socket Layer (SSL) reprezintă un protocol Web securizat care permite
criptarea şi autentificarea comunicațiilor Web utilizând PKI pentru autentificarea serverelor şi a
clienţilor. Lucrează foarte bine cu servere WWW. Este implementat în mai multe versiuni.
Versiunea SSL2 este cea mai răspândită, iar versiunea SSL3 e cea mai sigură, dar este mai greu
de implementat [5].

7. Semnătură doar o dată (SSO) doreşte să debaraseze utilizatorul de mulţimea de

conturi şi parole care trebuie introduse de fiecare dată când accesează şi reaccesează programe.
Pentru aceasta utilizatorul trebuie să se autentifice o singură dată. Dezideratul este greu de
realizat datorită varietății de sisteme. Deocamdată acest lucru se poate realiza în cadrul firmelor
care au același tip de sisteme. Web-ul foloseşte un subset SSO numit Web SSO, funcţionarea
fiind posibilă datorită faptului ca serverele Web folosesc aceeaşi tehnologie [6].

Pe lângă tehnologiile de restricţionare, securitatea sistemelor trebuie

administrată,monitorizată şi întreţinută . Pentru aceasta trebuie efectuate următoarele operații :
[8]

1. Administrarea sistemelor de calcul , care presupune şi controlul şi întreţinerea modului

de acces la acestea de către utilizatori , un utilizator care foloseşte o parolă scurtă sau care
este uşor de ghicit va face ca acel calculator să fie uşor de penetrat. Atunci când un
angajat este concediat sau pleacă pur şi simplu din alte motive de la firma respectivă,
trebuie schimbate denumirile utilizatorului (user37) şi parola, denumirea user-ului şi a
parolei trebuie făcută cu foarte mare atenţie şi mare responsabilitate , sarcina este de
competența persoanei însărcinate cu securitatea; parolele vor conține atât cifre, cât şi
litere, pentru a face ghicirea lor cât mai grea, şi vor fi schimbate periodic .

2. Detectarea intruşilor, trebuie făcută permanent; pentru aceasta există programe care
controlează traficul şi care țin jurnale de acces (log), verificarea se va face la nivelul
fiecărui calculator din firmă , trebuie făcută aici distincție între încercările de intruziune
din afară şi cele din interior , de asemenea, trebuie separate încercările de acces
neautorizat din reţeaua internă de accesul neautorizat la un calculator lăsat
nesupravegheat de către utilizator.

3. Scanarea vulnerabilităţilor, este de fapt o analiză a vulnerabilităţii, presupune

investigarea configuraţiei la nivel intern pentru detectarea eventualelor găuri de

12
 securitate; acesta se face atât la nivel hardware, cât şi software; folosirea unui scanner de
parole va avea ca efect aflarea parolei în câteva secunde, indiferent de lungimea acesteia;

4. Controlul viruşilor, se va face pentru a detecta şi elimina programele maliţioase din

sistemele de calcul, acestea se pot repede împrăştia la toate calculatoarele din sistem şi
pot paraliza funcţionarea acestora sau pot produce distrugeri ale informaţiei , se impune
obligatoriu să fie instalate programe antivirus, actualizarea semnăturilor de viruşi să se
facă cât mai des, iar scanarea pentru detectarea viruşilor să se facă de oricâte ori este
nevoie.[6] 5. Programele aplicative la nivelul firmelor mari şi medii sunt elaborate
luându-se în considerare şi securitatea datelor. Firmele mici folosesc ori programe
piratate, ori aplicaţii create de nespecialiști care nu numai că nu au elemente de securitate
încorporate, dar, în anumite cazuri, funcționează şi defectuos, alterând datele.

5. . Programele aplicative la nivelul firmelor mari şi medii sunt elaborate luându-se în

considerare şi securitatea datelor. Firmele mici folosesc ori programe piratate, ori
aplicaţii create de nespecialişti care nu numai că nu au elemente de securitate încorporate,
dar, în anumite cazuri, funcţionează şi defectuos, alterând datele.

Sarcina principală a sistemului de identificare şi delimitare a accesului constă în

închiderea şi controlul accesului nesancţionat la informaţie, pentru care trebuie să fie asigurată
securitatea. Măsurile de delimitare a accesului la informaţie şi mijloace de program de prelucrare
trebuie să se realizeze în conformitate cu obligaţiunile funcţionale şi competenţelor a
utilizatorilor- personalităţi oficiale, personalului de deservire, utilizatorilor simpli. Principiul
principal de elaborare a sistemului de identificare şi delimitare a accesului constă în accepțiunea
adresărilor către informaţie cu indici aferenţi ai competenţelor autorizate.Conținutul măsurilor
constă în efectuarea identificării şi autentificării utilizatorilor, diapozitivelor, proceselor, etc.,
separarea informaţiei şi a funcțiilor de prelucrare, montare şi introducere a competenţelor.
Protecţia informației constă în asigurarea accesului la obiectul informațional printr-un
singur canal protejat, care include funcţia de identificare a utilizatorului după codul parolei
prezentate şi rezultatul pozitiv al verificării accesului la informaţie în conformitate cu
competenţele determinate. Aceste proceduri sunt executate la fiecare dialog a utilizatorului .În
prezent se aplică mai mulți purtători de coduri de parole: permis la sisteme de control, carduri de
identificare a personală sau documentele în original, etc., alegerea cărora este determinată de
cerințele faţă de sistemul automatizat, destinația sistemului, regimul de utilizare a sistemului,
gradul de protecţie a informaţiei, numărul de utilizatori, tarife, etc [3].

13
 2.2 Managementul sistemului de securitate informațională al firmei
Impactul instaurării erei informatice constituie pentru epoca modernă ceea ce au însemnat
cronologic pentru omenire, descoperirea focului, fierului, petrolului etc) este în continuă creștere
datorită dezvoltării tehnologice şi a căilor de acces multiple. Desfășurarea în bune condiţii a
activității securităţii sistemelor informatice impune existenţa unui sistem IT funcțional .
Managementul securităţii sistemelor IT constituie un factor hotărâtor în buna desfăşurare a
activităţii unei companii, pentru asigurarea protecţiei datelor şi efectuarea de tranzacții
electronice în condițiile în care activitatea celor mai multe instituții , întreprinderi depinde în
proporție de circa 67 % de propriul lor sistem informatic. Întreprinderile societății moderne nu-şi
pot desfășurarea activitatea optim fără un sistem informatic bine pus la punct, ceea ce implică:
programe antivirus; programe de salvare a datelor ; instruire referitoare la importanța
implementării; urmărire a măsurilor de securitate.
Elemente de standardizare internațională în domeniul managementului securităţii
sistemelor informatice sunt cuprinse în : [6]

❏ standardul ISO/CEI 13335: Information technology-Guidelines for the management of

IT-Security – cuprinde recomandări cu privire la analiza riscului pentru companii
(Common Criteria).
❏ standardul ISO/CEI 17799: Information technology-Code of practice for information
security management –se referă la implementarea politicii de securitate (SMSI) şi la
managementul acestuia;.
❏ standardul ISO/CEI 17799:2000 – se referă la codul practicilor SMSI;

Securizarea sistemului de Tehnologia Informației este importantă pentru:dezvoltarea

încrederii ceea ce dă posibilitatea întocmirii unor contracte economice pentru tranzacţiile on-
line;identificarea informaţiilor critice şi stabilirea claselor de criticitate,optimizarea costurilor
într-o companie care lucrează în regim securizat; asigurarea cerințelor legale referitoare la
securitatea informaţiilor,educaţia şi instruirea,raportarea incidentelor,planificarea continuă.Cele
mai importante aspecte din standardul ISO/CEI 17799. Acest standard asigură un cadru comun
pentru dezvoltarea standardelor organizaţionale de securitate şi pentru o practică efectivă de
management al securităţii .

Un aspect important al securităţii sistemelor informatice îl constituie stabilirea politicii de

securitate, care este documentul prin care se specifică politica de securitate informaţiei şi care
trebuie permanent supusă unei politici de: revizuire şi evaluare. Referitor la securitatea

14
organizațională sunt importante de avut în vedere următoarele aspecte:infrastructura securităţii
informaţiei,constituirea unei comisii pentru managementul securităţii informaţiei,coordonarea
securităţii informaţiei,alocare a responsabilităților pentru securitatea informaţiei,procesul de
autorizare pentru utilitățile de procesare a informaţiei,consilierea din partea unui specialist în
securitatea informaţiei ,cooperarea între organizaţii,revizuirea independentă a securităţii
informaţiei,securitatea accesului terților,identificarea riscurilor în cazul accesului terților,
cerințele de securitate în contractele cu terții [11].

O instituție în care urmează a se implementa sistemul de management al securităţii

informaţiei trebuie să înceapă cu clasificarea şi controlul activelor, ceea ce înseamnă:stabilirea
responsabilității pentru active,realizarea inventarului tutor activelor din organizație, clasificarea
informaţiei,stabilirea de îndrumări pentru clasificare, etichetarea şi gestionarea
informaţiei.Asigurarea securităţii personalului implică:securitate în definire, instruire
utilizatori,răspuns la incidente de securitate sau acţiuni.

Managementul comunicațiilor şi funcționarii implică proceduri şi responsabilități

operaționale, planificarea şi acceptabilitatea sistemului,protecţia împotriva software-ului maliţios
.[8] Alte aspecte importante de care trebuie să se tină cont în implementarea managementului
securităţii sistemelor informatice sunt cele privind: mentenanță , managementul reţelei,operarea
şi securitatea mediilor de stocare; schimburile de informaţie şi software,controlul accesului.
Îmbunatățirea calității managementului sistemelor informatice implică asigurarea securităţii
sistemelor informaționale și informatice pentru domeniul financiar,asigurarea sănătății ,
telecomunicații,furnizarea de soluții soft,activitatea organizațiilor guvernamentale precum şi a
celor non-profit şi în menținerea siguranței naționale. Securitatea informaţiei este vectorul care
integrează axele principale: confidențialitate,integritate,disponibilitate [9].

2.3 Politica europeană în domeniul securităţii informatice

Internetul interesează în mod esențial atât marile cât şi micile companii. Practic, nu există
firmă într-o țară cu o dezvoltare cel puțin medie care să nu aibă create pagini Web, pe care se
găsesc informaţii despre serviciile şi produsele oferite. De asemenea, consumatorii şi
producătorii pot comunica instantaneu prin Internet, ceea ce le conferă posibilitatea unei
informări reciproce şi a unor comunicații foarte ieftine. Şi totuși, aceștia nu s-au „aruncat“ încă
să facă afaceri sau administrare la scară mare prin Internet. De ce oare această reținere? Motivele
invocate cel mai adesea sunt legate de securitatea tranzacțiilor on-line. Preocupările pentru
securitatea reţelelor şi a sistemelor informatice au crescut proporţional cu creșterea numărului de

15
utilizatori ai reţelelor şi cu valoarea tranzacţiilor. Securitatea a atins un punct critic, reprezentând
o cerință esențială pentru afacerile electronice şi pentru funcţionarea întregii economii.
Combinarea câtorva factori a făcut ca securitatea informaţiilor şi a comunicațiilor să
constituie unul dintre punctele principale pe agenda politicii Uniunii Europene:
● Guvernele şi-au dat seama de dependență economiilor lor şi a cetăţenilor faţă de buna
funcţionare a reţelelor de comunicaţie şi au început să-şi revizuiască aranjamentele de
securitate.[11]
● Internetul a creat o legătură globală, conectând milioane de reţele, mari și mici, milioane
de calculatoare personale şi alte dispozitive, precum telefoanele mobile; acest lucru a
redus în mod semnificativ costurile accesării informaţiilor economice vitale în cazul unor
atacuri de la distanţă.[11]
● Sunt raportaţi numeroşi viruşi, care cauzează pierderi mari prin distrugerea informaţiilor
şi prin neacordarea dreptului de acces la reţele. Aceste probleme de securitate nu
constituie chestiuni specifice unei ţări anume, ci un fenomen ce s-a răspândit rapid printre
țările membre ale UE;
● Consiliile Uniunii Europene (de la Lisabona şi Feira, de exemplu) au recunoscut
Internetul ca un factor cheie al productivitătii economiilor uniunii, atunci când au lansat
Planurile de Acţiune eEurope 2002 și eEurope 2005 [11].
În timp ce securitatea a devenit o problemă esențială pentru cei ce alcătuiesc politici,
găsirea unui răspuns adecvat a devenit o sarcină complexă. Cu numai câţiva ani în urmă,
securitatea reţelelor era o problemă monopol de stat, care oferea servicii specializate bazate pe
reţele publice, în particular pentru reţelele telefonice. Securitatea sistemelor informatice era
specifică organizaţiilor mari şi era axată pe controlul accesului la resurse. Aceste lucruri s-au
schimbat considerabil datorită unor dezvoltări în contextul unei piețe lărgite, printre care
amintim liberalizarea, convergenţa şi globalizarea:

Reţelele sunt acum în principal în proprietate privată şi sunt administrate de companii private.
Serviciile de comunicare sunt oferite pe bază de competitivitate, securitatea reprezentând o parte
a ofertei pieței. Totuși, mulți clienți rămân ignoranți în privința riscurilor securităţii atunci când
se conectează la o reţea şi iau decizii bazându-se pe informaţii incomplete;Reţelele şi sistemele
informatice converg. Ele devin interconectate, oferind aceleași tipuri de servicii şi, mai mult,
împart aceeaşi infrastructură. Terminalele (calculatoarele, telefoanele mobile etc.) au devenit un
element activ în arhitectura reţelelor şi pot fi conectate la diferite reţele .Rreţelele sunt

16
internaționale. O parte importantă a comunicaţiilor din ziua de azi se realizează transfrontarier,
tranzitând terţe ţări (câteodată chiar fără ca utilizatorul să realizeze acest lucru).

Produsele de securitate trebuie să fie compatibile cu standardele internaţionale, din acest

motiv au fost propuse urmatoarele metode de securizare :

1. Necesitatea unei politici publice. Protejarea reţelelor de calculatoare este din ce în ce

mai mult considerată drept o prioritate pentru politicieni, în special datorită nevoii de protejare a
datelor, de asigurare a unei economii funcţionale, din motive de asigurare a securităţii naţionale
şi de promovare a comerţului electronic. Aceasta a condus la un ansamblu substanțial de
precauţii legale în cadrul Directivelor UE în ce priveşte protecţia datelor şi a Cadrului UE pentru
telecomunicații . Aceste măsuri însă trebuie aplicate într-un mediu rapid schimbător de noi
tehnologii , pieţe concurenţiale , convergentă a reţelelor şi globalizare. Aceste provocări se
corelează de asemenea şi cu tendința pieţei de a nu investi suficient în securitate, din motive ce
vor fi analizate. Securitatea reţelelor şi a informaţiei reprezintă o marfă cumpărată şi vândută pe
piaţă şi o parte a înțelegerilor contractuale între părți . Piaţa produselor de securitate a crescut
substanțial în ultimii ani. În conformitate cu unele studii, piaţa software-ului de securizare pentru
Internet valora aproximativ 4,4 miliarde de dolari la sfârşitul anului 1999 şi va creşte cu un
procent de 23% pe an pentru a atinge 8,3 miliarde în 2004. În Europa, piaţa pentru securitatea
comunicaţiilor electronice se prognozează a creşte de la 465 de milioane de dolari în 2000 la 5,3
miliarde la sfârşitul lui 2006, paralel cu o creştere a pieţei pentru tehnologii de securitate a
informaţiei de la 490 de milioane de dolari în 1999 la 2,74 miliarde în 2006. Presupunerea
implicită care se face de obicei este că mecanismul preţului va balansa costul ofertei de securitate
cu nevoile specifice de securitate. Unii utilizatori vor solicita un nivel înalt de securitate, în
vreme ce alții vor fi satisfăcuți de un nivel de securitate mai scăzut – deși statul ar putea să
asigure un nivel minim de securitate. Această diferența se va reflecta în prețurile pe care vor fi
dispuși să le plătească pentru produsele de securitate. Cu toate acestea, multe riscuri rămân
nerezolvate sau soluțiile se impun lent pe piaţă datorită anumitor imperfecțiuni ale acesteia[8].
2. Conştientizarea pericolelor. Mulți utilizatori (privați/publici) încă nu sunt conștienți
de posibilele ameninţări pe care le întâlnesc folosind reţelele de comunicații sau de soluțiile care
deja există pentru a le face faţă. Problemele de securitate sunt complexe, iar riscurile sunt adesea
dificil, chiar şi pentru experți, de întrevăzut. Lipsa de informare este una dintre imperfecțiunile
pieţei, pe care politicile de securitate ar trebui să o aibă în vedere. Există riscul ca unii utilizatori,
alarmați de multele rapoarte şi ameninţări la adresa securităţii, să evite pur şi simplu folosirea
comerţului electronic. Alții , care fie sunt neinformați, fie subestimează riscul, pot fi prea

17
neglijenți. Unele companii pot avea interesul de a prezenta ca minim riscul pentru a nu pierde
clienți. Paradoxal, există o cantitate impresionantă de informaţie în domeniul securităţii reţelelor
şi al informaţiei disponibilă pe Internet, iar revistele despre calculatoare acoperă subiectul destul
de bine. Problema utilizatorilor este aceea de a găsi informaţiile potrivite, pe care le pot înţelege,
care sunt la zi şi răspund propriilor lor nevoi. În sfârșit, furnizorii de servicii ai unui serviciu
public de telecomunicații disponibil sunt obligați prin legile UE să-i informeze pe abonații lor cu
privire la riscurile cauzate de o breşă a securităţii reţelei şi despre posibilele remedii, inclusiv
costul implicat (cf. art. 4 al Directivei 97/66 al CE). Scopul iniţiativei pentru creşterea
conştientizării cetăţenilor, administraţiilor şi mediului de afaceri este deci acela de a furniza
informaţii accesibile, independente şi pe care te poţi baza despre securitatea reţelelor şi a
informaţiei. O discuţie deschisă despre securitate este necesară. Odată ce conştientizarea a fost
asigurată, oamenii devin liberi să facă alegeri proprii asupra nivelului de protecţie pe care şi-l
doresc şi permit [10].
Acţiuni propuse:Statele membre ar trebui să lanseze o campanie publică de educare şi
informare, iar măsurile care se iau trebuie permanent actualizate. Aceasta ar trebui să includă o
campanie mass-media şi acţiuni ce vizează un public larg. O campanie de informare bine
plănuită şi eficientă nu este ieftină. Un conţinut al acesteia care să descrie riscurile fără a alarma
oamenii şi fără a încuraja potenţialii hackeri, necesită o planificare atentă. Comisia Europeană va
facilita un schimb de experienţă în ceea ce priveşte cele mai bune practici şi va asigura un nivel
de coordonare a diferitelor campanii naţionale de informare la nivel UE, în particular în ceea ce
priveşte corpul de informaţie care trebuie difuzat. Un element al acestei campanii ar fi un portal
pentru pagini web, atât la nivel naţional cât şi European. Legarea acestor portaluri cu site-uri web
de încredere ale partenerilor internaţionali ar trebui, de asemenea, luată în considerare [8].

3. Un sistem european de avertizare şi informare în domeniul securităţii

informatice. Chiar şi în cazul în care utilizatorii sunt conştienţi de riscurile de securitate, ei tot
trebuie anunțați cu privire la noi ameninţări. Atacatorii răuvoitori, în mod aproape inevitabil, vor
găsi noi vulnerabilităţi care să ocolească protecţia cea mai sigură. Se dezvoltă în permanenţă
aplicaţii şi servicii software noi, oferind o mai buna calitate a serviciilor, făcând Internetul mai
atractiv; dar în cursul procesului, neintenţionat, se deschide calea unor noi vulnerabilităţi şi
riscuri. Chiar şi inginerii de reţea experimentaţi şi experţi în securitate sunt adesea surprinşi de
noutatea adusă de unele atacuri.
Așadar este nevoie de un sistem de alarmare rapid, care să poată alerta toţi utilizatorii,
alături de o sursă de informaţii şi sfaturi rapide şi demne de încredere asupra modului în care se

18
poate acţiona împotriva atacurilor.[10]Mediul de afaceri, de asemenea, are nevoie de un
mecanism confidenţial de raportare a atacurilor, fără a risca pierderea încrederii publicului.
Acesta trebuie să fie complementat de o mai extinsă şi anticipativă analiză de securitate,
strângând dovezi şi comparând riscurile cu beneficiile unor soluţii şi costurile aferente. Multă
muncă în acest domeniu este făcută de Computer Emergency Response Teams (CERTs) sau de
entităţi similare. De exemplu, Belgia a organizat un sistem de alertă la viruşi care permite
cetăţenilor belgieni informarea în legătură cu alertele cauzate de viruşi în două ore. Totuşi
CERT-urile operează în mod diferit în fiecare stat membru, făcând cooperarea complexă, dacă
nu chiar dificilă. CERT-urile deja existente nu sunt întotdeauna bine echipate, iar sarcinile lor
adesea nu sunt clar definite.Cooperarea la nivel mondial se realizează prin CERT/CC, care este
în parte finanțat de guvernul SUA, iar CERT-urile din Europa depind de politica de publicare a
informaţiilor de către CERT/CC. Ca rezultat al acestei complexități, coordonarea europeană a
fost până în prezent limitată. Cooperarea este esenţială în asigurarea avertizării din timp pe
cuprinsul UE prin schimbul instantaneu de informaţii la primul semn de atac într-o singură ţară.
Așadar, cooperarea cu sistemul CERT din interiorul UE ar trebui întărită în regim de urgență. O
primă acţiune vizând întărirea cooperării public/private prin dependența de infrastructura de
informare (inclusiv dezvoltarea sistemelor de avertizare de urgenţă) şi îmbunătăţirea colaborării
între CERT-uri a fost stabilită în cadrul planului de acţiune eEurope.
Acţiuni propuse:Statele membre ar trebui să-şi reorganizeze propriile sisteme CERT,
având în vedere îmbunătăţirea echipamentului şi a competenţei CERT-urilor existente. În
sprijinul eforturilor naţionale, Comisia Europeana va dezvolta o propunere concretă de întărire a
cooperării în cadrul UE. Aceasta va include proiecte de propuneri în cadrul programului TEN
Telecom pentru asigurarea navigării eficiente pe reţea şi stabilirea de măsuri companion în
cadrul programului IST pentru facilitarea schimbului de informaţii [6]

4. Dezvoltarea suportului tehnologic. Investiţiile în securitatea reţelelor şi a informaţiei

sunt actualmente sub optim. Acesta este cazul atât în ceea ce priveşte suportul tehnologic, cât şi
cercetarea pentru descoperirea de noi soluţii. În contextul în care noile tehnologii în mod
inevitabil aduc cu ele şi riscuri noi, cercetarea continuă este vitală. Securitatea în domeniul
reţelelor şi al informaţiei este deja inclusă în Information Technologies (IST) Programme of the
EU’s 6th Framework Research Programme, reprezentând o investiţie de 3,6 miliarde de euro de-
a lungul a patru ani.Cercetarea la nivel tehnic în criptografie este într-un stadiu avansat la nivel
european. Algoritmul Belgian numit Rijndael a câştigat concursul Advanced Encryption
Standard, organizat de institutul de standardizare al SUA (NIST). Proiectul NESSIE (Noi metode

19
europene pentru Semnătură, Integritate şi Criptare) al IST a lansat o competiţie la nivel extins în
domeniul algoritmilor de criptare îndeplinind cerinţele noilor aplicaţii multimedia, comerţului
mobil şi smartcard-urilor.
Acţiuni propuse: Comisia propune includerea securităţii în al şase-lea program cadru.
Pentru ca această adăugire să fie optimă, ar trebui legată de o mai largă strategie pentru
îmbunătăţirea securităţii reţelelor şi a informaţiei. Cercetarea din cadrul acestui program ar trebui
să aibă în vedere provocările cheie de securitate şi va focaliza pe mecanisme de securitate de
bază şi pe interoperabilitatea acestora, procese de securitate dinamice, criptografie avansată,
tehnologii de îmbunătăţire a facilităţilor de confidenţialitate, tehnologii de operare cu obiecte
digitale, tehnologii de încredere pentru suportul afacerilor şi funcţii organizaţionale în sistemele
dinamice şi de telefonie mobilă [5].

5. Standardizarea şi certificarea. Pentru ca îmbunătăţirea soluţiilor de securitate să aibă

succes, ele trebuie implementate în comun de actori importanţi ai pieţei şi de preferinţă bazate pe
standarde internaţionale deschise. Una dintre principalele piedici în adoptarea multor soluţii de
securitate, de exemplu semnătura electronică, a fost lipsa interoperabilităţii între diferite
implementări. Dacă doi utilizatori doresc să comunice în mod sigur între diferite platforme,
trebuie asigurată interoperabilitatea. Folosirea protocoalelor şi interfeţelor standardizate ar trebui
încurajată, inclusiv testarea de conformitate. Standarde deschise, de preferat bazate pe software
cu sursa liberă, ar putea contribui la înlăturarea mai rapidă a erorilor ca şi la o mai mare
transparenţă .
De asemenea, evaluarea securităţii contribuie la creşterea încrederii utilizatorilor.
Folosirea de criterii comune de evaluare în multe ţări facilitează recunoaşterea mutuală; aceste
ţări au intrat de asemenea într-un aranjament cu Canada şi SUA pentru recunoaştere mutuală a
certificatelor de securitate IT (Recomandarea Consiliului 95/144/EC referitoare la criteriile de
evaluare a securităţii tehnologiei informaţiei, implementată în majoritatea statelor membre).
Certificarea proceselor care se desfăşoară în afaceri şi managementul sistemelor de securitate a
informaţiei este susţinută de cooperarea europeană pentru acreditare (EA).
Acreditarea organismelor naţionale de certificare măreşte încrederea în competenţa şi
imparţialitatea acestora, promovând astfel acceptarea certificatelor în toată UE. În plus faţă de
certificare, ar trebui de asemenea efectuate teste de interoperabilitate. Un exemplu al acestei
abordări este Iniţiativa Europeană de Standardizare a Semnăturii Electronice (EESSI), care
dezvoltă soluţii de consens în sprijinul directivei UE asupra semnăturii electronice. Alte exemple
sunt iniţiativele privind smartcard-urile în eEurope şi iniţiativele de implementare a

20
Infrastructurii de Chei Publice (PKI) lansate în interiorul programului Schimb de Date între
Administraţii (IDA). Nu lipsesc eforturile de standardizare, dar un mare număr de standarde
aflate în competiţie duce la fragmentarea pieţei şi la prezența de soluţii non-interoperabile.
Așadar , activităţile de standardizare şi certificare curente au nevoie de o mai bună
coordonare şi de asemenea au nevoie să ţină pasul cu introducerea de noi soluţii de securitate.
Armonizarea specificaţiilor va conduce la o interoperabilitate crescută, făcând posibilă în acelaşi
timp implementarea de către actorii pieţei [11].
Acţiuni propuse: Organizaţiile de standardizare europene sunt invitate să accelereze
lucrul la produse şi servicii interoperabile de securitate. Unde va fi necesar, ar trebui urmate
forme noi de „deliverabile“ şi proceduri pentru a accelera lucrul şi a întări cooperarea cu
reprezentanţii consumatorilor şi angajamentul actorilor pieţei. „Pluggable“ înseamnă că un
produs software de criptare poate fi cu uşurinţă instalat şi făcut complet operaţional în cadrul
sistemelor de operare [8].

6.Cadrul juridic. Există mai multe texte legale care influenţează securitatea reţelelor de
comunicaţii şi a sistemelor informatice. Datorită convergenţei reţelelor, problemele de securitate
aduc laolaltă reguli şi tradiţii legale din sectoare variate. Acestea includ telecomunicaţiile
(încorporând toate reţelele de comunicaţie), industria calculatoarelor, Internetul care a funcţionat
mai ales în baza unei abordări „hands off“ (de neintervenţie) şi comerţul electronic care este din
ce în ce mai mult subiectul unei legislaţii specifice. În legătură cu securitatea, prevederile privind
daunele terţilor, infracţionalitatea cibernetică, semnătura electronică, regulile privind protejarea
şi exportul datelor sunt relevante [9].
Protejarea intimității este un obiectiv politic cheie în Uniunea Europeană. A fost
recunoscut ca drept de bază prin articolul 8 al Convenției Europene asupra drepturilor omului.
Articolele 7 şi 8 ale Cartei Drepturilor Fundamentale ale UE de asemenea stipulează dreptul la
respect pentru viată de familie şi privată, cămin, comunicaţie şi date personale. Articolul 5 al
Directivei de Protejare a Datelor în Telecomunicații obligă statele membre să asigure
confidențialitatea în reţelele publice de telecomunicații. În plus, la articolul 4 al aceleiași
Directive se cere furnizorilor de servicii publice şi reţele să ia măsuri tehnice şi organizatorice
pentru a asigura securitatea serviciilor oferite.
Aceste prevederi au implicaţii asupra necesităţilor de securitate ale reţelelor şi sistemelor
informatice folosite de acele persoane sau organizaţii, de exemplu furnizorii de comerţ
electronic. Natura pan-Europeană a acestor servicii şi mai marea competiţie transfrontalieră duc
la o creştere tot mai mare de specificații asupra mijloacelor de folosit pentru a fi în acord cu

21
aceste prevederi.[10]Programul cadru pentru servicii în telecomunicații al UE conține mai multe
prevederi cu privire la securitatea operațiilor pe reţea şi integritatea reţelelor Comisia a propus un
nou cadru de reguli pentru serviciile de comunicaţii electronice în iulie 2000. Propunerile
Comisiei reafirmau în esență – deși cu modificări –prevederile existente în ce priveşte securitatea
şi integritatea reţelelor [11].
Acţiuni propuse: Înţelegerea comună a implicaţiilor legislative ale securităţii în
comunicarea electronică este necesară. Pentru acest scop, Comisia va crea un inventar de măsuri
naţionale care au fost deja luate şi sunt în concordanţă cu legi comunitare relevante.Statele
membre şi Comisia ar trebui să sprijine în continuare libera circulaţie a produselor şi serviciilor
criptografice, prin o mai mare armonizare al procedurilor administrative de export şi o mai mare
relaxare a controalelor la exporturi.Comisia va propune o măsură legislativă în cadrul Titlului VI
al tratatului UE pentru echivalarea legilor penale legate de atacuri împotriva sistemelor de
calculatoare, incluzând hacking-ul şi atacurile de refuz al serviciilor[11].

7. Securitatea în aplicaţiile guvernamentale. Planul de acţiune eEurope îşi propune să

încurajeze o mai eficientă interacţiune între cetăţeni şi administraţia publică. Cum mare parte din
informaţia schimbată între cetăţeni şi administrație are un caracter confidenţial (medical,
financiar, legal etc.), securitatea este vitală pentru asigurarea implementării cu succes a planului.
Mai mult, dezvoltarea guvernării electronice face ca administraţia publică să devină atât exemplu
de demonstrare a eficienţei soluţiilor de securitate cât şi actor al pieţei cu posibilitatea de a
influenţa dezvoltarea în domeniu prin deciziile de achiziţie pe care le face. Problema pentru
administraţia publică nu este numai aceea de a achiziţiona sisteme informatice şi de comunicaţii
cu cerinţe de securitate, ci şi dezvoltarea unei culturi de securitate a organizației. Acest obiectiv
poate fi dus la îndeplinire prin stabilirea de politici organizaţionale de securitate adaptate la
nevoile instituției.
Acţiuni propuse:Statele membre ar trebui să încorporeze soluţii de securitate
informatică eficiente şi interoperabile, ca o cerință de bază în activităţile lor de e-guvernare şi e-
procurement.Statele membre ar trebui să introducă semnătura electronică la oferirea serviciilor
publice on-line.În cadrul e-Comisiei, Comisia va lua o serie de măsuri pentru a întări cererea de
securitate în sistemele sale informatice şi de comunicaţie [10].

2.4 Concluzii la capitolul II

În capitolul doi,scopul urmărit a fost de a studia detailiat cauzele apariției fenomelului de
„crimă ciberbetică” și propunerea unor soluții individuale pentru orice probleme apărută,în acest
capitol problema securității sistemelor informaționale a fost studiată la nivel mondial și anume în

22
cadrul UE ,unde securitatea SI este o problemă actuala ce necesită o soluționare rapidă.Pentru ca
problema securității sistemelor informatice ,este actuală și cu multiple consecințe,împreună cu
centru “UNIT” din or. Criuleni am organizat o campanie de informare a elevilor din raionul
Criuleni despre importanța siguranței pe internet,eu am avut ocazia sa vorbesc și să le explic
unele aspecte a siguranței pe internet elevilor din gimnaziul “Regele Mihai I”din s.Cimișeni.
Cred eu , ca primul pas spre rezolvarea unei probleme este depistarea și înțelegere ei. In
caru campaniei de voluntariat “Sigur pe internet”și cu susținerea Centrului “UNIT” sper ca am
adus la cunoștința tinerilor din raionul Criuleni despre pericolul cu care se pot ciocni în cazul în
care nu sunt precauți când folosesc sistemele informaționale.

23
 CONCLUZII ȘI RECOMANDĂRI

În cele din urmă, conceptul de sistem de protecție a informațiilor computerizate poate fi

definit drept un set de norme juridice, organizatorice, administrative și software-tehnice, menite
să contracareze amenințările la adresa funcționării normale a sistemului, pentru a minimiza
posibilele pierderi materiale și morale pentru utilizatorii și proprietarii sistemului. Dat fiind că
computerele și alte dispozitive digitale au devenit esențiale pentru marea parte a societății
contemporane, acestea au devenit din ce în ce mai mult o țintă pentru atacuri. Pentru ca sistemele
informatice să fie utilizate cu încredere, persoana/compania trebuie să se asigure, în primul rând,
că dispozitivul nu este compromis în niciun fel și că toate comunicațiile vor fi în siguranță. O
imagine holistică a tuturor posibilităților de protecție este dificil de creat, deoarece nu există încă
o teorie unificată pentru protecția sistemelor informatice. Pentru organizarea unei protecții
fiabile, este necesară identificarea clară a tipurilor de atacuri de informații care ar trebui
protejate.
O amenințare la adresa securității este un potențial impact asupra unui sistem care poate
afecta direct sau indirect resursele sistemului informatic. Considerăm că măsurile de protecție ar
trebui să fie adecvate gradului de amenințare, precum și corespunzătoare importanței informației
care este păstrată în sistem. Numai o analiză amănunțită a amenințărilor și a tipurilor de
securitate ale sistemelor informatice poate oferi o siguranță relativă.
Ca scop principal a lucrării date a fost explicarea și definirea pricipalelor amenințări ale
securității SI,deoarece crimele cibernetice sunt o problemă actuala a secolului 21,o problemă ce
necesită o rezolvare rapidă deoarece aduc probleme de nivel mondial în cardu informatic.

24
 BIBLIOGRAFIE

1 Ce este securitatea sistemelor informatice? [Resursă electronică, accesat 05.04.2019].

https://www.quora.com/What-is-computersystem-security

2 Cerinte ISO 27001 - Securitatea sistemelor informatice [Resursă electronică, accesat

09.04.2019].

http://www.intermanagement.eu/stire/Cerinte+ISO+27001+Secur itatea+sistemelor+informatice.

3 Factorul uman - element crucial în asigurarea securității cibernetice. [Resursă electronică,

accesat 05.03.2019]. http://moldova.md/ro/content/factorul-uman-element-crucialasigurarea-
securitatii-cibernetice

[4] Harta uimitoare a atacurilor cibernetice [Resursă electronică, accesat 05.03.2019].

https://www.molddata.md /?pag=news&opa=view&id=341&tip=noutati

[5] Legea privind aprobarea Concepţiei securităţii informaţionale a R.Moldova [Resursă

electronică, accesat 01.03.2019].

https://www.google.com/search?q=Legii+privind+Concep%C5%A3ia+securit%C4%83%C5%A
3ii+informa%C5%

[6] Mihai Ioan-Cosmin; „Securitatea sistemului informatic”, ISBN [Resursă electronică,

accesat 05.03.2019].

[7] Păduraru M.Vulnerabilităţi ale sistemelor [Resursă electronică, accesat 05.05.2019].

https://www.juridice.ro /412111/vulnerabilitati-ale-sistemelor-informatice.html

[8] Popa Sorin Eugen. Securitatea sistemelor informatice[Resursă electronică, accesat

05.03.2019].

https://bogdanelb.files.wordpress.com/2009/12/curs_securit_sist_ inf.pdf, p. 5

[9] Securitatea informației [Resursă electronică, accesat 12.03.2019].

https://ro.wikipedia.org/wiki/ Securitatea_informa%C8%9Biei

[10] Securitatea sistemelor informatice [Resursă electronică, accesat 08.03.2019].

http://cadredidactice.ub.ro/sorinpopa /files/2011/10/Curs_Securit_Sist_Inf.pdf, p.6

[11] Sisteme de control al accesului la Intranet [Resursă electronică, accesat 11.03.2019].

https://ro.wikipedia.org/wiki/Sistem_informatic

[12] Standardul ISO/IEC 27000

25
26