Creeaza.com - informatii profesionale despre


Evidentiem nevoile sociale din educatie - Referate profesionale unice
Acasa » scoala » informatica » oracle
Ce insemna politicile de securitate

Ce insemna politicile de securitate


Ce insemna politicile de securitate

O buna implementare a securitatii asupra bazelor de date nu porneste de la algoritmi de criptare, programe firewall sau tehnici de autentificare avansate, ci de la stabilirea unei politici de securitate clara si bine definita.

Politica de securitatea reprezinta o definire a ceea ce inseamna securitatea pentru sistemul respectiv si pentru organizatia care il a folosi. Ea defineste regulile dupa care sistemul trebuie sa se ghideze.

Desi in general, regula pare evidenta (nimeni nu trebuie sa aiba dreptul de a face mai mult decat ar trebui) , nu este suficient. In cadrul unei politici de securitate se definesc reguli clare privind autentificarea , controlul accesului si auditarea, precum si regulile de confidentialitate.

Nu exista insa o politica care sa poata fi aplicata pentru toate sistemele existente, deoarece modul de securizare depinde in mare masura de ceea ce trebuie protejat. Stabilirea regulilor pe care trebuie sa le respecte viitorul sistem nu tine numai de cel care implementeaza baza de date si eventualele aplicatii client, ci si de consiliul director al organizatiei/firmei ce va beneficia de viitorul sistem, pentru a se putea astfel implementa politica de securitate deja existenta a firmei.

1. Reguli diferite, pentru nevoi diferite

Exista o stransa legatura intre politicile de securitate adoptate, implementarea securitatii si informatia stocata. Regulile care formeaza politica de securitate, variaza de la reguli generale pana la unele foarte detaliate.



Din punctul de vedere al celui care implementeaza baza de date, regulile pot sa fie aceleasi la nivelul tuturor aplicatiilor din cadrul intreprinderii, ca de exemplu, politica de auditare poate stabili monitorizarea accesului utilizatorilor, fara a preciza insa cum, cand si la cel nivel de detaliere sa se realizeze auditarea. Pe masura ce se dezvolta insa aplicatiile, regulile pot deveni mai detaliate, pentru fiecare aplicatie in parte. De exemplu, o aplicatie care se ocupa de finantele firmei, va dezvolta politica de securitate prin adaugarea unor reguli potrivit carora auditarea se va face in cadrul bazei de date si va surprinde toate actiunile utilizatorilor care realizeaza anumite tipuri de tranzactii, precum si reguli care vor stabili cum si pentru cat timp vor fi pastrate si organizate inregistrarile rezultate in urma auditarii. Pe de alta parte, o alta aplicatie nu va necesita o auditare la fel de detaliata, politica de auditare stabilind doar necesitatea verificarii utilizatorilor care se logheaza si timpul pe care il petrec in sistem.

Politica de securitate stabilita poate diferi din punct de vedere al detalierii si al nivelului de constrangere. Aceste variatii pornesc de la gradul de importanta si nevoia de protectie a datelor, precum si de la scopul in care va fi utilizata in final baza de date. Astefel, pentru cazul unui sistem cu o importanta sporita asupra securitatii datelor, cum ar fi de exemplu un sistem bancar, sau militar, regulile de protectie trebuie sa fie foarte stricte si sa acopere toate aspectele , de la protejarea fizica a datelor, pana la gradul de disponibilitate si recuperabilitate a datelor pentru personalul care va opera sistemul creat. In schimb, pentru o aplicatie mai putin importanta, regulile pot fi mai putin cuprinzatoare, si nu foarte stricte.

Politici in conformitate cu reglementarile legale

Stabilirea unor politici de securitate solide este intotdeauna o buna abordare. Totusi, in unele cazuri, realizarea lor este motivata de influente externe cum ar fi incadrarea in legile statului in care se afla organizatia ce va beneficia de noul sistem. Astfel de reglementari sunt adesea scrise pentru a se asigura ca diversele organizatii manipuleaza in mod mod responsabil informatile aflate in posesia acestora si sunt bazate pe analiz tipurilor de date si utilizarea acestora in cadrul industriei, agentiei sau comunitatii respective.

Aspectul negativ al acestei situatii este faptul ca, uneori, companiile incearca sa interpreteze si sa implementeze reglementarile respective, nu intotdeauna suficient de clare si complete, deoarece lasa la latitudinea companiilor, analizarea si stabilirea exacta a regulilor de securitate aplicabile in cadrul acesteia.

De exemplu, o lege care se refera la pastrarea caracterului privat al anumitor informatii si divulgarea lor doar partilor autorizate. Pentru o companie, acest lucru ar putea fi implementat fie prin aplicarea unei criptari asupra datelor. O alta companie ar putea insa mult mai bine implementa aceasta reglementare prin stabilirea unei limitari fizice a accesului la date, la care sa se adauge reguli stricte de autorizare a utilizatorilor in sistem.

Compania trebuie sa fie constienta de motivul pentru care are nevoie de stabilirea unei astfel de politici, si impotriva a ce trebuie sa se protejeze. In caz contrar, realizarea unei politici de securitate doar pentru a se conforma reglementarilor statului poate duce la folosirea unui mecanism gresit pentru rezolvarea problemei, dandu-se un fals sentiment de siguranta.

2. Intelegerea cerintelor de securitate

Pentru a avea o buna politica de securitate, in primul rand trebuie sa se intelega modul in care ar putea fi atacat sistemul, motivul unui astfel de atac, ce anume se urmareste si modul in care se poate atinge scopul respectiv.

De exemplu, securitatea unei baze de date poate fi compromisa fie de un atacator extern, fie chiar de un utilizator intern, autorizat, tehnicile de protejare a datelor fiind diferite pentur fiecare caz in parte.

Neintelegerea motivului pentru care este necesara protectia sau a pericolelor care trebuie prevenite, este posibila implementarea unei politici de securitate pentru o problema care de fapt nu exista sau, din contra, a unei politici care nu poate aduce o solutionare adecvata a situatiei.

3. Crearea politicilor de securitate

Odata create si stabilite anumite politici de securitate, acestea ar trebui refolosite sau folosite ca baza pentru dezvoltarea unor politici mai complexe. Adesea, in cadrul aceleasi organizatii se aplica metoda realizarii de sabloane pentru politicile de securitate, aceste sabloane reprezentand categoriile standard de aplicatii si date folosite in cadrul respectivei companii.

Realizarea unui sablon se face pornind de la clasificarea diferitelor tipuri de informatii ce vor fi uilizate in cadrul organizatiei, cum ar fi informatii asupra caror exista drept de proprietate, informatii personale usor de identificat, informatii pentru publicul larg, sau informatii disponibile doar pentru parteneri. Ca si politicile de securitate, si acest tip de sabloane pot fi create cu diverse nivele de detaliere, in functie de importanta si gradul de securitate necesar pentru protejarea informatiei.

Sabloanele astfel conturate, pot fi apoi utilizate ca punct de pornire pentru stabilirea unei politici de securitate adaptate unei anumite aplicatii, prin adaugarea unor reguli adaptate particularitatilor respectivei aplicatii.

Multe organizatii folosesc ca punct de plecare procedurile de securitate (sabloanele) oferite de orbanizatii independente, cum ar fi The National Institutes of Standards and Technologies(NIST) Special Publications for Security(SP800), the International Standards Organization (ISO) 17799, and the Health Insurance Portability and Accountability Act (HIPAA).

4. Creare de politici de securitate practice

Creare unei politici de securitate poate fi un lucru dificil datorita tentatiei de a defini o politica robusta si cat mai cuprinzatoare, ceea ce nu este un lucru gresit, dar poate avea si efecte secundar negative in ceea ce priveste uzabilitatea sistemului.

De exemplu, stabilirea unei politici legate de utilizarea parolelor pentru protejarea datelor, care sa impuna ca reguli crearea unei parole de cel putin 15 caractere (o combinatie de litere mici, litere mari si cel putin o cifra), care sa expire la fiecare 15 zile si sa nu poata fi refolosita mai devreme de 3 ani poate face ca utilizatorii, neputand genera si memora astfel de parole, sa-si noteze parola si sa o pastreze la vedere. Astfel de situatii face ca implementarea politicii de securitate sa fie aproape inutila si nicidecum asa de eficienta precum s-a dorit, orice persoana rau intentionata putand usor intra in posesia unei parole.

Astfel provocarea consta in a realiza o politica de securitate care sa fie practica, dar in acelasi timp sa indeplineasca nevoia de securitate. Un astfel de echilibru se poate realiza doar prin consultarea atat a echipei responsabila cu securitatea, cat si a unora dintre utilizatorii finali ai bazei de date.

5. Stabilirea unui echilibru in securitate

Realizare unui sistem care sa fie 100% sigur este imposibila si incercarea de a realiza acest lucru poate face ca, din contra, rezultatul obtinut sa fie cu mult mai putin sigur decat limita admisa si foarte greu de utilizat

Scopul este de a realiza o securitate cat mai buna, fara insa a afecta prea mult gradul de dificultate in utilizarea sistemului si scada prea mult performanta si sa creasca costurile de implementare si administrare.

Figura urmatoare evidentiaza modul in care cele 3 aspecte de care trebuie tinut cont se influenteaza reciproc:

Pozitia punctului de echilibru "X" poate varia in functie de importanta datelor protejate, de scopul bazei de date si de gradul de performanta si uzabilitate pe care trebuie sa-l indeplineasca sistemul.





Politica de confidentialitate


creeaza logo.com Copyright © 2024 - Toate drepturile rezervate.
Toate documentele au caracter informativ cu scop educational.