Windows 9 (aka Windows Blue) roadmap

 

 Windows Blue roadmap

Windows 9 Beta                             7 January 2014
Windows 9 Release Candidate        July 2014
Windows 9 RTM                            October 2014
Windows 9 Release                       November 2014

 

Deci in 2014 vom avea noul sistem de operare Windows 9 cunoscut sub numele de Windows Blue.  Windows 8 cu toate ca este foarte apreciat inclusiv de NSA este un fiasco.

Zvonuri despre noul sistem de operare Windows 9 (Windows Blue) sunt din ce in ce mai multe.

 

 

Ce este pirateria software

Pirateria software reprezintă reproducerea sau distribuirea neautorizată de programe pentru calculator (software) protejate prin drept de autor.

Pirateria se realizează prin copierea, distribuirea sau vânzarea, descărcarea, punerea la dispoziţie prin Internet sau alte rețele sau reproducerea de software pe calculatorul personal sau pe cel utilizat la locul de muncă.

Aceste fapte sunt prevăzute ca infracțiuni în Legea nr. 8 din 1996, privind dreptul de autor și drepturile conexe, modificată.

Conform acestei legi, oricare dintre următoarele activități care implică un software fără licență reprezintă infracțiune:

  • Instalarea, totală sau parțială, pe un sistem de calcul, chiar fără a fi folosit;
  • Stocarea pe un sistem de calcul, completă sau parțială, chiar și sub formă de kit și chiar fără a fi folosit;
  • Folosirea efectivă, prin rulare sau executare, indiferent de perioada de timp sau de scopul folosirii;
  • Afișare, de pildă, pe un thin-client;
  • Transmitere în rețeaua internă, chiar dacă nu se află instalat pe fiecare calculator din rețea.

Tot o încălcare a legii reprezintă și situația în care termenii și condițiile de licențiere sunt încălcați – de pildă, atunci când o licență educațională este utilizată în mediu de business sau atunci când se instalează programul pentru calculator pe mai multe calculatoare decât numărul permis de licență. De asemenea, reprezintă infracțiune situația în care se folosește o altă versiune sau ediție a unui program pentru calculator decât cea pentru care se deține licență.

Ceea ce multe persoane nu realizează – sau la ce nu se gândesc – este faptul că, la cumpărarea software-ului, se achiziţionează, de fapt, licenţa de a-l utiliza, iar nu software-ul ca atare (software-ul se licențiază, nu se vinde).

Această licenţă este cea care informează de câte ori se poate instala software-ul și în ce condiții, aşadar este important să fie citită. Dacă se realizează mai multe copii ale software-ului decât cele pe care le permite licenţa sau se încalcă condițiile de utilizare permise, înseamnă piraterie.

 mai multe detalii gasiti aici

Ce trebuie sa conţină documentul de politica de securitate?

  • Ce resurse de doresc a fi protejate,
  • Cum se obţine securitatea informaţiilor
  • Care este scopul implementarii politicii de securitate
  • Domeniul de aplicare
  • Procesele specifice
  • Responsabilitate şi autoritate

Conducerea de vârf (top managementul, directorul general, etc…)  trebuie să îşi exprime angajamentul pentru asigurarea resurselor umane şi/sau materiale şi infrastructura necesarã pentru atingerea obiectivelor şi implicarea personalã în vederea dezvoltãrii, menţinerii şi îmbunãtãţirii continue a eficacitãţii sistemului de management al securitãţii informaţiei (SMSI).

Documentul de politica de securitate

Politica de securitate este un document care conţine regulile ce guvernează activitatea din sistemele informaţionale din cadrul unei organizaţii.

Politica de securitate este totodată o declaraţie a managementului organizaţiei, indicând intenţia şi măsurile luate pentru respectarea legilor şi a convenţiilor pe care se bazează o anumita activitate.

Organizaţiile care doresc un audit al sistemelor interne pentru o anumită certificare vor folosi politica de securitate ca bază de referinţă a respectivului audit.

Procesul de creare a politicii de securitate IT implică următorii paşi:

1. Formarea echipei care va redacta documentul.

Aceasta echipa se împarte în doua nivele. La nivelul întâi, ea este formată din specialişti care vor redacta documentul ( specialişti în securitate informatică, consultantul IT pentru politici, personal tehnic pentru documentaţie, etc).

La nivelul al doilea, echipa va fi formată din reprezentanţi ai organizaţiei, consultanţi şi alţi factori de decizie, care au ca rol redactarea cerinţelor, analizarea şi aprobarea documentului.

La nivelul al doilea ar fi ideal să participe consultantul IT pe politici de securitate şi reprezentanţii organizaţiei din domeniul legal, al resurselor umane, şefi de departamente.

2. Identificarea cerinţelor şi rezolvarea contradicţiilor.

La acest pas se decid subiectele ce vor fi cuprinse în document, riscurile şi implicatiile de analizat. În urma analizei va rezulta o soluţie globală, acceptată şi din punct de vedere juridic, al costurilor , al resurselor umane şi al activităţii de ansamblu a organizaţiei, privind implicatiile politicilor respective.

Scrierea unui draft. Specialiştii din diversele domenii de activitate vor colabora pentru rezolvarea cerinţelor identificate, din punct de vedere tehnic.

3. Analizarea si aprobarea documentului.
Documentul rezultat va fi analizat de către reprezentanţii corespunzători ai organizaţiei, care îşi vor prezenta punctele de vedere. Ţinând seama de punctele de vedere exprimate, se vor face modificările necesare şi va rezulta forma finală a acestui document, urmând să fie aprobat de către toţi factorii implicaţi.

4. Publicarea şi aducerea la cunoştinţă a politicilor de securitate

Dupa ce documentul este oficial aprobat, el va trebui să fie publicat şi prin grija structurilor organizaţiei, adus la cunoştinţa fiecărui angajat şi, în funcţie de situaţie, la cunoştinta publicului.

Tratarea riscurilor de securitate

Înainte de a aborda tratarea unui anumit risc, organizaţia trebuie să stabilească criterii pe baza cărora să decidă dacă riscurile pot fi acceptate sau nu. Riscurile pot fi acceptate dacă se estimează, de exemplu, că riscul este scăzut sau că tratarea nu este eficientă pentru organizaţie din punct de vedere al costului. Astfel de decizii trebuie înregistrate.

Pentru fiecare dintre riscurile identificate prin determinarea de risc este necesară o decizie privind tratarea riscului. Opţiunile posibile pentru tratarea riscului cuprind:

a) aplicarea măsurilor adecvate de securitate pentru reducerea riscului;

b) acceptarea conştientă şi obiectivă a riscurilor cu condiţia ca acestea să fie conforme politicii şi criteriilor organizaţiei privind acceptarea riscului;

c) evitarea riscurilor prin interzicerea acţiunilor care ar putea cauza apariţia de riscuri;

d) transferul riscurilor asociate către terţe părţi, spre exemplu asigurători sau furnizori.

Pentru acele riscuri pentru tratarea cărora s-a luat decizia de aplicare a măsurilor de securitate adecvate, respectivele măsuri trebuie selectate şi implementate pentru a răspunde cerinţelor identificate prin determinarea riscului. Măsurile trebuie să asigure reducerea riscurilor la un nivel acceptabil ţinând cont de:

  • cerinţele şi constrângerile reglementărilor şi legislaţiei internaţionale;
  • obiectivele organizaţiei;
  • cerinţele şi constrângerile operaţionale;
  • costul implementării şi operării în raport cu riscurile care se reduc, păstrând proporţionalitatea faţă de cerinţele şi limitările specifice organizaţiei;
  • necesitatea de realizare a unui echilibru între investiţia în implementarea şi operarea măsurilor de securitate şi pagubele probabile de pe urma breşelor de securitate.

Măsurile de securitate pot fi selectate din prezentul standard sau din alte seturi de măsuri, sau pot fi proiectate noi măsuri corespunzătoare nevoilor specifice ale organizaţiei. Este necesar să se recunoască faptul că s-ar putea ca unele măsuri de securitate să nu fie aplicabile oricărui sistem informaţional sau mediu şi să nu poată fi practicate de orice organizaţie.

Măsurile de securitate a informaţiei trebuie avute în vedere în faza de proiectare a cerinţelor sistemelor şi proiectelor. În caz contrar se pot înregistra costuri suplimentare şi soluţii mai puţin eficiente şi, în cel mai rău caz, se ajunge la incapacitatea de realizare a unei securităţi adecvate.

Trebuie reţinut faptul că nici un set de măsuri de securitate nu poate realiza o securitate totală şi că sunt necesare acţiuni manageriale suplimentare pentru monitorizarea, evaluarea şi îmbunătăţirea eficienţei măsurilor de securitate în sprijinul ţelurilor organizaţiei.

Determinarea riscului de securitate

Determinarea riscului trebuie să identifice, să cuantifice şi să stabilească prioritatea riscului prin prisma criteriilor de risc acceptabil şi a obiectivelor relevante pentru organizaţie. Acţiunile de management şi priorităţile adecvate pentru managementul riscurilor de securitate a informaţiei şi pentru implementarea măsurilor de securitate selecţionate pentru protecţia împotriva riscurilor trebuie orientate şi stabilite pe baza acestor rezultate. S-ar putea să fie necesar ca procesul de determinare a riscului şi de selecţie a măsurilor de securitate să fie reluat de câteva ori pentru a fi acoperite diverse zone ale organizaţiei sau sisteme de informaţii individuale.

Determinarea riscului trebuie să cuprindă abordarea sistematică a estimării mărimii riscurilor (analiza de risc) şi procesul de comparare a riscurilor estimate faţă de criteriile de risc, pentru stabilirea semnificaţiei riscurilor (evaluarea riscului).

Determinările de risc trebuie efectuate periodic pentru a se răspunde schimbărilor înregistrate de cerinţele de securitate şi de situaţiile de risc, spre exemplu în privinţa resurselor, ameninţărilor, vulnerabilităţilor, impacturilor, evaluării riscului, precum şi în cazul unor schimbări semnificative. Aceste determinări de risc trebuie realizate într-o manieră metodică capabilă să producă rezultate comparabile şi reproductibile.

Determinarea riscului privind securitatea informaţiei trebuie să vizeze un domeniu precis pentru a fi eficientă şi trebuie să cuprindă legături cu determinările de risc din alte domenii, dacă este cazul.

Domeniul unei determinări de risc poate cuprinde fie întreaga organizaţie, părţi din acea organizaţie, un sistem individual de informaţii, componente specifice de sistem sau servicii unde acest lucru este realizabil, realist şi util. în ISO/IEC TR 13335-3 (Guidelines for the Management of IT Security; Techniques for the Management of IT Security) sunt analizate exemple de metodologii de determinare a riscului.

Structura standardului ISO27001

Standardul ISO27001 conţine:
11 articole (clauze) de control al securităţii
•totalizează 39 de categorii de securitate principale
•un articol (clauză) introductiv referitor la evaluarea şi tratarea riscurilor – capitolul 4
Notă:
•Ordinea articolelor din standard NU reprezintă nivelul de importanţă.
•În funcţie de condiţii, toate articolele pot fi importante, organizaţia trebuie să identifice articolele aplicabile, cât de importante sunt ele şi aplicarea lor în procesele individuale

 

Articol (clauză)
Categorii
de securitate
5. Politica de securitate
1
6. Organizarea securităţii informaţiei
2
7. Managementul bunurilor
2
8. Securitatea resurselor umane
3
9. Securitatea fizică şi mediului
2
10. Managementul comunicaţiilor  şi al operaţiilor
10
11. Controlul accesului
7
12. Achiziţia sistemelor informatice, dezvoltarea şi mentenanţa
6
13. Managementul incidentelor de securitate a informaţiilor
2
14. Managementul continuităţii afacerii
1
15. Conformitate
3

Noua familie de standarde ISO/IEC 27000

ISO/IEC 27000 – Fundamentals and vocabulary – 2007
ISO/IEC 27001
– ISMS – Requirements (revised BS 7799 Part 2:2005) – 2005
ISO/IEC 27002
– Code of practice for information security management (currently ISO/IEC 17799:2005) -2005
ISO/IEC 27003
– ISMS implementation guidance (under development) – 2008
ISO/IEC 27004
– Information security management measurement (under development) – 2007
ISO/IEC 27005
– Information security risk management (based on and incorporating ISO/IEC 13335 MICTS Part 2) (under development) – 2008
ISO/IEC 27006
– EA 7/03 (Accreditation Guidelines) has been revised and the new version ISO/IEC 27006 to be published in early 2007
ISO/IEC 27007 –
Guidelines for information security management systems auditing
ISO/IEC 27008 –
a guideline for Information Security Management auditing (focusing on the security controls)
ISO/IEC 27011
– Information security management guidelines for telecommunications organizations based on ISO/IEC 27002
ISO/IEC 27013 – a guideline on the integrated implementation of ISO/IEC 20000-1 and ISO/IEC 27001
ISO/IEC 27014 – an information security governance framework
ISO/IEC 27015 – information security management guidelines for the finance and insurance sectors
ISO/IEC 27031 – a guideline for ICT readiness for business continuity (essentially the ICT continuity component within business continuity management)
ISO/IEC 27032 – a guideline for cybersecurity (essentially, ‘being a good neighbor’ on the Internet)
ISO/IEC 27033 – IT network security, a multi-part standard based on ISO/IEC 18028:2006
ISO/IEC 27034 – a guideline for application security
ISO/IEC 27035 – Information technology — Security techniques — Security incident management (draft)
ISO/IEC 27036 – IT Security — Security techniques — Guidelines for security of outsourcing (draft)
ISO/IEC 27037 – IT Security — Security techniques — Guidelines for identification, collection and/or acquisition and preservation of digital evidence (DRAFT)
ISO 27799:2008 Health informatics — Information security management in health using ISO/IEC 27002

ISO/IEC 27011-27019?: Sector-specific ISMS implementation guidelines

Legislaţie naţională aplicabilă

În acest moment legislaţia naţională aplicabilă pentru domeniul protecţiei informaţiilor clasificate se poate împărţi în:

Familia de standarde internaţionale ISO/IEC 27000  a fost elaborată de către comitetul tehnic comun ISO/IEC JTC1, Information technology, subcomitetul SC 27,  IT Security techniques.

În cadrul ISO/IEC JTC/SC27 se elaborează actualmente o familie de standarde internaţionale privind Sistemele de Management ale Securităţii Informaţiei SMSI (ISMS, Information Security Management System).

Familia include standarde internaţionale despre cerinţe privind sistemul de management al securităţii informaţiei, managementul riscului, sisteme metrice şi de măsurare şi ghiduri pentru implementare. Familia va dispune de o schemă de numerotare pe baza seriei de numere 27000 şi următoarele.

Familia de standarde ISO27000 este recunoscută în rezoluţiile Consiliului Europei, implementarea acestora la nivelul organizaţiilor fiind opţională.

Dar istoria ne-a arătat că în general ce este opţional v-a deveni obligatoriu peste 3-5 ani! Preconizez că în anul 2015 implementarea sistemelor de management a informaţiei o să fie o condiţie obligatorie pentru organizaţii (la fel s-a întâmplat şi cu ISO 9001, ISO 14001, etc…)

Domeniu de aplicare al standardului ISO 27001

Acest standard internaţional stabileşte liniile directoare şi principiile generale pentru iniţierea, implementarea, menţinerea şi îmbunătăţirea managementului securităţii informaţiei într-o organizaţie.

Obiectivele evidenţiate în acest standard internaţional oferă îndrumări de ordin general privitoare la ţintele general acceptate ale managementului securităţii informaţiei.

Obiectivele de control şi măsurile de securitate ale prezentului standard internaţional se implementează pentru a se răspunde cerinţelor identificate prin determinarea riscului.

Acest standard internaţional poate servi ca ghid practic pentru crearea unor standarde de securitate organizatională şi a unor practici eficiente de management al securităţii, cât şi pentru realizarea încrederii în activităţile interorganizaţionale.

 

Standardul ISO 27001 este:

  1. Neutru din punct de vedere tehnologic
  2. Aplicabil  pentru toate ramurile industriale, toate categoriile şi caracteristicile de organizaţii
  3. Adecvat şi organizaţiilor  mici