Incadrarea juridica din Romania ­a securitatii retelelor de calculatoare

1 Generalitati

2 Cine detine controlul

3 Legi si Ordonante de Urgenta

4 Concluzii

1 Generalitati

Legile cu privire la reglementarile din domeniul IT sunt diferite de la o tara la alta. Mediul legislativ isi pune amprenta asupra performantelor si realizarilor din acest domeniu. Securitatea in IT vazuta de Guvernul si de Parlamentul Romaniei la datele de promulgare a legilor si a ordonantelor de urgenta va fi discutata pe larg in acest capitol.

2 Cine detine controlul

Conform Ordonantei de Urgenta nr. 79 din 13 iunie 2002 privind cadrul general de reglementare a comunicatiilor din Romania, Autoritatea Nationala de Reglementare in Comunicatii (ANRC) detine controlul in domeniul comunicatiilor electronice, a regimului autorizarii acestor activitati, precum si a regulilor specifice care guverneaza concurenta pe piata retelelor si serviciilor de comunicatii electronice.

Se infiinteaza Autoritatea Nationala de Reglementare in Comunicatii (ANRC), institutie publica cu personalitate juridica in subordinea Guvernului, finantata integral din venituri extrabugetare, care are rolul de a pune in aplicare politica nationala in domeniul comunicatiilor electronice si al serviciilor postale.

ANRC sau Inspectoratul General pentru Comunicatii si Tehnologia Informatiei (IGCTI), dupa caz, are dreptul sa solicite, motivat, oricarui furnizor de servicii sau de retele de comunicatii electronice ori de servicii postale toate informatiile necesare pentru verificarea respectarii obligatiilor prevazute in autorizatiile generale, in celelalte decizii ale presedintelui ANRC, in licente sau in legislatia speciala in domeniul comunicatiilor electronice sau al serviciilor postale.

Activitatea furnizorilor de servicii de certificare (FSC) este supravegheata, conform legii, de autoritatea specializata (ARS - autoritatea de reglementare si supraveghere).

3 Legi si Ordonante de Urgenta

Legea 182/2002 face referire la protectia informatiilor clasificate precum si obligatii si sanctiuni. Informatiile secrete de serviciu se stabilesc de conducatorul persoanei juridice, pe baza normelor prevazute prin hotarare a Guvernului. Neglijenta in pastrarea informatiilor secrete de serviciu atrage, potrivit legii penale, raspunderea persoanelor vinovate. Este interzisa clasificarea ca secrete de serviciu a informatiilor care, prin natura sau continutul lor, sunt destinate sa asigure informarea cetatenilor asupra unor probleme de interes public sau personal, pentru favorizarea ori acoperirea eludarii legii sau obstructionarea justitiei.

Legea 676/2001 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul telecomunicatiilor asigura conditiile specifice de garantare a dreptului la protectia vietii private in privinta prelucrarii datelor cu caracter personal in sectorul telecomunicatiilor. Confidentialitatea comunicatiilor efectuate prin intermediul unei retele publice de telecomunicatii sau prin recurgerea la un serviciu de telecomunicatii destinat publicului este garantata. Conform Legii semnaturii generarea datelor de creare a semnaturii electronice a autoritatii se face utilizand un sistem izolat, fiabil, proiectat special in acest scop, protejat impotriva utilizarii neautorizate.Se va folosi pentru semnatura electronica algoritmul RSA.

· Lungimea minima a cheii private utilizate de un semnatar pentru crearea semnaturii electronice extinse trebuie sa fie de minim:

· 1024 de biti pentru algoritmul RSA;

· 1024 de biti pentru algoritmul DSA;

· 160 de biti pentru algoritmul DSA bazat pe curbe eliptice.

· Lungimea nu include secventa de biti O de pe cele mai semnificative pozitii.

· Generarea repetata de date de creare a semnaturii electronice nu rebuie sa coboare nivelul de siguranta a acesteia - fiind obligatorie   conditia de unicitate. Se exclud procedeele de generare a datelor de creare a semnaturii electronice care, prin utilizare repetata, ar putea reduce calitatea cheii.

· Numarul minim de biti din datele de creare a semnaturii electronice determinati pe baza unor numere real aleatoare tehnice este de:

o 1024 de biti pentru algoritmul RSA;

o 1024 de biti pentru algoritmul DSA;

o 160 de biti pentru algoritmul DSA bazat pe curbe eliptice.

Este interzisa utilizarea numerelor pseudo-aleatoare ca punct de pornire in generarea datelor de creare a semnaturii.

Daca sistemul de generare este utilizat pentru obtinerea cheilor mai multor semnatari, calitatea elementelor generate trebuie verificata statistic cel putin o data pe luna. Rezultatele testelor efectuate trebuie inregistrate. In cazul in care rezultatul testului este negativ, toate certificatele emise de la data ultimului test vor fi revocate.

Daca datele de creare a semnaturii sunt generate de furnizorul de servicii de certificare, acesta trebuie sa asigure confidentialitatea acestora, precum si a datelor pe baza carora s-au generat cheile.

Aceleasi prevederi se aplica in cazul operatiunilor de transferare a datelor de creare a semnaturii in dispozitivele de creare a semnaturii, precum si datelor de identificare a semnatarului necesare in cazul utilizarii dispozitivului.

Daca datele de creare a semnaturii sunt generate de un tert, acesta trebuie sa utilizeze dispozitive de generare fiabile, protejate impotriva utilizarii neautorizate.  Fiecare acces la dispozitivul de generare a datelor de creare a semnaturii trebuie monitorizat.

In concluzie, regimul juridic din Romania privitor la securitatea retelelor Incearca sa tina pasul cu ultimele tehnologii, pune accent pe drepturile vietii private si are un intreg capitol referitor la sanctiuni si pedepse aplicabile.

4 Concluzii

Multe companii detin informatii de valoare pe care le pazesc indeaproape.  Aceasta informatie, printre multe altele, poate fi tehnica, comerciala, financiara sau legala. Cum din ce in ce mai multa informatie este stocata in sisteme informatice, necesitatea protejarii acesteia devine din ce in ce mai importanta. Protejarea acestei informatii impotriva utilizarii neautorizate este o preocupare majora a tuturor sistemelor de operare. Pentru realizarea scopurilor unui sistem de operare (confidentialitatea datelor, integritatea datelor, disponibilitatea serviciilor) avem nevoie de sisteme autentificare fiabile. Un mod de realizare a acestora sunt cu ajutorul criptografiei cu chei private sau publice. Autentificarea prin parole, prin obiect fizic sau prin biometrie ar fi in acest caz mult mai sigura.

Un sistem de operare nu este insa imun la atacuri. Discutam aici despre atacurile din interiorul sistemului ca troienii, bombele logice, login spoofing sau buffer overflow si despre solutiile la actiunile malefice ale acestora.

Securitatea in retelele de calculatoare nu a primit atentia cuvenita la inceputurile existentei acestora din cauza ca erau utilizate doar servicii ca trimiterea de e-mail-uri sau partajarea imprimantelor. Acum, cand milioane de oameni utilizeaza retelele pentru operatiuni bancare, cumparaturi si plata taxelor, securitatea retelelor se intrezareste a fi o problema grava.

Atacurile la acest nivel pot fi pasive, ca ascultarea liniilor de trafic, sau active ca IP spoofing, reluarea, repudierea sau refuzul serviciului. Virusii sunt o amenintare constanta care pot avea efecte destructive grave.

Vorbind despre solutii de securitate in retelele de calculatoare trebuiesc amintite IPsec si VPN cu IPsec care realizeaza o retea privata pe structura unei retele publice. Firewall-urile sunt discutate in amanunt si avantajele lor sunt incontestabile. La fel si

dezavantajele, cum ar fi gatuirea traficului si aglomerarea securitatii intr-un singur punct

Din punct de vedere juridic securitatea retelelor de calculatoare este bine reprezentata de legi care o reglementeaza, legi care dau detalii tehnice si legi care prevad pedepse si sanctiuni in cazul nerespectarii regimului de utilizare.