5.4. Politica de securitate Politica de securitate reprezint nucleul ISMS.

Politica de securitate este format dintr-un set de msuri, acceptate de ctre conducere, care prevede reguli clare, dar flexibile pentru a determina operaiile i te nologiile standard necesare asigurrii securitii. Politica de securitate reprezint un document care puncteaz cerinele principale sau regulile care trebuie cunoscute i aplicate pentru asigurarea securitii. !numerm c"teva exemple concrete de elemente care trebuie prote#ate printr-o bun politic de securitate$ fiierele, bazele de date stocate pe medii magnetice% memoria intern i programele executabile din memorie% structura de directoare&foldere% ec ipamentele ard'are, servere, staii i ec ipamente de conectare la reea% structurile de date% sistemul de operare%% parole i drepturile de acces% sistemul de protecie (nsui. Iat i c"teva greeli frecvente fcute de managerii I) care nu au sau nu respect politica de securitate a informaiilor$ * configurarea inadecvat a fire'all-urilor, programelor antivirus, i detectarea intruderilor% * (ncercarea de a rezolva toate problemele de securitate prin prisma te nologiilor, fr a ine cont i de implicarea utilizatorilor% utilizatorilor nu li s-a adus la cunotin politica i regulile de baz de securitate% lipsa unor reguli de distribuire a patc -urilor i a actualizrii controalelor i msurilor de securitate% aplicarea cerinelor minime de securitate (n utilizarea aplicaiilor informatice, un fire'all i un antivirus, nu este suficient (n asigurarea unui nivel optim de siguran (n exploatare% negli#area actualizrii periodice a sistemului de operare% * lipsa unei planificri a operaiunilor de securizare a sistemului I) al firmei i a monitorizrii securiti I) la nivelul companiei. Politica de securitate a informaiilor, trebuie s cuprind conform standardului S+ IS,&-!I .//00 urmtoarele elemente$ a) o definiie a securitii informaiilor, domeniul de aplicare i obiectivele generale i importana securitii informaiilor ca mecanism de facilitare a parta#rii informaiilor. b) o declaraie de intenie a conducerii (n spri#inul intelor i principiilor securitii informaiilor conform strategiei i obiectivelor organizaiei% c) cadru pentru stabilirea obiectivelor i msurilor de securitate, inclusiv structura evalurii riscurilor i a managementului riscurilor% d) o scurt explicaie privind politica de securitate, principiile, standardele i cerinele de conformitate de importan deosebit pentru organizaie, care s includ$ .1 conformitatea cu cerinele legislative, normative i contractuale% 21 cerinele privind educaia, instruirea i contientizarea (n domeniul securitii% 31 managementul continuitii afacerii% 41 consecinele (nclcrii politicii de securitate a informaiilor. e) o definiie a responsabilitilor generale i specifice (n realizarea managementului securitii informaiilor, inclusiv raportarea incidentelor de securitate%

f) referiri la documentaii care spri#in politica de securitate, ca de exemplu politici de securitate mai detaliate i proceduri pentru sisteme informatice specifice sau reguli de securitate pe care utilizatorii trebuie sa le respecte. 5ceast politic de securitate a informaiilor trebuie comunicat utilizatorilor din cadrul (ntregii organizaii (ntr-o form relevant, accesibil i inteligibil pentru cei crora li se adreseaz. Politica de securitate a informaiilor poate fi cuprins (ntr-un document de politic general. 6ac politica de securitate a informaiilor este distribuit (n afara organizaiei, acest lucru trebuie fcut cu atenie pentru a nu se dezvlui informaii secrete. Informaii suplimentare (n acest sens sunt oferite (n IS,&-!I .33337 8 .$2994. Politica de securitate a informaiilor trebuie analizat la intervale planificate, sau (n cazul apariiei unor sc imbri semnificative, pentru a i se asigura permanenta conformitate i eficacitate. Politica de securitate a informaiilor trebuie sa aib un proprietar care s rspund oficial de dezvoltarea, analiza i evaluarea politicii de securitate. 5naliza trebuie sa cuprind evaluarea oportunitilor de (mbuntire a politicii organizaiei de securitate a informaiilor i modul de abordare a managementului securitii informaiilor ca rspunsuri la sc imbrile intervenite (n mediul organizaional, condiiile de desfurare a afacerii, condiiile #uridice sau condiiile te nice. +evizuirea politicii de securitate a informaiilor trebuie s in cont de rezultatele analizei de management (n acest domeniu. )rebuie s existe proceduri bine stabilite de analiz a managementului care s cuprind o planificare sau intervale pentru aceste analize. Informaiile pe care trebuie s se bazeze analiza managementului trebuie s cuprind$ reacia de rspuns :feedbac;1 provenind de la prile interesate% rezultatele analizelor efectuate de ctre pri independente% situaia aciunilor preventive i corective% rezultatele analizelor anterioare de management% performana procesului i conformitatea cu politica de securitate a informaiilor% sc imbri care pot afecta modul (n care organizaia abordeaz managementul securitii informaiilor, inclusiv sc imbrile suferite de mediul organizaional, condiiile de desfurare a afacerii, disponibilitatea resurselor, condiiile contractuale, normative i legale, condiiile te nice% tendinele (n privina ameninrilor i vulnerabilitilor% incidente raportate privind securitatea informaiilor% recomandri furnizate de autoritile de resort. +ezultatul analizei managementului trebuie s cuprind toate deciziile i aciunile referitoare la (mbuntirea abordrii de ctre organizaie a managementului securitii informaiilor i a proceselor aferente, a obiectivelor i msurilor de securitate. 6e asemenea se are (n vedere (mbuntirea alocrii de resurse i redistribuirea responsabilitilor. )rebuie s se pstreze evidena analizelor managementului i trebuie obinut aprobarea managementului pentru politica revizuit. 5.5. Managementul auditului ISMS Managementul auditului, stabilete liniile directoare i principiile generale pentru iniierea, implementarea, meninerea i (mbuntirea managementului securitii informaiilor (ntr-o organizaie. ,biectivele evideniate (n acest standard internaional ofer (ndrumri de ordin general privitoare la intele general acceptate ale managementului securitii informaiilor.

Modul (n care organizaia abordeaz securitatea informaiilor i implementarea acesteia :respectiv obiectivele de control, msurile de securitate, politicile, procesele i procedurile de securitate a informaiilor1 trebuie analizat (n mod independent, la intervale prestabilite sau atunci c"nd intervin sc imbri semnificative (n implementarea securitii. 5ceast analiz independent trebuie iniiat de management. !a este necesar pentru asigurarea permanent a caracterului adecvat i a eficienei modului de abordare a managementului securitii informaiilor (n cadrul organizaiei. 5naliza trebuie s cuprind estimarea oportunitilor de (mbuntire i a nevoii de modificare a modului de abordare a securitii, inclusiv a politicii i obiectivelor privind msurile de securitate. , astfel de analiz trebuie realizat de ctre persoane independente de zona analizat, de ex. auditor intern, un director independent sau o organizaie ter specializat (n astfel de analize. +ezultatele analizei independente trebuie (nregistrate i raportate conducerii care a iniiat analiza. <nregistrrile se pstreaz. 6ac analiza independent evideniaz c modul (n care organizaia abordeaz i implementeaz securitatea informaiilor este neadecvat sau nu este (n conformitate cu direciile privind securitatea informaiilor stabilite (n politica de securitate a informaiilor :documentul de politic1, managementul trebuie s aib (n vedere aciuni corective. 6omeniul analizat cu regularitate de managerii poate fi analizat i (n mod independent. )e nicile de analiz pot s cuprind interviuri cu directorii, verificarea (nregistrrilor sau analiza documentelor de politic. Securitatea informaiilor organizaiei i a facilitilor sale de procesare a informaiilor nu trebuie redus prin introducerea unor produse sau servicii provenite de la teri. 5ccesul prilor externe la mi#loacele de procesare a informaiilor organizaiei, precum i la procesarea i comunicarea informaiilor, trebuie inut sub control. 5tunci c"nd apare necesitatea de lucru cu prile externe crora trebuie astfel s li se permit accesul la informaiile organizaiei i la facilitile sale de procesare a informaiilor, sau este necesar a obine de la pri externe sau furniza acestora produse i servicii, trebuie efectuat un calcul al riscurilor pentru a se stabili implicaiile privind securitatea i cerinele privind controlul. )rebuie convenite i stabilite msurile de securitate printr-un acord cu partea extern. Implementarea i operarea ISMS are la baz patru faze pentru realizarea cu succes a unui audit.

Fig.5.3 Modelul PDC a!licat !roceselor ISMS

Plan "stabilirea ISMS) Stabilirea politicii ISMS, obiective, procese i proceduri relevante pentru administrarea riscului i (mbuntirea securitii informaiei pentru a avea rezultate (n conformitate cu politicile i obiectivele de ansamblu ale organizaiei. Implementarea i operarea politicilor ISMS, controale, procese i proceduri. !valuarea, i acolo unde este aplicabil, msurarea performanei procesului av"nd ca opozabil politica ISMS, obiectivele i experiena practica i raportarea rezultatelor ctre ec ipa de management pentru evaluare. +ealizarea :utilizarea1 de aciuni corective i preventive, bazate pe rezultatele auditului intern ISMS i evaluarea managemenului sau alte informaii relevante pentru a obine o (mbuntire continu a ISMS.

face "im!lementarea #i o!erarea ISMS) $erificarea "monitori%area and e$aluarea ISMS) ac&iona "men&inerea #i 'mbun(t(&irea ISMS)

=n audit se compune din$ etape, proceduri si documente., principalele etape ale auditului ISMS sunt presentate (n figura urmtoare.

Fig.5.4

!tape i proceduri de audit

5uditul ISMS stabilete liniile directoare i principiile generale pentru iniierea, implementarea, meninerea i (mbuntirea managementului securitii informaiilor (ntr-o organizaie. Standardul S+ IS,&!-I .//00$2994 reprezint o art complet a obiectelor de

control i controalelor ce trebuie luate (n considerare de auditorul sistemului de management al securitii informaiilor. Sunt stabilite prin acest standard urmtoarele domenii de probleme concrete pentru misiunea de audit$ securitatea organizaional care include infrastructura securitii informaiei, securitatea accesului terilor i probleme de externalizare% clasificarea i controlul resurselor informaionale, inventarierea i clasificarea informaiilor% securitatea personalului av"nd (n vedere includerea securitii (n responsabilitile postului, acordurile de confidenialitate, instruirea utilizatorilor inclusiv modul (n care se rspunde la incidentele de securitate% securitatea fizic i a mediului, zonele sigure, securitatea ec ipamentelor, i controalele generale% managementul comunicaiilor i operaiilor, al procedurilor operaionale, protecia (mpotriva soft'are-ului maliios,copii de siguran i #urnalizarea operatorilor i a (nregistrrilor, securitatea mediilor de stocare, securitatea sc imburilor de informaii, inclusiv cele internaionale, securitatea comerului electronic, controlul accesului, politica de control a accesului, parole, privilegii, drepturi de acces, responsabilitatea utilizatorilor, politica de utilizarea serviciilor (n reea, securitatea serviciilor de reea, accesul la sistemul de operare, accesul la aplicaii, ec ipamentele mobile i lucru la distan, monitorizarea accesului la sistem% dezvoltarea i mentenana sistemului informatic, ceea ce (nseamn securitatea aplicailor, validarea datelor de intrare, controlul procesrii datelor, validarea ieirilor, controale criptografice, securitatea fiierelor de sistem, managementul sc imbrilor, managementul continuitii afacerii, planul de recuperare (n caz de dezastre% conformitatea cu cerinele legale. )oat aceast gam de probleme concrete reclam utilizarea de te nici diversificate de audit pentru a rspunde particularitilor specifice fiecrei clase de riscuri. )e*nici de audit asistate de calculator <n activitatea de audit, auditorul poate s utilizeze calculatorul at"t ca un instrument pentru extragerea i analiza datelor din sistem c"t i ca te nic de testare i verificare pentru creterea eficacitii i eficienei auditului. 5ceste instrumente i te nici sunt grupate sub termenul de C )s :Computer Assisted Audit Techniques1. Standardul I>5- 8 I5PS .990 i g idul IS5-5 :paragraful 9?9.929.9/91 privind auditul sistemelor informatice reglementeaz utilizarea acestor instrumente i te nici de ctre auditori. Instrumentele i te nicile care fac parte din -55)s sunt$ @ instrumente pentru creterea productivitii muncii de audit. @ aplicaii generale de audit :+ S - Generalized Audit Software1. @ aplicaii informatice :utilitare1 pentru testarea i verificarea sistemului. Instrumente !entru cre#terea !roducti$it(&ii muncii de audit 5ceste instrumente reprezint ansamblul aplicaiilor informatice :soft'are1 care faciliteaz munca auditorului, cresc"nd astfel productivitatea procesului de audit. Printre facilitile pe care le ofer aceste instrumente pot fi amintite urmtoarele$

@ planificarea i urmrirea automat a misiunii de audit. -ele mai utilizate instrumente (n acest sens sunt$ aplicaiile pentru managementul proiectelor :MS Pro#ect, Primavera Pro#ect Planner etc.1% aplicaiile pentru calcul tabelar @editarea i managementul automat al foilor de lucru :electronic 'or;ingpapers1. -ele mai utilizate instrumente (n acest sens sunt$ Microsoft ,ffice, Aotus Smart Suite, Intacct 5udit :produs de ctre Intacct -orporation i 6eloitte B )ouc e1, Cor;ing Papers :produs de ctre -aseCare International1, )eamMate :produs de PriceCater ouse-oopers1 .a.% @ comunicarea i transferul automat al datelor. -ele mai utilizate instrumente (n acest sens sunt$ aplicaii pentru e-mail :Microsoft ,utloo;1, instrumente group'are :Aotus Dotes 6omino Server1% forumuri intranet .a.

,. S) -D .D/ 0I 1/+IS1 2I/

Mediile informatice din rile cu mare experien (n domeniu I) B - au dezvoltat i au introdus pe plan naional i apoi i pe plan internaional o serie de standarde cuprinz"nd metodologii, g iduri, proceduri de derulare a auditului i certificrii calitii sistemelor informatice integrate standardelor generale de audit ale organizaiilor a cror funcionare este indisolubil legat de te nologia informaiei i comunicaiilor. -el mai cunoscut organism este IS C - Information Systems Audit and Control Association, care a propus standardul SIS S -Statement of Information Systems Auditing Standards. I) Eovernance Institute a publicat o serie de standarde privind definirea i implemenarea controalelor (n cadrul sistemelor informatice. 5ceste standarde au fost reunite intr-un g id Guidelines and Procedures for Audit and Control Professionals care a devenit standardul CobiT - Control Objectives for Information and related Technology. =n alt organism important IF C - International Federation of Accountants, a propus standardul $ IS 3 International Standards on Auditing i mai ulterior standadrul I PS International Auditing Practice Statements. Specificaiile i procedurile standardului se regsesc (n g idul$$ II)+ - International Information echnology Guidelines. Aiteratura de specialitate mai consemneaz i alte standarde, de exemplu standardul S5- 8 SFstem 5udatibilitF and -ontrol publicat de Institute of Internal 5uditors +esearc >oundation, sau standardul Internal -ontrol 8 Integrated >rame'or; publicat de -,S, , -ommitee of Sponsoring ,rganization of )rade'aF -ommission. In +om"nia s-au elaborat o serie de legi i acte normative care se refer cu precdere la securitatea informaiilor ca parte integrant a auditului te nologiei informaiei i mai puin la (ntregul proces de audit al sistemului informatic. Prin activitatea susinuta de Ministerul -omunicaiilor si )e nologiei Informaiei :M-)I1 de adoptare la nivel naional a standardelor europene si internaionale recunoscute, standardul IS,&I!- .//00 - G)e nologia Informaiei 8 -od de buna practica pentru managementul securitii informaieiH a fost adoptat si (n +om"nia de ctre 5sociaia de Standardizare din +om"nia :5S+,1, din toamna anului 2994. Standardul este recunoscut (n rezoluiile -onsiliului !uropei, implementarea acestuia la nivelul organizaiilor fiind opional. Singurul loc de unde se poate ac iziiona legal versiunea (n limba rom"na a standardului este 5S+, :444.asro.ro1.

Managementul securitii informaiilor (n +omania trebuie s in seama de aceste standarde la care fac i o serie de legi, ordine i alte acte normative ca de exemplu$ . - Aegea nr. .?. din .0 aprilie 2993 privind unele msuri pentru asigurarea transparenei (n exercitarea demnitilor publice, a funciilor publice i (n mediul de afaceri, prevenirea si sancionarea corupiei. - Aegea nr. 79? din ./ noiembrie 2994 privind prelucrarea datelor cu caracter personal si protecia vieii private (n sectorul comunicaiilor electronice. - Aegea nr. ?// din 2. noiembrie 299. pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulaie a acestor date. - Aegea nr. 477 din .I iulie 299. privind semntura electronica. - Aegea nr. 744 din .2 octombrie 299. privind liberul acces la informaiile de interes public. - Jotar"rea nr. .270 din .3 decembrie 299. privind aprobarea Dormelor te nice si metodologice pentru aplicarea Aegii nr. 477-299. privind semntura electronica. - ,rdinul 5vocatului Poporului nr. 72 din .I aprilie 2992 privind aprobarea cerinelor minime de securitate a prelucrrilor de date cu caracter personal. - ,rdinul 5vocatului Poporului nr. 73 din .I aprilie 2992 privind aprobarea formularelor tipizate ale notificrilor prevzute de Aegea nr. ?//&299. pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circula ie a acestor date. - ,rdinul 5vocatului Poporului nr. 74 din .I aprilie 2992 privind stabilirea unor situaii (n care nu este necesara notificarea prelucrrii unor date cu caracter personal care cad sub incidena Aegii nr. ?//&299. pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulaie a acestor date. -Jotr"rea nr. /I. din 27 iulie 2992 privind protecia informaiilor secrete de serviciu. - Aegea nr. .I2 din .2 aprilie 2992 privind protecia informaiilor clasificate. - ,rdinul nr...9// din ?.9I.2993 al ministrului finanelor publice privind condiiile (n care se pot edita, (ntr-un singur exemplar, facturile fiscale cu regim special de tiprire, (nseriere i numerotare, utilizate (n activitatea financiar i contabil publicat (n M.,f. nr. 7I9&.4.9I.2993 - ordinul nr. 2.I din .4 iunie 2994 privind procedura de avizare a instrumentelor de plat cu acces la distan, de tipul aplicaiilor Internet-ban;ing, ome-ban;ing sau mobile-ban;ing. 6esigur, lista se poate (mbogi, realitatea fiind mai complex dec"t sumarul legislativ expus aici. 5m dorit s subliniem (ns faptul c +om"nia este anga#at ferm pe drumul corect al dezvoltrii informaticii (ntr-un mediu disciplinat, riguros, absolut necesar funcionrii eficiente a societii informaionale respectiv a unei economii digitale care are ca temelie te nologia informaiei i comunicaiilor .