Iso 27002

1
SISTEMUL DE MANAGEMENT AL SECURITII

INFORMAIEI (SMSI)
IMPLEMENTAREA, AUDITUL SI
CERTIFICAREA SMSI
Conf. univ. dr. ing. Iustin PRIESCU
Lead Auditor SMC & SMSI
iustin.priescu@gmail.com
04-05 decembrie 2010 Iustin Priescu
ACADEMIA TEHNIC MILITAR
ATM Master Securitatea Informaiei 2
PREZENTAREA LECTORULUI
Licen tiina calculatoarelor (ATM) i licen comunicare (UB)
Doctor inginer n tiina calculatoarelor domeniul securitate informatic
Certificare SMSI auditor TUViT, membru TUV Nord Group, Germania, 2005
Certificare SMSI Lead Auditor IQMS-BSI-UKAS, UK, 2009
Auditor i trainer SMSI Simtex; auditor SMC Simtex (http://www.simtex.ro)
Consultant securitatea informaiei ANISP (http://www.anisp.ro)
Membru CT 208 Tehnici de securitate ASRO
Lector asociat n ASE, ATM i UTM Bucureti
Cursuri n domeniul securitii informaiei n Italia, Germania, UK, USA
Autor a 3 cri n domeniul securitii informaiei:
IUSTIN PRIESCU
COMERT
ELECTRONIC
(E-COMMERCE)
2
PROIECTE SMSI
AGENDA
SISTEMUL DE MANAGEMENT AL SECURITII
INFORMAIEI (SMSI)
MODULUL 1 STRUCTURA I CONINUTUL STANDARDULUI
ISO/IEC 27002:2005
MODULUL 2 STRUCTURA I CONINUTUL STANDARDULUI
ISO/IEC 27001:2005
MODULUL 3 CADRUL DE MANAGEMENT (MANAGEMENT
FRAMEWORK) AL UNUI SMSI. ANEXA A
MODULUL 4 MIS & DRP & BCP
3
SECURITATEA INFORMAIEI
Conform SR ISO/IEC 27002:2006, cerinele fundamentale de securitate a informaiei sunt:
Confidenialitatea asigur c informaia este accesibil numai persoanelor autorizate
s aibe acces
Integritatea pstrarea acurateei i i completitudinii informaiei i a metodelor de
procesare
Disponibilitatea asigurarea c utilizatorii autorizai au acces la informaie i la resursele
asociate atunci cnd este necesar
(funcii de utilitate)
Autentificarea asigur asocierea informaiei cu autorul ei
Nerepudierea asigur asocierea c destinatarul legal a primit informaia de la expeditor
(funcii de credibilitate) acoperirea prejudiciului
CUBUL FUNCIILOR DE SECURITATE
DISPONIBILITATE
CONFIDENIALITATE
INTEGRITATE n funcie de cerinele de
securitate ale organizaiei
variaz dimensiunile
spaiale
Poate fi doar un ptrat ?
Poate fi doar un punct ?
4
CERINE DE SECURITATE
Surse principale de identificare a propriilor cerine de securitate:
1. EVALUAREA
RISCURILOR
3. CULTURA DE
SECURITATE
2. CERINELE
LEGALE
SELECTAREA CONTROALELOR
SET ADECVAT DE
CONTROALE
POLITICI PRACTICI PROCEDURI STRUCTURI FUNCII SOFTWARE
Securitatea informaiei este obinut prin implementarea unui:
S asigure atingerea obiectivelor specifice de securitate ale firmei !
Selectarea controalelor se bazeaz pe costul implementrii lor, corelat cu
reducerea riscurilor [SR ISO/CEI 27002:2006]
5
FAMILIA DE STANDARDE ISO 2700X
27000 Fundamente & Vocabular (2009)
27001:SMSI Cerine* (2005)
27003 Ghid de Implementare (2008)
27002 Cod de practic pt. SMSI (2005)
27004 Metrici & Msurtori (2010)
27005
Managementul
Riscului
pt. SMSI
(2009)
27006 Ghid pentru Acreditarea SMSI* (2007)
* CERIN:
FOLOSIRE OBLIGATORIE PENTRU CERTIFICAREA SMSI
ISO/IEC 27001 ISO/IEC 27002 ISO/IEC 27006
ISO/IEC 27001:2005 (SR ISO/CEI 27001:2006)
Tehnologia informaiei Tehnici de securitate Sisteme de
management al securitii informaiei Cerine
ISO/IEC 27002:2005 (SR ISO/CEI 27002:2008)
Tehnologia informaiei Tehnici de securitate Cod de bun
practic pentru managementul securitii informaiei
ISO/IEC 27006:2007 (SR ISO/CEI 27006:2008)
Tehnologia informaiei Tehnici de securitate Cerine pentru
organismele care auditeaz i certific sisteme de
management al securitii informaiei
6
AGREGAREA STANDARDELOR
ISO 27001, ISO 27002 i ISO 27006
CAPITOLELE
4-8
ANEXA A
CONTROALE
-133-
DESCRIEREA
DETALIATA
A CONTROALELOR
(MASURILOR DE
SECURITATE)
-133-
ISO 27001 ISO 27002
(fost ISO 17799)
CAPITOLELE
8-10
ISO 27006
ANEXA D
GHID EVAL.
CONTROALE
-133-
SR ISO/CEI 27002:2008
SR ISO/CEI 27002:2008 Tehnologia informaiei Tehnici de
securitate Cod de bun practic pentru managementul securitii
informaiei
Neutru din punct de vedere tehnologic
CE SA FACI ? (NU>> Cum s faci?)
Standard de management (nu tehnic !)
Descriere detaliat a abordrilor verificate i a controalelor pentru o
securitate cuprinztoare i durabil n organizaie
7
STANDARDUL SR ISO/CEI 27002:2008
Cod de bun practic pentru SMSI
Descrie n detaliu modul de implementarea a msurilor
de securitate
Aplicabil pentru toate tipurile de organizaii
Conine 133 de controale (msuri de securitate)
SR ISO/CEI
27002:2008
5 6 7 8
9 10
11
12 13 14
15
SR ISO/CEI 27002:2008
SR ISO/CEI 27002:2008 Tehnologia informaiei Tehnici de
securitate Cod de bun practic pentru managementul
securitii informaiei
Neutru din punct de vedere tehnologic
Aplicabil pentru toate ramurile industriale, toate categoriile i
caracteristicile de organizaii
Adecvat i organizaiilor mici
8
CORESPONDENA DINTRE
SR ISO/CEI 27002:2008 I ISO/CEI 27001:2006
Din Clauzele 5-15 ale SR ISO/CEI 27002:2008 sunt
derivate n mod direct obiectivele de control i
controalele prezentate n Anexa A (normativ) a
standardului SR ISO/CEI 27001:2006
STRUCTURA STANDARDULUI
SR ISO/CEI 27002:2008
Organizarea standardului:
organizaia emitent, codificare, data versiunii
denumirea standardului n lb. englez, francez
aprobare, statut, ce standard nlocuiete
coresponden cu alte standarde, n lb. englez, francez
cuprins, preambul, cap. 0 Introducere;
cap. 1 domeniul de aplicare, cap. 2 termeni i definiii
structura standardului, de forma:
x numr de capitol articol privind controlul securitii
x.x categorii de securitate (principale)
x.x.x msur de securitate (control)
9
SR ISO/CEI 27002:2008
Standardul internaional ISO/IEC 27002:2005 a fost acceptat ca
standard romn de ctre comitetul tehnic CT 208 Tehnici de
securitate n tehnologia informaiei
Membrii comitetului tehnic care au verificat versiunea n limba
romn ....
SR ISO/CEI 27002:2008
Structura unei msuri de securitate
Definiia msurii
Ghid de implementare
Alte informaii utile
FIECARE CATEGORIE PRINCIPAL DE SECURITATE CONINE:
- un obiectiv privind msura de securitate care stabilete ceea ce
trebuie realizat;
- una sau mai multe msuri de securitate aplicate pentru a atinge
obiectivul
10
SR ISO/CEI 27002:2008
Standardul conine:
11 articole (clauze) de
control al securitii
totalizeaz 39 de
categorii de securitate
principale
un articol (clauz)
introductiv referitor la
evaluarea i tratarea
riscurilor cap. 4
ARTICOL (CLAUZA)
CATEGORII DE
SECURITATE
5. Politica de securitate 1
6. Organizarea securitii informaiei 2
7. Managementul bunurilor 2
8. Securitatea resurselor umane 3
9. Securitatea fizic ia mediului 2
10. Managementul comunicaiilor i al
operaiilor
10
11. Controlul accesului 7
12. Achiziia sistemelor informatice,
dezvoltarea i mentenana
6
13. Managementul incidentelor de
securitate a informaiei
2
14. Managementul continuitii afacerii 1
15. Conformitate 3
SR ISO/CEI 27002:2008
NOT:
Ordinea articolelor din
standard NU reprezint nivelul
de importan.
n funcie de condiii, toate
articolele pot fi importante,
organizaia trebuie s
identifice articolele aplicabile,
ct de importante sunt ele i
aplicarea lor n procesele
individuale.
ARTICOL (CLAUZA)
CATEGORII DE
SECURITATE
5. Politica de securitate 1
6. Organizarea securitii informaiei 2
7. Managementul bunurilor 2
8. Securitatea resurselor umane 3
9. Securitatea fizic ia mediului 2
10. Managementul comunicaiilor i al
operaiilor
10
11. Controlul accesului 7
12. Achiziia sistemelor informatice,
dezvoltarea i mentenana
6
13. Managementul incidentelor de
securitate a informaiei
2
14. Managementul continuitii afacerii 1
15. Conformitate 3
11
5 POLITICA DE SECURITATE
5.1 POLITICA DE SECURITATE A INFORMAIEI
OBIECTIV: s asigure..., s stabileasc, ... s demonstreze
5.1.1 DOCUMENT DE POLITIC A SECURITII INFORMAIEI
Msur de securitate aprobat, publicat i comunicat
ndrumri pt. implementare documentul trebuie s cuprind a) ... f)
Alte informaii vezi ISO/IEC 133335 1:2004
5.1.2 REVIZUIREA POLITICII DE SECURITATE
Intervale planificate, schimbri semnificative
Rezultatele analizei de management a securitii a) ... i)
Decizii i aciuni referitoare la a) ... c).
6 ORGANIZAREA SECURITII INFORMAIEI (SI)
6.1 ORGANIZARE INTERN
OBIECTIV: s administreze securitatea informaiei
6.1.1 Angajamentul echipei de management privind SI
Managementul s susin n mod activ SI n organizaie
Managementul trebuie s a) ... h)
Alte informaii vezi ISO/IEC 133335 1:2004
6.1.2 Coordonarea SI
6.1.3 Alocarea responsabilitilor pentru SI
Intervale planificate, schimbri semnificative
Domenii de responsabilitate, resursele i procesele
entitatea rspunztoare i nevelurile de autorizare
12
6.1 ORGANIZARE INTERN
OBIECTIV: s administreze securitatea informaiei
6.1.4 Procesul de autorizare pt. sistemele de procesare a
inf.
6.1.5 Acorduri de confidenialitate
6.1.6 Contactul cu autoritile
6.1.7 Contactul cu grupuri specializate de interese
6.1.8 Revizuirea independent a SI
6.2 PRI EXTERNE
OBIECTIV: accesul prilor externe la sistemele de procesare a
informaiei trebuie inut sub control
6.2.1 Identificarea riscurilor legate de prile din afara
organizaiei
trebuie s se efectueze o determinare de risc (a) ... k) )
6.2.2 Respectarea cerinelor de securitate n activitile care
implic clienii
6.2.3 Respectarea cerinelor de securitate n acordurile cu terii
trebuie s acopere toate cerinele de securitate relevante
condiii ce trebuie incluse n acord (a) ... v) )
externalizeaz managementul securitii informaiei
13
7 MANAGEMENTUL RESURSELOR
7.1 Responsabilitatea pentru resurse
OBIECTIV: s obin i s menin o protecie
corespunztoare a resurselor organizaionale (nregistrate i
deintor)
7.1.1 Inventarul resurselor
vezi tipuri de resurse necesare la evaluarea riscurilor
7.1.2 Deinerea resurselor
deintor vs. proprietar
7.1.3 Utilizarea n mod admisibil a resurselor
trebuie identificate, documentate i implementate (de ex. e-mail,
Internet, dispozitive mobile)
7 MANAGEMENTUL RESURSELOR
7.2 Clasificarea informaiei
OBIECTIV: s asigure faptul c informaia beneficiaz de un
nivel de protecie adecvat
7.2.1 ndrumri pentru clasificare
clasificat dup: valoare, cerine legale, importan i nivel de
criticabilitate pentru organizaie
ghid de clasificare a informaiilor
7.2.2 Etichetarea i manipularea informaiei
proceduri de etichetare
pt. fiecare nivel de clasificare definite proceduri de operare pt.
procesare, stocare, transmitere, declasificare i distrugere
securizat
marcare vs. etichetare
14
8 SECURITATEA RESURSELOR UMANE
8.1 naintea angajrii
OBIECTIV: trebuie menionate responsabilitile privind securitatea nainte
de angajare
8.1.1 Roluri i responsabiliti
8.1.2 Verificare
trebuie s se efectueze controale de verificare de fond, proporionale cu
cerinele afacerii i clasificarea informaiei
atenie !!! protejarea intimitii, a datelor cu caracter personal i / sau
legislaia muncii
exerciiu de citit din standard ndrumrile pt. implementare
8.1.3 Cerine i condiii de angajare
s se asigure c viitorii angajai accept termenii i condiiile privind SI
cod de conduit a angajailor
8.2 Pe timpul perioadei angajrii
OBIECTIV: sunt contieni de ameninrile privind SI, responsabiliti juridice,
s susin politica de securitate organizaional i s asigure reducerea
riscului erorilor umane.
F. IMP....: CONTIENTIZARE, EDUCAIE I INSTRUIRE (instituit un proces
disciplinar oficial pt. nclcarea regulilor de SI)
8.2.1 Responsabilitile managementului
s cear (imperativ) angajailor s aplice msurile de securitate
8.2.2 Gradul de calificare, educaie i instruire
toi angajaii trebuie s primeasc o instruire corespunztoare i actualizri
periodice
8.2.3 Procesul disciplinar
trebuie s existe un proces formal disciplinar ce asigur o reacie progresiv
trebuie folosit i ca element de descurajare
15
8.3 ncetarea contractului sau schimbarea locului de munc
OBIECTIV: fotii angajai prsesc organizaia sau schimb locul de
munc ntr-o manier reglementat (managementul plecrii din organizaie)
8.3.1 Responsabiliti privind terminarea contractului
condiii ce se prelungesc o perioad de timp dup terminarea contractului
8.3.2 Returnarea resurselor
dac angajatul dispune de cunotine importante pt. operaiile n derulare,
acestea trebuie documentate i transferate organizaiei
8.3.3 nlturarea drepturilor de acces
toate drepturile trebuie revocate
9 SECURITATEA FIZIC I A MEDIULUI DE LUCRU
9.1 Zone de securitate
OBIECTIV: s previn accesul fizic neautorizat, distrugerile i
ptrunderea n interiorul organizaiei, precum i accesul la informaii
9.1.1 Perimetrul fizic de securitate
9.1.2 Controlul accesului fizic
9.1.3 Securizarea birourilor, ncperilor i a sistemelor informatice
9.1.4 Protejarea mpotriva ameninrilor externe i de mediu
9.1.5 Desfurarea activitii n zonele de securitate
9.1.6 Zone de acces public, puncte de livrare i ncrcare
16
9 SECURITATEA FIZIC I A MEDIULUI DE LUCRU
9.2 Securitatea echipamentelor
OBIECTIV: s previn pierderea, avarierea, furtul sau compromiterea
resurselor i ntreruperea activitilor din organizaie
9.2.1 Amplasarea i protejarea echipamentelor
9.2.2 Utiliti suport pentru afacere
9.2.3 Securitatea reelelor de cablu
9.2.4 ntreinerea echipamentelor
9.2.5 Securitatea echipamentelor n afara locaiei
9.2.6 Scoaterea din uz sau reutilizarea n condiii de siguran
9.2.7 Scoaterea activelor
echipamentele, informaiile sau produsele software nu trebuie scoase n
afara spaiului de lucru fr o autorizare prealabil
verificri prin sondaj pentru depistarea mutrilor neautorizate
10 MANAGEMENTUL
COMUNICAIILOR I OPERAIILOR
10.1 Proceduri operaionale i responsabiliti
OBIECTIV: s asigure operarea corect i n condiii de securitate a
sistemelor de procesare a informaiei
10.1.1 Proceduri de operare documentate
procedurile de operare trebuie s fie documentate, pstrate i puse la
dispoziia tuturor celor care au nevoie de ele
10.1.2 Managementul schimbrii
toate schimbrile privind sistemele de procesare a informaiilor trebuie s
se fac ntr-un mod controlat
jurnale de audit ce conin toate informaiile relevante despre schimbri
10.1.3 Separarea atribuiilor
10.1.4 Separarea sistemelor de dezvoltare, testare i a sistemelor
operaionale
personalul de dezvoltare i testare este o ameninare pentru
confidenialitatea informaiei operaionale
17
10 MANAGEMENTUL
10.2 Managementul serviciilor furnizate de teri
OBIECTIV: s implementeze i s menin un nivel
corespunztor al SI i al livrrii serviciilor ncheiate cu teri
10.2.1 Furnizarea serviciilor
acordurile ncheiate cu teri sunt implementate, operate i
ntreinute corespunztor
10.2.2 Monitorizarea i evaluarea serviciilor terilor
n cazul externalizrii, organizaia trebuie s fie contient c, n
final, responsabilitatea pt. procesarea informaiei revine tot org.
10.2.3 Managementul modificrilor n cazul serviciilor
furnizate de teri
trebuie efectuat n mod controlat
10 MANAGEMENTUL
10.3 Planificarea i acceptana sistemului
OBIECTIV: s reduc riscurile de disfuncionaliti ale
sistemelor
10.3.1 Managementul capacitii
utilizarea resurselor trebuie s fie monitorizat i optimizat,
iar capacitile viitoare trebuie s fie prevzute
10.3.2 Acceptana sistemului
efectuarea de teste n timpul dezvoltrii i nainte de
acceptan
aprobarea pentru acceptan poate cuprinde un proces oficial
de certificare i acreditare
18
10 MANAGEMENTUL
10.4 Protecia mpotriva codurilor mobile i duntoare
OBIECTIV: s asigure protejarea integritii software-ului i a informaiei
10.4.1 Msuri de securitate mpotriva codurilor cu potenial duntor
msuri de securitate pentru detectarea, prevenirea i recuperarea datelor,
precum i proceduri de avertizare a utilizatorilor
10.4.2 Msuri de securitate fa de codul mobil
autorizarea codului mobil n conformitate cu politica de securitate
codul mobil neautorizat trebuie s fie mpiedicat s se execute
aprobarea pentru acceptan poate cuprinde un proces oficial de
certificare i acreditare
10 MANAGEMENTUL
10.5 Copie de siguran
OBIECTIV: s menin integritatea i disponibilitatea
informaiei i a sistemelor de procesare
10.5.1 Copii de siguran ale informaiei
copiile de siguran ale informaiilor trebuie testate n mod regulat
n conformitate cu politica de realizare de copii stabilit
trebuie inute evidene corecte i complete ale copiilor de siguran
cnd confidenialitatea este important, salvrile de siguran
trebuie protejate prin metode criptografice
procedurile de salvare de siguran pot fi automatizate, ns trebuie
riguros testate nainte de implementare i la intervale regulate
19
10 MANAGEMENTUL
10.6 Managementul securitii reelei
OBIECTIV: s asigure protejarea protecia reelelor de informaii i
protecia infrastructurii de suport
10.6.1 Msuri pentru securitatea reelei
responsabilitatea pentru operarea reelei trebuie separat de operarea
calculatoarelor
trebuie utilizate metode adecvate de jurnalizare i monitorizare pt. a
permite nregistrarea aciunilor relevante
10.6.2 Securitatea serviciilor de reea
cuprind furnizarea de conexiuni, servicii private de reea, reele cu valoare
adugat sau soluii de administrare de securitate (firewall, IDS)
10 MANAGEMENTUL
10.7 Manipularea mediilor de stocare
OBIECTIV: s previn divulgarea neautorizat, modificarea, ndeprtarea
sau distrugerea resurselor i ntreruperea activitii afacerii
10.7.1 Managementul mediilor amovibile
trebuie s existe proceduri specifice pt. managementul adecvat al
mediilor de stocare amovibile
toate procedurile i nivelurile de autorizare trebuie clar documentate
10.7.2 Distrugerea mediilor de stocare
mediile de stocare trebuie distruse ntr-un mod securizat i sigur atunci
folosind proceduri formale pentru acestea
10.7.3 Proceduri de manipulare a informaiei
trebuie stabilite proceduri specifice de manipulare: utilizarea, prelucrarea,
stocarea i comunicarea informaiei (a se vedea 7.2)
10.7.4 Securitatea documentaiei de sistem
documentaia de sistem trebuie protejat mpotriva accesului neautorizat
20
10 MANAGEMENTUL
10.8 Schimbul de informaii
OBIECTIV: s menin securitatea schimbului de informaii i software n
interiorul unei organizaii sau cu orice entitate extern
10.8.1 Proceduri i politici pt. schimbul de informaii
exerciiu de citit procedurile din standard
10.8.2 Acorduri de schimb
pt. schimbul de informaii i software ntre organizaie i alte pri trebuie
stabilite acorduri specifice
10.8.3 Medii fizice de stocare n tranzit
trebuie protejate pe timpul transportului dincolo de graniele fizice ale org.
10.8.4 Mesageria electronic
informaia transmis trebuie protejat n mod corespunztor
10.8.5 Sisteme de informaii ale afacerii
trebuie dezvoltate i implementate politici i proceduri corespunztoare
modului de interconectare a sistemelor de informaii ale afacerii
10 MANAGEMENTUL
10.9 Servicii de comer electronic
OBIECTIV: s asigure securitatea serviciilor de comer electronic i
utilizarea lor n condiii de siguran
10.9.1 Comer electronic
informaia implicat n comerul electronic trebuie protejat mpotriva
oricror activiti de fraudare, dispute contractuale, divulgare neautorizat
i modificare
10.9.2 Tranzacii on-line
protejat pentru a preveni transmiterea incomplet, direcionarea greit,
modificarea neautorizat a mesajului, divulgarea, copierea sau replicarea
neautorizate
10.9.3 Informaie disponibil n mod public
integritatea informaiei de pe un sistem disponibil public trebuie s fie
protejat pt. a preveni modificarea neautorizat a acesteia
21
10 MANAGEMENTUL
10.10 Monitorizare
OBIECTIV: identificarea activitilor neautorizate de procesare a informaiei
10.10.1 Jurnal de audit
trebuie s existe proceduri specifice pt. managementul adecvat al mediilor de
stocare amovibile
toate procedurile i nivelurile de autorizare trebuie clar documentate
10.10.2 Monitorizarea utilizrii sistemului
nivelul de monitorizare trebuie stabilit printr-o determinare a riscului
10.10.3 Protecia informaiilor din jurnale
sistemele de nregistrare i jurnalele de informaii trebuie protejate mpotriva
modificrilor i accesului neautorizat
10.10.4 Jurnalul activitilor administratorului i operatorului
activitile administratorului de sistem i ale operatorului de sistem trebuie
nregistrate
10.10.5 nregistrarea erorilor i deficienelor n funcionare
10.10.6 Sincronizarea ceasului
11 CONTROLUL ACCESULUI
11.1 Cerinele afacerii pentru controlul accesului
OBIECTIV: s controleze accesul la informaie
11.1.1 Politica de control al accesului
pe baza cerinelor afacerii i a cerinelor de securitate trebuie
stabilit, documentat i revizuit o politic de control a accesului
reguli de control a accesului i drepturi fiecrui utilizator sau grup de
utilizatori
msurile de securitate sunt att logice, ct i fizice i trebuie
considerate mpreun
trebuie furnizate instruciuni clare privind controlul accesului
22
11.2 Managementul accesului utilizatorului
OBIECTIV: s asigure accesul autorizat al utilizatorului i s previn accesul
neautorizat la sistemele de informaii
11.2.1 nregistrarea utilizatorilor
trebuie implementat o procedur formal de nregistrare a utilizatorului i de
anulare a nregistrrii
11.2.2 Managementul privilegiilor
alocarea i utilizarea privilegiilor trebuie restricionat i controlat
11.2.3 Managementul parolei de utilizator
alocarea parolelor trebuie controlat printr-un proces formal de management
11.2.4 Revizuirea drepturilor de acces ale utilizatorilor
managementul trebuie s revizuiasc drepturile de acces ale utilizatorilor la
intervale regulate (de exemplu la 6 luni sau 1 an) utiliznd pentru aceasta un
proces formal
11.3 Responsabilitile utilizatorului
OBIECTIV: s previn accesul neautorizat al utilizatorului,
precum i compromiterea sau furtul de informaii
11.3.1 Utilizarea parolelor
bune practici de securitate n ceea ce privete selecia i utilizarea
parolelor
11.3.2 Echipament nesupravegheat de ctre utilizatori
echipamentul lsat nesupravegheat este protejat corespunztor
11.3.3 Politica biroului curat i a ecranului protejat
trebuie adoptat o politic clar de folosire a ct mai puine
documente i medii de stocare amovibile i o politic de pstrare
a ecranului protejat
23
11.4 Controlul de acces la reea
OBIECTIV: s previn accesul neautorizat la servciile de reea; accesul la
serviciile de reea, att interne, ct i externe, trebuie controlat
11.4.1 Politica de utilizare a serviciilor de reea
11.4.2 Autentificarea utilizatorilor pentru conectarea din exterior
exerciiu a se citi din standard ndrumrile de implementare
11.4.3 Identificarea echipamentelor n reea
11.4.4 Protecia porturilor de diagnoz la distan i a celor de configurare
11.4.5 Separarea n interiorul reelelor
11.4.6 Controlul conectrii la reea
11.4.7 Controlul de rutare n reea
11.5 Controlul accesului la sistemele de operare
OBIECTIV: s previn accesul neautorizat la sistemele de
operare
11.5.1 Proceduri de autentificare sigur
11.5.2 Identificarea i autentificarea utilizatorului
11.5.3 Sistemul de management al parolelor
11.5.4 Utilizarea programelor utilitare de sistem
11.5.5 Pauza de sesiune
11.5.6 Limitarea timpului de conectare
24
11.6 Controlul accesului la aplicaii i informaii
OBIECTIV: s previn accesul neautorizat la informaia deinut n
sistemele de aplicaii
11.6.1 Restricii de acces la informaii
accesul utilizatorilor trebuie restricionat n conformitate cu politica de
control al accesului
11.6.2 Izolarea sistemelor critice
sistemele critice trebuie s aib un spaiu dedicat (izolat) pentru
desfurarea proceselor
izolarea poate fi obinut prin utilizarea de metode fizice sau logice
11.7 Prelucrarea datelor folosind echipamente mobile i lucrul
la distan
OBIECTIV: s asigure SI cnd se folosesc echipamente mobile i de lucru la
distan
11.7.1 Prelucrarea datelor folosind echipamente i comunicaii mobile
pentru protecia mpotriva riscurilor care decurg din folosirea
echipamentelor i comunicaiilor mobile trebuie implementat o politic
formal
11.7.2 Lucrul la distan
trebuie dezvoltat i implementat o politic, planuri operaionale i
proceduri specifice
protecie adecvat mpotriva furtului de echipamente i informaii,
dezvluiri neautorizate a informaiei, acces neautorizat de la distan etc.
25
12 ACHIZIIA, DEZVOLTAREA I MENTENANA
SISTEMELOR INFORMATICE
12.1 Cerine de securitate pentru sistemele
informatice
OBIECTIV: s asigure faptul c securitatea este parte
integrant a sistemelor informatice
12.1.1 Analiza i specificarea cerinelor de securitate
specificaiile privind cerinele pentru msurile de securitate trebuie
s ia n considerare msurile automate de securitate care trebuie
ncorporate n sistem i necesitatea unor msuri manuale ajuttoare
de securitate
trebuie integrate n fazele iniiale ale proiectelor sistemelor
informatice
dac produsele sunt cumprate, trebuie urmat un proces oficial de
testare i achiziie
12.2 Procesarea corect a datelor n cadrul aplicaiilor
OBIECTIV: s previn erorile, pierderile, modificrile neautorizate sau
folosirea greit a informaiilor n cadrul aplicaiilor
12.2.1 Validarea datelor de intrare
datele de intrare trebuie validate pt. a se asigura c acestea sunt corecte
unde este posibil, se pot examina i valida automat datele de intrare pt.
reducerea riscului de erori
12.2.2 Controlul procesrii interne
trebuie ncorporate verificri de validare pentru a detecta orice modificare a
informaiei prin procesare eronat sau prin acte deliberate
12.2.3 Integritatea mesajului
prin folosirea tehnicilor criptografice
12.2.4 Validarea datelor de ieire
datele de ieire trebuie s fie valide
26
12.3 Msuri criptografice
OBIECTIV: s protejeze confidenialitatea, autenticitatea sau integritatea
informaiei prin metode criptografice
12.3.1 Politica de utilizare a metodelor criptografice
trebuie s se in cont de reglementrile i restriciile naionale, precum i
de problemele legate de fluxurile transfrontaliere de informaii criptate
12.3.2 Managementul cheilor criptografice
toate cheile criptografice trebuie protejate mpotriva modificrii, pierderii i
distrugerii
ISO/IEC 11770 informaii suplimentare pt. managementul cheilor
12.4 Securitatea fiierelor de sistem
OBIECTIV: s asigure securitatea fiierelor de sistem
12.4.1 Controlul software-ului operaional
pentru a controla instalarea de software pe sistemele operaionale trebuie
s fie implementate proceduri specifice
12.4.2 Protejarea datelor din sistemul de test
datele de testare trebuie selectate cu grij, protejate i utilizate n mod
regulat
12.4.3 Controlul accesului la codul surs al programelor
accesul la codul surs al programelor trebuie restricionat
27
12.5 Securitatea n procesele de dezvoltare i suport
OBIECTIV: s menin securitatea produselor software de aplicaii de
sistem i a informaiei; mediile de proiectare i suport trebuie strict
controlate
12.5.1 Proceduri de control al modificrilor
implementarea modificrilor trebuie controlat prin utilizarea de proceduri
formale pt. controlul schimbrilor
12.5.2 Revizuirea tehnic a aplicaiilor dup operarea modificrilor de
sistem
12.5.3 Restricii privind modificrile asupra pachetelor software
12.5.4 Scurgerea de informaii
posibilitile de scurgere de informaii trebuie prevenite
12.5.5 Externalizarea dezvoltrii de software
12.6 Managementul vulnerabilitilor tehnice
OBIECTIV: s reduc riscurile care decurg din exploatarea vulnerabilitilor
tehnice publicate
12.6.1 Controlul vulnerabilitilor tehnice
trebuie obinute informaii de actualitate n ceea ce privete vulnerabilitile
tehnice
luate msuri corespunztoare de rspuns la identificarea unor
vulnerabiliti tehnice
poate fi conceput ca o sub-funcie a managementului modificrii (10.1.2 i
12.5.1)
28
13 MANAGEMENTUL INCIDENTELOR DE
SECURITATE A INFORMAIEI
13.1 Raportarea evenimentelor produse i a slbiciunilor
privind securitatea
OBIECTIV: s asigure faptul c evenimentele de SI i slbiciunile asociate
sunt comunicate de o manier astfel nct s permit luarea de aciuni
corective la timp
13.1.1 Raportarea evenimentelor de SI
evenimentele de SI trebuie raportate prin canale de management
corespunztoare ct mai curnd posibil
trebuie stabilit o procedur formal o procedur de raportare a
evenimentelor de SI i o procedur de reacie la incident
13.1.2 Raportarea slbiciunilor de securitate
tuturor angajailor trebuie s li se cear s raporteze i s noteze orice
slbiciune de securitate observat sau suspect n cadrul sistemelor sau
proceselor
NU trebuie sub nici o form s ncerce s confirme existena unei slbiciuni
bnuite
13 MANAGEMENTUL INCIDENTELOR DE
SECURITATE A INFORMAIEI
13.2 Managementul incidentelor de SI i mbuntiri
OBIECTIV: s asigure faptul c pentru managementul incidentelor de SI este
aplicat o abordare consistent i eficient
13.2.1 Responsabiliti i proceduri
responsabilitile i procedurile de management trebuie stabilite pentru a
asigura un rspuns eficient i sistematic la incidentele de SI
incidentele de SI pot s depeasc graniele organizaiei i naionale, fiind
necesar coordonarea reaciilor i folosirea informaiei privitoare la aceste
incidente n comun cu organizaiile externe
13.2.2 nvarea din incidentele de securitate a informaiei
trebuie implementate mecanisme pt. a autoriza cuantificarea i monitorizarea
tipului, volumului i costurilor de SI
13.2.3 Colectarea probelor
trebuie colectate probe ce trebuie prezentate i reinute n conformitate cu
regulile pt. colectarea probelor stabilite de legislaia naional
probele cuprind:
admisibilitatea probei: posibilitatea utilizrii ei n instan
relevana probei: calitatea probei i caracterul complet al acesteia
29
14 MANAGEMENTUL CONTINUITII AFACERII
14.1 Aspecte de SI n managementul continuitii afacerii
OBIECTIV: s contracareze orice discontinuiti n activitile afacerii i s protejeze
aspectele critice fa de efectele cderilor majore ale sistemelor informaionale sau
mpotriva dezastrelor i s asigure reluarea acestora n timp optim
14.1.1 Includerea SI n procesul de management al continuitii afacerii
responsabilitatea procesului de management al continuitii afacerii trebuie atribuit la un
nivel corespunztor n cadrul organizaiei
14.1.2 Continuitatea afacerii i evaluarea riscului
14.1.3 Dezvoltarea i implementarea planurilor de continuitate incluznd SI
trebuie s fie dezvoltate i implementate planuri pentru a menine i restaura operaiunile
i pentru a asigura disponibilitatea informaiei la nivelul cerut i n timpul cerut n urma
ntreruperii sau cderii proceselor critice ale afacerii
14.1.4 Cadrul de planificare a continuitii afacerii
fiecare plan trebuie specifice o abordare progresiv i condiiile activrii acestuia, precum
i persoanele rspunztoare de executarea fiecrei aciuni din plan
14.1.5 Testarea, mentenana i reevaluarea planurilor de continuitate a afacerii
planurile de continuitate a afacerii trebuie testate i actualizate n mod regulat pentru a se
asigura c sunt eficiente i adecvate
15 CONFORMITATE
15.1 Conformitatea cu cerinele legale
OBIECTIV: s evite nclcarea oricrei legi, obligaii statutare, de reglementare
sau contractuale sau oricrei alte cerine de securitate
15.1.1 Identificarea legislaiei aplicabile
15.1.2 Drepturi de proprietate intelectual
15.1.3 Protejarea nregistrrilor n cadrul organizaiei
nregistrrile importante trebuie protejate mpotriva pierderii, distrugerii i
falsificrii acestora n conformitate cu cerinele statutare, de reglementare,
contractuale i de afaceri
15.1.4 Protecia datelor cu caracter personal i confidenialitatea
informaiilor personale
15.1.5 Prevenirea utilizrii abuzive a sistemelor de procesare a informaiei
utilizatorii trebuie descurajai s foloseasc sistemele de procesare a
informaiei n scopuri neautorizate
15.1.6 Reglementri privind msurile criptografice
30
15 CONFORMITATE
15.2 Conformitatea cu standardele i politicile de securitate i
conformitatea tehnic
OBIECTIV: s asigure conformitatea cu standardele i politicile de securitate
organizaionale
15.2.1 Conformitatea cu standardele i politicile de securitate
Managerii trebuie s se asigure c toate procedurile de securitate din
domeniul lor de responsabilitate sunt respectate n mod corect pentru a
obine conformitatea cu standardele i politicile de securitate
exerciiu de citit din standard ndrumrile pt. implementare
15.2.2 Verificarea conformitii tehnice
sistemele informatice trebuie controlate n mod periodic pentru a fi conforme
cu standardele de securitate implementate
dac se recurge la teste de penetrare sau determinri ale vulnerabilitii
trebuie manifestat pruden; aceste teste trebuie s fie planificate,
documentate i reproductibile
15 CONFORMITATE
15.3 Consideraii privind auditul sistemelor informatice
OBIECTIV: s maximizeze eficiena procesului de audit i s minimizeze
interferena acestuia asupra sistemelor informaionale
15.3.1 Msuri privind auditul sistemelor informatice
cerinele de audit i activitile care implic verificri asupra sistemelor
operaionale trebuie planificate cu grij i trebuie convenite astfel nct s
minimizeze riscul ntreruperii proceselor de afaceri
15.3.2 Protecia sistemelor de audit pentru sistemele informaionale
dac sunt implicai teri, ar putea exista riscul utilizrii abuzive a
instrumentelor de audit, precum i al accesrii de informaii de ctre acetia
31
EXERCIII PRACTICE
Folosirea corespunztoare a standardului ISO/IEC
27002:2005
Exemplificarea unor categorii de securitate
Exemplificarea unor obiective de control
Detalierea unor controale de securitate din standard:
Definiia controlului
Ghid de implementare
Alte informaii utile
32
CONCLUZII
SMSI
INTREBRI ALE CURSANILOR
INTREBRI ALE LECTORULUI
EXERCIII

Iso 27002

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Iso 27002

Încărcat de

Drepturi de autor:

Formate disponibile

1

SISTEMUL DE MANAGEMENT AL SECURITII

S-ar putea să vă placă și