INFORMAIEI (SMSI) IMPLEMENTAREA, AUDITUL SI CERTIFICAREA SMSI Conf. univ. dr. ing. Iustin PRIESCU Lead Auditor SMC & SMSI iustin.priescu@gmail.com 04-05 decembrie 2010 Iustin Priescu ACADEMIA TEHNIC MILITAR ATM Master Securitatea Informaiei 2 PREZENTAREA LECTORULUI Licen tiina calculatoarelor (ATM) i licen comunicare (UB) Doctor inginer n tiina calculatoarelor domeniul securitate informatic Certificare SMSI auditor TUViT, membru TUV Nord Group, Germania, 2005 Certificare SMSI Lead Auditor IQMS-BSI-UKAS, UK, 2009 Auditor i trainer SMSI Simtex; auditor SMC Simtex (http://www.simtex.ro) Consultant securitatea informaiei ANISP (http://www.anisp.ro) Membru CT 208 Tehnici de securitate ASRO Lector asociat n ASE, ATM i UTM Bucureti Cursuri n domeniul securitii informaiei n Italia, Germania, UK, USA Autor a 3 cri n domeniul securitii informaiei: IUSTIN PRIESCU COMERT ELECTRONIC (E-COMMERCE) 2 ATM Master Securitatea Informaiei 3 PROIECTE SMSI ATM Master Securitatea Informaiei 4 AGENDA SISTEMUL DE MANAGEMENT AL SECURITII INFORMAIEI (SMSI) MODULUL 1 STRUCTURA I CONINUTUL STANDARDULUI ISO/IEC 27002:2005 MODULUL 2 STRUCTURA I CONINUTUL STANDARDULUI ISO/IEC 27001:2005 MODULUL 3 CADRUL DE MANAGEMENT (MANAGEMENT FRAMEWORK) AL UNUI SMSI. ANEXA A MODULUL 4 MIS & DRP & BCP 3 ATM Master Securitatea Informaiei 5 SECURITATEA INFORMAIEI Conform SR ISO/IEC 27002:2006, cerinele fundamentale de securitate a informaiei sunt: Confidenialitatea asigur c informaia este accesibil numai persoanelor autorizate s aibe acces Integritatea pstrarea acurateei i i completitudinii informaiei i a metodelor de procesare Disponibilitatea asigurarea c utilizatorii autorizai au acces la informaie i la resursele asociate atunci cnd este necesar (funcii de utilitate) Autentificarea asigur asocierea informaiei cu autorul ei Nerepudierea asigur asocierea c destinatarul legal a primit informaia de la expeditor (funcii de credibilitate) acoperirea prejudiciului ATM Master Securitatea Informaiei 6 CUBUL FUNCIILOR DE SECURITATE DISPONIBILITATE CONFIDENIALITATE INTEGRITATE n funcie de cerinele de securitate ale organizaiei variaz dimensiunile spaiale Poate fi doar un ptrat ? Poate fi doar un punct ? 4 ATM Master Securitatea Informaiei 7 CERINE DE SECURITATE Surse principale de identificare a propriilor cerine de securitate: 1. EVALUAREA RISCURILOR 3. CULTURA DE SECURITATE 2. CERINELE LEGALE ATM Master Securitatea Informaiei 8 SELECTAREA CONTROALELOR SET ADECVAT DE CONTROALE POLITICI PRACTICI PROCEDURI STRUCTURI FUNCII SOFTWARE Securitatea informaiei este obinut prin implementarea unui: S asigure atingerea obiectivelor specifice de securitate ale firmei ! Selectarea controalelor se bazeaz pe costul implementrii lor, corelat cu reducerea riscurilor [SR ISO/CEI 27002:2006] 5 ATM Master Securitatea Informaiei 9 FAMILIA DE STANDARDE ISO 2700X 27000 Fundamente & Vocabular (2009) 27001:SMSI Cerine* (2005) 27003 Ghid de Implementare (2008) 27002 Cod de practic pt. SMSI (2005) 27004 Metrici & Msurtori (2010) 27005 Managementul Riscului pt. SMSI (2009) 27006 Ghid pentru Acreditarea SMSI* (2007) * CERIN: FOLOSIRE OBLIGATORIE PENTRU CERTIFICAREA SMSI ATM Master Securitatea Informaiei 10 ISO/IEC 27001 ISO/IEC 27002 ISO/IEC 27006 ISO/IEC 27001:2005 (SR ISO/CEI 27001:2006) Tehnologia informaiei Tehnici de securitate Sisteme de management al securitii informaiei Cerine ISO/IEC 27002:2005 (SR ISO/CEI 27002:2008) Tehnologia informaiei Tehnici de securitate Cod de bun practic pentru managementul securitii informaiei ISO/IEC 27006:2007 (SR ISO/CEI 27006:2008) Tehnologia informaiei Tehnici de securitate Cerine pentru organismele care auditeaz i certific sisteme de management al securitii informaiei 6 ATM Master Securitatea Informaiei 11 AGREGAREA STANDARDELOR ISO 27001, ISO 27002 i ISO 27006 CAPITOLELE 4-8 ANEXA A CONTROALE -133- DESCRIEREA DETALIATA A CONTROALELOR (MASURILOR DE SECURITATE) -133- ISO 27001 ISO 27002 (fost ISO 17799) CAPITOLELE 8-10 ISO 27006 ANEXA D GHID EVAL. CONTROALE -133- ATM Master Securitatea Informaiei 12 SR ISO/CEI 27002:2008 SR ISO/CEI 27002:2008 Tehnologia informaiei Tehnici de securitate Cod de bun practic pentru managementul securitii informaiei Neutru din punct de vedere tehnologic CE SA FACI ? (NU>> Cum s faci?) Standard de management (nu tehnic !) Descriere detaliat a abordrilor verificate i a controalelor pentru o securitate cuprinztoare i durabil n organizaie 7 ATM Master Securitatea Informaiei 13 STANDARDUL SR ISO/CEI 27002:2008 Cod de bun practic pentru SMSI Descrie n detaliu modul de implementarea a msurilor de securitate Aplicabil pentru toate tipurile de organizaii Conine 133 de controale (msuri de securitate) SR ISO/CEI 27002:2008 5 6 7 8 9 10 11 12 13 14 15 ATM Master Securitatea Informaiei 14 SR ISO/CEI 27002:2008 SR ISO/CEI 27002:2008 Tehnologia informaiei Tehnici de securitate Cod de bun practic pentru managementul securitii informaiei Neutru din punct de vedere tehnologic Aplicabil pentru toate ramurile industriale, toate categoriile i caracteristicile de organizaii Adecvat i organizaiilor mici 8 ATM Master Securitatea Informaiei 15 CORESPONDENA DINTRE SR ISO/CEI 27002:2008 I ISO/CEI 27001:2006 Din Clauzele 5-15 ale SR ISO/CEI 27002:2008 sunt derivate n mod direct obiectivele de control i controalele prezentate n Anexa A (normativ) a standardului SR ISO/CEI 27001:2006 ATM Master Securitatea Informaiei 16 STRUCTURA STANDARDULUI SR ISO/CEI 27002:2008 Organizarea standardului: organizaia emitent, codificare, data versiunii denumirea standardului n lb. englez, francez aprobare, statut, ce standard nlocuiete coresponden cu alte standarde, n lb. englez, francez cuprins, preambul, cap. 0 Introducere; cap. 1 domeniul de aplicare, cap. 2 termeni i definiii structura standardului, de forma: x numr de capitol articol privind controlul securitii x.x categorii de securitate (principale) x.x.x msur de securitate (control) 9 ATM Master Securitatea Informaiei 17 SR ISO/CEI 27002:2008 Standardul internaional ISO/IEC 27002:2005 a fost acceptat ca standard romn de ctre comitetul tehnic CT 208 Tehnici de securitate n tehnologia informaiei Membrii comitetului tehnic care au verificat versiunea n limba romn .... ATM Master Securitatea Informaiei 18 STRUCTURA STANDARDULUI SR ISO/CEI 27002:2008 Structura unei msuri de securitate Definiia msurii Ghid de implementare Alte informaii utile FIECARE CATEGORIE PRINCIPAL DE SECURITATE CONINE: - un obiectiv privind msura de securitate care stabilete ceea ce trebuie realizat; - una sau mai multe msuri de securitate aplicate pentru a atinge obiectivul 10 ATM Master Securitatea Informaiei 19 STRUCTURA STANDARDULUI SR ISO/CEI 27002:2008 Standardul conine: 11 articole (clauze) de control al securitii totalizeaz 39 de categorii de securitate principale un articol (clauz) introductiv referitor la evaluarea i tratarea riscurilor cap. 4 ARTICOL (CLAUZA) CATEGORII DE SECURITATE 5. Politica de securitate 1 6. Organizarea securitii informaiei 2 7. Managementul bunurilor 2 8. Securitatea resurselor umane 3 9. Securitatea fizic ia mediului 2 10. Managementul comunicaiilor i al operaiilor 10 11. Controlul accesului 7 12. Achiziia sistemelor informatice, dezvoltarea i mentenana 6 13. Managementul incidentelor de securitate a informaiei 2 14. Managementul continuitii afacerii 1 15. Conformitate 3 ATM Master Securitatea Informaiei 20 STRUCTURA STANDARDULUI SR ISO/CEI 27002:2008 NOT: Ordinea articolelor din standard NU reprezint nivelul de importan. n funcie de condiii, toate articolele pot fi importante, organizaia trebuie s identifice articolele aplicabile, ct de importante sunt ele i aplicarea lor n procesele individuale. ARTICOL (CLAUZA) CATEGORII DE SECURITATE 5. Politica de securitate 1 6. Organizarea securitii informaiei 2 7. Managementul bunurilor 2 8. Securitatea resurselor umane 3 9. Securitatea fizic ia mediului 2 10. Managementul comunicaiilor i al operaiilor 10 11. Controlul accesului 7 12. Achiziia sistemelor informatice, dezvoltarea i mentenana 6 13. Managementul incidentelor de securitate a informaiei 2 14. Managementul continuitii afacerii 1 15. Conformitate 3 11 ATM Master Securitatea Informaiei 21 5 POLITICA DE SECURITATE 5.1 POLITICA DE SECURITATE A INFORMAIEI OBIECTIV: s asigure..., s stabileasc, ... s demonstreze 5.1.1 DOCUMENT DE POLITIC A SECURITII INFORMAIEI Msur de securitate aprobat, publicat i comunicat ndrumri pt. implementare documentul trebuie s cuprind a) ... f) Alte informaii vezi ISO/IEC 133335 1:2004 5.1.2 REVIZUIREA POLITICII DE SECURITATE Intervale planificate, schimbri semnificative Rezultatele analizei de management a securitii a) ... i) Decizii i aciuni referitoare la a) ... c). ATM Master Securitatea Informaiei 22 6 ORGANIZAREA SECURITII INFORMAIEI (SI) 6.1 ORGANIZARE INTERN OBIECTIV: s administreze securitatea informaiei 6.1.1 Angajamentul echipei de management privind SI Managementul s susin n mod activ SI n organizaie Managementul trebuie s a) ... h) Alte informaii vezi ISO/IEC 133335 1:2004 6.1.2 Coordonarea SI 6.1.3 Alocarea responsabilitilor pentru SI Intervale planificate, schimbri semnificative Domenii de responsabilitate, resursele i procesele entitatea rspunztoare i nevelurile de autorizare 12 ATM Master Securitatea Informaiei 23 6 ORGANIZAREA SECURITII INFORMAIEI (SI) 6.1 ORGANIZARE INTERN OBIECTIV: s administreze securitatea informaiei 6.1.4 Procesul de autorizare pt. sistemele de procesare a inf. 6.1.5 Acorduri de confidenialitate 6.1.6 Contactul cu autoritile 6.1.7 Contactul cu grupuri specializate de interese 6.1.8 Revizuirea independent a SI ATM Master Securitatea Informaiei 24 6 ORGANIZAREA SECURITII INFORMAIEI (SI) 6.2 PRI EXTERNE OBIECTIV: accesul prilor externe la sistemele de procesare a informaiei trebuie inut sub control 6.2.1 Identificarea riscurilor legate de prile din afara organizaiei trebuie s se efectueze o determinare de risc (a) ... k) ) 6.2.2 Respectarea cerinelor de securitate n activitile care implic clienii 6.2.3 Respectarea cerinelor de securitate n acordurile cu terii trebuie s acopere toate cerinele de securitate relevante condiii ce trebuie incluse n acord (a) ... v) ) externalizeaz managementul securitii informaiei 13 ATM Master Securitatea Informaiei 25 7 MANAGEMENTUL RESURSELOR 7.1 Responsabilitatea pentru resurse OBIECTIV: s obin i s menin o protecie corespunztoare a resurselor organizaionale (nregistrate i deintor) 7.1.1 Inventarul resurselor vezi tipuri de resurse necesare la evaluarea riscurilor 7.1.2 Deinerea resurselor deintor vs. proprietar 7.1.3 Utilizarea n mod admisibil a resurselor trebuie identificate, documentate i implementate (de ex. e-mail, Internet, dispozitive mobile) ATM Master Securitatea Informaiei 26 7 MANAGEMENTUL RESURSELOR 7.2 Clasificarea informaiei OBIECTIV: s asigure faptul c informaia beneficiaz de un nivel de protecie adecvat 7.2.1 ndrumri pentru clasificare clasificat dup: valoare, cerine legale, importan i nivel de criticabilitate pentru organizaie ghid de clasificare a informaiilor 7.2.2 Etichetarea i manipularea informaiei proceduri de etichetare pt. fiecare nivel de clasificare definite proceduri de operare pt. procesare, stocare, transmitere, declasificare i distrugere securizat marcare vs. etichetare 14 ATM Master Securitatea Informaiei 27 8 SECURITATEA RESURSELOR UMANE 8.1 naintea angajrii OBIECTIV: trebuie menionate responsabilitile privind securitatea nainte de angajare 8.1.1 Roluri i responsabiliti 8.1.2 Verificare trebuie s se efectueze controale de verificare de fond, proporionale cu cerinele afacerii i clasificarea informaiei atenie !!! protejarea intimitii, a datelor cu caracter personal i / sau legislaia muncii exerciiu de citit din standard ndrumrile pt. implementare 8.1.3 Cerine i condiii de angajare s se asigure c viitorii angajai accept termenii i condiiile privind SI cod de conduit a angajailor ATM Master Securitatea Informaiei 28 8 SECURITATEA RESURSELOR UMANE 8.2 Pe timpul perioadei angajrii OBIECTIV: sunt contieni de ameninrile privind SI, responsabiliti juridice, s susin politica de securitate organizaional i s asigure reducerea riscului erorilor umane. F. IMP....: CONTIENTIZARE, EDUCAIE I INSTRUIRE (instituit un proces disciplinar oficial pt. nclcarea regulilor de SI) 8.2.1 Responsabilitile managementului s cear (imperativ) angajailor s aplice msurile de securitate 8.2.2 Gradul de calificare, educaie i instruire toi angajaii trebuie s primeasc o instruire corespunztoare i actualizri periodice 8.2.3 Procesul disciplinar trebuie s existe un proces formal disciplinar ce asigur o reacie progresiv trebuie folosit i ca element de descurajare 15 ATM Master Securitatea Informaiei 29 8 SECURITATEA RESURSELOR UMANE 8.3 ncetarea contractului sau schimbarea locului de munc OBIECTIV: fotii angajai prsesc organizaia sau schimb locul de munc ntr-o manier reglementat (managementul plecrii din organizaie) 8.3.1 Responsabiliti privind terminarea contractului condiii ce se prelungesc o perioad de timp dup terminarea contractului 8.3.2 Returnarea resurselor dac angajatul dispune de cunotine importante pt. operaiile n derulare, acestea trebuie documentate i transferate organizaiei 8.3.3 nlturarea drepturilor de acces toate drepturile trebuie revocate ATM Master Securitatea Informaiei 30 9 SECURITATEA FIZIC I A MEDIULUI DE LUCRU 9.1 Zone de securitate OBIECTIV: s previn accesul fizic neautorizat, distrugerile i ptrunderea n interiorul organizaiei, precum i accesul la informaii 9.1.1 Perimetrul fizic de securitate 9.1.2 Controlul accesului fizic 9.1.3 Securizarea birourilor, ncperilor i a sistemelor informatice 9.1.4 Protejarea mpotriva ameninrilor externe i de mediu 9.1.5 Desfurarea activitii n zonele de securitate 9.1.6 Zone de acces public, puncte de livrare i ncrcare 16 ATM Master Securitatea Informaiei 31 9 SECURITATEA FIZIC I A MEDIULUI DE LUCRU 9.2 Securitatea echipamentelor OBIECTIV: s previn pierderea, avarierea, furtul sau compromiterea resurselor i ntreruperea activitilor din organizaie 9.2.1 Amplasarea i protejarea echipamentelor 9.2.2 Utiliti suport pentru afacere 9.2.3 Securitatea reelelor de cablu 9.2.4 ntreinerea echipamentelor 9.2.5 Securitatea echipamentelor n afara locaiei 9.2.6 Scoaterea din uz sau reutilizarea n condiii de siguran 9.2.7 Scoaterea activelor echipamentele, informaiile sau produsele software nu trebuie scoase n afara spaiului de lucru fr o autorizare prealabil verificri prin sondaj pentru depistarea mutrilor neautorizate ATM Master Securitatea Informaiei 32 10 MANAGEMENTUL COMUNICAIILOR I OPERAIILOR 10.1 Proceduri operaionale i responsabiliti OBIECTIV: s asigure operarea corect i n condiii de securitate a sistemelor de procesare a informaiei 10.1.1 Proceduri de operare documentate procedurile de operare trebuie s fie documentate, pstrate i puse la dispoziia tuturor celor care au nevoie de ele 10.1.2 Managementul schimbrii toate schimbrile privind sistemele de procesare a informaiilor trebuie s se fac ntr-un mod controlat jurnale de audit ce conin toate informaiile relevante despre schimbri 10.1.3 Separarea atribuiilor 10.1.4 Separarea sistemelor de dezvoltare, testare i a sistemelor operaionale personalul de dezvoltare i testare este o ameninare pentru confidenialitatea informaiei operaionale 17 ATM Master Securitatea Informaiei 33 10 MANAGEMENTUL COMUNICAIILOR I OPERAIILOR 10.2 Managementul serviciilor furnizate de teri OBIECTIV: s implementeze i s menin un nivel corespunztor al SI i al livrrii serviciilor ncheiate cu teri 10.2.1 Furnizarea serviciilor acordurile ncheiate cu teri sunt implementate, operate i ntreinute corespunztor 10.2.2 Monitorizarea i evaluarea serviciilor terilor n cazul externalizrii, organizaia trebuie s fie contient c, n final, responsabilitatea pt. procesarea informaiei revine tot org. 10.2.3 Managementul modificrilor n cazul serviciilor furnizate de teri trebuie efectuat n mod controlat ATM Master Securitatea Informaiei 34 10 MANAGEMENTUL COMUNICAIILOR I OPERAIILOR 10.3 Planificarea i acceptana sistemului OBIECTIV: s reduc riscurile de disfuncionaliti ale sistemelor 10.3.1 Managementul capacitii utilizarea resurselor trebuie s fie monitorizat i optimizat, iar capacitile viitoare trebuie s fie prevzute 10.3.2 Acceptana sistemului efectuarea de teste n timpul dezvoltrii i nainte de acceptan aprobarea pentru acceptan poate cuprinde un proces oficial de certificare i acreditare 18 ATM Master Securitatea Informaiei 35 10 MANAGEMENTUL COMUNICAIILOR I OPERAIILOR 10.4 Protecia mpotriva codurilor mobile i duntoare OBIECTIV: s asigure protejarea integritii software-ului i a informaiei 10.4.1 Msuri de securitate mpotriva codurilor cu potenial duntor msuri de securitate pentru detectarea, prevenirea i recuperarea datelor, precum i proceduri de avertizare a utilizatorilor 10.4.2 Msuri de securitate fa de codul mobil autorizarea codului mobil n conformitate cu politica de securitate codul mobil neautorizat trebuie s fie mpiedicat s se execute aprobarea pentru acceptan poate cuprinde un proces oficial de certificare i acreditare ATM Master Securitatea Informaiei 36 10 MANAGEMENTUL COMUNICAIILOR I OPERAIILOR 10.5 Copie de siguran OBIECTIV: s menin integritatea i disponibilitatea informaiei i a sistemelor de procesare 10.5.1 Copii de siguran ale informaiei copiile de siguran ale informaiilor trebuie testate n mod regulat n conformitate cu politica de realizare de copii stabilit trebuie inute evidene corecte i complete ale copiilor de siguran cnd confidenialitatea este important, salvrile de siguran trebuie protejate prin metode criptografice procedurile de salvare de siguran pot fi automatizate, ns trebuie riguros testate nainte de implementare i la intervale regulate 19 ATM Master Securitatea Informaiei 37 10 MANAGEMENTUL COMUNICAIILOR I OPERAIILOR 10.6 Managementul securitii reelei OBIECTIV: s asigure protejarea protecia reelelor de informaii i protecia infrastructurii de suport 10.6.1 Msuri pentru securitatea reelei responsabilitatea pentru operarea reelei trebuie separat de operarea calculatoarelor trebuie utilizate metode adecvate de jurnalizare i monitorizare pt. a permite nregistrarea aciunilor relevante 10.6.2 Securitatea serviciilor de reea cuprind furnizarea de conexiuni, servicii private de reea, reele cu valoare adugat sau soluii de administrare de securitate (firewall, IDS) ATM Master Securitatea Informaiei 38 10 MANAGEMENTUL COMUNICAIILOR I OPERAIILOR 10.7 Manipularea mediilor de stocare OBIECTIV: s previn divulgarea neautorizat, modificarea, ndeprtarea sau distrugerea resurselor i ntreruperea activitii afacerii 10.7.1 Managementul mediilor amovibile trebuie s existe proceduri specifice pt. managementul adecvat al mediilor de stocare amovibile toate procedurile i nivelurile de autorizare trebuie clar documentate 10.7.2 Distrugerea mediilor de stocare mediile de stocare trebuie distruse ntr-un mod securizat i sigur atunci folosind proceduri formale pentru acestea 10.7.3 Proceduri de manipulare a informaiei trebuie stabilite proceduri specifice de manipulare: utilizarea, prelucrarea, stocarea i comunicarea informaiei (a se vedea 7.2) 10.7.4 Securitatea documentaiei de sistem documentaia de sistem trebuie protejat mpotriva accesului neautorizat 20 ATM Master Securitatea Informaiei 39 10 MANAGEMENTUL COMUNICAIILOR I OPERAIILOR 10.8 Schimbul de informaii OBIECTIV: s menin securitatea schimbului de informaii i software n interiorul unei organizaii sau cu orice entitate extern 10.8.1 Proceduri i politici pt. schimbul de informaii exerciiu de citit procedurile din standard 10.8.2 Acorduri de schimb pt. schimbul de informaii i software ntre organizaie i alte pri trebuie stabilite acorduri specifice 10.8.3 Medii fizice de stocare n tranzit trebuie protejate pe timpul transportului dincolo de graniele fizice ale org. 10.8.4 Mesageria electronic informaia transmis trebuie protejat n mod corespunztor 10.8.5 Sisteme de informaii ale afacerii trebuie dezvoltate i implementate politici i proceduri corespunztoare modului de interconectare a sistemelor de informaii ale afacerii ATM Master Securitatea Informaiei 40 10 MANAGEMENTUL COMUNICAIILOR I OPERAIILOR 10.9 Servicii de comer electronic OBIECTIV: s asigure securitatea serviciilor de comer electronic i utilizarea lor n condiii de siguran 10.9.1 Comer electronic informaia implicat n comerul electronic trebuie protejat mpotriva oricror activiti de fraudare, dispute contractuale, divulgare neautorizat i modificare 10.9.2 Tranzacii on-line protejat pentru a preveni transmiterea incomplet, direcionarea greit, modificarea neautorizat a mesajului, divulgarea, copierea sau replicarea neautorizate 10.9.3 Informaie disponibil n mod public integritatea informaiei de pe un sistem disponibil public trebuie s fie protejat pt. a preveni modificarea neautorizat a acesteia 21 ATM Master Securitatea Informaiei 41 10 MANAGEMENTUL COMUNICAIILOR I OPERAIILOR 10.10 Monitorizare OBIECTIV: identificarea activitilor neautorizate de procesare a informaiei 10.10.1 Jurnal de audit trebuie s existe proceduri specifice pt. managementul adecvat al mediilor de stocare amovibile toate procedurile i nivelurile de autorizare trebuie clar documentate 10.10.2 Monitorizarea utilizrii sistemului nivelul de monitorizare trebuie stabilit printr-o determinare a riscului 10.10.3 Protecia informaiilor din jurnale sistemele de nregistrare i jurnalele de informaii trebuie protejate mpotriva modificrilor i accesului neautorizat 10.10.4 Jurnalul activitilor administratorului i operatorului activitile administratorului de sistem i ale operatorului de sistem trebuie nregistrate 10.10.5 nregistrarea erorilor i deficienelor n funcionare 10.10.6 Sincronizarea ceasului ATM Master Securitatea Informaiei 42 11 CONTROLUL ACCESULUI 11.1 Cerinele afacerii pentru controlul accesului OBIECTIV: s controleze accesul la informaie 11.1.1 Politica de control al accesului pe baza cerinelor afacerii i a cerinelor de securitate trebuie stabilit, documentat i revizuit o politic de control a accesului reguli de control a accesului i drepturi fiecrui utilizator sau grup de utilizatori msurile de securitate sunt att logice, ct i fizice i trebuie considerate mpreun trebuie furnizate instruciuni clare privind controlul accesului 22 ATM Master Securitatea Informaiei 43 11 CONTROLUL ACCESULUI 11.2 Managementul accesului utilizatorului OBIECTIV: s asigure accesul autorizat al utilizatorului i s previn accesul neautorizat la sistemele de informaii 11.2.1 nregistrarea utilizatorilor trebuie implementat o procedur formal de nregistrare a utilizatorului i de anulare a nregistrrii 11.2.2 Managementul privilegiilor alocarea i utilizarea privilegiilor trebuie restricionat i controlat 11.2.3 Managementul parolei de utilizator alocarea parolelor trebuie controlat printr-un proces formal de management 11.2.4 Revizuirea drepturilor de acces ale utilizatorilor managementul trebuie s revizuiasc drepturile de acces ale utilizatorilor la intervale regulate (de exemplu la 6 luni sau 1 an) utiliznd pentru aceasta un proces formal ATM Master Securitatea Informaiei 44 11 CONTROLUL ACCESULUI 11.3 Responsabilitile utilizatorului OBIECTIV: s previn accesul neautorizat al utilizatorului, precum i compromiterea sau furtul de informaii 11.3.1 Utilizarea parolelor bune practici de securitate n ceea ce privete selecia i utilizarea parolelor 11.3.2 Echipament nesupravegheat de ctre utilizatori echipamentul lsat nesupravegheat este protejat corespunztor 11.3.3 Politica biroului curat i a ecranului protejat trebuie adoptat o politic clar de folosire a ct mai puine documente i medii de stocare amovibile i o politic de pstrare a ecranului protejat 23 ATM Master Securitatea Informaiei 45 11 CONTROLUL ACCESULUI 11.4 Controlul de acces la reea OBIECTIV: s previn accesul neautorizat la servciile de reea; accesul la serviciile de reea, att interne, ct i externe, trebuie controlat 11.4.1 Politica de utilizare a serviciilor de reea 11.4.2 Autentificarea utilizatorilor pentru conectarea din exterior exerciiu a se citi din standard ndrumrile de implementare 11.4.3 Identificarea echipamentelor n reea 11.4.4 Protecia porturilor de diagnoz la distan i a celor de configurare 11.4.5 Separarea n interiorul reelelor 11.4.6 Controlul conectrii la reea 11.4.7 Controlul de rutare n reea ATM Master Securitatea Informaiei 46 11 CONTROLUL ACCESULUI 11.5 Controlul accesului la sistemele de operare OBIECTIV: s previn accesul neautorizat la sistemele de operare 11.5.1 Proceduri de autentificare sigur 11.5.2 Identificarea i autentificarea utilizatorului 11.5.3 Sistemul de management al parolelor 11.5.4 Utilizarea programelor utilitare de sistem 11.5.5 Pauza de sesiune 11.5.6 Limitarea timpului de conectare 24 ATM Master Securitatea Informaiei 47 11 CONTROLUL ACCESULUI 11.6 Controlul accesului la aplicaii i informaii OBIECTIV: s previn accesul neautorizat la informaia deinut n sistemele de aplicaii 11.6.1 Restricii de acces la informaii accesul utilizatorilor trebuie restricionat n conformitate cu politica de control al accesului 11.6.2 Izolarea sistemelor critice sistemele critice trebuie s aib un spaiu dedicat (izolat) pentru desfurarea proceselor izolarea poate fi obinut prin utilizarea de metode fizice sau logice ATM Master Securitatea Informaiei 48 11 CONTROLUL ACCESULUI 11.7 Prelucrarea datelor folosind echipamente mobile i lucrul la distan OBIECTIV: s asigure SI cnd se folosesc echipamente mobile i de lucru la distan 11.7.1 Prelucrarea datelor folosind echipamente i comunicaii mobile pentru protecia mpotriva riscurilor care decurg din folosirea echipamentelor i comunicaiilor mobile trebuie implementat o politic formal 11.7.2 Lucrul la distan trebuie dezvoltat i implementat o politic, planuri operaionale i proceduri specifice protecie adecvat mpotriva furtului de echipamente i informaii, dezvluiri neautorizate a informaiei, acces neautorizat de la distan etc. 25 ATM Master Securitatea Informaiei 49 12 ACHIZIIA, DEZVOLTAREA I MENTENANA SISTEMELOR INFORMATICE 12.1 Cerine de securitate pentru sistemele informatice OBIECTIV: s asigure faptul c securitatea este parte integrant a sistemelor informatice 12.1.1 Analiza i specificarea cerinelor de securitate specificaiile privind cerinele pentru msurile de securitate trebuie s ia n considerare msurile automate de securitate care trebuie ncorporate n sistem i necesitatea unor msuri manuale ajuttoare de securitate trebuie integrate n fazele iniiale ale proiectelor sistemelor informatice dac produsele sunt cumprate, trebuie urmat un proces oficial de testare i achiziie ATM Master Securitatea Informaiei 50 12 ACHIZIIA, DEZVOLTAREA I MENTENANA SISTEMELOR INFORMATICE 12.2 Procesarea corect a datelor n cadrul aplicaiilor OBIECTIV: s previn erorile, pierderile, modificrile neautorizate sau folosirea greit a informaiilor n cadrul aplicaiilor 12.2.1 Validarea datelor de intrare datele de intrare trebuie validate pt. a se asigura c acestea sunt corecte unde este posibil, se pot examina i valida automat datele de intrare pt. reducerea riscului de erori 12.2.2 Controlul procesrii interne trebuie ncorporate verificri de validare pentru a detecta orice modificare a informaiei prin procesare eronat sau prin acte deliberate 12.2.3 Integritatea mesajului prin folosirea tehnicilor criptografice 12.2.4 Validarea datelor de ieire datele de ieire trebuie s fie valide 26 ATM Master Securitatea Informaiei 51 12 ACHIZIIA, DEZVOLTAREA I MENTENANA SISTEMELOR INFORMATICE 12.3 Msuri criptografice OBIECTIV: s protejeze confidenialitatea, autenticitatea sau integritatea informaiei prin metode criptografice 12.3.1 Politica de utilizare a metodelor criptografice trebuie s se in cont de reglementrile i restriciile naionale, precum i de problemele legate de fluxurile transfrontaliere de informaii criptate 12.3.2 Managementul cheilor criptografice toate cheile criptografice trebuie protejate mpotriva modificrii, pierderii i distrugerii ISO/IEC 11770 informaii suplimentare pt. managementul cheilor ATM Master Securitatea Informaiei 52 12 ACHIZIIA, DEZVOLTAREA I MENTENANA SISTEMELOR INFORMATICE 12.4 Securitatea fiierelor de sistem OBIECTIV: s asigure securitatea fiierelor de sistem 12.4.1 Controlul software-ului operaional pentru a controla instalarea de software pe sistemele operaionale trebuie s fie implementate proceduri specifice 12.4.2 Protejarea datelor din sistemul de test datele de testare trebuie selectate cu grij, protejate i utilizate n mod regulat 12.4.3 Controlul accesului la codul surs al programelor accesul la codul surs al programelor trebuie restricionat 27 ATM Master Securitatea Informaiei 53 12 ACHIZIIA, DEZVOLTAREA I MENTENANA SISTEMELOR INFORMATICE 12.5 Securitatea n procesele de dezvoltare i suport OBIECTIV: s menin securitatea produselor software de aplicaii de sistem i a informaiei; mediile de proiectare i suport trebuie strict controlate 12.5.1 Proceduri de control al modificrilor implementarea modificrilor trebuie controlat prin utilizarea de proceduri formale pt. controlul schimbrilor 12.5.2 Revizuirea tehnic a aplicaiilor dup operarea modificrilor de sistem 12.5.3 Restricii privind modificrile asupra pachetelor software 12.5.4 Scurgerea de informaii posibilitile de scurgere de informaii trebuie prevenite 12.5.5 Externalizarea dezvoltrii de software ATM Master Securitatea Informaiei 54 12 ACHIZIIA, DEZVOLTAREA I MENTENANA SISTEMELOR INFORMATICE 12.6 Managementul vulnerabilitilor tehnice OBIECTIV: s reduc riscurile care decurg din exploatarea vulnerabilitilor tehnice publicate 12.6.1 Controlul vulnerabilitilor tehnice trebuie obinute informaii de actualitate n ceea ce privete vulnerabilitile tehnice luate msuri corespunztoare de rspuns la identificarea unor vulnerabiliti tehnice poate fi conceput ca o sub-funcie a managementului modificrii (10.1.2 i 12.5.1) 28 ATM Master Securitatea Informaiei 55 13 MANAGEMENTUL INCIDENTELOR DE SECURITATE A INFORMAIEI 13.1 Raportarea evenimentelor produse i a slbiciunilor privind securitatea OBIECTIV: s asigure faptul c evenimentele de SI i slbiciunile asociate sunt comunicate de o manier astfel nct s permit luarea de aciuni corective la timp 13.1.1 Raportarea evenimentelor de SI evenimentele de SI trebuie raportate prin canale de management corespunztoare ct mai curnd posibil trebuie stabilit o procedur formal o procedur de raportare a evenimentelor de SI i o procedur de reacie la incident 13.1.2 Raportarea slbiciunilor de securitate tuturor angajailor trebuie s li se cear s raporteze i s noteze orice slbiciune de securitate observat sau suspect n cadrul sistemelor sau proceselor NU trebuie sub nici o form s ncerce s confirme existena unei slbiciuni bnuite ATM Master Securitatea Informaiei 56 13 MANAGEMENTUL INCIDENTELOR DE SECURITATE A INFORMAIEI 13.2 Managementul incidentelor de SI i mbuntiri OBIECTIV: s asigure faptul c pentru managementul incidentelor de SI este aplicat o abordare consistent i eficient 13.2.1 Responsabiliti i proceduri responsabilitile i procedurile de management trebuie stabilite pentru a asigura un rspuns eficient i sistematic la incidentele de SI incidentele de SI pot s depeasc graniele organizaiei i naionale, fiind necesar coordonarea reaciilor i folosirea informaiei privitoare la aceste incidente n comun cu organizaiile externe 13.2.2 nvarea din incidentele de securitate a informaiei trebuie implementate mecanisme pt. a autoriza cuantificarea i monitorizarea tipului, volumului i costurilor de SI 13.2.3 Colectarea probelor trebuie colectate probe ce trebuie prezentate i reinute n conformitate cu regulile pt. colectarea probelor stabilite de legislaia naional probele cuprind: admisibilitatea probei: posibilitatea utilizrii ei n instan relevana probei: calitatea probei i caracterul complet al acesteia 29 ATM Master Securitatea Informaiei 57 14 MANAGEMENTUL CONTINUITII AFACERII 14.1 Aspecte de SI n managementul continuitii afacerii OBIECTIV: s contracareze orice discontinuiti n activitile afacerii i s protejeze aspectele critice fa de efectele cderilor majore ale sistemelor informaionale sau mpotriva dezastrelor i s asigure reluarea acestora n timp optim 14.1.1 Includerea SI n procesul de management al continuitii afacerii responsabilitatea procesului de management al continuitii afacerii trebuie atribuit la un nivel corespunztor n cadrul organizaiei 14.1.2 Continuitatea afacerii i evaluarea riscului 14.1.3 Dezvoltarea i implementarea planurilor de continuitate incluznd SI trebuie s fie dezvoltate i implementate planuri pentru a menine i restaura operaiunile i pentru a asigura disponibilitatea informaiei la nivelul cerut i n timpul cerut n urma ntreruperii sau cderii proceselor critice ale afacerii 14.1.4 Cadrul de planificare a continuitii afacerii fiecare plan trebuie specifice o abordare progresiv i condiiile activrii acestuia, precum i persoanele rspunztoare de executarea fiecrei aciuni din plan 14.1.5 Testarea, mentenana i reevaluarea planurilor de continuitate a afacerii planurile de continuitate a afacerii trebuie testate i actualizate n mod regulat pentru a se asigura c sunt eficiente i adecvate ATM Master Securitatea Informaiei 58 15 CONFORMITATE 15.1 Conformitatea cu cerinele legale OBIECTIV: s evite nclcarea oricrei legi, obligaii statutare, de reglementare sau contractuale sau oricrei alte cerine de securitate 15.1.1 Identificarea legislaiei aplicabile 15.1.2 Drepturi de proprietate intelectual 15.1.3 Protejarea nregistrrilor n cadrul organizaiei nregistrrile importante trebuie protejate mpotriva pierderii, distrugerii i falsificrii acestora n conformitate cu cerinele statutare, de reglementare, contractuale i de afaceri 15.1.4 Protecia datelor cu caracter personal i confidenialitatea informaiilor personale 15.1.5 Prevenirea utilizrii abuzive a sistemelor de procesare a informaiei utilizatorii trebuie descurajai s foloseasc sistemele de procesare a informaiei n scopuri neautorizate 15.1.6 Reglementri privind msurile criptografice 30 ATM Master Securitatea Informaiei 59 15 CONFORMITATE 15.2 Conformitatea cu standardele i politicile de securitate i conformitatea tehnic OBIECTIV: s asigure conformitatea cu standardele i politicile de securitate organizaionale 15.2.1 Conformitatea cu standardele i politicile de securitate Managerii trebuie s se asigure c toate procedurile de securitate din domeniul lor de responsabilitate sunt respectate n mod corect pentru a obine conformitatea cu standardele i politicile de securitate exerciiu de citit din standard ndrumrile pt. implementare 15.2.2 Verificarea conformitii tehnice sistemele informatice trebuie controlate n mod periodic pentru a fi conforme cu standardele de securitate implementate dac se recurge la teste de penetrare sau determinri ale vulnerabilitii trebuie manifestat pruden; aceste teste trebuie s fie planificate, documentate i reproductibile ATM Master Securitatea Informaiei 60 15 CONFORMITATE 15.3 Consideraii privind auditul sistemelor informatice OBIECTIV: s maximizeze eficiena procesului de audit i s minimizeze interferena acestuia asupra sistemelor informaionale 15.3.1 Msuri privind auditul sistemelor informatice cerinele de audit i activitile care implic verificri asupra sistemelor operaionale trebuie planificate cu grij i trebuie convenite astfel nct s minimizeze riscul ntreruperii proceselor de afaceri 15.3.2 Protecia sistemelor de audit pentru sistemele informaionale dac sunt implicai teri, ar putea exista riscul utilizrii abuzive a instrumentelor de audit, precum i al accesrii de informaii de ctre acetia 31 ATM Master Securitatea Informaiei 61 ATM Master Securitatea Informaiei 62 EXERCIII PRACTICE Folosirea corespunztoare a standardului ISO/IEC 27002:2005 Exemplificarea unor categorii de securitate Exemplificarea unor obiective de control Detalierea unor controale de securitate din standard: Definiia controlului Ghid de implementare Alte informaii utile 32 ATM Master Securitatea Informaiei 63 CONCLUZII SMSI INTREBRI ALE CURSANILOR INTREBRI ALE LECTORULUI EXERCIII