Cerinele standardului SR ISO/CEI 27001:2006 (managementul securitii informaiei)
ISO (Organizaia Internaional de Standardizare) i CEI (Comisia Electrotehnic
Internaional) formeaz sistemul internaional specializat pentru standardizare. Organismele naionale care sunt membre ale ISO sau CEI particip la dezvoltarea standardelor internaionale prin comitetele tehnice stabilite de respectiva organizaie pe domenii specifice de activitate tehnic. Comitetele tehnice ISO i CEI colaboreaz n domenii de interes reciproc. La aceast aciune particip i alte organizaii internaionale, guvernamentale i neguvernamentale, n colaborare cu ISO i CEI. n domeniul tehnologiei informaiei, ISO i CEI au stabilit un comitet tehnic comun ISO/IEC JTC. Securitatea informaiei const n conservarea atributelor fundamentale ale informa iei: confidenialitate, integritate, disponibilitate Securitatea informaiei nseamn protejarea informaiei de acces, utilizare, divulgare, modificare, dislocare sau distrugere neautorizate n scopul asigurrii continuitii afacerii, diminurii pierderilor, maximizrii rentabilitii investiiilor i oportunitilor de afaceri. ISO 27001 este un standard care prevede cerinte pentru proiectarea, implementarea si certificarea unui sistem de management al securitii informaiilor care ajuta organizatia sa-si stabileasca si sa realizeze politici de securitate informaionala si obiective in concordanta cu cerintele legale aplicabile activitatii desfasurate. ISO 27001 este un standard care stabileste cerintele pentru un Sistem de Management al Securitatii Informatiei. Ajuta la identificarea, managementul si minimizarea amenintarilor care afecteaza de obicei informatia. Standardul include urmatoarele:
formularea cerintelor de securitate si a obiectivelor;
asigurarea ca riscurile de securitate sunt stapanite din punct de vedere al costului;
asigurarea unei conformitati cu legislatia si diverse reglementari;
identificarea si clarificarea proceselor existente de management al securitatii informatiei;
folosinta lui de catre management pentru a determina statusul activitatilor de
management al securitatii informatiei;
folosinta de catre auditori interni si externi pentru a determina gradul de conformitate cu
politicile, directivele si standardele adoptate de catre organizatie;
furnizarea de informatii relevante despre politicile de securitatea informatiei, standarde si
proceduri, catre partenerii comerciali;
furnizarea de informatii relevante despre securitatea informatiei, clientilor societatii.
Acest standard se aplic n toate tipurile de organizaii (de exemplu: societi comerciale,
agenii guvernamentale, organizaii non-profit). El specific cerinele pentru implementarea
msurilor de securitate adaptate la nevoile individuale ale organizaiei sau ale unor pri din aceasta. Sistemul de management al securitii informaiei este conceput n aa fel nct s asigure selectarea adecvat i proporional a msurilor de securitate care protejeaz resursele informatice i s asigure ncrederea prilor implicate. La data adoptrii acestui standard, standardul de referin menionat n text, ISO/CEI 17799:2005, nu este adoptat ca standard romn. Acest standard internaional adopt o abordare bazat pe proces pentru stabilirea, implementarea, funcionarea, monitorizarea, evaluarea, ntreinerea i mbuntirea SMSI al unei organizaii. Acest standard internaional adopt modelul "Plan-Do-Check-Act" (PDCA)),care este aplicat pentru a structura toate procesele SMSI. Figura 1 ilustreaz felul n care un SMSI ia ca date de intrare cerinele de securitate a informaiei i ateptrile prilor interesate si prin aciunile i procesele necesare obine rezultate de securitate a informaiei care ndeplinesc aceste cerine i ateptri.
Plan (stabilirea SMSI) Stabilirea politicii SMSI, a obiectivelor, proceselor i
procedurilor relevante pentru managementul riscului i mbuntirea securitii informaiei pentru a furniza rezultate n conformitate cu politicile i obiectivele de ansambluale organizaiei. Do (implementarea i funcionarea SMSI) - Implementarea i funcionarea politicilor SMSI, msurilor de securitate, a proceselor i procedurilor. Check (monitorizarea i revizuirea SMSI) - Evaluarea si, acolo unde este aplicabil, msurarea performantei procesului n raport cu politica SMSI, obiectivele i experiena practica i raportarea rezultatelor ctre echipa de management pentru revizuire. Act (meninerea imbuntirea SMSI) Deciderea de aciuni corective i preventive, bazate pe rezultatele auditului intern SMSI i revizuirile managementului sau alte informaii relevante pentru a obine o mbuntire continua a SMSI. Acest standard internaional a fost elaborat pentru a furniza un model pentru stabilirea, implementarea, funcionarea, monitorizarea, revizuirea, ntreinerea i mbuntirea unui Sistem de Management pentru Securitatea Informaiei (SMSI). Adoptarea SMSI trebuie s fie o decizie strategica pentru o organizaie. Proiectarea i implementarea unui SMSI intr-o organizaie este influenat de nevoile i obiectivele acesteia, cerinele de securitate, procesele existente i mrimea i structura organizaiei. Acestea, mpreun cu sistemele lor de suport se pot schimba de-a lungul timpului. Este de ateptat ca implementarea SMSI s fie dimensionat n conformitate cu nevoile organizaiei, de exemplu o situaie simpl necesitnd o soluie simpl SMSI. Acest standard internaional poate fi folosit pentru evaluarea conformitii de ctre prile interesate,att din interiorul organizaiei, ct i din exteriorul acesteia. Abordare bazat pe proces Acest standard internaional adopt o abordare bazat pe proces pentru stabilirea, implementarea,funcionarea, monitorizarea, evaluarea, ntreinerea i mbuntirea SMSI al unei organizaii. Pentru ca o organizaie s funcioneze n mod eficient ea trebuie s identifice i s conduc numeroase activiti. Orice activitate care folosete resurse i este condus pentru a permite transformarea intrrilor n ieiri, poate fi considerat un proces. Adesea o ieire dintr-un proces reprezint n mod direct intrarea procesului urmtor.
Aplicarea unui sistem de procese n cadrul unei organizaii, mpreun cu identificarea i
interaciunea acestor procese i managementul acestora poate fi considerata ca fiind "o abordare bazat pe proces". Abordarea bazat pe proces pentru managementul securitii informaiei prezentat n acest standard internaional ncurajeaz utilizatorii acestuia s accentueze importanta urmtoarelor aspecte: a) nelegerea cerinelor de securitate a informaiei ale unei organizaii i nevoia de a stabili politici i obiective pentru securitatea informaiei; b) implementarea i utilizarea msurilor pentru a administra riscurile securitii informaiei n contextul riscurilor de ansamblu ale afacerii; c) monitorizarea i evaluarea performantei i eficientei SMSI; si d) mbuntirea continua bazata pe msurarea obiectiva. Acest standard internaional adopt modelul "Plan-Do-Check-Act" (PDCA)N1),care este aplicat pentru a structura toate procesele SMSI. Adoptarea modelului PDCA trebuie s reflecte, de asemenea, principiile care guverneaz securitatea sistemelor informaionale i a reelelor aa cum sunt ele exprimate n Liniile Generale ale OECD Standardul ISO 27001:2006 are la baza urmatoarele principii care definesc securitatea informatiei: confidentialitatea, integritatea si disponibilitatea informatiei. Abordarea acestui standard asigura o securitate pe termen lung bazandu-se pe implementarea de politici, proceduri si metode de securitate destinate protejarii informatiilor si resurselor organizatiilor. Prin reducerea la maximum a riscurilor se garanteaza ca sistemul de management este functional si indeplineste cerintele operationale ale companiei, asteptarile clientilor si se conformeaza legislatiei in vigoare. Aplicarea cerintelor standardului Cerinele standardului sunt generice i sunt destinate a fi aplicabile tuturor organizaiilor, indiferent de tip, mrime i natura activitii
Clauzele specificate n capitolele 4, 5, 6, 7 i 8 sunt obligatorii i prin urmare nici o
organizaie care solicit certificarea pentru conformitatea cu acest standard nu poate opera excluderi pe aceste grupe de clauze. Orice excludere de msuri de control necesare eliminrii sau reducerii riscului pn la un nivel acceptabil trebuie justificat i trebuie furnizate dovezi obiective privind excluderea. Responsabilitatea managementului Angajamentul managementului Managementul trebuie s furnizeze dovezi ale angajamentului su fa de instituirea, implementarea, funcionarea, monitorizarea, revizuirea, meninerea i mbuntirea SMSI prin: a) stabilirea politicii SMSI; b) asigurarea faptului ca obiectivele i planurile SMSI sunt stabilite; c) stabilirea rolurilor i responsabilitilor privind securitatea informaiei; d) comunicarea ctre organizaie a importanei ndeplinirii obiectivelor de securitate a informaiei i conformrii cu politica de securitate a informaiei, responsabilitile legale i nevoia continu de mbuntire. e) asigurarea de resurse suficiente pentru stabilirea, implementarea, funcionarea, monitorizarea, revizuirea, meninerea i mbuntirea SMSI f) stabilirea criteriilor de acceptare a riscurilor i a nivelurilor acceptabile de risc; g) asigurarea c auditurile interne ale SMSI se desfoar h) realizarea analizelor de management ale SMSI Analizele de management pentru SMSI Generaliti Managementul trebuie s revizuiasc SMSI al organizaiei la intervalele planificate (cel puin o dat pe an) pentru a asigura continua adecvare, conformitate i eficien. Aceasta revizuire trebuie s includ evaluarea oportunitilor pentru mbuntire i nevoia de schimbri n cadrul SMSI, incluznd politica de securitate a informaiei i obiectivele de securitate a informaiei. Rezultatele revizuirilor trebuie documentate clar, iar nregistrrile trebuie pstrate mbuntirea SMSI
mbuntire continu Organizaia trebuie s mbunteasc n mod continuu eficiena SMSI prin utilizarea politicii
de
securitate
informaiei,
obiectivele
securitii
informaiei,
rezultatele
auditului,analiza evenimentelor monitorizate, aciunile corective i preventive i revizuirile
manageriale . Aciune corectiva Organizaia trebuie s ia msuri pentru a elimina cauza neconformittii cu cerinele SMSI pentru a preveni recidiva. Procedura documentat pentru aciunea corectiva trebuie s defineasc cerinele pentru: a) identificarea neconformitilor; b) determinarea cauzelor neconformitilor; c) evaluarea necesitii ntreprinderii de aciuni pentru a se asigura c neconformitile nu reapar; d) determinarea i implementarea aciunii corective necesare; e) nregistrarea rezultatelor aciunii ntreprinse f) analiza aciunii corective ntreprinse. Aciune preventiv Organizaia trebuie s determine aciunile necesare pentru a elimina cauza potenialelor neconformiti cu cerinele SMSI n scopul prevenirii apariiei lor. Msurile preventive luate trebuie s fie adecvate fa de impactul problemelor poteniale. Procedura documentat pentru aciunea preventiv trebuie s defineasc cerinele pentru: a) identificarea potenialelor neconformitii i a cauzelor acestora; b) evaluarea nevoii de aciune pentru a preveni apariia neconformitilor; c) determinarea i implementarea aciunii preventive necesare; d) nregistrarea rezultatelor aciunilor ntreprinse e) analiza aciunii preventive ntreprinse. Organizaia trebuie s identifice riscurile ce s-au modificat precum i cerinele aciunii preventive care se axeaz pe riscurile modificate semnificativ.