Sunteți pe pagina 1din 32

ACADEMIA TEHNICĂ MILITARĂ

SISTEMUL DE MANAGEMENT AL SECURITĂŢII


INFORMAŢIEI (SMSI)

IMPLEMENTAREA, AUDITUL SI
CERTIFICAREA SMSI

Conf. univ. dr. ing. Iustin PRIESCU


Lead Auditor SMC & SMSI
iustin.priescu@gmail.com

04-05 decembrie © 2010 Iustin Priescu

PREZENTAREA LECTORULUI
 Licenţă ştiinţa calculatoarelor (ATM) şi licenţă comunicare (UB)
 Doctor inginer în ştiinţa calculatoarelor – domeniul securitate informatică
 Certificare SMSI – auditor – TUViT, membru TUV Nord Group, Germania, 2005
 Certificare SMSI – Lead Auditor – IQMS-BSI-UKAS, UK, 2009
 Auditor şi trainer SMSI – Simtex; auditor SMC – Simtex (http://www.simtex.ro)
 Consultant securitatea informaţiei – ANISP (http://www.anisp.ro)
 Membru CT 208 Tehnici de securitate – ASRO
 Lector asociat în ASE, ATM şi UTM Bucureşti
 Cursuri în domeniul securităţii informaţiei în Italia, Germania, UK, USA
 Autor a 3 cărţi în domeniul securităţii informaţiei:

IUSTIN PRIESCU

COMERT
ELECTRONIC
(E-COMMERCE)

ATM – Master Securitatea Informaţiei 2

1
PROIECTE SMSI

ATM – Master Securitatea Informaţiei 3

AGENDA

 SISTEMUL DE MANAGEMENT AL SECURITĂŢII


INFORMAŢIEI (SMSI)

 MODULUL 1 – STRUCTURA ŞI CONŢINUTUL STANDARDULUI


ISO/IEC 27002:2005

 MODULUL 2 – STRUCTURA ŞI CONŢINUTUL STANDARDULUI


ISO/IEC 27001:2005
 MODULUL 3 – CADRUL DE MANAGEMENT (MANAGEMENT
FRAMEWORK) AL UNUI SMSI. ANEXA A

 MODULUL 4 – MIS & DRP & BCP

ATM – Master Securitatea Informaţiei 4

2
SECURITATEA INFORMAŢIEI

Conform SR ISO/IEC 27002:2006, cerinţele fundamentale de securitate a informaţiei sunt:


 Confidenţialitatea – asigură că informaţia este accesibilă numai persoanelor autorizate
să aibe acces
 Integritatea – păstrarea acurateţei şi şi completitudinii informaţiei şi a metodelor de
procesare
 Disponibilitatea – asigurarea că utilizatorii autorizaţi au acces la informaţie şi la resursele
asociate atunci când este necesar
(funcţii de utilitate)

 Autentificarea – asigură asocierea informaţiei cu autorul ei


 Nerepudierea – asigură asocierea că destinatarul legal a primit informaţia de la expeditor

(funcţii de credibilitate)– acoperirea prejudiciului

ATM – Master Securitatea Informaţiei 5

“CUBUL” FUNCŢIILOR DE SECURITATE

 În funcţie de cerinţele de INTEGRITATE


securitate ale organizaţiei
variază dimensiunile
“spaţiale”

 Poate fi doar un pătrat ? CONFIDENŢIALITATE

 Poate fi doar un punct ?

DISPONIBILITATE

ATM – Master Securitatea Informaţiei 6

3
CERINŢE DE SECURITATE
Surse principale de identificare a propriilor cerinţe de securitate:

1. EVALUAREA 2. CERINŢELE
RISCURILOR LEGALE

3. CULTURA DE
SECURITATE

ATM – Master Securitatea Informaţiei 7

SELECTAREA CONTROALELOR

Securitatea informaţiei este obţinută prin implementarea unui:

SET ADECVAT DE
CONTROALE

POLITICI PRACTICI PROCEDURI STRUCTURI FUNCŢII SOFTWARE

Să asigure atingerea obiectivelor specifice de securitate ale firmei !


“Selectarea controalelor se bazează pe costul implementării lor, corelat cu
reducerea riscurilor…” [SR ISO/CEI 27002:2006]

ATM – Master Securitatea Informaţiei 8

4
FAMILIA DE STANDARDE ISO 2700X

27000 Fundamente & Vocabular (2009)

27001:SMSI – Cerinţe* (2005)

27005
27002 Cod de practică pt. SMSI (2005)
Managementul
Riscului
pt. SMSI 27003 Ghid de Implementare (2008)
(2009)
27004 Metrici & Măsurători (2010)

27006 Ghid pentru Acreditarea SMSI* (2007)

* CERINŢĂ:
FOLOSIRE OBLIGATORIE PENTRU CERTIFICAREA SMSI

ATM – Master Securitatea Informaţiei 9

ISO/IEC 27001 – ISO/IEC 27002 – ISO/IEC 27006

 ISO/IEC 27001:2005 (SR ISO/CEI 27001:2006)


Tehnologia informaţiei – Tehnici de securitate – Sisteme de
management al securităţii informaţiei – Cerinţe

 ISO/IEC 27002:2005 (SR ISO/CEI 27002:2008)


Tehnologia informaţiei – Tehnici de securitate – Cod de bună
practică pentru managementul securităţii informaţiei

 ISO/IEC 27006:2007 (SR ISO/CEI 27006:2008)


Tehnologia informaţiei – Tehnici de securitate – Cerinţe pentru
organismele care auditează şi certifică sisteme de
management al securităţii informaţiei

ATM – Master Securitatea Informaţiei 10

5
“AGREGAREA” STANDARDELOR
ISO 27001, ISO 27002 şi ISO 27006

ISO 27006 ISO 27001 ISO 27002


(fost ISO 17799)

CAPITOLELE CAPITOLELE
8-10 4-8
DESCRIEREA
DETALIATA
A CONTROALELOR

ANEXA D ANEXA A (MASURILOR DE


SECURITATE)
GHID EVAL. CONTROALE -133-
CONTROALE
-133- -133-

ATM – Master Securitatea Informaţiei 11

SR ISO/CEI 27002:2008

 SR ISO/CEI 27002:2008 Tehnologia informaţiei – Tehnici de


securitate – Cod de bună practică pentru managementul securităţii
informaţiei

 Neutru din punct de vedere tehnologic


 CE SA FACI ? (NU>> Cum să faci?)

 Standard de management (nu tehnic !)

 Descriere detaliată a abordărilor verificate şi a controalelor pentru o


securitate cuprinzătoare şi durabilă în organizaţie

ATM – Master Securitatea Informaţiei 12

6
STANDARDUL SR ISO/CEI 27002:2008

Cod de bună practică pentru SMSI


SR ISO/CEI Descrie în detaliu modul de implementarea a măsurilor
27002:2008 de securitate
Aplicabil pentru toate tipurile de organizaţii
Conţine 133 de controale (măsuri de securitate)

5 6 7 8

9 10 11

12 13 14 15

ATM – Master Securitatea Informaţiei 13

SR ISO/CEI 27002:2008

 SR ISO/CEI 27002:2008 Tehnologia informaţiei – Tehnici de


securitate – Cod de bună practică pentru managementul
securităţii informaţiei

 Neutru din punct de vedere tehnologic

 Aplicabil pentru toate ramurile industriale, toate categoriile şi


caracteristicile de organizaţii

 Adecvat şi organizaţiilor mici

ATM – Master Securitatea Informaţiei 14

7
CORESPONDENŢA DINTRE
SR ISO/CEI 27002:2008 ŞI ISO/CEI 27001:2006

 Din Clauzele 5-15 ale SR ISO/CEI 27002:2008 sunt


derivate în mod direct obiectivele de control şi
controalele prezentate în Anexa A (normativă) a
standardului SR ISO/CEI 27001:2006

ATM – Master Securitatea Informaţiei 15

STRUCTURA STANDARDULUI
SR ISO/CEI 27002:2008

 Organizarea standardului:
 organizaţia emitentă, codificare, data versiunii
 denumirea standardului în lb. engleză, franceză
 aprobare, statut, ce standard înlocuieşte
 corespondenţă cu alte standarde, în lb. engleză, franceză
 cuprins, preambul, cap. 0 – Introducere;
 cap. 1 – domeniul de aplicare, cap. 2 – termeni şi definiţii
 structura standardului, de forma:
 x – număr de capitol – articol privind controlul securităţii
 x.x – categorii de securitate (principale)
 x.x.x – măsură de securitate (control)

ATM – Master Securitatea Informaţiei 16

8
SR ISO/CEI 27002:2008

 Standardul internaţional ISO/IEC 27002:2005 a fost acceptat ca


standard român de către comitetul tehnic CT 208 – Tehnici de
securitate în tehnologia informaţiei
 Membrii comitetului tehnic care au verificat versiunea în limba
română ....

ATM – Master Securitatea Informaţiei 17

STRUCTURA STANDARDULUI
SR ISO/CEI 27002:2008

 FIECARE CATEGORIE PRINCIPALĂ DE SECURITATE CONŢINE:


- un obiectiv privind măsura de securitate care stabileşte ceea ce
trebuie realizat;
- una sau mai multe măsuri de securitate aplicate pentru a atinge
obiectivul

Structura unei măsuri de securitate

Definiţia măsurii

Ghid de implementare

Alte informaţii utile

ATM – Master Securitatea Informaţiei 18

9
STRUCTURA STANDARDULUI
SR ISO/CEI 27002:2008
CATEGORII DE
ARTICOL (CLAUZA)
SECURITATE
 Standardul conţine: 5. Politica de securitate 1
 11 articole (clauze) de 6. Organizarea securităţii informaţiei 2

control al securităţii 7. Managementul bunurilor 2


8. Securitatea resurselor umane 3
 totalizează 39 de 9. Securitatea fizică şia mediului 2
categorii de securitate 10. Managementul comunicaţiilor şi al
10
principale operaţiilor
11. Controlul accesului 7
 un articol (clauză) 12. Achiziţia sistemelor informatice,
6
introductiv referitor la dezvoltarea şi mentenanţa
13. Managementul incidentelor de
evaluarea şi tratarea securitate a informaţiei
2

riscurilor – cap. 4 14. Managementul continuităţii afacerii 1


15. Conformitate 3

ATM – Master Securitatea Informaţiei 19

STRUCTURA STANDARDULUI
SR ISO/CEI 27002:2008
CATEGORII DE
ARTICOL (CLAUZA)
SECURITATE  NOTĂ:
5. Politica de securitate 1  Ordinea articolelor din
6. Organizarea securităţii informaţiei 2 standard NU reprezintă nivelul
7. Managementul bunurilor 2 de importanţă.
8. Securitatea resurselor umane 3
9. Securitatea fizică şia mediului 2
 În funcţie de condiţii, toate
10. Managementul comunicaţiilor şi al
operaţiilor
10 articolele pot fi importante,
11. Controlul accesului 7 organizaţia trebuie să
12. Achiziţia sistemelor informatice,
6
identifice articolele aplicabile,
dezvoltarea şi mentenanţa
cât de importante sunt ele şi
13. Managementul incidentelor de
securitate a informaţiei
2 aplicarea lor în procesele
14. Managementul continuităţii afacerii 1
individuale.
15. Conformitate 3

ATM – Master Securitatea Informaţiei 20

10
5 POLITICA DE SECURITATE

 5.1 POLITICA DE SECURITATE A INFORMAŢIEI


 OBIECTIV: să asigure..., să stabilească, ... să demonstreze

 5.1.1 DOCUMENT DE POLITICĂ A SECURITĂŢII INFORMAŢIEI


 Măsură de securitate – aprobat, publicat şi comunicat
 Îndrumări pt. implementare – documentul trebuie să cuprindă a) ... f)
 Alte informaţii – vezi ISO/IEC 133335 – 1:2004
 5.1.2 REVIZUIREA POLITICII DE SECURITATE
 Intervale planificate, schimbări semnificative
 Rezultatele analizei de management a securităţii a) ... i)
 Decizii şi acţiuni referitoare la a) ... c).

ATM – Master Securitatea Informaţiei 21

6 ORGANIZAREA SECURITĂŢII INFORMAŢIEI (SI)

 6.1 ORGANIZARE INTERNĂ


 OBIECTIV: să administreze securitatea informaţiei

 6.1.1 Angajamentul echipei de management privind SI


 Managementul să susţină în mod activ SI în organizaţie
 Managementul trebuie să a) ... h)
 Alte informaţii – vezi ISO/IEC 133335 – 1:2004
 6.1.2 Coordonarea SI
 6.1.3 Alocarea responsabilităţilor pentru SI
 Intervale planificate, schimbări semnificative
 Domenii de responsabilitate, resursele şi procesele
 entitatea răspunzătoare şi nevelurile de autorizare

ATM – Master Securitatea Informaţiei 22

11
6 ORGANIZAREA SECURITĂŢII INFORMAŢIEI (SI)

 6.1 ORGANIZARE INTERNĂ


 OBIECTIV: să administreze securitatea informaţiei

 6.1.4 Procesul de autorizare pt. sistemele de procesare a


inf.
 6.1.5 Acorduri de confidenţialitate
 6.1.6 Contactul cu autorităţile
 6.1.7 Contactul cu grupuri specializate de interese
 6.1.8 Revizuirea independentă a SI

ATM – Master Securitatea Informaţiei 23

6 ORGANIZAREA SECURITĂŢII INFORMAŢIEI (SI)

 6.2 PĂRŢI EXTERNE


 OBIECTIV: accesul părţilor externe la sistemele de procesare a
informaţiei trebuie ţinut sub control

 6.2.1 Identificarea riscurilor legate de părţile din afara


organizaţiei
 trebuie să se efectueze o determinare de risc (a) ... k) )
 6.2.2 Respectarea cerinţelor de securitate în activităţile care
implică clienţii
 6.2.3 Respectarea cerinţelor de securitate în acordurile cu terţii
 trebuie să acopere toate cerinţele de securitate relevante
 condiţii ce trebuie incluse în acord (a) ... v) )
 externalizează managementul securităţii informaţiei

ATM – Master Securitatea Informaţiei 24

12
7 MANAGEMENTUL RESURSELOR

 7.1 Responsabilitatea pentru resurse


 OBIECTIV: să obţină şi să menţină o protecţie
corespunzătoare a resurselor organizaţionale (înregistrate şi
deţinător)

 7.1.1 Inventarul resurselor


 vezi tipuri de resurse – necesare la evaluarea riscurilor
 7.1.2 Deţinerea resurselor
 deţinător vs. proprietar
 7.1.3 Utilizarea în mod admisibil a resurselor
 trebuie identificate, documentate şi implementate (de ex. e-mail,
Internet, dispozitive mobile)

ATM – Master Securitatea Informaţiei 25

7 MANAGEMENTUL RESURSELOR

 7.2 Clasificarea informaţiei


 OBIECTIV: să asigure faptul că informaţia beneficiază de un
nivel de protecţie adecvat

 7.2.1 Îndrumări pentru clasificare


 clasificată după: valoare, cerinţe legale, importanţă şi nivel de
criticabilitate pentru organizaţie
 ghid de clasificare a informaţiilor
 7.2.2 Etichetarea şi manipularea informaţiei
 proceduri de etichetare
 pt. fiecare nivel de clasificare – definite proceduri de operare pt.
procesare, stocare, transmitere, declasificare şi distrugere
securizată
 marcare vs. etichetare

ATM – Master Securitatea Informaţiei 26

13
8 SECURITATEA RESURSELOR UMANE

 8.1 Înaintea angajării


 OBIECTIV: trebuie menţionate responsabilităţile privind securitatea înainte
de angajare

 8.1.1 Roluri şi responsabilităţi


 8.1.2 Verificare
 trebuie să se efectueze controale de verificare de fond, proporţionale cu
cerinţele afacerii şi clasificarea informaţiei
 atenţie !!! – protejarea intimităţii, a datelor cu caracter personal şi / sau
legislaţia muncii
 exerciţiu – de citit din standard îndrumările pt. implementare
 8.1.3 Cerinţe şi condiţii de angajare
 să se asigure că viitorii angajaţi acceptă termenii şi condiţiile privind SI
 cod de conduită a angajaţilor

ATM – Master Securitatea Informaţiei 27

8 SECURITATEA RESURSELOR UMANE

 8.2 Pe timpul perioadei angajării


 OBIECTIV: sunt conştienţi de ameninţările privind SI, responsabilităţi juridice,
să susţină politica de securitate organizaţională şi să asigure reducerea
riscului erorilor umane.
 F. IMP....: CONŞTIENTIZARE, EDUCAŢIE ŞI INSTRUIRE (instituit un proces
disciplinar oficial pt. încălcarea regulilor de SI)

 8.2.1 Responsabilităţile managementului


 să ceară (imperativ) angajaţilor să aplice măsurile de securitate
 8.2.2 Gradul de calificare, educaţie şi instruire
 toţi angajaţii trebuie să primească o instruire corespunzătoare şi actualizări
periodice
 8.2.3 Procesul disciplinar
 trebuie să existe un proces formal disciplinar ce asigură o reacţie progresivă
 trebuie folosit şi ca element de descurajare

ATM – Master Securitatea Informaţiei 28

14
8 SECURITATEA RESURSELOR UMANE

 8.3 Încetarea contractului sau schimbarea locului de muncă


 OBIECTIV: foştii angajaţi părăsesc organizaţia sau schimbă locul de
muncă într-o manieră reglementată (managementul plecării din organizaţie)

 8.3.1 Responsabilităţi privind terminarea contractului


 condiţii ce se prelungesc o perioadă de timp după terminarea contractului
 8.3.2 Returnarea resurselor
 dacă angajatul dispune de cunoştinţe importante pt. operaţiile în derulare,
acestea trebuie documentate şi transferate organizaţiei
 8.3.3 Înlăturarea drepturilor de acces
 toate drepturile trebuie revocate

ATM – Master Securitatea Informaţiei 29

9 SECURITATEA FIZICĂ ŞI A MEDIULUI DE LUCRU

 9.1 Zone de securitate


 OBIECTIV: să prevină accesul fizic neautorizat, distrugerile şi
pătrunderea în interiorul organizaţiei, precum şi accesul la informaţii

 9.1.1 Perimetrul fizic de securitate


 9.1.2 Controlul accesului fizic
 9.1.3 Securizarea birourilor, încăperilor şi a sistemelor informatice
 9.1.4 Protejarea împotriva ameninţărilor externe şi de mediu
 9.1.5 Desfăşurarea activităţii în zonele de securitate
 9.1.6 Zone de acces public, puncte de livrare şi încărcare

ATM – Master Securitatea Informaţiei 30

15
9 SECURITATEA FIZICĂ ŞI A MEDIULUI DE LUCRU

 9.2 Securitatea echipamentelor


 OBIECTIV: să prevină pierderea, avarierea, furtul sau compromiterea
resurselor şi întreruperea activităţilor din organizaţie

 9.2.1 Amplasarea şi protejarea echipamentelor


 9.2.2 Utilităţi suport pentru afacere
 9.2.3 Securitatea reţelelor de cablu
 9.2.4 Întreţinerea echipamentelor
 9.2.5 Securitatea echipamentelor în afara locaţiei
 9.2.6 Scoaterea din uz sau reutilizarea în condiţii de siguranţă
 9.2.7 Scoaterea activelor
 echipamentele, informaţiile sau produsele software nu trebuie scoase în
afara spaţiului de lucru fără o autorizare prealabilă
 verificări prin sondaj pentru depistarea mutărilor neautorizate

ATM – Master Securitatea Informaţiei 31

10 MANAGEMENTUL
COMUNICAŢIILOR ŞI OPERAŢIILOR

 10.1 Proceduri operaţionale şi responsabilităţi


 OBIECTIV: să asigure operarea corectă şi în condiţii de securitate a
sistemelor de procesare a informaţiei

 10.1.1 Proceduri de operare documentate


 procedurile de operare trebuie să fie documentate, păstrate şi puse la
dispoziţia tuturor celor care au nevoie de ele
 10.1.2 Managementul schimbării
 toate schimbările privind sistemele de procesare a informaţiilor trebuie să
se facă într-un mod controlat
 jurnale de audit ce conţin toate informaţiile relevante despre schimbări
 10.1.3 Separarea atribuţiilor
 10.1.4 Separarea sistemelor de dezvoltare, testare şi a sistemelor
operaţionale
 personalul de dezvoltare şi testare este o ameninţare pentru
confidenţialitatea informaţiei operaţionale

ATM – Master Securitatea Informaţiei 32

16
10 MANAGEMENTUL
COMUNICAŢIILOR ŞI OPERAŢIILOR

 10.2 Managementul serviciilor furnizate de terţi


 OBIECTIV: să implementeze şi să menţină un nivel
corespunzător al SI şi al livrării serviciilor încheiate cu terţi

 10.2.1 Furnizarea serviciilor


 acordurile încheiate cu terţi sunt implementate, operate şi
întreţinute corespunzător
 10.2.2 Monitorizarea şi evaluarea serviciilor terţilor
 în cazul externalizării, organizaţia trebuie să fie conştientă că, în
final, responsabilitatea pt. procesarea informaţiei revine tot org.
 10.2.3 Managementul modificărilor în cazul serviciilor
furnizate de terţi
 trebuie efectuat în mod controlat

ATM – Master Securitatea Informaţiei 33

10 MANAGEMENTUL
COMUNICAŢIILOR ŞI OPERAŢIILOR

 10.3 Planificarea şi acceptanţa sistemului


 OBIECTIV: să reducă riscurile de disfuncţionalităţi ale
sistemelor

 10.3.1 Managementul capacităţii


 utilizarea resurselor trebuie să fie monitorizată şi optimizată,
iar capacităţile viitoare trebuie să fie prevăzute
 10.3.2 Acceptanţa sistemului
 efectuarea de teste în timpul dezvoltării şi înainte de
acceptanţă
 aprobarea pentru acceptanţă poate cuprinde un proces oficial
de certificare şi acreditare

ATM – Master Securitatea Informaţiei 34

17
10 MANAGEMENTUL
COMUNICAŢIILOR ŞI OPERAŢIILOR

 10.4 Protecţia împotriva codurilor mobile şi dăunătoare


 OBIECTIV: să asigure protejarea integrităţii software-ului şi a informaţiei

 10.4.1 Măsuri de securitate împotriva codurilor cu potenţial dăunător


 măsuri de securitate pentru detectarea, prevenirea şi recuperarea datelor,
precum şi proceduri de avertizare a utilizatorilor
 10.4.2 Măsuri de securitate faţă de codul mobil
 autorizarea codului mobil în conformitate cu politica de securitate
 codul mobil neautorizat trebuie să fie împiedicat să se execute
 aprobarea pentru acceptanţă poate cuprinde un proces oficial de
certificare şi acreditare

ATM – Master Securitatea Informaţiei 35

10 MANAGEMENTUL
COMUNICAŢIILOR ŞI OPERAŢIILOR

 10.5 Copie de siguranţă


 OBIECTIV: să menţină integritatea şi disponibilitatea
informaţiei şi a sistemelor de procesare

 10.5.1 Copii de siguranţă ale informaţiei


 copiile de siguranţă ale informaţiilor trebuie testate în mod regulat
în conformitate cu politica de realizare de copii stabilită
 trebuie ţinute evidenţe corecte şi complete ale copiilor de siguranţă
 când confidenţialitatea este importantă, salvările de siguranţă
trebuie protejate prin metode criptografice
 procedurile de salvare de siguranţă pot fi automatizate, însă trebuie
riguros testate înainte de implementare şi la intervale regulate

ATM – Master Securitatea Informaţiei 36

18
10 MANAGEMENTUL
COMUNICAŢIILOR ŞI OPERAŢIILOR

 10.6 Managementul securităţii reţelei


 OBIECTIV: să asigure protejarea protecţia reţelelor de informaţii şi
protecţia infrastructurii de suport

 10.6.1 Măsuri pentru securitatea reţelei


 responsabilitatea pentru operarea reţelei trebuie separată de operarea
calculatoarelor
 trebuie utilizate metode adecvate de jurnalizare şi monitorizare pt. a
permite înregistrarea acţiunilor relevante
 10.6.2 Securitatea serviciilor de reţea
 cuprind furnizarea de conexiuni, servicii private de reţea, reţele cu valoare
adăugată sau soluţii de administrare de securitate (firewall, IDS)

ATM – Master Securitatea Informaţiei 37

10 MANAGEMENTUL
COMUNICAŢIILOR ŞI OPERAŢIILOR

 10.7 Manipularea mediilor de stocare


 OBIECTIV: să prevină divulgarea neautorizată, modificarea, îndepărtarea
sau distrugerea resurselor şi întreruperea activităţii afacerii

 10.7.1 Managementul mediilor amovibile


 trebuie să existe proceduri specifice pt. managementul adecvat al
mediilor de stocare amovibile
 toate procedurile şi nivelurile de autorizare trebuie clar documentate
 10.7.2 Distrugerea mediilor de stocare
 mediile de stocare trebuie distruse într-un mod securizat şi sigur atunci
folosind proceduri formale pentru acestea
 10.7.3 Proceduri de manipulare a informaţiei
 trebuie stabilite proceduri specifice de manipulare: utilizarea, prelucrarea,
stocarea şi comunicarea informaţiei (a se vedea 7.2)
 10.7.4 Securitatea documentaţiei de sistem
 documentaţia de sistem trebuie protejată împotriva accesului neautorizat

ATM – Master Securitatea Informaţiei 38

19
10 MANAGEMENTUL
COMUNICAŢIILOR ŞI OPERAŢIILOR

 10.8 Schimbul de informaţii


 OBIECTIV: să menţină securitatea schimbului de informaţii şi software în
interiorul unei organizaţii sau cu orice entitate externă

 10.8.1 Proceduri şi politici pt. schimbul de informaţii


 exerciţiu – de citit procedurile din standard
 10.8.2 Acorduri de schimb
 pt. schimbul de informaţii şi software între organizaţie şi alte părţi trebuie
stabilite acorduri specifice
 10.8.3 Medii fizice de stocare în tranzit
 trebuie protejate pe timpul transportului dincolo de graniţele fizice ale org.
 10.8.4 Mesageria electronică
 informaţia transmisă trebuie protejată în mod corespunzător
 10.8.5 Sisteme de informaţii ale afacerii
 trebuie dezvoltate şi implementate politici şi proceduri corespunzătoare
modului de interconectare a sistemelor de informaţii ale afacerii

ATM – Master Securitatea Informaţiei 39

10 MANAGEMENTUL
COMUNICAŢIILOR ŞI OPERAŢIILOR

 10.9 Servicii de comerţ electronic


 OBIECTIV: să asigure securitatea serviciilor de comerţ electronic şi
utilizarea lor în condiţii de siguranţă

 10.9.1 Comerţ electronic


 informaţia implicată în comerţul electronic trebuie protejată împotriva
oricăror activităţi de fraudare, dispute contractuale, divulgare neautorizată
şi modificare
 10.9.2 Tranzacţii on-line
 protejată pentru a preveni transmiterea incompletă, direcţionarea greşită,
modificarea neautorizată a mesajului, divulgarea, copierea sau replicarea
neautorizate
 10.9.3 Informaţie disponibilă în mod public
 integritatea informaţiei de pe un sistem disponibil public trebuie să fie
protejată pt. a preveni modificarea neautorizată a acesteia

ATM – Master Securitatea Informaţiei 40

20
10 MANAGEMENTUL
COMUNICAŢIILOR ŞI OPERAŢIILOR

 10.10 Monitorizare
 OBIECTIV: identificarea activităţilor neautorizate de procesare a informaţiei

 10.10.1 Jurnal de audit


 trebuie să existe proceduri specifice pt. managementul adecvat al mediilor de
stocare amovibile
 toate procedurile şi nivelurile de autorizare trebuie clar documentate
 10.10.2 Monitorizarea utilizării sistemului
 nivelul de monitorizare trebuie stabilit printr-o determinare a riscului
 10.10.3 Protecţia informaţiilor din jurnale
 sistemele de înregistrare şi jurnalele de informaţii trebuie protejate împotriva
modificărilor şi accesului neautorizat
 10.10.4 Jurnalul activităţilor administratorului şi operatorului
 activităţile administratorului de sistem şi ale operatorului de sistem trebuie
înregistrate
 10.10.5 Înregistrarea erorilor şi deficienţelor în funcţionare
 10.10.6 Sincronizarea ceasului

ATM – Master Securitatea Informaţiei 41

11 CONTROLUL ACCESULUI

 11.1 Cerinţele afacerii pentru controlul accesului


 OBIECTIV: să controleze accesul la informaţie

 11.1.1 Politica de control al accesului


 pe baza cerinţelor afacerii şi a cerinţelor de securitate trebuie
stabilită, documentată şi revizuită o politică de control a accesului
 reguli de control a accesului şi drepturi fiecărui utilizator sau grup de
utilizatori
 măsurile de securitate sunt atât logice, cât şi fizice şi trebuie
considerate împreună
 trebuie furnizate instrucţiuni clare privind controlul accesului

ATM – Master Securitatea Informaţiei 42

21
11 CONTROLUL ACCESULUI

 11.2 Managementul accesului utilizatorului


 OBIECTIV: să asigure accesul autorizat al utilizatorului şi să prevină accesul
neautorizat la sistemele de informaţii

 11.2.1 Înregistrarea utilizatorilor


 trebuie implementată o procedură formală de înregistrare a utilizatorului şi de
anulare a înregistrării
 11.2.2 Managementul privilegiilor
 alocarea şi utilizarea privilegiilor trebuie restricţionată şi controlată
 11.2.3 Managementul parolei de utilizator
 alocarea parolelor trebuie controlată printr-un proces formal de management
 11.2.4 Revizuirea drepturilor de acces ale utilizatorilor
 managementul trebuie să revizuiască drepturile de acces ale utilizatorilor la
intervale regulate (de exemplu la 6 luni sau 1 an) utilizând pentru aceasta un
proces formal

ATM – Master Securitatea Informaţiei 43

11 CONTROLUL ACCESULUI

 11.3 Responsabilităţile utilizatorului


 OBIECTIV: să prevină accesul neautorizat al utilizatorului,
precum şi compromiterea sau furtul de informaţii

 11.3.1 Utilizarea parolelor


 bune practici de securitate în ceea ce priveşte selecţia şi utilizarea
parolelor
 11.3.2 Echipament nesupravegheat de către utilizatori
 echipamentul lăsat nesupravegheat este protejat corespunzător
 11.3.3 Politica biroului curat şi a ecranului protejat
 trebuie adoptată o politică clară de folosire a cât mai puţine
documente şi medii de stocare amovibile şi o politică de păstrare
a ecranului protejat

ATM – Master Securitatea Informaţiei 44

22
11 CONTROLUL ACCESULUI

 11.4 Controlul de acces la reţea


 OBIECTIV: să prevină accesul neautorizat la servciile de reţea; accesul la
serviciile de reţea, atât interne, cât şi externe, trebuie controlat

 11.4.1 Politica de utilizare a serviciilor de reţea


 11.4.2 Autentificarea utilizatorilor pentru conectarea din exterior
 exerciţiu – a se citi din standard îndrumările de implementare
 11.4.3 Identificarea echipamentelor în reţea
 11.4.4 Protecţia porturilor de diagnoză la distanţă şi a celor de configurare
 11.4.5 Separarea în interiorul reţelelor
 11.4.6 Controlul conectării la reţea
 11.4.7 Controlul de rutare în reţea

ATM – Master Securitatea Informaţiei 45

11 CONTROLUL ACCESULUI

 11.5 Controlul accesului la sistemele de operare


 OBIECTIV: să prevină accesul neautorizat la sistemele de
operare

 11.5.1 Proceduri de autentificare sigură


 11.5.2 Identificarea şi autentificarea utilizatorului
 11.5.3 Sistemul de management al parolelor
 11.5.4 Utilizarea programelor utilitare de sistem
 11.5.5 Pauza de sesiune
 11.5.6 Limitarea timpului de conectare

ATM – Master Securitatea Informaţiei 46

23
11 CONTROLUL ACCESULUI

 11.6 Controlul accesului la aplicaţii şi informaţii


 OBIECTIV: să prevină accesul neautorizat la informaţia deţinută în
sistemele de aplicaţii

 11.6.1 Restricţii de acces la informaţii


 accesul utilizatorilor trebuie restricţionat în conformitate cu politica de
control al accesului
 11.6.2 Izolarea sistemelor critice
 sistemele critice trebuie să aibă un spaţiu dedicat (izolat) pentru
desfăşurarea proceselor
 izolarea poate fi obţinută prin utilizarea de metode fizice sau logice

ATM – Master Securitatea Informaţiei 47

11 CONTROLUL ACCESULUI
 11.7 Prelucrarea datelor folosind echipamente mobile şi lucrul
la distanţă
 OBIECTIV: să asigure SI cînd se folosesc echipamente mobile şi de lucru la
distanţă

 11.7.1 Prelucrarea datelor folosind echipamente şi comunicaţii mobile


 pentru protecţia împotriva riscurilor care decurg din folosirea
echipamentelor şi comunicaţiilor mobile trebuie implementată o politică
formală
 11.7.2 Lucrul la distanţă
 trebuie dezvoltată şi implementată o politică, planuri operaţionale şi
proceduri specifice
 protecţie adecvată împotriva furtului de echipamente şi informaţii,
dezvăluiri neautorizate a informaţiei, acces neautorizat de la distanţă etc.

ATM – Master Securitatea Informaţiei 48

24
12 ACHIZIŢIA, DEZVOLTAREA ŞI MENTENANŢA
SISTEMELOR INFORMATICE

 12.1 Cerinţe de securitate pentru sistemele


informatice
 OBIECTIV: să asigure faptul că securitatea este parte
integrantă a sistemelor informatice

 12.1.1 Analiza şi specificarea cerinţelor de securitate


 specificaţiile privind cerinţele pentru măsurile de securitate trebuie
să ia în considerare măsurile automate de securitate care trebuie
încorporate în sistem şi necesitatea unor măsuri manuale ajutătoare
de securitate
 trebuie integrate în fazele iniţiale ale proiectelor sistemelor
informatice
 dacă produsele sunt cumpărate, trebuie urmat un proces oficial de
testare şi achiziţie

ATM – Master Securitatea Informaţiei 49

12 ACHIZIŢIA, DEZVOLTAREA ŞI MENTENANŢA


SISTEMELOR INFORMATICE

 12.2 Procesarea corectă a datelor în cadrul aplicaţiilor


 OBIECTIV: să prevină erorile, pierderile, modificările neautorizate sau
folosirea greşită a informaţiilor în cadrul aplicaţiilor

 12.2.1 Validarea datelor de intrare


 datele de intrare trebuie validate pt. a se asigura că acestea sunt corecte
 unde este posibil, se pot examina şi valida automat datele de intrare pt.
reducerea riscului de erori
 12.2.2 Controlul procesării interne
 trebuie încorporate verificări de validare pentru a detecta orice modificare a
informaţiei prin procesare eronată sau prin acte deliberate
 12.2.3 Integritatea mesajului
 prin folosirea tehnicilor criptografice
 12.2.4 Validarea datelor de ieşire
 datele de ieşire trebuie să fie valide

ATM – Master Securitatea Informaţiei 50

25
12 ACHIZIŢIA, DEZVOLTAREA ŞI MENTENANŢA
SISTEMELOR INFORMATICE

 12.3 Măsuri criptografice


 OBIECTIV: să protejeze confidenţialitatea, autenticitatea sau integritatea
informaţiei prin metode criptografice

 12.3.1 Politica de utilizare a metodelor criptografice


 trebuie să se ţină cont de reglementările şi restricţiile naţionale, precum şi
de problemele legate de fluxurile transfrontaliere de informaţii criptate
 12.3.2 Managementul cheilor criptografice
 toate cheile criptografice trebuie protejate împotriva modificării, pierderii şi
distrugerii
 ISO/IEC 11770 informaţii suplimentare pt. managementul cheilor

ATM – Master Securitatea Informaţiei 51

12 ACHIZIŢIA, DEZVOLTAREA ŞI MENTENANŢA


SISTEMELOR INFORMATICE

 12.4 Securitatea fişierelor de sistem


 OBIECTIV: să asigure securitatea fişierelor de sistem

 12.4.1 Controlul software-ului operaţional


 pentru a controla instalarea de software pe sistemele operaţionale trebuie
să fie implementate proceduri specifice
 12.4.2 Protejarea datelor din sistemul de test
 datele de testare trebuie selectate cu grijă, protejate şi utilizate în mod
regulat
 12.4.3 Controlul accesului la codul sursă al programelor
 accesul la codul sursă al programelor trebuie restricţionat

ATM – Master Securitatea Informaţiei 52

26
12 ACHIZIŢIA, DEZVOLTAREA ŞI MENTENANŢA
SISTEMELOR INFORMATICE

 12.5 Securitatea în procesele de dezvoltare şi suport


 OBIECTIV: să menţină securitatea produselor software de aplicaţii de
sistem şi a informaţiei; mediile de proiectare şi suport trebuie strict
controlate

 12.5.1 Proceduri de control al modificărilor


 implementarea modificărilor trebuie controlată prin utilizarea de proceduri
formale pt. controlul schimbărilor
 12.5.2 Revizuirea tehnică a aplicaţiilor după operarea modificărilor de
sistem
 12.5.3 Restricţii privind modificările asupra pachetelor software
 12.5.4 Scurgerea de informaţii
 posibilităţile de scurgere de informaţii trebuie prevenite
 12.5.5 Externalizarea dezvoltării de software

ATM – Master Securitatea Informaţiei 53

12 ACHIZIŢIA, DEZVOLTAREA ŞI MENTENANŢA


SISTEMELOR INFORMATICE

 12.6 Managementul vulnerabilităţilor tehnice


 OBIECTIV: să reducă riscurile care decurg din exploatarea vulnerabilităţilor
tehnice publicate

 12.6.1 Controlul vulnerabilităţilor tehnice


 trebuie obţinute informaţii de actualitate în ceea ce priveşte vulnerabilităţile
tehnice
 luate măsuri corespunzătoare de răspuns la identificarea unor
vulnerabilităţi tehnice
 poate fi conceput ca o sub-funcţie a managementului modificării (10.1.2 şi
12.5.1)

ATM – Master Securitatea Informaţiei 54

27
13 MANAGEMENTUL INCIDENTELOR DE
SECURITATE A INFORMAŢIEI

 13.1 Raportarea evenimentelor produse şi a slăbiciunilor


privind securitatea
 OBIECTIV: să asigure faptul că evenimentele de SI şi slăbiciunile asociate
sunt comunicate de o manieră astfel încât să permită luarea de acţiuni
corective la timp

 13.1.1 Raportarea evenimentelor de SI


 evenimentele de SI trebuie raportate prin canale de management
corespunzătoare cât mai curând posibil
 trebuie stabilită o procedură formală o procedură de raportare a
evenimentelor de SI şi o procedură de reacţie la incident
 13.1.2 Raportarea slăbiciunilor de securitate
 tuturor angajaţilor trebuie să li se ceară să raporteze şi să noteze orice
slăbiciune de securitate observată sau suspectă în cadrul sistemelor sau
proceselor
 NU trebuie sub nici o formă să încerce să confirme existenţa unei slăbiciuni
bănuite

ATM – Master Securitatea Informaţiei 55

13 MANAGEMENTUL INCIDENTELOR DE
SECURITATE A INFORMAŢIEI

 13.2 Managementul incidentelor de SI şi îmbunătăţiri


 OBIECTIV: să asigure faptul că pentru managementul incidentelor de SI este
aplicată o abordare consistentă şi eficientă
 13.2.1 Responsabilităţi şi proceduri
 responsabilităţile şi procedurile de management trebuie stabilite pentru a
asigura un răspuns eficient şi sistematic la incidentele de SI
 incidentele de SI pot să depăşească graniţele organizaţiei şi naţionale, fiind
necesară coordonarea reacţiilor şi folosirea informaţiei privitoare la aceste
incidente în comun cu organizaţiile externe
 13.2.2 Învăţarea din incidentele de securitate a informaţiei
 trebuie implementate mecanisme pt. a autoriza cuantificarea şi monitorizarea
tipului, volumului şi costurilor de SI
13.2.3 Colectarea probelor
 trebuie colectate probe ce trebuie prezentate şi reţinute în conformitate cu
regulile pt. colectarea probelor stabilite de legislaţia naţională
 probele cuprind:
 admisibilitatea probei: posibilitatea utilizării ei în instanţă
 relevanţa probei: calitatea probei şi caracterul complet al acesteia

ATM – Master Securitatea Informaţiei 56

28
14 MANAGEMENTUL CONTINUITĂŢII AFACERII

 14.1 Aspecte de SI în managementul continuităţii afacerii


 OBIECTIV: să contracareze orice discontinuităţi în activităţile afacerii şi să protejeze
aspectele critice faţă de efectele căderilor majore ale sistemelor informaţionale sau
împotriva dezastrelor şi să asigure reluarea acestora în timp optim

 14.1.1 Includerea SI în procesul de management al continuităţii afacerii


 responsabilitatea procesului de management al continuităţii afacerii trebuie atribuită la un
nivel corespunzător în cadrul organizaţiei
 14.1.2 Continuitatea afacerii şi evaluarea riscului
 14.1.3 Dezvoltarea şi implementarea planurilor de continuitate incluzând SI
 trebuie să fie dezvoltate şi implementate planuri pentru a menţine şi restaura operaţiunile
şi pentru a asigura disponibilitatea informaţiei la nivelul cerut şi în timpul cerut în urma
întreruperii sau căderii proceselor critice ale afacerii
 14.1.4 Cadrul de planificare a continuităţii afacerii
 fiecare plan trebuie specifice o abordare progresivă şi condiţiile activării acestuia, precum
şi persoanele răspunzătoare de executarea fiecărei acţiuni din plan
 14.1.5 Testarea, mentenanţa şi reevaluarea planurilor de continuitate a afacerii
 planurile de continuitate a afacerii trebuie testate şi actualizate în mod regulat pentru a se
asigura că sunt eficiente şi adecvate

ATM – Master Securitatea Informaţiei 57

15 CONFORMITATE

 15.1 Conformitatea cu cerinţele legale


 OBIECTIV: să evite încălcarea oricărei legi, obligaţii statutare, de reglementare
sau contractuale sau oricărei alte cerinţe de securitate

 15.1.1 Identificarea legislaţiei aplicabile


 15.1.2 Drepturi de proprietate intelectuală
 15.1.3 Protejarea înregistrărilor în cadrul organizaţiei
 înregistrările importante trebuie protejate împotriva pierderii, distrugerii şi
falsificării acestora în conformitate cu cerinţele statutare, de reglementare,
contractuale şi de afaceri
 15.1.4 Protecţia datelor cu caracter personal şi confidenţialitatea
informaţiilor personale
 15.1.5 Prevenirea utilizării abuzive a sistemelor de procesare a informaţiei
 utilizatorii trebuie descurajaţi să folosească sistemele de procesare a
informaţiei în scopuri neautorizate
15.1.6 Reglementări privind măsurile criptografice

ATM – Master Securitatea Informaţiei 58

29
15 CONFORMITATE

 15.2 Conformitatea cu standardele şi politicile de securitate şi


conformitatea tehnică
 OBIECTIV: să asigure conformitatea cu standardele şi politicile de securitate
organizaţionale

 15.2.1 Conformitatea cu standardele şi politicile de securitate


 Managerii trebuie să se asigure că toate procedurile de securitate din
domeniul lor de responsabilitate sunt respectate în mod corect pentru a
obţine conformitatea cu standardele şi politicile de securitate
 exerciţiu – de citit din standard îndrumările pt. implementare
 15.2.2 Verificarea conformităţii tehnice
 sistemele informatice trebuie controlate în mod periodic pentru a fi conforme
cu standardele de securitate implementate
 dacă se recurge la teste de penetrare sau determinări ale vulnerabilităţii
trebuie manifestată prudenţă; aceste teste trebuie să fie planificate,
documentate şi reproductibile

ATM – Master Securitatea Informaţiei 59

15 CONFORMITATE

 15.3 Consideraţii privind auditul sistemelor informatice


 OBIECTIV: să maximizeze eficienţa procesului de audit şi să minimizeze
interferenţa acestuia asupra sistemelor informaţionale

 15.3.1 Măsuri privind auditul sistemelor informatice


 cerinţele de audit şi activităţile care implică verificări asupra sistemelor
operaţionale trebuie planificate cu grijă şi trebuie convenite astfel încât să
minimizeze riscul întreruperii proceselor de afaceri
 15.3.2 Protecţia sistemelor de audit pentru sistemele informaţionale
 dacă sunt implicaţi terţi, ar putea exista riscul utilizării abuzive a
instrumentelor de audit, precum şi al accesării de informaţii de către aceştia

ATM – Master Securitatea Informaţiei 60

30
ATM – Master Securitatea Informaţiei 61

EXERCIŢII PRACTICE

 Folosirea corespunzătoare a standardului ISO/IEC


27002:2005
 Exemplificarea unor categorii de securitate
 Exemplificarea unor obiective de control
 Detalierea unor controale de securitate din standard:

 Definiţia controlului
 Ghid de implementare
 Alte informaţii utile

ATM – Master Securitatea Informaţiei 62

31
CONCLUZII

 INTREBĂRI ALE CURSANŢILOR

SMSI  INTREBĂRI ALE LECTORULUI

 EXERCIŢII

ATM – Master Securitatea Informaţiei 63

32