www.referat.

ro

CERTIFICAREA SISTEMELOR DE MANAGEMENT AL SECURITII INFORMAIILOR 9.1. Sistemul de certificare 9.1.1. Cerine referitoare la certificarea Sistemului de Management Certificarea Sistemului de Management de Securitate al Informaiilor (SMSI) al unei organizaii constituie unul din mijloacele prin care se garanteaz, de ctre un organism specializat, c aceasta este capabil s in sub control factorii de risc afereni activitilor de procesare, stocare i transferare a informaiilor manipulate i a activitilor auxiliare care contribuie la realizarea securitii acestor informaii, precum i c a stabilit, implementat i realizeaz funcionarea, monitorizarea, ntreinerea i mbuntirea acestui Sistem de Management al Securitii Informaiilor. Nu este neaprat necesar certificarea unui sistem de management de ctre un organism specializat recunoscut n domeniu, uneori anumite pri interesate, de regul beneficiari, pot evalua sistemul de management n conformitate cu cerinele lor proprii iar aceast evaluare le confer suficient ncredere n serviciile oferite. Exist ns o serie de organisme de certificare care pot evalua i certifica sistemul, iar dac acestea au recunoatere internaional, certificarea obinut ofer credibilitate i o poziie privilegiat pe pia. Certificarea sistemelor de management al securitii informaiilor de ctre un organism de certificare se realizeaz pe baza unui audit de certificare. Acest organism este specializat, recunoscut drept competent i de ncredere pentru efectuarea certificrii unui anumit sistem de management. In unele ri organismele care evalueaz conformitatea sistemelor de management cu standardele specificate sunt la rndul lor evaluate pe baza unui referenial i apoi monitorizate de ctre o autoritate n domeniu. Aceste organisme se numesc organisme de certificare, n altele se numesc organisme de nregistrare sau organisme de evaluare i nregistrare. Noi vom folosi denumirea de Organism de Certificare i notaia prescurtat de OC. Auditul de certificare are ca scop evaluarea modului de implementare a sistemului de management, respectrii prevederilor documentelor de referin pentru sistemul de management care se dorete certificat, ale documentelor sistemului de management elaborate, adecvanei i eficacitii sistemului de management adoptat precum i a cerinelor legale i de reglementare aplicabile. Organismul de certificare este o organizaie care are propriile reguli de procedur i de management pentru efectuarea evalurii i care emite un document de certificare (pe care n aceast carte l vom numi certificat de conformitate) i dispune de proceduri proprii, specifice sistemului de management care urmeaz a fi

Certificarea sistemelor de management al securitii informaiilor

r certificat, elaborate pe baza unui anume standard de referin, care se constituie ca referenial unic, indiferent de organismul de certificare cu criterii comune de evaluare i inte prestabilite [72, 73]. Certificarea pentru un anumit sistem de management nu este echivalent cu autorizarea acordat de organele specializate ale statului pentru anumite activiti n condiiile legii. Organizaia cu sistemul de management certificat poart ntreaga rspundere pentru produsele/serviciile realizate/prestate i pentru inerea sub control a factorilor de risc identificai i nu se pot prevala de certificatul de conformitate a sistemului de management pentru a fi exonerai de rspundere sau pentru mprirea rspunderii n caz de urmrire penal, aa cum am specifica* n capitolul 1, 1.5. Rolul organismului de certificare este s evalueze modul n care organizaia auditat a stabilit, documentat, implementat i meninut proceduri i politici pentru identificarea, examinarea i evaluarea securitii informaiilor referitoare la ameninri, vulnerabiliti i impactul asupra afacerii organizaiei, precum i pentru evaluarea i reducerea riscurilor. Pentru aceasta OC va analiza dac organizaia poate demonstra c analiza ameninrilor este adecvat pentru funcionarea n condiii de securitate a organizaiei, n raport cu criteriile proprii definite, dac politicile stabilite sunt respectate i dac procedurile elaborate sunt implementate n mod adecvat. De asemenea, va verifica dac organizaia a identificat cerinele legale pe care trebuie s le respecte referitor la securitate, riscuri i impact i dac le respect efectiv, precum i modul n care msurile de securitate implementate (att pentru software ct i pentru hardware) sunt corecte din punct de vedere tehnic. -, Organizaia auditat poate s elaboreze documente comune cu celelalte forme d'management (calitate, mediu, sntate i securitate n munc etc.) cu condiia s identifice clar sistemele, activitile i interferenele (de exemplu proceduri de sistem, plan de acionare n caz de incendiu, de cutremur etc., o serie de nregistrri referitoare la personal, la accesul n incint, evaluarea subcontractanilor, satisfacia clienilor etc.). Un astfel de sistem se numete, aa cum am mai specificat, sistem de management integrat (SMI). Chiar dac sistemul funcioneaz n mod unitar, integrat, i auditarea de certificare se face dup acelai referenial [71], la aceast dat, n Romnia, sistemele de management se auditeaz i certific separat. Certificarea se poate solicita (i acorda) pentru ntreaga organizaie, pentru toate activitile desfurate sau pe un anumit domeniu de activitate, pentru un anume serviciu sau produs oferit sau pentru au anumit beneficiar (de exemplu pentru o organizaie care ofer anumite servicii pentru armat sau guvern, ntr-o locaie separat de restul activitilor ei, cu personal i sisteme de calcul separate). Documentul de certificare emis de organismul de certificare este valabil un numr de ani care poate s fie diferit de la OC la OC, perioad n care sunt efectuate un numr de audituri de supraveghere periodice, planificate de ctre acesta. "9.1.2. Cerine pentru organizaiile care solicit certificare

Certificarea sistemelor de management al securitii informaiilor

Pentru certificarea sistemului de management al securitii informaiilor unei organizaii se parcurg mai multe etape adaptate necesitilor organizaiei i cerinelor referenialului, care pot s difere de la un organism de certificare la altul. Organismul de certificare, aa cum am mai specificat, are procedur proprie de certificare elaborat n conformitate cu referenialul valabil la un moment dat, pentru un anumit sistem de management i care s permit organizaiei evaluate s demonstreze c i-a efectuat auditurile interne proprii, c procedurile, politicile i programele de securitate elaborate n raport cu cerinele standardului de referin pentru certificare sunt complete, operaionale i implementate, c ine sub control ntregul sistem de management, inclusiv riscurile i incidentele de securitate. El nu ofer modele de implementare, proceduri sau nregistrri, ci numai stabilete msura n care organizaia respect standardul de referin, solicitrile i obiectivele stabilite, c interferenele dintre servicii i activiti sunt complet identificate i incluse n evaluarea riscurilor de securitate. n cazul n care organizaia are mai multe locaii (i are cel puin locaia de baz i o locaie secundar n care pstreaz copiile de siguran arhivate, aa cum am prezentat n capitolul 7, pregtit pentru reluarea activitii n caz de dezastru), organismul de certificare va evalua sistemul de management al securitii la nivelul fiecrei locaii i va ine seama de interaciunile dintre activitile organizaiei i dintre procesele critice. Condiiile pe care trebuie s le ndeplineasc organizaiile care solicit certificarea sistemelor de management conform SR EN ISO 45012:2000 [73] sunt: - s-i identifice necesarul de certificare i s aleag organismul pentru certificarea sistemului, precum i necesarul de documente; - s-i elaboreze i implementeze efectiv documentele de care are nevoie; s fac dovada c sistemul de management este implementat i funcioneaz efectiv, c este adecvat i eficient; s ia msuri pentru a-i proteja informaiile sensibile dar n acelai timp s nu mpiedice auditarea unor anumite zone sau domenii; s colaboreze permanent n mod deschis i constructiv cu echipele de audit ale organismului de certificare n desfurarea procesului de auditare pentru certificare i respectiv, de supraveghere, dup acordarea certificatului de confonnitate a sistemului de management; s respecte reglementrile obligatorii, valabile domeniului pentru care solicit certificare, att n timpul procesului de certificare i de supraveghere pn la acordarea certificatului, ct i pe toat durata valabilitii acestuia, aa cum s-a angajat prin politica de conformitate. Dup obinerea certificrii, organizaia are o serie de obligaii contractuale fa de organismul de certificare dintre care menionm: - s nu utilizeze certificatul n mod abuziv; s fac referire la certificare numai pentru domeniile de activitate i locaiile pentru care a fost certificat sistemul de management i numai pe perioada valabilitii certificatului; s informeze n scris organismul de certificare despre toate modificrile care intervin n statutul su legal, n structura organizatoric, despre modificrile majore ale sistemului de management adoptat, ntreruperea activitii mai mult de ase luni pentru analizarea oportunitii unor aciuni suplimentare, eventuale accidente i situaii de urgen aprute etc.;

Certificarea sistemelor de management al securitii informaiilor

- s nregistreze i s pun la dispoziia organismului de certificare datele referitoare la incidentele i neconformitile semnalate de prile interesate referitoare la factorii de risc asociai securitii sistemelor i activitilor proprii pentru realizarea produselor, serviciilor livrate precum i a activitilor auxiliare, i 9.1.3. Cerine pentru organismul de certificare Exist o serie de condiii impuse prin standardul de referin pentru organismele care evalueaz i certific sisteme de management. Valabil la aceast dat n Romnia este standardul romn SR EN 45012:2000 Criterii generale pentru organisme care efectuaz evaluarea i certificarea/nregistrarea sistemelor calitii (ISO/CEI Guide 62/1996) identic cu standardul European EN 45012:1998, care, dei se refer numai la sisteme de management ale calitii se aplic i pentru sisteme de management de mediu, sisteme de management sntate i securitate ocupaional, managementul securitii informaiilor. n viitorul apropiat va fi adoptat un nou standard ISO/IEC care va nlocui ISO/CEI Guide 62/1996, aplicabil pentru organismele care certific orice tip de sistem de management. Acesta este ISO/CEI 17021 cu dou pri, una aliniat cu prevederile ISO/CEI 9001:2000 iar cealalt aliniat cu prevederile ISO/CEI 19011:2002. \ Standardul SR EN 45012:2000 are o seciune ntreag, Seciunea 2, care cuprinde cerine pentru organismul de certificare referitoare la organizarea ace3tuia, la existena unui sistem al calitii propriu documentat, implementat i meninut, condiii pentru acordarea, meninerea, extinderea, restrngerea, suspendarea i retragerea certificrii, confidenialitate, personal competent, calificat i selectat conform procedurii prezentat n capitolul 8 (8.3.3) etc. Nu vom relua din standard acest capitol referitor la cerinele impuse OC, el poate fi uor consultat de ctre cei interesai i nu reprezint o direcie de studiu n aceast lucrare. Dintre cerinele principale impuse se detaeaz urmtoarele [73]: imparialitate: ameninrile tipice la adresa imparialitii pot fi considerate interese n organizaia pe care o evalueaz, familiaritatea cu membrii acesteia, intimidarea din partea organizaiei sau concurenei, incapacitatea de analiz proprie, ncrederea excesiv; OC trebuie s rmn imparial i nu are voie s certifice alte organisme de certificare, s ofere consultan pentru implementarea unor-, sisteme de management sau s angajeze personal care ofer consultan pentru auditul de certificare; competen: se refer numai la competena personalului care efectueaz auditurile pentru certificare iar despre competena auditorilor am oferit detalii n capitolul precedent; - responsabilitate, pentru aciunile i deciziile sale referitoare la acordarea, meninerea, extinderea, restrngerea, suspendarea sau retragerea certificrii, inclusiv responsabilitii juridice; - transparen: OC trebuie s asigure acces public la o serie de informaii, despre procesele de audit, procesele de certificare i nivelul de certificare al organizaiilor evaluate, respectiv stadiul certificrii, sistem de management certificat, certificat meninut, restns domeniul certificat; sau certificat suspendat;

Certificarea sistemelor de management al securitii informaiilor

-confidenialitate: accesul la informaiile cu caracter privat despre clieni i organizaiile certificate trebuie meninut i trebuie s pstreze confidenialitatea tuturor informaiilor scrise sau nescrise obinute n timpul certificrii de conformitate; - capacitatea de a discerne, de a nelege nevoile specifice i de a rezolva conflictele. Organismul de certificare trebuie s respecte reglementrile aferente procesului de certificare, s elaboreze proceduri i reguli proprii de certificare care s fie n conformitate cu cerinele legale aplicabile i s fac cunoscute regulile de certificare (proceduri, regulamente) organizaiilor care solicit certificarea OC este obligat s informeze solicitanii de certificare despre orice modificare a procedurii sale de certificare intervenite n cursul desfurrii contractului care l-ar implica din punct de vedere procedural i financiar. De asemenea, trebuie s aplice un sistem de management propriu n concordan cu domeniul activitilor desfurate, sistem evaluat de ctre un organism de acreditare recunoscut la nivel naional i/sau internaional. 9.1.4. Contestaii, reclamaii referitoare la certificare Conform standardului cu criterii pentru organismele care efectueaz evaluarea i certificarea sistemelor de management [45012], organismul de certificare trebuie s dein proceduri proprii pentru tratarea contestaiilor i reclamaiilor prezentate de clieni sau de alte pri interesate. El trebuie s dein nregistrri ale tuturor apelurilor, contestaiilor, reclamaiilor i aciunilor de remediere luate, s ntreprind aciuni corective i preventive adecvate i s evalueze eficacitatea lor. Organismul de certificare este obligat s documenteze toate aciunile ntreprinse i s evalueze eficacitatea lor. mpotriva deciziilor privind refuzul certificrii sistemului de management evaluat, organizaiile solicitante pot face contestaie la organismul de certificare dup comunicarea oficial, iar soluionarea contestaiilor se face conform unei proceduri specifice, de ctre o comisie specializat, de exemplu o comisie de apel. Reclamaiile privind activitatea echipelor de audit se trateaz de personalul desemnat de conducerea organismului de certificare i se soluioneaz ntr-un termen ct mai scurt, prestabilit de ctre acesta. 9.1.5. nregistrri privind certificarea Organismul de certificare menine un sistem de nregistrare adecvat activitii sale i aliniat reglementrilor existente. nregistrrile se refer n special la formularele de cerere, rapoarte de evaluare, documente referitoare la acordarea, meninerea, extinderea, restrngerea, suspendarea sau retragerea certificrii. Toate aceste nregistrri trebuie s fe identificate unic, administrate i retrase astfel nct s se asigure integritatea procesului i confidenialitatea informaiilor. Toate documentele aferente procesului de certificate se constituie n dosare de certificare, identifcate printr-un cod unic pentru fiecare, solicitant. Organismul de certificare pstreaz aceste dosare pe o durat care s permit demonstrarea ncrederii pentru cel puin un ciclu de certificare, conform legii.

Certificarea sistemelor de management al securitii informaiilor

Accesul la dosarele de certificare se face n conformitate cu reglementrile legale privind confidenialitatea informaiilor i numai cu acordul scris al solicitantului de certificare i al conducerii organismului de certificare. OC trebuie s aib nelegeri adecvate n conformitate cu legislaia aplicabil, n vigoare, pentru garantarea confidenialitii tuturor informaiilor obinute n cursul activitilor de certificare, la toate nivelurile sale, inclusiv comitetele i organismele sau persoanele care acioneaz n numele su. n cazul unor aciuni penale, atunci cnd legea oblig la dezvluirea unor informaii ctre organele legale, OC este obligat s ntiineze furnizorul informaiilor asupra acestui aspect, att'ct legea permite. 9.2. Etapele certificrii sistemelor de management a securitii informaiilor Certificarea Sistemelor de Management al Securitii Informaiilor se realizeaz pe baza unui audit de certificare, conform standardului romn SR-EN-ISO 19011:2003 Ghid pentru auditarea sistemelor de management al calitii i/sau de mediu, a BS ISO/IEC 27001:2005: Information technology -Security techniques Information security management systems Requirements i a ghidului de bune practici referitor la sistemul de management al securitii, BS ISO/IEC 17799:2005: Information technology Security techniques - Code of practice for information security management [13, 14, 71]. Modul de desfurare al auditului i cerinele impuse pentru competena i instruirea auditorilor au fost prezentate n capitolul precedent. n acest capitol prezentm numai aspectele care se au n vedere la certificarea sistemului de management al securitii informaiilor. Auditul de certificare al SMSI se desfoar n 2 etape principale, fiecare cu mai multe faze i cu obiective distincte care vor fi prezentate n continuare. 9.2.1. Etapa I de audit n prima etap de audit se realizeaz activiti de audit pentru nelegerea sistemului de management al organizaiei solicitante, n contextul identificrii i evalurii riscurilor asociate activitilor, politicilor, obiectivelor i n special gradului de pregtire al acesteia pentru etapa a Il-a. Aceast etap se bazeaz, dar nu se limiteaz, pe examinarea i analiza documentelor sistemului de management. Auditul va insista pe examinarea modului de identificare i evaluare a factorilor de risc i stabilirea legturilor acestora cu celelalte elemente ale sistemului de management. Aceast evaluare a documentelor sistemului de management se poate face la sediul OC sau la sediul solicitantului, dup cum estimeaz responsabilul de contract de certificare. Uneori, chiar dac documentele sunt analizate la sediul OC, este necesar cel puin o vizit la locaia principal a auditatului pentru nelegerea modului de desfurare al activitii auditatului. Acest audit se desfoar dup ce organizaia care dorete certificarea transmite ctre organismul de certificare o cerere de intenie privind certificarea sistemului de management iar acesta transmite solicitantului mapa de documente constituit din:

Certificarea sistemelor de management al securitii informaiilor

- model de cerere pentru certificarea sistemului de management; - chestionar de informare i evaluare preliminar; - reguli generale privind certificarea sistemului de management. Aceast list nu este limitativ i nici obligatorie. Solicitantul completeaz cererea pentru certificare n conformitate cu modelul transmis (poate fi i electronic) i o expediaz la organismul de certificare, nsoit de rspunsurile la chestionarul de informare i evaluare preliminar. n paragraful 9.6 va fi prezentat un model de chestionar de informare i evaluare preliminar. Pe baza analizei documentelor primite, organismul de certificare stabilete i notific solicitantului durata i tariful aferent primei etape de evaluare preliminar. Dup confirmarea efecturii plii de ctre solicitant, o echip de audit a organismului de certificare analizeaz documentele primite i eventual efectueaz vizita de evaluare preliminar la sediul solicitantului, care are ca scop: - analiza documentelor sistemului de management care susin rspunsurile la chestionarul de informare i evaluare preliminar; -cunoaterea solicitantului, a organizrii acestuia i a specificului domeniului tehnic implicat n certificare; -stabilirea tuturor detaliilor necesare (precizri asupra domeniului de activitate solicitat la certificare, a documentelor suplimentare necesare, termene i a cerinelor legale de reglementare) n vederea ntocmirii contractului i planificrii etapei II de audit; - stabilirea modului de realizare a unei comunicri eficiente i rapide ntre organism i solicitant pe perioada colaborrii. Pe baza analizei documentelor prezentate i a constatrilor fcute cu ocazia vizitei, organismul de certificare ntocmete i transmite solicitantului un raport de evaluare preliminar, n care se recomand, n funcie de gradul de documentare i implementare a sistemului de management, sistarea sau continuarea aciunii de certificare. - n cazul n care concluzia raportului de evaluare preliminar este favorabil continurii aciunii de certificare, organismul de certificare ntocmete i transmite solicitantului proiectului de contract pentru a doua etap de audit, care l analizeaz, semneaz i l retrimite la organismul de certificare. n cazul n care sunt observaii referitoare la completitudinea sau coninutul documentelor, solicitantul analizeaz raportul de examinare i efectueaz modificrile/completrile necesare pe care le retransmite organismului de certificare n ediia modificat/completat. Pot fi i situaii n care se recomand amnarea auditului de certificare i reluarea primei etape de audit, dup completarea documentelor de sistem. 9.2.2. Etapa II de audit n etapa a doua, auditul are drept scop evaluarea modului de implementare i eficacitatea sistemului de management i conformitatea cu cerinele standardului de referin i ale documentelor proprii elaborate. Aceast etap are ca obiective:

Certificarea sistemelor de management al securitii informaiilor

- confirmarea c organizaia auditat aplic politicile, obiectivele i procedurile proprii, declarate; - confirmarea c SMSI este conform cu toate reglementrile standardelor de referin [28, 29]. n desfurarea auditorilor, auditorii utilizeaz fie de verificri sau chestionare de audit, elaborate n funcie de prevederii".tar.dardului de referin adoptat ca model (la aceast dat valabil pentru sistemul de management al securitii sistemelor de informaii BS ISO/IEC 27001:2005, aa cum am mai specificat). Aceste fie de verificri sunt elaborate de auditor iar referenialul nu impune limitri n ceea ce privete numrul i amploarea ntrebrilor puse de acetia pe parcursul auditului. Acest audit se desfoar conform cu un plan de audit aprobat de organizaia solicitant de certificare, urmnd procedura i etapele descrise n capitolul anterior i se ncheie cu un raport de audit n care se recomand certificarea, amnarea sau reluarea auditului. Informaiile necesare pentru concluziile auditului se obin prin interviuri cu conductorii i personalul locurilor de munc evaluate i, pentru a fi ct mai corecte i obiective, sunt verificate i prin alte surse independente cum ar fi observaiile fizice, compararea cu nregistrri existente, att pe suport de hrtie ct i electronic, aa cum am specificat n capitolul 8,5 8.5.4. n cazul depistrii unor neconformiti acestea sunt nregistrate. Neconfor-mitile pot fi, aa cum am mai specificat n capitolul 8, 8.10.2, majore sau minore. Prin neconformitate major se nelege nesatisfacerea condiiilor specifice referitore la absena, nefuncionarea sau neadecvarea unuia sau mai multor elemente ale sistemului de management n raport cu standardul de referin i/sau a cerinelor legale de reglementare. Prin neconformitate minor se nelege nesatisfacerea condiiilor specifice referitoare la abateri izolate sau sporadice de la cerinele sistemului de management care, dac nu sunt eliminate, ar putea duce la ineficienta acestuia iar prin cumularea crora nu se pot produce neconformiti. n urma auditurilor se mai pot nregistra i observaii. Prin observaie se nelege o abatere fr semnificaie, acceptabil, singular, care ar putea conduce, prin recuren, la o neconformitate minor. Deciziile referitoare la ncadrarea neconformitilor i acordarea certificrii atunci cnd au fost nregistrate neconformiti este stabilit de fiecare organism de certificare n parte. Astfel exist organisme care nu acord certificatul dac a fost nregistrat o singur neconformitate major, altele admit o neconformitate major dar nu mai mult de trei neconformiti minore, dar sunt i organisme de certificare care contabilizeaz numai observaiile i nu Ie ncadreaz n tipuri de neconformiti, sau acord calificative cum ar fi ndeplinit, ndeplinit numai parial, acceptabil, parial nendeplinit i respectiv, nendeplinit conform urmtoarei evaluri: -ndeplinit - sistemul (i documentele) sunt bine gndite, cerinele sunt respectate i abordarea depete nivelul standardului; ndeplinit numai parial - sistemul este documentat i se implementeaz satisfctor; acceptabil- sistemul respect cele mai multe din cerinele standardului, are deficiene minore, dar sistemul este numai teoretic;

Certificarea sistemelor de management al securitii informaiilor

-parial nendeplinit - sistemul aplicat prezint neconformiti, dar exist posibiliti de mbuntire; - nendeplinit - sistemul nu este aplicat i nici nu exist planuri concrete de implementare. O alt metodologie de prezentare a rezultatelor evalurii furnizeaz concluzii de genul: - aprobat - dac au fost identificate numai neconformiti minore pentru care auditatul se angajeaz s ia msuri corective imediate; -aprobat temporar - nu au fost identificate neconformiti, ci numai observaii iar auditatul este de acord s ia msuri corective n termen de 30 zile de la reuniunea de nchidere. Se urmrete modul de aplicare al aciunilor corective. - respins - neconformiti majore, critice. Sistemul este neadecvat. Considerm c pentru evaluarea SMSI este dificil de clasificat neconformitile constatate n urma evalurii n neconformiti majore i minore, i c se poate face o evaluare mai sensibil dac se utilizeaz o alt metod de notare a rezultatelor evalurii. ; < Metoda de evaluare pe care o propunem are la baz o list de verificare elaborat de auditor ca un chestionar de audit, poate cuprinde ca cerine evaluate toate cele 133 clauze i subclauze din Anexa 1 a referenialului 27001 (care face sinteza lui 17799), cuprinse n declaraia de aplicabilitate a organizaiei (dup modelul prezentat n capitolul 4, tabelul 4.2, pag. 154+-175). Pentru fiecare din cerinele evaluate se acord un punctaj cuprins ntre 0 i 4 cu urmtoarea semnificaie: 0 - clauza nu a fost identificat ca neaplicabil n SoA, dar nu este abordat n cadrul sistemului; - 1 - pentru clauza respectiv a fost elaborat o procedur sau politic dar este incomplet i nu se iau msuri pentru satisfacerea cerinei identificate; 2 - au fost elaborate documente, sunt complete, dar nu se aplic; 3 documentele elaborate sunt complete, se aplic dar nu pot fi prezentate dovezi ale monitorizrii modului de implementare; 4- documentele sunt complete, se aplic n totalitate i pot fi prezentate dovezi ale monitorizrii modului de implementare. \Dac la o singur cerin nota este sub 2, sistemul nu se certific. De asemenea nu se certific sistemul pentru care nu a fost obinut un punctaj mai mare dect 2 x numrul de note acordate. mbuntirea punctajului se poate face numai n uima unei reevaluri. -Un exemplu list de verificare pentru clauza 11.5 din 17799 Controlul accesului la sistemul de operare este prezentat n tabelul 9.1 [9, 15]. De fiecare dat cnd se nregistreaz o not sub 2 se identific procesul, zona, operaia i echipamentul persoanelor intervievate i elementul sistemului de management nendeplinit conform documentului de referin, se consemneaz toate aceste dovezi i se discut cu reprezentanii organizaiei auditate toate problemele constatate, nainte de elaborarea raportului de audit, aa cum am detaliat n capitolul 8, 8.6. Echipa de auditori va evalua: a) modul n care organizaia a identificat, analizat i evaluat riscurile referitoare la securitate i cum aceast evaluare ofer rezultate

Certificarea sistemelor de management al securitii informaiilor

10

comparabile i reproductibile; b)existena urmtoarelor documente, impuse de ISO/IEC 27001: - politica/politicile de securitate i obiectivele sistemului de management; - proceduri i msuri de securitate; - metodologia proprie de evaluare a riscurilor; - raportul de evaluare a riscurilor; - planul de tratare a riscurilor (conform tabelului 4.3 din capitolul 4); -proceduri pentru planificarea, funcionarea i controlul proceselor de securitate; - metodologia de evaluare a eficacitii msurilor de securitate; - declaraia de aplicabilitate (SoA), conform capitolului 4, tabelul 4.2. - nregistrri care s dovedeasc aplicabilitatea i modul de implementare a sistemului declarat. Aceste nregistrri pot fi pe orice suport i n orice format. Tabelul 9.1 Model de list de verificare cu notare Nota pentru gradul de ndeplinire

Nr . crt .

Cerina evaluat

Comentarii

0 1 2 3 4 exist procedur i politic, X dar cu multe privilegii, dificil de controlat X pentru toi utilizatorii exist IP propriu X parolele utilizatorilor suni compuse din 8 caractere i se schimb la 6 luni, iar ale AS i OS sunt din cte 1012 caractere, complexe exist utilitare, dar nu pot fi 4 Folosirea de X utilitarelor folosite dect de AS i sunt sistem aplicate msuri de securitate (sunt achiziionate de la firme recunoscute, exist firewall) nu se aplic prevederile 5 Pauze de sesiune X politicii de nchidere a sesiunii active dup 15 minute de inactivitate Limitarea timpului n politic este prevzut, 6 de conectare X dar fizic nu se realizeaz 1 Proceduri securizate de conectare Identificarea 2 autentificareai utilizatorului 3 Sistemul de management al parolelor c)selectarea obiectivelor i msurilor pentru evaluare i tratarea riscurilor; d)realizarea i coninutul auditurilor interne i a analizei de management; e)corespondena ntre politica i obiectivele declarate, declaraia de aplicabilitate i rezultatele evalurii de risc i a proceselor de tratare a riscurilor;

Certificarea sistemelor de management al securitii informaiilor

11

f) gradul de implementare a msurilor de securitate, modul de msurare a efectivitii lor; g)programe, procese, proceduri, nregistrri, audituri interne, analize care s garanteze trasabilitatea i faptul c deciziile managementului sunt n concordan cu politica i obiectivul SMSI. Certificatul de conformitate semnat de reprezentantul legal al OC, mpreun cu raportul de audit se transmise solicitantului de certificare n termenul cel mai scurt posibil, mpreun cu instruciunile referitoare la utilizarea acestora. 9.2.3. Auditul de supraveghere Organismul de certificare va efectua audituri de supraveghere i recerti-ficare la intervale regulate, apropiate pentru a verifica msura n care organizaia certificat continu s respecte cerinele avute n vedere la certificarea iniial. Perioada adoptat de cele mai multe organisme de certificare pentru auditurile de supraveghere este de un an. Programul auditului de supraveghere include: -verificarea modului n care obiectivele asumate de organizaia auditat referitor la securitate sunt ndeplinite; - auditurile interne, analizele interne de securitate, analiza de management, aciunile preventive i corective efectuate; - feedback-ul de la prile externe referitor la modul n care sunt respectate cerinele documentelor de securitate i normativele specifice; - modificri ale documentelor sistemului; - zonele n care au avut loc modificri; - modul n care este evaluat i analizat periodic conformitatea cu cerinele legale aplicabile; - aciunile efectuate pentru rezolvarea neconformitilor sau observaiilor rmase de la ultimul audit. Auditul de supraveghere se poate combina cu audituri ale altor sisteme de management dar n raportul de audit se vor explicita aspectele relevante, distinct pentru fiecare sistem de management auditat. Perioada de valabilitate a certificatului de conformitate a sistemului de management este de 3-5 ani n condiiile supravegherii efectuate de organismul de certificare. Aciunea de supraveghere se efectueaz pe baza unui act adiional Ia contractul de certificare, ncheiat la data emiterii certificatului de conformitate i se realizeaz prin audituri de supraveghere programate i chiar prin audituri suplimentare. Auditurile suplimentare sunt iniiate de organismul de certificare n urmtoarele cazuri: a) la notificarea organismului de certificare de ctre titularul certificatului asupra: - modificrii statutului su legal; - modificri intervenite n structura sa organizatoric (procese, personal); -sistemului propriu n cazul modificrii condiiilor de certificare ale organismului de certificare; - modificrii majore ale sistemului de management implementat;

Certificarea sistemelor de management al securitii informaiilor

12

- ca aciune corectiv n urma suspendrii certificatului. b) n cazul primirii la organismul de certificare a unor reclamaii sau informaii referitoare la sistemul de management certificat, inclusiv la obiectul activitii acestuia, n cazul apariiei unor situaii de urgen, accidente sau incidente cu impact semnificativ asupra afacerii. 9.3. Rennoirea, suspendarea i retragerea certificrii, extinderea sau restrngerea domeniului certificat Titularul unui certificat de conformitate emis de un OC are dreptul de a solicita rennoirea certificrii, extinderea sau restrngerea domeniului de activitate pentru care a obinut certificatul de conformitate. Rennoirea sau extinderea''certificrii de conformitate a sistemului de management al organizaiei se efectueaz de ctre organismul de certificare la solicitarea oficial a titularului, transmis cu cel puin 45^60 de zile naintea datei expirrii, tot pe baza unui audit de certificare, procednd la o nou evaluare, complet a sistemului de management. Restrngerea certificrii se poate realiza i la propunerea auditorului ef, n urma unuiaudit de supraveghere, la care s-a constatat c organizaia nu mai dispune de capa'hilitatea de a satisface condiiile de certificare pentru toate activitile din domeniul certificat. Certificatul de conformitate poate fi suspendat dac n arma auditorilor de supraveghere se constat apariia unor neconformiti majore fa de cerinele prevzute pentru certificare, sau dac titularul certificatului de conformitate se afl ntr-una din situaiile urmtoare: - nu a acceptat desfurarea auditului de supraveghere la termenele prevzute la acordarea certificatului de conformitate; -au aprut modificri n sistemul de certificare al oiganismului de certificare; -nu a anunat organismul de certificare asupra unor modificri importante survenite n structura organizatoric sau a documentaiei sistemului de management certificat; . - nu a respectat obligaiile financiare fa de organismul de certificare; -nu poate prezenta nregistrri privind modul de tratare a reclamaiilor referitoare la produsele/serviciile realizate n domeniul certificat. La recomandarea auditorului ef i pe baza analizei dovezilor obiective puse la dispoziie de acesta, Comisia de Certificare (sau Comitetul Tehnic) a organismului de certificare decide suspendarea certificatului de conformitate pentru ntreg domeniul i/sau pentru o parte a acestuia pe o perioad determinat de timp. Anularea suspendrii certificatului se va face la cererea titularului certificatului dup finalizarea aciunilor corective i verificarea de ctre organismul de certificare a eficienei acestora (nlturarea cauzelor suspendrii). Perioada de timp stabilit pentru suspendare nu modific perioada de valabilitate a certificatului de conformitate acordat. Retragerea certificatului de conformitate se face n urmtoarele cazuri: - dac titularul certificatului de conformitate nu a rezolvat neconformitile care au determinat suspendarea certificatului de conformitate, n termenul stabilit de la notificarea suspendrii,

Certificarea sistemelor de management al securitii informaiilor

13

- ncetarea activitii economice de ctre titular; - la solicitarea expres a titularului certificatului. Decizia privind retragerea certificatului de conformitate este luat de Comisia de Certificare (sau Comitetul Tehnic) a organismului de certificare. Dreptul de utilizare a certificatului de conformitate se acord parcurgnd procedura de certificare, de la etapa de contractare pn la acordarea certificatului de conformitate. 9.4. Modul de tarifare Tarifarea pentru activitile de certificare o efectuaz OC pe baza unor proceduri proprii. De regul, se stabilete durata fiecrei etape de audit i componena echipei, avnd n vedere c echipa trebuie constituit din cel puin 2 auditori i un expert tehnic pe probleme de tehnic de calcul. Se stabilete de ctre orgi.l^uu] de certificare tariful orar pentru activitile desfurate i formula de calcul pentru stabilirea valorii contractului. Procedura de calcul i formulele sunt diferite pentru diferite activiti desfurate i sunt aceleai pentru toate organizaiile certificate, dar elementele considerate i factorii de corecie aplicai fac distincie ntre valorile pltite de fiecare contractant. La stabilirea duratei auditului, competena auditorilor i preul solicitat de organismul de certificare se ine seama de complexitatea proceselor auditate, de numrul de angajai, de numrul de locaii i de staii de lucru, i ali factori specifici. In tabelul 9.2 sunt prezentai o serie de factori care pot fi luai n calcul la stabilirea complexitii organizaiei. n exemplul dat se consider numai 3 categorii de complexitate: H (mare), M (medie) i L (mic) pentru fiecare factor propus [28, 29],

Certificarea sistemelor de management al securitii informaiilor

14

Tabelul 9.2 Factori care pot fi luai n calcul la stabilirea complexitii organizaiei

Nr.FactorulCategoriacrt.de complexitateLMH1Numr de angajai, inclusiv conducerea<200>200> 10002-'Numr de utilizatori<200>200> lmil.3Numr de utilizatori privilegiai<10> 10> 1004Numr de locaii1> 2 > 5 Volumul i tipul informaiilor procesate n organizaie. 5Numr de servere< 10> 10> 1006Numrul staiilor de lucru din locaia principal<50>50>300l.Numr de staii de lucru de la distan sau la domiciliu< 5 > 5 > 1008Echipamente auxiliare pentru funcionarea sistemelor 1T (inclusiv imprimante, UPS etc.)< 100> 100> 10009Numr de aplicaii dezvoltate i ntreinute<20>20> 100Numr de reele interne< 2 2 >2011Conexiunea la Internetseparat total dc reele interneseparat parial de reele interneAcces total din toate reele interne.12Importana conformrii cu reglementrile legalepenaliti nesemnificative; - defectri mici.-penaliti semnificative; - defectri mici.Posibile urmriri penale.13 Manipuleaz informaii clasificateNuNumai informaii confideniale.Da14Gradul de implicare a unor tere priNuPentru anumite operaii.Colaboratori externi.

Durata total a auditului se calculeaz ca sum a urmtoarelor durate: 1 - durata auditului iniial, considerat pentru cerinele SMSI, n funcie de numrul de angajai, conform tabelului 9.3; Tabelul Durata auditului iniial Nr. angajai Durata auditului iniial 2 - durata auditului efectiv (2+4 zile); 3-1+3 zile pentru analiza documentelor; 4-1+3 zile pentru elaborarea raportului; 5- timp suplimentar pentru alte locaii auditate; 6- eliberarea certificatului; 7- n funcie de categoria de complexitate se mai adaug 1 zi pentru complexitate H i 1/2 zi pentru M. L acestea se adaug timpul necesar pentru deplasarea pn la sediul organizaiei sau ntre locaii, dac este cazul. Auditurile de supraveghere, cele pentru extinderea domeniului de cuprins n certificat i auditurile suplimentare se tarifeaz separat i se ncheie contract separat sau un act adiional la contractul de baz.

Certificarea sistemelor de management al securitii informaiilor

15

9.5. Utilizarea certificatelor Organismul de certificare supravegheaz modul de utilizare a certificatelor pe care le emite i pune la dispoziia titularilor de certificate, odat cu nmnarea certificatului, o copie a Regulamentului de utilizare a certificatelor elaborat de organismul de certificare, care precizeaz urmtoarele obligaii ale titularului referitor la utilizarea certificatului de conformitate. - s dedare c este certificat numai n raport cu acele activiti pentru care i-a fost acordat certificarea; -n toate referirile Ia certificatul emis de organismul de certificare s precizeze documentul de referin n baza cruia s-a certificat conformitatea; - s nu utilizeze certificatul emis pentru a demonstra conformarea la cerinele legale i de reglementare; -s nu utilizeze certificatul emis de organismul de certificare n scopuri publicitare, pentru alte domenii de activitate i/sau alte locaii n afara celor nscrise pe acesta; - s nceteze imediat utilizarea certificatului emis de organismul de certificare pe toat durata suspendrii sau dup retragerea certificatului. n cazul n care se constat utilizarea abuziv a certificatului de conformitate OC este obligat s ia msuri corespunztoare care pot 9 n funcie de . numrul de 3 angajai 426 - 625625 - 875876- 11751176-15501551 -20022003-25601i1i5451 -68001011121314151617181920 merge pn la retragerea certificatului, publicarea infraciunii sau aciuni legale adecvate. 9.6. Exemplu de chestionar de informare i evaluare preliminar Chestionarul de informare i evaluare preliminar pe care l propunem ca exemplu cuprinde 2 categorii de informaii: generale i specifice sistemului de management al securitii informaiilor pentru care se dorete certificarea. El poate fi completat att pe hrtie ct i on-line i trimis OC chiar i pe Internet. A. INFORMAII GENERALE 1.Denumirea organizaiei 2.Adresa organizaiei - Sediul principal - Locaia secundar 3.Statutul juridic t4. Numrul de nregistrare la Registrul Comerului 5. Cod fiscal 6. Cont bancar i denumirea bncii 7. Codul Unic de nregistrare (CUI)

Certificarea sistemelor de management al securitii informaiilor

16

8. Nume/telefon/fax pentru: .f - Reprezentantul legal v - Directorul general , - Directorul economic -Directorul pentru sisteme de management integrat/responsabil cu managementul securitii informaiilor persoana de legtur cu organismul de certificare 9. Domeniu! de activitate .10. Structura organizatoric a organizaiei (funcii, compartimente subordonate, reele Intranet) 11. Documentele care o descriu (ROF, organigram, RI, manual sistem de management al calitii, politici i proceduri referitoare la alte sisteme de management certificate, dup caz) 12. Numr total de angajai (permaneni/temporari, la distan), din care: - conducere (directori, efi departamente) *- personal tehnic cu studii superioare _ - personal angajat n departamentul IT -personal tehnic cu studii medii (maitri, tehnicieni) - personal muncitor - alte categorii de personal. B. INFORMAII SPECIFICE SISTEMULUI DE MANAGEMENT AL SECURITII INFORMAIILOR 13. Care este stadiul documentrii i implementrii sistemului de management al securitii informaiilor? 14. Care sunt categoriile de documente care alctuiesc documentaia sistemului de management al securitii informaiilor? 15. Este definit i documentat politica la vrf i alte. politici specifice n domeniul securitii sistemelor de informaii al organizaiei? 16. Care sunt obiectivele generale i specifice n domeniul securitii informaiilor organizaiei dvs.? 17. Ai identificat i evaluat vulnerabilitile i ameninrile pentru toate activele din organizaie? 18. Deinei proceduri i metode de identificare i evaluare a vulnerabilitilor, ameninrilor i riscurilor asociate securitii informaiilor? 19. Ai efectuat scanri ale vulnerabilitilor sistemului informatic? 20. Avei angajat colaborarea cu un expert pentru scanarea vulnerabilitilor i pentru determinarea nivelurilor de risc? 21. Ai identificat i evaluat riscurile aplicabile tuturor proceselor desfurate n organizaie? 22. Ai stabilit nivelul riscului rezidual acceptabil pentru toate activele din organizaie de risc acceptabile? 23. Ai identificat acele operaii i activiti pentru care nu pot fi reduse riscurile sub un nivel acceptabil? Ce msuri ai adoptat pentru securizarea acestor operaii?

Certificarea sistemelor de management al securitii informaiilor

17

24. Prin ce mijloace asigurai comunicarea i consultarea intern n cadrul organizaiei dvs., n legtur cu riscurile, cu elaborarea i revizuirea politicilor i procedurilor? 25. Exist o declaraie de aplicabilitate a organizaiei. Care sunt clauzele excluse din referenial. Avei elaborate i implementate toate documentele la care face referire aceast SoA? 26. Ci utilizatori ai sistemelor informatice sunt n organizaie i ci sunt utilizatori privilegiai. Care este procentul de angajai care lucreaz la distan? 27. Manipulai informaii clasificate? Care este volumul i tipul informaiilor clasifcate, procesate n organizaie? 28. Efectuai tranzacii electronice. Care este volumul acestora n raport cu restul activitilor desfurate? 29. Aplicai metode criptografice de securitate? 30. Specificai numrul de reele (fixe, mobile, fr fir, interne, externe, ct sunt de mari), numrul de staii de lucru, numrul i tipul de servere. 31. Se in jurnale de ctre Adminstratorul de Sistem? Care sunt acestea? 32. Cum asigurai inerea sub control a prevederilor legale i a altor cerine care sunt aplicabile activitilor, produselor i serviciilor organizaiei dvs. precum i accesul la acestea? 33. Avei elaborat i implementat o politic pentru salvrile de siguran ale informaiilor i strii sistemului de operare? Exist o locaie alternativ n care sunt pstrate aceste copii de siguran? 34. Avei elaborat un plan pentru continuarea afacerii n caz de dezastru? Ai efectuat simulri i pstrai nregistrri? 35. Cum identificai i asigurai necesjtile de instruire ale personalului precum i contientizarea acestuia asupra importanei meninerii securitii tuturor informaiilor pe care le proceseaz? 36. Au fost stabilite proceduri pentru a identifica posibile incidente, accidente i -situaii de urgen? * 37. Cum asigurai definirea responsabilitilor, autoritii, a modului de tratare i analiz a neconformitilor, incidentelor i accidentelor? 38. Care este modalitatea prin care se face confirmarea eficienei msurilor corective i preventive adoptate n organizaie? 39. Ai efectuat audituri interne ale sistemului de management ? (Specificai zoijele/procesele auditate). 40. Sistemul de management ai securitii informaiilor este analizat periodic de conducerea organizaiei la nivelul cel mai nalt i abordeaz eventualele necesiti de schimbare a politicii i obiectivelor n domeniul? S-au desfurat astfel de analize n cadrul organizaiei dvs.? 41. Ai identificat modaliti de mbuntire a SMSI i resursele necesare? 9.7. Situaia certificrii SMSI

Certificarea sistemelor de management al securitii informaiilor

18

In Romnia funcioneaz dou categorii de organisme de evaluare i certificare a conformitii produselor i sistemelor de management, respectiv: I - Unele acreditate de Autoritatea de Acreditare din Romnia RENAR. II-Altele acreditate de organisme de acreditare naional din Uniunea European (IQNet-Olanda, TGA-Germania, DKDGermania, RVA-Olanda, UKA'S-Marea Britanie, SINCERT-Italia etc.). Toate organismele de acreditare sunt-semnatare ale MLA/MRAs cu EA, ILAC i IAF i se supun regulilor stabilite de Cross Frontier Accreditation Policy. Exist numeroase organizaii care au implementat i certificat sisteme de management pentru calitate, conform SR EN/ISO 9001, exist i organizaii care au implementat i certificat sisteme de management de mediu, conform SR EN/ISO 14001, pentru sntate i securitate ocupaional, conform OHSAS 18001 precum i sisteme de management al siguranei alimentelor (HCCP), conform CAC/RCP1-1969, revizuit n 2003 i SR EN ISO 22000:2005. La aceast dat (ianuarie 2006) n Romnia se aplic versiunea original (n limba englez) a referenialului BS ISO/IEC 27001 pentru certificarea sistemelor de management al securitii informaiilor i exist un singur organism de certificare n ar pregtit pentru a face certificarea SMSI. Aa cum am mai spus, cele dou standarde specifice SMSI, BS ISO/IEC 27001:2005 i BS ISO/IEC 17799:2005 vor fi implementate ca standarde romne n viitorul apropiat i exist un foarte mare interes la nivel naional pentru implementarea unor sisteme de management pentru securitatea informaiilor, la nivelul unor organizaii care nu proceseaz neaprat informaii clasificate, dar pentru care informaiile procesate, stocate sau transmise au valoare semnificativ i doresc asigurarea unor nivele de securitate adecvate pentru organizaia lor. Certificarea SMSI nu ncepe cu transmiterea cererii de ofert ctre un OC, ci cu implementarea unor msuri de securitate i achiziia unor echipamente care, de cele mai multe ori sunt foarte scumpe i nu la ndemna oricui. Necesit de asemenea instruirea corespunztoare a unor persoane din organizaie, instruire de durat i de un nalt nivel de specializare, de asemenea nu la ndemna oricrei organizaii. Toate aceste activiti se deruleaz n timp, cu elaborarea unor poceduri i politici proprii, cu elaborarea unei metode proprii pentru identificarea, analiza i evaluarea riscurilor specifice i implementarea unui plan adecvat pentru tratarea riscurilor, unei metodologii proprii pentru tratarea i raportarea incidentelor de securitate i a nvrii de pe urma acestora, a unui plan de continuitate a afacerii n caz de dezastru. Abia dup implementarea documentelor proprii elaborate i obinerea de rezultate satisfctoare la auditarea intern a sistemului de management se poate pune problema depunerii unei cereri de certificare, care s genereze un certificat de conformitate. Standardul de referin recomand a se apela la experi externi pentru scanarea vulnerabilitilor i evalurile de risc iniiale, dar este greit s se considere c se poate implementa i menine un SMSI cu consultan din exterior, n primul rnd pentru c este o vulnerabilitate suplimentar venit din partea unei tere pri i n al doilea rnd pentru c sistemul va funciona corect i eficient atunci cnd el poate fi controlat permanent din interior i mbuntit.

Certificarea sistemelor de management al securitii informaiilor

19

Noi recomandm ca principal cale de implementare a unui SMSI instruirea i contientizarea propriilor angajai, chiar dac dureaz mai mult i este dificil la nceput. Certificarea se poate realiza cu organisme de certificare recunoscute la nivel internaional. Lista acestor organisme de certificare pentru sisteme de management al securitii informaiilor este prezentat n continuare, valabil la 16 ianuarie 2006 preluat de pe Internet [83]: BM TRDA Certification Limited; BSI; BVQI (Bureau Veritas Quality International); , Certification Europe; CIS (Austria); CQS (Republica Ceh); DNV (Det Norske Veritas); DQS GmbH (Germania); DS Certification; JACO-IS (Japanese Audit and Cerification); JICQA; JMAQA; JUSE-ISO Center; KEMA Quality BV; ( KPMG Audit pic; ' KPMG SA; KPMG Certification; KPMG RJ; LRQA; LTSI SAS (Frana); National Quality Assurance; v Nemko (Norvegia); PSB Certification (Singapore); ' RINA S.pA. (Italia); RWTUEV Systems GmbH (Germania); SAI Global Limited (Australia); " SEMO-DEKRA Certification AB; SFSInspecta Ceniiication (Finlanda); SGS ICS Limited; SQS (Swiss Quality systems); STQC IT Certification Services (India); Teknologistic Instituit Sertifisering AS (Norvegia); TV Rheinland Group (Germania); TV SD Grruppe (TV Management Service GmbH) (Germania); UIMCert (Germania); United Registrer of System Limited. JJnele dintre aceste organisme de certificare au birouri n mai multe ri, i aa cum am mai spus, pot certifica organizaii din diferite ri. fr limit de granie sau de limb. Ateptm apariia pe list i a unor organisme de certificare din Romnia. Lista cu rile care dein certificate pentru sistemul de management al securitii informaiilor i numrul de certificate deinute, valabil tot n ianuarie 2006, este prezentat n tabelul 9.4, conform [83].

20

Auditul i securitatea sistemelor informatice

Tabel ul 9.4

Nr. rt.araNumrul de certificate deinuteNr. crt.araNumrul de certificate d deinute0120121Japonia119031Argentina32Mar 0 1 ea Britanie21932 , ,Kuweit33India13933Mexic34Taiwan6934Emirat 3 ele Arabe U Unite35Germania5135Belgia26Italia4136Canada 5 27Corea3537Columbia28SUA3138Danemarca29 7 3 Ungaria2439Isle of M Man210Olanda2240Malaysia211China2141Repu 1 b blica Slovac212Hong Kong2042Africa de S Sud213Australia1843Bahrain114Finlanda1544Ch 1 i ile115Elveia1345Egipt116Irlanda1146Frana117 1 1 N Norvegia1147Liban118Singapore1148Lituania11 1 9 9Austria949Luxemburg120Polonia750Macao121 2 S Suedia751Macedonia122Republica C Ceh652Maroc123Brazilia553Noua Z Zeeland124Grecia554Qatar125Spania555Rom 2 n nia126Turcia556Federaia R Rus127Croaia457Slovenia128Islanda458Serbia 2 i Muntenegru129Filipine459Tailanda130Arabia Saudit4 4

21

Auditul i securitatea sistemelor informatice

Dup cum se poate uor observa Japonia, care a fost leagnul dezvoltrii calitii n perioada de dup rzboi cu aportul lui cu Joseph Jouran, este tot prima i n ceea ce privete securitatea informaiilor, net distanat de Marea Britanie i SUA. n Romnia, la aceast dat era o singur companie cu SMSI certificat, dar se preconizeaz ca pn Ia sfritul anului s fie cel puin 10 astfel de companii. Securitatea informaiilor, i n spe securitatea sistemelor informatice, ncepe s devin i pentru Romnia o prioritate. ncepnd cu anul 2000 revista Economist Inteligent Unit public clasamente anuale referitoare la abilitatea unor ri de a utiliza tehnologii informatice i comunicaii electronice n afaceri, aa numitele e-business. Sunt utilizate 6 categorii de criterii de clasament, referitoare la nivelele structurii tehnologice, la mediul de afaceri, cultural i social, gradul de receptivitate al consumatorilor i cadrul specific al reglementrilor legale. Romnia a ocupat n anul 2005 locul 47, loc onorabil dac ne raportm la faptul c este un clasament mondial. Exist pe plan naional tot mai multe organizaii care implementeaz o serie de msuri de securitate pentru a se proteja complet, nu neaprat un sistem de management al securitii informaiilor, aa cum solicit referenialul, [13, 14] i certificat cu organisme de certificare recunoscute, dar sisteme proprii, funcionale i n continu dezvoltare i mbuntire. Exist, de asemenea, firme specializate n oferirea de servicii de securitate, aa cum am mai artat, ncepnd cu programe antivirus, politici de back-up, scanri de vulnerabiliti i pn la locaii secundare ^'echipate complet pentru reluarea afacerii n caz de dezastru. Am lsat pe ultimul loc certificarea sistemelor de management de securitatea informaiilor, nu pentru c acesta este locul firesc, ci pentru c am dorit s ncheiem cu avantajele pe care le ofer certificarea unui astfel de sistem. n primul rnd se identific i elimin punctele slabe din sistemul de securitate, n al doilea rnd se minimizeaz i se in sub control riscurile la care este expus compania, i nu n ultimul rnd, se obine un certificat care confer beneficiarilor nci^dere n produsele i serviciile oferite, n nivelul de securitate asigurat informaiilor primite i puse la dispoziie pe parcursul derulrii contractelor i o poziie privilegiat pe pia. Se realizeaz o evaluare a arhitecturii sistemelor informatice, se identific cu precizie starea la care se afl Ia un moment dat, care sunt zonele n care trebuie intervenit i prioritile n care trebuie acionat. Aa cum am mai specificat pe parcursul acestei cri eforturile financiare i ale angajailor sunt foarte mari, dar este o investiie pe termen lung i n mod garantat, profitabil n timp.

Powered by http://www.referat.ro/ cel mai tare site cu referate