Agenda

1. Conceptul de securitate a informaiilor (definiie, elemente fundamentale; ameninri, vulnerabiliti, riscuri, necesitatea asigurrii securitii informaiilor obiectiv, legal, contractual; cadrul normativ) 2. Sisteme de management al securitii informaiilor (SMSI) 3. Managementul riscului 4. Proiectarea, implementarea, monitorizarea i mbuntirea SMSI 5. Certificarea unui SMSI

Securitatea informaiei necesitate, cerine, reglementri

Ce sunt informaiile?

Cunotiine derivate din orice surs

Informaiile sunt date analizate, comunicate, nelese

Sursa: Information Security Management Handbook Auerbach Publications

Securitatea informaiei necesitate, cerine, reglementri

Definiia informaiilor ?

Informaiile sunt un bun al afacerii, care ca oricare bun al companiei, are valoare i trebuie protejat adecvat

Sursa: ISO/IEC 27001:2005: Introducere

Informaiile trebuie protejate adecvat indiferent de forma pe care o iau sau de mijloacele prin care sunt pstrate sau comunicate

Sursa: ISO/IEC 27001:2005: Introducere

Informaii?

Informaiile afacerii

Accesul la informaii

Tiprite Pe suport electronic Comunicate prin pot clasic Comunicate electronic

Video
Discuii

Contextul Internet
Reea global Acces rapid, ieftin, discret, fr urm Trafic n cretere Oricine de oriunde Arhitectur structural nesigur TCPIP

Nivele de securitate

Instituii guvernamentale secrete de stat

Informaii interne confideniale/secret de serviciu

Domenii de activitate secret profesional Clieni confidenialitate asumat (bnci)

Parteneri de afaceri informaii folosite n comun

Importana informaiei

Protecia informatiilor business critical Competitie Cash Flow Cerinte legale Reputatie ?

Securitatea informaiei necesitate, cerine, reglementri

Definiia securitii informaiilor ?
Confidenialitate

Asigurarea c informaia este accesibil doar acelora care sunt autorizai s aib acces.
Integritate

Protejarea corectitudinii i caracterului complet al informaiei i metodelor de procesare.

Disponibilitate

Asigurarea c utilizatorii autorizai au acces la informaii i la bunurile asociate atunci cnd este necesar.

Securitatea informaiei necesitate, cerine, reglementri

Obiectivele securitii informaiilor ?

Protejarea organizaiei de o palet larg de pericole i ameninri interne i externe cu impact asupra securitii informaiilor Asigurarea continuitii operaiunilor Minimizarea pagubelor i maximizarea recuperrii investiiilor i oprtunitilor de afaceri Meninerea netirbite a competivitii, profitabilitii, legalitii, reputaiei i imaginii organizaiei

Securitatea informaiei necesitate, cerine, reglementri

Necesitatea asigurrii SI: cerine, ateptri, principii

Cerine complexe i dinamice este necesar un proces de Management al Cerinelor

Securitatea informaiei necesitate, cerine, reglementri

Necesitatea asigurrii SI: reducerea riscurilor, pierderilor

Riscuri complexe i dinamice este necesar un proces de Management al Riscurilor

Securitatea informaiei necesitate, cerine, reglementri

RISC

o pagub (pierdere) potenial pentru organizaie n situaia cnd o ameninare exploateaz o vulnerabilitate. Riscul este exprimat cel mai bine de rspunsul la urmtoarele ntrebri:
Ce se poate ntmpla (care este ameninarea)? Care este impactul sau consecina? Care este frecvena (ct de des se poate ntmpla)?

Securitatea informaiei necesitate, cerine, reglementri

Ameninrile - surse accidentale sau voite de evenimente. Ameninarea exploateaz o vulnerabilitate Vulnerabilitile -slbiciuni asociate resurselor (specifice mediului fizic, personalului, managementului, administraiei, resurselor hardware, software, comunicaii etc). Cauzeaz daune numai dac sunt exploatate de ameninri

Vulnerabilitati - Amenintati - Riscuri

exploateaz

Ameninri
cresc protejeaz

Vulnerabiliti
expun

Msuri de control

reduc
indic

Riscuri

Bunuri
au

impun

cresc

Cerine de protecie

Impact

Securitatea informaiei necesitate, cerine, reglementri Liste de ameninri - exemple

Securitatea fizic i a mediului Incendiu Atac cu bomb Cutremur Contaminare mediu Inundaie Fulger Furt Preturbaii industriale Vandalism

Securitatea echipamentului Defeciune aer condiionat Particule conductive Atac cu bomb Contaminare Cdere alimentare Deranjament hardware Eroare de ntreinere Software duntor Accesarea reelei de persoane neautorizate Eroare de utilizator

Securitatea informaiei necesitate, cerine, reglementri Liste de vulnerabiliti - exemple

Administrare calculator i reea Linii de comunicaie neprotejate (interceptare) Puncte de conexiune neprotejate (infiltrare comunicaii) Lipsa mecanismelor de identificare i autentificare (substituire identitate) Transferul parolelor n clar (accesare reea de utilizatori neautorizai) Linii dial-up (accesare reea de utilizatori neautorizai) Administrare reea neadecvat (suprancrcare trafic)

Sistem de control al accesului / politic de dezvoltare i ntreinere Interfa de utilizator complicat (eroare de utilizator) Lipsa unei proceduri de tergere a mediilor de stocare nainte de reutilizare (utilizare neautorizat software) Lipsa unui control adecvat al modificrilor (defeciuni software) Administrare defectuoas a parolelor (substituire identitate)

Asigurarea SI = inerea sub control a riscurilor

Securitatea informaiei necesitate, cerine, reglementri

Tratarea riscurilor este rezultatul unui proces de management al riscurilor i const n: - Aplicarea msurilor de control adecvate pentru reducerea riscurilor - nelegerea i acceptarea contient a riscurilor n msura n care sunt satisfcute politica organizaional i criteriile de acceptare a riscului - Eliminarea riscului (renunarea la unele activiti; mutarea unor bunuri n zone mai puin expuse; renunarea la procesarea unor informaii sensibile) - Transferarea riscurilor asociate activitii altor pri (asigurare, outsourcing)

Securitatea informaiei necesitate, cerine, reglementri

Factori care influeneaz conceperea, elaborarea i implementarea unei strategii de securitate:
- mrimea organizaiei i complexitatea proceselor - cerinele de securitate determinate de multiple provocri (interconectarea sistemelor, spionajul corporativ, terorismul cibernetic, contientizarea angajailor) - volumul sporit al informaiilor sensibile/critice - profilul activitii, nevoile i obiectivele organizaiei - ameninrile i vulnerabilitile prezente la adresa informaiilor prelucrate, stocate i / sau transmise (de natur uman, legate de minimizarea costurilor, de natur tehnic sau externe) - gradul de securitate a sistemelor informatice folosite gradul de interconectare a sistemelor i serviciilor - interconectarea reelelor interne cu cele publice (Internet) sau private - volumul resurselor (umane i financiare) disponibile - nivelul de cultur i tradiie n domeniul securitii inf.

Agenda
1. Conceptul de securitate a informaiilor (definiie, elemente fundamentale; ameninri, vulnerabiliti, riscuri; necesitatea asigurrii securitii informaiilor (obiectiv, legal, contractual; cadrul normativ) 2. Sisteme de management al securitii informaiilor (SMSI) 3. Managementul riscului 4. Proiectarea, implementarea, monitorizarea i mbuntirea SMSI 5. Certificarea unui SMSI

Ce este un SMSI ?

S.M.S.I.
parte a sistemului de management al unei organizaii, bazat pe analiza riscurilor, destinat elaborrii, implementrii, operrii, supravegherii, meninerii i mbuntirii securitii informaiilor

Standarde aplicabile
ISO 9001/2008 - Cerine pentru sistemele de management al calitii ISO 27002/2005 - Ghid practic pentru managementul securitii informaiilor ISO 27001/2005 Sisteme de management al securitii informaiilor Specificaii i instruciuni de aplicare

Abordare cuprinztoare, coerent a problematicii

10 cerine importate care trebuie sa fie indeplinite de un SMSI

- Existenta unei Politici de Securitate

- Alocarea responsabilitatilor pentru securitate - Realizarea de training si educare pentru securitatea informatiei - Raportarea incidentelor de securitate - Control pentru malicious code - Existenta unui plan de continuare a afacerii business continuity plan - Existenta controlului asupra proprietatii intelectuale - Protejarea documentelor si inregistrarilor companiei - Respectarea (conformitatea) legilor pentru Protectia Datelor - Demonstratea conformitatii cu politicile de securitate

In concluzie: de ce avem nevoie de un SMSI?

Pentru a proteja informatia de un numar alarmant de amenintari, pentru a asigura continuitatea afacerii si pentru a maximiza intoarcerea investitiei facute precum si a oportunitatilor de afacere

Stadii evolutive n domeniul SI

(adoptarea unor tehnici i instrumente de securitate ale cror funcii sunt descoperite mai degrab empiric dect n urma apelrii la literatura de specialitate) contientizarea nevoii de securitate (a aprut atunci cnd organizaiile au realizat c informaiile pe care le dein merit a fi protejate, prin proceduri minimale. Foarte puine au trecut ns la documentarea adecvat a sistemului) achiziionarea unor soluii sigure de securitate (o parte din bugetul departamentului IT este dedicat soluiilor de securitate, iar organizaia cerceteaz serios metode moderne i sigure de a-i securiza comunicaiile i a se proteja mpotriva atacurilor)

securitatea informaiei privit ca un joc

securitatea informaiei este tratat ca o necesitate prioritar, respectiv ca un sistem de management (o securitate a informaiei puternic a devenit
un avantaj n cadrul competiiei n afaceri iar bugetul alocat securitii este separat de cel al departamentului IT).

Roluri si responsabiliti n SMSI

Top managementul
-aprob scopul SMSI, angajamentul, obiectivele, politica de securitate a informaiilor i toate documentele aferente SMSI; - emite decizii pentru numirea comitetului de securitate i a responsabilului cu securitatea; -aprob declaraia de aplicabilitate a SMSI i deciziile de tratare a fiecrui risc n parte; -aprob planul de tratare a riscurilor i toate aciunile manageriale suplimentare pentru monitorizarea, evaluarea i mbuntirea eficienei msurilor de securitate; -aprob planurile de auditare a SMSI; efectueaz analiza de management pentru SMSI i aprob procesele verbale ale edinelor de analiz, precum i aciunile corective i preventive necesare mbuntirii SMSI; -aprob resursele necesare pentru proiectarea, meninerea i mbuntirea SMSI.

Roluri si responsabiliti n SMSI

Responsabilul cu securitatea (RS)
-definete politica de securitate a informaiilor, procedurile i msurile de securitate; -definete i obine aprobrilor pentru responsabilitile de securitate (tabel de securitate, document aprobat de managerul general); -strnge informaii despre politicile de securitate existente (ce funcioneaz i ce nu; cum se comunic riscurile; cum se stabilesc prioritile proiectelor; cum sunt structurate procesele de securitate); -urmrete aplicarea eficient a politicilor de securitate; -dezvolt, implementeaz i mbuntete msurile n domeniul securitii informaiilor; -supravegheaz toate procesele de securitate din firm; -rspunde de managementul incidentelor de securitate i de rspunsul la incidente; -coordoneaz procesul de contientizare i pregtire al personalului n domeniu SI; -orienteaz proprietarii resurselor (PR) n toate problemele ce in de SI.

Roluri si responsabiliti n SMSI

Proprietarul resurselor
-rspunde de activele date n responsabilitate (informaii; software; echipamente de calcul i de comunicaii; aplicaii; servicii; oameni; active intangibile; proprietatea poate fi atribuit unui proces al afacerii, unui set de activiti, unei aplicaii sau unui set stabilit de date). mpreun cu RS, PR rspunde de: - identificarea cerinelor de securitate ale afacerii; - asigurarea clasificrii corespunztoare a informaiilor i resurselor critice; - revizuirea permanent a ghidurilor de clasificare a informaiilor; - definirea i supunerea aprobrii managerului general, a drepturilor de acces la informaii pentru toi utilizatorii resurselor informaionale sau ale reelei necesare acestora pentru a-i ndeplini sarcinile de serviciu (procesul de administrare a utilizatorului - AU), precum i modul/metoda de rezolvare a excepiilor de la regulile generale stabilite pentru aceste permisiuni.

Roluri si responsabiliti n SMSI

Comitetul, forumul, echipa de securitate - coordoneaz executarea activitilor de securitate n conformitate cu politica de securitate a informaiilor; - identific modul de tratare a neconformitilor; - avizeaz politicile, metodologiile i procedurile legate de securitatea informaiilor; - avizeaz planurile de tratare a riscurilor; - analizeaz incidentele de securitate; - estimeaz gradul de adecvare a msurilor de securitate a informaiilor i coordoneaz implementarea lor; - analizeaz modul de promovare a educaiei, instruirii i contientizrii personalului cu privire la securitatea informaiilor n cadrul organizaiei; - evalueaz informaiilor primite de la activitile de monitorizare i analiz a incidentelor de securitate; - face recomandri de aciuni corective i preventive, precum i de aciuni adecvate de rspuns la incidentele de securitate a informaiilor; - identific mutaiile expunerii la ameninri a informaiilor i a mijloacelor de procesare a acestora i propunde

Agenda
1. Conceptul de securitate a informaiilor (definiie, elemente fundamentale; ameninri, vulnerabiliti, riscuri; necesitatea asigurrii securitii informaiilor (obiectiv, legal, contractual; cadrul normativ) 2. Sisteme de management al securitii informaiilor (SMSI) 3. Managementul riscului 4. Proiectarea, implementarea, monitorizarea i mbuntirea SMSI 5. Certificarea unui SMSI

Security is always excessive until its not enough

Ce reprezint managementul riscurilor ? [SR 17799]

# evaluarea riscurilor abordare sistematic a: daunelor care ar putea rezulta n urma unei bree de securitate probabilitatea realist ca un astfel eveniment de securitate sa se produca # indicarea i determinarea actiunilor de management potrivite i a prioritilor acestora # implementarea controalelor selectate pentru protecia mpotriva riscurilor # revizuiri periodice

Ce reprezint managementul riscurilor?

Basic Assumption: There will be a failure

What are the consequences?

Rating: Risk Exposure qualified & quantified

Risks categorized & prioritized

Mitigation/recovery actions defined

Mitigation/recovery actions followed-up Results and decisions are documented

Cum se stabilesc cerinele de securitate ? [ISO 27002]

- evaluarea riscurilor la care este expus organizaia - cerinele legale, statutare, contractuale - setul specific de principii, obiective i cerine pentru procesarea informaiei

Terminologie

Terminologie

Organizaia trebuie s stabileasc o metod de analiz a riscurilor care este adecvat pentru SMSI i s identifice cerinele de securitate, cerinele legale i regulatorii ale sale. S stabileasc politica i obiectivele SMSI n vederea reducerii riscurilor la nivele acceptabile. S determine criteriile pentru acceptarea riscurilor i nivelele la care acestea pot fi acceptate.(ISO 27001)

Schema ISO 27001:2005

A. Identificarea si analiza riscurilor :

a)

identificarea resurselor

b)

identificarea ameninrilor la resurse

c) identificarea vulnerabilitilor care pot fi exploatate de ameninri d) identificarea impactului pe care pierderea confidenialitii, integritii i disponibilitii l pot avea asupra resurselor

Schema ISO 27001:2005

B. Evaluarea riscurilor : a) evaluarea prejudiciului care poate rezulta dintr-un incident de securitate, lund n calcul consecinele poteniale ale pierderii confidenialitii, integritii i disponibilitii resurselor; b) evaluarea realistic a probabilitii de apariie a unui incident avnd n vedere ameninrile i vulnerabilitile predominante asociate cu aceste resurse, ca i msurile de control (protecie) existente; c) estimarea nivelului riscurilor;

d) determinarea dac riscul este acceptabil sau necesit tratare n baza criteriilor de acceptare stabilite.

Schema ISO 27001:2005

C. Identificarea i evaluarea opiunilor de tratare a riscurilor (Tratarea riscurilor) a) aplicarea msurilor adecvate; b) acceptare n cunotin de cauz i argumentat, n condiiile satisfacerii polticii organizaiei i a criteriilor de acceptare a riscurilor; c) eliminarea riscurilor; d) transferarea riscurilor altor pri. D. Selectarea obiectivelor i msurilor pentru tratarea riscurilor

Procesul de MR
Stabilirea Contextului Identificarea/analiza Riscurilor

Evaluarea Riscurilor: Probabilitate Consecinte Nivel de risc

Tratarea Riscurilor

Monitorizare i Analiz

Comunic i consult

Plan-Do-Check-Act
Plan
Analiza de risc

Do

Tratarea riscurilor

Imbunatatire

Act

Monitorizarea riscurilor

Check

Ameninrile - surse accidentale sau voite de evenimente Exploateaz o vulnerabilitate Factori de analiz: Resursa Acces Actor Motivaie Impact

Identificarea ameninrilor i vulnerabilitilor

Vulnerabilitile slbiciuni asociate resurselor n: Mediul fizic Personal, management, administraie Hardware, software, comunicaii Cauzeaz daune numai dac sunt exploatate de ameninri Exemple

Calculul riscurilor
Metode cantitative
AV valoarea resursei SMSI EF factorul de expunere (valoarea procentuala a impactului din valoarea resursei) SLE = AV x EF (Ex. 150.000 lei X 25%= 37.500 lei pierdere la o aparitie a riscului) SLE impactul unui risc la o aparitie ARO rata (frecventa) de manifestare a incidentului ALE impactul total estimat al riscului ALE = SLE x ARO (Ex. 37.500 lei X 0,1 - o frecventa a riscului de 1 la 10 ani= 3.700 lei)

Calculul riscurilor
Exemplu de calcul: evaluarea separat a ameninrilor i vulnerabilitilor

Metode calitative

Nivel ameninare Nivel vulnerabilitate

Sczut

Mediu

Ridicat

S M R S M R S M R

0
Valoare a bunului

0
1 2

1
2 3

2
3 4

1
2 3

2
3 4

3
4 5

2
3 4

3
4 5

4
5 6

1 2

3
4

3
4

4
5

5
6

4
5

5
6

6
7

5
6

6
7

7
8

Calculul riscurilor
Metode cantitative
Avantaje
Caracter obiectiv Formalism convenabil top-managementului Faciliteaza analiza cost-efect Se preteaza aplicatiilor software Dezavantaje Lipsa unor valori unanim recunoscute pentru factorii de expunere sau ratele de aparitie Dificultatea de aplicare completa a metodei Complexitate mare Credibilitate scazuta

Calculul riscurilor - Metode calitative

Avantaje
permite elaborarea metodei adecvate organizatiei suport intuitiv pentru managementul riscurilor organizatiei permite stabilirea de prioriati in tratarea riscurilor costurile de aplicare sunt reduse adecvata abordarii PDCA

Dezavanje
o anumita doza de subiectivism suport redus pentru analiza cost/efect

Tratamentul riscurilor

Aplicarea msurilor de control adecvate pentru reducerea riscurilor nelegerea i acceptarea contient a riscurilor n msura n care sunt satisfcute politica organizaional i criteriile de acceptare a riscului Eliminarea riscului Renunarea la unele activiti Mutarea unor bunuri n zone mai puin expuse Renunarea la procesarea unor informaii sensibile Transferarea riscurilor asociate activitii altor pri Asigurare, outsourcing, scoaterea din S.M.S.I

Selectarea msurilor de control

ISO 27002 ISO 27001 Alte criterii Uurina utilizrii Transparena n raport cu utilizatorul Sprijinul asigurat utilizatorului Eficiena msurii de control Tipul de funcie realizat: prevenire, mpiedicare, detecie, refacere, corectare, monitorizare, semnalizare Asigurarea unui echilibru ntre funcii Factorul de cost Aciune Reducerea probabilitii ca ameninarea sau vulnerabilitatea s cauzeze un incident Asigur respectarea cerinelor legale sau de activitate Reduce impactul n caz de incident Detecteaz evenimentele nedorite, reacioneaz i

Avantajele managementului riscurilor informatice?

Creterea gradului de contientizare a riscurilor de securitate i a practicilor recomandate pentru utilizatorii de calculatoare Asigurarea resurselor umane i de competen pentru administratorii de reele i alte funcii importante n asigurarea obiectivelor de securitate informatic Utilizarea eficace si eficienta a soluiilor tehnice destinate sporirii gradului de securitate informatic Prevederea unor proceduri i a unor capaciti corespunztoare de rspuns la incident; business continuity, disaster rocovery, survivability

Sistemul de management al securitii informaiilor factor decisiv n protejarea afacerilor Obiectivele standardelor ISO 27002 si ISO 27001

Studiu de caz (1)

Obiectivele studiului de caz: Stabilirea i documentarea unei strategii de securitate n cadrul S.C. Contract S.A. (Faza PLAN): Activiti documentate: 1 - Prezentarea firmei; 2 Stabilirea/continutul politicii de securitate; 3 Cadrul organizatoric i de coordonare a securitii inf 4 Metodologia de evaluare a riscurilor 5 - Identificarea i clasificarea resurselor (bunurilor informaionale). Registrul resurselor. 6- Analiza i evaluarea riscurilor de securitate. Scenarii de risc. Registrul riscurilor; 7 - Eaborarea planului de tratare a riscurilor; 8 - Elaborarea declaraiei de aplicabilitate a standardului ISO 27001

Studiu de caz (2)

1. Prezentarea S.C. Contract S.A.: Obiect de activitate: Comertul en-gros si en-detail cu produse industriale altele decit cele declarate ca avind regim special sau agroalimentare. Cifra de afaceri: aproximativ 10 mil euroanual. Personal: 104 in mediean din care: 4 personal de conducere; 02 personal de informatic (inclusiv administratorul de retea); 8 personal tehnic (subinigineri - ingineri cu specializare in domeniile constructii, electrotehnica, transporturi, tehnologia constructiilor de masini); 40 personal pentru aprovizionare desfacere(manipulanti, gestionari, lucrtori comerciali, efi depozite, merceologi); 30 personal tehnic de executie (electricieni, macaragii, sudori, strungari, frezori, soferi; 12 personal financiar contabil (casieri, contabili, economisti); 8 personal logistica(juridic, salarizare, facilities);

Studiu de caz (3)

1. Prezentarea S.C. Contract S.A.- continuare:

Actionariat: director general (40%); director comercial (25%), director economic (20%), director tehnic (15%). Organizatia isi desfasoara activitatea in locaii din cadrul localitii, n locaii situate n cadrul judeului i n alte judee. Locaiile au urmatoarele destinaii: - sediu, - depozite centrale (numai n localitatea n care organizaia ii are sediul), - depozite(en-gros; n diverse localiti din ara), - magazine(en-detail; n diverse localiti din ara).

Studiu de caz (4)

1. Prezentarea S.C. Contract S.A.- continuare: Bunurile fizice ale organizatiei sunt asigurate. Nu au fost inregistrate cazuri de furt sau spargeri. Structura personalului este destul de stabila, in peste 15 ani de activitate iregistrindu-se doar cazuri de pensionare. Activitatea organizaiei nu a fost afectat de incendii sau inundaii. Nu sunt definite i implementate msuri de securitate fizic, birourile se incuie de ultima persoana care parasete incaperea n care ii desfoar activitatea. ncaperile nu dispun de dulapuri cu incuietori destinate depozitarii documentelor confidentiale. Informatiile vehiculate in organizatie sunt catalogate informal ca fiind confidentiale, de uz intern si publice.

Studiu de caz (5)

1. Prezentarea S.C. Contract S.A.- continuare: La nivelul locatiei de baz (sediul organizaiei) exista o reea informatic; resursele informatice sunt accesate remote (linie telefonic nchiriat) de utilizatorii care i desfoar activitatea n celelalte locaii. Serviciile de comunicatii (date, voce, e-mail si internet) sunt externalizate ctre o organizaie specializat. Activitatile de Back-up sunt asigurate, aleator, de cei doi informatocieni, pe CD-uri; nu sunt realizate proceduri automate de Back-up, nu se tin evidente. Reteaua informatica nu a fost afectata de soft malitios sau virusi.

Studiu de caz (6)

2. Politica de Securitate a S.C. CONTRACT S.A.

Strategia de securitate a S.C. CONTRACT S.A. va fi prezentat intrun document Politica de Securitate a S.C. CONTRACT S.A., document care va fi elaborat in conformitate cu recomandarile standardelor ISO 27002, si prevederile actelor normative in vigoare pe teritoriul Romaniei. Documentul Politica de Securitate a S.C. CONTRACT S.A. va evidentia reperele de baza privind strategia de securitate a S.C. CONTRACT S.A.: - rolurile i responsabilitile privind implementarea strategiei de securitate;

Studiu de caz (7)

2. Politica de Securitate a S.C. CONTRACT S.A. - continuare

- existenta unei viziuni clare a managementului organizaiei i o comunicare efectiva a acesteia ctre personalul organizaiei, aspect fundamental pentru asigurarea eficienei oricaror proceduri i msuri de securitate specifice; - modul n care s-au identificat cerinele de securitate considerind ca surse principale: analiza riscurilor, legislaia existenta, standardele si procedurile interne; - modul de tratare a riscurilor proprii sau induse de teri sau subcontractori care au acces la resursele organizatiei;

Studiu de caz (8)

2. Politica de Securitate a S.C. CONTRACT S.A. - continuare

- scopului politicii: asigurarea unui climat de siguranta necesar desfurrii i continuitii activitii organizaiei; - obiectivele politicii de a asigura confidentialitatea, integritatea, disponibilitatea privind resursele, n condiii de risc acceptate de managementul organizatiei; - resursele care fac obiectul strategiei de securitate: informatiile, aplicatiile soft, retele informatice si de comunicatii, echipamente tehnice, echipamente informatice si de comunicatii, cladiri, incaperi, utilitati(energie electrica, energie termica, etc.), ersonalul, etc.;

Studiu de caz (9)

2. Politica de Securitate a S.C. CONTRACT S.A. - continuare
- planul de continuitate a afacerii (creare, actualizare, testare),

- instruirea salariatilor; raportarea si investigarea incidentelor de securitate; principiile care sustin intregul proces (controlul dual, segregarea atributiilor, derularea activitatii cu privilegii minime, planificarea contingenei, orice acces care nu este in mod explicit permis este in mod implicit interzis, politica biroului curat;
- documente interne (norme, proceduri, planuri de actiune) prin care se va realiza implementarea si aplicarea strategiei de securitate;

- obligativitatea personalului de a lua act, a intelege si a respecta politica si toate reglementarile, conform cu documentatiei SMSI prin care se asigura relizarea obiectivelor strategiei politicii de securitate a S.C. CONTRACT S.A. ;

Studiu de caz (10)

3. Cadrul organizatoric i de coordonare a securitii inf
- Consiliul de Administratie reprezint structura organizatoric care iniiaz i controleaz implementarea strategia i mecanismelor de securitate n cadrul organizatiei; - personalul este obligat s raporteze (la adresa contractyy@zz.ro in situtatii deosebite se vor folosi alte canale de comunicare:FAX - 9999.99.99.99, telefonia fixa - 9999.99.99.88) toate incidentele de securitate asupra resurselor care fac obiectul strategiei de securitate, vulnerabilitati (chiar susceptibile) ale resurselor respective pentru minimizarea efectelor negative, stabilirea cauzelor, eliminarea (masuri reactive) vulnerabilitatilor identificate, stabilirea de masuri proactive; -

Studiu de caz (12)

4. Metodologia de evaluare a riscurilor.
(e1): Se identifica activele/bunurile asociate activitatii; (e2): Activele/bunurile sunt clasificate in functie de importanta si valoarea lor pe o scar de la 1 la 3 unde (1 = valoare mica, 2 = valoare medie, 3 = valoare mare); (e3): Se identifica vulnerabilitile i ameninrile asociate Activelor/bunurilor; (e4): Se evalueaza impactul amenintarilor; (e5): Se evalueaza frecventa de manifestare/probabilitatea unei amenintari (posibilitatea ca o anumita amenitare sa se materializeze) (e6): Se calculeaza riscul asociat fiecarui activ/bun pe baza unei matrice n care input-uri sunt valoarea, impactul si probabilitatea. Riscul se calculeaza considerind obiectivele de baza ale unei politicii de securitate a informatiei: Co(nfidentialitatea)/ In(tegritatea)/ Di(sponibilitatea). ;

Studiu de caz (13)

5. Identificarea i clasificarea resurselor (bunurilor informaionale). Registrul resurselor (e1 i e2).
Bunurile-resursele informaionale sunt identificate de ctre proprietarii proceselor, asistai de de RSI, acestea fiind nscrise n Registrul Activelor. Registrul Activelor face referire la documente de referine care detaliaz toate informaiile necesare pentru recuperare n urma unui dezastru, inclusiv tipul activului, formatul, amplasamentul, informaiile de rezerv, informaii privind licena, valoarea comercial. Identificarea resurselor se face pentru fiecare proces n parte. Evaluarea Resurselor se face pe baza impactului potenial pe care l poate avea pierderea Confidenialitii, Integritii sau Disponibilitii resursei asupra organizaiei. Activele/bunurile sunt clasificate in functie de importanta si valoarea lor pe o scara de la 1 la 3 unde: 1 = valoare mica, 2 = valoare medie, 3 = valoare mare.

Studiu de caz (14)

5. Registrul resurselor.
Activ/bun
Active informationale- format electronic:
Fisiere de date neprelucrate Fisiere de date prelucrate Rapoarte management & autoritati(pentru printare si semnare) Documentaie sisteme Proceduri operationale Ionescu I. 3 3 2 1 1

Proprietar

Valoare

Active informationale hartie:

Facturi si alte documente justificative Rapoarte finale de conformitate Rapoarte intermediare de verificare destinate controlului dual Popescu 2 1 1

Studiu de caz (15)

5. Registrul resurselor - continuare
Contracte

2
1
Georgescu I 3 2 2 3

Corespondenta parteneri
Active software: Aplicatii - server si client - prelucrare date si generare rapoarte Sistem de operare server Sisteme de operare PC Parole administrare server & PC

Parole utilizator PC
Active hardware: Server baze de date Statii PC Georgescu I

3 2

Studiu de caz (16)

5. Registrul resurselor - continuare
Imprimante

2
Anton P.
2 2

Facilitati:
Energie electrica Aer conditionat Personalul: Personal administrare & conducere Personal operare & executie Outsourcing: Sisteme de comunicatii(date, Internet, e-mail, IP voice)

3 2

Studiu de caz (17)

6. Analiza i evaluarea riscurilor de securitate. Scenarii de risc. Registrul riscurilor
Pentru fiecare resurs inclus n inventarul activelor, proprietarul de proces, mpreun cu RSI identific ameninrile i vulnerabilitile care pot afecta activul respectiv i implicit activitatea de baz a organizaiei. Pentru a avea o cuprindere ct mai exact a ameninrilor, riscurile de securitate sunt identificate cu ajutorul elementelor ce le compun: ameninarea, vulnerabilitatea pe care ameninarea respectiv o poate exploata i impactul pe care l poate avea fructificarea ameninrii. Identificarea ameninrilor se face pornind de la identificarea Agentului ameninrii. Agentul ameninrii este asociat cu tipul ameninrii (de natur uman, natural, tehnologice) i categoriile de ameninri (interne, externe, asociate, foc, ap, vibraii, violen, biologice, de infrastructur, de sistem etc).

Studiu de caz (18)

6. Identificare vulnerabilitati i amenintari (e3)
Vulnerabilitati Amenintari Cauze N= naturaele, U=umane neintetionate, I= umane intentionate, N N, U, I N, U, I N, U, I N, U, I N N, U, I U, I U U Bun/Activ Componenta afectat (C, I, D)

Lipsa monitorizare mediu Lipsa monitorizare mediu Lipsa monitorizare mediu Lipsa monitorizare mediu Lipsa monitorizare mediu Modul defectuos de intretinerecuratenie Lipsa monitorizare mediu Documentare si instruire insuficienta Documentare si instruire insuficienta Lipsa documentare, instruire deficitara

Cutremur Inundatie Foc Contaminare mediu Perturbatii industriale Particule praf Defectiune aer conditionat Deranjamente hardware Erori de intretinere Erori de utilizare, operare,

Toate Toate Toate Personal Hard, Soft, Outs Hard Hard Hard Hard Soft

I, D I, D I, D D D D D D I, D I, D

Studiu de caz (19)

6.Identificare vulnerabilitati i amenintari (e3)-continuare
Lipsa politici de controlul fizic accesului Furt I Resurse informationale, Hard Resurse informationale, Hard, Outs C, I, D

Lipsa politici de control fizic acces; Lipsa politici de control logic al accesului; Lips politic privind biroul curat; Instruire deficitara utilizatori ; Acces nelimitat la servicii webbased mail, web-chat Retea in locuri nesupraveghea si in spatiul public Instruire deficitara utilizatori mod de administrare deficitar al parolelor Drepturi admin, lipsa proceduri Acces floppyCD, Lipsa monitorizare si control regulat

Acces neautorizat la informatii si servicii

U, I

Interceptare comunicatii

Resurse informationale, Outs Resurse informationale Soft

C, I

Substituire identitate Utilizare ilegala de software

I U

C, I C, I, D

Lipsa politic utilizare internet lipsa Protectie serverOutS: lipsa procedura

Acces internet protectie inadecvata Instruire deficitara

Haking
Virusi & Cod malitios Nerespectare proceduri operationale (administrare, acces, operare) Lipsa personal

U
N, U, I U, I

Resurse inf., Outs

Hard, Soft Resurse informationale, Soft, Personal Personal

C, I, D
C, I, D C, I, D

Numar insuficient de personal

U, I

Studiu de caz (20)

6. Stabilirea impactului i probabilitii amenintarilor identificate (e4), (e5) Impactul amenintarii va fi evaluat pe urmatoarea scara: In impact nesemnificativ (sistemul este functional, nu sunt consecinte majore, securitatea nu este compromisa); Is impact semnificativ (performanta sistemului este afectata, consecintele pot fi apreciate ca fiind semnificative, securitatea unor componente ale sistemului este compromisa); Im impact major (sistemul nu mai este functional, consecintele sunt foarte grave, securitatea sistemului este compromisa). Frecventa/probabilitatea unei amenintari (e5). Frecventa/probabilitatea de manifestare a unei amenintari reprezinta gradul in care ea se poate produce in realitate. Acesata depinde de cat de expus este activul unor contacte cu exteriorul sau cat de cunoscute sunt caracteristicile acestei resurse. Probabilitatea unei amenintari va fi cuantificata astfel: Pn valoare probabilistica nesemnificativa, Ps valare probabilistica semnificativa, Pm valoare probabilistica majora.

Studiu de caz (21)

6. Evaluarea riscului (e6). Pentru fiecare activ identificat in Registrul activelor, pe baza valorii, a impactului ameninriii i a probabilittii acesteia se va calcula nivelul de risc conform matricei: Impactul ameninrii Probabilitate a amenintarii

In
Pn Ps Pm Pn

Is
Ps

Im
Pm Pn Ps Pm

RISC

1
Valoarea Activului

1 1 1 2

2 3

2 3

3 4

4 4 5

4 5 5 5

5 5

2 3

2 2 3

3 4

5 5 5

Semnificatia valorilor: 5 = risc foarte mare, 4 = major, 3 = semnificativ, 2 = redus, 1 = nesemnificativ.

Studiu de caz (22)

6. Evaluarea riscului confidenialitate.

Activ
Active informationale- format electronic: Fisiere de date neprelucrate Fisiere de date prelucrate Rapoarte management & autoritati(pentru printare si semnare) Documentaie sisteme Proceduri operationale

Valoare

Impact

Probabilit ate

Indice de risc

3 3 2

Im Im Im

Ps Ps Ps

5 5 4

In

Pn
Pn

1
2

1 Is Active informationale hartie: 2 Is

Facturi si alte documente justificative

Ps

Rapoarte finale de conformitate

Rapoarte intermediare de verificare destinate controlului dual

1
1

Is
In

Ps
Pn

3
2

Studiu de caz (23)

6. Evaluarea riscului confidenialitate - continuare

Contracte
Corespondenta parteneri

2
1

Is
Is

Pn
Pn

3
3

Active software: Aplicatii - server si client - prelucrare date si generare rapoarte Sistem de operare server
Sisteme de operare PC Parole administrare server & PC Parole utilizator PC Active hardware: Server baze de date Statii PC

3 2 2 3 2

Im Is

Ps Ps 5 4

3 2

Studiu de caz (24)

6. Evaluarea riscului confidenialitate - continuare

Imprimante
Facilitati:

2
2
2

Energie electrica Aer conditionat

Personalul: Personal administrare & conducere Personal operare & executie Outsourcing: Sisteme de comunicatii(date, Internet, email, IP - voice)

3 2

Is Is

Pn Pn

3 3

Is

Pn

Studiu de caz (25)

6. Evaluarea riscului Integritate.

Activ
Active informationale- format electronic: Fisiere de date neprelucrate Fisiere de date prelucrate Rapoarte management & autoritati(pentru printare si semnare) Documentaie sisteme Proceduri operationale

Valoare

Impact

Probabilit ate

Indice de risc

3 3 2

Im Im Is

Ps Ps Ps

5 5 4

In

Pn
Pn

1
2

1 Is Active informationale hartie: 2 Is

Facturi si alte documente justificative

Ps

Rapoarte finale de conformitate

Rapoarte intermediare de verificare destinate controlului dual

1
1

Is
In

Ps
Pn

3
1

Studiu de caz (26)

6. Evaluarea riscului Integritate - continuare

Contracte
Corespondenta parteneri

2
1

Is
Is

Pn
Pn

3
3

Active software: Aplicatii - server si client - prelucrare date si generare rapoarte Sistem de operare server
Sisteme de operare PC Parole administrare server & PC Parole utilizator PC Active hardware: Server baze de date Statii PC

3 2 2 3 2

Im Is Is Im Is

Pn Pn Pn Ps Ps

4 3 3 5 4

3 2

Im Is

Ps Pn

5 3

Studiu de caz (27)

6. Evaluarea riscului Integritate - continuare

Imprimante
Facilitati:

2
2
2

In

Pn

Energie electrica Aer conditionat

Personalul: Personal administrare & conducere Personal operare & executie Outsourcing: Sisteme de comunicatii(date, Internet, email, IP - voice)

3 2

Is Is

Pn Pn

3 3

Is

Pn

Studiu de caz (28)

6. Evaluarea riscului Disponibilitate.

Activ
Active informationale- format electronic: Fisiere de date neprelucrate Fisiere de date prelucrate Rapoarte management & autoritati(pentru printare si semnare) Documentaie sisteme Proceduri operationale

Valoare

Impact

Probabilit ate

Indice de risc

3 3 2

Im Im Is

Ps Ps Ps

5 5 3

In

Pn
Pn

1
2

1 Is Active informationale hartie: 2 Is

Facturi si alte documente justificative

Ps

Rapoarte finale de conformitate

Rapoarte intermediare de verificare destinate controlului dual

1
1

Is
In

Ps
Pn

3
1

Studiu de caz (29)

6. Evaluarea riscului Disponibilitate - continuare

Contracte
Corespondenta parteneri

2
1

Is
Is

Pn
Pn

3
3

Active software: Aplicatii - server si client - prelucrare date si generare rapoarte Sistem de operare server
Sisteme de operare PC Parole administrare server & PC Parole utilizator PC Active hardware: Server baze de date Statii PC

3 2 2 3 2

Is Is Is Im Is

Ps Ps Pn Ps Ps

5 4 3 5 4

3 2

Im Is

Ps Pn

5 3

Studiu de caz (30)

6. Evaluarea riscului Disponibilitate - continuare

Imprimante
Facilitati:

2
2
2

In

Pn

Energie electrica Aer conditionat

Personalul: Personal administrare & conducere Personal operare & executie Outsourcing: Sisteme de comunicatii(date, Internet, email, IP - voice)

Is
Is

Pn
Pn

3
3

3 2

Is Is

Pn Pn

3 3

Is

Pn

Studiu de caz (31)

6. Nivelul riscului

Indice risc
Activ Active informationale- format electronic: Fisiere de date neprelucrate Fisiere de date prelucrate Rapoarte management & autoritati(pentru printare si semnare) Documentaie sisteme Proceduri operationale 3 3 2 1 5 5 4 1 5 5 4 1 2 5 5 3 1 2 Valoare C I D

1 2 Active informationale hartie: 2 1 1 4 3 1

Facturi si alte documente justificative Rapoarte finale de conformitate Rapoarte intermediare de verificare destinate controlului dual

4 3 1

4 3 1

Studiu de caz (32)

6. Nivelul riscului - continuare

Contracte
Corespondenta parteneri

2
1

3
3

3
3

3
3

Active software: Aplicatii - server si client - prelucrare date si generare rapoarte Sistem de operare server
Sisteme de operare PC Parole administrare server & PC Parole utilizator PC Active hardware: Server baze de date Statii PC

3 2 2 3 2

5 5

4 3 3 5 5

5 4 3 5 5

3 2

5 3

5 3

Studiu de caz (33)

6. Nivelul riscului - continuare

Imprimante
Facilitati:

2
2
2

Energie electrica Aer conditionat

Personalul: Personal administrare & conducere Personal operare & executie Outsourcing: Sisteme de comunicatii(date, Internet, email, IP - voice)

3
3

3 2

3 3

3 3

3 3

Studiu de caz (34)

6. Evaluarea riscurilor: In urma analizei efectuate asupra activitatii S.C. CONTRACT S.A. in conditiile actuale din pia, rezulta c materializarea riscurilor identificate i cuantificate in Analiza de Risc, pot afecta: Confidenialitatea: dezavantaje competitive pe piata; pierderi financiare; pierderea increderii partenerilor de afaceri ; pierderi capital imagine; incalcari ale legii si obligatiilor contractuale de confidentialitate; Integritatea: costuri aditionale financiare; impact negativ asupra deciziilor de management; neconformitate cu obligatiile legii privind contabilitatea; Disponibilitatea: suplimentar fata de consecintele identificate mai sus: costuri financiare cu recuperarea datelor; intreruperea activitatii. In aceste conditii, riscul maxim pe care compania este dispusa sa si-l asume este riscul de nivel 3 semnificativ.

Studiu de caz (35)

7. Planul de tratare a riscurilor In vederea reducerii nivelului riscurilor critice (cu nivel 4 i 5) se impun urmatoarele masuri: (m01): Implementarea unui sistem de acces si monitorizare a accesului pe baza de cartela in camera serverului pentru fiecare locatie in parte; PC-ul pe care este instalat soft-ul de management al accesului si monitorizare va fi instalat in camera serverului; (m02): Sistem de detectie efractie; (m03): Opacizarea ferestrelor in zonele cu vizibile in zonele sensibile; (m04): Achizitioarea de dulapuri cu inchuietoare pentru depozitarea documentelor confidentiale in format letric si electronic(sau dotarea celor actuale cu sisteme de inchidere); (m05): Elaborarea de reguli privind accesul in incinta S.C. CONTRACT S.A. de catre vizitatori si salariati in cursul programului si afara acestuia;

Studiu de caz (36)

7. Planul de tratare a riscurilor - continuare (m06): Achizitionarea unui server de back-up; Elaborarea unei proceduri privind recuperarea datelor; Serverul va fi amplasat intr-o locatie aflata in afara localitatii in locatia de back--up al furnizorului de Internet; (m07): Dezactivarea drepturilor de administrator pentru toti salariatii departamentului; Acordarea acestora pe baza baza de solicitare documentata; (m08): Limitarea accesului user-ilor la unitatile de floppy si CD precum si la USB; (m09): Limitarea traficului accesului pe internet in zonele cu risc potential si blocarea accesului la web-based mail, web-chat; Reguli de utilizare acceptabila a postei electonice; (m10): Elaborarea si implementarea de reguli privind politica biroului si a ecranului curat;

Studiu de caz (37)

7. Planul de tratare a riscurilor - continuare (m11): Implementarea si activarea optiunilor de administrare a parolelor de acces; Elaborarea de reguli privind manipularea si alegerea optima a parolelor; (m12): Elaborarea unei reglementari privind clasificarea informatiilor si reguli de gestiune a acestora atat in interiorul organizatiei cat si in exteriorul acesteia; Introducere angajamentului de confidentialitate; (m13): Standardizarea statiilor de lucru in functie de atributiile de serviciu ale salariatilor; Interzicerea utilizarii de soft neautorizat sisau nelicentiat; (m14): Elaborarea si implementarea de reguli pentru utilizarea in siguranta a echipamentelor portabile; Dotarea acestora cu dispozitive pentru criptare datelor(card, token etc); (m15): Instalarea unui software antivirus licenta corporate;

Studiu de caz (38)

7. Planul de tratare a riscurilor - continuare (m16): Elaborarea si implementarea unei proceduri pentru angajarea salariatilor(pre-screening) cat si pentru incetarea relatiei de munca(perioada de preaviz drepturi de acces predare doucumente si documentatie foaie de lichidare);; (m17): Instruire pe probleme de securitate a salariatilor la angajare(una zi) si instruire semestriala cu tot personalul (doua ore); Atunci cand este cazul se va utiliza news-letter pentru semnalarea unor amenintari iminente de tipul virus si cod mailitios.

Studiu de caz (39)

7. Planul de tratare a riscurilor - corelatia dintre active, riscuri si masuri
Activ Valoar e Indice risc C I D Msuri

Active informationale- format electronic:

Fisiere de date neprelucrate Fisiere de date prelucrate Rapoarte management & autoritati(pentru printare si semnare) Documentaie sisteme Proceduri operationale Active informationale hartie: Facturi si alte documente justificative 2 4 4 4
m01, m02, m03, m04, m05, m10, m12, m16, m17
-

3 3 2 1 1

5 5 4 1 2

5 5 4 1 2

5 5 3 1 2

m01, m02, m03, m05, m06, m08, m09, m11, m12, m13, m14, m15 m01, m02, m03, m05, m06, m08, m09, m11, m12, m13, m14, m15, m16 m01, m02, m03, m05, m06, m08, m09, m11, m12, m13, m14, m15, m16
-

Rapoarte finale de conformitate

Rapoarte intermediare de verificare destinate controlului dual

1
1

3
1

3
1

3
1

Studiu de caz (40)

7. Planul de tratare a riscurilor - corelatia dintre active, riscuri si masuri
Contracte Corespondenta parteneri Active software: Aplicatii - server si client - prelucrare date si generare rapoarte Sistem de operare server Sisteme de operare PC Parole administrare server & PC Parole utilizator PC Active hardware: Server baze de date Statii PC 3 2 5 3 5 3
m001, m02, m03, m05, m06, m08, m9, m11, m12, m13, m14, m15 -

2
1

3 3

3 3

3 3

3
2 2 3 2

5 5

4
3 3 5 5

5
4 3 5 5

m06 m06

m10, m11, m12, m17 m10, m11, m12, m13, m14, m17

Studiu de caz (41)

7. Planul de tratare a riscurilor - corelatia dintre active, riscuri si masuri
Imprimante Facilitati: Energie electrica Aer conditionat Personalul: Personal administrare & conducere Personal operare & executie 3 2 3 3 3 3 3 3
-

2
2 2

3 3

Outsourcing:
Sisteme de comunicatii(date, Internet, e-mail, IP - voice) 3 3 3 3
-

Studiu de caz (42)

8. Declaraia de aplicabilitate
Indicativul msurii

Denumirea msurii Politica de securitate

Documentaia politicii de securitate Revizuiri i evaluri

Aplicabil Da / Nu Da Da

Termen

A.5
A.5.1. A.5.2

1 luna 6 luni 6 luni

A.6
A.6.1.
A.6.1.1. A.6.1.2. A.6.1.3. A.6.1.4. A.6.1.5. A.6.1.6. A.6.1.7. A.6.1.8.

Organizarea securitii informaiilor

Organizarea interna
Angajamentul managementului pentru securitatea inf ormaiilor Coordonarea securitii inf ormaiilor Alocarea responsabilitilor privind securitatea inf ormaiei Procesul de autorizare pentru f acilitile de procesare a inf ormaiilor Acorduri de conf identialitate Contactul cu autoritatile Contactul cu grupuri de interese speciale Revizuirea independent a securitii inf ormaiilor Da Da Da Da Da Da Da Da Da Da Da 3 luni o luna 3 luni

A.6.2.
A.6.2.1. A.6.2.2. A.6.2.3.

Pri externe
Identif icarea riscurilor legate de accesul terei pri Cerinele de securitate n relaiile de af aceri cu clienii Cerinele de securitate n acordurile cu tere pri

A.7
A.7.1.
A.7.1.1. A.7.1.2. A.7.1.3.

Managementul activelor
Responsabilitatea pentru active
Inventarierea bunurilor Dreptul de propritate asupra bunurilor Utilizarea aceptabila a bunurilor Da Da Da Da Da 3 luni 3 luni 3 luni 1 luna

A.7.2.
A.7.2.1. A.7.2.2.

Clasificarea informatiilor
Linii directoare pentru clasif icare Etichetarea i manipularea inf ormaiilor

A.8
A.8.1.
A.8.1.1. A.8.1.2.

Securitatea resurselor umane

nainte de angajare
Roluri i responsabiliti Controlul verif icrii Da Da 6 luni

Studiu de caz (43)

8. Declaraia de aplicabilitate
A.8.2.
A.8.2.1. A.8.2.2. A.8.2.3.

Pe timpul angajrii
Responsabilitile managementului Ameninrile la securitatea inf ormaiei, educaie i instruire Procese disciplinare Da Da Da Da Da Da 1 luna 2 luni 6 luni 3 luni

A.8.3.
A.8.3.1. A.8.3.2. A.8.3.3.

La terminarea angajrii sau schimbarea locului de munc

Responsabiliti la terminare Returnarea bunurilor Revocarea drepturilor de acces

A.9.
A.9.1.
A.9.1.1. A.9.1.2. A.9.1.3. A.9.1.4. A.9.1.5. A.9.1.6.

Securitatea fizic i a mediului

Arii de securitate
Perimetrul de securitate f izic Controlul accesului f izic Securizarea birourilor, camerelor i f acilitilor Protecia mpotriva ameninrilor externe i de mediu Lucrul n cadrul zonelor de securitate Arii de acess al publicului, de livrare i ncrcare Da Da Da Da Da Nu Da Da Da Da Da Da Da 3 3 3 3 3 luni luni luni luni luni

A.9.2.
A.9.2.1. A.9.2.2. A.9.2.3. A.9.2.4. A.9.2.5. A.9.2.6. A.9.2.7.

Securitatea echipamentului
Amplasarea i protejarea echipamentului Utiliti de susinere Securitatea cablurilor Mentenana echipamentului Securitatea echipamentelor n af ara zonelor de securitate Dezaf ectarea n siguran i reutilizarea echipamentului nstrinarea resurselor proprietare

2 luni

Studiu de caz (44)

8. Declaraia de aplicabilitate
A.10
A.10.1.
A.10.1.1. A.10.1.2. A.10.1.3. A.10.1.4.

Managementul comunicatiilor si al operatiilor

Proceduri i responsabiliti operaionale
Proceduri de operare documentate Managementul modif icrilor Segregarea atribuiilor Separarea f acilitilor operaionale, de test i de dezvoltare Da Da Da Da Da Da Da Da Da Da Da Da Nu Nu Da Da Da Da 1 luna 2 luni 2 luni 2 luni 3 3 3 3 luni luni luni luni

A.10.2.
A.10.2.1. A.10.2.2. A.10.2.3.

Managementul furnizrii de servicii de ter parte

Furnizarea de servicii Monitorizarea i revizuirea serviciilor de ter parte Direcionarea schimbrii serviciilor de ter parte 3 luni 3 luni 3 luni 1 luna 1 luna 1 luna 1 luna 1 luna

A.10.3.
A.10.3.1. A.10.3.2.

Planificarea i acceptana sistemului

Managementul capacitii Acceptana sistemului

A.10.4.
A.10.4.1. A.10.4.2.

Protecia mpotriva softului maliios i mobil

Msuri mpotriva sof tului maliios Msuri mpotriva sof tului mobil

A.10.5.
A.10.5.1.

Back-up
Inf ormaia de back-up

A.10.6.
A.10.6.1. A.10.6.2

Managementul securitii reelelor

Controalele reelei Securitatea serviciilor de reea

A.10.7.
A.10.7.1. A.10.7.2. A.10.7.3. A.10.7.4.

Manipularea i securitatea mediilor de stocare

Managementul suporturilor de date amovibile Depozitarea suporturilor de date Procedurile de manipulare a inf ormaiilor Securitatea documentaiei de sistem

Studiu de caz (45)

8. Declaraia de aplicabilitate
A.10.8.
A.10.8.1. A.10.8.2. A.10.8.3. A.10.8.4. A.10.8.5.

Schimbul de informaii
Politici i proceduri privind schimbul de inf ormaii Acorduri privind schimburile de inf ormaii Securitatea mediilor n tranzit Mesageria electronic Sisteme pentru inf ormaia de business Da Nu Da Da Nu Nu Nu Nu Da Da Da Da Da Da 1 1 1 1 1 1 luna luna luna luna luna luna 3 luni 3 luni 3 luni

A.10.9.

Serviciile de comer electronic

A.10.9.1. Comerul electronic A.10.9.2. Tranzacii on-line A.10.9.3. Inf ormaia disponibil public

A.10.10. Monitorizarea
A.10.10.1. Logurile de audit A.10.10.2 Monitorizarea utilizrii sistemului A.10.10.3. Protecia inf ormatiei de log A.10.10.4. Loguri pentru administrator si operatori A.10.10.5. Logarile gresite A.10.10.6. Sincronizarea ceasului

A.11
A.11.1. A.11.2.
A.11.2.1. A.11.2.2. A.11.2.3. A.11.2.4.

Controlul accesului
Cerinele afacerii pentru controlul accesului
Da Da Da Da Da 2 luni 1 luna 1 luna 1 luna la 3 luni

A.11.1.1. Politica de control al accesului

Managementul accesului utilizatorilor

nregistrarea utilizatorilor Managementul privilegiului Managementul parolelor utilizatorilor Revizuirea drepturilor de acces ale utilizatorilor

Studiu de caz (46)

8. Declaraia de aplicabilitate
A.11.3. Responsabilitile utilizatorilor
Da Da Da Nu Nu Nu Nu Nu Nu Nu Da Da Da Da Da Da Da DA Da Nu 1 1 1 1 1 1 luna luna luna luna luna luna 1 luna 1 luna 1 luna A.11.3.1. Utilizarea parolei A.11.3.2. Echipamentul nesupravegheat A.11.3.3. Politica biroului si ecranului curate

A.11.4.
A.11.4.1. A.11.4.2. A.11.4.3. A.11.4.4. A.11.4.5. A.11.4.6. A.11.4.7.

Controlul accesului la reea

Politica de utilizare a serviciilor de reea Autentif icarea utilizatorului pentru conectri externe Identif icarea echipamentului in retele Diagnosticarea de la distan si conf igurarea proteciei porturilor Separarea reelelor Controlul conectrii la reea Controlul rutrii n reea

A.11.5.
A.11.5.1. A.11.5.2. A.11.5.3. A.11.5.4. A.11.5.5. A.11.5.6.

Controlul accesului la sistemul de operare

Procedurile de logare securizate Identif icarea i autentif icarea utilizatorului Sistemul de management al parolelor Utilitare de sistem Sesiune time-aut Limitarea timpului de conectare

A.11.6.

Controlul accesului la aplicaii si informatii

1 luna 1 luna

A.11.6.1. Restricionarea acceslui la inf ormaii A.11.6.2. Izolarea sistemelor sensibile

A.11.7.

Calculatoare mobile si lucrul la distanta

A.11.7.1. Calculatoare mobile si f acilitati de comunicatii A.11.7.2. Lucrul la distanta

Studiu de caz (47)

8. Declaraia de aplicabilitate
A.12
A.12.1. A.12.2.
A.12.2.1. A.12.2.2. A.12.2.3. A.12.2.4.

Achizitia, dezvoltarea si mentenanta sistemelor informationale

Cerine de securitate ale sistemelor informationale
Nu Nu Nu Nu Nu Da Da Nu Nu Nu 6 luni Da Da Da Da Nu Da 3 luni 3 luni

A.12.1.1. Analiza i specificarea cerinelor de securitate

Procesarea corecta in aplicaii

Validarea datelor de intrare Controlul proceselor interne Integritatea mesajelor Validarea datelor de iesire

A.12.3.

Controale criptografice

A.12.3.1. Politica utilizrii controalelor criptografice A.12.3.2. Managementul cheilor

A.12.4.

Securitatea fiierelor de sistem

A.12.4.1. Controlul softw are-ului operaional A.12.4.2. Protecia datelor de testare a sistemului A.12.4.3. Controlul accesului la codul surs

A.12.5.
A.12.5.1. A.12.5.2. A.12.5.3. A.12.5.4. A.12.5.5.

Securitatea proceselor de dezvoltare i suport

Procedurile de control al schimbrilor Revizuirea tehnic a aplicaiilor dup schimbarea sistemului operaional Restricionarea modificrilor softw are-ului Informaia ascuns Surse externe de dezvoltare a softw are-ului

A.12.6.

Managementul vulnerabilitatilor tehnice

A.12.6.1. Controlul vulnerabilitatilor tehnice

Studiu de caz (48)

8. Declaraia de aplicabilitate
A.13
A.13.1.
A.13.1.1. A.13.1.2.

Managementul incidentelor de securitate a informatiei

Raportarea incidentelor si vulnerabilitatilor de securitate
Raportarea incidentelor de securitate Raportarea vulnerabilitatilor de securitate Responsabilitati si proceduri Invatarea din incidentele de securitate Colectarea dovezilor Da Da Da Da Da 6 luni 6 luni 6 luni 6 luni 6 luni

A.13.2.
A.13.2.1. A.13.2.2. A.13.2.3.

Managementul incidentelor de securitate a informatiei si perfectionare

A.14
A.14.1.
A.14.1.1. A.14.1.2. A.14.1.3. A.14.1.4. A.14.1.5.

Managementul continuitii afacerii

Aspecte ale managementului continuitii afacerilor
Includerea securitii inf ormaiei n procesul de management al continuitii af acerilor Da 12 Continuitatea af acerilor i evaluarea riscurilor Da 12 Dezvoltarea i implementarea planurilor de continuitate bazate pe securitatea Da inf ormaiilor 12 Structura de aplicare a planurilor de continuitate Da 12 Testarea, meninerea i reanalizarea planurilor Da 12 luni luni luni luni luni

A.15
A.15.1.
A.15.1.1. A.15.1.2. A.15.1.3. A.15.1.4. A.15.1.5. A.15.1.6.

Conformitatea
Conformitatea cu cerinele legale
Identif icarea legislaiei aplicabile Da Drepturile de proprietate intelectual Da Protejarea nregistrrilor organizaiei Da Protecia datelor i inf ormaiilor personale Nu Prevenirea utilizrii necorespunztoare a f acilitilor de procesare a inf ormaiilor Da Reglementarea controalelor criptograf ice Nu 12 luni 12 luni 12 luni 12 luni

A.15.2.
A.15.2.1. A.15.2.2.

Conformitate cu politicile de securitate i standardele i reglementrile tehnice

Conf ormitatea cu politicile de securitate i standardele Verif icarea conf ormitii tehnice Da Da Da Da 12 luni 12 luni 12 luni 12 luni

A.15.3.
A.15.3.1. A.15.3.2.

Consideraii asupra auditrii sistemelor informaionale

Controalele sistemului de audit Protecia instrumentelor de audit

Agenda
1. Conceptul de securitate a informaiilor (definiie, elemente fundamentale; ameninri, vulnerabiliti, riscuri; necesitatea asigurrii securitii informaiilor (obiectiv, legal, contractual; cadrul normativ) 2. Sisteme de management al securitii informaiilor (SMSI) 3. Managementul riscului 4. Proiectarea, implementarea, monitorizarea i mbuntirea SMSI 5. Certificarea unui SMSI

Planificarea, implementarea, meninerea i mbuntirea unui SMSI

Aplicarea modelului PDCA (Plan-Do-Check-Act)
PLAN: stabilirea i documentarea strategiei de securitate, identificarea proceselor de baz ale afacerii i a procedurilor relevante pentru managementul riscului DO: implementarea i funcionarea strategiei, a sistemelor de management proiectate, a proceselor i procedurilor pentru fiecare sistem n parte CHECK: Monitorizarea i revizuirea sistemelor, prin evaluri i msurri periodice ale performanei proceselor n raport cu politicile i obiectivele de securitate i experiena practic dobndite ACT: Meninerea i mbuntirea strategiei prin aciuni corective i preventive, bazate pe rezultatele auditurilor interne i revizuirile managementului

Planificarea SMSI
Faza PLAN: Stabilirea strategiei de securitate
a. Definirea scopului strategiei n concordan cu caracteristicele afacerii, ale organizaiei, locaiei, bunurilor i tehnologiei b. Definirea politicilor de securitate ale organizaiei (n domeniul informaiilor) c. Definirea unei abordri sistematice a analizei de risc d. Identificarea riscurilor e. Analiza i evaluarea riscurilor f. Identificarea i evaluarea opiunilor de tratare a riscurilor g. Selectarea msurilor pentru tratarea riscurilor h. ntocmirea Declaraiei de Aplicabilitate i. Obinerea aprobrii managementului de a implementa i opera strategia de securitate a organizaiei

Implementarea, meninerea, certificarea SMSI

Faza DO: Care sunt paii pentru implementarea unei strategii de securitate ?
a) elaborarea planului de tratare a riscurilor (care identific aciunile managementului, resursele/bugetul, responsabilitile, prioritile etc) b) implementarea planului de tratare a riscurilor c) implementarea msurilor de control stabilite d) definirea modului de msurare a eficienei strategiei i a modului de evaluare a eficienei acestuia e) implementare programe de instruire i contientizare f) gestionarea funcionrii strategiei g) administrarea resurselor alocate h) implementarea procedurilor i msurilor capabile s permit detectarea evenimentelor de securitate i managementul acestora

Implementarea, meninerea, certificarea SMSI

Faza CHECK: Monitorizarea i revizuirea strategiei
Dup implementarea strategiei organizaia trebuie: a) s monitorizeze i revizuiasc procesele strategiei (detectare erori; identificare bree, slbiciuni; detectare evenimente de securitate; evaluarea modului de respectare a responsabilitilor); b) evaluarea periodic a eficacitii msurilor; c) revizuirea analizei de risc (mutaii n organizaie, tehnologie, obiective de afaceri, procese, ameninri identificate, efic. msuri) d) efectuarea de audituri interne e) revizuiri manageriale ale strategiei f) actualizare plan de securitate g) s nregistreze i evalueze aciunile i evenimentele cu impact asupra activitilor de business

Implementarea, meninerea, certificarea SMSI

Faza ACT: Meninerea i mbuntirea strategiei
Organizaia trebuie s asigure n mod sistematic: a) implementarea mbuntirilor identificate; b) msuri corective i preventive corespunztoare, inclusiv prin folosirea experienei altor organizaii; c) comunicarea msurilor de mbuntire tuturor prilor interesate d) s se asigure c mbuntirile ating obiectivele planificate i conduc la mbuntiri succesive

Certificarea unui SMSI

n ce const certificarea ?
evaluarea, de ctre un organism acreditat, de ter parte, a conformitii unui SMSI cu cerinele de securitate definite asigurarea c sistemul a fost creat, implementat i funcioneaz conform cu cerinele standardului de referin

Etapele certificrii unui SMSI

a) Contactarea O.C.S.M.S.I. b) Iniierea certificrii SMSI c) Semnarea contractului d) Stabilirea echipei de audit e) Auditul de evaluare f) Certificarea g) Supravegerea organizaiilor certificate

Care sunt avantajele certificrii S.M.S.I.?

Confer ncredere c SMSI elaborat i implementat de organizaie corespunde standardelor n vigoare Ofer suport pentru meninerea i mbuntirea permanent a SMSI Confer partenerilor de afaceri, colaboratorilor, administraiei garanii referitoare la managementul securitii informaiilor n organizaia certificat