Documente Academic
Documente Profesional
Documente Cultură
1. Conceptul de securitate a informaiilor (definiie, elemente fundamentale; ameninri, vulnerabiliti, riscuri, necesitatea asigurrii securitii informaiilor obiectiv, legal, contractual; cadrul normativ) 2. Sisteme de management al securitii informaiilor (SMSI) 3. Managementul riscului 4. Proiectarea, implementarea, monitorizarea i mbuntirea SMSI 5. Certificarea unui SMSI
Informaiile sunt un bun al afacerii, care ca oricare bun al companiei, are valoare i trebuie protejat adecvat
Informaiile trebuie protejate adecvat indiferent de forma pe care o iau sau de mijloacele prin care sunt pstrate sau comunicate
Informaii?
Informaiile afacerii
Accesul la informaii
Video
Discuii
Contextul Internet
Reea global Acces rapid, ieftin, discret, fr urm Trafic n cretere Oricine de oriunde Arhitectur structural nesigur TCPIP
Nivele de securitate
Importana informaiei
Protecia informatiilor business critical Competitie Cash Flow Cerinte legale Reputatie ?
Asigurarea c informaia este accesibil doar acelora care sunt autorizai s aib acces.
Integritate
Asigurarea c utilizatorii autorizai au acces la informaii i la bunurile asociate atunci cnd este necesar.
Protejarea organizaiei de o palet larg de pericole i ameninri interne i externe cu impact asupra securitii informaiilor Asigurarea continuitii operaiunilor Minimizarea pagubelor i maximizarea recuperrii investiiilor i oprtunitilor de afaceri Meninerea netirbite a competivitii, profitabilitii, legalitii, reputaiei i imaginii organizaiei
RISC
o pagub (pierdere) potenial pentru organizaie n situaia cnd o ameninare exploateaz o vulnerabilitate. Riscul este exprimat cel mai bine de rspunsul la urmtoarele ntrebri:
Ce se poate ntmpla (care este ameninarea)? Care este impactul sau consecina? Care este frecvena (ct de des se poate ntmpla)?
Ameninri
cresc protejeaz
Vulnerabiliti
expun
Msuri de control
reduc
indic
Riscuri
Bunuri
au
impun
cresc
Cerine de protecie
Impact
Securitatea fizic i a mediului Incendiu Atac cu bomb Cutremur Contaminare mediu Inundaie Fulger Furt Preturbaii industriale Vandalism
Securitatea echipamentului Defeciune aer condiionat Particule conductive Atac cu bomb Contaminare Cdere alimentare Deranjament hardware Eroare de ntreinere Software duntor Accesarea reelei de persoane neautorizate Eroare de utilizator
Administrare calculator i reea Linii de comunicaie neprotejate (interceptare) Puncte de conexiune neprotejate (infiltrare comunicaii) Lipsa mecanismelor de identificare i autentificare (substituire identitate) Transferul parolelor n clar (accesare reea de utilizatori neautorizai) Linii dial-up (accesare reea de utilizatori neautorizai) Administrare reea neadecvat (suprancrcare trafic)
Sistem de control al accesului / politic de dezvoltare i ntreinere Interfa de utilizator complicat (eroare de utilizator) Lipsa unei proceduri de tergere a mediilor de stocare nainte de reutilizare (utilizare neautorizat software) Lipsa unui control adecvat al modificrilor (defeciuni software) Administrare defectuoas a parolelor (substituire identitate)
Tratarea riscurilor este rezultatul unui proces de management al riscurilor i const n: - Aplicarea msurilor de control adecvate pentru reducerea riscurilor - nelegerea i acceptarea contient a riscurilor n msura n care sunt satisfcute politica organizaional i criteriile de acceptare a riscului - Eliminarea riscului (renunarea la unele activiti; mutarea unor bunuri n zone mai puin expuse; renunarea la procesarea unor informaii sensibile) - Transferarea riscurilor asociate activitii altor pri (asigurare, outsourcing)
Agenda
1. Conceptul de securitate a informaiilor (definiie, elemente fundamentale; ameninri, vulnerabiliti, riscuri; necesitatea asigurrii securitii informaiilor (obiectiv, legal, contractual; cadrul normativ) 2. Sisteme de management al securitii informaiilor (SMSI) 3. Managementul riscului 4. Proiectarea, implementarea, monitorizarea i mbuntirea SMSI 5. Certificarea unui SMSI
Ce este un SMSI ?
S.M.S.I.
parte a sistemului de management al unei organizaii, bazat pe analiza riscurilor, destinat elaborrii, implementrii, operrii, supravegherii, meninerii i mbuntirii securitii informaiilor
Standarde aplicabile
ISO 9001/2008 - Cerine pentru sistemele de management al calitii ISO 27002/2005 - Ghid practic pentru managementul securitii informaiilor ISO 27001/2005 Sisteme de management al securitii informaiilor Specificaii i instruciuni de aplicare
- Alocarea responsabilitatilor pentru securitate - Realizarea de training si educare pentru securitatea informatiei - Raportarea incidentelor de securitate - Control pentru malicious code - Existenta unui plan de continuare a afacerii business continuity plan - Existenta controlului asupra proprietatii intelectuale - Protejarea documentelor si inregistrarilor companiei - Respectarea (conformitatea) legilor pentru Protectia Datelor - Demonstratea conformitatii cu politicile de securitate
Pentru a proteja informatia de un numar alarmant de amenintari, pentru a asigura continuitatea afacerii si pentru a maximiza intoarcerea investitiei facute precum si a oportunitatilor de afacere
securitatea informaiei este tratat ca o necesitate prioritar, respectiv ca un sistem de management (o securitate a informaiei puternic a devenit
un avantaj n cadrul competiiei n afaceri iar bugetul alocat securitii este separat de cel al departamentului IT).
Agenda
1. Conceptul de securitate a informaiilor (definiie, elemente fundamentale; ameninri, vulnerabiliti, riscuri; necesitatea asigurrii securitii informaiilor (obiectiv, legal, contractual; cadrul normativ) 2. Sisteme de management al securitii informaiilor (SMSI) 3. Managementul riscului 4. Proiectarea, implementarea, monitorizarea i mbuntirea SMSI 5. Certificarea unui SMSI
# evaluarea riscurilor abordare sistematic a: daunelor care ar putea rezulta n urma unei bree de securitate probabilitatea realist ca un astfel eveniment de securitate sa se produca # indicarea i determinarea actiunilor de management potrivite i a prioritilor acestora # implementarea controalelor selectate pentru protecia mpotriva riscurilor # revizuiri periodice
- evaluarea riscurilor la care este expus organizaia - cerinele legale, statutare, contractuale - setul specific de principii, obiective i cerine pentru procesarea informaiei
Terminologie
Terminologie
Organizaia trebuie s stabileasc o metod de analiz a riscurilor care este adecvat pentru SMSI i s identifice cerinele de securitate, cerinele legale i regulatorii ale sale. S stabileasc politica i obiectivele SMSI n vederea reducerii riscurilor la nivele acceptabile. S determine criteriile pentru acceptarea riscurilor i nivelele la care acestea pot fi acceptate.(ISO 27001)
a)
identificarea resurselor
b)
c) identificarea vulnerabilitilor care pot fi exploatate de ameninri d) identificarea impactului pe care pierderea confidenialitii, integritii i disponibilitii l pot avea asupra resurselor
d) determinarea dac riscul este acceptabil sau necesit tratare n baza criteriilor de acceptare stabilite.
Procesul de MR
Stabilirea Contextului Identificarea/analiza Riscurilor
Tratarea Riscurilor
Monitorizare i Analiz
Comunic i consult
Plan-Do-Check-Act
Plan
Analiza de risc
Do
Tratarea riscurilor
Imbunatatire
Act
Monitorizarea riscurilor
Check
Ameninrile - surse accidentale sau voite de evenimente Exploateaz o vulnerabilitate Factori de analiz: Resursa Acces Actor Motivaie Impact
Vulnerabilitile slbiciuni asociate resurselor n: Mediul fizic Personal, management, administraie Hardware, software, comunicaii Cauzeaz daune numai dac sunt exploatate de ameninri Exemple
Calculul riscurilor
Metode cantitative
AV valoarea resursei SMSI EF factorul de expunere (valoarea procentuala a impactului din valoarea resursei) SLE = AV x EF (Ex. 150.000 lei X 25%= 37.500 lei pierdere la o aparitie a riscului) SLE impactul unui risc la o aparitie ARO rata (frecventa) de manifestare a incidentului ALE impactul total estimat al riscului ALE = SLE x ARO (Ex. 37.500 lei X 0,1 - o frecventa a riscului de 1 la 10 ani= 3.700 lei)
Calculul riscurilor
Exemplu de calcul: evaluarea separat a ameninrilor i vulnerabilitilor
Metode calitative
Sczut
Mediu
Ridicat
S M R S M R S M R
0
Valoare a bunului
0
1 2
1
2 3
2
3 4
1
2 3
2
3 4
3
4 5
2
3 4
3
4 5
4
5 6
1 2
3
4
3
4
4
5
5
6
4
5
5
6
6
7
5
6
6
7
7
8
Calculul riscurilor
Metode cantitative
Avantaje
Caracter obiectiv Formalism convenabil top-managementului Faciliteaza analiza cost-efect Se preteaza aplicatiilor software Dezavantaje Lipsa unor valori unanim recunoscute pentru factorii de expunere sau ratele de aparitie Dificultatea de aplicare completa a metodei Complexitate mare Credibilitate scazuta
Dezavanje
o anumita doza de subiectivism suport redus pentru analiza cost/efect
Tratamentul riscurilor
Aplicarea msurilor de control adecvate pentru reducerea riscurilor nelegerea i acceptarea contient a riscurilor n msura n care sunt satisfcute politica organizaional i criteriile de acceptare a riscului Eliminarea riscului Renunarea la unele activiti Mutarea unor bunuri n zone mai puin expuse Renunarea la procesarea unor informaii sensibile Transferarea riscurilor asociate activitii altor pri Asigurare, outsourcing, scoaterea din S.M.S.I
Sistemul de management al securitii informaiilor factor decisiv n protejarea afacerilor Obiectivele standardelor ISO 27002 si ISO 27001
Actionariat: director general (40%); director comercial (25%), director economic (20%), director tehnic (15%). Organizatia isi desfasoara activitatea in locaii din cadrul localitii, n locaii situate n cadrul judeului i n alte judee. Locaiile au urmatoarele destinaii: - sediu, - depozite centrale (numai n localitatea n care organizaia ii are sediul), - depozite(en-gros; n diverse localiti din ara), - magazine(en-detail; n diverse localiti din ara).
Strategia de securitate a S.C. CONTRACT S.A. va fi prezentat intrun document Politica de Securitate a S.C. CONTRACT S.A., document care va fi elaborat in conformitate cu recomandarile standardelor ISO 27002, si prevederile actelor normative in vigoare pe teritoriul Romaniei. Documentul Politica de Securitate a S.C. CONTRACT S.A. va evidentia reperele de baza privind strategia de securitate a S.C. CONTRACT S.A.: - rolurile i responsabilitile privind implementarea strategiei de securitate;
- existenta unei viziuni clare a managementului organizaiei i o comunicare efectiva a acesteia ctre personalul organizaiei, aspect fundamental pentru asigurarea eficienei oricaror proceduri i msuri de securitate specifice; - modul n care s-au identificat cerinele de securitate considerind ca surse principale: analiza riscurilor, legislaia existenta, standardele si procedurile interne; - modul de tratare a riscurilor proprii sau induse de teri sau subcontractori care au acces la resursele organizatiei;
- scopului politicii: asigurarea unui climat de siguranta necesar desfurrii i continuitii activitii organizaiei; - obiectivele politicii de a asigura confidentialitatea, integritatea, disponibilitatea privind resursele, n condiii de risc acceptate de managementul organizatiei; - resursele care fac obiectul strategiei de securitate: informatiile, aplicatiile soft, retele informatice si de comunicatii, echipamente tehnice, echipamente informatice si de comunicatii, cladiri, incaperi, utilitati(energie electrica, energie termica, etc.), ersonalul, etc.;
- instruirea salariatilor; raportarea si investigarea incidentelor de securitate; principiile care sustin intregul proces (controlul dual, segregarea atributiilor, derularea activitatii cu privilegii minime, planificarea contingenei, orice acces care nu este in mod explicit permis este in mod implicit interzis, politica biroului curat;
- documente interne (norme, proceduri, planuri de actiune) prin care se va realiza implementarea si aplicarea strategiei de securitate;
- obligativitatea personalului de a lua act, a intelege si a respecta politica si toate reglementarile, conform cu documentatiei SMSI prin care se asigura relizarea obiectivelor strategiei politicii de securitate a S.C. CONTRACT S.A. ;
Proprietar
Valoare
2
1
Georgescu I 3 2 2 3
Corespondenta parteneri
Active software: Aplicatii - server si client - prelucrare date si generare rapoarte Sistem de operare server Sisteme de operare PC Parole administrare server & PC
Parole utilizator PC
Active hardware: Server baze de date Statii PC Georgescu I
3 2
2
Anton P.
2 2
Facilitati:
Energie electrica Aer conditionat Personalul: Personal administrare & conducere Personal operare & executie Outsourcing: Sisteme de comunicatii(date, Internet, e-mail, IP voice)
3 2
Lipsa monitorizare mediu Lipsa monitorizare mediu Lipsa monitorizare mediu Lipsa monitorizare mediu Lipsa monitorizare mediu Modul defectuos de intretinerecuratenie Lipsa monitorizare mediu Documentare si instruire insuficienta Documentare si instruire insuficienta Lipsa documentare, instruire deficitara
Cutremur Inundatie Foc Contaminare mediu Perturbatii industriale Particule praf Defectiune aer conditionat Deranjamente hardware Erori de intretinere Erori de utilizare, operare,
Toate Toate Toate Personal Hard, Soft, Outs Hard Hard Hard Hard Soft
I, D I, D I, D D D D D D I, D I, D
Lipsa politici de control fizic acces; Lipsa politici de control logic al accesului; Lips politic privind biroul curat; Instruire deficitara utilizatori ; Acces nelimitat la servicii webbased mail, web-chat Retea in locuri nesupraveghea si in spatiul public Instruire deficitara utilizatori mod de administrare deficitar al parolelor Drepturi admin, lipsa proceduri Acces floppyCD, Lipsa monitorizare si control regulat
U, I
Interceptare comunicatii
C, I
I U
C, I C, I, D
Haking
Virusi & Cod malitios Nerespectare proceduri operationale (administrare, acces, operare) Lipsa personal
U
N, U, I U, I
C, I, D
C, I, D C, I, D
U, I
In
Pn Ps Pm Pn
Is
Ps
Im
Pm Pn Ps Pm
RISC
1
Valoarea Activului
1 1 1 2
2 3
2 3
3 4
4 4 5
4 5 5 5
5 5
2 3
2 2 3
3 4
5 5 5
Activ
Active informationale- format electronic: Fisiere de date neprelucrate Fisiere de date prelucrate Rapoarte management & autoritati(pentru printare si semnare) Documentaie sisteme Proceduri operationale
Valoare
Impact
Probabilit ate
Indice de risc
3 3 2
Im Im Im
Ps Ps Ps
5 5 4
In
Pn
Pn
1
2
Ps
1
1
Is
In
Ps
Pn
3
2
Contracte
Corespondenta parteneri
2
1
Is
Is
Pn
Pn
3
3
Active software: Aplicatii - server si client - prelucrare date si generare rapoarte Sistem de operare server
Sisteme de operare PC Parole administrare server & PC Parole utilizator PC Active hardware: Server baze de date Statii PC
3 2 2 3 2
Im Is
Ps Ps 5 4
3 2
Imprimante
Facilitati:
2
2
2
3 2
Is Is
Pn Pn
3 3
Is
Pn
Activ
Active informationale- format electronic: Fisiere de date neprelucrate Fisiere de date prelucrate Rapoarte management & autoritati(pentru printare si semnare) Documentaie sisteme Proceduri operationale
Valoare
Impact
Probabilit ate
Indice de risc
3 3 2
Im Im Is
Ps Ps Ps
5 5 4
In
Pn
Pn
1
2
Ps
1
1
Is
In
Ps
Pn
3
1
Contracte
Corespondenta parteneri
2
1
Is
Is
Pn
Pn
3
3
Active software: Aplicatii - server si client - prelucrare date si generare rapoarte Sistem de operare server
Sisteme de operare PC Parole administrare server & PC Parole utilizator PC Active hardware: Server baze de date Statii PC
3 2 2 3 2
Im Is Is Im Is
Pn Pn Pn Ps Ps
4 3 3 5 4
3 2
Im Is
Ps Pn
5 3
Imprimante
Facilitati:
2
2
2
In
Pn
3 2
Is Is
Pn Pn
3 3
Is
Pn
Activ
Active informationale- format electronic: Fisiere de date neprelucrate Fisiere de date prelucrate Rapoarte management & autoritati(pentru printare si semnare) Documentaie sisteme Proceduri operationale
Valoare
Impact
Probabilit ate
Indice de risc
3 3 2
Im Im Is
Ps Ps Ps
5 5 3
In
Pn
Pn
1
2
Ps
1
1
Is
In
Ps
Pn
3
1
Contracte
Corespondenta parteneri
2
1
Is
Is
Pn
Pn
3
3
Active software: Aplicatii - server si client - prelucrare date si generare rapoarte Sistem de operare server
Sisteme de operare PC Parole administrare server & PC Parole utilizator PC Active hardware: Server baze de date Statii PC
3 2 2 3 2
Is Is Is Im Is
Ps Ps Pn Ps Ps
5 4 3 5 4
3 2
Im Is
Ps Pn
5 3
Imprimante
Facilitati:
2
2
2
In
Pn
Is
Is
Pn
Pn
3
3
3 2
Is Is
Pn Pn
3 3
Is
Pn
Indice risc
Activ Active informationale- format electronic: Fisiere de date neprelucrate Fisiere de date prelucrate Rapoarte management & autoritati(pentru printare si semnare) Documentaie sisteme Proceduri operationale 3 3 2 1 5 5 4 1 5 5 4 1 2 5 5 3 1 2 Valoare C I D
Facturi si alte documente justificative Rapoarte finale de conformitate Rapoarte intermediare de verificare destinate controlului dual
4 3 1
4 3 1
Contracte
Corespondenta parteneri
2
1
3
3
3
3
3
3
Active software: Aplicatii - server si client - prelucrare date si generare rapoarte Sistem de operare server
Sisteme de operare PC Parole administrare server & PC Parole utilizator PC Active hardware: Server baze de date Statii PC
3 2 2 3 2
5 5
4 3 3 5 5
5 4 3 5 5
3 2
5 3
5 3
Imprimante
Facilitati:
2
2
2
3
3
3 2
3 3
3 3
3 3
3 3 2 1 1
5 5 4 1 2
5 5 4 1 2
5 5 3 1 2
m01, m02, m03, m05, m06, m08, m09, m11, m12, m13, m14, m15 m01, m02, m03, m05, m06, m08, m09, m11, m12, m13, m14, m15, m16 m01, m02, m03, m05, m06, m08, m09, m11, m12, m13, m14, m15, m16
-
1
1
3
1
3
1
3
1
2
1
3 3
3 3
3 3
3
2 2 3 2
5 5
4
3 3 5 5
5
4 3 5 5
m06 m06
m10, m11, m12, m17 m10, m11, m12, m13, m14, m17
2
2 2
3 3
Outsourcing:
Sisteme de comunicatii(date, Internet, e-mail, IP - voice) 3 3 3 3
-
Aplicabil Da / Nu Da Da
Termen
A.5
A.5.1. A.5.2
A.6
A.6.1.
A.6.1.1. A.6.1.2. A.6.1.3. A.6.1.4. A.6.1.5. A.6.1.6. A.6.1.7. A.6.1.8.
A.6.2.
A.6.2.1. A.6.2.2. A.6.2.3.
Pri externe
Identif icarea riscurilor legate de accesul terei pri Cerinele de securitate n relaiile de af aceri cu clienii Cerinele de securitate n acordurile cu tere pri
A.7
A.7.1.
A.7.1.1. A.7.1.2. A.7.1.3.
Managementul activelor
Responsabilitatea pentru active
Inventarierea bunurilor Dreptul de propritate asupra bunurilor Utilizarea aceptabila a bunurilor Da Da Da Da Da 3 luni 3 luni 3 luni 1 luna
A.7.2.
A.7.2.1. A.7.2.2.
Clasificarea informatiilor
Linii directoare pentru clasif icare Etichetarea i manipularea inf ormaiilor
A.8
A.8.1.
A.8.1.1. A.8.1.2.
Pe timpul angajrii
Responsabilitile managementului Ameninrile la securitatea inf ormaiei, educaie i instruire Procese disciplinare Da Da Da Da Da Da 1 luna 2 luni 6 luni 3 luni
A.8.3.
A.8.3.1. A.8.3.2. A.8.3.3.
A.9.
A.9.1.
A.9.1.1. A.9.1.2. A.9.1.3. A.9.1.4. A.9.1.5. A.9.1.6.
A.9.2.
A.9.2.1. A.9.2.2. A.9.2.3. A.9.2.4. A.9.2.5. A.9.2.6. A.9.2.7.
Securitatea echipamentului
Amplasarea i protejarea echipamentului Utiliti de susinere Securitatea cablurilor Mentenana echipamentului Securitatea echipamentelor n af ara zonelor de securitate Dezaf ectarea n siguran i reutilizarea echipamentului nstrinarea resurselor proprietare
2 luni
A.10.2.
A.10.2.1. A.10.2.2. A.10.2.3.
A.10.3.
A.10.3.1. A.10.3.2.
A.10.4.
A.10.4.1. A.10.4.2.
A.10.5.
A.10.5.1.
Back-up
Inf ormaia de back-up
A.10.6.
A.10.6.1. A.10.6.2
A.10.7.
A.10.7.1. A.10.7.2. A.10.7.3. A.10.7.4.
Schimbul de informaii
Politici i proceduri privind schimbul de inf ormaii Acorduri privind schimburile de inf ormaii Securitatea mediilor n tranzit Mesageria electronic Sisteme pentru inf ormaia de business Da Nu Da Da Nu Nu Nu Nu Da Da Da Da Da Da 1 1 1 1 1 1 luna luna luna luna luna luna 3 luni 3 luni 3 luni
A.10.9.
A.10.9.1. Comerul electronic A.10.9.2. Tranzacii on-line A.10.9.3. Inf ormaia disponibil public
A.10.10. Monitorizarea
A.10.10.1. Logurile de audit A.10.10.2 Monitorizarea utilizrii sistemului A.10.10.3. Protecia inf ormatiei de log A.10.10.4. Loguri pentru administrator si operatori A.10.10.5. Logarile gresite A.10.10.6. Sincronizarea ceasului
A.11
A.11.1. A.11.2.
A.11.2.1. A.11.2.2. A.11.2.3. A.11.2.4.
Controlul accesului
Cerinele afacerii pentru controlul accesului
Da Da Da Da Da 2 luni 1 luna 1 luna 1 luna la 3 luni
A.11.4.
A.11.4.1. A.11.4.2. A.11.4.3. A.11.4.4. A.11.4.5. A.11.4.6. A.11.4.7.
A.11.5.
A.11.5.1. A.11.5.2. A.11.5.3. A.11.5.4. A.11.5.5. A.11.5.6.
A.11.6.
A.11.7.
A.12.3.
Controale criptografice
A.12.4.
A.12.4.1. Controlul softw are-ului operaional A.12.4.2. Protecia datelor de testare a sistemului A.12.4.3. Controlul accesului la codul surs
A.12.5.
A.12.5.1. A.12.5.2. A.12.5.3. A.12.5.4. A.12.5.5.
A.12.6.
A.13.2.
A.13.2.1. A.13.2.2. A.13.2.3.
A.14
A.14.1.
A.14.1.1. A.14.1.2. A.14.1.3. A.14.1.4. A.14.1.5.
A.15
A.15.1.
A.15.1.1. A.15.1.2. A.15.1.3. A.15.1.4. A.15.1.5. A.15.1.6.
Conformitatea
Conformitatea cu cerinele legale
Identif icarea legislaiei aplicabile Da Drepturile de proprietate intelectual Da Protejarea nregistrrilor organizaiei Da Protecia datelor i inf ormaiilor personale Nu Prevenirea utilizrii necorespunztoare a f acilitilor de procesare a inf ormaiilor Da Reglementarea controalelor criptograf ice Nu 12 luni 12 luni 12 luni 12 luni
A.15.2.
A.15.2.1. A.15.2.2.
A.15.3.
A.15.3.1. A.15.3.2.
Agenda
1. Conceptul de securitate a informaiilor (definiie, elemente fundamentale; ameninri, vulnerabiliti, riscuri; necesitatea asigurrii securitii informaiilor (obiectiv, legal, contractual; cadrul normativ) 2. Sisteme de management al securitii informaiilor (SMSI) 3. Managementul riscului 4. Proiectarea, implementarea, monitorizarea i mbuntirea SMSI 5. Certificarea unui SMSI
Planificarea SMSI
Faza PLAN: Stabilirea strategiei de securitate
a. Definirea scopului strategiei n concordan cu caracteristicele afacerii, ale organizaiei, locaiei, bunurilor i tehnologiei b. Definirea politicilor de securitate ale organizaiei (n domeniul informaiilor) c. Definirea unei abordri sistematice a analizei de risc d. Identificarea riscurilor e. Analiza i evaluarea riscurilor f. Identificarea i evaluarea opiunilor de tratare a riscurilor g. Selectarea msurilor pentru tratarea riscurilor h. ntocmirea Declaraiei de Aplicabilitate i. Obinerea aprobrii managementului de a implementa i opera strategia de securitate a organizaiei
n ce const certificarea ?
evaluarea, de ctre un organism acreditat, de ter parte, a conformitii unui SMSI cu cerinele de securitate definite asigurarea c sistemul a fost creat, implementat i funcioneaz conform cu cerinele standardului de referin
a) Contactarea O.C.S.M.S.I. b) Iniierea certificrii SMSI c) Semnarea contractului d) Stabilirea echipei de audit e) Auditul de evaluare f) Certificarea g) Supravegerea organizaiilor certificate