Sunteți pe pagina 1din 107

Agenda

1. Conceptul de securitate a informaiilor (definiie,


elemente fundamentale; ameninri, vulnerabiliti,
riscuri, necesitatea asigurrii securitii informaiilor
obiectiv, legal, contractual; cadrul normativ)
2. Sisteme de management al securitii informaiilor
(SMSI)
3. Managementul riscului
4. Proiectarea, implementarea, monitorizarea i
mbuntirea SMSI
5. Certificarea unui SMSI
Ce sunt informaiile?
Cunotiine derivate din orice surs

Informaiile sunt date analizate,
comunicate, nelese
Sursa: Information Security Management Handbook Auerbach
Publications

Securitatea informaiei necesitate,
cerine, reglementri
Securitatea informaiei necesitate,
cerine, reglementri
Definiia informaiilor ?
Informaiile sunt un bun al afacerii, care ca
oricare bun al companiei, are valoare i trebuie
protejat adecvat
Sursa: ISO/IEC 27001:2005: Introducere
Informaiile trebuie protejate adecvat
indiferent de forma pe care o iau sau de
mijloacele prin care sunt pstrate sau
comunicate
Sursa: ISO/IEC 27001:2005: Introducere
Informaii?
Informaiile afacerii

Accesul la informaii
Tiprite

Pe suport electronic

Comunicate prin pot clasic

Comunicate electronic

Video

Discuii
Contextul Internet
Reea global
Acces rapid, ieftin, discret, fr urm
Trafic n cretere
Oricine de oriunde
Arhitectur structural nesigur TCP-
IP
Nivele de securitate
Instituii guvernamentale secrete de stat
Informaii interne confideniale/secret de serviciu
Domenii de activitate secret profesional
Clieni confidenialitate asumat (bnci)
Parteneri de afaceri informaii folosite n comun
Importana informaiei
Protecia informatiilor business critical

Competitie

Cash Flow

Cerinte legale

Reputatie

?
Securitatea informaiei necesitate,
cerine, reglementri
Definiia securitii informaiilor ?

Confidenialitate
Asigurarea c informaia este accesibil doar acelora care sunt
autorizai s aib acces.

Integritate
Protejarea corectitudinii i caracterului complet
al informaiei i metodelor de procesare.

Disponibilitate
Asigurarea c utilizatorii autorizai au acces la
informaii i la bunurile asociate atunci cnd este necesar.
Securitatea informaiei necesitate,
cerine, reglementri
Obiectivele securitii informaiilor ?
Protejarea organizaiei de o palet larg
de pericole i ameninri interne i externe
cu impact asupra securitii informaiilor
Asigurarea continuitii operaiunilor
Minimizarea pagubelor i maximizarea
recuperrii investiiilor i oprtunitilor de
afaceri
Meninerea netirbite a competivitii,
profitabilitii, legalitii, reputaiei i
imaginii organizaiei
Securitatea informaiei necesitate,
cerine, reglementri
Necesitatea asigurrii SI: cerine, ateptri,
principii
Cerine complexe i dinamice este necesar un proces de
Management al Cerinelor
Securitatea informaiei necesitate,
cerine, reglementri
Necesitatea asigurrii SI: reducerea riscurilor,
pierderilor
Riscuri complexe i dinamice este necesar un proces de
Management al Riscurilor
Securitatea informaiei necesitate,
cerine, reglementri
R I S C =
o pagub (pierdere) potenial pentru organizaie n
situaia cnd o ameninare exploateaz o vulnerabilitate.
Riscul este exprimat cel mai bine
de rspunsul la urmtoarele ntrebri:
Ce se poate ntmpla (care este ameninarea)?
Care este impactul sau consecina?
Care este frecvena (ct de des se poate ntmpla)?
Securitatea informaiei necesitate,
cerine, reglementri
Ameninrile - surse accidentale sau voite de
evenimente. Ameninarea exploateaz o vulnerabilitate
Vulnerabilitile -slbiciuni asociate resurselor
(specifice mediului fizic, personalului,
managementului, administraiei, resurselor hardware,
software, comunicaii etc). Cauzeaz daune numai
dac sunt exploatate de ameninri
Ameninri Vulnerabiliti
Msuri de control
Riscuri Bunuri
Cerine de protecie
Impact
exploateaz
protejeaz
reduc
expun
au
cresc
cresc




indic

impun
Vulnerabilitati - Amenintati - Riscuri
Securitatea informaiei necesitate,
cerine, reglementri
Liste de ameninri - exemple
Securitatea fizic i a
mediului
Incendiu
Atac cu bomb
Cutremur
Contaminare mediu
Inundaie
Fulger
Furt
Preturbaii industriale
Vandalism
Securitatea echipamentului
Defeciune aer condiionat
Particule conductive
Atac cu bomb
Contaminare
Cdere alimentare
Deranjament hardware
Eroare de ntreinere
Software duntor
Accesarea reelei de
persoane neautorizate
Eroare de utilizator
Securitatea informaiei necesitate,
cerine, reglementri
Liste de vulnerabiliti - exemple
Administrare calculator i reea
Linii de comunicaie neprotejate
(interceptare)
Puncte de conexiune neprotejate
(infiltrare comunicaii)
Lipsa mecanismelor de
identificare i autentificare
(substituire identitate)
Transferul parolelor n clar
(accesare reea de utilizatori
neautorizai)
Linii dial-up (accesare reea de
utilizatori neautorizai)
Administrare reea neadecvat
(suprancrcare trafic)


Sistem de control al accesului /
politic de dezvoltare i
ntreinere
Interfa de utilizator
complicat (eroare de
utilizator)
Lipsa unei proceduri de
tergere a mediilor de stocare
nainte de reutilizare (utilizare
neautorizat software)
Lipsa unui control adecvat al
modificrilor (defeciuni
software)
Administrare defectuoas a
parolelor (substituire
identitate)
Securitatea informaiei necesitate,
cerine, reglementri
Asigurarea SI = inerea sub control a riscurilor
Tratarea riscurilor este rezultatul unui proces de management al
riscurilor i const n:
- Aplicarea msurilor de control adecvate pentru reducerea
riscurilor
- nelegerea i acceptarea contient a riscurilor n msura
n care sunt satisfcute politica organizaional i criteriile de
acceptare a riscului
- Eliminarea riscului (renunarea la unele activiti; mutarea
unor bunuri n zone mai puin expuse; renunarea la procesarea
unor informaii sensibile)
- Transferarea riscurilor asociate activitii altor pri
(asigurare, outsourcing)
Securitatea informaiei necesitate,
cerine, reglementri
Factori care influeneaz conceperea, elaborarea
i implementarea unei strategii de securitate:
- mrimea organizaiei i complexitatea proceselor
- cerinele de securitate determinate de multiple provocri
(interconectarea sistemelor, spionajul corporativ, terorismul cibernetic,
contientizarea angajailor)
- volumul sporit al informaiilor sensibile/critice
- profilul activitii, nevoile i obiectivele organizaiei
- ameninrile i vulnerabilitile prezente la adresa informaiilor
prelucrate, stocate i / sau transmise (de natur uman, legate de
minimizarea costurilor, de natur tehnic sau externe)
- gradul de securitate a sistemelor informatice folosite
gradul de interconectare a sistemelor i serviciilor
- interconectarea reelelor interne cu cele publice (Internet) sau
private
- volumul resurselor (umane i financiare) disponibile
- nivelul de cultur i tradiie n domeniul securitii inf.

Agenda
1. Conceptul de securitate a informaiilor (definiie,
elemente fundamentale; ameninri, vulnerabiliti,
riscuri; necesitatea asigurrii securitii informaiilor
(obiectiv, legal, contractual; cadrul normativ)
2. Sisteme de management al securitii informaiilor
(SMSI)
3. Managementul riscului
4. Proiectarea, implementarea, monitorizarea i
mbuntirea SMSI
5. Certificarea unui SMSI
S.M.S.I.
parte a sistemului de management al unei organizaii, bazat pe analiza
riscurilor, destinat elaborrii, implementrii, operrii, supravegherii,
meninerii i mbuntirii securitii informaiilor
Standarde aplicabile
ISO 9001/2008 - Cerine pentru sistemele de management al calitii
ISO 27002/2005 - Ghid practic pentru managementul securitii
informaiilor
ISO 27001/2005 Sisteme de management al securitii informaiilor
Specificaii i instruciuni de aplicare
Abordare cuprinztoare, coerent a problematicii
Ce este un SMSI ?
- Existenta unei Politici de Securitate
- Alocarea responsabilitatilor pentru securitate
- Realizarea de training si educare pentru securitatea informatiei
- Raportarea incidentelor de securitate
- Control pentru malicious code
- Existenta unui plan de continuare a afacerii business
continuity plan
- Existenta controlului asupra proprietatii intelectuale
- Protejarea documentelor si inregistrarilor companiei
- Respectarea (conformitatea) legilor pentru Protectia Datelor
- Demonstratea conformitatii cu politicile de securitate
10 cerine importate care trebuie sa fie
indeplinite de un SMSI




Pentru a proteja informatia de un numar
alarmant de amenintari, pentru a asigura
continuitatea afacerii si pentru a maximiza
intoarcerea investitiei facute precum si a
oportunitatilor de afacere


In concluzie: de ce avem nevoie de un SMSI?
securitatea informaiei privit ca un joc (adoptarea unor tehnici i
instrumente de securitate ale cror funcii sunt descoperite mai degrab empiric dect n urma
apelrii la literatura de specialitate)
contientizarea nevoii de securitate (a aprut atunci cnd organizaiile au
realizat c informaiile pe care le dein merit a fi protejate, prin proceduri minimale. Foarte puine
au trecut ns la documentarea adecvat a sistemului)
achiziionarea unor soluii sigure de securitate (o parte din bugetul
departamentului IT este dedicat soluiilor de securitate, iar organizaia cerceteaz serios metode
moderne i sigure de a-i securiza comunicaiile i a se proteja mpotriva atacurilor)
securitatea informaiei este tratat ca o necesitate prioritar,
respectiv ca un sistem de management (o securitate a informaiei puternic a devenit
un avantaj n cadrul competiiei n afaceri iar bugetul alocat securitii este separat de cel al
departamentului IT).
Stadii evolutive n domeniul SI
Top managementul

-aprob scopul SMSI, angajamentul, obiectivele, politica de securitate a
informaiilor i toate documentele aferente SMSI;
- emite decizii pentru numirea comitetului de securitate i a responsabilului cu
securitatea;
-aprob declaraia de aplicabilitate a SMSI i deciziile de tratare a fiecrui risc
n parte;
-aprob planul de tratare a riscurilor i toate aciunile manageriale suplimentare
pentru monitorizarea, evaluarea i mbuntirea eficienei msurilor de
securitate;
-aprob planurile de auditare a SMSI; efectueaz analiza de management
pentru SMSI i aprob procesele verbale ale edinelor de analiz, precum i
aciunile corective i preventive necesare mbuntirii SMSI;
-aprob resursele necesare pentru proiectarea, meninerea i mbuntirea
SMSI.
Roluri si responsabiliti n SMSI
Responsabilul cu securitatea (RS)
-definete politica de securitate a informaiilor, procedurile i msurile de
securitate;
-definete i obine aprobrilor pentru responsabilitile de securitate (tabel de
securitate, document aprobat de managerul general);
-strnge informaii despre politicile de securitate existente (ce funcioneaz i ce
nu; cum se comunic riscurile; cum se stabilesc prioritile proiectelor; cum sunt
structurate procesele de securitate);
-urmrete aplicarea eficient a politicilor de securitate;
-dezvolt, implementeaz i mbuntete msurile n domeniul securitii
informaiilor;
-supravegheaz toate procesele de securitate din firm;
-rspunde de managementul incidentelor de securitate i de rspunsul la
incidente;
-coordoneaz procesul de contientizare i pregtire al personalului n
domeniu SI;
-orienteaz proprietarii resurselor (PR) n toate problemele ce in de SI.
Roluri si responsabiliti n SMSI
Proprietarul resurselor

-rspunde de activele date n responsabilitate (informaii; software; echipamente de
calcul i de comunicaii; aplicaii; servicii; oameni; active intangibile; proprietatea poate
fi atribuit unui proces al afacerii, unui set de activiti, unei aplicaii sau unui set
stabilit de date).
mpreun cu RS, PR rspunde de:
- - identificarea cerinelor de securitate ale afacerii;
- - asigurarea clasificrii corespunztoare a informaiilor i resurselor critice;
- - revizuirea permanent a ghidurilor de clasificare a informaiilor;
- definirea i supunerea aprobrii managerului general, a drepturilor de acces la
informaii pentru toi utilizatorii resurselor informaionale sau ale reelei necesare
acestora pentru a-i ndeplini sarcinile de serviciu (procesul de administrare a
utilizatorului - AU), precum i modul/metoda de rezolvare a excepiilor de la regulile
generale stabilite pentru aceste permisiuni.
Roluri si responsabiliti n SMSI
Comitetul, forumul, echipa de securitate
- coordoneaz executarea activitilor de securitate n
conformitate cu politica de securitate a informaiilor;
- identific modul de tratare a neconformitilor;
- avizeaz politicile, metodologiile i procedurile legate
de securitatea informaiilor;
- avizeaz planurile de tratare a riscurilor;
- analizeaz incidentele de securitate;
- estimeaz gradul de adecvare a msurilor de
securitate a informaiilor i coordoneaz implementarea lor;
- analizeaz modul de promovare a educaiei, instruirii
i contientizrii personalului cu privire la securitatea informaiilor n
cadrul organizaiei;
- evalueaz informaiilor primite de la activitile de
monitorizare i analiz a incidentelor de securitate;
- face recomandri de aciuni corective i preventive,
precum i de aciuni adecvate de rspuns la incidentele de securitate a
informaiilor;
- identific mutaiile expunerii la ameninri a
informaiilor i a mijloacelor de procesare a acestora i propunde
reevaluri de risc.
Roluri si responsabiliti n SMSI
Agenda
1. Conceptul de securitate a informaiilor (definiie,
elemente fundamentale; ameninri, vulnerabiliti,
riscuri; necesitatea asigurrii securitii informaiilor
(obiectiv, legal, contractual; cadrul normativ)
2. Sisteme de management al securitii informaiilor
(SMSI)
3. Managementul riscului
4. Proiectarea, implementarea, monitorizarea i
mbuntirea SMSI
5. Certificarea unui SMSI
Security is always excessive until
its not enough
Ce reprezint managementul
riscurilor ? [SR 17799]
# evaluarea riscurilor abordare sistematic a:
daunelor care ar putea rezulta n urma unei bree de
securitate
probabilitatea realist ca un astfel eveniment de
securitate sa se produca
# indicarea i determinarea actiunilor
de management potrivite i a prioritilor acestora
# implementarea controalelor
selectate pentru protecia mpotriva riscurilor
# revizuiri periodice


Ce reprezint managementul riscurilor?


Basic Assumption:
There will be a failure
What are the
consequences?
Rating:
Risk Exposure
qualified & quantified
Risks categorized
& prioritized
Mitigation/recovery
actions defined
Mitigation/recovery
actions followed-up
Results and decisions
are documented

Cum se stabilesc cerinele de
securitate ? [ISO 27002]
- evaluarea riscurilor la care este expus organizaia

- cerinele legale, statutare, contractuale

- setul specific de principii, obiective i
cerine pentru procesarea informaiei


Terminologie
Terminologie
Organizaia trebuie s stabileasc o metod de analiz a
riscurilor care este adecvat pentru SMSI i s identifice
cerinele de securitate, cerinele legale i regulatorii ale
sale. S stabileasc politica i obiectivele SMSI n vederea
reducerii riscurilor la nivele acceptabile. S determine
criteriile pentru acceptarea riscurilor i nivelele la care
acestea pot fi acceptate.(ISO 27001)
Schema ISO 27001:2005
A. Identificarea si analiza riscurilor :
a) identificarea resurselor
b) identificarea ameninrilor la resurse
c) identificarea vulnerabilitilor care pot fi exploatate de
ameninri
d) identificarea impactului pe care pierderea
confidenialitii, integritii i disponibilitii l pot avea
asupra resurselor

Schema ISO 27001:2005
B. Evaluarea riscurilor :
a) evaluarea prejudiciului care poate rezulta dintr-un incident
de securitate, lund n calcul consecinele poteniale ale
pierderii confidenialitii, integritii i disponibilitii
resurselor;
b) evaluarea realistic a probabilitii de apariie a unui
incident avnd n vedere ameninrile i vulnerabilitile
predominante asociate cu aceste resurse, ca i msurile
de control (protecie) existente;
c) estimarea nivelului riscurilor;
d) determinarea dac riscul este acceptabil sau necesit
tratare n baza criteriilor de acceptare stabilite.
Schema ISO 27001:2005
C. Identificarea i evaluarea opiunilor de tratare a riscurilor
(Tratarea riscurilor)
a) aplicarea msurilor adecvate;
b) acceptare n cunotin de cauz i argumentat, n
condiiile satisfacerii polticii organizaiei i a criteriilor de
acceptare a riscurilor;
c) eliminarea riscurilor;
d) transferarea riscurilor altor pri.
D. Selectarea obiectivelor i msurilor pentru tratarea
riscurilor
Procesul de MR
Stabilirea Contextului
Identificarea/analiza
Riscurilor
Evaluarea Riscurilor:
Probabilitate
Consecinte
Nivel de risc
Tratarea Riscurilor
C
o
m
u
n
i
c

i

c
o
n
s
u
l
t


M
o
n
i
t
o
r
i
z
a
r
e

i

A
n
a
l
i
z


Plan-Do-Check-Act
Analiza de risc
Tratarea riscurilor
Monitorizarea riscurilor
Imbunatatire
Plan
Act
Do
Check
Identificarea ameninrilor i
vulnerabilitilor
Ameninrile - surse
accidentale sau voite de
evenimente
Exploateaz o
vulnerabilitate
Factori de analiz:
Resursa
Acces
Actor
Motivaie
Impact


Vulnerabilitile -
slbiciuni asociate
resurselor n:
Mediul fizic
Personal,
management,
administraie
Hardware, software,
comunicaii
Cauzeaz daune numai
dac sunt exploatate de
ameninri
Exemple
Calculul riscurilor
Metode cantitative
AV valoarea resursei SMSI
EF factorul de expunere (valoarea procentuala
a impactului din valoarea resursei)
SLE = AV x EF (Ex. 150.000 lei X 25%=
37.500 lei pierdere la o aparitie a riscului)
SLE impactul unui risc la o aparitie
ARO rata (frecventa) de manifestare a
incidentului
ALE impactul total estimat al riscului
ALE = SLE x ARO (Ex. 37.500 lei X 0,1 - o
frecventa a riscului de 1 la 10 ani= 3.700
lei)

Calculul riscurilor
Metode calitative
Exemplu de calcul: evaluarea separat a ameninrilor i vulnerabilitilor
Nivel ameninare Sczut Mediu Ridicat
Nivel
vulnerabilitate
S M R S M R S M R


Valoare
a bunului
0 0 1 2 1 2 3 2 3 4
1 1 2 3 2 3 4 3 4 5
2 2 3 4 3 4 5 4 5 6
3 3 4 5 4 5 6 5 6 7
4 4 5 6 5 6 7 6 7 8
Calculul riscurilor
Metode cantitative
Avantaje
Caracter obiectiv
Formalism convenabil top-managementului
Faciliteaza analiza cost-efect
Se preteaza aplicatiilor software
Dezavantaje
Lipsa unor valori unanim recunoscute pentru factorii
de expunere sau ratele de aparitie
Dificultatea de aplicare completa a metodei
Complexitate mare
Credibilitate scazuta


Calculul riscurilor - Metode calitative

Avantaje
permite elaborarea metodei adecvate organizatiei
suport intuitiv pentru managementul riscurilor organizatiei
permite stabilirea de prioriati in tratarea riscurilor
costurile de aplicare sunt reduse
adecvata abordarii PDCA
Dezavanje
o anumita doza de subiectivism
suport redus pentru analiza cost/efect

Tratamentul riscurilor
Aplicarea msurilor de control adecvate pentru
reducerea riscurilor
nelegerea i acceptarea contient a riscurilor n
msura n care sunt satisfcute politica
organizaional i criteriile de acceptare a riscului
Eliminarea riscului
Renunarea la unele activiti
Mutarea unor bunuri n zone mai puin expuse
Renunarea la procesarea unor informaii sensibile
Transferarea riscurilor asociate activitii altor pri
Asigurare, outsourcing, scoaterea din S.M.S.I
Selectarea msurilor de control
ISO 27002
ISO 27001
Alte criterii
Uurina utilizrii
Transparena n raport cu utilizatorul
Sprijinul asigurat utilizatorului
Eficiena msurii de control
Tipul de funcie realizat: prevenire, mpiedicare, detecie,
refacere, corectare, monitorizare, semnalizare
Asigurarea unui echilibru ntre funcii
Factorul de cost
Aciune
Reducerea probabilitii ca ameninarea sau vulnerabilitatea s
cauzeze un incident
Asigur respectarea cerinelor legale sau de activitate
Reduce impactul n caz de incident
Detecteaz evenimentele nedorite, reacioneaz i
contracareaz
Avantajele managementului riscurilor
informatice?
Creterea gradului de contientizare a riscurilor de securitate i
a practicilor recomandate pentru utilizatorii de calculatoare

Asigurarea resurselor umane i de competen pentru
administratorii de reele i alte funcii importante n asigurarea
obiectivelor de securitate informatic

Utilizarea eficace si eficienta a soluiilor tehnice destinate
sporirii gradului de securitate informatic

Prevederea unor proceduri i a unor capaciti corespunztoare
de rspuns la incident; business continuity, disaster rocovery,
survivability
Sistemul de management al
securitii informaiilor factor
decisiv n protejarea afacerilor
Obiectivele standardelor
ISO 27002 si ISO 27001
Studiu de caz (1)
Obiectivele studiului de caz:
Stabilirea i documentarea unei strategii de securitate n cadrul
S.C. Contract S.A. (Faza PLAN):
Activiti documentate:
1 - Prezentarea firmei;
2 Stabilirea/continutul politicii de securitate;
3 Cadrul organizatoric i de coordonare a securitii inf
4 Metodologia de evaluare a riscurilor
5 - Identificarea i clasificarea resurselor (bunurilor
informaionale). Registrul resurselor.
6- Analiza i evaluarea riscurilor de securitate. Scenarii de risc.
Registrul riscurilor;
7 - Eaborarea planului de tratare a riscurilor;
8 - Elaborarea declaraiei de aplicabilitate a standardului ISO
27001
Studiu de caz (2)
1. Prezentarea S.C. Contract S.A.:
Obiect de activitate: Comertul en-gros si en-detail cu produse
industriale altele decit cele declarate ca avind regim special sau
agroalimentare.
Cifra de afaceri: aproximativ 10 mil euroanual.
Personal: 104 in mediean din care: 4 personal de conducere;
02 personal de informatic (inclusiv administratorul de retea); 8
personal tehnic (subinigineri - ingineri cu specializare in
domeniile constructii, electrotehnica, transporturi, tehnologia
constructiilor de masini); 40 personal pentru aprovizionare
desfacere(manipulanti, gestionari, lucrtori comerciali, efi
depozite, merceologi); 30 personal tehnic de executie
(electricieni, macaragii, sudori, strungari, frezori, soferi; 12
personal financiar contabil (casieri, contabili, economisti); 8
personal logistica(juridic, salarizare, facilities);
Studiu de caz (3)
1. Prezentarea S.C. Contract S.A.- continuare:

Actionariat: director general (40%); director comercial (25%),
director economic (20%), director tehnic (15%).
Organizatia isi desfasoara activitatea in locaii din cadrul
localitii, n locaii situate n cadrul judeului i n alte judee.
Locaiile au urmatoarele destinaii:
- sediu,
- depozite centrale (numai n localitatea n care organizaia ii
are sediul),
- depozite(en-gros; n diverse localiti din ara),
- magazine(en-detail; n diverse localiti din ara).

Studiu de caz (4)
1. Prezentarea S.C. Contract S.A.- continuare:
Bunurile fizice ale organizatiei sunt asigurate. Nu au fost
inregistrate cazuri de furt sau spargeri.
Structura personalului este destul de stabila, in peste 15 ani de
activitate iregistrindu-se doar cazuri de pensionare.
Activitatea organizaiei nu a fost afectat de incendii sau
inundaii.
Nu sunt definite i implementate msuri de securitate fizic,
birourile se incuie de ultima persoana care parasete incaperea
n care ii desfoar activitatea.
ncaperile nu dispun de dulapuri cu incuietori destinate
depozitarii documentelor confidentiale.
Informatiile vehiculate in organizatie sunt catalogate informal ca
fiind confidentiale, de uz intern si publice.

Studiu de caz (5)
1. Prezentarea S.C. Contract S.A.- continuare:
La nivelul locatiei de baz (sediul organizaiei) exista o reea
informatic; resursele informatice sunt accesate remote (linie
telefonic nchiriat) de utilizatorii care i desfoar activitatea
n celelalte locaii.
Serviciile de comunicatii (date, voce, e-mail si internet) sunt
externalizate ctre o organizaie specializat.
Activitatile de Back-up sunt asigurate, aleator, de cei doi
informatocieni, pe CD-uri; nu sunt realizate proceduri automate
de Back-up, nu se tin evidente.
Reteaua informatica nu a fost afectata de soft malitios sau virusi.
Studiu de caz (6)
2. Politica de Securitate a S.C. CONTRACT S.A.

Strategia de securitate a S.C. CONTRACT S.A. va fi prezentat intr-
un document Politica de Securitate a S.C. CONTRACT S.A.,
document care va fi elaborat in conformitate cu recomandarile
standardelor ISO 27002, si prevederile actelor normative in
vigoare pe teritoriul Romaniei.
Documentul Politica de Securitate a S.C. CONTRACT S.A. va
evidentia reperele de baza privind strategia de securitate a S.C.
CONTRACT S.A.:
- rolurile i responsabilitile privind implementarea strategiei de
securitate;
Studiu de caz (7)
2. Politica de Securitate a S.C. CONTRACT S.A. - continuare
- existenta unei viziuni clare a managementului
organizaiei i o comunicare efectiva a acesteia ctre
personalul organizaiei, aspect fundamental pentru
asigurarea eficienei oricaror proceduri i msuri de
securitate specifice;

- modul n care s-au identificat cerinele de securitate
considerind ca surse principale: analiza riscurilor,
legislaia existenta, standardele si procedurile interne;

- modul de tratare a riscurilor proprii sau induse de
teri sau subcontractori care au acces la resursele
organizatiei;
Studiu de caz (8)
2. Politica de Securitate a S.C. CONTRACT S.A. - continuare

- scopului politicii: asigurarea unui climat de siguranta necesar
desfurrii i continuitii activitii organizaiei;
- obiectivele politicii de a asigura confidentialitatea, integritatea,
disponibilitatea privind resursele, n condiii de risc acceptate de
managementul organizatiei;
- resursele care fac obiectul strategiei de securitate: informatiile,
aplicatiile soft, retele informatice si de comunicatii, echipamente
tehnice, echipamente informatice si de comunicatii, cladiri,
incaperi, utilitati(energie electrica, energie termica, etc.),
ersonalul, etc.;

Studiu de caz (9)
2. Politica de Securitate a S.C. CONTRACT S.A. - continuare
- planul de continuitate a afacerii (creare, actualizare, testare),

- instruirea salariatilor; raportarea si investigarea incidentelor de
securitate; principiile care sustin intregul proces (controlul dual,
segregarea atributiilor, derularea activitatii cu privilegii minime,
planificarea contingenei, orice acces care nu este in mod explicit
permis este in mod implicit interzis, politica biroului curat;

- documente interne (norme, proceduri, planuri de actiune) prin care
se va realiza implementarea si aplicarea strategiei de securitate;

- obligativitatea personalului de a lua act, a intelege si a respecta
politica si toate reglementarile, conform cu documentatiei SMSI prin
care se asigura relizarea obiectivelor strategiei politicii de securitate
a S.C. CONTRACT S.A. ;

Studiu de caz (10)
3. Cadrul organizatoric i de coordonare a
securitii inf
- Consiliul de Administratie reprezint structura organizatoric care iniiaz
i controleaz implementarea strategia i mecanismelor de securitate n
cadrul organizatiei;
- personalul este obligat s raporteze (la adresa contractyy@zz.ro in situtatii
deosebite se vor folosi alte canale de comunicare:FAX - 9999.99.99.99,
telefonia fixa - 9999.99.99.88) toate incidentele de securitate asupra
resurselor care fac obiectul strategiei de securitate, vulnerabilitati (chiar
susceptibile) ale resurselor respective pentru minimizarea efectelor
negative, stabilirea cauzelor, eliminarea (masuri reactive) vulnerabilitatilor
identificate, stabilirea de masuri proactive;
-
Studiu de caz (12)
4. Metodologia de evaluare a riscurilor.
(e
1
): Se identifica activele/bunurile asociate activitatii;
(e
2
): Activele/bunurile sunt clasificate in functie de importanta si
valoarea lor pe o scar de la 1 la 3 unde (1 = valoare mica, 2 =
valoare medie, 3 = valoare mare);
(e
3
): Se identifica vulnerabilitile i ameninrile asociate
Activelor/bunurilor;
(e
4
): Se evalueaza impactul amenintarilor;
(e
5
): Se evalueaza frecventa de manifestare/probabilitatea unei
amenintari (posibilitatea ca o anumita amenitare sa se materializeze)
(e
6
): Se calculeaza riscul asociat fiecarui activ/bun pe baza unei matrice
n care input-uri sunt valoarea, impactul si probabilitatea.
Riscul se calculeaza considerind obiectivele de baza ale unei politicii de
securitate a informatiei: Co(nfidentialitatea)/
In(tegritatea)/ Di(sponibilitatea). ;
Studiu de caz (13)
5. Identificarea i clasificarea resurselor (bunurilor
informaionale). Registrul resurselor (e
1
i e
2
).
Bunurile-resursele informaionale sunt identificate de ctre proprietarii
proceselor, asistai de de RSI, acestea fiind nscrise n Registrul
Activelor. Registrul Activelor face referire la documente de referine
care detaliaz toate informaiile necesare pentru recuperare n urma
unui dezastru, inclusiv tipul activului, formatul, amplasamentul,
informaiile de rezerv, informaii privind licena, valoarea comercial.
Identificarea resurselor se face pentru fiecare proces n parte.
Evaluarea Resurselor se face pe baza impactului potenial pe care l
poate avea pierderea Confidenialitii, Integritii sau Disponibilitii
resursei asupra organizaiei.
Activele/bunurile sunt clasificate in functie de importanta si valoarea lor
pe o scara de la 1 la 3 unde: 1 = valoare mica, 2 = valoare medie, 3
= valoare mare.
Studiu de caz (14)
5. Registrul resurselor.


Activ/bun Proprietar Valoare
Active informationale- format electronic:
Fisiere de date neprelucrate
Ionescu I. 3
Fisiere de date prelucrate
3
Rapoarte management & autoritati(pentru printare
si semnare)
2
Documentaie sisteme
1
Proceduri operationale
1
Active informationale hartie:
Facturi si alte documente justificative
Popescu 2
Rapoarte finale de conformitate
1
Rapoarte intermediare de verificare destinate
controlului dual
1
Studiu de caz (15)
5. Registrul resurselor - continuare
Contracte
2
Corespondenta parteneri
1
Active software:
Georgescu I
Aplicatii - server si client - prelucrare date si
generare rapoarte
3
Sistem de operare server
2
Sisteme de operare PC
2
Parole administrare server & PC
3
Parole utilizator PC
2
Active hardware:
Georgescu I
Server baze de date
3
Statii PC
2
Studiu de caz (16)
5. Registrul resurselor - continuare
Imprimante
2
Facilitati:
Anton P.
Energie electrica
2
Aer conditionat
2
Personalul:
Personal administrare & conducere
3
Personal operare & executie
2
Outsourcing:
Sisteme de comunicatii(date, Internet, e-mail, IP -
voice)
3
Studiu de caz (17)
6. Analiza i evaluarea riscurilor de securitate.
Scenarii de risc. Registrul riscurilor
Pentru fiecare resurs inclus n inventarul activelor, proprietarul
de proces, mpreun cu RSI identific ameninrile i
vulnerabilitile care pot afecta activul respectiv i implicit activitatea
de baz a organizaiei.
Pentru a avea o cuprindere ct mai exact a ameninrilor,
riscurile de securitate sunt identificate cu ajutorul elementelor ce le
compun: ameninarea, vulnerabilitatea pe care ameninarea respectiv
o poate exploata i impactul pe care l poate avea fructificarea
ameninrii.
Identificarea ameninrilor se face pornind de la identificarea
Agentului ameninrii. Agentul ameninrii este asociat cu tipul
ameninrii (de natur uman, natural, tehnologice) i categoriile de
ameninri (interne, externe, asociate, foc, ap, vibraii, violen,
biologice, de infrastructur, de sistem etc).
Studiu de caz (18)
6. Identificare vulnerabilitati i amenintari (e
3
)
Vulnerabilitati Amenintari Cauze N=
naturaele,
U=umane
neintetionate, I=
umane
intentionate,
Bun/Activ Componenta
afectat (C,
I, D)
Lipsa monitorizare mediu Cutremur N Toate I, D
Lipsa monitorizare mediu Inundatie N, U, I Toate I, D
Lipsa monitorizare mediu Foc N, U, I Toate I, D
Lipsa monitorizare mediu Contaminare mediu N, U, I Personal D
Lipsa monitorizare mediu Perturbatii
industriale
N, U, I Hard, Soft, Outs D
Modul defectuos de intretinerecuratenie Particule praf N Hard D
Lipsa monitorizare mediu Defectiune aer
conditionat
N, U, I Hard D
Documentare si instruire insuficienta Deranjamente
hardware
U, I Hard D
Documentare si instruire insuficienta Erori de intretinere U Hard I, D
Lipsa documentare,
instruire deficitara
Erori de utilizare,
operare,
administrare
U Soft I, D
Studiu de caz (19)
6.Identificare vulnerabilitati i amenintari (e
3
)-continuare
Lipsa politici de controlul fizic accesului Furt I Resurse
informationale,
Hard
C, I, D
Lipsa politici de control fizic acces; Lipsa
politici de control logic al accesului; Lips
politic privind biroul curat; Instruire deficitara
utilizatori ; Acces nelimitat la servicii web-
based mail, web-chat
Acces neautorizat la
informatii si servicii
U, I Resurse
informationale,
Hard, Outs
C
Retea in locuri nesupraveghea si in spatiul
public
Interceptare comunicatii I Resurse
informationale,
Outs
C, I
Instruire deficitara utilizatori mod de
administrare deficitar al parolelor
Substituire identitate I Resurse
informationale
C, I
Drepturi admin, lipsa proceduri Acces
floppyCD, Lipsa monitorizare si control
regulat
Utilizare ilegala de
software
U Soft C, I, D
Lipsa politic utilizare internet lipsa
Protectie serverOutS: lipsa procedura
Haking U Resurse inf., Outs C, I, D
Acces internet protectie inadecvata Virusi & Cod malitios N, U,
I
Hard, Soft C, I, D
Instruire deficitara Nerespectare proceduri
operationale
(administrare, acces,
operare)
U, I Resurse
informationale,
Soft, Personal
C, I, D
Numar insuficient de personal Lipsa personal U, I Personal D
Studiu de caz (20)
6. Stabilirea impactului i probabilitii amenintarilor identificate (e
4
), (e
5
)
Impactul amenintarii va fi evaluat pe urmatoarea scara:
I
n
impact nesemnificativ (sistemul este functional, nu sunt consecinte majore,
securitatea nu este compromisa); I
s
impact semnificativ (performanta
sistemului este afectata, consecintele pot fi
apreciate ca fiind semnificative, securitatea unor componente ale sistemului este
compromisa); I
m
impact major (sistemul nu mai este functional,
consecintele sunt foarte grave, securitatea sistemului este compromisa).
Frecventa/probabilitatea unei amenintari (e
5
).
Frecventa/probabilitatea de manifestare a unei amenintari reprezinta gradul in
care ea se poate produce in realitate.
Acesata depinde de cat de expus este activul unor contacte cu exteriorul sau cat
de cunoscute sunt caracteristicile acestei resurse.
Probabilitatea unei amenintari va fi cuantificata astfel:
P
n
valoare probabilistica nesemnificativa,
P
s
valare probabilistica semnificativa,
P
m
valoare probabilistica majora.
Studiu de caz (21)
6. Evaluarea riscului (e6).
Pentru fiecare activ identificat in Registrul activelor, pe baza valorii,
a impactului ameninriii i a probabilittii acesteia se va calcula
nivelul de risc conform matricei:

RISC
Impactul
ameninrii
In Is Im
Probabilitate
a amenintarii
Pn Ps Pm Pn Ps Pm Pn Ps Pm

Valoarea
Activului
1
1 1 2 2 3 4 4 5 5
2
1 2 3 3 4 4 5 5 5
3
2 2 3 3 4 5 5 5 5
Semnificatia valorilor: 5 = risc foarte mare, 4 = major, 3 = semnificativ, 2 = redus, 1 =
nesemnificativ.
Studiu de caz (22)
6. Evaluarea riscului confidenialitate.
Activ Valoare Impact Probabilit
ate
Indice
de risc
Active informationale- format electronic:
Fisiere de date neprelucrate
3 Im Ps 5
Fisiere de date prelucrate
3 Im Ps 5
Rapoarte management & autoritati(pentru
printare si semnare)
2 Im Ps 4
Documentaie sisteme
1 In Pn 1
Proceduri operationale
1 Is Pn 2
Active informationale hartie:
Facturi si alte documente justificative
2 Is Ps 4
Rapoarte finale de conformitate
1 Is Ps 3
Rapoarte intermediare de verificare
destinate controlului dual
1 In Pn 2
Studiu de caz (23)
6. Evaluarea riscului confidenialitate - continuare
Contracte
2
Is Pn 3
Corespondenta parteneri
1 Is Pn 3
Active software:
Aplicatii - server si client - prelucrare date si
generare rapoarte
3 - -
Sistem de operare server
2 - -
Sisteme de operare PC
2 - -
Parole administrare server & PC
3 Im Ps 5
Parole utilizator PC
2 Is Ps 4
Active hardware:
Server baze de date
3 - - -
Statii PC
2 - - -
Studiu de caz (24)
6. Evaluarea riscului confidenialitate - continuare
Imprimante
2
- - -
Facilitati:
Energie electrica
2 - - -
Aer conditionat
2 - - -
Personalul:
Personal administrare & conducere
3 Is Pn 3
Personal operare & executie
2 Is Pn 3
Outsourcing:
Sisteme de comunicatii(date, Internet, e-
mail, IP - voice)
3 Is Pn 3
Studiu de caz (25)
6. Evaluarea riscului Integritate.
Activ Valoare Impact Probabilit
ate
Indice
de risc
Active informationale- format electronic:
Fisiere de date neprelucrate
3 Im Ps 5
Fisiere de date prelucrate
3 Im Ps 5
Rapoarte management & autoritati(pentru
printare si semnare)
2 Is Ps 4
Documentaie sisteme
1 In Pn 1
Proceduri operationale
1 Is Pn 2
Active informationale hartie:
Facturi si alte documente justificative
2 Is Ps 4
Rapoarte finale de conformitate
1 Is Ps 3
Rapoarte intermediare de verificare
destinate controlului dual
1 In Pn 1
Studiu de caz (26)
6. Evaluarea riscului Integritate - continuare
Contracte
2
Is Pn 3
Corespondenta parteneri
1 Is Pn 3
Active software:
Aplicatii - server si client - prelucrare date si
generare rapoarte
3 Im Pn 4
Sistem de operare server
2 Is Pn 3
Sisteme de operare PC
2 Is Pn 3
Parole administrare server & PC
3 Im Ps 5
Parole utilizator PC
2 Is Ps 4
Active hardware:
Server baze de date
3 Im Ps 5
Statii PC
2 Is Pn 3
Studiu de caz (27)
6. Evaluarea riscului Integritate - continuare
Imprimante
2
In Pn 1
Facilitati:
Energie electrica
2 - - -
Aer conditionat
2 - - -
Personalul:
Personal administrare & conducere
3 Is Pn 3
Personal operare & executie
2 Is Pn 3
Outsourcing:
Sisteme de comunicatii(date, Internet, e-
mail, IP - voice)
3 Is Pn 3
Studiu de caz (28)
6. Evaluarea riscului Disponibilitate.
Activ Valoare Impact Probabilit
ate
Indice
de risc
Active informationale- format electronic:
Fisiere de date neprelucrate
3 Im Ps 5
Fisiere de date prelucrate
3 Im Ps 5
Rapoarte management & autoritati(pentru
printare si semnare)
2 Is Ps 3
Documentaie sisteme
1 In Pn 1
Proceduri operationale
1 Is Pn 2
Active informationale hartie:
Facturi si alte documente justificative
2 Is Ps 4
Rapoarte finale de conformitate
1 Is Ps 3
Rapoarte intermediare de verificare
destinate controlului dual
1 In Pn 1
Studiu de caz (29)
6. Evaluarea riscului Disponibilitate - continuare
Contracte
2
Is Pn 3
Corespondenta parteneri
1 Is Pn 3
Active software:
Aplicatii - server si client - prelucrare date si
generare rapoarte
3 Is Ps 5
Sistem de operare server
2 Is Ps 4
Sisteme de operare PC
2 Is Pn 3
Parole administrare server & PC
3 Im Ps 5
Parole utilizator PC
2 Is Ps 4
Active hardware:
Server baze de date
3 Im Ps 5
Statii PC
2 Is Pn 3
Studiu de caz (30)
6. Evaluarea riscului Disponibilitate - continuare
Imprimante
2
In Pn 1
Facilitati:
Energie electrica
2 Is Pn 3
Aer conditionat
2 Is Pn 3
Personalul:
Personal administrare & conducere
3 Is Pn 3
Personal operare & executie
2 Is Pn 3
Outsourcing:
Sisteme de comunicatii(date, Internet, e-
mail, IP - voice)
3 Is Pn 3
Studiu de caz (31)
6. Nivelul riscului

Activ

Valoare
Indice risc
C I D
Active informationale- format electronic:
Fisiere de date neprelucrate
3 5 5 5
Fisiere de date prelucrate
3 5 5 5
Rapoarte management & autoritati(pentru
printare si semnare)
2 4 4 3
Documentaie sisteme
1 1 1 1
Proceduri operationale
1 2 2 2
Active informationale hartie:
Facturi si alte documente justificative
2 4 4 4
Rapoarte finale de conformitate
1 3 3 3
Rapoarte intermediare de verificare
destinate controlului dual
1 1 1 1
Studiu de caz (32)
6. Nivelul riscului - continuare
Contracte
2
3 3 3
Corespondenta parteneri
1 3 3 3
Active software:
Aplicatii - server si client - prelucrare date si
generare rapoarte
3 - 4 5
Sistem de operare server
2 - 3 4
Sisteme de operare PC
2 - 3 3
Parole administrare server & PC
3 5 5 5
Parole utilizator PC
2 5 5 5
Active hardware:
Server baze de date
3 - 5 5
Statii PC
2 - 3 3
Studiu de caz (33)
6. Nivelul riscului - continuare
Imprimante
2
- 1 1
Facilitati:
Energie electrica
2 - - 3
Aer conditionat
2 - - 3
Personalul:
Personal administrare & conducere
3 3 3 3
Personal operare & executie
2 3 3 3
Outsourcing:
Sisteme de comunicatii(date, Internet, e-
mail, IP - voice)
3 3 3 3
Studiu de caz (34)
6. Evaluarea riscurilor:
In urma analizei efectuate asupra activitatii S.C. CONTRACT S.A. in
conditiile actuale din pia, rezulta c materializarea riscurilor identificate
i cuantificate in Analiza de Risc, pot afecta:
Confidenialitatea: dezavantaje competitive pe piata; pierderi
financiare; pierderea increderii partenerilor de afaceri ; pierderi capital
imagine; incalcari ale legii si obligatiilor contractuale de confidentialitate;
Integritatea: costuri aditionale financiare; impact negativ asupra
deciziilor de management; neconformitate cu obligatiile legii privind
contabilitatea;
Disponibilitatea: suplimentar fata de consecintele identificate mai
sus: costuri financiare cu recuperarea datelor; intreruperea activitatii.
In aceste conditii, riscul maxim pe care compania este dispusa sa si-l
asume este riscul de nivel 3 semnificativ.
Studiu de caz (35)
7. Planul de tratare a riscurilor
In vederea reducerii nivelului riscurilor critice (cu nivel 4 i 5) se
impun urmatoarele masuri:
(m
01
): Implementarea unui sistem de acces si monitorizare a
accesului pe baza de cartela in camera serverului pentru fiecare locatie
in parte;
PC-ul pe care este instalat soft-ul de management al accesului si
monitorizare va fi instalat in camera serverului;
(m
02
): Sistem de detectie efractie;
(m
03
): Opacizarea ferestrelor in zonele cu vizibile in zonele
sensibile;
(m
04
): Achizitioarea de dulapuri cu inchuietoare pentru
depozitarea documentelor confidentiale in format letric si electronic(sau
dotarea celor actuale cu sisteme de inchidere);
(m
05
): Elaborarea de reguli privind accesul in incinta S.C.
CONTRACT S.A. de catre vizitatori si salariati in cursul programului si
afara acestuia;
Studiu de caz (36)
7. Planul de tratare a riscurilor - continuare

(m
06
): Achizitionarea unui server de back-up;
Elaborarea unei proceduri privind recuperarea datelor;
Serverul va fi amplasat intr-o locatie aflata in afara localitatii in locatia de
back--up al furnizorului de Internet;
(m
07
): Dezactivarea drepturilor de administrator pentru toti
salariatii departamentului; Acordarea acestora pe baza baza de solicitare
documentata;
(m
08
): Limitarea accesului user-ilor la unitatile de floppy si CD
precum si la USB;
(m
09
): Limitarea traficului accesului pe internet in zonele cu risc
potential si blocarea accesului la web-based mail, web-chat;
Reguli de utilizare acceptabila a postei electonice;
(m
10
): Elaborarea si implementarea de reguli privind politica
biroului si a ecranului curat;

Studiu de caz (37)
7. Planul de tratare a riscurilor - continuare
(m
11
): Implementarea si activarea optiunilor de administrare a
parolelor de acces; Elaborarea de reguli privind manipularea si alegerea
optima a parolelor;
(m
12
): Elaborarea unei reglementari privind clasificarea
informatiilor si reguli de gestiune a acestora atat in interiorul organizatiei
cat si in exteriorul acesteia;
Introducere angajamentului de confidentialitate;
(m
13
): Standardizarea statiilor de lucru in functie de atributiile de
serviciu ale salariatilor;
Interzicerea utilizarii de soft neautorizat sisau nelicentiat;
(m
14
): Elaborarea si implementarea de reguli pentru utilizarea in
siguranta a echipamentelor portabile;
Dotarea acestora cu dispozitive pentru criptare datelor(card, token etc);
(m
15
): Instalarea unui software antivirus licenta corporate;

Studiu de caz (38)
7. Planul de tratare a riscurilor - continuare
(m
16
): Elaborarea si implementarea unei proceduri pentru
angajarea salariatilor(pre-screening) cat si pentru incetarea relatiei de
munca(perioada de preaviz drepturi de acces predare doucumente si
documentatie foaie de lichidare);;
(m
17
): Instruire pe probleme de securitate a salariatilor la
angajare(una zi) si instruire semestriala cu tot personalul (doua ore);
Atunci cand este cazul se va utiliza news-letter pentru semnalarea unor
amenintari iminente de tipul virus si cod mailitios.
Studiu de caz (39)
7. Planul de tratare a riscurilor - corelatia dintre active, riscuri si
masuri

Activ
Valoar
e
Indice risc Msuri
C I D
Active informationale- format electronic:
Fisiere de date neprelucrate
3 5 5 5
m01, m02, m03, m05, m06,
m08, m09, m11, m12, m13,
m14, m15
Fisiere de date prelucrate
3 5 5 5
m01, m02, m03, m05, m06,
m08, m09, m11, m12, m13,
m14, m15, m16
Rapoarte management & autoritati(pentru
printare si semnare)
2 4 4 3
m01, m02, m03, m05, m06,
m08, m09, m11, m12, m13,
m14, m15, m16
Documentaie sisteme
1 1 1 1
-
Proceduri operationale
1 2 2 2
-
Active informationale hartie:
Facturi si alte documente justificative
2 4 4 4
m01, m02, m03, m04, m05,
m10, m12, m16, m17
Rapoarte finale de conformitate
1 3 3 3
-
Rapoarte intermediare de verificare
destinate controlului dual
1 1 1 1
-
Studiu de caz (40)
7. Planul de tratare a riscurilor - corelatia dintre active, riscuri si
masuri
Contracte
2
3 3 3
-
Corespondenta parteneri
1 3 3 3
-
Active software:
Aplicatii - server si client - prelucrare
date si generare rapoarte
3 - 4 5
m06
Sistem de operare server
2 - 3 4
m06
Sisteme de operare PC
2 - 3 3
-
Parole administrare server & PC
3 5 5 5
m10, m11, m12, m17
Parole utilizator PC
2 5 5 5
m10, m11, m12, m13, m14, m17
Active hardware:
Server baze de date
3 - 5 5
m001, m02, m03, m05, m06, m08,
m9, m11, m12, m13, m14, m15
Statii PC
2 - 3 3
-
Studiu de caz (41)
7. Planul de tratare a riscurilor - corelatia dintre active, riscuri si
masuri
Imprimante
2
- 1 1
-
Facilitati:
Energie electrica
2 - - 3
-
Aer conditionat
2 - - 3
-
Personalul:
Personal administrare & conducere
3 3 3 3
-
Personal operare & executie
2 3 3 3
-
Outsourcing:
Sisteme de comunicatii(date,
Internet, e-mail, IP - voice)
3 3 3 3
-
Studiu de caz (42)
8. Declaraia de aplicabilitate
Indicativul
msurii
Denumirea msurii
Aplicabil
Da / Nu
Termen
A.5 Politica de securitate
A.5.1. Documentaia politicii de securitate Da 1 luna
A.5.2 Revizuiri i evaluri Da 6 luni
A.6 Organizarea securitii informaiilor
A.6.1. Organizarea interna 6 luni
A.6.1.1. Angajamentul managementului pentru securitatea inf ormaiilor Da
A.6.1.2. Coordonarea securitii inf ormaiilor Da
A.6.1.3. Alocarea responsabilitilor privind securitatea inf ormaiei Da
A.6.1.4. Procesul de autorizare pentru f acilitile de procesare a inf ormaiilor Da
A.6.1.5. Acorduri de conf identialitate Da
A.6.1.6. Contactul cu autoritatile Da
A.6.1.7. Contactul cu grupuri de interese speciale Da
A.6.1.8. Revizuirea independent a securitii inf ormaiilor Da
A.6.2. Pri externe
A.6.2.1. Identif icarea riscurilor legate de accesul terei pri Da 3 luni
A.6.2.2. Cerinele de securitate n relaiile de af aceri cu clienii Da o luna
A.6.2.3. Cerinele de securitate n acordurile cu tere pri Da 3 luni
A.7 Managementul activelor
A.7.1. Responsabilitatea pentru active
A.7.1.1. Inventarierea bunurilor Da 3 luni
A.7.1.2. Dreptul de propritate asupra bunurilor Da 3 luni
A.7.1.3. Utilizarea aceptabila a bunurilor Da 3 luni
A.7.2. Clasificarea informatiilor
A.7.2.1. Linii directoare pentru clasif icare Da 1 luna
A.7.2.2. Etichetarea i manipularea inf ormaiilor Da
A.8 Securitatea resurselor umane
A.8.1. nainte de angajare 6 luni
A.8.1.1. Roluri i responsabiliti Da
A.8.1.2. Controlul verif icrii Da
Studiu de caz (43)
8. Declaraia de aplicabilitate
A.8.2. Pe timpul angajrii
A.8.2.1. Responsabilitile managementului Da 1 luna
A.8.2.2. Ameninrile la securitatea inf ormaiei, educaie i instruire Da 2 luni
A.8.2.3. Procese disciplinare Da 6 luni
A.8.3. La terminarea angajrii sau schimbarea locului de munc 3 luni
A.8.3.1. Responsabiliti la terminare Da
A.8.3.2. Returnarea bunurilor Da
A.8.3.3. Revocarea drepturilor de acces Da
A.9. Securitatea fizic i a mediului
A.9.1. Arii de securitate
A.9.1.1. Perimetrul de securitate f izic Da 3 luni
A.9.1.2. Controlul accesului f izic Da 3 luni
A.9.1.3. Securizarea birourilor, camerelor i f acilitilor Da 3 luni
A.9.1.4. Protecia mpotriva ameninrilor externe i de mediu Da 3 luni
A.9.1.5. Lucrul n cadrul zonelor de securitate Da 3 luni
A.9.1.6. Arii de acess al publicului, de livrare i ncrcare Nu
A.9.2. Securitatea echipamentului 2 luni
A.9.2.1. Amplasarea i protejarea echipamentului Da
A.9.2.2. Utiliti de susinere Da
A.9.2.3. Securitatea cablurilor Da
A.9.2.4. Mentenana echipamentului Da
A.9.2.5. Securitatea echipamentelor n af ara zonelor de securitate Da
A.9.2.6. Dezaf ectarea n siguran i reutilizarea echipamentului Da
A.9.2.7. nstrinarea resurselor proprietare Da
Studiu de caz (44)
8. Declaraia de aplicabilitate
A.10 Managementul comunicatiilor si al operatiilor
A.10.1. Proceduri i responsabiliti operaionale
A.10.1.1. Proceduri de operare documentate Da 3 luni
A.10.1.2. Managementul modif icrilor Da 3 luni
A.10.1.3. Segregarea atribuiilor Da 3 luni
A.10.1.4. Separarea f acilitilor operaionale, de test i de dezvoltare Da 3 luni
A.10.2. Managementul furnizrii de servicii de ter parte
A.10.2.1. Furnizarea de servicii Da 3 luni
A.10.2.2. Monitorizarea i revizuirea serviciilor de ter parte Da 3 luni
A.10.2.3. Direcionarea schimbrii serviciilor de ter parte Da 3 luni
A.10.3. Planificarea i acceptana sistemului
A.10.3.1. Managementul capacitii Da 1 luna
A.10.3.2. Acceptana sistemului Da 1 luna
A.10.4. Protecia mpotriva softului maliios i mobil
A.10.4.1. Msuri mpotriva sof tului maliios Da 1 luna
A.10.4.2. Msuri mpotriva sof tului mobil Da 1 luna
A.10.5. Back-up
A.10.5.1. Inf ormaia de back-up Da 1 luna
A.10.6. Managementul securitii reelelor
A.10.6.1. Controalele reelei Nu
A.10.6.2 Securitatea serviciilor de reea Nu
A.10.7. Manipularea i securitatea mediilor de stocare
A.10.7.1. Managementul suporturilor de date amovibile Da 1 luna
A.10.7.2. Depozitarea suporturilor de date Da 2 luni
A.10.7.3. Procedurile de manipulare a inf ormaiilor Da 2 luni
A.10.7.4. Securitatea documentaiei de sistem Da 2 luni
Studiu de caz (45)
8. Declaraia de aplicabilitate
A.10.8. Schimbul de informaii
A.10.8.1. Politici i proceduri privind schimbul de inf ormaii Da 3 luni
A.10.8.2. Acorduri privind schimburile de inf ormaii Nu
A.10.8.3. Securitatea mediilor n tranzit Da 3 luni
A.10.8.4. Mesageria electronic Da 3 luni
A.10.8.5. Sisteme pentru inf ormaia de business Nu
A.10.9. Serviciile de comer electronic
A.10.9.1. Comerul electronic Nu
A.10.9.2. Tranzacii on-line Nu
A.10.9.3. Inf ormaia disponibil public Nu
A.10.10. Monitorizarea
A.10.10.1. Logurile de audit Da 1 luna
A.10.10.2 Monitorizarea utilizrii sistemului Da 1 luna
A.10.10.3. Protecia inf ormatiei de log Da 1 luna
A.10.10.4. Loguri pentru administrator si operatori Da 1 luna
A.10.10.5. Logarile gresite Da 1 luna
A.10.10.6. Sincronizarea ceasului Da 1 luna
A.11 Controlul accesului
A.11.1. Cerinele afacerii pentru controlul accesului
A.11.1.1. Politica de control al accesului Da 2 luni
A.11.2. Managementul accesului utilizatorilor
A.11.2.1. nregistrarea utilizatorilor Da 1 luna
A.11.2.2. Managementul privilegiului Da 1 luna
A.11.2.3. Managementul parolelor utilizatorilor Da 1 luna
A.11.2.4. Revizuirea drepturilor de acces ale utilizatorilor Da la 3 luni
Studiu de caz (46)
8. Declaraia de aplicabilitate
A.11.3. Responsabilitile utilizatorilor
A.11.3.1. Utilizarea parolei Da 1 luna
A.11.3.2. Echipamentul nesupravegheat Da 1 luna
A.11.3.3. Politica biroului si ecranului curate Da 1 luna
A.11.4. Controlul accesului la reea
A.11.4.1. Politica de utilizare a serviciilor de reea Nu
A.11.4.2. Autentif icarea utilizatorului pentru conectri externe Nu
A.11.4.3. Identif icarea echipamentului in retele Nu
A.11.4.4. Diagnosticarea de la distan si conf igurarea proteciei porturilor Nu
A.11.4.5. Separarea reelelor Nu
A.11.4.6. Controlul conectrii la reea Nu
A.11.4.7. Controlul rutrii n reea Nu
A.11.5. Controlul accesului la sistemul de operare
A.11.5.1. Procedurile de logare securizate Da 1 luna
A.11.5.2. Identif icarea i autentif icarea utilizatorului Da 1 luna
A.11.5.3. Sistemul de management al parolelor Da 1 luna
A.11.5.4. Utilitare de sistem Da 1 luna
A.11.5.5. Sesiune time-aut Da 1 luna
A.11.5.6. Limitarea timpului de conectare Da 1 luna
A.11.6. Controlul accesului la aplicaii si informatii
A.11.6.1. Restricionarea acceslui la inf ormaii Da 1 luna
A.11.6.2. Izolarea sistemelor sensibile DA 1 luna
A.11.7. Calculatoare mobile si lucrul la distanta
A.11.7.1. Calculatoare mobile si f acilitati de comunicatii Da
A.11.7.2. Lucrul la distanta Nu
Studiu de caz (47)
8. Declaraia de aplicabilitate
A.12 Achizitia, dezvoltarea si mentenanta sistemelor informationale
A.12.1. Cerine de securitate ale sistemelor informationale
A.12.1.1. Analiza i specif icarea cerinelor de securitate Nu
A.12.2. Procesarea corecta in aplicaii
A.12.2.1. Validarea datelor de intrare Nu
A.12.2.2. Controlul proceselor interne Nu
A.12.2.3. Integritatea mesajelor Nu
A.12.2.4. Validarea datelor de iesire Nu
A.12.3. Controale criptografice
A.12.3.1. Politica utilizrii controalelor criptograf ice Da 3 luni
A.12.3.2. Managementul cheilor Da 3 luni
A.12.4. Securitatea fiierelor de sistem
A.12.4.1. Controlul sof tware-ului operaional Nu
A.12.4.2. Protecia datelor de testare a sistemului Nu
A.12.4.3. Controlul accesului la codul surs Nu
A.12.5. Securitatea proceselor de dezvoltare i suport 6 luni
A.12.5.1. Procedurile de control al schimbrilor Da
A.12.5.2. Revizuirea tehnic a aplicaiilor dup schimbarea sistemului operaional Da
A.12.5.3. Restricionarea modif icrilor sof tware-ului Da
A.12.5.4. Inf ormaia ascuns Da
A.12.5.5. Surse externe de dezvoltare a sof tware-ului Nu
A.12.6. Managementul vulnerabilitatilor tehnice
A.12.6.1. Controlul vulnerabilitatilor tehnice Da
Studiu de caz (48)
8. Declaraia de aplicabilitate
A.13 Managementul incidentelor de securitate a informatiei
A.13.1. Raportarea incidentelor si vulnerabilitatilor de securitate
A.13.1.1. Raportarea incidentelor de securitate Da 6 luni
A.13.1.2. Raportarea vulnerabilitatilor de securitate Da 6 luni
A.13.2. Managementul incidentelor de securitate a informatiei si perfectionare
A.13.2.1. Responsabilitati si proceduri Da 6 luni
A.13.2.2. Invatarea din incidentele de securitate Da 6 luni
A.13.2.3. Colectarea dovezilor Da 6 luni
A.14 Managementul continuitii afacerii
A.14.1. Aspecte ale managementului continuitii afacerilor
A.14.1.1. Includerea securitii inf ormaiei n procesul de management al continuitii af acerilor Da 12 luni
A.14.1.2. Continuitatea af acerilor i evaluarea riscurilor Da 12 luni
A.14.1.3. Dezvoltarea i implementarea planurilor de continuitate bazate pe securitatea inf ormaiilor Da 12 luni
A.14.1.4. Structura de aplicare a planurilor de continuitate Da 12 luni
A.14.1.5. Testarea, meninerea i reanalizarea planurilor Da 12 luni
A.15 Conformitatea
A.15.1. Conformitatea cu cerinele legale
A.15.1.1. Identif icarea legislaiei aplicabile Da 12 luni
A.15.1.2. Drepturile de proprietate intelectual Da 12 luni
A.15.1.3. Protejarea nregistrrilor organizaiei Da 12 luni
A.15.1.4. Protecia datelor i inf ormaiilor personale Nu
A.15.1.5. Prevenirea utilizrii necorespunztoare a f acilitilor de procesare a inf ormaiilor Da 12 luni
A.15.1.6. Reglementarea controalelor criptograf ice Nu
A.15.2.
Conformitate cu politicile de securitate i
standardele i reglementrile tehnice
A.15.2.1. Conf ormitatea cu politicile de securitate i standardele Da 12 luni
A.15.2.2. Verif icarea conf ormitii tehnice Da 12 luni
A.15.3. Consideraii asupra auditrii sistemelor informaionale
A.15.3.1. Controalele sistemului de audit Da 12 luni
A.15.3.2. Protecia instrumentelor de audit Da 12 luni
Agenda
1. Conceptul de securitate a informaiilor (definiie,
elemente fundamentale; ameninri, vulnerabiliti,
riscuri; necesitatea asigurrii securitii informaiilor
(obiectiv, legal, contractual; cadrul normativ)
2. Sisteme de management al securitii informaiilor
(SMSI)
3. Managementul riscului
4. Proiectarea, implementarea, monitorizarea i
mbuntirea SMSI
5. Certificarea unui SMSI

Planificarea, implementarea, meninerea i
mbuntirea unui SMSI

Aplicarea modelului PDCA (Plan-Do-Check-Act)
PLAN: stabilirea i documentarea strategiei de securitate, identificarea
proceselor de baz ale afacerii i a procedurilor relevante pentru managementul
riscului
DO: implementarea i funcionarea strategiei, a sistemelor de management
proiectate, a proceselor i procedurilor pentru fiecare sistem n parte
ACT: Meninerea i mbuntirea strategiei prin aciuni corective i preventive,
bazate pe rezultatele auditurilor interne i revizuirile managementului
CHECK: Monitorizarea i revizuirea sistemelor, prin evaluri i msurri
periodice ale performanei proceselor n raport cu politicile i obiectivele de
securitate i experiena practic dobndite
Planificarea SMSI
a. Definirea scopului strategiei n concordan cu caracteristicele
afacerii, ale organizaiei, locaiei, bunurilor i tehnologiei
b. Definirea politicilor de securitate ale organizaiei (n domeniul
informaiilor)
c. Definirea unei abordri sistematice a analizei de risc
d. Identificarea riscurilor
e. Analiza i evaluarea riscurilor
f. Identificarea i evaluarea opiunilor de tratare a riscurilor
g. Selectarea msurilor pentru tratarea riscurilor
h. ntocmirea Declaraiei de Aplicabilitate
i. Obinerea aprobrii managementului de a implementa i opera
strategia de securitate a organizaiei
Faza PLAN: Stabilirea strategiei de securitate

Implementarea, meninerea, certificarea
SMSI

Faza DO: Care sunt paii pentru implementarea
unei strategii de securitate ?

a) elaborarea planului de tratare a riscurilor (care identific
aciunile managementului, resursele/bugetul, responsabilitile,
prioritile etc)
b) implementarea planului de tratare a riscurilor
c) implementarea msurilor de control stabilite
d) definirea modului de msurare a eficienei strategiei i a
modului de evaluare a eficienei acestuia
e) implementare programe de instruire i contientizare
f) gestionarea funcionrii strategiei
g) administrarea resurselor alocate
h) implementarea procedurilor i msurilor capabile s permit
detectarea evenimentelor de securitate i managementul acestora

Implementarea, meninerea, certificarea
SMSI
Faza CHECK: Monitorizarea i revizuirea strategiei


Dup implementarea strategiei organizaia trebuie:
a) s monitorizeze i revizuiasc procesele strategiei (detectare
erori; identificare bree, slbiciuni; detectare evenimente de securitate;
evaluarea modului de respectare a responsabilitilor);
b) evaluarea periodic a eficacitii msurilor;
c) revizuirea analizei de risc (mutaii n organizaie, tehnologie,
obiective de afaceri, procese, ameninri identificate, efic. msuri)
d) efectuarea de audituri interne
e) revizuiri manageriale ale strategiei
f) actualizare plan de securitate
g) s nregistreze i evalueze aciunile i evenimentele cu impact
asupra activitilor de business

Implementarea, meninerea, certificarea
SMSI

Faza ACT: Meninerea i mbuntirea strategiei


Organizaia trebuie s asigure n mod sistematic:
a) implementarea mbuntirilor identificate;
b) msuri corective i preventive corespunztoare, inclusiv prin
folosirea experienei altor organizaii;
c) comunicarea msurilor de mbuntire tuturor prilor
interesate
d) s se asigure c mbuntirile ating obiectivele planificate i
conduc la mbuntiri succesive

Certificarea unui SMSI

n ce const certificarea ?


evaluarea, de ctre un organism acreditat, de ter parte,
a conformitii unui SMSI cu cerinele de securitate definite


asigurarea c sistemul a fost creat, implementat i funcioneaz
conform cu cerinele standardului de referin






Etapele certificrii unui SMSI
a) Contactarea O.C.S.M.S.I.

b) Iniierea certificrii SMSI

c) Semnarea contractului

d) Stabilirea echipei de audit

e) Auditul de evaluare

f) Certificarea

g) Supravegerea organizaiilor certificate
Care sunt avantajele certificrii S.M.S.I.?


Confer ncredere c SMSI elaborat i
implementat de organizaie corespunde
standardelor n vigoare
Ofer suport pentru meninerea i
mbuntirea permanent a SMSI
Confer partenerilor de
afaceri, colaboratorilor,
administraiei garanii
referitoare la managementul
securitii informaiilor n
organizaia certificat