Securitatea Informaiei ISO 27.

001
Ameninrile i Costurile posibile ale lipsei implementrii unui Sistem de
Mg al Securitii Informaiei

Divulgarea informaiei confideniale.

ntreruperi n activitate: nefuncionarea reelei de calculatoare i

imposibilitatea accesrii serverelor i aplicaiilor.

Organizaiile atacate de hackeri au pierdut reputaia i ncrederea i s o

recapete le-a fost foarte greu, sau chiar imposibil.

Clienii, asiguratorii i partenerii vor evita s colaboreze cu o organizaie care

nu este n stare s protejeze adecvat informaiile.
Directiva 2002/58/EC a Parlamentului European privind procesarea datelor
personale, interzice comunicarea informaiilor personale unei organizaii care
nu poate asigura confidenialitatea acestora. Legislaia n vigoare prevede
rspunderea juridic i financiar pentru pierderea confidenialitii datelor
clienilor.

Ce efecte a avut pierderea confidenialitii datelor n 2010?

n 2010 costul mediu al pierderii unei nregistrri a ajuns la 204 $, ceea ce

nseamn c pentru 1000 de nregistrri divulgate costul se poate ridica la
204000 $.

(conform Ponemon Institute's annual study 2010 ).

96% din compromiteri puteau fi evitate prin controale simple de securitate;
94% din pierderile de confidenialitate ale datelor au fost cauzate de aciuni
ale propriilor angajai;
61% din cazuri au fost descoperite de pri tere;
27% din cazuri au implicat mai multe pri, iar 11% din cazuri au implicat
parteneri de afaceri;
Au fost fcute publice la nivel internaional 494 cazuri de pierderi a
confidenialitii informaiei - de dou ori mai multe fa de 2009, fiind
divulgate 14 milioane nregistrri;
Avantajele Implementrii Sistemului de Management al Securitii
Informaiei

Pstrarea confidenialitii, integritii i a disponibilitii informaiei;

mbuntirea reputaiei i ncrederii n organizaie;

Asigurarea conformitii legale i reducerea riscului penalizrilor;

Scderea costurilor IT;

Asigurarea instruirii continue a angajailor n materie de pstrare a

confidenialitii informaiei;

Posibilitatea oferirii unor servicii de calitate n timp optim;

Ofer managerilor un control mai bun asupra fluxurilor de informaii din

organizaie;

Sunt identificate i inute sub control riscurile care pot afecta activitatea
organizaiei;

Ofer posibilitatea comparrii performanei sistemului IT n raport cu media

din industrie;

Securitatea Informaiei

Implementarea Sistemului de Management al Securitii Informaiei n

conformitate cu ISO27001 v ajut s pstrai informaiile organizaiei n
condiii de siguran i securitate.

Este responsabilitatea fiecrei organizaii s previn, s identifice i s

trateze riscurile de securitate care pot avea impact negativ asupra
confidenialitii, integritii i disponibilitii informaiei .

Avnd n vedere c, legislaia i standardele care prevd dreptul oamenilor la

confidenialitatea datelor, se dezvolt i se multiplic (de ex: Directiva 95/46/EC,
Directiva 2002/58/EC), riscurile devin tot mai mari.
Legislaie care oblig protecia datelor cu caracter personal
A. Legislaie comunitar

Directiva 95/46/EC a Parlamentului i a Consiliului European din 24.10.1995

cu privire la protecia persoanelor referitoare la procesarea datelor personale
i la libera circulaie a acestor date (OJL 281, 23.11.1995, p.31);

Directiva 2002/58/EC a Parlamentului European i a Consiliului din 12.07.2002

privind procesarea datelor personale i protecia intimitii n sectorul
comunicaiilor electronice;

B. Legislaie intern

Legea nr. 677/2001 pentru protecia persoanelor cu privire la prelucrarea

datelor cu caracter personal i libera circulaie a acestor date;

Legea nr. 682/2001 privind ratificarea de ctre Romnia a Conveniei pentru

protejarea persoanelor fa de prelucrarea automatizat a datelor cu caracter
personal, adoptat la Strasbourg la 28 ianuarie 1981;

Legea nr. 102/2005 privind nfiinarea Autoritii Naionale de Supraveghere a

Prelucrrii
Datelor cu Caracter Personal.

ISO 27001 - Sisteme de management al securitii informaiei. Cerine

Ce reprezint? ISO27001 este standardul de certificare pentru SMSI.
Standardul ISO27001 stabilete cerinele i criteriile pentru implementarea,
operarea, monitorizarea, revizia, mentenana i mbuntirea sistemului de
management al securitii informaiilor n contextul riscurilor de ansamblu la care
este supus organizaia. De asemenea, sistemul de management al securitii
informaiilor ofer managerilor un control mai bun asupra fluxurilor de informaii din
organizaie i reduce costurile aferente managementului riscului.
Domenii de control ale ISO27001
A5 Politica de securitate: A.5.1 Management direction for information security
Objective: To provide management direction and support for information security in
accordance with business requirements and relevant laws and regulations.
A6 Organizarea securitatii informatiei: A.6.1 Internal organization Objective: To
establish a management framework to initiate and control the implementation and
operation of information security within the organization. A.6.2 Mobile devices
and teleworking Objective: To ensure the security of teleworking and use of
mobile devices.
A7 Managementul resurselor (bunurilor)
A8 Securitatea resurselor umane: A.8.1 Prior to employment Objective: To
ensure that employees and contractors understand their responsibilities and are
suitable for the roles for which they are considered. A.8.2 During employment
Objective: To ensure that employees and contractors are aware of and fulfil their
information security responsibilities. A.8.3 Termination and change of employment
Objective: To protect the organizations interests as part of the process of changing
or terminating employment.
A9 Securitatea fizica si a mediului: A.9.1 Secure areas Objective: To prevent
unauthorized physical access, damage and interference to the organizations
information and information processing facilities. A.9.2 Equipment Objective: To
prevent loss, damage, theft or compromise of assets and interruption to the
organizations operations.
A10 Managementul comunicatiilor si operatiilor
A11 Controlul
accesului
A12 Achizitia, dezvoltarea si mentenanta sistemelor informatice: A.12.1
Security requirements of information systems Objective: To ensure that information

security is an integral part of information systems across the entire lifecycle. This
also includes the requirements for information systems which provide services over
public networks. A.12.2 Security in development and support processes Objective:
To ensure that information security is designed and implemented within the
development lifecycle of information systems. A.12.3 Test data Objective: To ensure
the protection of data used for testing.
A13 Managementul incidentelor de securitate a informatiei: A.13.1
Management of information security incidents and improvements Objective: To
ensure a consistent and effective approach to the management of information
security incidents, including communication on security events.
A14 Managementul continuitatii afacerii: A.14.1 Information security
continuity Objective: Information security continuity shall be embedded in the
organizations business continuity management systems. A.14.2 Redundancies
Objective: To ensure availability of information processing facilities.
A15 Conformitate A.15.1 Compliance with legal and contractual
requirements Objective: To avoid breaches of legal, statutory, regulatory or
contractual obligations related to information security and of any security
requirements. A.15.2 Information security reviews Objective: To ensure that
information security is implemented and operated in accordance with the
organizational policies and procedures.