Sistemul de Management al Securității Informației

1. Componentele și mecanismele unui SMSI

2. Etapele procesului de implementare a SMSI conform ISO 27001

3. Controale de securitate NIST, ISO 27002, PCI DSS, CIS Controls

Bulai Rodica
DISA, UTM
1. Componentele și mecanismele unui SMSI

Un sistem de management a securitatii informaționale (ISMS)

reprezinta o abordare sistematica a managementului
informatiei astfel incat aceasta sa indeplineasca cele 3 aspecte
ale securitatii:
confidentialitatea, integritatea si disponibilitatea (ISO 27001)

Operational Excellence Consulting (Singapore), 2014

1. Componentele și mecanismele unui SMSI

SMSI implică toate elementele (procese, tehnologii, personal) pe care organizatiile le folosesc
pentru a-și gestiona și a-și controla riscurile legate de securitatea informației

SMSI asigură o securitate pe termen lung bazându-se pe implementarea de

• politici,
• proceduri,
• planuri,
• procese,
• practici,
• roluri,
• responsabilități,
• resurse,
• structuri
destinate protejării informaţiilor şi resurselor organizaţiilor

Prin reducerea la maximum a riscurilor informaționale se garantează că SMSI-ul este funcţional şi

îndeplineşte cerinţele de securitate ale companiei, aşteptările clienţilor şi se conformează
legislaţiei în vigoare
Shankar Subramaniyan, 2014
1. Componentele și mecanismele unui SMSI
Mecanismele SMSI
1. Componentele și mecanismele unui SMSI

Structura organizatorică a unui SMSI

1. Componentele și mecanismele unui SMSI

Politica de securitate
Politica de securitate este un document de
nivelul cel mai înalt

Corespunzător, acest document nu va

reprezenta altceva decât angajamentul
Managementului de a implementa masuri
de Securitate, eventual modul de delegare a
responsabilităților, doar princii de bază

Cerințe detaliate sunt, prin delegare,

elaborate de executive și tot ei sunt
responsabili de
revizuire/ajustare/implementare

BSD Management, 2017

1. Componentele și mecanismele unui SMSI

Politica de securitate - Strucutra

BSD Management, 2017

1. Componentele și mecanismele unui SMSI
Documente de gestionare a Politicii de securitate

Shankar Subramaniyan, 2014

1. Componentele și mecanismele unui SMSI

Structura documentară a unui SMSI

• Este elaborată în funție de dimensiunile/structura și

necesitățile specifice

• Se aprobă conform structurii organizaționale si

cerințelor stabilite

• ...corespunzător, nu se poate vorbi despre o abordare

unică privind structura de documente SMSI
 2. Etapele procesului de implementare a
SMSI conform ISO 27001

• Standardul ISO/IEC 27001:2013 specifică cerințele pentru

stabilirea, implementarea, menținerea și îmbunătățirea
continuă a unui sistem de management al securității
informaționale în cadrul unei organizații

• El include, de asemenea, cerințele de evaluare și tratare

a riscului securității informaționale adaptat la nevoile
organizatiei
2. Etapele procesului de implementare a
SMSI conform ISO 27001

Implementare ISO 27001:2013

2. Etapele procesului de implementare a
SMSI conform ISO 27001
 2. Etapele procesului de implementare a
SMSI conform ISO 27001
Arii de organizare SMSI – model ISO 27001
A.5: Politici de securitate a informației (2 măsuri de control și obiective de securitate)
A.6: Organizarea securității informației (7 măsuri de control și obiective de
securitate)
A.7: Securitatea resurselor umane - 6 măsuri de control și obiective de securitate
care sunt aplicabile înainte, în timpul, sau după angajare
A.8: Managementul resurselor (10 măsuri de control și obiective de securitate)
A.9: Controlul accesului (14 măsuri de control și obiective de securitate)
A.10: Criptografie (2 măsuri de control și obiective de securitate)
A.11: Securitatea fizică și a mediului (15 măsuri de control și obiective de securitate)
A.12: Operațiuni de securitate (14 măsuri de control și obiective de securitate)
A.13: Securitate comunicațiilor (7 măsuri de control și obiective de securitate)
A.14: Achiziții de sistem, dezvoltare și întreținere (13 măsuri de control și obiective
de securitate)
A.15: Relațiile cu furnizorii (5 măsuri de control și obiective de securitate)
A.16: Managementul incidentelor de securitate a informației (7 măsuri de control și
obiective de securitate)
A.17: Aspecte de securitate de informare ale managementului continuitatii afacerii
(4 măsuri de control și obiective de securitate)
A.18: Conformitatea cu cerințele interne, cum ar fi politicile, și cu cerințele externe,
cum ar fi legile (8 măsuri de control și obiective de securitate)

BSD Management, 2017

2. Etapele procesului de implementare a
SMSI conform ISO 27001
Structura documentară SMSI – model ISO 27001
• Declaraţia de aplicabilitate (clauza 4.3 a standardului).
• Declaraţia de Politicăa securităţii informaţiei (5.2).
• Procedura de evaluare a riscurilor (6.1.2).
• Procedura de tratare a riscurilor (6.1.3).
• Obiectivele în domeniul securităţii informaţiei (6.2).
• Înregistrări referitoare la competenţa personalului care activeazăîn domeniul SMSI (7.2).
• Documente de planificare şi control operaţional (8.1).
• Rezultatele evaluării riscurilor (8.2).
• Deciziile de tratare a riscurilor (8.3).
• Înregistrări referitoare la monitorizări şi măsurări în cadrul SMSI (9.1).
• Programul de audit intern al SMSI şi rezultatele auditurilor (9.2).
• Înregistrările referitoare la Analiza SMSI efectuatăde management. (9.3).
• Înregistrările referitoare la neconformităţi şi acţiunile corective întreprinse (10.1).

Alte documente SMSI identificate de organizaţie ca necesare pentru funcţionarea SMSI

(7.5.1b), cum ar fi cele care ar putea facilita aplicarea controalelor de securitate stabilite
în anexa A a standardului, fişele de post, regulamentele interne şi altele.

BSD Management, 2017

2. Etapele procesului de implementare a
SMSI conform ISO 27001
Dezavantaje în timpul implementării SMSI

Implementarea controalelor de securitate pe

sistemele vechi și pe platformele neacceptate...

Se dezvoltă un proces de excepție de

securitate și controale alternative
2. Etapele procesului de implementare a
SMSI conform ISO 27001
Capcane ale implementării SMSI

1. Lipsa suportului de management

2. Dezangajarea organizațională
3. Non-prioritizarea sarcinilor și a reperelor
4. Lipsa controalelor de stare
5. Instrumentele neclare de management al
proiectelor
6. Deconectați-vă de procesele de afaceri
2. Etapele procesului de implementare a
SMSI conform ISO 27001
În conclizie...
Adoptarea SMSI trebuie să fie o decizie strategica pentru o
organizație

Proiectarea și implementarea unui SMSI intr-o organizație

este influențată de nevoile și obiectivele acesteia, cerințele
de securitate, procesele existente, mărimea și structura
organizației

Acestea, împreună cu sistemele lor de suport se pot schimba

de-a lungul timpului
2. Etapele procesului de implementare a
SMSI conform ISO 27001

Cavirin Systems, David Ginsburg, 2018

3. Controale de securitate NIST, ISO 27002, PCI
DSS, CIS Controls
• Controalele de securitate au
devenit instrumente critice
pentru organizații din cauza
numărului tot mai mare de
atacuri cibernetice din întreaga
lume

• Framework-uri precum NIST SP

800, CIS/SANS 20, PCI DSS sau
ISO 27002 s-au evidențiat ca cele
mai bune practici

ISO 27001 Global Report, 2016

3. Controale de securitate NIST, ISO 27002, PCI
DSS, CIS Controls
Relevanța controalelor în funcție de domeniul
de activitate

BSD Management SRL, 2017

3. Controale de securitate NIST, ISO 27002, PCI
DSS, CIS Controls
NIST Cyber Security Framework-CSF

• Cadrul securitatea cibernetică este elaborat ca răspuns

la ordinul executiv al Președintelui S.U.A. privind
îmbunătățirea protecției infrastructurilor critice din
2013

• Destinat companiilor cu infrastructură critică

• Se concentrează pe planificarea și implementarea unui

program de îmbunătățire a organizării securității
cibernetice Deloitte & Touche LLP and affiliated entities
3. Controale de securitate NIST, ISO 27002, PCI
DSS, CIS Controls
NIST Cyber Security Framework-CSF

5 Funcții; 22 Categorii; 98 Subcategorii

Deloitte & Touche LLP and affiliated entities

3. Controale de securitate NIST, ISO 27002, PCI
DSS, CIS Controls
NIST Cyber Security Framework-CSF
1. Framework Core - setul de activități pentru
atingerea unor rezultate specifice privind
securitatea cibernetică și orientarea
referințelor pentru atingerea acestor rezultate

2. Framework Profile - Alinierea funcțiilor,

categoriilor și subcategoriilor cu cerințele
afacerii, toleranța la risc și resursele

3. Framework Implementation Tiers - oferă

contextul privind modul în care organizația
vede riscul de securitate cibernetică și
procesele existente pentru gestionarea
riscurilor
Deloitte & Touche LLP and affiliated entities
3. Controale de securitate NIST, ISO 27002, PCI
DSS, CIS Controls
NIST Cyber Security Framework - Framework Core

Deloitte & Touche LLP and affiliated entities

3. Controale de securitate NIST, ISO 27002, PCI
DSS, CIS Controls
NIST Cyber Security Framework - Framework Profile

Deloitte & Touche LLP and affiliated entities

3. Controale de securitate NIST, ISO 27002, PCI
DSS, CIS Controls
NIST Cyber Security Framework –
Framework Implementation Tiers

Deloitte & Touche LLP and affiliated entities

3. Controale de securitate NIST, ISO 27002, PCI
DSS, CIS Controls

NIST Cyber Security Framework VS ISO 27001

• CSF-ul NIST nu răspunde pe deplin cerințelor pentru un sistem de
management al securității - face o treabă destul de bună de
organizare și identificare a controalelor necesare, dar nu și
pentru a susține sistemul de management

• Referința încrucișată la ISO și CSF NIST identifică în principal

controalele din anexa A a standardului ISO 27001, dar nu și
clauzele efective (4-10) care alcătuiesc standardul sistemului de
management.

• Există, de asemenea, câteva clauze în ISO care nu se află în CSF

NIST
Deloitte & Touche LLP and affiliated entities
3. Controale de securitate NIST, ISO 27002, PCI
DSS, CIS Controls
Controale de securitate ISO 27002:2013

Shankar Subramaniyan, 2014

3. Controale de securitate NIST, ISO 27002, PCI
DSS, CIS Controls
Controale de securitate ISO 27002:2013

Deloitte & Touche LLP and affiliated entities, 2015

3. Controale de securitate NIST, ISO 27002, PCI
DSS, CIS Controls
Payment Card Industry (PCI) Data Security
Standard (DSS)
3. Controale de securitate NIST, ISO 27002, PCI
DSS, CIS Controls

Controalele CIS v7 - Critical Security Controls

1. Componentele și mecanismele unui SMSI
Program Național de Securitate Cibernetică 2016-2020 (HG nr.811 din
29.11.15, MO nr.306-310 art.905)

Programul vine să implementeze prevederile:

• Acordului de Asociere Republica Moldova-Uniunea
Europeană
• Strategia securității cibernetice a UE
• Convenția Consiliului Europei privind criminalitatea
informatică
• Recomandările Uniunii Internaționale a
Telecomunicațiilor referitoare la asigurarea securității
cibernetice a rețelelor și serviciilor de comunicații
electronice
1. Componentele și mecanismele unui SMSI
Program Național de Securitate Cibernetică 2016-2020 (HG nr8.11 din
29.11.15, MO nr.306-310 art.905)

Programul include 7 domenii de intervenție:

1) procesarea sigură, stocarea și accesarea datelor;
2) securitatea și integritatea rețelelor și serviciilor de
comunicații electronice;
3) capacități de prevenire și reacție de urgență (CERT);
4) prevenirea și combaterea criminalității informatice;
5) consolidarea capacităților de apărare cibernetică;
6) educația și informarea;
7) cooperarea și interacțiunea internațională
1. Componentele și mecanismele unui SMSI
Program Național de Securitate Cibernetică 2016-2020 (HG nr.811 din
29.11.15, MO nr.306-310 art.905)

Patru componente-cheie:
1) introducerea de cerințe minime obligatorii de securitate cibernetică și
standarde naționale de securitate cibernetică privind procesarea, stocarea,
transmiterea, păstrarea și accesarea sigură a datelor

2) certificarea și autorizarea specialiștilor și sistemelor informaționale,

conform standardelor aprobate

3) efectuarea periodică a auditului de securitate cibernetică a sistemelor

informaționale și rețelelor de comunicații electronice în cadrul autorităților
publice și altor entități deținătoare de sisteme informaționale de importanță
vitală pentru societate

4) introducerea de prescripții și sancțiuni pentru nerespectarea cerințelor

minime de securitate și a standardelor naționale în domeniu
1. Componentele și mecanismele unui SMSI
Program Național de Securitate Cibernetică 2016-2020 (HG nr.811 din
29.11.15, MO nr.306-310 art.905)

Implementarea Programului prevede crearea unui Sistem

național funcțional de management al securității cibernetice, în
strânsă cooperare între autoritățile publice, sectorul privat și
organismele europene din domeniu, care va permite:

• Reducerea vulnerabilităților și riscurilor cibernetice,

diminuarea pericolelor și atacurilor cibernetice pentru
Republica Moldova

• Ca R.M. să dispună de un spațiu cibernetic deschis, sigur și

securizat
1. Componentele și mecanismele unui SMSI
Cerințele minime obligatorii de securitate cibernetică (HG nr.201 din 28.03.17,
MO nr.109-118 art.277)

Cerințe minime obligatorii de securitate

cibernetică reprezintă sistemul de
management al securității cibernetice care
include toate politicile, procedurile, planurile,
procesele, practicile, rolurile, responsabilită țile,
resursele și structurile care sînt folosite pentru a
proteja și păstra intactă informaţia
1. Componentele și mecanismele unui SMSI
Cerințele minime obligatorii de securitate cibernetică (HG nr.201 din 28.03.17,
MO nr.109-118 art.277)

Documente SMSC:

• planul de acțiuni pentru asigurarea SC al instituției

• politica de securitate cibernetică a instituției
• planul de instruire și responsabilizare în SC a
personalului
• regulamentele interne de securitate cibernetică,
• procedurile de recuperare
1. Componentele și mecanismele unui SMSI
Cerințele minime obligatorii de securitate cibernetică (HG nr.201 din 28.03.17,
MO nr.109-118 art.277)

1. cerințele minime obligatorii de securitate cibernetică de nivelul 1

(utilizarea tic în activitatea instituției)
2. cerințele minime obligatorii de securitate cibernetică de nivelul 2
(utilizarea tic în activitatea instituției și prestarea serviciilor bazate pe tic)

Ele includ:
• Controlul accesului
• Securitatea fizică
• Securitatea operațională
1. Componentele și mecanismele unui SMSI
Cerințele minime obligatorii de securitate cibernetică (HG nr.201 din 28.03.17,
MO nr.109-118 art.277)

3. cerințele minime obligatorii de asigurare a securității

cibernetice la achiziția sistemelor informaționale noi sau
actualizarea celor existente

4. cerințe de securitate la externalizarea administrării sau

mentenanţei sistemelor

5. răspunsul la incidente, continuitatea proceselor și recuperarea

3. Controale de securitate NIST, ISO 27002, PCI
DSS, CIS Controls

În concluzie...
• Publicația specială NIST 800 și CSF propune un catalog de grupuri diferite de control al
confidențialității și securității, pentru a ajuta agențiile și organizațiile federale din SUA
să-și gestioneze mai bine infrastucturile critice de securitte și riscurile informaționale

• Cele 20 de controale de securitate CIS sunt independente de tipul și geografia

industriei și oferă o abordare bazată pe priorități și mai degrabă tehnice pentru
rezultate imediate și cu impact ridicat

• Controalele ISO 27001 Anexa A și ISO 27002 reprezintă o abordare mai puțin tehnică,
bazată pe gestionarea riscurilor, care oferă recomandări privind cele mai bune practici
pentru companiile de toate tipurile și dimensiunile
3. Controale de securitate NIST, ISO 27002, PCI
DSS, CIS Controls

În concluzie...
• Standardul de conformitate PCI DSS descrie cele 12 reguli de
securitate pentru cele mai bune practici pentru organizațiile din
domeniul plăților cu carduri

• Indiferent de cadrul de securitate compatibil cu organizația dvs.,

un program dedicat de conformitate vă poate ajuta organizația
să-și gestioneze riscurile, să-și îmbunătățească poziția de
securitate și să demonstreze angajamentul față de
îmbunătățirea continuă a calității