Sunteți pe pagina 1din 107

Agenda

1. Conceptul de securitate a informaţiilor (definiţie,


elemente fundamentale; ameninţări, vulnerabilităţi,
riscuri, necesitatea asigurării securităţii informaţiilor
obiectivă, legală, contractuală; cadrul normativ)
2. Sisteme de management al securităţii informaţiilor
(SMSI)
3. Managementul riscului
4. Proiectarea, implementarea, monitorizarea şi
îmbunătăţirea SMSI
5. Certificarea unui SMSI
Securitatea informaţiei – necesitate,
cerinţe, reglementări
Ce sunt informaţiile?
 Cunoştiinţe derivate din orice sursă

 Informaţiile sunt date analizate,


comunicate, înţelese
Sursa: “Information Security Management Handbook” – Auerbach
Publications
Securitatea informaţiei – necesitate,
cerinţe, reglementări
Definiţia informaţiilor ?
Informaţiile sunt un bun al afacerii, care – ca
oricare bun al companiei, are valoare şi trebuie
protejat adecvat
Sursa: ISO/IEC 27001:2005: Introducere

 Informaţiile trebuie protejate adecvat


indiferent de forma pe care o iau sau de
mijloacele prin care sunt păstrate sau
comunicate
Sursa: ISO/IEC 27001:2005: Introducere
Informaţii?
Informaţiile afacerii
Accesul la informaţii
 Tipărite

 Pe suport electronic

 Comunicate prin poştă clasică

 Comunicate electronic

 Video

 Discuţii
Contextul Internet

 Reţea globală
 Acces rapid, ieftin, discret, fără urmă
 Trafic în creştere
 Oricine de oriunde
 Arhitectură structural nesigură TCP-
IP
Nivele de securitate

 Instituţii guvernamentale – secrete de stat


 Informaţii interne – confidenţiale/secret de serviciu
 Domenii de activitate – secret profesional
 Clienţi – confidenţialitate asumată (bănci)
 Parteneri de afaceri – informaţii folosite în comun
Importanţa informaţiei

 Protecţia informatiilor “business critical”

 Competitie

 Cash Flow

 Cerinte legale

 Reputatie

 ?
Securitatea informaţiei – necesitate,
cerinţe, reglementări
Definiţia securităţii informaţiilor ?

Confidenţialitate
Asigurarea că informaţia este accesibilă doar acelora care sunt
autorizaţi să aibă acces.

Integritate
Protejarea corectitudinii şi caracterului complet
al informaţiei şi metodelor de procesare.

Disponibilitate
Asigurarea că utilizatorii autorizaţi au acces la
informaţii şi la bunurile asociate atunci când este necesar.
Securitatea informaţiei – necesitate,
cerinţe, reglementări
Obiectivele securităţii informaţiilor ?
 Protejarea organizaţiei de o paletă largă
de pericole şi ameninţări interne şi externe
cu impact asupra securităţii informaţiilor
 Asigurarea continuităţii operaţiunilor
 Minimizarea pagubelor şi maximizarea
recuperării investiţiilor şi oprtunităţilor de
afaceri
 Menţinerea neştirbite a competivităţii,
profitabilităţii, legalităţii, reputaţiei şi
imaginii organizaţiei
Securitatea informaţiei – necesitate,
cerinţe, reglementări
Necesitatea asigurării SI: cerinţe, aşteptări,
principii

Cerinţe complexe şi dinamice – este necesar un proces de


Management al Cerinţelor
Securitatea informaţiei – necesitate,
cerinţe, reglementări
Necesitatea asigurării SI: reducerea riscurilor,
pierderilor

Riscuri complexe şi dinamice – este necesar un proces de


Management al Riscurilor
Securitatea informaţiei – necesitate,
cerinţe, reglementări
RISC =
o pagubă (pierdere) potenţială pentru organizaţie în
situaţia când o ameninţare exploatează o vulnerabilitate.
Riscul este exprimat cel mai bine
de răspunsul la următoarele întrebări:
Ce se poate întâmpla (care este ameninţarea)?
Care este impactul sau consecinţa?
Care este frecvenţa (cât de des se poate întâmpla)?
Securitatea informaţiei – necesitate,
cerinţe, reglementări

Ameninţările - surse accidentale sau voite de


evenimente. Ameninţarea exploatează o vulnerabilitate
Vulnerabilităţile -slăbiciuni asociate resurselor
(specifice mediului fizic, personalului,
managementului, administraţiei, resurselor hardware,
software, comunicaţii etc). Cauzează daune numai
dacă sunt exploatate de ameninţări
Vulnerabilitati - Amenintati - Riscuri
exploatează

Ameninţări Vulnerabilităţi
cresc
expun
protejează

Măsuri de control reduc Riscuri Bunuri

indică
cresc au
impun
Cerinţe de protecţie Impact
Securitatea informaţiei – necesitate,
cerinţe, reglementări
Liste de ameninţări - exemple
 Securitatea fizică şi a  Securitatea echipamentului
mediului – Defecţiune aer condiţionat
– Incendiu – Particule conductive
– Atac cu bombă – Atac cu bombă
– Cutremur – Contaminare
– Contaminare mediu – Cădere alimentare
– Inundaţie – Deranjament hardware
– Fulger – Eroare de întreţinere
– Software dăunător
– Furt
– Accesarea reţelei de
– Preturbaţii industriale persoane neautorizate
– Vandalism – Eroare de utilizator
Securitatea informaţiei – necesitate,
cerinţe, reglementări
Liste de vulnerabilităţi - exemple
 Administrare calculator şi reţea  Sistem de control al accesului /
– Linii de comunicaţie neprotejate politică de dezvoltare şi
(interceptare) întreţinere
– Puncte de conexiune neprotejate – Interfaţă de utilizator
(infiltrare comunicaţii) complicată (eroare de
– Lipsa mecanismelor de utilizator)
identificare şi autentificare – Lipsa unei proceduri de
(substituire identitate) ştergere a mediilor de stocare
– Transferul parolelor în clar înainte de reutilizare (utilizare
(accesare reţea de utilizatori neautorizată software)
neautorizaţi) – Lipsa unui control adecvat al
– Linii dial-up (accesare reţea de modificărilor (defecţiuni
utilizatori neautorizaţi) software)
– Administrare reţea neadecvată – Administrare defectuoasă a
(supraîncărcare trafic) parolelor (substituire
identitate)
Securitatea informaţiei – necesitate,
cerinţe, reglementări
Asigurarea SI = ţinerea sub control a riscurilor
 Tratarea riscurilor este rezultatul unui proces de management al
riscurilor şi constă în:
- Aplicarea măsurilor de control adecvate pentru reducerea
riscurilor
- Înţelegerea şi acceptarea conştientă a riscurilor în măsura
în care sunt satisfăcute politica organizaţională şi criteriile de
acceptare a riscului
- Eliminarea riscului (renunţarea la unele activităţi; mutarea
unor bunuri în zone mai puţin expuse; renunţarea la procesarea
unor informaţii sensibile)
- Transferarea riscurilor asociate activităţii altor părţi
(asigurare, outsourcing)
Securitatea informaţiei – necesitate,
cerinţe, reglementări
Factori care influenţează conceperea, elaborarea
şi implementarea unei strategii de securitate:
- mărimea organizaţiei şi complexitatea proceselor
- cerinţele de securitate determinate de multiple provocări
(interconectarea sistemelor, spionajul corporativ, terorismul cibernetic,
conştientizarea angajaţilor)
- volumul sporit al informaţiilor sensibile/critice
- profilul activităţii, nevoile şi obiectivele organizaţiei
- ameninţările şi vulnerabilităţile prezente la adresa informaţiilor
prelucrate, stocate şi / sau transmise (de natură umană, legate de
minimizarea costurilor, de natură tehnică sau externe)
- gradul de securitate a sistemelor informatice folosite
gradul de interconectare a sistemelor şi serviciilor
- interconectarea reţelelor interne cu cele publice (Internet) sau
private
- volumul resurselor (umane şi financiare) disponibile
- nivelul de cultură şi tradiţie în domeniul securităţii inf.
Agenda
1. Conceptul de securitate a informaţiilor (definiţie,
elemente fundamentale; ameninţări, vulnerabilităţi,
riscuri; necesitatea asigurării securităţii informaţiilor
(obiectivă, legală, contractuală; cadrul normativ)
2. Sisteme de management al securităţii informaţiilor
(SMSI)
3. Managementul riscului
4. Proiectarea, implementarea, monitorizarea şi
îmbunătăţirea SMSI
5. Certificarea unui SMSI
Ce este un SMSI ?

 S.M.S.I.
• parte a sistemului de management al unei organizaţii, bazată pe analiza
riscurilor, destinată elaborării, implementării, operării, supravegherii,
menţinerii şi îmbunătăţirii securităţii informaţiilor
 Standarde aplicabile
• ISO 9001/2008 - Cerinţe pentru sistemele de management al calităţii
• ISO 27002/2005 - Ghid practic pentru managementul securităţii
informaţiilor
• ISO 27001/2005 – Sisteme de management al securităţii informaţiilor –
Specificaţii şi instrucţiuni de aplicare
 Abordare cuprinzătoare, coerentă a problematicii
10 cerinţe importate care trebuie sa fie
indeplinite de un SMSI

- Existenta unei Politici de Securitate


- Alocarea responsabilitatilor pentru securitate
- Realizarea de training si educare pentru securitatea informatiei
- Raportarea incidentelor de securitate
- Control pentru “malicious code”
- Existenta unui plan de continuare a afacerii “business
continuity plan”
- Existenta controlului asupra proprietatii intelectuale
- Protejarea documentelor si inregistrarilor companiei
- Respectarea (conformitatea) legilor pentru Protectia Datelor
- Demonstratea conformitatii cu politicile de securitate
In concluzie: de ce avem nevoie de un SMSI?

 Pentru a proteja informatia de un numar


alarmant de amenintari, pentru a asigura
continuitatea afacerii si pentru a maximiza
intoarcerea investitiei facute precum si a
oportunitatilor de afacere
Stadii evolutive în domeniul SI

· securitatea informaţiei privită ca un joc (adoptarea unor tehnici şi


instrumente de securitate ale căror funcţii sunt descoperite mai degrabă empiric decât în urma
apelării la literatura de specialitate)
· conştientizarea nevoii de securitate (a apărut atunci când organizaţiile au
realizat că informaţiile pe care le deţin merită a fi protejate, prin proceduri minimale. Foarte puţine
au trecut însă la documentarea adecvată a sistemului)
· achiziţionarea unor soluţii sigure de securitate (o parte din bugetul
departamentului IT este dedicată soluţiilor de securitate, iar organizaţia cercetează serios metode
moderne şi sigure de a-şi securiza comunicaţiile şi a se proteja împotriva atacurilor)
· securitatea informaţiei este tratată ca o necesitate prioritară,
respectiv ca un sistem de management (o securitate a informaţiei puternică a devenit
un avantaj în cadrul competiţiei în afaceri iar bugetul alocat securităţii este separat de cel al
departamentului IT).
Roluri si responsabilităţi în SMSI

Top managementul
-aprobă scopul SMSI, angajamentul, obiectivele, politica de securitate a
informaţiilor şi toate documentele aferente SMSI;
- emite decizii pentru numirea comitetului de securitate şi a responsabilului cu
securitatea;
-aprobă declaraţia de aplicabilitate a SMSI şi deciziile de tratare a fiecărui risc
în parte;
-aprobă planul de tratare a riscurilor şi toate acţiunile manageriale suplimentare
pentru monitorizarea, evaluarea şi îmbunătăţirea eficienţei măsurilor de
securitate;
-aprobă planurile de auditare a SMSI; efectuează analiza de management
pentru SMSI şi aprobă procesele verbale ale şedinţelor de analiză, precum şi
acţiunile corective şi preventive necesare îmbunătăţirii SMSI;
-aprobă resursele necesare pentru proiectarea, menţinerea şi îmbunătăţirea
SMSI.
Roluri si responsabilităţi în SMSI

Responsabilul cu securitatea (RS)


-defineşte politica de securitate a informaţiilor, procedurile şi măsurile de
securitate;
-defineşte şi obţine aprobărilor pentru responsabilităţile de securitate (tabel de
securitate, document aprobat de managerul general);
-strânge informaţii despre politicile de securitate existente (ce funcţionează şi ce
nu; cum se comunică riscurile; cum se stabilesc priorităţile proiectelor; cum sunt
structurate procesele de securitate);
-urmăreşte aplicarea eficientă a politicilor de securitate;
-dezvoltă, implementează şi îmbunătăţeşte măsurile în domeniul securităţii
informaţiilor;
-supraveghează toate procesele de securitate din firmă;
-răspunde de managementul incidentelor de securitate şi de răspunsul la
incidente;
-coordonează procesul de conştientizare şi pregătire al personalului în
domeniu SI;
-orientează proprietarii resurselor (PR) în toate problemele ce ţin de SI.
Roluri si responsabilităţi în SMSI

Proprietarul resurselor

-răspunde de activele date în responsabilitate (informaţii; software; echipamente de


calcul şi de comunicaţii; aplicaţii; servicii; oameni; active intangibile; proprietatea poate
fi atribuită unui proces al afacerii, unui set de activităţi, unei aplicaţii sau unui set
stabilit de date).
Împreună cu RS, PR răspunde de:
- - identificarea cerinţelor de securitate ale afacerii;
- - asigurarea clasificării corespunzătoare a informaţiilor şi resurselor critice;
- - revizuirea permanentă a ghidurilor de clasificare a informaţiilor;
- definirea şi supunerea aprobării managerului general, a drepturilor de acces la
informaţii pentru toţi utilizatorii resurselor informaţionale sau ale reţelei necesare
acestora pentru a-şi îndeplini sarcinile de serviciu (procesul de administrare a
utilizatorului - AU), precum şi modul/metoda de rezolvare a excepţiilor de la regulile
generale stabilite pentru aceste permisiuni.
Roluri si responsabilităţi în SMSI
Comitetul, forumul, echipa de securitate
- coordonează executarea activităţilor de securitate în
conformitate cu politica de securitate a informaţiilor;
- identifică modul de tratare a neconformităţilor;
- avizează politicile, metodologiile şi procedurile legate
de securitatea informaţiilor;
- avizează planurile de tratare a riscurilor;
- analizează incidentele de securitate;
- estimează gradul de adecvare a măsurilor de
securitate a informaţiilor şi coordonează implementarea lor;
- analizează modul de promovare a educaţiei, instruirii
şi conştientizării personalului cu privire la securitatea informaţiilor în
cadrul organizaţiei;
- evaluează informaţiilor primite de la activităţile de
monitorizare şi analiză a incidentelor de securitate;
- face recomandări de acţiuni corective şi preventive,
precum şi de acţiuni adecvate de răspuns la incidentele de securitate a
informaţiilor;
- identifică mutaţiile expunerii la ameninţări a
informaţiilor şi a mijloacelor de procesare a acestora şi propunde
Agenda
1. Conceptul de securitate a informaţiilor (definiţie,
elemente fundamentale; ameninţări, vulnerabilităţi,
riscuri; necesitatea asigurării securităţii informaţiilor
(obiectivă, legală, contractuală; cadrul normativ)
2. Sisteme de management al securităţii informaţiilor
(SMSI)
3. Managementul riscului
4. Proiectarea, implementarea, monitorizarea şi
îmbunătăţirea SMSI
5. Certificarea unui SMSI
“Security is always excessive until
it’s not enough”
Ce reprezintă managementul
riscurilor ? [SR 17799]

# evaluarea riscurilor – abordare sistematică a:


¤ daunelor care ar putea rezulta în urma unei breşe de
securitate
¤ probabilitatea realistă ca un astfel eveniment de
securitate sa se produca
# indicarea şi determinarea actiunilor
de management potrivite şi a priorităţilor acestora
# implementarea controalelor
selectate pentru protecţia împotriva riscurilor
# revizuiri periodice
Ce reprezintă managementul riscurilor?

Basic Assumption: What are the Rating:


There will be a failure consequences? Risk Exposure
qualified & quantified

Risks categorized Mitigation/recovery Mitigation/recovery


& prioritized actions defined actions followed-up
Results and decisions
are documented
Cum se stabilesc cerinţele de
securitate ? [ISO 27002]

- evaluarea riscurilor la care este expusă organizaţia

- cerinţele legale, statutare, contractuale

- setul specific de principii, obiective şi


cerinţe pentru procesarea informaţiei
Terminologie
Terminologie
‚Organizaţia trebuie să stabilească o metodă de analiză a
riscurilor care este adecvată pentru SMSI şi să identifice
cerinţele de securitate, cerinţele legale şi regulatorii ale
sale. Să stabilească politica şi obiectivele SMSI în vederea
reducerii riscurilor la nivele acceptabile. Să determine
criteriile pentru acceptarea riscurilor şi nivelele la care
acestea pot fi acceptate.’(ISO 27001)
Schema ISO 27001:2005
A. Identificarea si analiza riscurilor :
 a) identificarea resurselor
 b) identificarea ameninţărilor la resurse
c) identificarea vulnerabilităţilor care pot fi exploatate de
ameninţări
d) identificarea impactului pe care pierderea
confidenţialităţii, integrităţii şi disponibilităţii îl pot avea
asupra resurselor
Schema ISO 27001:2005
B. Evaluarea riscurilor :
a) evaluarea prejudiciului care poate rezulta dintr-un incident
de securitate, luând în calcul consecinţele potenţiale ale
pierderii confidenţialităţii, integrităţii şi disponibilităţii
resurselor;
b) evaluarea realistică a probabilităţii de apariţie a unui
incident având în vedere ameninţările şi vulnerabilităţile
predominante asociate cu aceste resurse, ca şi măsurile
de control (protecţie) existente;
c) estimarea nivelului riscurilor;
d) determinarea dacă riscul este acceptabil sau necesită
tratare în baza criteriilor de acceptare stabilite.
Schema ISO 27001:2005
C. Identificarea şi evaluarea opţiunilor de tratare a riscurilor
(Tratarea riscurilor)
a) aplicarea măsurilor adecvate;
b) acceptare în cunoştinţă de cauză şi argumentat, în
condiţiile satisfacerii polticii organizaţiei şi a criteriilor de
acceptare a riscurilor;
c) eliminarea riscurilor;
d) transferarea riscurilor altor părţi.
D. Selectarea obiectivelor şi măsurilor pentru tratarea
riscurilor
Procesul de MR
Stabilirea Contextului

Identificarea/analiza
Riscurilor

Monitorizare şi Analiză
Comunică şi consultă

Evaluarea Riscurilor:
Probabilitate
Consecinte
Nivel de risc

Tratarea Riscurilor
Plan-Do-Check-Act
Plan

Analiza de risc

Do Tratarea riscurilor Imbunatatire Act

Monitorizarea riscurilor

Check
Identificarea ameninţărilor şi
vulnerabilităţilor
 Ameninţările - surse
accidentale sau voite de  Vulnerabilităţile -
evenimente slăbiciuni asociate
resurselor în:
 Exploatează o
vulnerabilitate – Mediul fizic
 Factori de analiză: – Personal,
management,
– Resursa administraţie
– Acces – Hardware, software,
– Actor comunicaţii
– Motivaţie  Cauzează daune numai
– Impact dacă sunt exploatate de
ameninţări
 Exemple
Calculul riscurilor
Metode cantitative
 AV – valoarea resursei SMSI
EF – factorul de expunere (valoarea procentuala
a impactului din valoarea resursei)
SLE = AV x EF (Ex. 150.000 lei X 25%=
37.500 lei pierdere la o aparitie a riscului)
SLE – impactul unui risc la o aparitie

ARO – rata (frecventa) de manifestare a


incidentului
ALE – impactul total estimat al riscului

ALE = SLE x ARO (Ex. 37.500 lei X 0,1 - o


frecventa a riscului de 1 la 10 ani= 3.700
lei)
Calculul riscurilor
Metode calitative
Exemplu de calcul: evaluarea separată a ameninţărilor şi vulnerabilităţilor
Nivel ameninţare Scăzut Mediu Ridicat

Nivel S M R S M R S M R
vulnerabilitate
0 0 1 2 1 2 3 2 3 4
Valoare 1 1 2 3 2 3 4 3 4 5
a bunului
2 2 3 4 3 4 5 4 5 6
3 3 4 5 4 5 6 5 6 7
4 4 5 6 5 6 7 6 7 8
Calculul riscurilor

Metode cantitative
Avantaje
Caracter obiectiv
Formalism convenabil top-managementului

Faciliteaza analiza cost-efect

Se preteaza aplicatiilor software

Dezavantaje
Lipsa unor valori unanim recunoscute pentru factorii
de expunere sau ratele de aparitie
Dificultatea de aplicare completa a metodei

Complexitate mare

Credibilitate scazuta
Calculul riscurilor - Metode calitative

Avantaje
• permite elaborarea metodei adecvate organizatiei
• suport intuitiv pentru managementul riscurilor organizatiei
• permite stabilirea de prioriati in tratarea riscurilor
• costurile de aplicare sunt reduse
• adecvata abordarii PDCA

Dezavanje
• o anumita doza de subiectivism
• suport redus pentru analiza cost/efect
Tratamentul riscurilor

 Aplicarea măsurilor de control adecvate pentru


reducerea riscurilor
 Înţelegerea şi acceptarea conştientă a riscurilor în
măsura în care sunt satisfăcute politica
organizaţională şi criteriile de acceptare a riscului
 Eliminarea riscului
– Renunţarea la unele activităţi
– Mutarea unor bunuri în zone mai puţin expuse
– Renunţarea la procesarea unor informaţii sensibile
 Transferarea riscurilor asociate activităţii altor părţi
– Asigurare, outsourcing, scoaterea din S.M.S.I
Selectarea măsurilor de control
 ISO 27002
 ISO 27001
Alte criterii
– Uşurinţa utilizării
– Transparenţa în raport cu utilizatorul
– Sprijinul asigurat utilizatorului
– Eficienţa măsurii de control
– Tipul de funcţie realizat: prevenire, împiedicare, detecţie,
refacere, corectare, monitorizare, semnalizare
– Asigurarea unui echilibru între funcţii
– Factorul de cost
 Acţiune
– Reducerea probabilităţii ca ameninţarea sau vulnerabilitatea să
cauzeze un incident
– Asigură respectarea cerinţelor legale sau de activitate
– Reduce impactul în caz de incident
– Detectează evenimentele nedorite, reacţionează şi
Avantajele managementului riscurilor
informatice?
– Creşterea gradului de conştientizare a riscurilor de securitate şi
a practicilor recomandate pentru utilizatorii de calculatoare

– Asigurarea resurselor umane şi de competenţă pentru


administratorii de reţele şi alte funcţii importante în asigurarea
obiectivelor de securitate informatică

– Utilizarea eficace si eficienta a soluţiilor tehnice destinate


sporirii gradului de securitate informatică

– Prevederea unor proceduri şi a unor capacităţi corespunzătoare


de răspuns la incident; business continuity, disaster rocovery,
survivability
Sistemul de management al
securităţii informaţiilor – factor
decisiv în protejarea afacerilor
Obiectivele standardelor
ISO 27002 si ISO 27001
Studiu de caz (1)
Obiectivele studiului de caz:
Stabilirea şi documentarea unei strategii de securitate în cadrul
S.C. “Contract” S.A. (Faza PLAN):
Activităţi documentate:
1 - Prezentarea firmei;
2 – Stabilirea/continutul politicii de securitate;
3 – Cadrul organizatoric şi de coordonare a securităţii inf
4 – Metodologia de evaluare a riscurilor
5 - Identificarea şi clasificarea resurselor (bunurilor
informaţionale). Registrul resurselor.
6- Analiza şi evaluarea riscurilor de securitate. Scenarii de risc.
Registrul riscurilor;
7 - Eaborarea planului de tratare a riscurilor;
8 - Elaborarea declaraţiei de aplicabilitate a standardului ISO
27001
Studiu de caz (2)
1. Prezentarea S.C. “Contract” S.A.:
Obiect de activitate: “Comertul „en-gros si en-detail‟” cu produse
industriale altele decit cele declarate ca avind regim special sau
agroalimentare.
Cifra de afaceri: aproximativ 10 mil euroanual.
Personal: 104 in mediean din care: 4 – personal de conducere;
02 – personal de informatică (inclusiv administratorul de retea); 8
– personal tehnic (subinigineri - ingineri cu specializare in
domeniile constructii, electrotehnica, transporturi, tehnologia
constructiilor de masini); 40 – personal pentru aprovizionare –
desfacere(manipulanti, gestionari, lucrători comerciali, şefi
depozite, merceologi); 30 – personal tehnic de executie
(electricieni, macaragii, sudori, strungari, frezori, soferi; 12 –
personal financiar – contabil (casieri, contabili, economisti); 8 –
personal logistica(juridic, salarizare, facilities);
Studiu de caz (3)
1. Prezentarea S.C. “Contract” S.A.- continuare:

Actionariat: director general (40%); director comercial (25%),


director economic (20%), director tehnic (15%).
Organizatia isi desfasoara activitatea in locaţii din cadrul
localităţii, în locaţii situate în cadrul judeţului şi în alte judeţe.
Locaţiile au urmatoarele destinaţii:
- sediu,
- depozite centrale (numai în localitatea în care organizaţia işi
are sediul),
- depozite(“en-gros”; în diverse localităţi din ţara),
- magazine(“en-detail”; în diverse localităţi din ţara).
Studiu de caz (4)
1. Prezentarea S.C. “Contract” S.A.- continuare:
Bunurile fizice ale organizatiei sunt asigurate. Nu au fost
inregistrate cazuri de furt sau spargeri.
Structura personalului este destul de stabila, in peste 15 ani de
activitate iregistrindu-se doar cazuri de pensionare.
Activitatea organizaţiei nu a fost afectată de incendii sau
inundaţii.
Nu sunt definite şi implementate măsuri de securitate fizică,
birourile se incuie de ultima persoana care paraseşte incaperea
în care işi desfăşoară activitatea.
Încaperile nu dispun de dulapuri cu incuietori destinate
depozitarii documentelor confidentiale.
Informatiile vehiculate in organizatie sunt catalogate informal ca
fiind confidentiale, de uz intern si publice.
Studiu de caz (5)
1. Prezentarea S.C. “Contract” S.A.- continuare:
La nivelul locatiei de bază (sediul organizaţiei) exista o reţea
informatică; resursele informatice sunt accesate remote (linie
telefonică închiriată) de utilizatorii care îşi desfăşoară activitatea
în celelalte locaţii.
Serviciile de comunicatii (date, voce, e-mail si internet) sunt
externalizate către o organizaţie specializată.
Activitatile de Back-up sunt asigurate, aleator, de cei doi
informatocieni, pe CD-uri; nu sunt realizate proceduri automate
de Back-up, nu se tin evidente.
Reteaua informatica nu a fost afectata de soft malitios sau virusi.
Studiu de caz (6)
2. Politica de Securitate a S.C. CONTRACT S.A.

Strategia de securitate a S.C. CONTRACT S.A. va fi prezentată intr-


un document “Politica de Securitate a S.C. CONTRACT S.A.”,
document care va fi elaborat in conformitate cu recomandarile
standardelor ISO 27002, si prevederile actelor normative in
vigoare pe teritoriul Romaniei.
Documentul “Politica de Securitate a S.C. CONTRACT S.A.” va
evidentia reperele de baza privind strategia de securitate a S.C.
CONTRACT S.A.:
- rolurile şi responsabilităţile privind implementarea strategiei de
securitate;
Studiu de caz (7)
2. Politica de Securitate a S.C. CONTRACT S.A. - continuare
- existenta unei viziuni clare a managementului
organizaţiei şi o comunicare efectiva a acesteia către
personalul organizaţiei, aspect fundamental pentru
asigurarea eficienţei oricaror proceduri şi măsuri de
securitate specifice;

- modul în care s-au identificat cerinţele de securitate


considerind ca surse principale: analiza riscurilor,
legislaţia existenta, standardele si procedurile interne;

- modul de tratare a riscurilor proprii sau induse de


terţi sau subcontractori care au acces la resursele
organizatiei;
Studiu de caz (8)
2. Politica de Securitate a S.C. CONTRACT S.A. - continuare

- scopului politicii: asigurarea unui climat de siguranta necesar


desfăşurării şi continuităţii activităţii organizaţiei;
- obiectivele politicii– de a asigura confidentialitatea, integritatea,
disponibilitatea privind resursele, în condiţii de risc acceptate de
managementul organizatiei;
- resursele care fac obiectul strategiei de securitate: informatiile,
aplicatiile soft, retele informatice si de comunicatii, echipamente
tehnice, echipamente informatice si de comunicatii, cladiri,
incaperi, utilitati(energie electrica, energie termica, etc.),
ersonalul, etc.;
Studiu de caz (9)
2. Politica de Securitate a S.C. CONTRACT S.A. - continuare
- planul de continuitate a afacerii (creare, actualizare, testare),

- instruirea salariatilor; raportarea si investigarea incidentelor de


securitate; principiile care sustin intregul proces (controlul dual,
segregarea atributiilor, derularea activitatii cu privilegii minime,
planificarea contingenţei, “orice acces care nu este in mod explicit
permis este in mod implicit interzis”, politica biroului curat;

- documente interne (norme, proceduri, planuri de actiune) prin care


se va realiza implementarea si aplicarea strategiei de securitate;

- obligativitatea personalului de a lua act, a intelege si a respecta


politica si toate reglementarile, conform cu documentatiei SMSI prin
care se asigura relizarea obiectivelor strategiei politicii de securitate
a S.C. CONTRACT S.A. ;
Studiu de caz (10)
3. Cadrul organizatoric şi de coordonare a
securităţii inf
- Consiliul de Administratie reprezintă structura organizatorică care iniţiază
şi controlează implementarea strategia şi mecanismelor de securitate în
cadrul organizatiei;
- personalul este obligat să raporteze (la adresa contractyy@zz.ro in situtatii
deosebite se vor folosi alte canale de comunicare:FAX - 9999.99.99.99,
telefonia fixa - 9999.99.99.88) toate incidentele de securitate asupra
resurselor care fac obiectul strategiei de securitate, vulnerabilitati (chiar
susceptibile) ale resurselor respective pentru minimizarea efectelor
negative, stabilirea cauzelor, eliminarea (masuri reactive) vulnerabilitatilor
identificate, stabilirea de masuri proactive;
-
Studiu de caz (12)
4. Metodologia de evaluare a riscurilor.
(e1): Se identifica activele/bunurile asociate activitatii;
(e2): Activele/bunurile sunt clasificate in functie de importanta si
valoarea lor pe o scară de la 1 la 3 unde (1 = valoare mica, 2 =
valoare medie, 3 = valoare mare);
(e3): Se identifica vulnerabilităţile şi ameninţările asociate
Activelor/bunurilor;
(e4): Se evalueaza impactul amenintarilor;
(e5): Se evalueaza frecventa de manifestare/probabilitatea unei
amenintari (posibilitatea ca o anumita amenitare sa se materializeze)
(e6): Se calculeaza riscul asociat fiecarui activ/bun pe baza unei matrice
în care input-uri sunt valoarea, impactul si probabilitatea.
Riscul se calculeaza considerind obiectivele de baza ale unei politicii de
securitate a informatiei: Co(nfidentialitatea)/
In(tegritatea)/ Di(sponibilitatea). ;
Studiu de caz (13)
5. Identificarea şi clasificarea resurselor (bunurilor
informaţionale). Registrul resurselor (e1 şi e2).
Bunurile-resursele informaţionale sunt identificate de către proprietarii
proceselor, asistaţi de de RSI, acestea fiind înscrise în Registrul
Activelor. Registrul Activelor face referire la documente de referinţe
care detaliază toate informaţiile necesare pentru recuperare în urma
unui dezastru, inclusiv tipul activului, formatul, amplasamentul,
informaţiile de rezervă, informaţii privind licenţa, valoarea comercială.
Identificarea resurselor se face pentru fiecare proces în parte.
Evaluarea Resurselor se face pe baza impactului potenţial pe care îl
poate avea pierderea Confidenţialităţii, Integrităţii sau Disponibilităţii
resursei asupra organizaţiei.
Activele/bunurile sunt clasificate in functie de importanta si valoarea lor
pe o scara de la 1 la 3 unde: 1 = valoare mica, 2 = valoare medie, 3
= valoare mare.
Studiu de caz (14)
5. Registrul resurselor.
Activ/bun Proprietar Valoare
Active informationale- format electronic:

Fisiere de date neprelucrate Ionescu I. 3


Fisiere de date prelucrate 3

Rapoarte management & autoritati(pentru printare 2


si semnare)
Documentaţie sisteme 1

Proceduri operationale 1

Active informationale – hartie:

Facturi si alte documente justificative Popescu 2


Rapoarte finale de conformitate 1

Rapoarte intermediare de verificare destinate 1


controlului dual
Studiu de caz (15)
5. Registrul resurselor - continuare
Contracte 2
Corespondenta parteneri 1

Active software: Georgescu I


Aplicatii - server si client - prelucrare date si 3
generare rapoarte
Sistem de operare server 2

Sisteme de operare PC 2

Parole administrare server & PC 3

Parole utilizator PC 2

Active hardware: Georgescu I


Server baze de date 3

Statii PC 2
Studiu de caz (16)
5. Registrul resurselor - continuare
Imprimante 2
Facilitati: Anton P.

Energie electrica 2
Aer conditionat 2

Personalul:

Personal administrare & conducere 3

Personal operare & executie 2

Outsourcing:

Sisteme de comunicatii(date, Internet, e-mail, IP - 3


voice)
Studiu de caz (17)
6. Analiza şi evaluarea riscurilor de securitate.
Scenarii de risc. Registrul riscurilor
Pentru fiecare resursă inclusă în inventarul activelor, proprietarul
de proces, împreună cu RSI identifică ameninţările şi
vulnerabilităţile care pot afecta activul respectiv şi implicit activitatea
de bază a organizaţiei.
Pentru a avea o cuprindere cât mai exactă a ameninţărilor,
riscurile de securitate sunt identificate cu ajutorul elementelor ce le
compun: ameninţarea, vulnerabilitatea pe care ameninţarea respectivă
o poate exploata şi impactul pe care îl poate avea fructificarea
ameninţării.
Identificarea ameninţărilor se face pornind de la identificarea
Agentului ameninţării. Agentul ameninţării este asociat cu tipul
ameninţării (de natură umană, naturală, tehnologice) şi categoriile de
ameninţări (interne, externe, asociate, foc, apă, vibraţii, violenţă,
biologice, de infrastructură, de sistem etc).
Studiu de caz (18)
6. Identificare vulnerabilitati şi amenintari (e3)
Vulnerabilitati Amenintari Cauze N= Bun/Activ Componenta
naturaele, afectată (C,
U=umane I, D)
neintetionate, I=
umane
intentionate,
Lipsa monitorizare mediu Cutremur N Toate I, D

Lipsa monitorizare mediu Inundatie N, U, I Toate I, D

Lipsa monitorizare mediu Foc N, U, I Toate I, D

Lipsa monitorizare mediu Contaminare mediu N, U, I Personal D

Lipsa monitorizare mediu Perturbatii N, U, I Hard, Soft, Outs D


industriale
Modul defectuos de intretinerecuratenie Particule praf N Hard D

Lipsa monitorizare mediu Defectiune aer N, U, I Hard D


conditionat
Documentare si instruire insuficienta Deranjamente U, I Hard D
hardware
Documentare si instruire insuficienta Erori de intretinere U Hard I, D

Lipsa documentare, Erori de utilizare, U Soft I, D


instruire deficitara operare,
Studiu de caz (19)
6.Identificare vulnerabilitati şi amenintari (e3)-continuare
Lipsa politici de controlul fizic accesului Furt I Resurse C, I, D
informationale,
Hard
Lipsa politici de control fizic acces; Lipsa Acces neautorizat la U, I Resurse C
politici de control logic al accesului; Lipsă informatii si servicii informationale,
politică privind biroul curat; Instruire deficitara Hard, Outs
utilizatori ; Acces nelimitat la servicii web-
based mail, web-chat
Retea in locuri nesupraveghea si in spatiul Interceptare comunicatii I Resurse C, I
public informationale,
Outs
Instruire deficitara utilizatori – mod de Substituire identitate I Resurse C, I
administrare deficitar al parolelor informationale
Drepturi admin, lipsa proceduri Acces Utilizare ilegala de U Soft C, I, D
floppyCD, Lipsa monitorizare si control software
regulat
Lipsa politică utilizare internet – lipsa Haking U Resurse inf., Outs C, I, D
Protectie serverOutS: lipsa procedura
Acces internet – protectie inadecvata Virusi & Cod malitios N, U, Hard, Soft C, I, D
I
Instruire deficitara Nerespectare proceduri U, I Resurse C, I, D
operationale informationale,
(administrare, acces, Soft, Personal
operare)
Numar insuficient de personal Lipsa personal U, I Personal D
Studiu de caz (20)
6. Stabilirea impactului şi probabilităţii amenintarilor identificate (e4), (e5)
Impactul amenintarii va fi evaluat pe urmatoarea scara:
In – impact nesemnificativ (sistemul este functional, nu sunt consecinte majore,
securitatea nu este compromisa); Is – impact semnificativ (performanta
sistemului este afectata, consecintele pot fi
apreciate ca fiind semnificative, securitatea unor componente ale sistemului este
compromisa); Im – impact major (sistemul nu mai este functional,
consecintele sunt foarte grave, securitatea sistemului este compromisa).
· Frecventa/probabilitatea unei amenintari – (e5).
Frecventa/probabilitatea de manifestare a unei amenintari reprezinta gradul in
care ea se poate produce in realitate.
Acesata depinde de cat de expus este activul unor contacte cu exteriorul sau cat
de cunoscute sunt caracteristicile acestei resurse.
Probabilitatea unei amenintari va fi cuantificata astfel:
Pn – valoare probabilistica nesemnificativa,
Ps – valare probabilistica semnificativa,
Pm – valoare probabilistica majora.
Studiu de caz (21)
6. Evaluarea riscului – (e6).
Pentru fiecare activ identificat in Registrul activelor, pe baza valorii,
a impactului ameninţăriii şi a probabilitătii acesteia se va calcula
nivelul de risc conform matricei:

Impactul In Is Im
ameninţării
RISC Probabilitate Pn Ps Pm Pn Ps Pm Pn Ps Pm
a amenintarii
1 1 1 2 2 3 4 4 5 5
Valoarea
2 1 2 3 3 4 4 5 5 5
Activului
3 2 2 3 3 4 5 5 5 5
Semnificatia valorilor: 5 = risc foarte mare, 4 = major, 3 = semnificativ, 2 = redus, 1 =
nesemnificativ.
Studiu de caz (22)
6. Evaluarea riscului confidenţialitate.

Activ Valoare Impact Probabilit Indice


ate de risc
Active informationale- format electronic:
Fisiere de date neprelucrate 3 Im Ps 5
Fisiere de date prelucrate 3 Im Ps 5
Rapoarte management & autoritati(pentru 2 Im Ps 4
printare si semnare)
Documentaţie sisteme 1 In Pn 1
Proceduri operationale 1 Is Pn 2
Active informationale – hartie:
Facturi si alte documente justificative 2 Is Ps 4
Rapoarte finale de conformitate 1 Is Ps 3
Rapoarte intermediare de verificare 1 In Pn 2
destinate controlului dual
Studiu de caz (23)
6. Evaluarea riscului confidenţialitate - continuare

Contracte 2 Is Pn 3
Corespondenta parteneri 1 Is Pn 3
Active software:
Aplicatii - server si client - prelucrare date si 3 - -
generare rapoarte
Sistem de operare server 2 - -
Sisteme de operare PC 2 - -
Parole administrare server & PC 3 Im Ps 5
Parole utilizator PC 2 Is Ps 4
Active hardware:
Server baze de date 3 - - -
Statii PC 2 - - -
Studiu de caz (24)
6. Evaluarea riscului confidenţialitate - continuare

Imprimante 2 - - -
Facilitati:

Energie electrica 2 - - -
Aer conditionat 2 - - -
Personalul:
Personal administrare & conducere 3 Is Pn 3
Personal operare & executie 2 Is Pn 3
Outsourcing:
Sisteme de comunicatii(date, Internet, e- 3 Is Pn 3
mail, IP - voice)
Studiu de caz (25)
6. Evaluarea riscului Integritate.

Activ Valoare Impact Probabilit Indice


ate de risc
Active informationale- format electronic:
Fisiere de date neprelucrate 3 Im Ps 5
Fisiere de date prelucrate 3 Im Ps 5
Rapoarte management & autoritati(pentru 2 Is Ps 4
printare si semnare)
Documentaţie sisteme 1 In Pn 1
Proceduri operationale 1 Is Pn 2
Active informationale – hartie:
Facturi si alte documente justificative 2 Is Ps 4
Rapoarte finale de conformitate 1 Is Ps 3
Rapoarte intermediare de verificare 1 In Pn 1
destinate controlului dual
Studiu de caz (26)
6. Evaluarea riscului Integritate - continuare

Contracte 2 Is Pn 3
Corespondenta parteneri 1 Is Pn 3
Active software:
Aplicatii - server si client - prelucrare date si 3 Im Pn 4
generare rapoarte
Sistem de operare server 2 Is Pn 3
Sisteme de operare PC 2 Is Pn 3
Parole administrare server & PC 3 Im Ps 5
Parole utilizator PC 2 Is Ps 4
Active hardware:
Server baze de date 3 Im Ps 5
Statii PC 2 Is Pn 3
Studiu de caz (27)
6. Evaluarea riscului Integritate - continuare

Imprimante 2 In Pn 1
Facilitati:

Energie electrica 2 - - -
Aer conditionat 2 - - -
Personalul:
Personal administrare & conducere 3 Is Pn 3
Personal operare & executie 2 Is Pn 3
Outsourcing:
Sisteme de comunicatii(date, Internet, e- 3 Is Pn 3
mail, IP - voice)
Studiu de caz (28)
6. Evaluarea riscului Disponibilitate.

Activ Valoare Impact Probabilit Indice


ate de risc
Active informationale- format electronic:
Fisiere de date neprelucrate 3 Im Ps 5
Fisiere de date prelucrate 3 Im Ps 5
Rapoarte management & autoritati(pentru 2 Is Ps 3
printare si semnare)
Documentaţie sisteme 1 In Pn 1
Proceduri operationale 1 Is Pn 2
Active informationale – hartie:
Facturi si alte documente justificative 2 Is Ps 4
Rapoarte finale de conformitate 1 Is Ps 3
Rapoarte intermediare de verificare 1 In Pn 1
destinate controlului dual
Studiu de caz (29)
6. Evaluarea riscului Disponibilitate - continuare

Contracte 2 Is Pn 3
Corespondenta parteneri 1 Is Pn 3
Active software:
Aplicatii - server si client - prelucrare date si 3 Is Ps 5
generare rapoarte
Sistem de operare server 2 Is Ps 4
Sisteme de operare PC 2 Is Pn 3
Parole administrare server & PC 3 Im Ps 5
Parole utilizator PC 2 Is Ps 4
Active hardware:
Server baze de date 3 Im Ps 5
Statii PC 2 Is Pn 3
Studiu de caz (30)
6. Evaluarea riscului Disponibilitate - continuare

Imprimante 2 In Pn 1
Facilitati:

Energie electrica 2 Is Pn 3
Aer conditionat 2 Is Pn 3
Personalul:
Personal administrare & conducere 3 Is Pn 3
Personal operare & executie 2 Is Pn 3
Outsourcing:
Sisteme de comunicatii(date, Internet, e- 3 Is Pn 3
mail, IP - voice)
Studiu de caz (31)
6. Nivelul riscului

Indice risc
Activ Valoare C I D
Active informationale- format electronic:
Fisiere de date neprelucrate 3 5 5 5
Fisiere de date prelucrate 3 5 5 5
Rapoarte management & autoritati(pentru 2 4 4 3
printare si semnare)
Documentaţie sisteme 1 1 1 1
Proceduri operationale 1 2 2 2
Active informationale – hartie:
Facturi si alte documente justificative 2 4 4 4
Rapoarte finale de conformitate 1 3 3 3
Rapoarte intermediare de verificare 1 1 1 1
destinate controlului dual
Studiu de caz (32)
6. Nivelul riscului - continuare

Contracte 2 3 3 3
Corespondenta parteneri 1 3 3 3
Active software:
Aplicatii - server si client - prelucrare date si 3 - 4 5
generare rapoarte
Sistem de operare server 2 - 3 4
Sisteme de operare PC 2 - 3 3
Parole administrare server & PC 3 5 5 5
Parole utilizator PC 2 5 5 5
Active hardware:
Server baze de date 3 - 5 5
Statii PC 2 - 3 3
Studiu de caz (33)
6. Nivelul riscului - continuare

Imprimante 2 - 1 1
Facilitati:

Energie electrica 2 - - 3
Aer conditionat 2 - - 3
Personalul:
Personal administrare & conducere 3 3 3 3
Personal operare & executie 2 3 3 3
Outsourcing:
Sisteme de comunicatii(date, Internet, e- 3 3 3 3
mail, IP - voice)
Studiu de caz (34)
6. Evaluarea riscurilor:
In urma analizei efectuate asupra activitatii S.C. CONTRACT S.A. in
conditiile actuale din piaţă, rezulta că materializarea riscurilor identificate
şi cuantificate in Analiza de Risc, pot afecta:
Confidenţialitatea: dezavantaje competitive pe piata; pierderi
financiare; pierderea increderii partenerilor de afaceri ; pierderi capital
imagine; incalcari ale legii si obligatiilor contractuale de confidentialitate;
Integritatea: costuri aditionale financiare; impact negativ asupra
deciziilor de management; neconformitate cu obligatiile legii privind
contabilitatea;
Disponibilitatea: suplimentar fata de consecintele identificate mai
sus: costuri financiare cu recuperarea datelor; intreruperea activitatii.
In aceste conditii, riscul maxim pe care compania este dispusa sa si-l
asume este riscul de nivel 3 – semnificativ.
Studiu de caz (35)
7. Planul de tratare a riscurilor
In vederea reducerii nivelului riscurilor critice (cu nivel 4 şi 5) se
impun urmatoarele masuri:
(m01): Implementarea unui sistem de acces si monitorizare a
accesului pe baza de cartela in camera serverului pentru fiecare locatie
in parte;
PC-ul pe care este instalat soft-ul de management al accesului si
monitorizare va fi instalat in camera serverului;
(m02): Sistem de detectie efractie;
(m03): Opacizarea ferestrelor in zonele cu vizibile in zonele
sensibile;
(m04): Achizitioarea de dulapuri cu inchuietoare pentru
depozitarea documentelor confidentiale in format letric si electronic(sau
dotarea celor actuale cu sisteme de inchidere);
(m05): Elaborarea de reguli privind accesul in incinta S.C.
CONTRACT S.A. de catre vizitatori si salariati in cursul programului si
afara acestuia;
Studiu de caz (36)
7. Planul de tratare a riscurilor - continuare

(m06): Achizitionarea unui server de back-up;


Elaborarea unei proceduri privind recuperarea datelor;
Serverul va fi amplasat intr-o locatie aflata in afara localitatii in locatia de
back--up al furnizorului de Internet;
(m07): Dezactivarea drepturilor de administrator pentru toti
salariatii departamentului; Acordarea acestora pe baza baza de solicitare
documentata;
(m08): Limitarea accesului user-ilor la unitatile de floppy si CD
precum si la USB;
(m09): Limitarea traficului accesului pe internet in zonele cu risc
potential si blocarea accesului la web-based mail, web-chat;
Reguli de utilizare acceptabila a postei electonice;
(m10): Elaborarea si implementarea de reguli privind politica
biroului si a ecranului curat;
Studiu de caz (37)
7. Planul de tratare a riscurilor - continuare
(m11): Implementarea si activarea optiunilor de administrare a
parolelor de acces; Elaborarea de reguli privind manipularea si alegerea
optima a parolelor;
(m12): Elaborarea unei reglementari privind clasificarea
informatiilor si reguli de gestiune a acestora atat in interiorul organizatiei
cat si in exteriorul acesteia;
Introducere angajamentului de confidentialitate;
(m13): Standardizarea statiilor de lucru in functie de atributiile de
serviciu ale salariatilor;
Interzicerea utilizarii de soft neautorizat sisau nelicentiat;
(m14): Elaborarea si implementarea de reguli pentru utilizarea in
siguranta a echipamentelor portabile;
Dotarea acestora cu dispozitive pentru criptare datelor(card, token etc);
(m15): Instalarea unui software antivirus – licenta corporate;
Studiu de caz (38)
7. Planul de tratare a riscurilor - continuare
(m16): Elaborarea si implementarea unei proceduri pentru
angajarea salariatilor(pre-screening) cat si pentru incetarea relatiei de
munca(perioada de preaviz – drepturi de acces – predare doucumente si
documentatie – foaie de lichidare);;
(m17): Instruire pe probleme de securitate a salariatilor la
angajare(una zi) si instruire semestriala cu tot personalul (doua ore);
Atunci cand este cazul se va utiliza news-letter pentru semnalarea unor
amenintari iminente de tipul virus si cod mailitios.
Studiu de caz (39)
7. Planul de tratare a riscurilor - corelatia dintre active, riscuri si
masuri
Valoar Indice risc Măsuri
Activ e
C I D
Active informationale- format electronic:
Fisiere de date neprelucrate 3 5 5 5 m01, m02, m03, m05, m06,
m08, m09, m11, m12, m13,
m14, m15
Fisiere de date prelucrate 3 5 5 5 m01, m02, m03, m05, m06,
m08, m09, m11, m12, m13,
m14, m15, m16
Rapoarte management & autoritati(pentru 2 4 4 3 m01, m02, m03, m05, m06,
printare si semnare) m08, m09, m11, m12, m13,
m14, m15, m16
Documentaţie sisteme 1 1 1 1 -

Proceduri operationale 1 2 2 2 -

Active informationale – hartie:


Facturi si alte documente justificative 2 4 4 4 m01, m02, m03, m04, m05,
m10, m12, m16, m17
Rapoarte finale de conformitate 1 3 3 3 -

Rapoarte intermediare de verificare 1 1 1 1 -


destinate controlului dual
Studiu de caz (40)
7. Planul de tratare a riscurilor - corelatia dintre active, riscuri si
masuri
Contracte 3 3 3 -
2
Corespondenta parteneri 1 3 3 3 -

Active software:
Aplicatii - server si client - prelucrare 3 - 4 5 m06
date si generare rapoarte
Sistem de operare server 2 - 3 4 m06

Sisteme de operare PC 2 - 3 3 -

Parole administrare server & PC 3 5 5 5 m10, m11, m12, m17

Parole utilizator PC 2 5 5 5 m10, m11, m12, m13, m14, m17

Active hardware:
Server baze de date 3 - 5 5 m001, m02, m03, m05, m06, m08,
m9, m11, m12, m13, m14, m15
Statii PC 2 - 3 3 -
Studiu de caz (41)
7. Planul de tratare a riscurilor - corelatia dintre active, riscuri si
masuri
Imprimante - 1 1 -
2
Facilitati:

2 - - 3 -
Energie electrica
Aer conditionat 2 - - 3 -

Personalul:
Personal administrare & conducere 3 3 3 3 -

Personal operare & executie 2 3 3 3 -

Outsourcing:
Sisteme de comunicatii(date, 3 3 3 3 -
Internet, e-mail, IP - voice)
Studiu de caz (42)
8. Declaraţia de aplicabilitate
Indicativul Aplicabil
măsurii Denumirea măsurii Da / Nu
Termen

A.5 Politica de securitate


A.5.1. Documentaţia politicii de securitate Da 1 luna
A.5.2 Revizuiri şi evaluări Da 6 luni
A.6 Organizarea securităţii informaţiilor
A.6.1. Organizarea interna 6 luni
A.6.1.1. Angajamentul managementului pentru securitatea inf ormaţiilor Da
A.6.1.2. Coordonarea securităţii inf ormaţiilor Da
A.6.1.3. Alocarea responsabilităţilor privind securitatea inf ormaţiei Da
A.6.1.4. Procesul de autorizare pentru f acilităţile de procesare a inf ormaţiilor Da
A.6.1.5. Acorduri de conf identialitate Da
A.6.1.6. Contactul cu autoritatile Da
A.6.1.7. Contactul cu grupuri de interese speciale Da
A.6.1.8. Revizuirea independentă a securităţii inf ormaţiilor Da
A.6.2. Părţi externe
A.6.2.1. Identif icarea riscurilor legate de accesul terţei părţi Da 3 luni
A.6.2.2. Cerinţele de securitate în relaţiile de af aceri cu clienţii Da o luna
A.6.2.3. Cerinţele de securitate în acordurile cu terţe părţi Da 3 luni
A.7 Managementul activelor
A.7.1. Responsabilitatea pentru active
A.7.1.1. Inventarierea bunurilor Da 3 luni
A.7.1.2. Dreptul de propritate asupra bunurilor Da 3 luni
A.7.1.3. Utilizarea aceptabila a bunurilor Da 3 luni
A.7.2. Clasificarea informatiilor
A.7.2.1. Linii directoare pentru clasif icare Da 1 luna
A.7.2.2. Etichetarea şi manipularea inf ormaţiilor Da
A.8 Securitatea resurselor umane
A.8.1. Înainte de angajare 6 luni
A.8.1.1. Roluri şi responsabilităţi Da
A.8.1.2. Controlul verif icării Da
Studiu de caz (43)
8. Declaraţia de aplicabilitate
A.8.2. Pe timpul angajării
A.8.2.1. Responsabilităţile managementului Da 1 luna
A.8.2.2. Ameninţările la securitatea inf ormaţiei, educaţie şi instruire Da 2 luni
A.8.2.3. Procese disciplinare Da 6 luni
A.8.3. La terminarea angajării sau schimbarea locului de muncă 3 luni
A.8.3.1. Responsabilităţi la terminare Da
A.8.3.2. Returnarea bunurilor Da
A.8.3.3. Revocarea drepturilor de acces Da
A.9. Securitatea fizică şi a mediului
A.9.1. Arii de securitate
A.9.1.1. Perimetrul de securitate f izică Da 3 luni
A.9.1.2. Controlul accesului f izic Da 3 luni
A.9.1.3. Securizarea birourilor, camerelor şi f acilităţilor Da 3 luni
A.9.1.4. Protecţia împotriva ameninţărilor externe şi de mediu Da 3 luni
A.9.1.5. Lucrul în cadrul zonelor de securitate Da 3 luni
A.9.1.6. Arii de acess al publicului, de livrare şi încărcare Nu
A.9.2. Securitatea echipamentului 2 luni
A.9.2.1. Amplasarea şi protejarea echipamentului Da
A.9.2.2. Utilităţi de susţinere Da
A.9.2.3. Securitatea cablurilor Da
A.9.2.4. Mentenanţa echipamentului Da
A.9.2.5. Securitatea echipamentelor în af ara zonelor de securitate Da
A.9.2.6. Dezaf ectarea în siguranţă şi reutilizarea echipamentului Da
A.9.2.7. Înstrăinarea resurselor proprietare Da
Studiu de caz (44)
8. Declaraţia de aplicabilitate
A.10 Managementul comunicatiilor si al operatiilor
A.10.1. Proceduri şi responsabilităţi operaţionale
A.10.1.1. Proceduri de operare documentate Da 3 luni
A.10.1.2. Managementul modif icărilor Da 3 luni
A.10.1.3. Segregarea atribuţiilor Da 3 luni
A.10.1.4. Separarea f acilităţilor operaţionale, de test şi de dezvoltare Da 3 luni
A.10.2. Managementul furnizării de servicii de terţă parte
A.10.2.1. Furnizarea de servicii Da 3 luni
A.10.2.2. Monitorizarea şi revizuirea serviciilor de terţă parte Da 3 luni
A.10.2.3. Direcţionarea schimbării serviciilor de terţă parte Da 3 luni
A.10.3. Planificarea şi acceptanţa sistemului
A.10.3.1. Managementul capacităţii Da 1 luna
A.10.3.2. Acceptanţa sistemului Da 1 luna
A.10.4. Protecţia împotriva softului maliţios şi mobil
A.10.4.1. Măsuri împotriva sof tului maliţios Da 1 luna
A.10.4.2. Măsuri împotriva sof tului mobil Da 1 luna
A.10.5. Back-up
A.10.5.1. Inf ormaţia de back-up Da 1 luna
A.10.6. Managementul securităţii reţelelor
A.10.6.1. Controalele reţelei Nu
A.10.6.2 Securitatea serviciilor de reţea Nu
A.10.7. Manipularea şi securitatea mediilor de stocare
A.10.7.1. Managementul suporturilor de date amovibile Da 1 luna
A.10.7.2. Depozitarea suporturilor de date Da 2 luni
A.10.7.3. Procedurile de manipulare a inf ormaţiilor Da 2 luni
A.10.7.4. Securitatea documentaţiei de sistem Da 2 luni
Studiu de caz (45)
8. Declaraţia de aplicabilitate
A.10.8. Schimbul de informaţii
A.10.8.1. Politici şi proceduri privind schimbul de inf ormaţii Da 3 luni
A.10.8.2. Acorduri privind schimburile de inf ormaţii Nu
A.10.8.3. Securitatea mediilor în tranzit Da 3 luni
A.10.8.4. Mesageria electronică Da 3 luni
A.10.8.5. Sisteme pentru inf ormaţia de business Nu
A.10.9. Serviciile de comerţ electronic
A.10.9.1. Comerţul electronic Nu
A.10.9.2. Tranzacţii on-line Nu
A.10.9.3. Inf ormaţia disponibilă public Nu
A.10.10. Monitorizarea
A.10.10.1. Logurile de audit Da 1 luna
A.10.10.2 Monitorizarea utilizării sistemului Da 1 luna
A.10.10.3. Protecţia inf ormatiei de log Da 1 luna
A.10.10.4. Loguri pentru administrator si operatori Da 1 luna
A.10.10.5. Logarile gresite Da 1 luna
A.10.10.6. Sincronizarea ceasului Da 1 luna

A.11 Controlul accesului


A.11.1. Cerinţele afacerii pentru controlul accesului
A.11.1.1. Politica de control al accesului Da 2 luni
A.11.2. Managementul accesului utilizatorilor
A.11.2.1. Înregistrarea utilizatorilor Da 1 luna
A.11.2.2. Managementul privilegiului Da 1 luna
A.11.2.3. Managementul parolelor utilizatorilor Da 1 luna
A.11.2.4. Revizuirea drepturilor de acces ale utilizatorilor Da la 3 luni
Studiu de caz (46)
8. Declaraţia de aplicabilitate
A.11.3. Responsabilităţile utilizatorilor
A.11.3.1. Utilizarea parolei Da 1 luna
A.11.3.2. Echipamentul nesupravegheat Da 1 luna
A.11.3.3. Politica biroului si ecranului curate Da 1 luna
A.11.4. Controlul accesului la reţea
A.11.4.1. Politica de utilizare a serviciilor de reţea Nu
A.11.4.2. Autentif icarea utilizatorului pentru conectări externe Nu
A.11.4.3. Identif icarea echipamentului in retele Nu
A.11.4.4. Diagnosticarea de la distanţă si conf igurarea protecţiei porturilor Nu
A.11.4.5. Separarea reţelelor Nu
A.11.4.6. Controlul conectării la reţea Nu
A.11.4.7. Controlul rutării în reţea Nu
A.11.5. Controlul accesului la sistemul de operare
A.11.5.1. Procedurile de logare securizate Da 1 luna
A.11.5.2. Identif icarea şi autentif icarea utilizatorului Da 1 luna
A.11.5.3. Sistemul de management al parolelor Da 1 luna
A.11.5.4. Utilitare de sistem Da 1 luna
A.11.5.5. Sesiune time-aut Da 1 luna
A.11.5.6. Limitarea timpului de conectare Da 1 luna
A.11.6. Controlul accesului la aplicaţii si informatii
A.11.6.1. Restricţionarea acceslui la inf ormaţii Da 1 luna
A.11.6.2. Izolarea sistemelor sensibile DA 1 luna
A.11.7. Calculatoare mobile si lucrul la distanta
A.11.7.1. Calculatoare mobile si f acilitati de comunicatii Da
A.11.7.2. Lucrul la distanta Nu
Studiu de caz (47)
8. Declaraţia de aplicabilitate
A.12 Achizitia, dezvoltarea si mentenanta sistemelor informationale
A.12.1. Cerinţe de securitate ale sistemelor informationale
A.12.1.1. Analiza şi specificarea cerinţelor de securitate Nu
A.12.2. Procesarea corecta in aplicaţii
A.12.2.1. Validarea datelor de intrare Nu
A.12.2.2. Controlul proceselor interne Nu
A.12.2.3. Integritatea mesajelor Nu
A.12.2.4. Validarea datelor de iesire Nu
A.12.3. Controale criptografice
A.12.3.1. Politica utilizării controalelor criptografice Da 3 luni
A.12.3.2. Managementul cheilor Da 3 luni
A.12.4. Securitatea fişierelor de sistem
A.12.4.1. Controlul softw are-ului operaţional Nu
A.12.4.2. Protecţia datelor de testare a sistemului Nu
A.12.4.3. Controlul accesului la codul sursă Nu
A.12.5. Securitatea proceselor de dezvoltare şi suport 6 luni
A.12.5.1. Procedurile de control al schimbărilor Da
A.12.5.2. Revizuirea tehnică a aplicaţiilor după schimbarea sistemului operaţional Da
A.12.5.3. Restricţionarea modificărilor softw are-ului Da
A.12.5.4. Informaţia ascunsă Da
A.12.5.5. Surse externe de dezvoltare a softw are-ului Nu
A.12.6. Managementul vulnerabilitatilor tehnice
A.12.6.1. Controlul vulnerabilitatilor tehnice Da
Studiu de caz (48)
8. Declaraţia de aplicabilitate
A.13 Managementul incidentelor de securitate a informatiei
A.13.1. Raportarea incidentelor si vulnerabilitatilor de securitate
A.13.1.1. Raportarea incidentelor de securitate Da 6 luni
A.13.1.2. Raportarea vulnerabilitatilor de securitate Da 6 luni
A.13.2. Managementul incidentelor de securitate a informatiei si perfectionare
A.13.2.1. Responsabilitati si proceduri Da 6 luni
A.13.2.2. Invatarea din incidentele de securitate Da 6 luni
A.13.2.3. Colectarea dovezilor Da 6 luni
A.14 Managementul continuităţii afacerii
A.14.1. Aspecte ale managementului continuităţii afacerilor
A.14.1.1. Includerea securităţii inf ormaţiei în procesul de management al continuităţii af acerilor
Da 12 luni
A.14.1.2. Continuitatea af acerilor şi evaluarea riscurilor Da 12 luni
A.14.1.3. Dezvoltarea şi implementarea planurilor de continuitate bazate pe securitatea Da inf ormaţiilor 12 luni
A.14.1.4. Structura de aplicare a planurilor de continuitate Da 12 luni
A.14.1.5. Testarea, menţinerea şi reanalizarea planurilor Da 12 luni

A.15 Conformitatea
A.15.1. Conformitatea cu cerinţele legale
A.15.1.1. Identif icarea legislaţiei aplicabile Da 12 luni
A.15.1.2. Drepturile de proprietate intelectuală Da 12 luni
A.15.1.3. Protejarea înregistrărilor organizaţiei Da 12 luni
A.15.1.4. Protecţia datelor şi inf ormaţiilor personale Nu
A.15.1.5. Prevenirea utilizării necorespunzătoare a f acilităţilor de procesare a inf ormaţiilor
Da 12 luni
A.15.1.6. Reglementarea controalelor criptograf ice Nu
Conformitate cu politicile de securitate şi
A.15.2.
standardele şi reglementările tehnice
A.15.2.1. Conf ormitatea cu politicile de securitate şi standardele Da 12 luni
A.15.2.2. Verif icarea conf ormităţii tehnice Da 12 luni
A.15.3. Consideraţii asupra auditării sistemelor informaţionale
A.15.3.1. Controalele sistemului de audit Da 12 luni
A.15.3.2. Protecţia instrumentelor de audit Da 12 luni
Agenda
1. Conceptul de securitate a informaţiilor (definiţie,
elemente fundamentale; ameninţări, vulnerabilităţi,
riscuri; necesitatea asigurării securităţii informaţiilor
(obiectivă, legală, contractuală; cadrul normativ)
2. Sisteme de management al securităţii informaţiilor
(SMSI)
3. Managementul riscului
4. Proiectarea, implementarea, monitorizarea şi
îmbunătăţirea SMSI
5. Certificarea unui SMSI
Planificarea, implementarea, menţinerea şi
îmbunătăţirea unui SMSI
Aplicarea modelului PDCA (Plan-Do-Check-Act)
PLAN: stabilirea şi documentarea strategiei de securitate, identificarea
proceselor de bază ale afacerii şi a procedurilor relevante pentru managementul
riscului
DO: implementarea şi funcţionarea strategiei, a sistemelor de management
proiectate, a proceselor şi procedurilor pentru fiecare sistem în parte

CHECK: Monitorizarea şi revizuirea sistemelor, prin evaluări şi măsurări


periodice ale performanţei proceselor în raport cu politicile şi obiectivele de
securitate şi experienţa practică dobîndite

ACT: Menţinerea şi îmbunătăţirea strategiei prin acţiuni corective şi preventive,


bazate pe rezultatele auditurilor interne şi revizuirile managementului
Planificarea SMSI

Faza PLAN: Stabilirea strategiei de securitate


a. Definirea scopului strategiei în concordanţă cu caracteristicele
afacerii, ale organizaţiei, locaţiei, bunurilor şi tehnologiei
b. Definirea politicilor de securitate ale organizaţiei (în domeniul
informaţiilor)
c. Definirea unei abordări sistematice a analizei de risc
d. Identificarea riscurilor
e. Analiza şi evaluarea riscurilor
f. Identificarea şi evaluarea opţiunilor de tratare a riscurilor
g. Selectarea măsurilor pentru tratarea riscurilor
h. Întocmirea Declaraţiei de Aplicabilitate
i. Obţinerea aprobării managementului de a implementa şi opera
strategia de securitate a organizaţiei
Implementarea, menţinerea, certificarea
SMSI
Faza DO: Care sunt paşii pentru implementarea
unei strategii de securitate ?

a) elaborarea planului de tratare a riscurilor (care identifică


acţiunile managementului, resursele/bugetul, responsabilităţile,
priorităţile etc)
b) implementarea planului de tratare a riscurilor
c) implementarea măsurilor de control stabilite
d) definirea modului de măsurare a eficienţei strategiei şi a
modului de evaluare a eficienţei acestuia
e) implementare programe de instruire şi conştientizare
f) gestionarea funcţionării strategiei
g) administrarea resurselor alocate
h) implementarea procedurilor şi măsurilor capabile să permită
detectarea evenimentelor de securitate şi managementul acestora
Implementarea, menţinerea, certificarea
SMSI
Faza CHECK: Monitorizarea şi revizuirea strategiei

După implementarea strategiei organizaţia trebuie:


a) să monitorizeze şi revizuiască procesele strategiei (detectare
erori; identificare breşe, slăbiciuni; detectare evenimente de securitate;
evaluarea modului de respectare a responsabilităţilor);
b) evaluarea periodică a eficacităţii măsurilor;
c) revizuirea analizei de risc (mutaţii în organizaţie, tehnologie,
obiective de afaceri, procese, ameninţări identificate, efic. măsuri)
d) efectuarea de audituri interne
e) revizuiri manageriale ale strategiei
f) actualizare plan de securitate
g) să înregistreze şi evalueze acţiunile şi evenimentele cu impact
asupra activităţilor de business
Implementarea, menţinerea, certificarea
SMSI
Faza ACT: Menţinerea şi îmbunătăţirea strategiei

Organizaţia trebuie să asigure în mod sistematic:


a) implementarea îmbunătăţirilor identificate;
b) măsuri corective şi preventive corespunzătoare, inclusiv prin
folosirea experienţei altor organizaţii;
c) comunicarea măsurilor de îmbunătăţire tuturor părţilor
interesate
d) să se asigure că îmbunătăţirile ating obiectivele planificate şi
conduc la îmbunătăţiri succesive
Certificarea unui SMSI

În ce constă certificarea ?

 evaluarea, de către un organism acreditat, de terţă parte,


a conformităţii unui SMSI cu cerinţele de securitate definite

 asigurarea că sistemul a fost creat, implementat şi funcţionează


conform cu cerinţele standardului de referinţă
Etapele certificării unui SMSI

a) Contactarea O.C.S.M.S.I.

b) Iniţierea certificării SMSI

c) Semnarea contractului

d) Stabilirea echipei de audit

e) Auditul de evaluare

f) Certificarea

g) Supravegerea organizaţiilor certificate


Care sunt avantajele certificării S.M.S.I.?
Conferă încredere că SMSI elaborat şi
implementat de organizaţie corespunde
standardelor în vigoare
Oferă suport pentru menţinerea şi
îmbunătăţirea permanentă a SMSI
Conferă partenerilor de
afaceri, colaboratorilor,
administraţiei garanţii
referitoare la managementul
securităţii informaţiilor în
organizaţia certificată