Prezentare ISO27001: Sistemul de management al securităţii

informaţionale
ISO27001 Overview: Information Security Management System

Valerică GREAVU-ȘERBAN, lect. dr.

Universitatea ”Alexandru Ioan Cuza” Iași
Facultatea de Economie și Administrarea Afacerilor

Rezumat
This article is a general approach to standardization in security management at company level in
Romania, proposing both a tool and its working method, based on experience in implementing ISO 27001:2005
- Information security management system. Technology implementation is recommended for use Microsoft
SharePoint 2010 Foundation, which is spearheading collaborative technologies and electronic content
management in modern organizations.

Separarea responsabilităţilor este unul din cele mai importante aspecte ale securităţii
unui sistem, indiferent dacă este vorba despre securitatea unui întreg sistem sau doar a unei
singure componente, de exemplu, modul de acces la sistemul de baze de date al organizaţiei.
În prezent, există un standard, ISO 27001, prin care se pot reglementa politicile şi
procedurile de securitate la nivel de organizaţie sau unitate funcţională, adresată în scopul
definit prin procesul implementare a unui sistem de management al securităţii (figura nr. 1).
Etapele proiectării şi implementării sistemului centralizat de management al
securităţii, conform ISO27001, sunt prezentate schematic în figura nr. 1.

Figura nr.1 – Schema de proiectare şi implementare a standardului ISO27001

Adaptare după http://www.iso27001security.com/
 Descrierea etapelor în implementarea standardului ISO27001

0. Start: Organizaţia decide să implementeze prevederile standardului ISO 27001;

1. Obţinerea sprijinului din partea conducerii: Dacă s-a luat decizia de implementare,
conducerea trebuie să desemneze o echipă care să elaboreze Politica de Securitate a
organizaţiei. Acest document trebuie revizuit, aprobat şi adus la cunoştinţa tuturor angajaţilor,
pentru a cunoaște faptul că organizația va trece la implementarea SMSI.
2. Definirea scopului SMSI: Organizaţia trebuie să decidă asupra componentei
organizaţionale ce va fi supusă certificării ISO (Scopul/domeniul certificării). În general, se
stabileşte o singură componentă a sistemului informaţional: un departament, o activitate. În
lume, în prezent, există doar 2700 de companii certificate pentru întregul sistem
informațional. Scopul trebuie justificat, rezultând un document cunoscut sub numele de:
Scopul Sistemului de Management al Securităţii Informaţionale.
3. Inventarierea activelor informaționale: În cadrul Scopului trebuie identificate
activele organizaţiei (şi valoarea asociată acestora) care trebuie protejate, rezultând
documentul sau baza de date Inventarul activelor.
4. Stabilirea gradului de risc asociat activelor informaţionale: Pe baza Inventarului
activelor, se va realiza Analiza de Risc, care constă în identificarea pentru fiecare activ a
ameninţărilor, vulnerabilităţilor şi impactului.
5a. Declaraţia de aplicabilitate (SOA – Statement Of Aplicability): În baza analizei
de risc, se realizează declaraţia de aplicabilitate, specificând detaliat zonele din Scop adresate
de SMSI.
5b. Planul de tratare a riscurilor: Tot în baza analizei de risc şi în conjuncţie cu SOA,
se documentează controalele care vor fi implementate pentru a menţine riscurile în limite
acceptabile. Acestea vor fi preluate din Anexa A ISO 27001 sau din alte documente
recunoscute ca fiind „cele mai bune practici” ale domeniului. Fiecare control considerat
relevant trebuie să se adreseze unui risc.
6. Stabilirea planului de implementare: Rol care trebuie asumat de managerul de
proiect desemnat în faza 1 a procesului. Planul de implementare conține fazele detaliate ale
proiectului, momentele de livrare a documentației alcătuită din manuale, proceduri și
instrucțiuni de lucru. De asemenea, sunt desemnați responsabilii cu securitatea și responsabilii
pentru fiecare etapă din proiect.
7. Derularea planului de implementare: conform fazelor planului de proiect realizat în
etapa anterioară prin implementarea controalelor definite în etapele anterioare.
8. Sistemul de Management al Securităţii Informaţiilor: Este etapa în care organizaţia
începe să funcţioneze după regulile stabilite în planul de implementare. Documentația de
implementare a SMSI va conține: Manualul de Securitate, Manualul politicilor de securitate,
Manualul procedurilor operaţionale, Manualul metricilor de securitate, Planul de continuitate
a afacerii.
9. Rezultatele sistemului: Odată implementat SMSI, sistemul începe să înregistreze
operațiunile derulate pe o perioadă de cel puţin 3 luni de zile. Informațiile se vor centraliza în:
jurnalele de securitate, rapoartele de audit şi aplicabilitate, rapoartele de testare a
componentelor sistemului, rapoartele testării utilizatorilor privire la elementele de bază ale
securităţii sistemelor informaţionale.
10. Revizia rezultatelor: După implementarea controalelor, se analizează breşele
pentru a identifica controalele care nu au fost implementate în totalitate sau pentru care
utilizatorii necesită instruire suplimentară.
11. Acţiuni corective: Se implementează acţiunile corective prin care se remediază
situaţiile identificate anterior.
 12. Test de precertificare: Auditorii firmei vor efectua o verificare formală prin care
certifică existenţa fizică a controalelor documentate în etapele anterioare.
13. Audit de certificare: Toată documentaţia se pune la dispoziţia unei firme/auditor
acreditată să ofere certificare în baza ISO 27001. În România cele mai cunoscute organisme
de certificare a SMSI sunt: Simtex şi SRAC.

Politicile şi procedurile de lucru formalizate reprezintă un mecanism prin care se poate

măsura şi îmbunătăţi performanța securităţii informaţiilor, asigurând un cadru de lucru
general, dar, în acelaşi timp, particularizabil pe specificul oricărei companii.
În studiul nostru în diferite companii din România, am identificat o serie de avantaje
directe ale certificării în conformitate cu standardul ISO 27001:
 satisfacerea cerinţelor partenerilor de afaceri prin evidenţierea controalelor de
securitate;
 securitatea este evaluată în raport cu un referenţial independent tehnologic;
 obţinerea de avantaje competitive pe piaţă;
 promovarea imaginii companiei ca un partener de afaceri sigur;
 oferirea de asigurări beneficiarilor şi demonstrarea implicării în reducerea
riscurilor legate de securitatea informaţiilor.

Propunere instrument de implementare standard ISO 27001

Sunt multe companii care se ocupă cu implementarea acestui standard dar și

organisme de certificare autohtone. Nu ne-am propus să discutăm despre modul în care sunt
puse în practică aceste implementări, dar aducem totuși la cunoștința sau conștiința cititorilor
faptul că de cele mai multe ori, certificarea pe ISO27001 înseamnă obținerea unui certificat și
a unei documentații… la un preț de cele mai multe ori sub limita prețurilor de dumping.
După mai multe surse, sunt puțini implementatori sau companii care își pun problema
unui instrument pentru implementarea corectă a standardului. Asta pentru că afacerea cu
certificarea ISO27001 a fost dusă în zona balcanizării certificărilor asemănător standardelor
ISO9001: Quality management systems (Managementul calității) sau ISO14001:
Managementul Mediului.
Cât durează în mod corect o implementare a unui standard ISO? Un răspuns probabil,
îl oferă ISO27006 cu privire la standardele de auditare. Dacă pentru o companie cu 2 – 10
angajați, auditul de certificare este bugetat 2 oameni 5 zile.

Un instrument foarte bun pentru implementarea ISO27001 poate fi considerat

Microsoft SharePoint în diferitele sale versiuni. Versiunea care o vom folosi pentru acest
articol este SharePoint Fundation 2010 (SPF2010) cu părțile sale bune și lipsurile aferente.
Versiunea SharePoint Server chiar și versiunile mai vechi ar răspunde mai bine cerințelor de
implementare a ISO27001, dar cum economisirea primează, am preferat să alegem o versiune
gratuită a sistemului de management al documentelor și proceselor de afaceri.
În continuare vom detalia un exemplu de implementare pe faze (vezi figura nr. 1) și
metode pentru suportul decizional pentru întreg ciclu de viață al unui sistem de management
al securității.
0. Start - Organizaţia decide să implementeze prevederile standardului ISO 27001.
În această etapă se stabilește necesitatea implementării ISMS 27001 și se definesc
pașii de implementare. Managerul de proiect poate folosi SPF2010 în sensul gestionării
proiectului, prin crearea unui site specializat pentru această activitate sau prin crearea unei
liste de tip Project Task.
 În planul de proiect se definesc etapele și perioadele de timp necesare implementării.
Pentru cei familiarizați cu instrumentele de project management, crearea și gestionarea
ativităților este foarte simplă. Activitățile pot fi grupate pe categorii, conținând elemente de
identificare de tip: nume, predecesori, prioritate, stare, responsabil, descriere, data de start și
data propusă pentru încheierea unei faze.
Componenta de noutate în SPF2010 față de versiunile anterioare de SharePoint este
dată de Diagrama Gantt care reflectă evoluția grafică a stadiului proiectului (figura nr. 2).

Figura nr.2 – Diagrama Gantt pentru reprezentarea fazelor proiectului de

implementare ISO27001

Un proiect din SPF2010 poate fi exportat în Access, Excel, Outlook și, în cazul în care
aveți instalat pe calculatorul client, în Microsoft Project. SPF2010 deține un instrument destul
de avansat de control al erorilor, bazat pe legătura dintre elementele specifice unei etape din
proiect.
Pentru gestionarea sedinței de deschidere se poate utiliza crearea unui eveniment în
calendarul organizației și un site de tip Meeting Workspace, în care se pot încărca prezentări,
agenda, documentele de tip minuta ședinței, permițând integrarea agendei și invitațiilor
folosind sistemul de e-mail.

1. Obţinerea sprijinului din partea conducerii:

Dacă s-a luat decizia de implementare, conducerea trebuie să desemneze o echipă care
să elaboreze Politica de Securitate a organizaţiei. Acest document trebuie revizuit, aprobat şi
adus la cunoştinţa tuturor angajaţilor, pentru a cunoaște faptul că organizația va trece la
implementarea SMSI.
Pentru această etapă în SPF201 se poate defini un Document Workspace sau o listă de
documente distinctă la care să aibă acces toți angajații cu permisiuni de citire (Read) pentru
consultarea documentației. Esențial în faza de construcție este înregistrarea versiunilor pentru
a reflecta toate modificările aduse documentului.
2. Definirea scopului SMSI:
Pentru definirea scopului nu avem un exemplu de implementare în SPF2010 fiind o
rezultantă a discuției de la ședința de deschidere. Putem utiliza în schimb un Decision meeting
workspace pentru gestionarea votului în mod electronic.
  
3. Inventarierea activelor informaționale

În cadrul Scopului trebuie identificate activele organizaţiei (şi valoarea asociată

acestora) care trebuie protejate, rezultând documentul sau baza de date Inventarul activelor.
Din experiența noastră putem afirma cu convingere că în orice organizație există cel puțin un
fișier Excel în care sunt stocate informații despre activele informaționale, cel puțin cele fizice.
Sau o parte din aceste active se pot obține din aplicațiile financiar-contabile din cadrul
organizației. Varianta cea mai simplă este să centralizăm într-un fișier aceste active și să le
completăm cu informațiile necesare unei liste corecte de inventar conform ISO27001.
În Excel (2007) se creează listă centralizată, după care se definește ca un tabel și se
exportă într-o nouă listă SharePoint. Ulterior se poate personaliza și îmbunătăți această listă
nou creată prin adăugarea de noi coloane sau personalizarea coloanelor existente. Elementele
din listă se pot actualiza permanent asemănător lucrului în aplicația de calcul tabelar.
Foarte interesantă este funcția de versionare din SPF2010. De exemplu, dacă unui
activ de tip server îi este schimbătă memoria RAM sau alte caracteristici tehnice, la
actualizarea listei se păstrează și versiunea anterioară, ceea ce asigură din punct de vedere
tehnici un istoric corect al activităților. Versionarea nu este activată implicit, odată cu
activarea existând și posibilitatea de a stabili numărul maxim de versiuni care să se păstreze în
istoric. Nu trebuie să omitem prezența funcțiilor de validate a datelor introduse pentru a
elimina inadvertențele sau greșelile de operare și introducere a datelor.
Adăugarea unui element nou în inventarul activelor este reprezentată schematic în
figura nr. 3.

Figura nr. 3 – Adăugarea unui element nou în lista inventar

 Proprietarului unui element patrimonial (owner) poate fi validat prin preluarea sa
automată din sistemul de autentificare.
Pe o listă de inventar din SPF2010 se pot activa operațiuni de filtrare și sortare
asemănător cu majoritatea operațiunilor aplicabile listelor din Excel, sau poate fi exportată
direct în Excel pentru efectuarea de sinteze pivot sau importul în aplicațiile de Analiză a
riscurilor.

O altă versiune de lucru, este ca fiecare departament să aibă propria sa librărie de

documente sau o librărie de documente Excel comună în care să se salveze direct fișierele cu
date, fiecare actualizare trebuind în acest fel să se realizeze doar prin deschiderea în aplicația
client.
 
4. Stabilirea gradului de risc asociat activelor informaţionale

Pe baza Inventarului activelor, se va realiza Analiza de Risc, care constă în

identificarea pentru fiecare activ a ameninţărilor, vulnerabilităţilor şi impactului din prisma
triadei Confidențialitate-Integritate-Disponibilitate.

Figura nr. 4 – Analiza de risc

Modelul prezentat în figura nr 4 este implementat într-o listă personalizată SharePoint

care preia amenințările și vulnerabilitățile din alte două liste specifice. Sunt multe metodologii
de evaluare a riscurilor, dar prin articolul curent am încercat să exemplificăm tehnica utilizată
de aplicația vsRISK care după o serie de articole este menționat ca cel mai complet produs
software pentru analiza de riscuri pentru implementarea și gestionarea ISO 27001.
Trebuie să mai amintim că în modelul referit nu am inclus și Planul de tratare a
riscurilor care ar presupune adăugarea unei coloane noi în lista Planul de evaluare a riscurilor
(PER).
Adăugarea unuei noi intrări în PER este redată în figura nr. 5.
 Figura nr. 5 – Analiza de risc

Fiecare element patrimonial (asset) trebuie tratat din prisma Triadei C.I.D., numit aici
Atribut, prin alocarea unei amenințări din lista de Amenințări. Mai departe Probabilitatea de
apariție și Impactul sunt determinate pe baza experienței consultantului. În exemplul nostru,
datorită Lipsei unui sistem de detecție a incendiilor, și a faptului că se fumează în sala în care
se află DVD-ul cu aplicația Windows Server 2008 R2, probabilitatea de apariție a unui
incendiu a fost stabilită la nivelul 3, iar impactul este relativ mic (1) pentru că un kit de
instalare poate fi descărcat de pe situri specializare: MSDN sau TechNet în lipsa DVD-ului
original. Impactul ar fi mult mai mare dacă ar arde în incendiu, contractul sau certificatul de
licențiere.
Nivelul de risc asociat se calculează automat pe baza Probabilității și Impactului.
Avantajul incontestabil al acestei metode, în contextul în care nu avem o altă aplicație
de management al riscurilor este acela că anual sau ori de câte ori este cazul putem reface
analiza de risc și poate fi partajată pentru mai mulți untilizatori simultan. Din cunoștințele
noastre, aplicația vsRISK este doar pentru monopost, adică un singur om poate lucra simultan
la toată analiza de risc.
Lista generată în SharePoint poate fi migrată în alte aplicații de tip Office pentru
analize avansate.

Concluzii

Avantajele unui sistem standardizat de management al securităţii (SMSI) sunt regăsite

în reducerea riscurilor la adresa securităţii informatice şi abordarea structurată şi standardizată
a sistemului informaţional. Familiarizarea conducerii cu problemele legate de securitatea
informaţiilor şi controalele asociate va determina, în mod direct, îmbunătăţirea mediului de
control, implicând, în acelaşi timp, revizia cu regularitate a politicilor şi procedurilor de
securitate.
Abordarea profesionistă a managementului riscurilor şi asigurarea consistenţei de
securitate în schimbul de informații între componentele sistemului informaţional, va duce la
creşterea capacităţii de identificare şi tratare a riscurilor.
O abordare general aplicabilă, indiferent de domeniul de activitate al organizaţiei, va
determina eliminarea nevoii de evaluare separată a sistemelor şi implementare de controale
individuale, constituindu-se într-un denominator comun pentru implementarea unor controale
specifice. Totodată, SMSI poate asigura o reducere a costurilor cu securitatea, prin adoptarea
„celor mai bune practici” ale domeniului IT&C, concentrând efortul pe implementarea
controalelor.
Sumarizat, reducerea costurilor de operare şi administrare a securităţii se identifică
prin:
 organizaţia îşi poate alege singură setul de acţiuni ce se implementează în baza
analizelor cost-beneficiu;
 se poate demonstra conformitatea cu alte acte normative;
 eliminarea potenţialelor incriminări juridice.

Bibliografie

Adrian Munteanu Blog - http://adimunteanu.wordpress.com/

International Standards for Business, Government and Society - http://www.iso.org/
Managementul Riscurilor - risks are everywhere - http://www.managementul-
riscurilor.ro/
Microsoft TechNet: Resources for IT Professionals - http://technet.microsoft.com/ro-
ro/default.aspx
SharePoint 2010 - the Business Collaboration Platform for the Enterprise and the
Internet - http://sharepoint.microsoft.com/en-us/Pages/default.aspx
The ISO 27000 Directory - http://www.27000.org/
Vigilant Software - Risk Assessment without the fear - http://www.vigilantsoftware.co.uk/