Documente Academic
Documente Profesional
Documente Cultură
informaţionale
ISO27001 Overview: Information Security Management System
Rezumat
This article is a general approach to standardization in security management at company level in
Romania, proposing both a tool and its working method, based on experience in implementing ISO 27001:2005
- Information security management system. Technology implementation is recommended for use Microsoft
SharePoint 2010 Foundation, which is spearheading collaborative technologies and electronic content
management in modern organizations.
Separarea responsabilităţilor este unul din cele mai importante aspecte ale securităţii
unui sistem, indiferent dacă este vorba despre securitatea unui întreg sistem sau doar a unei
singure componente, de exemplu, modul de acces la sistemul de baze de date al organizaţiei.
În prezent, există un standard, ISO 27001, prin care se pot reglementa politicile şi
procedurile de securitate la nivel de organizaţie sau unitate funcţională, adresată în scopul
definit prin procesul implementare a unui sistem de management al securităţii (figura nr. 1).
Etapele proiectării şi implementării sistemului centralizat de management al
securităţii, conform ISO27001, sunt prezentate schematic în figura nr. 1.
Un proiect din SPF2010 poate fi exportat în Access, Excel, Outlook și, în cazul în care
aveți instalat pe calculatorul client, în Microsoft Project. SPF2010 deține un instrument destul
de avansat de control al erorilor, bazat pe legătura dintre elementele specifice unei etape din
proiect.
Pentru gestionarea sedinței de deschidere se poate utiliza crearea unui eveniment în
calendarul organizației și un site de tip Meeting Workspace, în care se pot încărca prezentări,
agenda, documentele de tip minuta ședinței, permițând integrarea agendei și invitațiilor
folosind sistemul de e-mail.
Dacă s-a luat decizia de implementare, conducerea trebuie să desemneze o echipă care
să elaboreze Politica de Securitate a organizaţiei. Acest document trebuie revizuit, aprobat şi
adus la cunoştinţa tuturor angajaţilor, pentru a cunoaște faptul că organizația va trece la
implementarea SMSI.
Pentru această etapă în SPF201 se poate defini un Document Workspace sau o listă de
documente distinctă la care să aibă acces toți angajații cu permisiuni de citire (Read) pentru
consultarea documentației. Esențial în faza de construcție este înregistrarea versiunilor pentru
a reflecta toate modificările aduse documentului.
2. Definirea scopului SMSI:
Pentru definirea scopului nu avem un exemplu de implementare în SPF2010 fiind o
rezultantă a discuției de la ședința de deschidere. Putem utiliza în schimb un Decision meeting
workspace pentru gestionarea votului în mod electronic.
3. Inventarierea activelor informaționale
Fiecare element patrimonial (asset) trebuie tratat din prisma Triadei C.I.D., numit aici
Atribut, prin alocarea unei amenințări din lista de Amenințări. Mai departe Probabilitatea de
apariție și Impactul sunt determinate pe baza experienței consultantului. În exemplul nostru,
datorită Lipsei unui sistem de detecție a incendiilor, și a faptului că se fumează în sala în care
se află DVD-ul cu aplicația Windows Server 2008 R2, probabilitatea de apariție a unui
incendiu a fost stabilită la nivelul 3, iar impactul este relativ mic (1) pentru că un kit de
instalare poate fi descărcat de pe situri specializare: MSDN sau TechNet în lipsa DVD-ului
original. Impactul ar fi mult mai mare dacă ar arde în incendiu, contractul sau certificatul de
licențiere.
Nivelul de risc asociat se calculează automat pe baza Probabilității și Impactului.
Avantajul incontestabil al acestei metode, în contextul în care nu avem o altă aplicație
de management al riscurilor este acela că anual sau ori de câte ori este cazul putem reface
analiza de risc și poate fi partajată pentru mai mulți untilizatori simultan. Din cunoștințele
noastre, aplicația vsRISK este doar pentru monopost, adică un singur om poate lucra simultan
la toată analiza de risc.
Lista generată în SharePoint poate fi migrată în alte aplicații de tip Office pentru
analize avansate.
Concluzii
Bibliografie