Documente Academic
Documente Profesional
Documente Cultură
Introducere
Informaţia este o valoare care, asemănător altor valori importante ale afacerii are o importanţă deosebită
pentru organizaţie şi, în consecinţă, necesită o protecţie adecvată. Securitatea informaţiei protejează
informaţia de o gamă largă de ameninţări pentru a se putea asigura continuitatea afacerii, pentru a
minimiza pierderile şi a maximiza recuperarea investiţiei şi a şanselor afacerii.
Informaţia poate exista sub diferite forme. Ea poate fi tipărită sau scrisă pe hârtie, stocată electronic,
transmisă prin poştă sau prin echipamente electronice, prezentată pe filme, sau comunicată în cadrul
unor conversaţii. Orice formă ar avea informaţia, sau orice metode de stocare ar fi folosite, ea trebuie
întotdeauna sa fie protejată corespunzător.
în acest context, securitatea informaţiei este caracterizată ca fiind cea care asigură şi menţine
următoarele:
a)confidenţialitatea: asigurarea faptului că informaţia este accesibilă numai celor autorizaţi să aibă
acces;
Securitatea informaţiei este obţinută prin implementarea unui set adecvat de controale, care pot fi politici,
practici, proceduri, structuri organizaţionale şi funcţii software. Aceste controale trebuie implementate în
măsura în care se asigură atingerea obiectivelor specifice de securitate ale organizaţiei.
Informaţia şi procesele de susţinere, sistemele şi reţelele sunt valori importante ale afacerii.
Confidenţialitatea, integritatea şi disponibilitatea informaţiei pot fi esenţiale pentru menţinerea
competitivităţii, a profitabilităţii şi a cash-flow-ului, precum şi a legalităţii şi a imaginii comerciale.
Organizaţiile, sistemele şi reţelele lor de informaţii se confruntă din ce în ce mai mult cu ameninţări ale
securităţii care provin din partea multor surse, printre care se pot enumera: fraudă prin intermediul
calculatoarelor, spionaj, sabotaj, vandalism, incendiu sau inundaţie. Sursele de distrugere cum ar fi viruşii
calculatoarelor, hacking şi atacuri de tipul indisponibilitatea serviciului au devenit mai frecvente, mai
ambiţioase şi din ce în ce mai sofisticate.
Dependenţa organizaţiilor de sistemele şi serviciile informatice le face să fie mult mai vulnerabile la
ameninţările privind securitatea informaţiei. Interconectarea reţelelor publice cu cele private şi folosirea
comună a resurselor informaţionale creşte dificultatea de a obţine un control adecvat al accesului.
Tendinţa de a folosi sisteme distribuite de calcul a diminuat eficacitatea unui control centralizat şi
specializat.
Proiectarea multor sisteme informatice s-a făcut fără să se asigure securizarea acestora. Securitatea
care poate fi obţinută prin metode tehnice este limitată şi ar trebui să fie susţinută de un management şi
proceduri adecvate. Identificarea controalelor care ar trebui să fie implementate cere o planificare atentă
şi atenţie la detalii. O cerinţă minimală pentru asigurarea managementului securităţii informaţiei o
reprezintă participarea tuturor angajaţilor organizaţiei. De asemenea, poate fi necesară şi participarea
furnizorilor, a clienţilor sau a acţionarilor. De asemenea pot fi necesare şi servicii de consultanţă
specializată din afara organizaţiei.
ix
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Projeot Software
SR ISO/CEI 17799:2004
Controalele de securitate a informaţiei sunt considerabil mai ieftine şi mai eficiente dacă sunt incluse în
faza de stabilire a specificaţiilor şi în faza de proiectare.
Este esenţial ca o organizaţie să îşi identifice propriile cerinţe de securitate. Există trei surse principale.
Prima sursă provine din evaluarea riscurilor la care este expusă organizaţia. Prin evaluarea riscurilor se
identifică ameninţările asupra resurselor, se evaluează vulnerabilitatea la aceste ameninţări şi
probabilitatea de producere a lor şi se estimează impactul potenţial.
A doua sursă o reprezintă cerinţele legale, statutare, reglementările şi cerinţele contractuale pe care o
organizaţie, partenerii săi comerciali, contractorii şi furnizorii săi de servicii trebuie să le respecte.
A treia sursă o constituie setul specific de principii, obiective şi cerinţe pentru procesarea informaţiei, pe care
organizaţia le dezvoltă pentru a-şi susţine activităţile.
Cerinţele de securitate sunt identificate printr-o evaluare metodică a riscurilor de securitate. Este
necesară efectuarea cheltuielilor pentru controalele de securitate proporţional cu daunele care ar putea
rezulta în urma problemelor de securitate. Tehnicile de evaluare a riscurilor pot fi aplicate întregii
organizaţii, sau doar unor părţi ale ei, precum şi sistemelor informatice individuale, componentelor sau
serviciilor specifice sistemului acolo unde acest lucru este realizabil, realist şi util.
a)daunelor care ar putea rezulta datorită unei breşe de securitate, luând în considerare
consecinţele potenţiale ale pierderii confidenţialităţii, integrităţii sau disponibilităţii informaţiei
precum şi a altor valori;
Este importantă realizarea de analize periodice ale riscurilor de securitate precum şi a controalelor
implementate pentru:
a)a ţine seama de schimbările care pot apărea ca urmare a cerinţelor afacerii precum şi a
priorităţilor acesteia;
Analizele trebuie să fie realizate pe diferite niveluri de detaliere în funcţie de rezultatele evaluărilor
precedente şi de modificarea nivelurilor de risc pe care managementul este pregătit să le accepte.
Evaluarea riscurilor este adesea realizată într-o primă etapă la nivelul cel mai înalt, în scopul acordării de
prioritate resurselor în zonele cu risc mare şi apoi la un nivel mai detaliat, pentru riscurile specifice.
os
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
Selectarea controalelor
Odată identificate cerinţele de securitate, pentru a se asigura că riscurile sunt reduse la un nivel
acceptabil trebuie selectate şi implementate controale de securitate. Controalele pot fi selectate din acest
document sau din alte liste ce conţin controale sau pot fi proiectate controale noi care să îndeplinească
cerinţe specifice in mod adecvat. Există diverse metode de administrare a riscurilor şi acest document
oferă exemple de abordări frecvent utilizate. Totuşi, este necesar să fie recunoscut faptul că unele
controale nu sunt aplicabile oricărui sistem sau mediu informatic şi pot să nu fie adecvate pentru toate
organizaţiile. De exemplu, 8.1.4. descrie modul în care pot fi separate activităţile pentru a preveni frauda
şi erorile. Pentru organizaţiile mai mici separarea tuturor activităţilor nu este întotdeauna posibilă; de
aceea pot fi necesare alte metode pentru obţinerea aceloraşi obiective de control. Alt exemplu, 9.7 şi 12.1
descriu cum poate fi monitorizat sistemul de securitate, precum şi modul în care sunt colectate dovezile şi
probele. Măsurile de control menţionate, ca de exemplu jurnalizarea evenimentelor, pot intra în conflict cu
legislaţia în vigoare, cum ar fi asigurarea protecţiei persoanelor cu privire la prelucrarea datelor cu
caracter personal şi libera circulaţie a acestor date şi protecţia vieţii private în sectorul telecomunicaţiilor.
Selectarea controalelor se bazează pe costul implementării lor, corelat cu reducerea riscurilor prin
aplicarea acestor controale şi a pierderilor potenţiale ce pot rezulta în cazul apariţiei unei breşe de
securitate. De asemenea, trebuie luaţi în considerare chiar şi factori nefinanciari, cum ar fi pierderea
reputaţiei.
Unele dintre controalele din acest document pot fi considerate linii directoare pentru managementul
securităţii informaţiei. Ele se pot aplica pentru majoritatea organizaţiilor. Ele sunt explicate în continuare
sub titlul „Punctul de pornire pentru securitatea informaţiei".
Un număr de controale pot fi considerate drept linii directoare care oferă un bun punct de pornire pentru
implementarea securităţii informaţiei. Controalele se bazează fie pe cerinţe esenţiale ce decurg din
legislaţie, fie sunt considerate cea mai bună practică pentru securitatea informaţiei.
Controalele considerate a fi esenţiale pentru o organizaţie din punct de vedere legislativ sunt:
Controalele considerate a fi cea mai utilizată bună practică pentru securitatea informaţiei sunt:
Aceste controale se pot aplica în majoritatea organizaţiilor şi în majoritatea mediilor. Ar trebui notat că,
deşi toate controalele din acest document sunt importante, relevanţa fiecărui control trebuie determinată
în lumina riscurilor specifice cu care se confruntă fiecare organizaţie. De aceea, deşi abordarea de mai
sus este considerată ca fiind un punct bun de plecare, ea nu înlocuieşte selectarea controalelor bazată
pe o evaluare a riscului.
xi
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
Experienţa a arătat că pentru reuşita implementării unui sistem de securitate a informaţiei în cadrul unei
organizaţii următorii factori sunt adesea critici:
f)distribuirea îndrumărilor privind politica şi standardele de securitate a informaţiei către toţi angajaţii
şi colaboratorii;
h) un sistem de măsurare cuprinzător şi echilibrat care să fie folosit pentru evaluarea performanţei în
managementul securităţii informaţiei precum şi pentru elaborarea sugestiilor de îmbunătăţire a
sistemului de management al securităţii informaţiei.
Acest cod de practică poate fi privit ca punct de pornire pentru dezvoltarea unui set de linii directoare
specific organizaţiei. Nu toate îndrumările şi controalele din acest cod de practică pot fi aplicabile. Mai mult,
pot fi necesare controale suplimentare ce nu sunt incluse în acest document. Dacă se întâmplă acest
lucru, poate fi util să se păstreze referirile la aceste pasaje pentru a uşura verificarea conformităţii de către
auditori sau parteneri de afaceri.
xii
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
1 Domeniu
Acest standard oferă recomandări pentru managementului securităţii informaţiei celor care sunt
responsabili de iniţierea, implementarea sau menţinerea securităţii în organizaţia lor. Se intenţionează
asigurarea unui cadru comun pentru dezvoltarea standardelor organizaţionale de securitate şi a unei
practici eficace de management al securităţii informaţiei, precum şi furnizarea de încredere în relaţiile
dintre organizaţii. Recomandările din acest standard trebuie alese şi folosite în conformitate cu legile şi
regulamentele aplicabile.
2 Termeni şi definiţii
In scopul înţelegerii domeniului acestui document, se aplică următorii termeni:
- Confidenţialitate
Asigurarea accesibilităţii informaţiei numai celor autorizaţi să aibă acces,
- Integritate
Păstrarea acurateţei şi completitudinii informaţiilor, precum şi a metodelor de procesare.
- Disponibilitate
Asigurarea faptului că utilizatorii autorizaţi au acces la informaţie, precum şi la resursele
asociate, atunci când este necesar.
Proces de identificare, control şi de minimizare sau eliminare a riscurilor de securitate care pot afecta
sistemele informaţionale, la un cost acceptabil.
3 Politica de securitate
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO 8. Blue Project Software
SR ISO/CEI 17799:2004
Un document referitor la politică care trebuie aprobat de către managementul organizaţiei, publicat şi
comunicat, pe înţelesul tuturor angajaţilor. Documentul trebuie să conţină angajamentul managementului
pentru securitatea informaţiei şi să precizeze modul în care organizaţia abordează managementul
securităţii informaţiei. Documentul va include cel puţin următoarele îndrumări:
e)trimiteri la documentaţii care vor susţine politica de securitate, ca de exemplu politici de securitate
mai detaliate şi proceduri pentru sisteme informatice specifice sau reguli de securitate pe care
utilizatorii trebuie să le respecte.
Această politică trebuie comunicată utilizatorilor din cadrul întregii organizaţii, într-o formă relevantă,
accesibilă şi inteligibilă pentru cei cărora li se adresează.
Politica va avea un proprietar responsabil pentru menţinerea şi revizuirea ei, în baza unui proces de
revizuire clar definit. Acest proces va trebui să asigure revizuirea politicii de securitate ca răspuns la
apariţia oricărei modificări care afectează bazele iniţiale de evaluare a riscului, cum ar fi incidente de
securitate semnificative, noi vulnerabilităţi sau modificări în infrastructura organizaţională sau tehnică.
Trebuie programate, de asemenea, analize periodice ale următoarelor:
N1)
NOTĂ NAŢIONALĂ - malicious software:-software care poate strica sau altera date şi programe sau un sistem fără
permisia şi anunţarea utilizatorului
Pagina extrasa din aplicaţia Standard FullTextCD View (o) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
4 Securitate organizaţională
Va trebui stabilit cadrul de management pentru iniţierea şi controlul implementării securităţii informaţiei în
cadrul organizaţiei.
Vor fi numite comisii de management sub conducere managerială care să aprobe politica de securitate a
informaţiei, să atribuie rolurile în domeniul securităţii şi să coordoneze implementarea securităţii în
cadrul organizaţiei. Dacă este necesar, va trebui asigurată o sursă de consultanţă specializată în
domeniul securităţii informaţiei care să fie la dispoziţia organizaţiei. Vor fi dezvoltate legături cu
specialiştii externi în securitate pentru a se ţine pasul cu tendinţele industriei, pentru monitorizarea
standardelor şi a metodelor de evaluare şi pentru a avea puncte de contact adecvate în cazul în care
organizaţia se confruntă cu incidente de securitate. Va fi încurajată o abordare multidisciplinară a
securităţii informaţiei, implicând cooperarea şi colaborarea managerilor, a utilizatorilor, a
administratorilor, a proiectanţilor de aplicaţii, auditorilor şi personalului de securitate, precum şi
dezvoltarea de competenţe specializate în domenii cum ar fi: asigurări şi managementul riscului.
Securitatea informaţiei este o responsabilitate care revine tuturor membrilor echipei manageriale. De
aceea, va trebui luată în considerare crearea unui comisii de management care să asigure existenţa unei
direcţii clare şi a unei susţineri vizibile din partea managementului organizaţiei pentru iniţiativele de
securitate. Această comisie va trebui să promoveze securitatea în cadrul organizaţiei printr-un
angajament corespunzător şi resurse adecvate. Comitetul poate fi parte a unui organism de management
deja existent. De obicei, o astfel de comisie are următoarele obligaţii:
Un singur manager trebuie să fie responsabil pentru toate activităţile referitoare la securitatea informaţiei.
într-o organizaţie mare, poate fi necesară existenţa unei comisii multifuncţionale a reprezentanţilor
managementului din zone importante ale organizaţiei care să coordoneze implementarea controalelor de
securitate a informaţiei. în mod obişnuit, un astfel de forum :
c)aprobă şi sprijină iniţiativele privind securitatea informaţiei în cadrul întregii organizaţii, cum ar fi
un program de conştientizare, atenţionare şi familiarizare cu domeniul de securitate;
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
g)promovează un sprijin vizibil din partea conducerii privind securitatea informaţiei în cadrul întregii
organizaţii.
Politica de securitate a informaţiei (a se vedea articolul 3) trebuie să ofere o îndrumare generală privind
alocarea rolurilor şi responsabilităţilor de securitate în cadrul organizaţiei. Aceasta trebuie suplimentată,
acolo unde este necesar, cu îndrumări mai detaliate pentru locaţii, sisteme şi servicii specifice.
Responsabilităţile locale privind resursele fizice individuale şi resursele informaţionale ale sistemului şi
procesele de securitate, ca de exemplu procesul de planificare al continuităţii afacerii, trebuie să fie clar
definite.
în multe organizaţii este desemnat un manager de securitate al informaţiei, care să preia în totalitate
responsabilitatea dezvoltării şi implementării securităţii şi care să sprijine identificarea controalelor.
Proprietarii resurselor sistemului informaţional îşi pot delega responsabilităţile de securitate către
manageri sau furnizori de servicii. Totuşi, proprietarul rămâne în ultimă instanţă responsabil pentru
securitatea resursei respective şi trebuie să fie capabil de a stabili atribuirea corectă a oricărei
responsabilităţi.
Este esenţial să fie desemnate în mod clar domeniile pentru care fiecare manager este responsabil; în
particular putând avea loc următoarele situaţii în care:
a)trebuie identificate şi definite în mod clar diverse resurse şi procese de securitate asociate
fiecărui sistem în parte;
b)trebuie numit managerul responsabil pentru fiecare resursă sau proces de securitate, şi
responsabilităţile sale trebuie documentate în detaliu;
Trebuie stabilit un proces managerial de autorizare pentru noile echipamente de procesare a informaţiei.
a)noile echipamente trebuie să primească o aprobare adecvată din partea managementului, care
să autorizeze destinaţia şi modul de utilizare al acestora. Trebuie să se obţină şi aprobarea
managerului responsabil pentru menţinerea mediului local de securitate a sistemului
informaţional, pentru a se asigura faptul că toate politicile şi cerinţele relevante de securitate sunt
îndeplinite;
b)acolo unde este necesar, va trebui verificat hardware-ul şi software-ul pentru a se asigura
compatibilitatea lor cu alte componente ale sistemului;
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
Este foarte probabil ca multe organizaţii să aibă nevoie de consultantă din partea unui specialist în
securitate. în mod ideal, această consultanţă trebuie să fie oferită de către un specialist experimentat în
securitatea informaţiei chiar din cadrul organizaţiei. însă nu toate organizaţiile doresc să angajeze un
consilier specialist. în astfel de cazuri, se recomandă identificarea unei persoane, pentru a se asigura
consistenţă în coordonarea cunoştinţelor şi experienţei din cadrul organizaţiei şi pentru a oferi ajutor în
luarea deciziilor privind securitatea informaţiei. Aceste persoane trebuie să aibă acces la o consultanţă
adecvată din exterior, pentru a putea oferi la rândul lor consultanţă specializată, în afara propriei
experienţe.
Consultanţii în domeniul securităţii informaţiei sau persoane de contact similare trebuie să aibă în sarcină
consultanţa în legătură cu toate aspectele securităţii informaţiei, folosind fie propriile cunoştinţe, fie
cunoştinţe din afara organizaţiei. Calitatea evaluărilor făcute de către consultanţi cu privire la ameninţările
de securitate şi sfaturile acestora cu privire la controale vor determina eficienţa sistemului de securitate a
informaţiei din cadrul organizaţiei. Pentru o eficienţă şi un impact maxim, ei trebuie să aibă acces direct la
managementul din cadrul întregii organizaţii.
Consultantul în domeniul securităţii informaţiei sau persoane similare de contact trebuie consultate într-un
stadiu cât mai incipient, imediat după suspectarea apariţiei unui incident sau violări de securitate, pentru
a oferi o sursă de îndrumare sau investigare competentă. Deşi majoritatea investigaţiilor interne privind
securitatea vor fi făcute, în mod normal, sub controlul managementului, consultantul în domeniul
securităţii informaţiei poate fi solicitat pentru a oferi consultanţă, pentru a conduce sau pentru a dirija
investigaţia.
Schimburile de informaţii privind securitatea vor trebui restricţionate, pentru a asigura faptul că informaţiile
confidenţiale ale unei organizaţii nu sunt divulgate către persoane neautorizate.
O astfel de analiză se poate efectua de către serviciul de auditare intern, de un manager independent sau
de către un organism de terţă parte, specializat în astfel de analize, toţi cei menţionaţi trebuind să aibă
pregătire şi experienţă adecvate.
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
Accesul terţilor la echipamentele de procesare a informaţiei ale organizaţiei trebuie să fie controlat.
Acolo unde accesul terţilor este necesar pentru derularea afacerii, trebuie să se realizeze o evaluare a
riscului, pentru a determina implicaţiile de securitate şi cerinţele de control. Aceste controale trebuie
convenite şi incluse într-un contract încheiat cu terţa parte.
Accesul terţilor poate implica şi alţi participanţi. Contractele care oferă accesul terţilor trebuie să permită şi
posibilitatea de desemnare a altor participanţi necesari, precum şi condiţiile privind accesul acestora. Acest
standard va putea fi folosit ca o bază pentru astfel de contracte sau pentru cazul în care se ia în
considerare extemalizarea procesării informaţiei.
a)personalul de suport tehnic pentru hardware şi software, care are nevoie de acces la nivel de
sistem sau la un nivel minimal, pentru asigurarea funcţionării aplicaţiei;
b)parteneri comerciali sau asociaţi ocazionali, care pot schimba informaţii, pot accesa sistemele
informatice sau bazele de date.
în cazul în care managementul securităţii este neadecvat, informaţia poate fi supusă riscului datorită
accesului terţilor. Acolo unde afacerea necesită conectarea cu o altă locaţie care aparţine unei terţe părţi,
trebuie să se efectueze o evaluare a riscului pentru a identifica orice necesitate privind controale
specifice. Trebuie să se ia în considerare tipul de acces solicitat, valoarea informaţiilor, controalele
prevăzute de către terţi şi implicaţiile acestui tip de acces asupra securităţii informaţiei din cadrul
organizaţiei.
d)consultanţi.
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
Este esenţială înţelegerea necesităţii controalelor pentru administrarea accesului terţilor la echipamentele
de procesare a informaţiei. în general, toate cerinţele de securitate rezultate, ca urmare a accesului
terţilor, sau controalele interne trebuie prevăzute în contractul încheiat cu terţi (a se vedea şi 4.2.2). De
exemplu, dacă există o cerinţă specială pentru confidenţialitatea informaţiei, trebuie folosit un acord de
nedivulgare a informaţiei (a se vedea 6.1.3).
înţelegerile care implică accesul terţilor la echipamentele de procesare a informaţiei ale organizaţiei
trebuie să se bazeze pe un contract oficial care să conţină sau să facă referire la toate cerinţele de
securitate, pentru a asigura conformitatea cu politicile şi standardele de securitate ale organizaţiei.
Contractul trebuie să furnizeze asigurări că nu există nici o neînţelegere între organizaţie şi terţi.
Organizaţiile trebuie să se asigure de depunerea unei garanţii din partea furnizorilor în favoarea lor.
Trebuie luată în considerare includerea în contract a următorilor termeni:
d)valorile ţintă ale parametrilor de realizare a serviciului şi valorile considerate inacceptabile ale
serviciului;
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
m) stabilirea unui proces de escaladare a problemelor apărute; ar trebui luată în considerare, acolo
unde este cazul, şi crearea de regulamente pentru evenimente neprevăzute;
q) orice măsură de protecţie fizică necesară şi mecanismele care să asigure că aceste controale
sunt respectate;
4.3 Externalizare
Obiectiv: Menţinerea securităţii informaţiei când responsabilitatea pentru procesarea informaţiei a fost
externalizată către o altă organizaţie.
în contractul de externalizare încheiat între părţi trebuie să fie specificate riscurile, controalele de
securitate şi procedurile privind sistemele informaţionale, respectiv reţele şi/sau sistemele de procesare
individuale.
a) cum vor fi îndeplinite cerinţele legale, ca de exemplu legislaţia privind protecţia datelor;
d)ce controale fizice şi logice vor fi folosite pentru restricţionarea şi limitarea accesului persoanelor
autorizate la informaţii de importanţă critică ale organizaţiei;
f)ce niveluri de securitate fizică sunt oferite pentru echipamentele care provin din externalizare;
g)dreptul de audit.
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
Termenii prezentaţi în lista din 4.2.2. trebuie luaţi în considerare la redactarea acestui contract. Contractul
trebuie să permită detalierea cerinţelor şi procedurilor de securitate într-un plan de management al
securităţii care să fie aprobat de ambele părţi.
Deşi contractele de externalizare pun o serie de probleme complexe de securitate, controalele incluse în
acest cod de practică pot servi ca punct de plecare pentru aprobarea structurii şi conţinutului unui plan de
management al securităţii.
Toate resursele informaţionale importante trebuie să fie inventariate pentru a avea un proprietar
desemnat. Inventarierea resurselor ajută la asigurarea menţinerii unei protecţii adecvate. Pentru toate
resursele importante trebuie identificaţi proprietarii acestora şi să se definească responsabilităţile pentru
menţinerea unor controale adecvate. Responsabilitatea privind implementarea controalelor poate fi
delegată. Inventarierea trebuie să rămână în sarcina proprietarului nominalizat.
Inventarierile resurselor ajută la aplicarea protecţiei eficiente a acestora şi poate de asemenea, fi cerută
şi în alte scopuri ale activităţii, cum ar fi sănătatea şi siguranţa, motive financiare sau de asigurare
(managementul resurselor). Procesul de realizare a inventarului resurselor este un aspect important al
managementului riscului. Este necesar ca o organizaţie să fie capabilă să-şi identifice resursele, precum
şi valoarea şi importanţa acestora. Pe baza acestor informaţii, o organizaţie poate stabili apoi nivelurile de
protecţie adecvate, în funcţie de valoarea şi de importanţa resurselor. Trebuie realizat şi menţinut un
inventar al resurselor importante asociate fiecărui sistem informaţional. Fiecare resursă va trebui clar
identificată, împreună cu proprietarul său şi clasificarea sa din punctul de vedere al securităţii trebuie să
fie aprobată şi documentată, împreună cu localizarea sa curentă (care este importantă atunci când se
încearcă recuperarea sa în urma unei pierderi sau distrugeri). Exemple de resurse asociate sistemelor
informaţionale sunt:
d)servicii: servicii de calcul sau comunicaţii, utilităţi generale, cum ar fi încălzirea, iluminatul,
alimentarea cu energie electrică, aer condiţionat.
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
Informaţiile trebuie clasificate pentru a indica necesitatea, priorităţile şi gradul de protecţie. Informaţiile au
grade diferite de sensibilitate şi importanţă. Unele informaţii pot cere un nivel suplimentar de protecţie sau o
utilizare specială. Trebuie să se folosească un sistem de clasificare a informaţiilor pentru definirea
corespunzătoare a unui set de niveluri de protecţie şi pentru comunicarea necesităţii unor măsuri speciale
de utilizare.
Informaţiile şi datele de ieşire produse de sistemele care prelucrează date clasificate trebuie etichetate în
funcţie de valoarea şi importanta lor pentru organizaţie. De asemenea, poate fi necesară o etichetare a
informaţiei în funcţie de cât de critică este pentru organizaţie, în ceea ce priveşte integritatea şi
disponibilitatea ei.
Deseori, informaţia încetează să fie sensibilă sau critică după o anumită perioadă de timp, ca de exemplu
atunci când informaţia este făcută publică. Aceste aspecte trebuie luate în considerare, întrucât o supra-
clasificare ar putea conduce la o cheltuială suplimentară inutilă. Regulamentele de clasificare trebuie să
anticipeze şi să admită faptul că o clasificare pentru orice resursă informaţională nu este definitivă şi că
poate suferi modificări conform unor politici prestabilite (a se vedea 9.1).
Trebuie luat în considerare numărul de categorii de clasificare şi beneficiile utilizării acestora. Schemele prea
complexe pot deveni prea apăsătoare şi neeconomice pentru a fi folosite şi se pot dovedi nepractice.
Interpretarea simbolurilor de clasificare de pe documentele provenite de la alte organizaţii trebuie tratată cu
atenţie, deoarece acestea pot adopta diferite definiţii pentru acelaşi simbol sau pentru un simbol
asemănător.
a)copiere;
b)stocare;
d)transmiterea verbală, incluzând cea prin telefon mobil, mesagerie vocală, robot telefonic;
e)distrugere.
10
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
Ieşirile din sistemele care conţin informaţii care sunt clasificate ca fiind sensibile sau critice trebuie să
poarte o etichetă de clasificare adecvată (în formatul de ieşire). Etichetarea va trebui să reflecte
clasificarea în acord cu regulile stabilite în 5.2.1. Trebuie luate în considerare rapoartele tipărite, ecranele
monitoarelor, materiale stocate (benzi, discuri, CD-uri, casete), mesaje electronice şi transferuri de fişiere.
Etichetele fizice sunt în general cele mai potrivite forme de etichetare. Totuşi, unele resurse
informaţionale, cum ar fi documente în formă electronică, nu pot fi etichetate fizic, fiind necesare
echipamente electronice de etichetare.
6 Securitatea personalului
Obiectiv: Reducerea riscului erorilor umane, a furturilor, fraudelor sau a abuzurilor în folosirea
echipamentelor.
Responsabilităţile privind securitatea trebuie comunicate încă din etapa de angajare, incluse în
contracte şi urmărite pe parcursul angajamentului de muncă al individului.
Potenţialii angajaţi trebuie examinaţi corespunzător (a se vedea 6.1.2.), mai ales pentru posturile
sensibile. Toţi angajaţii şi utilizatorii terţi care folosesc echipamentele de procesare a informaţiei trebuie
să semneze o convenţie de confidenţialitate.
Rolurile şi responsabilităţile în securitate, aşa cum sunt specificate în politica de securitate a informaţiei
din cadrul organizaţiei (a se vedea 3.1) trebuie documentate, acolo unde este cazul. Aceste documente
vor prevedea toate responsabilităţile generale pentru implementarea şi menţinerea politicii de securitate,
ca şi orice alte responsabilităţi specifice de protejare a unor resurse specifice, precum şi responsabilităţi
de execuţie a unor procese sau activităţi specifice de securitate.
în momentul efectuării de angajări de personal permanent trebuie să se facă verificări care să includă
următoarele controale:
a)existenţa unor referinţe satisfăcătoare despre caracterul angajatului, atât profesional, cât şi în viaţa
personală;
b)o verificare a curriculum-ului vitae al angajatului (acesta va trebui să fie complet şi corect);
în cazul în care, chiar de la numire sau mai târziu, postul presupune ca persoana angajată să aibă acces
la echipamentele tehnice de procesare a informaţiei şi mai ales dacă acestea operează cu informaţii
sensibile, cum ar fi informaţii financiare sau cu un nivel de confidenţialitate foarte mare, organizaţia va
trebui să facă verificări privind încrederea oferită de persoana respectivă. Pentru personalul angajat în
funcţii importante, aceste verificări trebuie repetate periodic.
Un proces similar de verificare trebuie efectuat şi pentru contractanţii şi personalul cu angajare pe durată
determinată. Acolo unde acest personal este oferit de către o agenţie, în contractul cu această agenţie
trebuie să se specifice clar responsabilităţile de verificare ce revin agenţiei şi procedurile de notificare
care trebuie urmate dacă verificarea nu a fost completă sau dacă rezultatele dau motive de neîncredere
sau îngrijorare.
11
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
Managementul trebuie să evalueze supervizarea cerută pentru acces la sistemele sensibile, pentru
personalul nou sau fără experienţă. Activitatea întregului personal trebuie să fie periodic supusă
analizelor şi procedurilor de aprobare de către un membru superior de conducere.
Managerii trebuie să fie conştienţi că evenimentele din viaţa personală a angajaţilor le pot afecta munca.
Problemele personale sau financiare, modificările în comportament şi ale stilului de viaţă, absenţele
repetate şi semnele de stres şi depresie pot conduce la fraudă, furt, erori sau la alte implicaţii legate de
securitate. Acest tip de informaţie trebuie gestionată în concordanţă cu legislaţia corespunzătoare
existentă.
Convenţiile de confidenţialitate sau de nedivulgare sunt folosite pentru a avertiza că informaţia este
confidenţială sau secretă. Angajaţii trebuie să semneze un astfel de acord ca parte a convenţiei de bază la
angajare.
Personalul angajat pe perioadă limitată sau terţele părţi care nu sunt deja semnatarii unui contract
existent (conţinând acordul de confidenţialitate) trebuie să semneze un astfel de acord înainte de a li se oferi
accesul la echipamentele de procesare a informaţiei.
Convenţiile de confidenţialitate trebuie revizuite când se modifică termenii de angajare sau de contract, mai
ales atunci când angajaţii vor să părăsească organizaţia sau când contractul se apropie de final.
Toţi angajaţii unei organizaţii şi, acolo unde este cazul, utilizatorii din partea terţilor, trebuie să fie instruiţi în
mod corespunzător în legătură cu politicile şi procedurile organizaţiei şi informaţi periodic cu privire la
revizuirea acestora. Instruirea ce trebuie efectuată înainte de a obţine accesul la informaţii sau servicii
trebuie să includă cerinţele de securitate, responsabilităţi legale şi măsuri organizatorice, precum şi
instruirea pentru o corectă utilizare a echipamentelor de procesare a informaţiei, cum ar fi proceduri de
iniţializare a sesiunilor de utilizator, folosirea pachetelor software etc.
12
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
Incidentele care afectează securitatea trebuie raportate prin canalele de management adecvate, cât mai
repede posibil.
Toţi angajaţii şi contractanţii trebuie să cunoască procedurile de raportare a diferitelor tipuri de incidente
(violări de securitate, ameninţări, vulnerabilităţi sau defectări) care ar putea avea impact asupra
securităţii resurselor din organizaţie. Acestora trebuie să li se ceară să raporteze, cât mai repede posibil,
orice incidente observate sau suspectate persoanei de contact desemnate. Organizaţia trebuie să
stabilească un proces disciplinar oficial pentru angajaţii care produc violări de securitate. Pentru a fi
capabili să rezolve incidentele în mod corespunzător, este necesară colectarea probelor cât mai repede
posibil după producerea evenimentului (a se vedea 12.1.7).
Incidentele de securitate trebuie raportate prin canalele de management adecvate, cât mai repede
posibil.
Utilizatorii serviciilor informatice sunt obligaţi să noteze şi să raporteze orice slăbiciune observată sau
suspectată a securităţii sistemelor sau serviciilor. Ei trebuie să raporteze aceste aspecte conducerii sau
direct furnizorului de servicii, cât mai rapid posibil. Utilizatorii trebuie informaţi de faptul că ei nu trebuie, în
nici o împrejurare, să încerce să dovedească o vulnerabilitate suspectată. Acest lucru este pentru
protecţia lor, întrucât testarea unei vulnerabilităţi poate fi interpretată ca un potenţial abuz în utilizarea
sistemului.
Trebuie stabilite proceduri de raportare a defectărilor software Trebuie considerate următoarele acţiuni:
a)trebuie notat orice simptom al problemei şi orice mesaj care apare pe ecran;
b)trebuie izolat calculatorul, dacă este posibil, utilizarea sa trebuie oprită. Trebuie anunţată
imediat persoana de contact corespunzătoare. Dacă echipamentul trebuie examinat, el trebuie
deconectat de la orice reţea organizaţională, înainte de a fi repornit. Dischetele nu vor fi
transferate la alte calculatoare;
Utilizatorii nu trebuie să încerce să elimine software-ul suspect, decât în cazul în care sunt autorizaţi în
acest sens. Personalul adecvat, instruit şi cu experienţă, trebuie să se ocupe de refacerea sistemului.
13
Pagina extrasa din aplicaţia Standard FulITextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
Trebuie să existe un proces disciplinar oficial pentru angajaţii care au încălcat politicile şi procedurile de
securitate ale organizaţiei (a se vedea 6.1.4. şi, pentru reţinerea probelor, a se vedea 12.1.7). Un astfel de
proces poate descuraja angajaţii care ar putea fi înclinaţi să încalce procedurile de securitate. în plus, trebuie
să fie asigurat un tratament imparţial angajaţilor care sunt suspectaţi că au comis încălcări grave sau
repetate de securitate.
Echipamentele tehnice de procesare a informaţiei critice sau sensibile pentru afacere trebuie găzduite în
zone sigure, protejate de un perimetru de securitate definit, cu bariere de securitate şi control la intrare
corespunzătoare. Ele trebuie protejate fizic faţă de accesul neautorizat, daune şi interferenţe. Protecţia
oferită trebuie să fie gradată, pe măsura riscurilor identificate. Este recomandată o politică a biroului curat
si a ecranului curat, pentru a reduce riscul accesului neautorizat sau pe cel de distrugere a documentelor,
suporturilor media şi echipamentelor tehnice de procesare a informaţiei.
Protecţia fizică poate fi realizată prin crearea câtorva bariere fizice în jurul amplasamentelor activităţii şi a
echipamentelor tehnice de procesare a informaţiei. Fiecare barieră stabileşte un perimetru de securitate,
care furnizează o creştere a protecţiei totale. Organizaţiile trebuie să folosească perimetre de securitate
pentru a proteja zone care conţin echipamente de procesare a informaţiei (a se vedea 7.1.3.). Un
perimetru de securitate este ceva care reprezintă o barieră, cum ar fi un perete, o poartă de intrare
controlată cu cârd sau un birou de recepţie cu pază. De amplasarea şi tăria fiecărei bariere depinde
rezultatul evaluării riscului.
Trebuie luate în considerare şi implementate, acolo unde este cazul, următoarele îndrumări şi controale.
b)perimetrul unei clădiri sau al unei încăperi unde sunt instalate echipamente tehnice de procesare
a informaţiei trebuie izolat fizic (nu trebuie să existe goluri în acest perimetru sau zone pe unde se
poate intra uşor). Pereţii exteriori ai aşezării trebuie să fie dintr-un material solid şi toate uşile
exterioare trebuie protejate adecvat împotriva accesului neautorizat, prin intermediul
mecanismelor de control, bare, alarme, încuietori etc;
c)va trebui amplasat un birou de recepţie păzit sau alte mijloace de control al accesului fizic în
clădire sau încăperi. Accesul în încăpere sau clădire trebuie permis doar persoanelor autorizate;
d)barierele fizice trebuie, dacă este necesar, să fie extinse de la podea până la plafon pentru a
preveni intrările neautorizate şi contaminarea mediului, cum ar fi în caz de incendiu sau inundaţie;
14
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
e) toate ieşirile de incendiu dintr-un perimetru de securitate trebuie să aibă alarme şi să se închidă
automat.
Zonele sigure trebuie protejate prin controale de intrare adecvate, pentru a se asigura numai accesul
persoanelor autorizate. Următoarele controale trebuie luate în considerare:
a)vizitatorii în zonele sigure trebuie să fie supravegheaţi sau să aibă permisiunea de acces, iar data
şi ora intrării şi plecării înregistrate. Accesul se va autoriza numai pentru scopuri precise,
determinate, şi accesul va fi emis împreună cu instrucţiuni privind cerinţele de securitate ale zonei
şi privind procedurile în caz de urgenţe;
c)întregul personal va fi obligat să poarte unele forme de identificare vizibile şi trebuie încurajat să
someze persoanele străine neînsoţite sau pe toţi cei care nu poartă un identificator vizibil;
O zonă sigură poate fi un birou încuiat sau câteva încăperi în interiorul unui perimetru de securitate fizică,
care poate fi încuiat şi poate conţine dulapuri sau safe-uri ce se pot încuia. Selecţia şi proiectarea unei
zone sigure trebuie să ţină cont de posibilitatea de distrugere de incendiu, inundaţie, explozie, mişcări
civile şi de alte forme de dezastru natural sau dezastre cauzate de om. Va trebui să se ţină seama şi de
reglementările şi standardele de interes din domeniul sănătăţii şi siguranţei. De asemenea, trebuie luate
în considerare orice ameninţări de securitate venite din mediul înconjurător, cum ar fi scurgerea de apă
din alte zone.
a)echipamentele tehnice importante trebuie situate astfel încât să fie evitat accesul publicului;
b)clădirile nu trebuie să iasă în evidenţă şi trebuie să existe o minimă indicaţie referitoare la scopul
lor, fără semne evidente care să indice, în afara sau în interiorul clădirii, existenţa unor activităţi
de procesare a informaţiei;
d)uşile şi ferestrele trebuie închise, atunci când nu sunt supravegheate şi trebuie luată în
considerare asigurarea protecţiei externe pentru ferestre, mai ales pentru cele de la parter;
g)îndrumarele şi cărţile de telefon interne prin care se identifică localizarea echipamentelor tehnice
de procesare a informaţiilor sensibile nu trebuie să fie uşor accesibile publicului;
15
Pagina extrasa din aplicaţia Standard FullTextCD Visw (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
i) echipamentele de rezervă şi mediile care conţin copii de siguranţă N2> trebuie situate la o distanţă sigură,
pentru a evita distrugerile în cazul unui dezastru la sediul principal.
Pentru a mări securitatea unei zone sigure, pot fi necesare controale şi îndrumări suplimentare. Acest
lucru include controale ale personalului sau terţilor care lucrează în zona sigură, ca şi a activităţilor
desfăşurate în aceste zone de terţi. Următoarele controale trebuie luate în considerare:
a)personalul trebuie să ştie de existenţa unei zone sigure sau a activităţilor într-o astfel de zonă,
numai dacă este neapărată nevoie;
b)lucrul nesupravegheat în zonele sigure trebuie evitat, atât din motive de siguranţă, cât şi pentru a
preveni posibilitatea unor acţiuni răuvoitoare;
e)echipamentele video, audio, foto sau alte echipamente de înregistrare nu trebuie permise decât
dacă sunt autorizate.
Zonele de livrare şi de încărcare trebuie controlate şi, dacă este posibil, izolate de echipamentele tehnice de
procesare a informaţiei, pentru a se evita accesul neautorizat. Cerinţele de securitate pentru astfel de zone
trebuie determinate printr-o evaluare a riscului. Următoarele controale trebuie luate în considerare:
a)accesul din afara clădirii într-o zonă de depozitare trebuie restricţionat la personalul identificat şi
autorizat;
b)zona de depozitare trebuie proiectată astfel încât marfa să poată fi descărcată, fără ca personalul
de livrare să aibă acces la alte părţi ale clădirii;
c)uşile exterioare ale zonei de depozitare trebuie securizate, atunci când uşile interne sunt
deschise;
e)materialele care sunt recepţionate trebuie înregistrate, dacă e cazul (a se vedea 5.1.), la intrarea
în clădire.
N2)
NOTA NAŢIONALĂ - back-up-salvare, copie de siguranţă
16
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
Echipamentele tehnice trebuie protejate fizic faţă de ameninţări de securitate şi pericole ale mediului
înconjurător.
Protejarea echipamentelor (inclusiv cele folosite în exterior) este necesară pentru reducerea riscului de
acces neautorizat la date şi pentru protejarea faţă de pierdere şi distrugere. Trebuie luate în considerare
amplasarea şi casarea echipamentelor. Pot fi necesare controale speciale pentru protecţia împotriva
pericolelor de mediu sau a accesului neautorizat şi pentru a proteja utilităţile de suport, cum ar fi
alimentarea cu electricitate şi infrastructura de cablare.
Echipamentele trebuie amplasate sau protejate astfel încât să asigure reducerea riscului faţă de
ameninţări din mediul înconjurător şi de posibilităţi de acces neautorizat. Următoarele controale trebuie
luate în considerare:
a)echipamentele trebuie depozitate astfel încât să fie minimizat accesul care nu este necesar în
zona de lucru;
b)echipamentele de procesare şi stocare a informaţiei care gestionează date sensibile trebuie situate
astfel încât să reducă riscul spionării, în timpul utilizării lor;.
c)articolele care cer o protecţie specială trebuie izolate pentru a reduce nivelul general de protecţie
necesar;
d)ar trebui adoptate controale pentru a minimiza riscurile potenţialelor ameninţări, cum ar fi:
1)furt;
2)foc;
3)explozivi;
4)fum;
5)apă (sau defectări ale instalaţiilor);
6)praf;
7)vibraţii;
8)materiale chimice;
9)căderi în alimentarea cu energie;
10)radiaţii electromagnetice.
e) o organizaţie trebuie să stabilească o politică împotriva mâncatului, băutului şi fumatului în
apropierea echipamentelor tehnice de procesare a informaţiei;
f) condiţiile de mediu trebuie monitorizate astfel încât să nu poată afecta echipamentele de procesare
a informaţiei;
g) pentru echipamentele din mediul industrial trebuie luată în considerare folosirea unor metode
speciale de protecţie, cum ar fi membrane pentru tastaturi;
h) trebuie luat în considerare impactul unui dezastru care poate avea loc în vecinătate, cum ar fi un
incendiu într-o clădire vecină, scurgeri de apă de pe acoperiş sau pe podea, la subsol, sau o
explozie pe stradă.
17
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
Echipamentele trebuie protejate faţă de căderi de tensiune sau faţă de alte anomalii electrice. Trebuie
furnizată o alimentare cu energie electrică adecvată, în conformitate cu specificaţiile tehnice ale
producătorului echipamentului.
Trebuie luat în considerare un generator de rezervă, dacă se doreşte ca procesarea să continue în cazul
unei căderi prelungite de tensiune. Odată instalate, generatoarele trebuie testate periodic în concordanţă cu
recomandările producătorului. Pentru a asigura funcţionarea generatorului pe o perioadă prelungită va fi
pusă la dispoziţie o alimentare corespunzătoare cu combustibil,.
în plus, comutatoarele de energie destinate cazurilor de urgenţă trebuie localizate în apropierea ieşirilor de
urgenţă ale camerelor echipamentelor, pentru a facilita întreruperea rapidă a tensiunii în caz de urgenţă.
Trebuie asigurat iluminatul de urgenţă în cazul căderii alimentării principale cu energie. Pentru toate
clădirile, trebuie asigurate paratrăsnete, iar pe liniile externe de comunicaţie trebuie fixate filtre de protecţie
împotriva fulgerelor.
N3)
NOTA NAŢIONALĂ - Uninterruptable Power Supply
18
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
Indiferent de proprietar, folosirea oricărui echipament în afara incintei organizaţiei pentru procesarea
informaţiei trebuie autorizată de către conducere. Securitatea oferită trebuie să fie echivalentă cu cea
asigurată echipamentului folosit în acelaşi scop în interiorul organizaţiei, ţinând seama de riscurile
funcţionării în afara organizaţiei. Echipamentul tehnic de procesare a informaţiei include orice formă de
calculatoare personale, agende electronice, telefoane mobile, hârtii sau sub alte forme, care sunt luate
pentru lucrul acasă sau sunt transportate departe de locaţia normală de lucru. Trebuie luate in
considerare următoarele controale.
Riscurile de securitate, cum ar fi distrugerea, furtul şi interceptarea, pot varia considerabil între locaţii şi
trebuie luate în considerare pentru determinarea celor mai potrivite controale. Mai multe informaţii despre
alte aspecte ale protejării echipamentului mobil pot fi găsite în 9.8.1.
Informaţia poate fi compromisă printr-o scoatere din folosinţă neglijentă sau prin refolosirea
necorespunzătoare a echipamentelor (a se vedea şi 8.6.4.). Dispozitivele de stocare care conţin informaţii
sensibile trebuie distruse fizic sau suprascrise, mai degrabă decât prin folosirea procedurii standard de
ştergere.
Toate componentele echipamentului care conţin medii de stocare, cum ar fi hard-discuri fixe, trebuie
verificate pentru a se asigura faptul că orice dată sensibilă sau software-ul licenţiat au fost şterse sau
suprascrise înainte de casare. Dispozitivele de stocare cu defectări care conţin date sensibile pot
necesita o evaluare a riscului, pentru a determina dacă aceste echipamente trebuie distruse, reparate
sau înlăturate.
19
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
Organizaţiile trebuie să ia în considerare adoptarea unei politici de birou curat pentru hârtii şi medii de
stocare mobile şi a unei politici de ecran curat pentru echipamentele de procesare a informaţiei, pentru a
reduce riscul accesului neautorizat, pierderea sau distrugerea informaţiei în timpul sau în afara orelor de
lucru normale. Politica trebuie să ţină seama de clasificările de securitate a informaţiei (a se vedea 5.2),
de riscurile corespunzătoare şi de aspectele culturale ale organizaţiei.
Informaţiile lăsate pe birouri pot fi, de asemenea, afectate sau distruse într-un dezastru, cum ar fi un
incendiu, o inundaţie sau o explozie.
a)acolo unde se consideră necesar, hârtiile şi suporturile media pentru calculatoare trebuie stocate
în dulapuri încuiate şi/sau în alte tipuri de mobilier securizat, atunci când nu sunt folosite, mai ales
în afara programului de lucru;
b)informaţiile sensibile sau critice pentru afacere trebuie să fie încuiate în altă locaţie (ideal ar fi
într-un dulap sau safe-uri ignifuge), atunci când nu sunt necesare, mai ales când biroul este
neocupat;
c)calculatoarele personale şi terminalele acestora şi imprimantele nu trebuie lăsate conectate în
reţea când nu sunt supravegheate şi trebuie să fie protejate prin încuietori, parole şi alte
controale, atunci când nu sunt utilizat;
e)în afara programului normal de lucru, fotocopiatoarele trebuie încuiate (sau protejate în alt fel faţă
de accesul neautorizat);
f)informaţiile sensibile sau clasificate, după ce sunt imprimate, trebuie luate imediat din
imprimantă.
Este interzisă scoaterea echipamentelor, informaţiilor sau programelor software în afara organizaţiei, fără
autorizaţie. Acolo unde este necesar şi adecvat, pentru echipamentul ce trebuie înstrăinat, trebuie să se
închidă sesiunea de utilizare respectivă şi aceasta trebuie reiniţializată atunci când echipamentul este
returnat. De asemenea, trebuie făcute verificări pentru a detecta dacă au avut loc înstrăinări neautorizate
de proprietate. Personalului trebuie să i se aducă la cunoştinţă faptul că aceste verificări vor avea loc.
20
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
Procedurile trebuie să specifice instrucţiunile detaliate pentru execuţia fiecărei activităţi, inclusiv:
c)instrucţiuni pentru tratarea erorilor sau a altor condiţii excepţionale, care pot apărea în timpul
execuţiei activităţii, inclusiv restricţii de folosire a echipamentelor sistemului (a se vedea 9.5.5.);
d)informaţii de contact pentru suport în cazul unor dificultăţi operaţionale sau tehnice;
Orice modificări ale echipamentelor şi sistemelor de procesare a informaţiei trebuie controlate. Controlul
inadecvat al modificărilor asupra echipamentelor şi sistemelor de procesare a informaţiei constituie o
cauză des întâlnită a căderilor de sistem sau de securitate. Pentru a asigura un control satisfăcător al
tuturor modificărilor care intervin în echipamente, software sau proceduri, trebuie instituite responsabilităţi
şi proceduri oficiale de conducere. Programele operaţionale trebuie să fie subiectul unui control strict al
modificărilor. Atunci când se modifică programe, trebuie păstrat un registru de audit care să conţină toate
informaţiile relevante. Modificările mediului operaţional pot avea impact asupra aplicaţiilor. Acolo unde e
posibil, trebuie integrate proceduri de control al modificărilor operaţionale şi de aplicaţie (a se vedea şi
10.5.1.). în special, trebuie considerate următoarele controale:
a) Trebuie stabilite proceduri pentru a acoperi toate tipurile potenţiale de incidente de securitate, cum
ar fi:
1)căderea sistemului informatic şi pierderea funcţionalităţii;
2)indisponibilitatea serviciului;
3)erori rezultând din date incomplete sau incorecte de afaceri;
4)breşe de confidenţialitate.
21
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
b) în plus faţă de planurile normale de contingenţă (proiectate pentru a recupera sisteme sau servicii
cât mai repede posibil), procedurile trebuie să acopere şi (a se vedea şi 6.3.4):
c) acolo unde este cazul, trebuie colectate şi securizate înregistrările de audit şi alte probe similare (a
se vedea 12.1.7) pentru:
1)doar personalul clar identificat şi autorizat are drept de acces la sistemele funcţionale şi
la date (a se vedea şi 4.2.2 pentru accesul terţilor);
2)toate acţiunile urgente care se iau sunt documentate în detaliu;
3)acţiunile urgente sunt raportate conducerii şi revizuite într-o manieră ordonată;
4)integritatea sistemelor şi a controlului afacerii este confirmată cu o întârziere minimă.
Separarea atribuţiilor este o metodă pentru reducerea riscului folosirii necorespunzătoare a sistemului, în mod
accidental sau intenţionat. Trebuie luată în considerare separarea conducerii sau executării anumitor activităţi
sau domenii de responsabilitate, pentru a reduce posibilitatea unor modificări neautorizate sau pentru
folosirea necorespunzătoare a informaţiei sau serviciilor.
Organizaţiile mici pot considera această măsură ca dificil de implementat, dar principiul trebuie aplicat atât
cât este posibil şi practicat. Atunci când atribuţiile sunt dificil de separat, trebuie luate în considerare alte
metode cum ar fi monitorizarea activităţilor, înregistrări de audit şi supervizarea din partea conducerii. Este
important ca auditul de securitate să fie independent.
Trebuie avută grijă ca nici o persoană să nu poată face vreo fraudă într-o zonă de responsabilitate, fără să
fie detectată. Iniţierea unei acţiuni trebuie separată de autorizarea ei. Trebuie considerate următoarele
controale:
a)este important să se separe activităţi care presupun asociere pentru fraudare, cum ar fi
emiterea unei comenzi de aprovizionare şi verificarea că bunurile au fost recepţionate;
b)dacă există riscul unei asocieri, atunci controalele trebuie împărţite astfel încât două sau mai
multe persoane ar trebui implicate, pentru a micşora posibilitatea unei conspiraţii.
22
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
Separarea echipamentelor de dezvoltare, testare şi funcţionare este importantă pentru obţinerea separării
rolurilor implicate. Regulile de transfer de software de la stadiul de dezvoltare la cel operaţional trebuie
definite şi documentate.
Activităţile de dezvoltare şi testare pot cauza probleme serioase, cum ar fi: modificări nedorite ale
fişierelor sau ale mediului de sistem sau defectarea sistemului. Trebuie luat în considerare nivelul de
separare necesar între mediile operaţionale, de testare şi dezvoltare, pentru a preveni problemele de
funcţionare. O separare similară trebuie implementată între funcţiunile de dezvoltare şi testare. în acest
caz, este necesar să se menţină un mediu cunoscut şi stabil în care să se execute testarea şi care să
prevină accesul neadecvat al celui care se ocupă cu dezvoltarea.
în cazul în care, personalul de dezvoltare şi de testare are acces la sistemul operaţional şi la informaţiile
sale, acesta poate introduce coduri neautorizate şi netestate sau poate modifica datele operaţionale. în
unele sisteme această posibilitate poate fi exploatată pentru a comite fraude, sau pentru a introduce
coduri netestate sau cu rea intenţie. Acestea pot cauza probleme funcţionale serioase. De asemenea,
personalul de dezvoltare şi de testare este o ameninţare pentru confidenţialitatea informaţiei operaţionale.
Activităţile de dezvoltare şi testare pot produce modificări neintenţionate asupra software-ului sau a
informaţiei, dacă ele împart acelaşi mediu de calcul. De aceea, este necesară separarea echipamentelor
de dezvoltare, testare şi a celor funcţionale, pentru reducerea riscului modificărilor accidentale sau
accesului neautorizat la software-ul funcţional şi datele afacerii. Trebuie considerate următoarele
controale:
a)software-ul de dezvoltare şi cel operaţional trebuie, acolo unde este posibil, să ruleze pe
procesoare diferite sau în domenii sau directoare diferite;
e)personalul de dezvoltare trebuie să aibă acces doar la parolele operaţionale, acolo unde sunt luate
măsuri pentru emiterea parolelor în scopul asigurării de suport tehnic pentru sistemele
operaţionale. Controalele trebuie să asigure faptul că aceste parole sunt schimbate după folosire.
Folosirea unui contractor extern pentru a gestiona echipamentele de procesare a informaţiei poate atrage
după sine potenţiala expunere la riscuri de securitate, ca de exemplu posibilitatea compromiterii,
distrugerii sau pierderii datelor la sediul contractorului. Aceste riscuri trebuie identificate în avans, şi
trebuie impuse controale agreate de contractor care trebuie incluse în contract (a se vedea şi 4.2.2 şi 4.3
pentru îndrumări de realizare a contractelor cu terţi, care presupun accesul la mijloacele organizaţionale
şi contracte de extemalizare).
a)identificarea aplicaţiilor sensibile sau critice care ar fi mai bine să rămână la sediul organizaţiei;
N4)
NOTA NAŢIONALĂ - log-on - iniţierea/iniţializarea unei conexiuni/conectare
23
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
Necesarul de capacitate trebuie monitorizat şi trebuie estimat necesarul viitor de capacitate, pentru a se
asigura că sunt disponibile puterea de procesare şi capacitatea de stocare adecvate. Aceste estimări
trebuie să ţină cont de noile cerinţe de afaceri, de sistem şi de tendinţele actuale şi de perspectivă în
modul organizaţiei de a procesa informaţia.
Calculatoarele principale cer o atenţie specială, din cauza costurilor mai mari şi a timpului mai lung de
procurare a unei noi capacităţi. Managerii serviciilor principale trebuie să monitorizeze utilizarea
resurselor cheie ale sistemului, inclusiv aspecte legate de procesoare, memoria principală, stocarea
fişierelor, imprimante şi alte dispozitive exterioare şi sisteme de comunicaţii. Ei trebuie să identifice
tendinţele de utilizare, în special în legătură cu aplicaţiile de afaceri sau instrumentele de management al
informaţiei din sistem.
Managerii trebuie să folosească această informaţie pentru identificarea şi evitarea unor potenţiale situaţii
care pot reprezenta o ameninţare pentru securitatea sistemului sau a serviciilor pentru utilizatori şi să
planifice acţiuni de remediere adecvate.
Criteriile de acceptanţa pentru sistemele informatice noi, pentru upgradări şi pentru noi versiuni trebuie să fie
clar stabilite şi, înainte de acceptare, trebuie efectuate teste adecvate ale sistemului. Managerii trebuie să se
asigure în ce măsură cerinţele şi criteriile de acceptanţa ale noilor sisteme sunt clar definite, agreate,
documentate şi testate. Trebuie luate în considerare următoarele controale:
24
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
Pentru noi extinderi importante, trebuie consultate funcţiile de operare şi utilizatorii în toate stadiile
procesului de dezvoltare, pentru a asigura eficienţa operaţională a proiectării sistemului propus. De
asemenea, trebuie efectuate teste adecvate pentru a confirma că toate criteriile de recepţie sunt
satisfăcute pe deplin.
N5)
NOTĂ NAŢIONALĂ - trojan horses
25
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
Periodic trebuie să se facă copii de siguranţă după informaţiile şi software-urile esenţiale ale organizaţiei.
Trebuie asigurate mijloace de siguranţă corespunzătoare pentru ca toate informaţiile şi software-ul
esenţial pentru afacere să fie reconstituite în urma unui dezastru sau unei distrugeri a mediului de
stocare. Periodic trebuie testate procedurile de siguranţă pentru sistemele individuale pentru a se asigura că
ele îndeplinesc cerinţele planului de continuitate a afacerii (a se vedea articolul 11). Trebuie luate în
considerare următoarele controale:
a)trebuie ca un nivel minim de siguranţă pentru informaţie, împreună cu înregistrări corecte şi
complete ale copiilor de siguranţă şi proceduri documentate de restaurare, să fie depozitate într-o
locaţie distantă, la o distanţă suficientă pentru a nu suferi nici o stricăciune din cauza unui dezastru
care s-ar întâmpla în locaţia principală. Trebuie păstr
b)ate cel puţin trei generaţii sau cicluri de
siguranţă pentru aplicaţiile importante pentru afacere;
c)informaţia copiată trebuie să ofere un nivel corespunzător de protecţie fizică şi de mediu (a se
vedea capitolul 7), în acord cu standardele aplicate în locaţia principală. Metodele folosite pentru
suportul media în locaţia principală trebuie extinse şi în locaţia de siguranţă;
d)acolo unde este posibil, suportul pe care se fac copiile de siguranţă trebuie testat în mod regulat,
pentru a se asigura faptul că se poate folosi în caz de urgenţă, atunci când este nevoie;
e)procedurile de restaurare trebuie verificate şi testate în mod regulat pentru a se asigura că sunt
eficace şi că pot fi efectuate în timpul alocat procedurilor operaţionale pentru restaurare.
Trebuie determinate în mod clar perioada de păstrare a informaţiilor esenţiale pentru afacere şi orice altă
cerinţă pentru copiile arhivate care ar trebui păstrate permanent (a se vedea 12.1.3).
Personalul operaţional trebuie să păstreze un jurnal al activităţilor lor. Jurnalele ar trebui să includă
următoarele:
Defectele trebuie raportate şi trebuie luate măsuri corective. Defectele raportate de către utilizatori privind
probleme cu sistemele de procesare a informaţiei sau de comunicaţii trebuie înregistrate în jurnal.
Trebuie să existe reguli clare pentru raportarea erorilor, printre care şi:
a)revizuirea jurnalelor de înregistrare a defectelor, pentru a se asigura de faptul că erorile au fost
rezolvate satisfăcător;
b)revizuirea controalelor corective pentru a se asigura de faptul că n-au fost compromise controalele
şi că acţiunile luate sunt în totalitate autorizate.
26
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO S Blue Project Software
SR ISO/CEI 17799:2004
Pentru a obţine şi menţine securitatea în reţelele de calculatoare, este necesară o gamă de controale
Managerii de reţea trebuie să implementeze controale pentru a asigura securitatea datelor în reţea şi
protecţia serviciilor conexe faţă de accesul neautorizat. Următoarele controale trebuie considerate in mod
special:
a)responsabilitatea operaţională pentru reţea trebuie separată de operarea calculatoarelor, acolo
unde este posibil (a se vedea 8.1.4.);
b)trebuie stabilite responsabilităţi şi proceduri pentru managementul echipamentelor de la distanţă,
inclusiv echipamente din zona utilizatorilor;
c)dacă este necesar, trebuie stabilite metode speciale pentru a păstra în siguranţă confidenţialitatea
şi integritatea datelor care trec prin reţelele publice şi pentru a proteja sistemele conexe (a se
vedea 9.4 şi 10.3). Pentru menţinerea disponibilităţii pot fi necesare metode speciale serviciilor de
reţea şi a calculatoarelor conectate;
d)activităţile de management trebuie coordonate îndeaproape, atât pentru optimizarea serviciului
pentru afacere, cât şi pentru a se asigura faptul că aceste metode sunt aplicate consecvent în
infrastructura de procesare a informaţiei.
Obiectiv: Prevenirea distrugerii resurselor şi întreruperii activităţilor organizaţiei. Suportul media trebuie
controlat şi protejat fizic.
Trebuie stabilite proceduri de operare pentru protejarea documentelor, mediilor de stocare (benzi,
discuri, casete), date de intrare/ieşire şi documentaţie de sistem împotriva distrugerii, furtului şi
accesului neautorizat.
Pentru managementul mediilor mobile de stocare pentru calculatoare trebuie să existe proceduri, cum ar
fi benzi, discuri, casete şi rapoarte tipărite. Trebuie luate in considerare următoarele controale:
a)conţinutul oricărui suport media reutilizabil care va fi scos din organizaţie trebuie şters dacă nu mai
este necesar;
b)pentru toate suporturile media scoase din organizaţie trebuie cerută autorizare şi trebuie menţinută
o înregistrare a tuturor acestora, pentru a putea întreţine un registru de audit (a se vedea 8.7.2);
c) toate suporturile media trebuie stocate într-un spaţiu sigur, în acord cu specificaţiile producătorului.
27
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
Suporturile de stocare trebuie eliminate în siguranţă în momentul în care nu mai sunt necesare. Printr-o
eliminare necorespunzătoare, se pot scurge informaţii sensibile către persoane din exterior. în scopul de a
minimiza acest risc pentru o eliminare sigură, trebuie stabilite proceduri oficiale. Trebuie considerate,
următoarele controale
a)suporturile media care conţin informaţii sensibile trebuie stocate şi eliminate în siguranţă, de
exemplu, prin ardere sau rupere în bucăţi sau golite de date, pentru a fi folosite de către altă
aplicaţie, în cadrul organizaţiei;
1)documente tipărite;
3)indigouri;
4)rapoarte de ieşire;
6)benzi magnetice;
10)date de test;
c)este mai simplu să se dispună ca toate suporturile de stocare să fie colectate şi distruse în
siguranţă, decât să se încerce separarea articolelor sensibile;
d)multe organizaţii oferă servicii de colectare şi distrugere pentru hârtii, echipamente şi media,
trebuie avută grijă în selectarea unui contractor potrivit cu metode şi experienţă adecvate;
e)distrugerea mediilor de stocare sensibile trebuie jumalizată, acolo unde este posibil, pentru a
putea întreţine un registru de audit.
Când se acumulează suporturi media în vederea distrugerii, trebuie acordată atenţie efectului de
agregare, care poate facilita ca o mare cantitate de informaţie neclasificată să devină mai sensibilă decât o
cantitate mică de informaţii clasificate.
Trebuie stabilite proceduri pentru operarea şi stocarea informaţiei, pentru a proteja astfel de informaţii faţă
de dezvăluirea şi folosirea neautorizată. Procedurile trebuie gândite pentru operarea informaţiei în funcţie
de clasificarea ei (a se vedea 5.2) pentru documente, sisteme computaţionale, reţele, calculatoare portabile,
comunicaţii mobile, poştă, căsuţă vocală, comunicaţii vocale în general, multimedia, servicii/mijloace
poştale, folosirea faxurilor şi a altor articole sensibile, cum ar fi cecuri şi facturi în alb. Trebuie luate în
considerare următoarele controale (a se vedea şi 5.2 şi 8.7.2):
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
h) marcarea clară a tuturor copiilor de date pentru atenţionarea celor autorizaţi să le primească;
Documentaţia de sistem poate conţine multe informaţii sensibile, cum ar fi descrieri de procese de
aplicaţii, proceduri, structuri de date, procese de autorizare (a se vedea şi 9.1). Pentru a proteja
documentaţia de sistem de accesul neautorizat. Trebuie considerate următoarele controale,
b)lista de acces pentru documentaţia de sistem trebuie păstrată la un minim şi autorizată de către
proprietarul aplicaţiei;
c)documentaţia de sistem păstrată pe o reţea publică sau oferită printr-o reţea publică trebuie
protejată corespunzător.
Obiectiv: Prevenirea pierderii, modificării sau folosirii necorespunzătoare a informaţiei schimbate între
organizaţii.
Schimbul de informaţie şi software între organizaţii trebuie controlat şi trebuie să fie în acord cu legislaţia
în vigoare (a se vedea articolul 12).
Schimburile trebuie realizate pe baza unui acord. Trebuie întocmite proceduri şi standarde pentru
protejarea informaţiei şi suporturilor media care tranzitează. Trebuie luate în considerare implicaţiile
asupra activităţii şi securităţii, asociate cu schimbul electronic de date, comerţul electronic şi poşta
electronică şi necesitatea unor metode de control.
Trebuie stabilite acorduri pentru schimbul de informaţie şi software (în formă electronică sau fizică) între
organizaţii, unele putând fi oficiale, incluzând chiar şi acorduri cu terţi, acolo unde este cazul. Conţinutul
unui astfel de acord privind securitatea trebuie să reflecte sensibilitatea informaţiei implicate. Acordurile
asupra condiţiilor de securitate trebuie să ţină seama de:
29
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
f)folosirea unui sistem agreat de etichetare pentru informaţii sensibile sau critice, prin care să se
asigure că eticheta este imediat înţeleasă şi că informaţia este protejată corespunzător;
g)proprietatea informaţiei şi a software-ului şi responsabilităţile pentru protecţia datelor,
respectarea legii de copyright pentru software şi consideraţii similare (a se vedea 12.1.2 şi
12.1.4);
h) standarde tehnice pentru înregistrarea şi citirea informaţiei şi a software-ului;
i) orice metodă specială care poate fi cerută pentru a proteja articole sensibile, cum ar fi chei
criptografice (a se vedea 10.3.5).
Informaţia poate fi vulnerabilă la acces neautorizat, folosire necorespunzătoare sau corupere în timpul
transportului fizic, de exemplu atunci când se transmite pe suport media prin poştă sau prin curier. Pentru a
proteja suporturile media care sunt transportate între locaţii trebuie aplicate următoarele controale:
a)trebuie utilizate mijloace de transport sau curieri de încredere, lista curierilor autorizaţi trebuie
să fie aprobată de către managementul organizaţiei şi trebuie implementată o procedură de
verificare a identităţii curierilor;
c)trebuie adoptate controale speciale, acolo unde este necesar, pentru protejarea informaţiei
sensibile de la dezvăluirea neautorizată sau modificare. Exemplele includ:
Comerţul electronic poate implica utilizarea schimbului de date electronice (EDI)N6), a poştei electronice şi a
tranzacţiilor on line prin reţelele publice, cum ar fi Intemetul. Comerţul electronic este vulnerabil faţă de o
serie de ameninţări de reţea care se pot concretiza în activităţi de fraudare, contestare a contractelor şi
dezvăluire sau modificare a informaţiei. Trebuie aplicate controale pentru protejarea comerţului electronic de
astfel de ameninţări. Considerentele de securitate pentru comerţul electronic trebuie să includă
următoarele controale:
a)autentificarea. Ce nivel de încredere în identitatea pretinsă trebuie cerut de către client şi
comerciant, unul altuia?
b)autorizarea. Cine este autorizat să fixeze preţurile, să emită sau să semneze documente
comerciale importante? cum recunoaşte partenerul comercial aceasta?
c)contractul şi procesele de ofertare. Care sunt cerinţele pentru confidenţialitate, integritate şi
dovada livrării şi recepţionării documentelor importante şi nerepudierea contractelor?
d)informaţii despre preţuri. Ce nivel de încredere poate fi acordat integrităţii listei de preţuri publicate
şi confidenţialităţii cu privire la aranjamentele de acordare a reducerilor de preţuri?
N6>
NOTĂ NAŢIONALĂ- electronic data interchange
30
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
Multe dintre considerentele de mai sus pot fi rezolvate prin aplicarea tehnicilor criptografice subliniate
în 10.3, luând în considerare conformitatea cu cerinţele legale (a se vedea 12.1., în special 12.1.6 pentru
legislaţia criptografică).
înţelegerile realizate prin comerţul electronic între partenerii comerciali trebuie sprijinite de o înţelegere
documentată care să oblige ambele părţi asupra termenilor de comerţ, incluzând detalii despre autorizare
(a se vedea punctul b) de mai sus). Pot fi necesare şi alte înţelegeri cu furnizorii de servicii informatice şi
a reţelelor cu valoare adăugată.
Sistemele de comerţ publice trebuie să facă publici termenii de afaceri către clienţi.
Trebuie acordată atenţie şi expunerii în faţa atacurilor asupra sistemului gazdă care este utilizat pentru
realizarea comerţului electronic şi asupra implicaţiilor de securitate a oricărei interconectări de reţea,
necesare pentru implementarea ei (a se vedea 9.4.7).
31
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
Atenţia acordată securităţii şi implicaţiilor asupra activităţii de interconectare a unor astfel de echipamente
trebuie să includă:
c)excluderea categoriilor de informaţii sensibile ale afacerii, dacă sistemul nu furnizează un nivel
adecvat de protecţie (a se vedea 5.2);
d)restricţionarea accesului la informaţii de agendă legate de anumite persoane, de exemplu
personal ce lucrează la proiecte sensibile;
e)adecvarea sistemului pentru suportul aplicaţiilor afacerii, cum ar fi ordine de comunicare sau
autorizaţii;
f)categorii de personal, contractanţi sau parteneri de afaceri cărora le este permis accesul la sistem
şi locaţiile de unde poate fi accesat (a se vedea 4.2);
Trebuie acordată atenţie pentru protejarea integrităţii informaţiei publicate electronic pentru a preveni
modificarea neautorizată care poate afecta credibilitatea organizaţiei care face publicarea. Este necesar ca
informaţia care este disponibilă pe un sistem public, de exemplu informaţia de pe un server web, accesibilă
prin Internet, să fie conformă cu legile, regulile şi reglementările din jurisdicţia în care sistemul este localizat
sau unde are loc schimbul comercial. Trebuie să existe un proces de autorizare oficială, înainte ca
informaţia să fie disponibilă public.
Software-ul, datele şi alte informaţii necesitând un înalt nivel de integritate, făcute disponibile printr-un
sistem public, trebuie protejate prin mecanisme potrivite, de exemplu, semnături electronice (a se
vedea 10.3.3). Sistemele de publicare electronice, în special acelea care permit feedback şi introducere
directă a informaţiei, trebuie atent controlate astfel încât:
32
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
c)informaţia sensibilă va fi protejată în timpul procesului de colectare şi atunci când este stocată;
d) accesul la sistemul de publicare nu va permite acces neintenţionat la reţelele la care este conectat.
Trebuie instituite proceduri şi controale care să protejeze schimbul de informaţii prin folosirea de voce,
facsimile şi mijloace de comunicare video. Informaţia poate fi compromisă din cauza lipsei de cunoştinţă,
politicii sau procedurilor de utilizare a acestor mijloace, de exemplu ascultarea unei convorbiri telefonice
mobile într-un loc public, ascultarea maşinilor de răspuns automat, acces neautorizat pentru dial-in într-un
sistem de mesaje vocale sau trimiterea accidentală de facsimile la alte persoane care utilizează
echipamente pentru facsimile.
Operaţiunile afacerii pot fi întrerupte şi informaţia poate fi compromisă dacă mijloacele de comunicare
eşuează, sunt supraîncărcate sau întrerupte (a se vedea 7.2 şi articolul 11). Informaţia poate fi, de
asemenea, compromisă dacă operaţiunile afacerii sunt accesate de către utilizatori neautorizaţi (a se
vedea articolul 9).
Trebuie făcută o declaraţie clară a politicii de proceduri pe care personalul ar trebui să le urmărească în
utilizarea vocii, facsimilelor şi comunicaţiilor video. Aceasta trebuie să includă:
1)persoanele aflate în vecinătatea imediată, mai ales atunci când se folosesc telefoanele
mobile;
2)conectarea pe linia telefonică şi alte forme de ascultare prin acces fizic asupra telefonului sau
asupra liniei telefonice, sau utilizând receptoare cu scanare în cazul utilizării telefoanelor
mobile analogice;
3)oamenii care sunt destinatari;
c)să nu fie lăsate mesaje în maşinile de răspuns automat, întrucât acestea să poată fi reascultate de
persoane neautorizate, stocate în sisteme comune sau stocate incorect, ca urmare a procedurii
de apelare greşite;
3)trimiterea de documente şi mesaje la un număr greşit, fie prin greşirea modalităţii de realizare
a apelului, fie prin utilizarea greşită a unui număr stocat.
33
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
;9
Controlul accesului
Accesul la informaţie şi procesele afacerii trebuie controlat pe baza cerinţelor afacerii şi a cerinţelor de
securitate.
Acesta trebuie să ia în calcul politicile de diseminare şi autorizare ale informaţiei.
34
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
9.2 Manangementul accesului utilizatorului
Pentru controlul alocării drepturilor de acces la sistemele informatice şi servicii trebuie instituite proceduri
oficiale.
Procedurile trebuie să acopere toate fazele din perioada în care utilizatorului i se permite accesul, de la
înregistrarea iniţială de noi utilizatori şi până la anularea finală a accesului utilizatorilor care nu mai
necesită acces la sistemele de informaţii si servicii. Acolo unde este cazul trebuie să se acorde o atenţie
specială necesităţii de a controla alocarea drepturilor de acces privilegiat, care ar permite utilizatorilor să
treacă de controalele sistemului.
Accesul la serviciile de informaţii multi-utilizator trebuie controlat printr-un proces oficial de înregistrare a
utilizatorului, care ar trebui să includă:
b)verificarea acordării accesului de către proprietarul sistemului pentru utilizarea unui sistem
informatic sau serviciu. Sunt recomandabile aprobări speciale pentru drepturile de acces din
partea managementului;
c)verificarea dacă nivelul de acces este în concordanţă cu obiectivele activităţii (a se vedea 9.1) şi
în acord cu politica de securitate a organizaţiei, de exemplu nu compromite separarea sarcinilor(a
se vedea 8.1.4);
Trebuie acordată atenţie de asemenea includerii unor clauze în contractele angajaţilor şi în contractele de
service care să specifice sancţiuni în cazul unor încercări de acces neautorizat de către personalul
angajat sau agenţii de service (a se vedea de asemenea 6.1.4 şi 6.3.5).
Alocarea privilegiilor şi utilizarea acestora (orice caracteristică sau facilitate a unui sistem multi-utilizator
ce poate permite utilizatorului să treacă peste controalele de sistem sau de aplicaţie) trebuie restricţionată
şi controlată. Folosirea neadecvată a privilegiilor de sistem reprezintă un factor major ce contribuie
adesea la căderea sistemelor care au fost deschise fără permisiune.
35
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO 8, Blue Project Software
SR ISO/CEI 17799:2004
d)dezvoltarea şi utilizarea rutinelor de sistem trebuie impuse pentru evitarea necesităţii de acordare
de privilegii utilizatorilor;
e)privilegiile trebuie alocate pentru un identificator diferite de cele folosite în mod normal în
activităţile organizaţiei.
Parolele reprezintă un mod obişnuit de validare a identităţii unui utilizator pentru a accesa un sistem sau un
serviciu informatic. Alocarea parolelor trebuie controlată printr-un proces oficial de management, pentru
care va trebui:
a)să se ceară utilizatorilor să semneze o declaraţie prin care să păstreze confidenţialitatea parolelor
personale şi a parolelor de grup numai între membrii grupului (acest lucru poate fi inclus în
termenii şi condiţiile de angajare, a se vedea 6.1.4);
b)să se asigure, acolo unde utilizatorii trebuie să menţină o parolă personală, o parolă temporară
iniţială, pe care utilizatorii sa fie forţaţi să o schimbe imediat după acces. Parolele temporare date
în cazurile în care utilizatorii uită parolele, trebuie furnizate doar după identificarea utilizatorului;
c)să se urmărească acordarea parolelor temporare către utilizatori numai intr-un mod securizat.
Folosirea de mesaje de email de la terţi sau cu text în clar neprotejat trebuie evitată. Utilizatorii
trebuie să confirme primirea parolelor.
Parolele nu trebuie niciodată să fie stocate într-un calculator într-o formă neprotejată (a se vedea alte
tehnologii pentru identificarea şi autentificarea utilizatorilor, cum ar fi biometria, exemplu, verificarea de
amprente, verificarea semnăturii şi folosirea de chei (token)N7> hardware sau de exemplu cârduri cu cip
disponibile şi trebuie analizate dacă sunt aplicabile).
Pentru a menţine un control efectiv asupra accesului la informaţii şi servicii, managementul trebuie să
întreprindă un proces oficial, la intervale regulate, de analizare a drepturilor de acces al utilizatorilor astfel
încât:
a)drepturile de acces ale utilizatorilor sa fie analizate la intervale regulate (este recomandată o
perioadă de 6 luni) şi după fiecare schimbare (a se vedea 9.2.1);
b)autorizarea pentru drepturi de acces privilegiate (a se vedea 9.2.2) trebuie revizuită la intervale
mai mici, o perioadă de 3 luni fiind recomandată;
c)alocarea privilegiilor să fie verificată la intervale regulate pentru a se asigura că nu s-au obţinut
privilegii neautorizate.
N7)
NOTĂ NAŢIONALĂ - token- unitate distinctă în secvenţă de caractere/atom lexical, jeton(reţele),
36
Pagina extrasa din aplicaţia Standard FullTextCD View (o) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
Na
> NOTĂ NAŢIONALA - mainframe
37
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
a)interfeţe adecvate între reţeaua organizaţiei si alte reţele ale altor organizaţii sau reţele publice;
b)mecanisme de autentificare potrivite pentru utilizatori şi echipament;
c)control al accesului utilizatorului la serviciile informatice.
Trebuie formulată o politică privind utilizarea reţelelor şi a serviciilor de reţea. Aceasta trebuie să acopere:
Acesta politică va trebui să fie în acord cu politica de control al accesului organizaţiei (a se vedea 9.1).
Calea de la terminalul utilizator la calculatorul ce realizează serviciul trebuie controlată. Reţelele sunt
proiectate pentru a permite maximizarea accesului la resurse şi flexibilitatea rutării. Aceste caracteristici pot
furniza de asemenea oportunităţi pentru accesul neautorizat la aplicaţiile de afaceri sau pentru folosirea
neautorizată a echipamentelor informatice ale organizaţiei. Asemenea riscuri se pot reduce prin
încorporarea unor controale ce restricţionează ruta dintre un terminal al unui utilizator şi serviciile de
sistem la care utilizatorul este autorizat să aibă acces, de exemplu prin crearea unei căi impuse.
Obiectivul unei căi impuse este acela de a reduce posibilitatea ca orice utilizator să selecteze alte rute
decât ruta dintre terminal şi serviciile la care acel utilizator este autorizat să aibă acces.
Acest lucru implică de obicei implementarea unui număr de controale în diferite puncte ale rutei. Principiul
este acela de a limita opţiunile de rutare în fiecare punct din reţea, prin alegeri prestabilite.
NU)
NOTĂ NAŢIONALĂ - unitate funcţională care conectează două reţele de calculatoare care au diferite arhitecturi de
reţea.ecluză, port de conectare/interconectare, emisie-recepţie
38
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
e)impunerea folosirii unor aplicaţii de sistem specificate sau/şi a unor porţi de acces securizate
pentru utilizatorii de reţea externi;
f)controlul activ al comunicaţiei între sursă şi destinaţie prin porţi de acces securizate, de
exemplu firewall;
g)restrângerea accesului la reţea prin realizarea unor domenii logice, de exemplu VPN (reţele
private virtuale), pentru grupuri de utilizatori din cadrul organizaţiei (a se vedea şi 9.4.6).
Cerinţele unei căi impuse trebuie să fie corespunzătoare politicii de control al accesului din organizaţie (a
se vedea 9.1).
Autentificarea utilizatorilor la distanţă poate fi obţinută folosind, spre exemplu, o tehnică bazată pe
criptografie, chei, token-uri, hardware sau protocoale cerere/răspuns. Liniile private dedicate sau
posibilitatea de verificare a adresei de reţea a utilizatorilor pot fi de asemenea utilizate pentru furnizarea
siguranţei sursei de conexiuni.
Procedurile şi metodele de dial-back, de exemplu folosind modemuri dial-back, pot furniza protecţie
împotriva conexiunilor neautorizate şi nedorite la echipamentele de procesare a informaţiei ale
organizaţiei. Acest tip de control autentifică utilizatorii ce încearcă să stabilească o conexiune la reţeaua
organizaţiei din locaţii exterioare. Atunci când se foloseşte acest control, o organizaţie nu trebuie să
folosească servicii ce includ transferul de apeluri sau, dacă folosesc, trebuie să dezactiveze utilizarea
acestor caracteristici pentru a evita slăbiciunile rezultate din folosirea de transfer de apeluri. Este de
asemenea important ca procesul de caii back să includă asigurarea că se realizează efectiv o
deconectare din partea organizaţiei. Altfel, utilizatorul extern ar putea menţine linia deschisă pretinzând
că se realizează verificarea de caii back. Având în vedere această posibilitate, procedurile şi controalele
de caii back trebuie să fie bine testate.
Autentificarea nodului poate servi ca alternativă de autentificare a grupurilor de utilizatori la distanţă dacă
sunt conectaţi dintr-o locaţie comună, sigură de procesare date(a se vedea 9.4.3).
Accesul la porturile de diagnoză trebuie neapărat controlat. Multe calculatoare şi sisteme de comunicaţii
au instalate instrumente de diagnoză la distanţă de tip dial-up, necesare pentru inginerii de mentenanţă.
Dacă sunt neprotejate, aceste porturi de diagnoză furnizează modalităţi de acces neautorizat. Acestea
trebuie protejate, în consecinţă, de un mecanism de securitate adecvat, cum ar fi blocare din taste, şi de
o procedură care să asigure că sunt accesibile doar printr-o înţelegere între managerul serviciului
informatic şi personalul de suport hardware/software care necesită acces.
N10)
NOTĂ NAŢIONALĂ - dial up
39
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
Reţelele sunt în continuă creştere în afara graniţelor tradiţionale ale organizaţiei, datorită încheierii de
parteneriate de afaceri care necesită interconectarea sau partajarea echipamentelor de procesare a
informaţiei şi de reţea. Aceste extinderi pot creşte riscul accesului neautorizat la sistemele de informaţii deja
existente care utilizează reţeaua, unele necesitând protecţie faţă de alţi utilizatori ai reţelei din cauza
sensibilităţii informaţiei sau a importanţei sale. în aceste circumstanţe trebuie luată în considerare
introducerea controlului în cadrul reţelei, pentru a separa în grupuri serviciile informatice, utilizatorii şi
sistemele informatice.
O metodă de control a securităţii reţelelor mari este separarea lor în domenii logice, de exemplu
domeniile intern şi extern ale reţelei unei organizaţii, fiecare protejat de un perimetru bine definit de
securitate. Acest perimetru poate fi implementat prin instalarea unei intrări securizate între cele două
reţele care se interconectează, pentru a controla accesul şi fluxul de informaţii între domenii. Acest
gateway trebuie să fie configurat astfel încât să filtreze traficul între aceste domenii (a se vedea 9.4.7 şi
9.4.8) şi să blocheze accesul neautorizat în conformitate cu politica de control al accesului a
organizaţiei (a se vedea 9.1). Un exemplu de astfel de gateway este ceea ce în mod obişnuit poartă
denumirea defirewalln11'.
Criteriul separării reţelelor în domenii trebuie să fie bazat pe politica de control al accesului şi cerinţele
pentru acces (a se vedea 9.1) şi de asemenea trebuie să ţină cont de costul relativ şi impactul asupra
performanţei în cazul încorporării reţelelor de rutare N12) adecvate sau a tehnologiilor gateway (a se vedea
9.4.7 şi 9.4.8).
Cerinţele politicii de control al accesului pentru reţele folosite în comun, în special pentru cele care se
extind în afara graniţelor organizaţiei, pot impune încorporarea de controale pentru restricţionarea
capabilităţii de conectare a utilizatorilor. Astfel de controale pot fi implementate prin gateway-uri de reţea
care filtrează traficul cu ajutorul tabelelor cu reguli prestabilite. Restricţiile aplicate trebuie să fie bazate pe
politica de acces şi pe cerinţele aplicaţiilor activităţilor organizaţiei (a se vedea 9.1) şi trebuie menţinute şi
actualizate corespunzător.
a)poşta electronică;
d)accesul interactiv;
Reţelele partajate, în special acelea care se extind în afara graniţelor organizaţiei, pot necesita includerea de
controale ale dirijării traficului în reţele pentru a se asigura că fluxurile de informaţii şi conexiunile în reţea
nu încalcă politica de control al accesului la aplicaţiile organizaţiei (a se vedea 9.1). Acest control este
deseori esenţial pentru reţelele partajate cu utilizatori din afara organizaţiei.
Controlul rutării trebuie bazat pe mecanisme de verificare pozitivă a adreselor sursă şi destinaţie.
Translatarea adresei de reţea este de asemenea un mecanism foarte util pentru izolarea reţelelor şi
prevenirea propagării rutelor din reţeaua unei organizaţii în reţeaua altei organizaţii. Acest control poate fi
implementat sub formă software sau hardware. Realizatorii implementării trebuie să ştie cât de puternic
(restrictiv) este orice mecanism implementat.
N11)
NOTĂ NAŢIONALA - firewall - interfaţă de protecţie software/hardware N12) NOTĂ
NAŢIONALĂ - routing
40
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
O gamă largă de servicii în cadrul reţelelor publice sau private este disponibilă, câteva din ele oferind
servicii cu valoare adăugată. Serviciile de reţea pot avea caracteristici de securitate unice sau complexe.
Organizaţiile ce folosesc servicii de reţea trebuie să se asigure că este oferită o descriere clară a
atributelor de securitate a tuturor serviciilor folosite.
Accesul la servicii informatice trebuie să fie obţinut numai în urma unui proces securizat de acces.
Procedura de acces într-un sistem informatic trebuie planificată astfel încât să minimizeze posibilitatea
accesului neautorizat. O procedură adecvată de acces trebuie să:
a)nu afişeze identificatori de sistem sau de aplicaţie până ce nu s-a încheiat cu succes procesul de
acces;
b)să afişeze un anunţ generic care să spună că accesarea calculatorului este permisă numai
persoanelor autorizate;
c)în timpul procesului de acces să nu afişeze mesaje de help care ar putea ajuta un utilizator
neautorizat;
d)să valideze informaţia de acces numai după culegerea tuturor datelor de identificare. Dacă apare
o situaţie de eroare, sistemul nu trebuie să indice care parte a datelor de identificare este corectă
şi care nu.
41
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
e) să limiteze numărul de încercări de conectare nereuşite permise (recomandat este trei) şi:
f)să limiteze timpul minim şi maxim permis pentru procedura de acces. Dacă acesta este depăşit,
sistemul trebuie să încheie sesiunea de acces;
g)să afişeze următoarele informaţii după completarea unui proces reuşit de acces:
Toţi utilizatorii (inclusiv personalul tehnic de suport, cum ar fi operatorii, administratorii de reţea,
programatorii de sistem şi administratorii bazelor de date) trebuie să aibă un identificator unic
(identificator de utilizator) pentru folosinţa lor personală în aşa fel încât activităţile să poată fi urmărite
până la nivelul responsabilităţii individuale. Identificatorii de utilizator nu trebuie să ofere nici o indicaţie
asupra nivelului privilegiilor acordate utilizatorului (a se vedea 9.2.2), de exemplu manager, supervizor, în
circumstanţe excepţionale, când există un beneficiu clar pentru afacere, se poate utiliza un identificator de
grup, comun pentru un grup de utilizatori sau pentru o sarcină specifică. Aprobarea din partea conducerii
va trebui să fie în astfel de cazuri, documentată. Pot fi necesare controale suplimentare pentru menţinerea
responsabilităţii.
Există diverse proceduri de autentificare care pot fi utilizate pentru a dovedi identitatea revendicată de un
utilizator. Parolele (a se vedea 9.3.1 şi în continuare) reprezintă un mod uzual de a furniza identificarea şi
autentificarea (I&A)N13) bazată pe un secret cunoscut doar de utilizator. Acelaşi lucru poate fi obţinut şi prin
metode criptografice şi protocoale de autentificare.
Obiecte ca token-uri de memorie sau smart cârduri pe care utilizatorii le pot deţine pot fi de asemenea
folosite pentru identificare şi autentificare. Pentru identificarea unei persoane pot fi folosite tehnologiile de
autentificare biometrică ce folosesc caracteristici sau atribute unice ale unui individ. O combinaţie de
tehnologii şi mecanisme asociate într-un mod justificat conduc la o autentificare mai puternică.
Unele aplicaţii necesită ca parolele utilizator să fie furnizate de către o autoritate independentă. în cele mai
multe cazuri parolele sunt selectate şi întreţinute de către utilizatori.
N13)
NOTĂ NAŢIONALĂ- Identification&Authentication
42
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
e)să impună schimbarea parolelor temporare la primul acces (a se vedea 9.3.2), acolo unde
utilizatorii îşi pot selecta parolele;
f)să menţină o înregistrare a parolelor precedente utilizate, de exemplu pentru ultimele 12 luni, şi
să evite reutilizarea lor;
La majoritatea programelor care se instalează pe calculatoare există unul sau mai multe programe
utilitare de sistem care pot fi capabile să anuleze aplicaţiile de control şi să închidă sistemul. Este esenţial
ca utilizarea acestora să fie restricţionată şi controlată îndeaproape. Trebuie avute în vedere următoarele
controale:
Pentru utilizatorii care ar putea fi supuşi unor restricţii trebuie considerată furnizarea unei alarme care să
preîntâmpine efectuarea unor anumite acţiuni. Decizia de a furniza o astfel de alarmă trebuie să se
bazeze pe evaluarea riscurilor. De asemenea, trebuie definite responsabilităţi şi proceduri pentru
răspunsul la o alarmă de avertizare.
Terminalele inactive aflate în locaţii de risc crescut, de exemplu zone publice sau externe, în afara
managementului de securitate al organizaţiei, sau servind unor sisteme cu grad crescut de risc, trebuie
oprite după o anumită perioadă de inactivitate pentru a preveni accesul persoanelor neautorizate.
Aceasta facilitate de „time-out" ar trebui să închidă ecranul terminalului şi să închidă atât aplicaţia, cât şi
sesiunea de reţea după o perioadă definită de inactivitate. Durata limită a demarării acţiunii de „time-out"
trebuie să reflecte riscurile de securitate a zonei şi a utilizatorului acestui terminal.
O formă limitată a unei proceduri de „time-out" pentru terminal poate fi realizată de unele calculatoare
care închid ecranul şi previn accesul neautorizat dar nu opresc aplicaţia sau sesiunea de reţea.
Restricţiile asupra timpilor de conexiune trebuie să furnizeze un nivel de securitate suplimentar pentru
aplicaţiile de risc crescut. Limitând perioada în care conexiunile terminalului sunt permise către serviciile
calculatorului se reduce probabilitatea unui acces neautorizat. Un astfel de control trebuie considerat in
special pentru aplicaţiile sensibile, în special acelea cu terminale instalate în locaţii de risc, de exemplu in
43
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
zone publice sau externe care sunt în afara managementului de securitate al organizaţiei. Exemple de
astfel de restricţii includ:
a)folosirea de intervale de timp predeterminate, de exemplu pentru transmiterea fişierelor batchN14>
sau sesiuni interactive uzuale de scurtă durată;
b)restrângerea timpilor de conexiune la orele normale de birou, dacă nu este necesară o operare
extinsă peste orele de program.
b)să furnizeze protecţie împotriva accesului neautorizat pentru orice utilitate sau software de
sistem de operare care este capabil să treacă de controlul sistemului sau al aplicaţiilor;
c)să nu compromită securitatea altor sisteme cu care sunt împărţite resursele de informaţie;
d)să fie capabile să ofere acces la informaţie doar proprietarului, altor persoane individuale numite
şi autorizate, sau a unor grupuri definite de utilizatori.
Utilizatorii aplicaţiilor de sistem, incluzând personalul de suport, trebuie să primească dreptul de acces la
informaţie şi la funcţiile aplicaţiei de sistem în acord cu o politică definită de control al accesului, bazată
pe cerinţele particulare ale unei aplicaţii de afaceri şi în concordanţă cu politica de acces la informaţii a
organizaţiei (a se vedea 9.1). Trebuie luată în considerare pentru a sprijini cerinţele de restricţionare a
accesului aplicarea următoarelor controale:
a)furnizarea de meniuri pentru controlul accesului la funcţiile aplicaţiei de sistem;
b)restricţionarea cunoştinţelor utilizatorilor în legătură cu informaţiile sau cu funcţiile aplicaţiilor de
sistem pe care nu sunt autorizaţi să le acceseze, cu editarea potrivită a documentaţiei de
utilizator;
c)controlul drepturilor de acces ale utilizatorilor, de exemplu citire, scriere, ştergere şi execuţie;
d)asigurarea că ieşirile unei aplicaţii de sistem care manevrează date sensibile conţin numai
informaţii care sunt relevante pentru utilizare şi sunt trimise numai la terminalele şi în locaţiile
autorizate, incluzând şi o verificare periodică a unor astfel de ieşiri pentru a asigura ştergerea
informaţiei redundante.
Sistemele sensibile necesită un mediu dedicat (izolat) de procesare. Unele aplicaţii de sistem sunt
suficient de sensibile la o potenţială pierdere astfel încât să necesite o manevrare specială. Gradul de
sensibilitate poate sugera că aplicaţia de sistem trebuie să ruleze pe un calculator dedicat, trebuie să
partajeze resurse doar cu aplicaţii de sistem de încredere sau că nu are asemenea limitări. Se aplică
următoarele considerente.
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
b) atunci când o aplicaţie sensibilă trebuie rulată într-un mediu partajat, sistemele de aplicaţii cu
care aceasta trebuie să împartă resurse trebuie identificate şi aprobate de proprietarul aplicaţiei.
a)identificator utilizator;
b)datele şi momentul apariţiei evenimentelor accesate;
c)identitatea terminalului sau a locaţiei, dacă este posibil;
d)înregistrări ale încercărilor de acces al sistemului, reuşite şi refuzate;
e)înregistrări ale încercărilor de acces la date şi alte resurse, reuşite şi refuzate.
Unele înregistrări de audit trebuie să fie arhivate ca parte a unei politici de păstrare a înregistrărilor şi din
cauza necesităţilor de colectare de dovezi (a se vedea şi clauza 12).
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
Jurnalele de sistem conţin deseori un mare volum de informaţii, din care o parte semnificativă aflată în
afara monitorizării de securitate. în ajutorul identificării evenimentelor importante din motive de
monitorizare a securităţii, trebuie considerată copierea mesajelor corespunzătoare automat într-un al
doilea jurnal şi/sau folosirea utilitarelor de sistem sau a instrumentelor de audit potrivite pentru realizarea
investigării fişierelor.
La alocarea responsabilităţii pentru revizuirea jurnalelor, trebuie realizată o separare a rolurilor între
persoanele care sunt responsabile de revizuire şi cele ale căror activităţi sunt monitorizate.
O atenţie specială va trebui acordată securităţii sistemului de jumalizare deoarece, dacă există
posibilitatea de a interveni asupra lui, atunci se poate crea un fals sentiment de securitate. Controlul
trebuie să protejeze împotriva modificărilor şi problemelor operaţionale, incluzând:
Setarea corectă a ceasului calculatorului este importantă în asigurarea acurateţii înregistrărilor de audit, care
pot fi necesare pentru investigaţii sau ca probă în cazurile legale sau disciplinare. înregistrările de audit
incomplete sau inexacte pot limita astfel de investigaţii şi deprecia credibilitatea unor astfel de dovezi.
46
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
Atunci când un calculator sau echipament de comunicaţii are posibilitatea de a opera în timp real, va
trebui setat la un standard agreat, de exemplu UCT N15) sau timpul local standard. Cum se ştie că unele
ceasuri se desincronizează în timp, trebuie să existe o procedură care să verifice şi să corecteze orice
variaţie semnificativă.
Obiectiv: Asigurarea securităţii informaţiei atunci când sunt folosite echipamente mobile şi de la distanţă.
Protecţia necesară trebuie comparată cu riscurile pe care acest mod specific de lucru le cauzează.
Atunci când sunt folosite echipamente mobile trebuie luat în considerare riscul operării într-un mediu
neprotejat şi trebuie aplicate controalele potrivite de protecţie. în cazul lucrului de la distanţă,
organizaţia trebuie să aplice protecţie la locul unde se desfăşoară activitatea şi să asigure că există un
acord încheiat adecvat pentru acest mod de lucru.
Atunci când sunt folosite echipamente mobile, de exemplu: notebook-uri, palmtop-uri, laptop-uri şi
telefoane mobile, trebuie avută o grijă deosebită pentru a asigura informaţia de afaceri împotriva
compromiterii. Trebuie adoptată o politică oficială care să ia în considerare riscurile lucrului cu
echipamente mobile, în special în medii neprotejate. Spre exemplu, o astfel de politică trebuie să includă
cerinţele pentru protecţia fizică, controlul accesului, tehnici criptografice, copie de siguranţă şi protecţia
împotriva viruşilor. Această politică trebuie să includă de asemenea reguli şi recomandări pentru
conectarea echipamentelor mobile la reţea şi îndrumări pentru utilizarea acestor echipamente în locuri
publice.
Trebuie avută o grijă deosebită în utilizarea echipamentelor mobile în locurile publice, în sălile de întâlnire
şi în alte zone neprotejate din afara organizaţiei. Pentru evitarea accesului neautorizat sau dezvăluirea de
informaţii stocate şi procesate de aceste echipamente trebuie luate măsuri de protecţie, de exemplu,
utilizarea tehnicilor criptografice (a se vedea 10.3).
Este important ca atunci când astfel de echipamente sunt utilizate în locuri publice să fie evitată
posibilitatea ca persoane neautorizate să poată vedea conţinutul lor. Trebuie instituite proceduri împotriva
programelor software dăunătoare şi acestea trebuie actualizate (a se vedea 8.3). Trebuie prevăzut de
asemenea un echipament pentru a se putea face rapid şi uşor copie de siguranţă la informaţie. Aceste
copii de siguranţă-uri trebuie protejate adecvat împotriva furtului sau scurgerilor de informaţie.
Folosirea echipamentelor mobile conectate la reţea trebuie protejată în mod adecvat. Accesul de la
distanţă la informaţiile de afaceri prin reţeaua publică folosind echipamente mobile trebuie să aibă loc
doar după ce identificarea şi autentificarea a fost făcută cu succes, având instituit un mecanism potrivit de
control al accesului (a se vedea 9.4).
Echipamentele mobile trebuie de asemenea protejate fizic împotriva furtului în special, de exemplu,
atunci când sunt lăsate în maşini sau în alte mijloace de transport, camere de hotel, centre de conferinţe
şi locuri de întâlnire. Echipamentele care transportă informaţii importante de afaceri, sensibile şi/sau
critice nu trebuie lăsate nesupravegheate şi, acolo unde este posibil, acestea trebuie încuiate sau trebuie
utilizate mijloace care permit securizarea acestora prin încuietori speciale. Mai multe informaţii despre
protecţia fizică a echipamentului mobil pot fi găsite în 7.2.5.
Pentru personalul ce utilizează echipamentele mobile trebuie furnizate cursuri speciale pentru ridicarea
nivelului de cunoştinţe privind riscurile suplimentare rezultate din acest mod de lucru şi controalele care
trebuie implementate.
N15)
NOTĂ NAŢIONALĂ - Universal Co-ordinated Time
47
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
în cazul lucrului la distanţă se utilizează tehnologii de comunicaţii pentru a permite personalului lucrul la
distanţă dintr-o locaţie fixă din afara organizaţiei din care fac parte. La aceste locuri de muncă trebuie
pusă în practică o protecţie adecvată împotriva: de exemplu furtului de echipament şi informaţie,
dezvăluirii neautorizate a informaţiei, accesul neautorizat de la distanţă la sistemele interne al organizaţiei sau
folosirea neadecvată a echipamentelor. Este important ca lucrul la distanţă să fie autorizat şi controlat
de management şi să fie realizate condiţiile adecvate, pentru acest tip de lucru
Organizaţiile trebuie să ia în considerare dezvoltarea unei politici, a unor proceduri şi standarde pentru
controlul lucrului la distanţă. Organizaţiile trebuie să autorizeze activităţi de lucru la distanţă doar dacă
condiţiile adecvate de securitate şi controale sunt realizate şi acestea nu contravin politicii de securitate a
organizaţiei. Trebuie considerate următoarele:
a)securitatea fizică deja existentă la locul de lucru, luând în considerare securitatea fizică a clădirii
şi a mediului local;
b)mediul propus de lucru la distanţă;
c)cerinţele de securitate a comunicaţiilor, luând în considerare necesitatea accesului de la distanţă
la sistemele interne ale organizaţiei, sensibilitatea informaţiei care va fi accesată şi transportată
prin sistemul de comunicaţii şi sensibilitatea sistemului intern;
d)ameninţarea unui acces neautorizat la informaţii sau resurse de către alte persoane care folosesc
facilitatea, de exemplu familie, prieteni.
48
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
Declararea cerinţelor afacerii pentru noi sisteme sau îmbunătăţirea sistemelor existente trebuie să
specifice cerinţele pentru controale. Astfel de specificaţii trebuie să ia în considerare controalele automate
ce trebuie să fie încorporate în sistem şi necesitatea de asigurare a suportului pentru controalele
manuale. Consideraţii similare trebuie aplicate în evaluarea pachetelor software pentru aplicaţiile de
afaceri. Managementul poate folosi, dacă se consideră că este necesar, produse evaluate şi certificate
independent.
Controalele introduse în stadiul de proiectare sunt semnificativ mai ieftine în implementare şi mentenanţă
decât cele incluse în timpul sau după implementare.
Obiectiv: Prevenirea pierderilor, modificărilor sau utilizării abuzive a datelor utilizatorului în sistemele de
aplicaţie.
Trebuie proiectate controale adecvate şi înregistrări de audit sau înregistrări de activitate în sistemele de
aplicaţii, inclusiv pentru aplicaţiile scrise de utilizator. Acestea trebuie să includă validarea datelor de
intrare, procesarea internă şi a datelor de ieşire.
Pot fi necesare controale suplimentare pentru sistemele care procesează, sau au un impact asupra
activelor sensibile, de valoare sau critice ale organizaţiei. Astfel de controale trebuie determinate pe baza
cerinţelor de securitate şi a evaluării riscului.
Datele de intrare ale sistemelor de aplicaţie trebuie validate pentru a se asigura că acestea sunt corecte
şi adecvate. Trebuie efectuate verificări asupra intrărilor pentru tranzacţii de afaceri, date fixe (nume şi
adrese, limite de credit, numere de referinţă ale clienţilor) şi tabele de parametri (preţuri de vânzare, rate
de conversie valutară, rate ale taxelor). Trebuie considerate următoarele controale:
a) verificarea datelor de intrare duble sau suplimentare pentru detectarea următoarelor erori:
1) valori în afara domeniului-limită;
2) caractere invalide în câmpurile de date;
3) date lipsă sau incomplete;
4)depăşirea limitelor inferioară sau superioară a volumului de date;
5)date de control neautorizate sau insuficiente;
b)revizuirea periodică a conţinutului câmpurilor cheie sau fişierelor de date pentru confirmarea
validităţii şi integrităţii;
49
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO S Blue Project Software
SR ISO/CEI 17799:2004
b)procedurile de prevenire a rulării programelor într-o ordine incorectă, după sau a rulării după o
procesare anterioară nereuşită (a se vedea şi 8.1.1);
c)folosirea programelor corecte pentru refacere în urma defectărilor pentru a asigura o corectă
procesare a datelor.
a)controale de bilanţ, pentru a verifica bilanţurile deschise faţă de cele închise anterior fişierelor de
date după actualizarea tranzacţiilor;
b)controale de bilanţ, pentru a verifica bilanţurile deschise faţă de cele închise anterior,
1)controale „run-to-run";
2)totaluri pentru fişierele de actualizări;
3)controale „program-la-program";
g)verificări pentru asigurarea rulării în ordinea corectă a programelor şi terminarea în caz de eşec şi
oprirea procesării ulterioare până în momentul în care problema este rezolvată.
Autentificarea mesajelor este o tehnică folosită pentru detectarea modificărilor neautorizate sau a
coruperii conţinutului unui mesaj transmis electronic. Aceasta poate fi implementată hardware sau
software pe baza unui dispozitiv de autentificare fizică a mesajului sau cu ajutorul unui algoritm software.
Autentificarea mesajelor trebuie luată în considerare pentru aplicaţii pentru care există cerinţe de
securitate pentru protejarea integrităţii conţinutului mesajului, de exemplu transfer electronic de fonduri,
specificaţii, contracte, propuneri etc. de mare importanţă, sau alte schimburi similare de date electronice.
Pentru a determina dacă autentificarea mesajului este necesară şi pentru a identifica metoda de
implementare cea mai potrivită trebuie realizată o evaluare a riscurilor de securitate.
Autentificarea mesajelor nu este proiectată să protejeze conţinutul unui mesaj faţă de dezvăluirea sa
neautorizată. Tehnicile criptografice (a se vedea 10.3.2 şi 10.3.3) pot fi utilizate ca mijloace potrivite
pentru implementarea autentificării mesajelor.
50
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CE! 17799:2004
Datele de ieşire dintr-un sistem de aplicaţii trebuie validate pentru a se asigura că procesarea informaţiei
stocate este corectă şi adecvată circumstanţelor. în mod normal, sistemele sunt construite plecându-se
de la premisa că efectuându-se o validare, verificare şi testare corespunzătoare a ieşirii, datele acesteia
vor fi întotdeauna corecte. Acest lucru nu se întâmplă întotdeauna. Validarea ieşirilor poate include:
Luarea unei decizii în privinţa folosirii controalelor criptografice trebuie privită ca parte a unui proces mai
larg de evaluare a riscurilor şi selectare a controalelor. Evaluarea riscului trebuie realizată pentru
determinarea nivelului de protecţie care trebui acordat informaţiei. Această evaluare poate fi utilizată
pentru a determina dacă o metodă criptografică este adecvată, care tip de control trebuie aplicat, în ce
scop şi pentru ce procese ale afacerii.
O organizaţie trebuie să dezvolte o politică asupra folosirii controlului criptografic pentru protecţia
informaţiilor sale. O astfel de politică este necesară pentru maximizarea beneficiilor şi minimizarea
riscurilor de utilizare a tehnicilor criptografice, ca şi pentru evitarea utilizării inadecvate sau incorecte. La
dezvoltarea politicii trebuie luate în considerare următoarele:
d)implementarea politicii;
e)managementul cheilor;
g)standardele care trebuie adoptate pentru implementarea efectivă în cadrul organizaţiei (care
soluţie este folosită pentru care procese ale afacerii).
10.3.2 Criptarea
Criptarea reprezintă o tehnică criptografică care poate fi folosită pentru protejarea confidenţialităţii
informaţiei. Ea trebuie luată în considerare pentru protecţia informaţiilor sensibile sau critice.
51
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
în urma evaluării riscurilor trebuie identificat nivelul cerut de protecţie luând în considerare tipul şi
calitatea algoritmului de criptare utilizat ca şi lungimea cheilor criptografice ce se vor utiliza.
Semnăturile electronice pot fi aplicate oricăror forme de document procesat electronic, de exemplu pot fi
folosite pentru semnarea de plăţi electronice, transferuri de fonduri, contracte şi înţelegeri. Semnăturile
electronice pot fi implementate folosind o tehnică criptografică bazată pe o pereche de chei unic
relaţionate, o cheie fiind utilizată pentru crearea semnăturii (cheia privată), iar cealaltă pentru verificarea
semnăturii (cheia publică).
Trebuie să se acorde atenţie protejării confidenţialităţii cheii private. Această cheie trebuie ţinută secretă
deoarece oricine are acces la această cheie poate semna documente, de exemplu plăţi, contracte, în
acest fel folosindu-se ilegal semnătura proprietarului cheii. în plus, protejarea integrităţii cheii publice este
importantă. Aceasta protecţie este furnizată prin utilizarea certificatului cheii publice (a se vedea 10.3.5).
Este necesară o atenţie deosebită acordată tipului şi calităţii algoritmului de semnare utilizat şi lungimii
cheilor utilizate. Cheile criptografice utilizate pentru semnăturile electronice ar trebui să fie diferite de cele
pentru criptare (a se vedea 10.3.2).
Atunci când se utilizează semnături electronice va trebui să se acorde atenţie oricărui act legislativ
relevant care descrie condiţiile în care o semnătură digitală este obligatorie conform legii. Spre exemplu, în
cazul comerţului electronic este important de cunoscut statutul legal al semnăturii electronice. Poate fi
necesară existenţa unui contract sau a oricărui alt tip de înţelegere pentru suportul utilizării semnăturii
digitale acolo unde cadrul legal este inadecvat. Trebuie solicitată consultanţă juridică privind legislaţia şi
reglementările care s-ar putea aplica intenţiei de utilizare a semnăturilor electronice de către organizaţie.
Serviciile de nerepudiere trebuie utilizate acolo unde ar putea fi necesară rezolvarea unor dispute despre
apariţia sau nu a unui eveniment sau acţiune, de exemplu o dispută ce implică utilizarea semnăturii
electronice pentru un contract sau plată electronica. Ele pot ajuta la stabilirea dovezii că un anumit
eveniment sau acţiune particulară a avut loc, de exemplu refuzul trimiterii de instrucţiuni semnate
electronic folosind poşta electronică. Aceste servicii sunt bazate pe utilizarea tehnicilor de criptare şi de
semnătură digitală (a se vedea şi 10.3.2, 10.3.3).
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
a)tehnici pentru chei secrete, unde două sau mai multe părţi împart aceeaşi cheie şi această cheie
e folosită atât pentru a cripta, cât şi decripta informaţia. Această cheie trebuie ţinută secretă
deoarece oricine are acces la ea este capabil să decripteze toate informaţiile criptate cu această
cheie, sau să introducă informaţii neautorizate;
b)tehnici pentru cheile publice, unde fiecare utilizator are o pereche de chei, o cheie publică (care
poate fi dezvăluită oricui) şi o cheie privată (care ar trebui ţinută secretă). Tehnicile pentru cheile
publice pot fi utilizate pentru criptare (a se vedea 10.3.2) şi pentru a produce semnături
electronice (a se vedea 10.3.3).
Toate cheile trebuie protejate împotriva modificărilor şi distrugerii, iar cheile secrete şi private au nevoie
de protecţie împotriva dezvăluirii neautorizate. Tehnicile criptografice pot fi de asemenea utilizate în acest
scop. Trebuie utilizată si o protecţie fizică a echipamentelor folosite pentru generarea, stocarea şi
arhivarea cheilor.
c)distribuirea cheilor către utilizatorii autorizaţi, incluzând modul în care trebuie activate cheile
când sunt recepţionate;
d)stocarea cheilor, incluzând modul prin care utilizatorii autorizaţi obţin acces la chei;
e)schimbarea sau actualizarea cheilor incluzând reguli privind momentul schimbării cheilor şi
modul în care aceasta se va face;
f)tratarea cheilor compromise;
g)revocarea cheilor incluzând modul prin care cheile ar trebui retrase sau dezactivate, de
exemplu când cheile au fost compromise sau când un utilizator părăseşte organizaţia (caz în
care cheile trebuie sa fie şi arhivate);
i) arhivarea cheilor, de exemplu pentru informaţia arhivată sau la care s-a făcut "copie de
siguranţă";
j) distrugerea cheilor;
k) jurnalizarea şi auditarea activităţilor legate de managementul cheilor.
Pentru a reduce posibilitatea de compromitere, cheile ar trebui să aibă definite o dată de activare şi una
de dezactivare, astfel încât să poată fi utilizate pentru o perioadă limitată de timp. Această perioadă de
timp ar trebui să fie corelată cu circumstanţele în care este folosit controlul criptografic şi de riscul
perceput.
Pentru tratarea cererilor legale de acces la cheile criptografice trebuie considerată o procedură, de
exemplu informaţia criptată poate fi făcută disponibilă într-o formă necriptata ca probă într-un proces.
Pe lângă managementul securizat al cheilor private şi publice trebuie luată de asemenea în considerare
si protecţia cheilor publice. Există pericolul falsificării unei semnături electronice prin înlocuirea cheii
publice a utilizatorului cu propria cheie. Aceasta problemă este rezolvată prin folosirea unui certificat de
cheie publică. Certificatele trebuie produse în aşa fel încât să lege în mod unic informaţia cu privire la
proprietarul perechii de chei publice/private, de cheia publică. De aceea este important ca procesul de
management care generează aceste certificate să fie unul de încredere. Acest proces este realizat în
mod normal de o autoritate de certificare care ar trebui să fie o organizaţie recunoscută cu controale
adecvate şi proceduri implementate pentru a furniza gradul necesar de încredere.
53
Pagina extrasa din aplicaţia Standard FulITextCD View (o) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
Conţinutul înţelegerilor sau contractelor de servicii cu furnizori externi de servicii criptografice, de exemplu cu
o autoritate de certificare, trebuie să acopere aspectele legate de răspundere, încrederea în servicii şi timpii
de răspuns pentru furnizarea serviciilor (a se vedea 4.2.2).
Obiectiv: Asigurarea că proiectele de tehnologia informaţiei şi activităţile de suport sunt conduse într-o
manieră sigură. Accesul la fişierele sistem trebuie să fie controlat.
Menţinerea integrităţii sistemului trebuie să constituie responsabilitatea utilizatorului sau grupului de
dezvoltare de care aparţine aplicaţia de sistem sau software-ul.
b)dacă este posibil, sistemele operaţionale trebuie să conţină doar cod executabil;
c)codul executabil trebuie implementat pe un sistem operaţional numai după ce există dovada
testării cu succes şi este obţinută acceptanţa utilizatorului, iar bibliotecile corespunzătoare ale
programului sursă au fost actualizate;
d)trebuie menţinut un jurnal de audit pentru toate actualizările bibliotecilor de program operaţional;
Software-ul furnizat de producător, folosit în sistemele operaţionale trebuie menţinut la nivelul de suport oferit
de producător. Orice decizie de actualizare la noile versiuni trebuie să ia în considerare securitatea noii
versiuni, de exemplu introducerea de noi funcţionalităţi de securitate sau numărul şi severitatea problemelor
de securitate ce afectează această versiune. Corecţiile softwareN16) trebuie aplicate atunci când acestea
elimină sau reduc slăbiciuni de securitate.
Accesul fizic sau logic trebuie acordat doar furnizorilor în scopuri de suport, atunci când acesta e
necesar, şi cu aprobarea managementului. Trebuie monitorizate activităţile furnizorului.
Datele de testare trebuie protejate şi controlate. Testele de sistem şi de recepţie necesită de obicei
volume substanţiale de date de testare care sunt cât mai apropiate de datele de operare. Trebuie evitată
folosirea bazelor de date operaţionale conţinând informaţii personale. Dacă acest tip de informaţie este
folosit, aceste date trebuie mai întâi depersonalizate. Pentru protecţia datelor operaţionale, atunci când sunt
folosite în scopuri de testare trebuie aplicate controalele următoare.
b)de fiecare dată când o informaţie operaţională este copiată într-o aplicaţie de testare trebuie să
existe o autorizare separat;
N16)
NOTĂ NAŢIONALĂ - patch
54
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
c)informaţia operaţională trebuie ştearsă dintr-o aplicaţie de testare, imediat ce testarea este
încheiată;
d)copierea şi folosirea informaţiei operaţionale trebuie înregistrată pentru furnizarea unor dovezi
pentru audit.
Pentru a reduce posibilitatea modificării neautorizate unor programe de calculator ar trebui menţinut un
control strict asupra accesului la bibliotecile programului sursă după cum urmează (a se vedea şi 8.3):
a)acolo unde este posibil, bibliotecile programului sursă nu trebuie menţinute în sistemele
operaţionale;
h) versiunile vechi ale programelor sursă trebuie arhivate, cu o identificare clară a datei şi orei
exacte când au fost operaţionale, împreună cu tot software-ul de suport, control al activităţii,
definiţiile de date şi proceduri;
i) întreţinerea şi copierea bibliotecilor programului sursă trebuie să fie subiectul unor proceduri
stricte de control al modificărilor (a se vedea 10.4.1).
Pentru a minimiza coruperea sistemelor informatice trebuie să existe un control strict asupra
implementării modificărilor. Trebuie impuse proceduri oficiale de control al modificărilor. Acestea trebuie
să asigure faptul că procedurile de securitate şi control nu sunt compromise, că programatorii au acces
doar la acele părţi ale sistemului, necesare pentru activitatea lor şi că este obţinut un acord şi o aprobare
oficială pentru orice modificare. Modificarea software-ului de aplicaţie poate avea impact asupra
mediului operaţional. Atunci când este posibil, trebuie integrate proceduri de control pentru modificările
aduse aplicaţiei şi cele operaţionale (a se vedea şi 8.1.2). Acest proces trebuie să includă:
55
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
e)obţinerea unei aprobări oficiale pentru propunerile detaliate înaintea începerii lucrului;
f)asigurarea că utilizatorul autorizat acceptă schimbările înainte de orice implementare;
g)asigurarea că implementarea este efectuată astfel încât să se minimizeze întreruperile aduse
afacerii;
Multe organizaţii menţin un mediu în care utilizatorii testează software-ul nou şi care este separat de
mediile de dezvoltare şi producţie. Aceasta furnizează mijloace de a avea control asupra software-ului nou
şi permite o protecţie suplimentară a informaţiei operaţionale care este folosită pentru scopuri de testare.
Periodic este necesară schimbarea sistemului de operare, de exemplu instalarea unei noi versiuni
software disponibile sau patch-uri. Atunci când au loc schimbări, sistemele de aplicaţie trebuie revizuite şi
testate pentru a se asigura că nu există nici un impact nedorit asupra operării sau securităţii. Acest
proces trebuie să acopere:
a)revizuirea procedurilor de control şi integritate a aplicaţiei pentru a se asigura faptul că nu au fost
compromise de schimbările în cadrul sistemului de operare;
b)asigurarea că planul şi bugetul de suport anual va acoperi aceste revizuiri şi testări de sistem
rezultate în urma schimbărilor sistemului de operare;
c)asigurarea că notificarea schimbărilor în cadrul sistemului de operare se face în timp util pentru a
permite ca revizuirile adecvate să poată avea loc înaintea implementării;
d)asigurarea că sunt făcute modificările adecvate planurilor de continuitate a afacerii (a se vedea
clauza 11).
Modificarea pachetelor software trebuie descurajată. Pe cât este posibil şi aplicabil, pachetele software
furnizate de producător trebuie folosite fără vreo modificare. Acolo unde este absolut necesară
modificarea unui pachet software, trebuie luate în considerare următoarele aspecte:
a)riscul compromiterii controalelor incluse şi a integrităţii proceselor;
b)dacă trebuie obţinut acordul producătorului;
c)posibilitatea obţinerii din partea furnizorului a schimbărilor cerute, ca actualizări ale programului
standard;
56
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
Dacă schimbările sunt absolut necesare, software-ul original trebuie păstrat şi schimbările trebuie aplicate
unei copii clar identificate. Toate schimbările trebuie testate complet şi documentate, astfel încât să
poată fi reaplicate, dacă este necesar, pentru viitoare actualizări de software.
N17)
NOTĂ NAŢIONALĂ - Depunere condiţionată la o terţă parte/(acces la cod sursa)
57
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
b)înţelegerea impactului pe care întreruperile le pot produce asupra afacerii (este important să fie
găsite soluţii care să rezolve atât incidentele minore, cât şi incidentele serioase care pot afecta
viabilitatea organizaţiei) şi stabilirea obiectivelor organizaţiei cu privire la echipamentele de
procesare a informaţiei;
c)luarea în considerare a încheierii unei poliţe de asigurare adecvate care poate face parte din
procesul de continuitate a afacerii;
Continuitatea afacerii ar trebui să înceapă prin identificarea evenimentelor care pot cauza întreruperi ale
proceselor afacerii, de exemplu disfuncţionalităţi ale echipamentelor, inundaţii sau incendii. Aceasta ar
trebui urmată de o analiza a riscului pentru determinarea impactului acestor întreruperi (atât din punct de
vedere al nivelului daunelor produse, cât şi al timpului de recuperare). Ambele activităţi trebuie îndeplinite cu
implicarea totală din partea proprietarilor resurselor şi proceselor afacerii. Această evaluare trebuie să ia în
considerare toate procesele afacerii şi să nu se limiteze doar la echipamentele de procesare a informaţiei.
în funcţie de rezultatele analizei de risc trebuie dezvoltat un plan strategic pentru a determina tratarea
globală a continuităţii afacerii. Odată ce acest plan a fost creat, el trebuie să fie aprobat de către
management.
Planurile trebuie dezvoltate pentru a menţine sau relua operaţiile afacerii în timpul optim în urma unei
întreruperi sau a căderii unor procese de importanţa critică pentru afacere. Procesul de planificare a
continuităţii afacerii trebuie să ia în considerare următoarele:
58
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
Procesul de planificare va trebui să se axeze pe obiectivele imperative ale afacerii, cum ar fi reluarea
prestării serviciilor pentru clienţi într-o durată de timp acceptabilă. Trebuie luate în considerare serviciile şi
resursele care vor susţine realizarea acestora, incluzând personalul, resursele de procesare care nu
privesc informaţia, ca şi planurile de refacere pentru echipamentele de procesare a informaţiei.
Trebuie menţinută o structură unică a planurilor de continuitate a afacerii pentru a asigura consistenţa
planurilor şi care să identifice priorităţile pentru testare şi mentenanţă. Fiecare plan de continuitate a
afacerii trebuie să specifice dar condiţiile sale de activare, ca şi persoanele responsabile de executarea
fiecărei componente a planului. Atunci când sunt identificate noi necesităţi, cum ar fi planuri de evacuare
sau orice proceduri de urgenţă existente, acestea trebuie modificate corespunzător.
Pentru fiecare plan trebuie desemnat un proprietar specific. Procedurile de urgenţă, planurile de revenire
manuale şi planurile de reluare a activităţii trebuie să fie în responsabilitatea proprietarilor resurselor şi
proceselor corespunzătoare implicate. Aranjamentele de revenire pentru serviciile tehnice alternative,
cum ar fi echipamentele de procesare a informaţiei şi de comunicaţii, trebuie să revină în mod normal în
responsabilitatea furnizorilor de servicii.
Calendarul de testare pentru planul/urile de continuitate a afacerii va trebui să indice cum şi când va fi
testat fiecare element al planului. Este recomandată testarea în mod frecvent a componentelor specifice
ale planurilor. Pentru a se asigura funcţionarea planului/rilorîn condiţii reale trebuie utilizată o varietate de
tehnici de testare. Acestea trebuie să includă:
59
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
Tehnicile pot fi folosite de către orice organizaţie şi trebuie să reflecte natura planului specific de
recuperare.
Trebuie atribuită responsabilitatea pentru analize sistematice ale fiecărui plan de continuitate a afacerii;
identificarea de schimbări în cursul afacerii care nu sunt încă reflectate în planurile de continuitate a
afacerii trebuie să fie urmată de o actualizare corespunzătoare a planului. Acest proces oficial de control al
schimbării are rolul de a asigura că planurile actualizate sunt distribuite şi consolidate prin revizuiri
regulate ale planului complet.
Exemple de situaţii care pot necesita actualizări ale planurilor includ achiziţia de noi echipamente sau
actualizarea sistemelor operaţionale, precum şi schimbările de:
a)personal;
b)adrese sau numere de telefon;
c)strategie a afacerii;
d)locaţie, echipamente tehnice şi resurse;
e)legislaţie;
f)contractanţi, furnizori şi clienţi cheie;
g) procese, fie procese noi, fie procese la care s-a renunţat;
h) riscuri (operaţionale şi financiare).
12 Conformitatea
Obiectiv: Evitarea încălcărilor oricăror legi penale sau civile, sau a oricărei prevederi cuprinsă într-un statut,
regulament sau a oricăror obligaţii contractuale sau cerinţe de securitate.
Proiectarea, operarea, utilizarea şi managementul sistemelor informatice pot fi subiectul cerinţelor de
securitate cuprinse într-un statut, regulament sau contract. Consilierea în privinţa cerinţelor legale specifice
va trebui acordată de către consilierii juridici ai organizaţiei, sau de către practicieni calificaţi în domeniu.
Cerinţele legislative variază de la o ţară la alta, la fel şi pentru informaţia creată într-o ţară care este
transmisă în altă ţară (flux de date transfrontier).
60
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
Toate cerinţele relevante statutare, legislative, regulamentare şi contractuale vor fi definite explicit şi
documentate pentru fiecare sistem informatic. Modalităţile de control specific şi responsabilităţile
individuale pentru îndeplinirea acestor cerinţe trebuie să fie de asemenea definite şi documentate.
12.1.2.1 Copyright
Trebuie implementate procedurile adecvate pentru a asigura conformitatea cu restricţiile legale ale
utilizării materialului cu privire la care pot exista drepturi de proprietate intelectuală, cum ar fi copyright,
drepturi de proiectare, mărci înregistrate. încălcările copyright-ului pot conduce la acţiuni legale care pot
implica pedepse penale.
Cerinţele legislative, de reglementare şi contractuale pot impune restricţii asupra copierii materialelor cu
drepturi de autor. Acestea pot condiţiona în mod specific folosirea doar a materialului care este dezvoltat
de organizaţie, sau care este licenţiat sau furnizat de către cel care se ocupă cu dezvoltarea organizaţiei.
a)publicarea unei politici de conformitate cu privire la drepturile de autor pentru produsele software,
care defineşte modul de utilizare legal al acestora şi al produselor informatice;
înregistrările importante ale unei organizaţii trebuie protejate de pierderi, distrugere şi falsificare. Unele
înregistrări trebuie păstrate în mod securizat pentru a îndeplini cerinţe legale sau regulamentare, ca de
altfel şi pentru a sprijini activităţile esenţiale într-o afacere. Unele exemple ar fi înregistrări care pot fi
cerute ca probe că organizaţia funcţionează în acord cu prevederile legale sau regulamentare, sau pentru
a asigura apărarea adecvată împotriva unor potenţiale acţiuni civile sau penale, sau pentru a confirma
situaţia financiară a unei organizaţii în faţa acţionariatului, partenerilor sau auditorilor. Perioada de timp şi
conţinutul datelor pentru păstrarea de informaţii poate fi stabilită prin lege sau regulamente.
61
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO S Blue Project Software
SR ISO/CEI 17799:2004
înregistrările trebuie împărţite în tipuri de înregistrări, de exemplu. înregistrări contabile, baze de date,
jurnale de tranzacţii, jurnale de audit şi proceduri operaţionale, fiecare având detaliate perioadele de
reţinere şi tipul mediului de stocare, de exemplu hârtie, microfişe, suport magnetic, suport optic. Orice chei
criptografice, asociate cu arhive criptate sau semnături electronice (a se vedea 10.3.2 şi 10.3.3) trebuie
păstrate în siguranţă şi puse la dispoziţia persoanelor autorizate, atunci când este necesar.
Trebuie acordată atenţie posibilităţii de degradare a mediilor de stocare folosite pentru înregistrări.
Stocarea şi procedurile de utilizare trebuie implementate în acord cu recomandările producătorului.
Atunci când sunt alese medii de stocare electronice trebuie incluse proceduri care să asigure posibilitatea
accesului la date (citirea atât a mediilor, cât şi a formatului) pentru intervalul perioadei de păstrare pentru a le
proteja de pierderile cauzate de schimbarea ulterioară a tehnologiei.
Sistemele de stocare a datelor trebuie alese în aşa fel încât datele necesare să poată fi recuperate într-o
manieră acceptabilă din punct de vedere juridic, de exemplu toate înregistrările necesare să poată fi
recuperate din stocare într-un interval de timp acceptabil şi într-un format acceptat.
Pentru îndeplinirea acestor obligaţii, in cadrul organizaţiei trebuie realizaţi următorii paşi:
Un număr de ţări au introdus legi care prevăd controale pentru procesarea şi transmiterea datelor
personale (informaţii generale despre indivizi care pot fi identificaţi utilizând această informaţie). Astfel de
controale pot impune responsabilităţi celor care colectează, procesează şi împart informaţii personale şi pot
restricţiona abilitatea de transfer a acestor date în alte ţări.
Echipamentele de procesare a informaţiei într-o organizaţie sunt destinate folosirii în conformitate cu scopul
activităţii organizaţiei. Managementul va trebui să autorizeze folosirea lor. Orice utilizare a acestor
echipamente în alte scopuri decât cele destinate activităţii organizaţiei sau în scopuri neautorizate, fără
aprobarea managementului, va trebui tratată ca o folosire inadecvată a echipamentelor. Dacă o astfel de
activitate este identificată prin monitorizare sau prin alte modalităţi, va fi adusă la cunoştinţa managerului
responsabil pentru luarea măsurilor disciplinare potrivite.
Legalitatea monitorizării utilizării variază de la ţară la ţară şi poate necesita avizarea angajaţilor în privinţa
acestei monitorizări sau obţinerea acordului lor. Trebuie cerută consultanţă legală înaintea implementării
procedurilor de monitorizare.
62
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
Multe ţări au sau sunt în proces de introducere a legislaţiei împotriva utilizării abuzive a calculatorului.
Utilizarea calculatorului în scopuri neautorizate poate fi o faptă de natură penală. De aceea, este
important ca toţi utilizatorii să fie încunoştiinţaţi cu privire la scopul precis al accesului care li s-a acordat.
Acest lucru poate fi obţinut, spre exemplu, prin acordarea unei autorizări scrise utilizatorilor, o copie a
acesteia trebuind să fie semnată de utilizator şi păstrată la loc sigur de către organizaţie. Angajaţii unei
organizaţii şi utilizatorii terţi trebuie să fie avizaţi că nici un tip de acces nu este permis în afara celui
explicit autorizat.
La accesare va trebui să apară un mesaj de atenţionare pe ecranul calculatorului care să indice faptul că
sistemul în care se intră este privat şi accesul neautorizat nu este permis. Utilizatorul va trebui să
înţeleagă şi să reacţioneze în acord cu mesajul de pe ecran pentru a putea continua procesul de
accesare.
Unele ţări au implementat convenţii, legi, regulamente sau alte instrumente pentru a controla accesul sau
utilizarea controalelor criptografice. Astfel de controale vor include:
a)importul şi/sau exportul de hardware sau software pentru realizarea de funcţii criptografice;
b)importul şi/sau exportul de software sau hardware care este proiectat să i se poată ataşa funcţii
criptografice;
c)metode obligatorii sau opţionale de acces, reglementate de anumite ţări, pentru a asigura
confidenţialitatea conţinutului prin criptarea cu echipamente hardware sau software.
Va trebui cerută consiliere juridică pentru asigurarea conformităţii cu legislaţia naţională. înainte ca
informaţia criptată sau controalele criptografice să fie mutate în altă ţară trebuie cerută de asemenea
consiliere juridică.
Acolo unde acţiunea implică legea civilă sau penală dovada adusă va trebui să se conformeze regulilor
de efectuare a probei din legea relevantă sau regulilor specifice instanţei de judecată în care cazul în
care acţiunea va fi admisă. în general aceste reguli acoperă:
63
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Biue Project Software
SR ISO/CEI 17799:2004
a)pentru documentele pe hârtie: originalul este ţinut într-un loc sigur şi este înregistrată persoana
care l-a găsit, unde a fost găsit, când a fost găsit şi cine a fost martor la descoperire. Orice
investigaţie va trebui să asigure faptul că originalele nu sunt afectate;
b)pentru informaţia stocată pe calculator: trebuie făcute copii ale tuturor informaţiilor ţinute pe medii
de stocare care se pot şterge, ale informaţiilor de pe hard-discuri sau din memorie, pentru
asigurarea disponibilităţii lor. Trebuie păstrată o înregistrare a tuturor acţiunilor din timpul
procesului de copiere şi acest proces trebuie să aibă martori. O copie a datelor de pe mediul de
stocare şi a log-ului (jurnalul de înregistrare descris mai sus) trebuie păstrate în siguranţă.
Atunci când se detectează iniţial un incident, se poate întâmpla să nu fie evident că acesta va duce la
posibilitatea intentării unei acţiuni în justiţie. De aceea, există pericolul ca probele necesare să fie distruse
accidental înainte ca gravitatea incidentului să fie realizată pe deplin. Este recomandată implicarea cât mai
rapidă a unui avocat sau a poliţiei când se intenţionează intentarea unei acţiuni legale şi solicitarea consilierii
privind dovada necesară.
a)sisteme informatice;
b)furnizorii de sisteme;
c)proprietarii informaţiei şi a resurselor informaţionale;
d)utilizatorii;
e)managementul.
Proprietarii sistemelor informatice (a se vedea 5.1) trebuie supuşi analizării sistematice a conformităţii
sistemelor lor cu politicile de securitate, standardele şi orice alte cerinţe de securitate corespunzătoare.
Monitorizarea operaţională a utilizării sistemului este prezentată în 9.7.
De asemenea, verificarea conformităţii acoperă, de exemplu, testul de intruziune, care poate fi realizat de
experţi independenţi special contractaţi în acest scop. Acesta poate fi util pentru detectarea
vulnerabilităţilor din sistem şi pentru a verifica cât de eficiente sunt controalele în prevenirea accesului
neautorizat cauzat de aceste vulnerabilităţi. Trebuie luate precauţiile necesare în cazul în care reuşita
testului de intruziune ar putea conduce la compromiterea securităţii sistemului şi la exploatarea
nepotrivită a altor vulnerabilităţi.
64
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
Orice verificare a conformităţii tehnice ar trebui realizată doar de către, sau sub supravegherea unor
persoane competente autorizate.
Cerinţele de audit şi activităţile ce implică verificări ale sistemelor operaţionale trebuie planificate atent şi
în acord cu minimizarea riscului apariţiei perturbărilor in procesele afacerii. Se observă următoarele:
e)resursele de tehnologia informaţiei pentru realizarea verificărilor trebuie să fie identificate explicit
şi disponibilizate;
Accesul la instrumentele de audit, ca de exemplu software sau fişiere de date, trebuie să fie protejat
pentru a preveni orice utilizare abuzivă sau compromitere. Astfel de instrumente trebuie să fie separate
de sistemele de dezvoltare şi operaţionale şi nu vor fi stocate pe suport de înregistrare magnetic şi nici
păstrate în ariile de acces ale utilizatorilor, în afara cazului în care le este asigurat un nivel adecvat de
protecţie suplimentară.
65
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software