“Tehnicile de securitate standardizate devin cerinţe

obligatorii pentru comerţul electronic, mediul sanitar,

telecomunicaţii, sectorul auto și multe alte domenii
industriale, comerciale sau guvernamentale.”
Prof. Edward Humphreys

TEMA 3: STANDARDE ÎN DOMENIUL SECURITĂȚII INFORMAȚIEI

Obiectivele temei:
 Introducere în noțiunile de bază ale standardizării.
 Prezentarea evoluției standardelor de securitate.
 Caracterizarea generală a standardelor din familia ISO/IEC 27000.

Cuvinte-cheie:
standardizare,
ISO/IEC,
ISO27k,
sistem de management a
securității informației,
cod de bună practică,
tehnici de securitate,
audit şi certificare,
managementul
inciedntelor de securitate,
managementul riscului
securităţii informaţiei.
 AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI

Prof. Edward Humphreys, unul dintre responsabilii pentru elaborarea multor dintre
standardele de securitate a spus: “Tehnicile de securitate standardizate devin cerinţe obligatorii
pentru comerţul electronic, mediul sanitar, telecomunicaţii, sectorul auto și multe alte domenii
industriale, comerciale sau guvernamentale.” Cuvintele sale au fost confirmate de-a lungul timpului
de experiența avută după implementarea acestor standarde, ele având un impact major în procesul
de asigurare a securității informațiilor în diversele domenii de activitate umană.
3.1. Introducere în standardizare
Securitatea informațiilor joacă un rol important în protejarea activelor unei organizații, însă
deoarece nu există o formulă unică care poate garanta 100% securitatea, este nevoie de un set de
criterii, reguli sau standarde pentru a contribui la asigurarea atingerii unui nivel adecvat de
securitate, la utilizarea resurselor în mod eficient, la adoptarea celor mai bune practici de securitate.
Rolul primordial în elaborarea standardelor îi revine Organizației Internaționale pentru
Standardizare (ISO), care împreună cu Comisia Internațională Electrotehnică (IEC) formează un
sistem internațional specializat pentru standardizarea mondială. Organismele naționale care sunt
membre ale ISO și IEC participă la dezvoltarea standardelor internaționale prin intermediul
comitetelor tehnice. Astfel, Statele Unite ale Americii, prin intermediul Institutului Național de
Standardizare (ANSI), ocupă poziția de Secretar, 24 de țări au statut de Participanți (Brazilia,
Franța, Regatul Unit al Marii Britanii, Coreea, Cehia, Germania, Danemarca, Belgia, Portugalia,
Japonia, Olanda, Irlanda, Norvegia, Africa de Sud, Australia, Canada, Finlanda, Suedia, Slovenia,
Elveția, Noua Zeelandă și Italia) și alte 40 de țări au statut de Observatori.
În conformitate cu ISO “standardul reprezintă documentul stabilit prin consens şi aprobat
de către un organism recunoscut, care furnizează pentru utilizări comune şi repetate, reguli, linii
directoare (guidelines) sau caracteristici pentru activităţi sau rezultatele lor, în scopul realizării
unui grad optim de ordine într-un context dat”. Aceasta definiție este bazată pe rolul și scopul
standardelor în lume la etapa modernă și stabilește importanța standardelor pentru orice organizație
sau companie, plasându-le, alături de reglementările tehnice, în rândul documentelor de referință
care trebuie să stea la baza politicilor și practicilor acestora.
Standardul, este cea mai buna și cea mai simplă cale posibila pentru a comunica, pentru a
cunoaște nivelul tehnic unanim acceptat pe plan național, european sau internațional în domeniul de
activitate al oricărei companii sau organizații și nu în ultimul rând, pentru proiectarea și dezvoltarea
practicilor de management.
Mii de astfel de standarde sunt disponibile tuturor companiilor sau organizațiilor care,
datorită limbajului comun al standardizării, le pot utiliza pentru a fi competente, competitive,
participante active fără dificultăți în comunicare pe piață aleasă ca țintă în activitate.

Tehnologii Informaționale 2
 AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI

Legile, reglementările tehnice și prevederile administrative au caracter obligatoriu.

Cunoașterea și respectarea lor ajută la evoluția societăților comerciale pe piață. Standardele
naționale, europene și internaționale, standardele profesionale sau de firmă pot fi aplicate prin
asumarea voluntară. Decizia aplicării unui standard sau standarde aparținând unui organism de
standardizare se ia având în vedere piața căreia i se adresează produsul, capacitatea tehnică
disponibilă de realizare a prevederilor din standardele relevante pentru un anumit produs sau proces,
nivelul tehnic, propria activitate de cercetare, proiectare de produse noi, îndreptată în scopul
ocupării unei poziții superioare în piață sau pentru pătrunderea pe noi piețe.
Cunoașterea și respectarea standardelor asigură competența societăților comerciale, fiind un
factor determinant al succesului activității în cadrul unei piețe unice.
Noțiunea de voluntariat presupune asumarea pe proprie răspundere a aplicării standardelor,
fapt care ridică pe un plan superior responsabilitatea managementului, a actului de concepție,
proiectare, realizare și comercializare a produsului.
Standardele pot să joace și un rol important în legislație, în special, în reglementările
tehnice. Daca un legislator include standardele într-un document legal sau face referințe la ele într-
un fel sau altul, standardele obțin o calitate legala. Astfel standardele devin o parte a cerințelor unui
anumit document legislativ sau unui anumit sistem.
La fel ca oricare altele, standardele pentru asigurarea securității sistemelor informatice devin
esențiale în astfel de circumstanțe. Standardele pot defini sfera de aplicare a funcțiilor și
caracteristicilor de securitate necesare, politicile de gestionare a informațiilor și a resurselor umane,
criteriile de evaluare a eficacității măsurilor de securitate, tehnicile pentru evaluarea continuă a
securității și monitorizarea continuă a încălcărilor securității și procedurile de tratare a securității
eșecuri.
3.2. Evoluția standardelor de securitate
Cele mai bune practici necesare pentru crearea, dezvoltarea și întreținerea sistemelor de
management al securității informației (SMSI) pentru o bună activitate a întreprinderilor sunt incluse
în familia (seria) de standarde ISO27k (sau ISO/IEC 27000), care conține la momentul actual nu mai
puțin de 40 de standarde publicate, altele fiind în proces de elaborare sau sunt planificate pentru a fi
elaborate ulterior (https://www.iso.org/committee/45306/x/catalogue/). Aceste standarde de
securitate sunt publicate în comun de către Organizaţia Internaţională pentru Standardizare şi
Comisia Electrotehnică Internaţională. Ele sunt produsul activității comitetului ISO/IEC JTC1,
subcomitetului SC27, o comisie internaţională membrii căreia se întrunesc de două ori pe an.
Seria are un domeniul larg de aplicare, care acoperă problemele conexe triadei CIA dar și
problemele de securitate tehnice sau IT. Aceste standarde se aplică pentru toate organizaţiile

Tehnologii Informaționale 3
 AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI

indiferent de forme şi mărimi. Toate organizaţiile sunt încurajate să îşi evalueze riscurile de
securitate a informaţiilor și apoi să le trateze (de regulă, folosind controalele de securitate a
informațiilor), în funcţie de nevoile lor, folosindu-se de îndrumări şi sugestii acolo unde este cazul.
Având în vedere natura dinamică a informaţiilor care trebuie protejate, SMSI încorporează un
concept continuu de feedback şi îmbunătăţire a activităţilor conform ciclului Deming PDCA (Plan-
Do-Check-Act sau Planifică-Implementează-Verifică-Acţionează) de abordare continuă, care caută
să abordeze schimbările în ameninţări, vulnerabilităţi de informaţii sau de impact asupra
incidentelor de securitate.
Standardele de securitate a informației își trag rădăcinile de la sfârșitul anilor 80 ai secolului
trecut, când compania olandezo-britanică Royal Dutch Shell elaborează un documentul intern -
Information Security Policy Manual.
În 1989 UK DTI CCSC (UK Department of Trade and Industry’s Commercial Computer
Security Centre), folosind ca bază documentul celor de la Shell, a elaborat și publicat ghidul pentru
securitatea informației pentru membrii săi - User’s Code of Practice. CCSC a scris, de asemenea și
Cartea verde (The Green Books), care fiind susținută de UK Government’s Communications
Electronics Security Group (CESG) a fost transformată în standardul ITSEC.
În 1993 același UK DTI CCSC prin intermediul British Standards Institution (BSI) a lansat
un document gratuit BSI-DISC PD003 - DTI Code of Practice for Information Security
Management).
În 1995 BSI a adoptat acest cod de practica a securității informației ca standard național al
Mari Britanii cu numărul BS 7799 - Code of Practice for Information Security Management. După
cum sugerează și numele, acest document oferă îndrumări practice privind managementul securității
informațiilor într-o organizație. El descrie 10 domenii și 127 mecanisme de control, necesare pentru
elaborarea unui sistem de management al securității informației, definite pe baza celor mai bune
exemple din practica mondială a timpului.
În 1998 Standardul BS 7799 este redenumit BS 7799 Partea 1, în legătură cu elaborarea
părții a doua: BS 7799 Part 2 Information Security Management Systems - Specification with
guidance for use. În acest standard a fost introdusă procedura de îmbunătățire a măsurilor de
securitate în conformitate cu ciclul Deming.
În 1999, după revizuire, standardul BS 7799-1 a fost emis din nou (cu modificări) și
transferat către Organizația Internațională de Standardizare, iar un an mai târziu Comitetul Tehnic
ISO a adoptat BS 7799-1 fără amendamente ca de standard internațional ISO/IEC 17799: 2000.
A doua parte a BS 7799 a fost revizuită în 2002, iar la sfârșitul anului 2005 a fost adoptat ca
standard internațional ISO/IEC 27001:2005 - Tehnologia Informației - Tehnici de securitate -

Tehnologii Informaționale 4
 AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI

Sisteme de management al securității informației - Cerințe. Odată cu lansarea ISO/IEC 27001

specificațiile SMSI au dobândit un statut internațional, iar de atunci s-a atestat o creștere
semnificativă a rolului și prestigiului SMSI certificate în conformitate cu standardul ISO 27001. În
același an 2005 standardul ISO/IEC 17799 a fost inclus în gama de standarde 27k cu numărul
ISO/IEC 27002: 2005. De fapt, din 2005 își începe existență gama de standarde internaționale ISO
27k.
La începutul anului 2006, a fost adoptat noul standard național britanic BS 7799-3 -
Information security management systems - Guidelines for information security risk management în
domeniul administrării riscurilor de securitate a informației, care în anul 2008 a fost aprobat ca
standard ISO/IEC 27005.
3.3. Familia de standarde ISO/IEC 27000
În continuare vom analiza cu unele detalii câteva standarde din familia ISO/IEC 27000, în
special acelea care au alcătuit piatra de temelie a acestei familii la debutul ei.
3.3.1. ISO/IEC 27000:2016
ISO/IEC 27000:2016, Tehnologia informaţiei - Tehnici de securitate - Sisteme de
management al securităţii informaţiei - Prezentare generală şi vocabular.
Acest standard oferă o imagine de ansamblu a sistemelor de management al securităţii
informaţiei ce fac obiectul familiei de standarde şi defineşte termenii din domeniu.
Un sistem de management al securităţii informaţiei reprezintă o abordare sistematică a
managementului informaţiei astfel încât aceasta să îndeplinească cele 3 aspecte ale securităţii:
confidenţialitatea, integritatea şi disponibilitatea. Sistemul de management al securităţii informaţiei
implică atât echipamentele hardware şi procesele software, cât şi întregul personal al unei orga-
nizaţii ce are acces la sistemul informaţional.
Ca rezultat al implementării standardului ISO/IEC 27000:2016, toate tipurile de organizaţii
(de exemplu societăţile comerciale, agenţiile guvernamentale sau organizaţiile non-profit) pot
obţine:
 o imagine de ansamblu asupra familiei ISMS de standarde;
 o introducere în sistemele de management al securităţii informaţiei;
 o scurtă descriere a procesului PDCA;
 o înţelegere a termenilor şi definiţiilor utilizate în întreaga familie ISMS de standarde.
Standardul ISO/IEC 27000:2016 împreună cu standardele din familia ISO/IEC 27000 are
scopul de a ajuta organizaţiile să obţină un nivel cât mai ridicat al securităţii informaţionale.
Obiectivele standardului ISO/IEC 27000:2016 sunt de a oferi termeni, definiţii şi o introducere în
familia de standarde SMSI care:

Tehnologii Informaționale 5
 AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI

 definesc cerinţele pentru sistemele de management a securităţii informaţiei şi pentru cele

care certifică aceste sisteme;
 oferă suport, îndrumare detaliată şi/sau interpretare a cerinţelor şi proceselor PDCA;
 oferă îndrumări pentru secţiunile specifice din familia ISMS de standarde;
 oferă evaluări pentru familia ISMS.
3.3.2. ISO/IEC 27001:2013
ISO/IEC 27001:2013, Tehnologia informaţiei - Tehnici de securitate - Specificaţii ale
sistemelor de management al securităţii informaţiei.
Standardul ISO/IEC 27001:2013 (fostul BS 7799-2:2002) specifică cerinţele pentru
stabilirea, implementarea, operarea, monitorizarea, revizuirea, menţinerea şi îmbunătăţirea unui
sistem de management al securităţii informaţiei documentat în contextul riscurilor generale de
afaceri ale organizaţiilor. Acest standard specifică cerinţele pentru implementarea unor mijloace de
control de securitate personalizate nevoilor organizaţiilor.
ISO/IEC 27001:2013 este menit să asigure o selecţie de mijloace de control de securitate
adecvate ce protejează informaţiile şi oferă încredere părţilor interesate.
Este potrivit pentru diferite tipuri de utilizare, inclusiv pentru:
 formularea obiectivelor şi cerinţelor de securitate a organizaţiilor;
 asigurarea că riscurile de securitate sunt gestionate în mod eficient din punct de vedere al
costului;
 asigurarea unei conformităţi cu legislaţia şi diverse reglementări;
 implementarea şi gestionarea proceselor existente de management al securităţii
informaţiei;
 definirea de noi procese de management al securităţii informaţiei;
 identificarea şi clarificarea proceselor existente de management al securităţii informaţiei;
 utilizarea lui de către conducerea organizaţiilor pentru a determina starea activităţilor de
management al securităţii informaţiei;
 utilizarea de către auditorii interni şi externi ai organizaţiilor pentru a determina gradul
de conformitate cu politicile, directivele şi standardele adoptate de către organizaţie;
 furnizarea de informaţii relevante despre politicile de securitate a informaţiei,
directivele, standardele şi procedurile către partenerii comerciali şi alte organizaţii cu
care organizaţia interacţionează, din motive operaţionale sau comerciale;
 punerea în aplicare a afacerii, activând securitatea informaţiei;
 furnizarea de informaţii relevante despre securitatea informaţiei clienţilor organizaţiei.
3.3.3 ISO/IEC 27002:2013

Tehnologii Informaționale 6
 AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI

ISO/IEC 27002:2013, Tehnologia informației - Tehnici de securitate - Cod de bună practică

pentru managementul securității informației.
Standardul ISO/IEC 27002:2013 este fostul standard ISO/IEC 17799:2005 căruia i s-a
schimbat numele pentru a face parte din seria ISO 27000 dedicată securităţii informaţiei. Stabileşte
principiile generale pentru iniţierea, implementarea, menţinerea şi îmbunătăţirea managementului
securităţii informaţiei într-o organizaţie.
Obiectivul său este să furnizeze indicaţii generale privind obiectivele general acceptate în
managementul securităţii informaţiilor. Standardul ISO/IEC 27002:2013 conţine cele mai bune
practici de control în următoarele domenii de management al securităţii informaţiei:
 politica de securitate;
 organizarea securităţii informaţiei;
 managementul activelor;
 securitatea resurselor umane;
 securitatea fizică şi a mediului înconjurător;
 managementul comunicaţiilor şi al operaţiilor;
 controlul accesului;
 achiziţionarea sistemelor informaţionale, dezvoltarea şi mentenanţa lor;
 managementul incidentelor de securitate a informaţiilor;
 managementul afacerii continue.
Obiectivele de control în standardul ISO/IEC 27002:2013 sunt destinate să fie puse în
aplicare pentru a îndeplini cerinţele identificate printr-o evaluare a riscului. Standardul este
conceput ca un ghid practic pentru dezvoltarea standardelor de securitate organizaţională şi
practicele efective de management al securităţii şi pentru a ajuta la construirea încrederii în activităţi
inter-organizaţionale.
Standardul poate fi utilizat ca referință în alegerea mijloacelor de control în cadrul
proceselor de implementare a unui sistem de management al securității informației (SMSI) sau ca
document de îndrumare pentru organizațiile care implementează mijloace de control de securitate a
informației general acceptate. De asemenea, standardul este destinat elaborării de linii directoare de
management al securității informației specifice domeniului de activitate sau organizațiilor, luând în
considerare mediul lor specific privind riscurile de securitate a informației.
ISO/IEC 27002:2013 furnizează linii directoare pentru standardele de securitate a
informației și practicile de management al securității informației ale organizației, inclusiv alegerea,
implementarea și managementul mijloacelor de control, cu luarea în considerare a mediului de risc
de securitate a informației al organizației.

Tehnologii Informaționale 7
 AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI

Acest standard internațional este conceput să fie utilizat de organizații care intenționează:
a) să aleagă mijloace de control în cadrul procesului de implementare a unui
sistem de management al securității informației pe baza ISO/IEC 27001;
b) să implementeze mijloace de control de securitate a informației general
acceptate;
c) să dezvolte propriile linii directoare referitoare la managementul securității
informației.
3.3.4. ISO/IEC 27003:2017
ISO/IEC 27003:2017, Tehnologia informaţiei - Tehnici de securitate - Îndrumări privind
implementarea unui sistem de management al securităţii informaţiei.
Standardul ISO/IEC 27003:2017 se concentrează pe aspectele critice necesare pentru
proiectarea şi implementarea cu succes a unui sistem de management al securităţii informaţiilor
(SMASI), în conformitate cu ISO/IEC 27001:2013.
Acesta descrie procesul de design şi specificaţii pentru un SMSI de la iniţiere şi până la
realizarea planurilor de implementare. Standardul ISO/IEC 27003:2017 descrie procesul de obţinere
a aprobării de implementare a unui SMSI, defineşte proiectul de implementare şi oferă îndrumări cu
privire la modul de concepere a unui proiect SMSI.
Preşedintele grupului de lucru ce a dezvoltat ISO/IEC 27003 (dar și alte standarde), prof.
Edward Humphreys, a menționat: “Prin utilizarea ISO/IEC 27003, organizaţia va fi capabilă să
dezvolte un proces pentru gestionarea informaţiilor de securitate, oferind părţilor interesate
asigurarea că riscurile legate de activele informaţionale sunt menţinute în permanenţă în parametrii
optimi de siguranţa, limite stabilite de însăşi organizaţia implementatoare”.
Standardul ISO/IEC 27003:2017 este destinat pentru a fi utilizat împreună cu standardele
ISO/IEC 27001:2013 şi ISO/IEC 27002:2013, fără a modifica sau elimina nici o prevedere stipulată
de cele două standarde. Acest standard oferă concepte legate de planificarea şi proiectarea unui
sistem de management al securităţii informaţiei, rezultând într-un final un plan riguros de
implementare a unui proiect SMSI.
Standardul furnizează îndrumări practice pentru diverse aspecte:
1) Obţinerea aprobării conducerii pentru iniţierea unui proiect SMSI:
 aspecte generale privind obţinerea aprobării conducerii pentru iniţierea unui
proiect SMSI;
 clarificarea priorităţilor organizaţiei pentru a dezvolta un SMSI;
 definirea domeniului de aplicare preliminar al SMSI;

Tehnologii Informaționale 8
 AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI

 elaborarea analizei afacerii şi a planului proiectului pentru aprobare de către

conducere;
2) Definirea domeniului de aplicare, a frontierelor şi a politicii SMSI:
 aspecte generale privind definirea domeniului de aplicare, a frontierelor şi a
politicii SMSI;
 definirea domeniului de aplicare organizaţional şi a frontierelor sale;
 definirea domeniului de comunicaţii şi tehnologia informaţiei şi a frontierelor
acestuia;
 definirea domeniului fizic şi a frontierelor acestuia;
 integrarea fiecărui domeniu şi a frontierelor acestuia pentru a obţine
domeniul de aplicare al SMSI şi a frontierelor sale;
 dezvoltarea politicii SMSI şi obţinerea aprobării din partea conducerii;
3) Realizarea analizei cerinţelor privind securitatea informaţiei:
 aspecte generale privind realizarea analizei cerinţelor privind securitatea
informaţiei;
 definirea cerinţelor de securitate a informaţiei pentru procesele SMSI;
 identificarea resurselor din domeniul de aplicare al SMSI;
 realizarea unei evaluări a securităţii informaţiei;
4) Realizarea aprecierii riscului şi planificarea tratării riscului:
 aspecte generale privind realizarea evaluării riscului şi planificarea tratării
riscului;
 realizarea evaluării riscului;
 selectarea obiectivelor de control şi a mijloacelor de control;
 obţinerea autorizării de către conducere pentru implementarea şi funcţionarea
SMSI;
5) Proiectarea SMSI:
1. aspecte generale privind proiectarea SMSI;
2. proiectarea securităţii informaţiei organizaţionale;
3. proiectarea securităţii informaţiei TIC şi fizice;
4. proiectarea securităţii informaţiei specifică SMSI;
5. realizarea planului final al proiectului SMSI;
De asemenea, standardul cuprinde şi cinci anexe informative referitoare la:
1. lista de verificări;
2. rolurile şi responsabilităţile pentru securitatea informaţiei;
Tehnologii Informaționale 9
 AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI

3. informaţii despre auditul intern;

4. structura politicilor;
5. monitorizare şi măsurare.
3.3.5. ISO/IEC 27004:2016
ISO/IEC 27004:2016, Tehnologia informaţiei - Tehnici de securitate - Managementul
securităţii informaţiei – Evaluări.
Acest standard furnizează îndrumări pentru elaborarea și utilizarea măsurilor și a măsurării
în vederea evaluării eficacității unui SMSI implementat și a mijloacelor de control sau grupurilor de
mijloace de control, așa cum este specificat în ISO/IEC 27001.
Programul de măsurare a securității informației va ajuta managementul să identifice și să
evalueze procesele și mijloacele de control SMSI care nu sunt conforme și eficace și să stabilească
priorități pentru acțiunile asociate cu îmbunătățirea sau modificarea acestor procese și/sau mijloace
de control. De asemenea, acesta poate ajuta organizația să demonstreze conformitatea cu ISO/IEC
27001 și să furnizeze dovezi suplimentare pentru procesele de analiză de către management și
pentru procesele de management al riscului de securitate a informației.
Acest standard are la bază ipoteza că elaborarea măsurilor și a măsurării pornește de la o
profundă înțelegere a riscurilor de securitate a informației pe care o organizație le întâmpină și că
activitățile de evaluare a riscului ale organizației s-au desfășurat corect (adică pe baza ISO/IEC
27005), așa cum este cerut de ISO/IEC 27001. Programul de măsurare a securității informației va
încuraja o organizație să furnizeze părților interesate relevante informații de încredere referitoare la
riscurile de securitate a informației și la stadiul managementului acestor riscuri în SMSI
implementat.
După implementarea efectivă, programul de măsurare a securității informației va îmbunătăți
încrederea părților interesate în rezultatele măsurării și va permite părților interesate să utilizeze
aceste măsuri pentru îmbunătățirea continuă a securității informației și a SMSI.
Rezultatele acumulate ale măsurării vor permite compararea progresului obținut în atingerea
obiectivelor de securitate a informației pe un interval de timp, ca parte a procesului de îmbunătățire
continuă a SMSI-ului organizației.
3.3.6. ISO/IEC 27005:2011
ISO/IEC 27005:2011, Tehnologia informaţiei - Tehnici de securitate - Managementul
riscului securităţii informaţiei.
Standardul ISO/IEC 27005:2011 stabileşte ghidul pentru managementul riscului securităţii
informaţiei. Susţine conceptele generale specificate în ISO/IEC 27001 şi este conceput pentru a

Tehnologii Informaționale 10
 AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI

asista la punerea cu succes în aplicare a securităţii informaţiilor bazate pe o abordare de

management al riscului.
Cunoaşterea de concepte, modele, procese şi terminologia descrisă în ISO/IEC 27001 şi
ISO/IEC 27002 este importantă pentru o înţelegere completă a ISO/IEC 27005:2011. Acest
standard este aplicabil tuturor tipurilor de organizaţii (societăţi comerciale, agenţii guvernamentale
sau organizaţii non-profit) care intenţionează să gestioneze riscurile care ar putea compromite
securitatea informaţiilor dintr-o organizaţie.
Standardul ISO/IEC 27005:2011 oferă directorilor și angajaților din departamentele IT o
platformă de dezvoltare pentru implementarea unei abordări orientată spre gestionarea riscurilor
care să îi ajute în administrarea riscurilor legate de sistemul de management al securității
informației.
Edward Humphreys, organizatorul grupului de lucru ISO/IEC care a dezvoltat standardul,
comentează: “ISO/IEC 27005:2011 este un standard esențial pentru aceia care doresc să își
gestioneze riscurile eficient și, mai ales, să fie în conformitate cu popularul standard al sistemului
de management al securității informației ISO/IEC 27001. Managementul riscului este decisiv pentru
o conducere bună a afacerii, iar acest standard ajută organizațiile cu sfaturi despre de ce, ce și cum
să fie gestionate riscurile legate de securitatea informației în sprijinul obiectivelor lor de
conducere.”
În această a doua ediție, cadrul subliniat în ISO/IEC 27005 a fost trecut în revistă și
actualizat pentru a reflecta conținutul documentelor de management al riscului:
 ISO 31000:2009, Managementul riscului – Principii și linii directoare;
 ISO/IEC 31010:2009, Managementul riscului – Tehnici de evaluare a riscului;
 ISO Guide73:2009, Managementul riscului – Vocabular.
Standardul ISO/IEC 27005:2011 a fost conceput cu intenția de a se alinia strâns lui ISO
31000:2009, cu scopul de a ajuta organizațiile care doresc să își gestioneze riscurile securității
informației într-o manieră similară celei în care își gestionează “alte” riscuri.
Procesul de management al riscurilor legate de securitatea informației constă din:
 stabilirea contextului;
 evaluarea riscului;
 tratarea riscului;
 acceptarea riscului;
 comunicarea riscului;
 monitorizarea și analizarea riscului.

Tehnologii Informaționale 11
 AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI

Cu toate acestea, ISO 27005:2011 nu oferă nici o metodologie specifică pentru

managementul riscurilor legate de securitatea informației, ci o abordare generală. Rămâne la
latitudinea organizației să-și definească abordarea față de managementul riscului în funcție, de
pildă, de domeniul sistemului de management al securității informației, bazându-se pe contextul
managementului riscului sau pe sectorul industrial în care activează.
3.3.7. ISO/IEC 27006:2015
ISO/IEC 27006:2015, Tehnologia informaţiei - Tehnici de securitate - Cerinţe pentru
organizaţiile ce efectuează audit şi certificare a sistemelor de management al securităţii
informaţiei.
Standardul ISO/IEC 27006:2015 specifică cerinţele şi oferă îndrumări pentru organizaţiile ce
efectuează audit şi certificare a sistemului de management al securităţii informaţiilor. Standardul
este în esenţă destinat să sprijine acreditarea organismelor de certificare ce oferă certificare a
sistemului de management a securităţii informaţiilor.
Cerinţele cuprinse în ISO/IEC 27006:2015 trebuie să fie demonstrate în termeni de
competenţă şi fiabilitate de către orice organizaţie de certificare a SMSI iar orientările cuprinse în
ISO/IEC 27006:2015 oferă servicii de interpretare adiţionale a acestor cerinţe pentru orice
organizaţie de certificare a SMSI.
3.3.8. ISO/IEC 27011:2016
ISO/IEC 27011:2016, Tehnologia informaţiei - Tehnici de securitate - Ghidul
managementului securităţii informaţiei pentru organizaţiile din domeniul telecomunicaţiilor bazat
pe standardul ISO/IEC 27002.
Scopul acestui standard este de a defini îndrumări în sprijinul implementării
managementului securităţii informaţiilor în cadrul organizaţiilor de telecomunicaţii. Adoptarea
prezentului standard va permite companiilor de telecomunicaţii să întrunească cerinţele de bază ale
managementului securităţii informaţiilor: confidenţialitate, integritate şi disponibilitate, precum şi
orice altă proprietate relevantă de securitate.
3.3.9. ISO/IEC 27032:2012
ISO/IEC 27032:2012 - Tehnologia informaţiei - Tehnici de securitate - Ghid pentru
securitatea cibernetică.
Acest standard oferă un cadru pentru partajarea informaţiilor, coordonare şi tratarea
incidentelor. Standardul oferă documentaţia necesară pregătirii sistemului informatic împotriva
atacurilor, detectării şi monitorizării acestora. Utilizatorii vor putea răspunde în mod adecvat unor
atacuri cum ar fi malware, spyware sau inginerie socială.

Tehnologii Informaționale 12
 AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI

Potrivit organizatorului grupului de lucru responsabil de elaborarea acestui standard, Johann

Amsenga, faptul că reţelele care alcătuiesc spaţiul virtual le aparţin mai multor proprietari stă la
baza mai multor probleme de securitate, deoarece aceştia nu comunică între ei şi au o percepţie
diferită asupra securităţii din cauza diferenţelor dintre activităţile pe care le desfăşoară şi dintre
reglementările pe care le aplică. În acest context, standardul ISO 27032 reprezintă o soluţie globală
care va ajuta la atenuarea riscurilor care ameninţă securitatea cibernetică.
3.3.10. ISO/IEC 27035:2016
ISO/IEC 27035:2016 - Tehnologia informaţiei - Tehnici de securitate – Managementul
incidentelor legate de securitatea informației.
ISO 27035:2016 constă din trei părți (27035-1, 27035-2, 27035-3) care oferă instrucțiuni
despre detectarea, raportarea și evaluarea incidentelor și vulnerabilităților legate de securitatea
informației. El înlocuiește raportul tehnic ISO/IEC TR 18044:2004 și sprijină conceptele generale
specificate în ISO/IEC 27001:2013.
Noul standard ISO 27035 poate fi aplicat de orice organizație, indiferent de mărimea sa. El
acoperă o serie de incidente legate de securitatea informației, deliberate sau accidentale, cauzate
prin mijloace fizice sau tehnice.
ISO/IEC 27035 stabilește o abordare structurată și planificată privind:
 detectarea, raportarea și evaluarea incidentelor de securitate a informațiilor;
 reacția la incidentele de securitate a informațiilor și gestionarea lor;
 detectarea, evaluarea și gestionarea vulnerabilităților de securitate a informațiilor;
 îmbunătățirea permanentă a securității informațiilor și gestionarea incidentelor, ca
urmare a gestionării incidentelor de securitate a informațiilor și a vulnerabilităților.
De reținut că standardul include managementul vulnerabilităților, precum și gestionarea
incidentelor.
ISO 27035 oferă mai multe avantaje:
 îmbunătățirea întregii securități a informației;
 reducerea impactului negativ asupra afacerii;
 consolidarea unor elemente ca atenția acordată prevenirii incidentelor, stabilirea lor
ca prioritate și strângerea de dovezi referitor la ele;
 contribuția adusă justificării bugetului și resurselor;
 îmbunătățirea actualizărilor aduse evaluării riscului legat de securitatea informației și
a rezultatelor manageriale;
 oferirea de materiale pentru programele de formare și de conștientizare la problemele
securității informației;

Tehnologii Informaționale 13
 AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI

 furnizarea de date de intrare necesare politicilor privind securitatea informației și de

analize ale documentației asociate.
Lista completă de standarde ale securității informației poate fi vizualizată pe pagina oficială
a ISO https://www.iso.org/ics/35.030/x/. În această listă sunt prezentate atât standardele publicate,
cât și cele în curs elaborare, standardele retrase și proiectele eliminate.

Întrebări și subiecte pentru aprofundarea cunoștințelor și lucrul individual

1. Care este rolul standardelor în asigurarea securității informației în cadrul unei
întreprinderi sau organizații?
2. Cine este responsabil la nivel internațional de elaborarea standardelor de securitate a
informației? Descrieți succint fiecare astfel de organism internațional.
3. Descrieți structură responsabilă în RM pentru elaborarea standardelor de securitate a
informației. Care este regulamentul de bază în vederea aprobării standardelor externe
ca standarde moldovenești?
4. Care dintre standardele familiei ISO 27000 poate fi supus certificării. Este oare
certificarea benevolă sau obligatorie? Pentru ce servesc celelalte standarde ale
familiei ISO 27000?
5. Faceți o descriere succintă a standardelor care au stat la baza familiei de standarde de
securitate ISO 27000.

Tehnologii Informaționale 14