Documente Academic
Documente Profesional
Documente Cultură
Obiectivele temei:
Introducere în noțiunile de bază ale standardizării.
Prezentarea evoluției standardelor de securitate.
Caracterizarea generală a standardelor din familia ISO/IEC 27000.
Cuvinte-cheie:
standardizare,
ISO/IEC,
ISO27k,
sistem de management a
securității informației,
cod de bună practică,
tehnici de securitate,
audit şi certificare,
managementul
inciedntelor de securitate,
managementul riscului
securităţii informaţiei.
AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI
Prof. Edward Humphreys, unul dintre responsabilii pentru elaborarea multor dintre
standardele de securitate a spus: “Tehnicile de securitate standardizate devin cerinţe obligatorii
pentru comerţul electronic, mediul sanitar, telecomunicaţii, sectorul auto și multe alte domenii
industriale, comerciale sau guvernamentale.” Cuvintele sale au fost confirmate de-a lungul timpului
de experiența avută după implementarea acestor standarde, ele având un impact major în procesul
de asigurare a securității informațiilor în diversele domenii de activitate umană.
3.1. Introducere în standardizare
Securitatea informațiilor joacă un rol important în protejarea activelor unei organizații, însă
deoarece nu există o formulă unică care poate garanta 100% securitatea, este nevoie de un set de
criterii, reguli sau standarde pentru a contribui la asigurarea atingerii unui nivel adecvat de
securitate, la utilizarea resurselor în mod eficient, la adoptarea celor mai bune practici de securitate.
Rolul primordial în elaborarea standardelor îi revine Organizației Internaționale pentru
Standardizare (ISO), care împreună cu Comisia Internațională Electrotehnică (IEC) formează un
sistem internațional specializat pentru standardizarea mondială. Organismele naționale care sunt
membre ale ISO și IEC participă la dezvoltarea standardelor internaționale prin intermediul
comitetelor tehnice. Astfel, Statele Unite ale Americii, prin intermediul Institutului Național de
Standardizare (ANSI), ocupă poziția de Secretar, 24 de țări au statut de Participanți (Brazilia,
Franța, Regatul Unit al Marii Britanii, Coreea, Cehia, Germania, Danemarca, Belgia, Portugalia,
Japonia, Olanda, Irlanda, Norvegia, Africa de Sud, Australia, Canada, Finlanda, Suedia, Slovenia,
Elveția, Noua Zeelandă și Italia) și alte 40 de țări au statut de Observatori.
În conformitate cu ISO “standardul reprezintă documentul stabilit prin consens şi aprobat
de către un organism recunoscut, care furnizează pentru utilizări comune şi repetate, reguli, linii
directoare (guidelines) sau caracteristici pentru activităţi sau rezultatele lor, în scopul realizării
unui grad optim de ordine într-un context dat”. Aceasta definiție este bazată pe rolul și scopul
standardelor în lume la etapa modernă și stabilește importanța standardelor pentru orice organizație
sau companie, plasându-le, alături de reglementările tehnice, în rândul documentelor de referință
care trebuie să stea la baza politicilor și practicilor acestora.
Standardul, este cea mai buna și cea mai simplă cale posibila pentru a comunica, pentru a
cunoaște nivelul tehnic unanim acceptat pe plan național, european sau internațional în domeniul de
activitate al oricărei companii sau organizații și nu în ultimul rând, pentru proiectarea și dezvoltarea
practicilor de management.
Mii de astfel de standarde sunt disponibile tuturor companiilor sau organizațiilor care,
datorită limbajului comun al standardizării, le pot utiliza pentru a fi competente, competitive,
participante active fără dificultăți în comunicare pe piață aleasă ca țintă în activitate.
Tehnologii Informaționale 2
AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI
Tehnologii Informaționale 3
AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI
indiferent de forme şi mărimi. Toate organizaţiile sunt încurajate să îşi evalueze riscurile de
securitate a informaţiilor și apoi să le trateze (de regulă, folosind controalele de securitate a
informațiilor), în funcţie de nevoile lor, folosindu-se de îndrumări şi sugestii acolo unde este cazul.
Având în vedere natura dinamică a informaţiilor care trebuie protejate, SMSI încorporează un
concept continuu de feedback şi îmbunătăţire a activităţilor conform ciclului Deming PDCA (Plan-
Do-Check-Act sau Planifică-Implementează-Verifică-Acţionează) de abordare continuă, care caută
să abordeze schimbările în ameninţări, vulnerabilităţi de informaţii sau de impact asupra
incidentelor de securitate.
Standardele de securitate a informației își trag rădăcinile de la sfârșitul anilor 80 ai secolului
trecut, când compania olandezo-britanică Royal Dutch Shell elaborează un documentul intern -
Information Security Policy Manual.
În 1989 UK DTI CCSC (UK Department of Trade and Industry’s Commercial Computer
Security Centre), folosind ca bază documentul celor de la Shell, a elaborat și publicat ghidul pentru
securitatea informației pentru membrii săi - User’s Code of Practice. CCSC a scris, de asemenea și
Cartea verde (The Green Books), care fiind susținută de UK Government’s Communications
Electronics Security Group (CESG) a fost transformată în standardul ITSEC.
În 1993 același UK DTI CCSC prin intermediul British Standards Institution (BSI) a lansat
un document gratuit BSI-DISC PD003 - DTI Code of Practice for Information Security
Management).
În 1995 BSI a adoptat acest cod de practica a securității informației ca standard național al
Mari Britanii cu numărul BS 7799 - Code of Practice for Information Security Management. După
cum sugerează și numele, acest document oferă îndrumări practice privind managementul securității
informațiilor într-o organizație. El descrie 10 domenii și 127 mecanisme de control, necesare pentru
elaborarea unui sistem de management al securității informației, definite pe baza celor mai bune
exemple din practica mondială a timpului.
În 1998 Standardul BS 7799 este redenumit BS 7799 Partea 1, în legătură cu elaborarea
părții a doua: BS 7799 Part 2 Information Security Management Systems - Specification with
guidance for use. În acest standard a fost introdusă procedura de îmbunătățire a măsurilor de
securitate în conformitate cu ciclul Deming.
În 1999, după revizuire, standardul BS 7799-1 a fost emis din nou (cu modificări) și
transferat către Organizația Internațională de Standardizare, iar un an mai târziu Comitetul Tehnic
ISO a adoptat BS 7799-1 fără amendamente ca de standard internațional ISO/IEC 17799: 2000.
A doua parte a BS 7799 a fost revizuită în 2002, iar la sfârșitul anului 2005 a fost adoptat ca
standard internațional ISO/IEC 27001:2005 - Tehnologia Informației - Tehnici de securitate -
Tehnologii Informaționale 4
AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI
Tehnologii Informaționale 5
AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI
Tehnologii Informaționale 6
AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI
Tehnologii Informaționale 7
AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI
Acest standard internațional este conceput să fie utilizat de organizații care intenționează:
a) să aleagă mijloace de control în cadrul procesului de implementare a unui
sistem de management al securității informației pe baza ISO/IEC 27001;
b) să implementeze mijloace de control de securitate a informației general
acceptate;
c) să dezvolte propriile linii directoare referitoare la managementul securității
informației.
3.3.4. ISO/IEC 27003:2017
ISO/IEC 27003:2017, Tehnologia informaţiei - Tehnici de securitate - Îndrumări privind
implementarea unui sistem de management al securităţii informaţiei.
Standardul ISO/IEC 27003:2017 se concentrează pe aspectele critice necesare pentru
proiectarea şi implementarea cu succes a unui sistem de management al securităţii informaţiilor
(SMASI), în conformitate cu ISO/IEC 27001:2013.
Acesta descrie procesul de design şi specificaţii pentru un SMSI de la iniţiere şi până la
realizarea planurilor de implementare. Standardul ISO/IEC 27003:2017 descrie procesul de obţinere
a aprobării de implementare a unui SMSI, defineşte proiectul de implementare şi oferă îndrumări cu
privire la modul de concepere a unui proiect SMSI.
Preşedintele grupului de lucru ce a dezvoltat ISO/IEC 27003 (dar și alte standarde), prof.
Edward Humphreys, a menționat: “Prin utilizarea ISO/IEC 27003, organizaţia va fi capabilă să
dezvolte un proces pentru gestionarea informaţiilor de securitate, oferind părţilor interesate
asigurarea că riscurile legate de activele informaţionale sunt menţinute în permanenţă în parametrii
optimi de siguranţa, limite stabilite de însăşi organizaţia implementatoare”.
Standardul ISO/IEC 27003:2017 este destinat pentru a fi utilizat împreună cu standardele
ISO/IEC 27001:2013 şi ISO/IEC 27002:2013, fără a modifica sau elimina nici o prevedere stipulată
de cele două standarde. Acest standard oferă concepte legate de planificarea şi proiectarea unui
sistem de management al securităţii informaţiei, rezultând într-un final un plan riguros de
implementare a unui proiect SMSI.
Standardul furnizează îndrumări practice pentru diverse aspecte:
1) Obţinerea aprobării conducerii pentru iniţierea unui proiect SMSI:
aspecte generale privind obţinerea aprobării conducerii pentru iniţierea unui
proiect SMSI;
clarificarea priorităţilor organizaţiei pentru a dezvolta un SMSI;
definirea domeniului de aplicare preliminar al SMSI;
Tehnologii Informaționale 8
AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI
Tehnologii Informaționale 10
AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI
Tehnologii Informaționale 11
AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI
Tehnologii Informaționale 12
AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI
Tehnologii Informaționale 13
AC ADEMIA DE STUDII ECONOMICE A MOLDOVEI
Tehnologii Informaționale 14