Documente Academic
Documente Profesional
Documente Cultură
SISTEMELOR INFORMATICE
Managementul Sistemelor Informatice – Modul IV
An universitar 2020/2021
REPERE DE CONTINUT
▪ Managementul securitatii informatiei
• Scop principal
• Concepte fundamentale
▪ Principii privind securitatea informatiilor
• Clasificarea informatiilor prin prisma cerintelor de
securitate IT
• Principii generale
▪ Standarde privind securitatea IT
• ISO 27001
o Politica de securitate informatica
o Gestiunea riscurilor de securitate IT
o Securitatea personalului
o Controlul accesului
• GDPR
o Generalitati
o Procese specifice
o Drepturi ale persoanelor vizate de politica GDPR
• DIRECTIVA NIS
o Norme tehnice privind aplicarea directivei NIS
MANAGEMENTUL
SECURITATII
INFORMATIEI
MANAGEMENTUL Scop fundamental:
SECURITATII Crearea unui anumit nivel de non-vulnerabilitate a organizatiei,
Securitate (in sensul Protecţia activelor informaţionale – stocate, tratate, partajate, transmise sau
extrase de pe un suport electronic - în faţa ameninţărilor care conduc la
aplicat informatiei) distrugere, divulgare, sau inaccesibilitate
Securitate Diferite mecanisme, instrumente, proceduri sau tehnici care asigură protecţia
informatica sistemelor, a reţelelor informatice si de comunicatie
Securitatea informatica in
80% 61%
70%
organizatii
60%
50% 33%
40% 24% 21%
30% 13%
20% Date Eurostat (martie 2020)
10%
0%
Folosesc cel Detin politici si Politicile si
putin o masura proceduri scrise procedurile
Constientizeaza Au fost afectate Detin asigurari
utilizatorii de incidente de impotriva
Sursa:
de securitate
informatica
privind
securitatea
scrise au fost
revizuite in
privind securitate
obligatiile ce le informatica in
incidentelor de
securitate
https://ec.europa.eu/eurostat/statistics-
informatica ultimele 12 luni revin in
domeniul
anul anterior informatica explained/index.php?title=ICT_security_in
securitatii
informatice
_enterprises
PRINCIPII
PRIVIND
SECURITATEA
INFORMATIILOR
CLASIFICAREA INFORMATIILOR
prin prisma cerintelor de securitate informatica
Informatii publicate folosind canale Informatii folosite exclusive in cadrul Informatii accesibile strict anumitor Informatii accesibile in general doar
de comunicare externa. organizatiei. categorii de utilizatori. managementului.
▪ ISO 27001 – Standard international de ▪ GDPR – Regulament al Uniunii ▪ Directiva NIS (Network and Information
certificare a sistemelor de securitate a Europene privind protecția datelor cu Systems) privind asigurarea unui nivel
informatiilor caracter personal, aplicabil incepand comun ridicat de securitate a rețelelor și
▪ Parte a familiei de standard ISO27000: cu 25.05.2018 sistemelor informatice
o ISO27002 – Ghid de bune ▪ Regulament pus in aplicare in Romania ▪ Reglementata in Romania prin Legea
practice, Masuri de Securitate prin Legea 190/2018 362/2018, intrata in vigoare la 12.01.2019.
o ISO27003 – Standard privind ▪ Nerespectarea reglementarilor GDPR ▪ Este aplicabila:
proiectarea si implementarea atrage amenzi foarte ridicate (până la o Operatorilor de Servicii Esentiale
unui SMSI 20 milioane de euro sau 4% din cifra (OSE) din 7 sectoare economice
o ISO27005 – Ghid pentru de afaceri, oricare dintre acestea este (energie, transport, banci, piata
managementul riscului securitatii mai mare) financiara, sanatate, alimentare cu
informatiei apa, infrastructura digitala)
o ISO27006 – Cerinte de audit si o Furnizorilor de Servicii Digitale (FSD):
certificare a SMSI piete online, motoare de cautare
online, servicii de cloud computing
ISO 27001 – Politici principale
Componente principale:
Componentă cu rol complementar
şi de suport în cadrul celorlalte ▪ Obiectivele de securitate informatica ale organizatiei
politici existente în organizaţie, ▪ Guvernanta securitatii informatiei in organizatie
concepută pentru a asigura cadrul ▪ Principii privind securitatea si protectia informatiilor
formal de aplicare a măsurilor de ▪ Reguli generale privind gestiunea riscurilor de securitate IT
securitate, destinate reducerii ▪ Rolurile si responsabilitatile actorilor implicati
riscurilor IC&T şi a pierderilor ▪ Descrierea generala a sub-politicilor de securitate informatica
generate de acestea
Oportunitate:
Perceptie ▪ Politica de securitate informatica asigura integrarea obiectivelor
manageriala de securitate a informatiilor cu obiectivele strategice ale
organizatiei
Perceptie ▪ Politica de securitate informatica limiteaza pierderile potentiale
economica generate de aparitia unor incidente de securitate IT
Gestiunea riscurilor de securitate informatica
Tipuri de control
Prelucrarea datelor Orice operațiune de prelucrare care implică date cu caracter personal.
Exemple: colectare, stocare, vizualizare, modificare, extragere, procesare,
cu caracter personal distribuire, stergere, distrugere, etc.
Bresa de securitate Incident de securitate a informatiilor care genereaza afectarea securitatii datelor
cu caracter personal (pierdere, alterare sau acces neautorizat). Rezolvarea
privind GDPR bresele de securitate privind GDPR se afla in competenta DPO
Procese aflate sub incidenta protectiei
datelor cu caracter personal
❑ Dreptul la informare – dreptul la informare al persoanelor vizate cu privire la faptul ca datele acestora sunt colectate,
utilizate, consultate, sau prelucrate, precum si in ce scopuri se realizează aceste proceduri
❑ Dreptul de acces la datele prelucrate – dreptul persoanelor vizate de a solicita si de a avea acces la datele personale
prelucrate la nivelul organizatiei
❑ Dreptul la rectificare – dreptul persoanelor vizate de a solicita rectificarea sau completarea datelor cu caracter personal
colectate, detinute sau stocate de organizatie
❑ Dreptul la stergerea datelor (dreptul de a fi uitat) – dreptul de a solicita stergerea informatiilor cu caracter personal in
situatii precum: persoana vizata isi retrage consimtamantul, persoana vizata se opune prelucrarii, exista neclaritati
priind legalitatea prelucrarii, datele nu mai sunt necesare pentru scopurile pentru care au fost colectate. etc.
❑ Dreptul la portabilitatea datelor - dreptul de a solicita portarea datelor cu caracter personal catre o alta organizatie
(alt operator de date)
❑ Dreptul la opozitie – dreptul garantat al persoanelor vizate de a se opune prelucrarii datelor sale cu caracter personal
(de ex., in scopuri de marketing difrect, crearea de profile automate, etc.)
❑ Dreptul de a retrage consimtamantul – dreptul de a revoca consimtamantul exprimat in prealabil (cu exceptia cazului
in care prelucrarea datelor nu poate inceta din motive legitime, cum ar fi efectul legii)
❑ Dreptul de a depune plangere la ANSPDCP (Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter
Personal)
Directiva NIS – Norme tehnice (1)