Sistemul de management al securitii informaiei conform ISO 27001:2006

Informaia este un activ care, ca i alte active importante pentru afacere, prezint o valoare pentru organizaie i, n consecin, trebuie protejat adecvat. Informaia este caracterizat de urmtoarele atribute fundamentale: Confidenialitate: accesul la informaie nu poate fi fcut dect cu autorizare adecvat. Integritate: acurateea i completitudinea informaiei i a modului n care este prelucrat. Disponibilitate: utilizatorii autorizai trebuie s aib acces la informaie de fiecare dat cnd au nevoie. Securitatea informaiei const n conservarea atributelor fundamentale ale informaiei: confidenialitate, integritate, disponibilitate. Securitatea informaiei nseamn protejarea informaiei de acces, utilizare, divulgare, modificare, dislocare sau distrugere neautorizate n scopul asigurrii continuitii afacerii, diminurii pierderilor, maximizrii rentabilitii investiiilor i oportunitilor de afaceri. Informaia este de esen volatil i poate fi materializat n diferite forme: Exprimat prin vorbire Scris sau tiprit pe hrtie Stocat electronic Transmis prin diferite mijloace de comunicaie nregistrat pe suporturi n format audio/video Securitatea informaiei nu nseamn doar instalarea de firewall de monitorizare a reelei, de programe anti-virus, sau n ultim instan de externalizare a activitilor de protejare a informaiei. Toate aceste msuri trebuie integrate ntr-o strategie la nivelul organizaiei n vederea atingerii unui nivel optim de protecie a informaiei. Securitatea informaiei se realizeaz prin implementarea unei colecii de msuri de securitate care asigur c obiectivele de securitate ale organizaiei sunt atinse, concretizate n: Structuri organizaionale Politici
1

 Practici Proceduri Sisteme informatice Incident de securitate: Un incident de securitate este un incident care implic una sau mai multe dintre componentele de mai jos: Bre sau violare de securitate a informaiei Activitate generat de un sistem de calcul electronic din cadrul organizaiei care violeaz reglementrile n vigoare (ECPA) cum ar fi: Spam Malware (include orice atac destinat exploatrii vulnerabilitilor software) Trafic de ageni de reea Orice alt activitate desfurat pe un sistem de calcul din cadrul organizaiei care poate deveni duntoare. Bre de securitate: Act care ignor sau contravine politicilor, practicilor sau procedurilor de securitate i care este svrit de ctre o persoan din interiorul organizaiei. Violare de securitate: Act care ignor sau contravine politicilor, practicilor sau procedurilor de securitate i care este svrit de ctre o persoan din EXTERIORUL organizaiei. Eveniment de securitate: Atac de securitate nregistrat i comunicat de ctre o autoritate recunoscut de ctre organizaie.

EXPUNEREA LA RISC A UNUI SISTEM INFORMAIONAL N FUNCIE DE DOMENIUL DE ACTIVITATE

Sistemul de management a securitii informaiei (SMSI) se refer la securitatea informaiei n general nu numai la securitatea informaiei n format digital. SMSI este suport pentru organizaie, astfel: Credibilitatea, ncrederea i sigurana comercial: Clienii se pot simi n siguran n ceea ce privete obligaiile dvs. de pstrare a informaiei n condiii de siguran. SMSI poate ajuta compania s se diferenieze de competitori i pia Economie de fonduri: Costul unei singure bree de securitate a informaiei poate fi semnificativ; costul mai multor bree poate fi catastrofal. SMSI reduce riscul expunerii la astfel de costuri, lucru important, de exemplu, pentru management i investitori Angajai: mbuntete cunotinele angajailor legate de securitate i i contientizeaz n cadrul organizaiei. SMSI contribuie la dezvoltarea unei culturi de securitate mbuntirea continu: Procesul de evaluare periodic va ajuta organizaia s dezvolte, monitorizeze i mbunteasc continuu, att SMSI, ct i procesele de business Integrare facil cu alte sisteme de management: Organizaia care are implementat ISO 9001, aplicarea SMSI este mai facil deoarece fluxurile informaionale i interaciunile ntre procese deja funcioneaz
3

 Competitivitate: SMSI contribuie semnificativ la meninerea i mbuntirea nivelului de competitivitate, circuitului financiar, rentabilitii, conformitii cu legile i imaginii comerciale a firmei Legalitate: Certificarea SMSI demonstreaz autoritilor competente c organizaia respect legile i reglementrile aplicabile n domeniu fiind totodat singura dovad a implementrii SMSI Obligaii (angajament): Certificarea SMSI ajut la asigurarea i demonstrarea obligaiilor la toate nivelurile organizaiei Descriere ISO 27001:2006 Sisteme de management al securitii informaiei Este un standard de management i descrie cerinele pentru Sistemele de management al securitii informaiei, conine 11 clauze de control, totaliznd 39 de obiective de control susinute prin 133 de msuri de securitate. Caracteristici: Neutru din punct de vedere tehnologic Aplicabil pentru toate ramurile industriale, toate categoriile i caracteristicile de organizaii Adecvat inclusiv organizaiilor mici Este singurul standard internaional auditabil care definete cerine pentru un SMSI Reprezint baza pentru certificarea SMSI Reprezint o baz pentru relaii contractuale Este orientat pe mbuntire continu (bucl de reacie PDCA Plan, Do, Chek, Act) Accent pus pe prevenire, nu pe corecie! Acest standard internaional este aliniat cu ISO 9001 i ISO 14001 n scopul de a sprijini implementarea i operarea consistent i integrat cu aceste standarde. Un sistem de management proiectat adecvat poate implicit satisface i cerinele celorlalte standarde. ISO 27001 are o abordare bzat pe proces, aceast abordare sprijin: nelegerea cerinelor de securitate a informaiei i nevoia de a stabili politica i obiectivele pentru securitatea informaiei implementarea i operarea msurilor de control pentru managementul riscurilor de securitate a informaiei, integrat n managementului riscului aferent ntregii activiti a organizaiei
4

mbuntirea continu bazat pe msurtori

Aplicarea cerinelor standardului Cerinele standardului sunt generice i sunt destinate a fi aplicabile tuturor organizaiilor, indiferent de tip, mrime i natura activiti. Clauzele specificate n capitolele 4, 5, 6, 7 i 8 sunt obligatorii i prin urmare nici o organizaie care solicit certificarea pentru conformitatea cu acest standard nu poate opera excluderi pe aceste grupe de clauze. Structura standardului PARTEA NORMATIV PRINCIPII GENERALE: 0. Introducere 1. Scop 2. Referine normative 3. Termeni i definiii CADRUL DE MANAGEMENT : 4. Sistemul de management al securitii informaiei 5. Responsabilitatea managementului 6. Auditri interne SMSI 7. Analiza efectuat de management a SMSI 8. mbuntirea SMSI

ANEXA A (normativ) PARTEA INFORMATIV ANEXA B Principiile OECD i acest standard internaional ANEXA C Corespondena dintre ISO 9001:2000, ISO 14001:2004 i acest standard internaional BIBLIOGRAFIE Clauzele obligatorii ale standardului se gsesc n cadrul cerinelor pentru cadrul de management al SMSI.
5

Cadrul de implementare SMSI Standardul ISO 27001 stabilete urmtoarele practici: Toate activitile trebuie s aib la baz o metod. Alegerea metodei este liber dar trebuie clar definit i documentat. Stabilirea obiectivelor de securitate este responsabilitatea organizaiei. Auditorul va verifica numai dac aceste cerine sunt ndeplinite. Toate msurile de securitate utilizate n SMSI se implementeaz pe baza analizei de risc n scopul de a elimina sau reduce riscul la un nivel acceptabil. Standardul pune la dispoziie o colecie de msuri de control dar este la latitudinea organizaiei s aleag i s implementeze msurile de control care rspund necesitilor obiective ale proceselor specifice de producie. Un proces de management al securitii informaiei trebuie s asigure verificarea continu a elementelor SMSI prin audituri i analize (examinri). Un proces de management al securitii informaiei trebuie s asigure mbuntirea continu a SMSI. (Standardul ISO/IEC 27001 adopt ca baz pentru implementare modelul Plan-Do-CheckAct [PDCA].) FLUX ACTIVITI IMPLEMENTARE I CERTIFICAREA SMSI

ISO/IEC 17799 Codul de Practica pentru Managementul Securitatii Informatiei, stabileste liniile si principiile generale pentru organizatii pentru a initia, implementa, mentine si imbunatatii managementul securitatii informatiei. ISO/IEC 17799 contine cele mai bune practici de control in urmatoarele domenii ale managementului securitatii informatiei: politica de securitate; - organizarea securitatii informatiei; - management; - securitatea fizica si a mediului inconjurator; - managementul comunicatiilor si al operatiilor;
7

- controlul accesului; - achizitionarea sistemelor informationale, dezvoltarea si mentenanta lor; - managementul afacerii continue ISO/IEC 27001:2005 (fostul BS 7799-2:2002) este un standard care stabileste cerintele pentru un Sistem de Management al Securitatii Informatiei. Ajuta la identificarea, managementul si minimizarea amenintarilor care afecteaza de obicei informatia. Este potrivit pentru cateva tipuri diferite de folosinta organizationala incluzand urmatoarele: - formularea cerintelor de securitate si a obiectivelor; - asigurarea ca riscurile de securitate sunt stapanite din punct de vedere al costului; - asigurarea unei conformitati cu legislatia si diverse reglementari; - identificarea si clarificarea proceselor existente de management al securitatii informatiei; - folosinta lui de catre management pentru a determina statusul activitatilor de management al securitatii informatiei; - folosinta de catre auditori interni si externi pentru a determina gradul de conformitate cu politicile, directivele si standardele adoptate de catre organizatie; - furnizarea de informatii relevante despre politicile de securitatea informatiei, standarde si proceduri, catre partenerii comerciali; - furnizarea de informatii relevante despre securitatea informatiei, clientilor societatii.