Smsi

Întreprinzător în Mileniul Trei
Sistemul de Management
al Securității Informației conform
ISO 27K
Vă sprijinim să deveniţi întreprinzător în mileniul tr
Proiect cofinanţat din Fondul Social European prin

Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
INFORMAŢIA - DEFINIŢII
• Informaţia este un activ care, ca şi alte

active importante pentru afacere, prezintă o
valoare pentru organizaţie şi, în consecinţă,
trebuie protejată adecvat.
Sursa: SR ISO/IEC 27002:2006

ATRIBUTELE FUNDAMENTALE ALE INFORMAȚIEI
• Informația este caracterizată de următoarele atribute

fundamentale:
• Confidențialitate: accesul la informație nu poate fi
făcut decât cu autorizare adecvată.
• Integritate: acuratețea și completitudinea informației și
a modului în care este prelucrată.
• Disponibilitate: utilizatorii autorizați trebuie să aibă
acces la informație de fiecare dată când au nevoie.

SECURITATEA INFORMAȚIEI – DEFINIȚII
• Securitatea informației constă în conservarea atributelor

fundamentale ale informației: confidențialitate, integritate,
disponibilitate
• Securitatea informației înseamnă protejarea informației de
acces, utilizare, divulgare, modificare, dislocare sau
distrugere neautorizate în scopul asigurării continuității
afacerii, diminuării pierderilor, maximizării rentabilității
investițiilor și oportunităților de afaceri.
Sursa: SR ISO/IEC 27002:2006

FORME DE REPREZENTARE ALE INFORMAȚIEI
• Informația este de esență volatilă și poate fi
materializată în diferite forme:
• Exprimată prin vorbire
• Scrisă sau tipărită pe hârtie
• Stocată electronic
• Transmisă prin diferite mijloace de comunicație
• Înregistrată pe suporturi în format audio/video

SCE ÎNSEAMNĂ SECURITATEA INFORMAȚIEI?
• Securitatea informației nu înseamnă doar
instalarea de firewall de monitorizare a rețelei, de
programe anti-virus, sau în ultimă instanță de
externalizare a activităților de protejare a
informației.
• Toate aceste măsuri trebuie integrate într-o
strategie la nivelul organizației în vederea
atingerii unui nivel optim de protecție a
informației.

SOCE ÎNSEAMNĂ SECURITATEA INFORMAȚIEI?A
• Securitatea informației se realizează prin implementarea
unei colecții de măsuri de securitate care asigură că
obiectivele de securitate ale organizației sunt atinse,
concretizate în:
• Structuri organizaționale
• Politici
• Practici
• Proceduri
• Sisteme informatice

DEFINIȚII
• Breșă de securitate: Act care ignoră sau contravine
politicilor, practicilor sau procedurilor de securitate și care
este săvârșit de către o persoană din interiorul
organizației.
• Violare de securitate: Act care ignoră sau contravine
politicilor, practicilor sau procedurilor de securitate și care
este săvârșit de către o persoană din EXTERIORUL
organizației.
• Eveniment de securitate: Atac de securitate înregistrat și
comunicat de către o autoritate recunoscută de către
organizație.

DEFINIȚII
• Incident de securitate: Un incident de securitate este un incident care
implică una sau mai multe dintre componentele de mai jos:
• Breșă sau violare de securitate a informației
• Activitate generată de un sistem de calcul electronic din cadrul
organizației care violează reglementările în vigoare (ECPA) cum ar
fi:
• Spam
• Malware (include orice atac destinat exploatării
vulnerabilităților software)
• Trafic de agenți de rețea
• Orice altă activitate desfășurată pe un sistem de calcul din cadrul
organizației care poate deveni dăunătoare.

EXPUNEREA LA RISC A UNUI SISTEM INFORMAȚIONAL ÎN
FUNCȚIE DE DOMENIUL DE ACTIVITATE
Scăzut Mediu Ridicat
Agricultură Automobile Guvern

Construcții Chimie Apărare
Alimentație Energie Prod. biomedicale
Echipamente industriale Transport Prod. electronice
Minerit Comerț en-gros Servicii financiare
Sănătate
Servicii informatice
Prod. farmaceutice
Comerț cu amănuntul
Sursa: Callio Technologies

LEGISLAŢIA PRIVIND SECURITATEA INFORMAŢIEI
• Legislația în domeniul securită ții informa ției este în continuă dezvoltare și
perfec ționare pentru a oferi un cadru de reglementare coerent aliniat la
cerin țele impuse de dezvoltarea socio-economică și tehnologică. Câteva
dintre legile de bază sunt:
• Legea nr. 8/1996 – privind dreptului de autor şi a drepturilor conexe
• Legea nr. 182/2002 – privind protecţia informaţiilor clasificate
• HG nr. 585/2002 – privind standardele naţionale de protecţie a informaţiilor
clasificate în România
• HG nr. 781/2002 – privind protecţia informaţiilor secrete de serviciu
• HG nr. 353/2002 – privind aprobarea normelor de protecţie a informaţiilor
clasificate NATO în România

LEGISLAŢIA PRIVIND SECURITATEA INFORMAŢIEI
• Legea nr. 544 /2002 – privind informaţiile de interes public
• Legea nr. 676/2002 – privind protecţia datelor cu caracter personal în reţelele de
comunicaţii
• Legea nr. 677/2001 – privind protecţia datelor cu caracter personal şi libera
circulaţie a acestor date
• Legea nr. 455/2001 – privind semnătura electronică
• Legea nr. 365/2002 – privind comerţul electronic
• Ordonanţa nr. 20/2002 – privind achiziţiile publice prin licitaţii electronice

SMSI – SUPORT PENTRU ORICE FEL DE INFORMAȚIE
• Informaţia trebuie protejată pe tot ciclul ei de viaţă.

• Informaţia trebuie protejată indiferent de forma ei şi
de mediul de comunicare.
• SMSI se referă la securitatea informaţiei în general
nu numai la securitatea informației în format digit al.

SMSI - SUPORT PENTRU MANAGEMENT
• Adoptarea unui SMSI – trebuie să fie o decizie strategică pentru organizaţie
deoarece:
• Nu este un instrument pentru specialiştii IT şi nici pentru specialiştii în
securitate informatică ci al managementului de vârf
• Susține managementul de vârf în conștientizarea riscurilor de securitate a
informației prin:
• Informarea asupra riscurilor rezultate din utilizarea informației în
procesele de producție pentru a putea să determine relevanța şi nivelul
critic al acesteia în conformitate cu cerințele afacerii.
• Posibilitatea de a decide în cunoștință de cauză cum trebuie să
controleze riscurile prin planificarea, implementarea şi monitorizarea
măsurilor luate pentru a evita, reduce şi transfera riscurile, şi pentru a fi
capabil de a administra incidentele posibile.
•

SMSI – SUPORT PENTRU ORGANIZAȚIE
• Credibilitatea, încrederea şi siguranţa comercială: Clienţii
se pot simţi în siguranţă în ceea ce priveşte obligaţiile dvs.
de păstrare a informaţiei în condiţii de siguranţă. SMSI
poate ajuta compania să se diferenţieze de competitori şi
piaţă
• Economie de fonduri: Costul unei singure breşe de
securitate a informaţiei poate fi semnificativ; costul mai
multor breşe poate fi catastrofal. SMSI reduce riscul
expunerii la astfel de costuri, lucru important, de exemplu,
pentru management şi investitori
• Angajaţi: Îmbunătăţeşte cunoştinţele angajaţilor legate de
securitate şi îi conştientizează în cadrul organizaţiei. SMSI
contribuie la dezvoltarea unei culturi de securitate

SMSI – SUPORT PENTRU ORGANIZAȚIE
• Îmbunătăţirea continuă: Procesul de evaluare periodică va
ajuta organizaţia să dezvolte, monitorizeze şi
îmbunătăţească continuu, atât SMSI, cât şi procesele de
business
• Integrare facilă cu alte sisteme de management:
Organizaţia care are implementat ISO 9001, aplicarea
SMSI este mai facilă deoarece fluxurile informaţionale şi
interacţiunile între procese deja funcţionează
• Competitivitate: SMSI contribuie semnificativ la
menţinerea şi îmbunătăţirea nivelului de competitivitate,
circuitului financiar, rentabilităţii, conformităţii cu legile şi
imaginii comerciale a firmei

SMSI – SUPORT PENTRU CERTIFICARE
• Legalitate: Certificarea SMSI demonstrează autorităţilor

competente că organizaţia respectă legile şi
reglementările aplicabile în domeniu fiind totodată
singura dovadă a implementării SMSI
• Obligaţii (angajament): Certificarea SMSI ajută la

asigurarea şi demonstrarea obligaţiilor la toate nivelurile
organizaţiei

FAMILIA DE STANDARDE ISO/IEC 2700X
• ISO/IEC 27000 – Fundamente și vocabular – 2007
• ISO/IEC 27001 - SMSI- Cerințe (BS 7799 Part 2:2005 revizuit ) – 2005
• ISO/IEC 27002 – Cod de practici pentru managementul securității
informației (fost ISO/IEC 17799:2005) -2005
• ISO/IEC 27003 – Ghid de implementare SMSI (în dezvoltare) – 2008
• ISO/IEC 27004 – Măsurarea managementului de securitate a
informației - 2007
• ISO/IEC 27005 – Managementul riscului de securitate a informației (se
bazează pe și incorporează ISO/IEC 13335 MICTS Partea 2) – 2008
• ISO/IEC 27006 – Ghidul de acreditare - 2007
• ISO/IEC 27007-27010 – alocare pentru utilizare ulterioară

SR ISO/IEC 27002 SR ISO/IEC 27001
Introducere Corespondența
Introducere cu ISO 9001
4. SMSI (definire,implementare și operare) (PD)

5. Responsabilitatea managementului (D)
4. Evaluarea șI 6. Audit intern SMSI (C)
tratarea riscului 7. Analiza managementului (C)
8. Îmbunătățire SMSI (A)
5. Politica de securitate
6. Organizarea securității A5. Politica de securitate ANEXA A
7. Managementul resurselor A6. Organizarea securității
8. Securitatea resurselor umane A7. Managementul resurselor
9. Securitatea fizică și de mediu A8. Securitatea resurselor umane
10. Managementul comunicațiilor și operațiilor A9. Securitatea fizică și de mediu
11. Controlul accesului A10. Managementul comunicațiilor și operațiilor
12. Achiziții, dezvoltare și mentenanță SI A11. Controlul accesului
13. Managementul incidentelor de securitate A12. Achiziții, dezvoltare și mentenanță SI
14. Continuitatea afacerii A13. Managementul incidentelor de securitate
15. Conformitate A14. Continuitatea afacerii
A15. Conformitate
Index și bibliografie Alte anexe și bibliografie

SR ISO/IEC 27002:2008 - DESCRIERE
• SR ISO/CEI 27002:2008 Tehnologia informaţiei – Tehnici de
securitate – Cod de bună practică pentru managementul
securităţii informaţiei
• Este un standard de management şi de aceea precizează ce
trebuie făcut pentru conformarea la standard fără a impune soluţii
de implementare (ce să faci NU cum să faci?)
• Descriere detaliată a celor mai bune practici de
implementare a măsurilor de siguranţă pentru o securitate
cuprinzătoare şi durabilă în organizaţie

• Caracteristici:
• Neutru din punct de vedere tehnologic
• Aplicabil pentru toate ramurile industriale, toate categoriile şi
caracteristicile de organizaţii
• Adecvat inclusiv organizaţiilor mici

CORESPONDENŢA ÎNTRE
SR ISO/IEC 27002:2006 ŞI SR ISO/IEC 27001:2006
• Între grupele de clauze 5 - 15 ale SR ISO/IEC

27002:2008 şi măsurile de control din Anexa A a
SR ISO/IEC 27001:2008 există o corespondenţă
biunivocă.

SR ISO/IEC 27002:2008 STRUCTURA STANDARDULUI
• Organizarea standardului:
• organizaţia emitentă, codificare, data versiunii
• denumirea standardului în lb. română, engleză, franceză
• aprobare, statut, ce standard înlocuieşte
• corespondenţă cu alte standarde, în lb. română, engleză, franceză
• cuprins, preambul, cap. 0 – Introducere;
• cap. 1 – domeniul de aplicare, cap. 2 – termeni şi definiţii
• structura standardului, de forma:
• x – număr de capitol – articol privind controlul securităţii
• x.x – categorii de securitate (principale)
• x.x.x – măsură de securitate (control)

SR ISO/IEC 27002:2008
STRUCTURA STANDARDULUI
• Standardul internaţional ISO/IEC

27002:2008 a fost acceptat ca standard
român de către comitetul tehnic CT 208 –
Tehnici de securitate în tehnologia
informaţiei
• Standardul a fost tradus în limba română
şi verificat de membrii comitetului tehnic
al ASRO.

ASOCIAŢIA DE STANDARDIZARE DIN ROMÂNIA

SR ISO/IEC 27002:2008
• Fiecare categorie de securitate conţine:
• un obiectiv privind măsura de securitate care stabileşte ceea ce
trebuie realizat;
• una sau mai multe măsuri de securitate aplicate pentru a atinge
obiectivul
• Măsura de securitate este compusă din:
• Definiţie
• Ghid de implementare
• Ate informaţii utile

SR ISO/IEC 27002:2008
• Standardul conţine 39 de categorii de securitate grupate în 11
clauze: CLAUZĂ C A T E G O R II
S E C U R IT A T E
5 . P o litic a d e s e c u r ita te 1
6 . O r g a n iz a r e a s e c u r it ă ţii in fo r m a ţie i 2
7 . M a n a g e m e n tu l b u n u r ilo r 2
8 . S e c u r ita te a r e s u r s e lo r u m a n e 3
9 . S e c u r i ta te a fiz ic ă ş ia m e d iu lu i 2
1 0 . M a n a g e m e n tu l c o m u n ic a ţiilo r ş i a l o p e r a ţ iilo r 10
1 1 . C o n tr o lu l a c c e s u lu i 7
1 2 . A c h iz i ţia s is te m e lo r in fo r m a tic e , d e z v o lta r e a 6
ş i m e n te n a n ţ a
1 3 . M a n a g e m e n tu l in c id e n te lo r d e s e c u r ita te a 2
in fo r m a ţie i
1 4 . M a n a g e m e n tu l c o n tin u it ă ţii a fa c e r ii 1
1 5 . C o n fo r m ita te 3
TO TAL 39
• Managementul riscului este tratat separat în clauza 4.

• SR ISO/CEI 27001:2008 Tehnologia informaţiei – Tehnici de

securitate – Sisteme de management al securităţii
informaţiei – Cerinţe
• Este un standard de management şi descrie cerinţele pentru
Sistemele de management al securităţii informaţiei
• Ca şi SR ISO/IEC 27002:2006 conţine 11 clauze de control,
totalizând 39 de obiective de control susţinute prin 133 de
măsuri de securitate .

• Caracteristici:
• Neutru din punct de vedere tehnologic
• Aplicabil pentru toate ramurile industriale, toate categoriile şi
caracteristicile de organizaţii
• Adecvat inclusiv organizaţiilor mici
• Este singurul standard internaţional auditabil care defineşte
cerinţe pentru un SMSI

• Caracteristici:
• Reprezintă baza pentru certificarea SMSI
• Reprezintă o baz ă pentru rela ţii contractuale
• Este orientat pe îmbunătăţire continuă (buclă de reacţie PDCA –
Plan, Do, Chek, Act)
• Accent pus pe prevenire, nu pe corecţie!

SR ISO/IEC 27001:2008
COMPATIBILITATEA CU SR ISO 9001:2008
• Acest standard interna țional este aliniat cu ISO 9001

și ISO 14001 în scopul de a sprijini implementarea și
operarea consistentă și integrată cu aceste standarde.
Un sistem de management proiectat adecvat poate
implicit satisface și cerin țele celorlalte standarde.

SR ISO/IEC 27001:2006
CICLUL PDCA
Stabilire
(P=Plan)
Corecții, Acțiuni
Părți interesate corective, preventive
Părți interesate
Întrteținere și Implementare
îmbunătățire și operare
(A=Act) (D=Do)
Raportul de
neconformitate
Monitorizare
și examinare
Cerințe și Securitatea
așteptăride (C=Check) informației aflată
securitatea sub controlul
informației managementului

SR ISO/IEC 27001:2008 - ABORDARE
• SR ISO/IEC 27001 are o abordare bzată pe proces
• Această abordare sprijină:
• înţelegerea cerinţelor de securitate a informaţiei şi nevoia
de a stabili politica şi obiectivele pentru securitatea
informaţiei
• implementarea şi operarea măsurilor de control pentru
managementul riscurilor de securitate a informaţiei,
integrat în managementului riscului aferent întregii
activităţi a organizaţiei
• îmbunătăţirea continuă bazată pe măsurători

SR ISO/IEC 27001:2008
APLICAREA CERINŢELOR STANDARDULUI
• Cerinţele standardului sunt generice şi sunt
destinate a fi aplicabile tuturor organizaţiilor,
indiferent de tip, mărime şi natura activităţii
• Clauzele specificate în capitolele 4, 5, 6, 7 şi 8
sunt obligatorii şi prin urmare nici o organizaţie
care solicită certificarea pentru conformitatea cu
acest standard nu poate opera excluderi pe
aceste grupe de clauze.
SR ISO/IEC 27001:2008
APLICAREA CERINŢELOR STANDARDULUI
• Orice excludere de măsuri de control necesare
eliminării sau reducerii riscului până la un nivel
acceptabil trebuie justificată şi trebuie furnizate
dovezi obiective privind excluderea.
• Cerinţele standardului nu pot fi aplicate decât în
legătură cu standardul SR ISO/IEC 27002:2008

SR ISO/IEC 27001:2008
PARTEA NORMATIVĂ
PRINCIPII GENERALE
CADRUL DE MANAGEMENT
ANEXA A (normativă)
PARTEA INFORMATIVĂ
ANEXA B – Principiile OECD şi acest standard internaţional
ANEXA C – Corespondenţa dintre ISO 9001:2000, ISO 14001:2004 şi
acest standard internaţional
BIBLIOGRAFIE

SR ISO/IEC 27001:2008
• PRINCIPII GENERALE
• 0. Introducere
• 1. Scop
• 2. Referinţe normative
• 3. Termeni şi definiţii
• CADRUL DE MANAGEMENT
• 4. Sistemul de management al securităţii informaţiei
• 5. Responsabilitatea managementului
• 6. Auditări interne SMSI
• 7. Analiza efectuată de management a SMSI
• 8. Îmbunătăţirea SMSI
• AUDITARE ŞI CERTIFICARE
• Anexa A (normativă): Obiective şi măsuri de control

SR ISO/IEC 27001:2008
CERINŢE PENTRU CADRUL DE MANAGEMENT AL SMSI
• Clauzele obligatorii ale standardului sunt grupate în

următoarele capitole:
4. Sistemul de management al securităţii informaţiei
5. Responsabilitatea managementului
6. Auditări interne SMSI
7. Analiza efectuată de management a SMSI
8. Îmbunătăţirea SMSI

SR ISO/IEC 27001:2006
Anexa A

CADRUL DE IMPLEMENTARE SMSI
• Standardul ISO 27001 stabilește următoarele practici:
• Toate activitățile trebuie să aibă la bază o metodă.
Alegerea metodei este liberă dar trebuie clar definită și
documentată.
• Stabilirea obiectivelor de securitate este
responsabilitatea organizației. Auditorul va verifica
numai dacă aceste cerințe sunt îndeplinite.
• Toate măsurile de securitate utilizate în SMSI se
implementează pe baza analizei de risc în scopul de a
elimina sau reduce riscul la un nivel acceptabil.

CADRUL DE IMPLEMENTARE SMSI
• Standardul ISO 27001 stabilește următoarele practici:
• Standardul pune la dispoziție o colecție de măsuri de
control dar este la latitudinea organizației să aleagă și
să implementeze măsurile de control care răspund
necesităților obiective ale proceselor specifice de
producție.
• Un proces de management al securității informației
trebuie să asigure verificarea continuă a elementelor
SMSI prin audituri și analize (examinări).
• Un proces de management al securității informației
trebuie să asigure îmbunătățirea continuă a SMSI.
(Standardul ISO/IEC 27001 adoptă ca bază pentru
implementare modelul Plan-Do-Check-Act [PDCA].)
FLUX ACTIVITĂȚI IMPLEMENTARE ȘI CERTIFICAREA SMSI

REGISTRUL INTERNAŢIONAL AL CERTIFICATELOR SMSI
http://www.iso27001certificates.com/

REGISTRUL INTERNAŢIONAL AL CERTIFICATELOR SMSI
Februarie 2011


Smsi

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Smsi

Încărcat de

Drepturi de autor:

Formate disponibile

Întreprinzător în Mileniul Trei

Vă sprijinim să deveniţi întreprinzător în mileniul tr

Proiect cofinanţat din Fondul Social European prin

• Informaţia este un activ care, ca şi alte

Sursa: SR ISO/IEC 27002:2006

Proiect cofinanţat din Fondul Social European prin

• Informația este caracterizată de următoarele atribute

Proiect cofinanţat din Fondul Social European prin

• Securitatea informației constă în conservarea atributelor

Sursa: SR ISO/IEC 27002:2006

Proiect cofinanţat din Fondul Social European prin

Proiect cofinanţat din Fondul Social European prin

Proiect cofinanţat din Fondul Social European prin

Proiect cofinanţat din Fondul Social European prin

Proiect cofinanţat din Fondul Social European prin

Proiect cofinanţat din Fondul Social European prin

Scăzut Mediu Ridicat

Agricultură Automobile Guvern

Sursa: Callio Technologies

Proiect cofinanţat din Fondul Social European prin

Proiect cofinanţat din Fondul Social European prin

Proiect cofinanţat din Fondul Social European prin

• Informaţia trebuie protejată pe tot ciclul ei de viaţă.

Proiect cofinanţat din Fondul Social European prin

Proiect cofinanţat din Fondul Social European prin

Proiect cofinanţat din Fondul Social European prin

Proiect cofinanţat din Fondul Social European prin

• Legalitate: Certificarea SMSI demonstrează autorităţilor

• Obligaţii (angajament): Certificarea SMSI ajută la

Proiect cofinanţat din Fondul Social European prin

Proiect cofinanţat din Fondul Social European prin

4. SMSI (definire,implementare și operare) (PD)

Index și bibliografie Alte anexe și bibliografie

Proiect cofinanţat din Fondul Social European prin

Proiect cofinanţat din Fondul Social European prin

Proiect cofinanţat din Fondul Social European prin

• Între grupele de clauze 5 - 15 ale SR ISO/IEC

Proiect cofinanţat din Fondul Social European prin

Proiect cofinanţat din Fondul Social European prin

• Standardul internaţional ISO/IEC

Proiect cofinanţat din Fondul Social European prin

Proiect cofinanţat din Fondul Social European prin

Proiect cofinanţat din Fondul Social European prin

• Managementul riscului este tratat separat în clauza 4.

Proiect cofinanţat din Fondul Social European prin

• SR ISO/CEI 27001:2008 Tehnologia informaţiei – Tehnici de

Proiect cofinanţat din Fondul Social European prin

Proiect cofinanţat din Fondul Social European prin

Proiect cofinanţat din Fondul Social European prin

• Acest standard interna țional este aliniat cu ISO 9001

Proiect cofinanţat din Fondul Social European prin

Proiect cofinanţat din Fondul Social European prin

Proiect cofinanţat din Fondul Social European prin

Proiect cofinanţat din Fondul Social European prin

Proiect cofinanţat din Fondul Social European prin

Proiect cofinanţat din Fondul Social European prin

• Clauzele obligatorii ale standardului sunt grupate în

Proiect cofinanţat din Fondul Social European prin

Proiect cofinanţat din Fondul Social European prin

Proiect cofinanţat din Fondul Social European prin

Proiect cofinanţat din Fondul Social European prin

Proiect cofinanţat din Fondul Social European prin

Proiect cofinanţat din Fondul Social European prin