agenda

Agenda

1. Conceptul de securitate a informaţiilor (definiţie, elemente fundamentale; ameninţări, vulnerabilităţi, riscuri, necesitatea asigurării securităţii informaţiilor obiectivă, legală, contractuală; cadrul normativ)

2. Sisteme de management al securităţii informaţiilor (SMSI)

3. Managementul riscului

4. Proiectarea, implementarea, monitorizarea şi îmbunătăţirea SMSI

5. Certificarea unui SMSI

Ce sunt informaţiile? Cunoştiinţe derivate din orice sursă

Informaţiile sunt date analizate, comunicate, înţeleseSursa: “Information Security Management Handbook” – Auerbach

Publications

Securitatea informaţiei – necesitate, cerinţe, reglementări


Definiţia informaţiilor ?

InformaInformaţţiile sunt un iile sunt un bun al afaceriibun al afacerii, care , care – ca – ca oricare bun al companiei, are valoare şi trebuie oricare bun al companiei, are valoare şi trebuie protejat adecvatprotejat adecvat

Sursa: ISO/IEC Sursa: ISO/IEC 2700127001:200:20055: Introducere: Introducere

Informaţiile trebuie Informaţiile trebuie protejate adecvatprotejate adecvat indiferent de forma pe care o iau sau de indiferent de forma pe care o iau sau de mijloacele prin care sunt păstrate sau mijloacele prin care sunt păstrate sau comunicatecomunicate

Sursa: ISO/IEC Sursa: ISO/IEC 2700127001:200:20055: Introducere: Introducere

Informaţii?

Informaţiile afacerii

Accesul la informaţii Tipărite

Pe suport electronic

Comunicate prin poştă clasică

Comunicate electronic

Video

Discuţii

Contextul Internet

Reţea globală Acces rapid, ieftin, discret, fără urmă Trafic în creştere Oricine de oriunde Arhitectură structural nesigură TCP-IP

Nivele de securitate

Instituţii guvernamentale – secrete de stat

Informaţii interne – confidenţiale/secret de serviciu

Domenii de activitate – secret profesional

Clienţi – confidenţialitate asumată (bănci)

Parteneri de afaceri – informaţii folosite în comun

Importanţa informaţiei

Protecţia informatiilor “business critical”

Competitie

Cash Flow

Cerinte legale

Reputatie

?


Definiţia securităţii informaţiilor ?

ConfidenţialitateAsigurarea că informaţia este accesibilă doar acelora care sunt autorizaţi să aibă acces.

Integritate Protejarea corectitudinii şi caracterului complet al informaţiei şi metodelor de procesare.

DisponibilitateAsigurarea că utilizatorii autorizaţi au acces la informaţii şi la bunurile asociate atunci când este necesar.


Obiectivele securităţii informaţiilor ?

Protejarea organizaţiei de o paletă largă de pericole şi ameninţări interne şi externe cu impact asupra securităţii informaţiilor

Asigurarea continuităţii operaţiunilor Minimizarea pagubelor şi maximizarea

recuperării investiţiilor şi oprtunităţilor de afaceri

Menţinerea neştirbite a competivităţii, profitabilităţii, legalităţii, reputaţiei şi imaginii organizaţiei


Necesitatea asigurării SI: cerinţe, aşteptări, principii

Cerinţe complexe şi dinamice – este necesar un proces de Management al Cerinţelor


Necesitatea asigurării SI: reducerea riscurilor, pierderilor

Riscuri complexe şi dinamice – este necesar un proces de Management al Riscurilor


R I S C =

o pagubă (pierdere) potenţială pentru organizaţie în situaţia când o ameninţare exploatează o vulnerabilitate. Riscul este exprimat cel mai binede răspunsul la următoarele întrebări:

Ce se poate întâmpla (care este ameninţarea)?Care este impactul sau consecinţa?Care este frecvenţa (cât de des se poate întâmpla)?


AmeninţărileAmeninţările - surse accidentale sau voite de - surse accidentale sau voite de evenimente. Ameninţarea exploatează o evenimente. Ameninţarea exploatează o vulnerabilitatevulnerabilitate

VulnerabilitVulnerabilităţileăţile -slăbiciuni asociate resurselor -slăbiciuni asociate resurselor (specifice mediului fizic, personalului, (specifice mediului fizic, personalului, managementului, administraţiei, resurselor hardware, managementului, administraţiei, resurselor hardware, software, comunicaţii etc). Cauzează daune numai software, comunicaţii etc). Cauzează daune numai dacă sunt exploatate de ameninţăridacă sunt exploatate de ameninţări

AmeninţăriAmeninţări VulnerabilităţiVulnerabilităţi

Măsuri de controlMăsuri de control RiscuriRiscuri BunuriBunuri

Cerinţe de protecţieCerinţe de protecţie ImpactImpact

exploateazăexploatează

protejeazăprotejează

reducreduc

expunexpun

auau

cresccresc

cresccrescindicăindicăimpunimpun

Vulnerabilitati - Amenintati - Riscuri


Liste de ameninţări - exemple Securitatea fizică şi a

mediului – Incendiu– Atac cu bombă– Cutremur– Contaminare mediu– Inundaţie– Fulger– Furt– Preturbaţii industriale– Vandalism

Securitatea echipamentului– Defecţiune aer condiţionat– Particule conductive– Atac cu bombă– Contaminare– Cădere alimentare– Deranjament hardware– Eroare de întreţinere– Software dăunător– Accesarea reţelei de

persoane neautorizate– Eroare de utilizator


Liste de vulnerabilităţi - exemple Administrare calculator şi reţea

– Linii de comunicaţie neprotejate (interceptare)

– Puncte de conexiune neprotejate (infiltrare comunicaţii)

– Lipsa mecanismelor de identificare şi autentificare (substituire identitate)

– Transferul parolelor în clar (accesare reţea de utilizatori neautorizaţi)

– Linii dial-up (accesare reţea de utilizatori neautorizaţi)

– Administrare reţea neadecvată (supraîncărcare trafic)

Sistem de control al accesului / politică de dezvoltare şi întreţinere– Interfaţă de utilizator

complicată (eroare de utilizator)

– Lipsa unei proceduri de ştergere a mediilor de stocare înainte de reutilizare (utilizare neautorizată software)

– Lipsa unui control adecvat al modificărilor (defecţiuni software)

– Administrare defectuoasă a parolelor (substituire identitate)


Asigurarea SI = ţinerea sub control a riscurilor Tratarea riscurilor este rezultatul unui proces de management al

riscurilor şi constă în:- Aplicarea măsurilor de control adecvate pentru

reducerea riscurilor- Înţelegerea şi acceptarea conştientă a riscurilor în

măsura în care sunt satisfăcute politica organizaţională şi criteriile de acceptare a riscului

- Eliminarea riscului (renunţarea la unele activităţi; mutarea unor bunuri în zone mai puţin expuse; renunţarea la procesarea unor informaţii sensibile)

- Transferarea riscurilor asociate activităţii altor părţi (asigurare, outsourcing)


Factori care influenţează conceperea, elaborarea şi implementarea unei strategii de securitate:

- mărimea organizaţiei şi complexitatea proceselor - cerinţele de securitate determinate de multiple provocări (interconectarea sistemelor, spionajul corporativ, terorismul cibernetic, conştientizarea angajaţilor)

- volumul sporit al informaţiilor sensibile/critice- profilul activităţii, nevoile şi obiectivele organizaţiei- ameninţările şi vulnerabilităţile prezente la adresa informaţiilor

prelucrate, stocate şi / sau transmise (de natură umană, legate de minimizarea costurilor, de natură tehnică sau externe)

- gradul de securitate a sistemelor informatice folositegradul de interconectare a sistemelor şi serviciilor

- interconectarea reţelelor interne cu cele publice (Internet) sau private

- volumul resurselor (umane şi financiare) disponibile- nivelul de cultură şi tradiţie în domeniul securităţii inf.

Agenda

1. Conceptul de securitate a informaţiilor (definiţie, elemente fundamentale; ameninţări, vulnerabilităţi, riscuri; necesitatea asigurării securităţii informaţiilor (obiectivă, legală, contractuală; cadrul normativ)





S.M.S.I.S.M.S.I.• parte a parte a sistemului de managementsistemului de management al al unei unei organizaţii, bazată pe organizaţii, bazată pe analiza analiza

riscurilorriscurilor, destinată elaborării, implementării, operării, supravegherii, , destinată elaborării, implementării, operării, supravegherii, menţinerii şi îmbunătăţirii securităţii informaţiilormenţinerii şi îmbunătăţirii securităţii informaţiilor

Standarde aplicabile Standarde aplicabile • ISO 9001/200ISO 9001/20088 - Cerinţe pentru sistemele de management al calităţii - Cerinţe pentru sistemele de management al calităţii

• IISO SO 2700227002/200/20055 - Ghid practic pentru managementul securităţii - Ghid practic pentru managementul securităţii informaţiilorinformaţiilor

• ISO 27001ISO 27001/200/20055 – Sisteme de management al securităţii informaţiilor – – Sisteme de management al securităţii informaţiilor – Specificaţii şi instrucţiuni de aplicareSpecificaţii şi instrucţiuni de aplicare

Abordare cuprinzătoare, coerentă a problematiciiAbordare cuprinzătoare, coerentă a problematicii

Ce este un Ce este un SMSISMSI ??

- Existenta unei Politici de Securitate- Alocarea responsabilitatilor pentru securitate- Realizarea de training si educare pentru securitatea

informatiei- Raportarea incidentelor de securitate- Control pentru “malicious code”- Existenta unui plan de continuare a afacerii “business

continuity plan”- Existenta controlului asupra proprietatii intelectuale- Protejarea documentelor si inregistrarilor

companiei - Respectarea (conformitatea) legilor pentru Protectia

Datelor- Demonstratea conformitatii cu politicile de securitate

10 cerinţe importate care trebuie sa fie indeplinite de un

SMSI

Pentru a proteja informatia de un numar alarmant de amenintari, pentru a asigura continuitatea afacerii si pentru a maximiza intoarcerea investitiei facute precum si a oportunitatilor de afacere

In concluzie: de ce avem nevoie de un SMSI?

· securitatea informaţiei privită ca un joc (adoptarea unor tehnici şi instrumente de securitate ale căror funcţii sunt descoperite mai degrabă empiric decât în urma apelării la literatura de specialitate)

· conştientizarea nevoii de securitate (a apărut atunci când organizaţiile au realizat că informaţiile pe care le deţin merită a fi protejate, prin proceduri minimale. Foarte puţine au trecut însă la documentarea adecvată a sistemului)

· achiziţionarea unor soluţii sigure de securitate (o parte din bugetul departamentului IT este dedicată soluţiilor de securitate, iar organizaţia cercetează serios metode moderne şi sigure de a-şi securiza comunicaţiile şi a se proteja împotriva atacurilor)

· securitatea informaţiei este tratată ca o necesitate prioritară, respectiv ca un sistem de management (o securitate a informaţiei puternică a devenit un avantaj în cadrul competiţiei în afaceri iar bugetul alocat securităţii este separat de cel al departamentului IT).

Stadii evolutive în domeniul SI

Top managementul

-aprobă scopul SMSI, angajamentul, obiectivele, politica de securitate a informaţiilor şi toate documentele aferente SMSI;- emite decizii pentru numirea comitetului de securitate şi a responsabilului cu securitatea; -aprobă declaraţia de aplicabilitate a SMSI şi deciziile de tratare a fiecărui risc în parte; -aprobă planul de tratare a riscurilor şi toate acţiunile manageriale suplimentare pentru monitorizarea, evaluarea şi îmbunătăţirea eficienţei măsurilor de securitate; -aprobă planurile de auditare a SMSI; efectuează analiza de management pentru SMSI şi aprobă procesele verbale ale şedinţelor de analiză, precum şi acţiunile corective şi preventive necesare îmbunătăţirii SMSI; -aprobă resursele necesare pentru proiectarea, menţinerea şi îmbunătăţirea SMSI.

Roluri si responsabilităţi în SMSI

Responsabilul cu securitatea (RS) -defineşte politica de securitate a informaţiilor, procedurile şi măsurile de securitate; -defineşte şi obţine aprobărilor pentru responsabilităţile de securitate (tabel de securitate, document aprobat de managerul general); -strânge informaţii despre politicile de securitate existente (ce funcţionează şi ce nu; cum se comunică riscurile; cum se stabilesc priorităţile proiectelor; cum sunt structurate procesele de securitate); -urmăreşte aplicarea eficientă a politicilor de securitate; -dezvoltă, implementează şi îmbunătăţeşte măsurile în domeniul securităţii informaţiilor;-supraveghează toate procesele de securitate din firmă;-răspunde de managementul incidentelor de securitate şi de răspunsul la incidente;-coordonează procesul de conştientizare şi pregătire al personalului în domeniu SI;-orientează proprietarii resurselor (PR) în toate problemele ce ţin de SI.


Proprietarul resurselor

-răspunde de activele date în responsabilitate (informaţii; software; echipamente de calcul şi de comunicaţii; aplicaţii; servicii; oameni; active intangibile; proprietatea poate fi atribuită unui proces al afacerii, unui set de activităţi, unei aplicaţii sau unui set stabilit de date). Împreună cu RS, PR răspunde de:- - identificarea cerinţelor de securitate ale afacerii;- - asigurarea clasificării corespunzătoare a informaţiilor şi resurselor critice;- - revizuirea permanentă a ghidurilor de clasificare a informaţiilor; - definirea şi supunerea aprobării managerului general, a drepturilor de acces la informaţii pentru toţi utilizatorii resurselor informaţionale sau ale reţelei necesare acestora pentru a-şi îndeplini sarcinile de serviciu (procesul de administrare a utilizatorului - AU), precum şi modul/metoda de rezolvare a excepţiilor de la regulile generale stabilite pentru aceste permisiuni.


Comitetul, forumul, echipa de securitate - coordonează executarea activităţilor de securitate în

conformitate cu politica de securitate a informaţiilor;- identifică modul de tratare a neconformităţilor;- avizează politicile, metodologiile şi procedurile legate

de securitatea informaţiilor;- avizează planurile de tratare a riscurilor;- analizează incidentele de securitate; - estimează gradul de adecvare a măsurilor de

securitate a informaţiilor şi coordonează implementarea lor;- analizează modul de promovare a educaţiei, instruirii

şi conştientizării personalului cu privire la securitatea informaţiilor în cadrul organizaţiei;

- evaluează informaţiilor primite de la activităţile de monitorizare şi analiză a incidentelor de securitate;

- face recomandări de acţiuni corective şi preventive, precum şi de acţiuni adecvate de răspuns la incidentele de securitate a informaţiilor;

- identifică mutaţiile expunerii la ameninţări a informaţiilor şi a mijloacelor de procesare a acestora şi propunde reevaluări de risc.


Agenda






“Security is always excessive until it’s not enough”

CCe reprezintă managementul e reprezintă managementul riscurilorriscurilor ? ? [SR 17799][SR 17799]

# evaluarea riscurilor – abordare sistematică a:¤ daunelor care ar putea rezulta în urma unei breşe de

securitate ¤ probabilitatea realistă ca un astfel eveniment de

securitate sa se produca # indicarea şi determinarea actiunilorde management potrivite şi a priorităţilor acestora # implementarea controalelor selectate pentru protecţia împotriva riscurilor# revizuiri periodice

CCe reprezintă managementul riscurilor? e reprezintă managementul riscurilor?

Basic Assumption:There will be a failure

What are theconsequences?

Rating:Risk Exposure qualified & quantified

Risks categorized& prioritized

Mitigation/recoveryactions defined

Mitigation/recoveryactions followed-upResults and decisions are documented

Cum se stabilesc cerinţele de Cum se stabilesc cerinţele de securitatesecuritate ? ? [[ISO 27002ISO 27002]]

- evaluarea riscurilor la care este expusă organizaţia

- cerinţele legale, statutare, contractuale

- setul specific de principii, obiective şicerinţe pentru procesarea informaţiei

Terminologie

‚Organizaţia trebuie să stabilească o metodă de analiză a riscurilor care este adecvată pentru SMSI şi să identifice cerinţele de securitate, cerinţele legale şi regulatorii ale sale. Să stabilească politica şi obiectivele SMSI în vederea reducerii riscurilor la nivele acceptabile. Să determine criteriile pentru acceptarea riscurilor şi nivelele la care acestea pot fi acceptate.’(ISO 27001)

Schema ISO 27001:2005Schema ISO 27001:2005

A. Identificarea A. Identificarea si analiza si analiza riscurilor :riscurilor :

a)a) identificarea resurseloridentificarea resurselor

b)b) identificarea ameninţărilor la resurseidentificarea ameninţărilor la resurse

c)c) identificarea vulnerabilităţilor care pot fi exploatate de identificarea vulnerabilităţilor care pot fi exploatate de ameninţăriameninţări

d)d) identificarea impactului pe care pierderea identificarea impactului pe care pierderea confidenţialităţii, integrităţii şi disponibilităţii îl pot avea confidenţialităţii, integrităţii şi disponibilităţii îl pot avea asupra resurselorasupra resurselor


B. Evaluarea riscurilor :B. Evaluarea riscurilor :

a)a) evaluarea prejudiciului care poate rezulta dintr-un incident evaluarea prejudiciului care poate rezulta dintr-un incident de securitate, luând în calcul consecinţele potenţiale ale de securitate, luând în calcul consecinţele potenţiale ale pierderii confidenţialităţii, integrităţii şi disponibilităţii pierderii confidenţialităţii, integrităţii şi disponibilităţii resurselor;resurselor;

b)b) evaluarea realistică a probabilităţii de apariţie a unui evaluarea realistică a probabilităţii de apariţie a unui incident având în vedere ameninţările şi vulnerabilităţile incident având în vedere ameninţările şi vulnerabilităţile predominante asociate cu aceste resurse, ca şi măsurile predominante asociate cu aceste resurse, ca şi măsurile de control (protecţie) existente;de control (protecţie) existente;

c) c) estimarea nivelului riscurilor;estimarea nivelului riscurilor;

d)d) ddeterminarea dacă riscul este acceptabil sau necesită eterminarea dacă riscul este acceptabil sau necesită tratare în baza criteriilor de acceptare stabilite.tratare în baza criteriilor de acceptare stabilite.


C. C. Identificarea şi evaluarea opţiunilor de tratare a riscurilor Identificarea şi evaluarea opţiunilor de tratare a riscurilor (Tratarea riscurilor)(Tratarea riscurilor)

a)a) aplicarea măsurilor adecvate;aplicarea măsurilor adecvate;

b)b) acceptare în cunoştinţă de cauză şi argumentat, în acceptare în cunoştinţă de cauză şi argumentat, în condiţiile satisfacerii polticii organizaţiei şi a criteriilor de condiţiile satisfacerii polticii organizaţiei şi a criteriilor de acceptare a riscurilor;acceptare a riscurilor;

c)c) eliminarea riscurilor;eliminarea riscurilor;

d)d) transferarea riscurilor altor părţi.transferarea riscurilor altor părţi.

D. Selectarea obiectivelor şi măsurilor pentru tratarea D. Selectarea obiectivelor şi măsurilor pentru tratarea riscurilorriscurilor

Procesul de MR

Stabilirea Contextului

Identificarea/analiza Riscurilor

Evaluarea Riscurilor:

ProbabilitateConsecinte

Nivel de risc

Tratarea Riscurilor

Com

unic

ă şi

con

sultă

Mon

itoriz

are

şi A

naliz

ă

Plan-Do-Check-Act

Analiza de risc

Tratarea riscurilor

Monitorizarea riscurilor

Imbunatatire

Plan

ActDo

Check

Identificarea ameninţărilor şi vulnerabilităţilor

Ameninţările - surse accidentale sau voite de evenimente

Exploatează o vulnerabilitate

Factori de analiză:– Resursa– Acces– Actor– Motivaţie– Impact

Vulnerabilităţile -slăbiciuni asociate resurselor în:– Mediul fizic– Personal,

management, administraţie

– Hardware, software, comunicaţii

Cauzează daune numai dacă sunt exploatate de ameninţări

Exemple

Calculul riscurilorMetode cantitativeMetode cantitative

AV – valoarea resursei SMSIAV – valoarea resursei SMSIEF – factorul de expunere (valoarea procentuala EF – factorul de expunere (valoarea procentuala a impactului din valoarea resursei)a impactului din valoarea resursei)

SLE = AV x EF SLE = AV x EF (Ex. 150.000 lei X 25%= (Ex. 150.000 lei X 25%= 37.500 lei pierdere la o apa37.500 lei pierdere la o aparritie a riscului)itie a riscului)

SLE – impactul SLE – impactul unui risc la unui risc la oo aparitie aparitieARO – rata (frecventa) de manifestare a ARO – rata (frecventa) de manifestare a incidentuluiincidentuluiALE – impactul ALE – impactul totaltotal estimat al estimat al risculuiriscului

ALE ALE = SLE x ARO = SLE x ARO (Ex. 37.500 lei X 0,1 - o (Ex. 37.500 lei X 0,1 - o frecventa a riscului de 1 la 10 ani= 3.700 frecventa a riscului de 1 la 10 ani= 3.700 lei)lei)

Calculul riscurilorMetode calitative

Exemplu de calcul: evaluarea separată a ameninţărilor şi vulnerabilităţilor

Nivel ameninţare Scăzut Mediu Ridicat

Nivel vulnerabilitate

S M R S M R S M R

Valoare a bunului

0 0 1 2 1 2 3 2 3 4

1 1 2 3 2 3 4 3 4 5

2 2 3 4 3 4 5 4 5 6

3 3 4 5 4 5 6 5 6 7

4 4 5 6 5 6 7 6 7 8

Calculul riscurilor

Metode cantitativeMetode cantitativeAvantajeAvantaje

Caracter obiectiv Caracter obiectiv Formalism convenabil top-managementuluiFormalism convenabil top-managementuluiFaciliteaza analiza cost-efectFaciliteaza analiza cost-efectSe preteaza aplicatiilor softwareSe preteaza aplicatiilor software

DezavantajeDezavantajeLipsa unor valori unanim recunoscute pentru Lipsa unor valori unanim recunoscute pentru factorii de expunere sau ratele de aparitiefactorii de expunere sau ratele de aparitieDificultatea de aplicare completa a metodeiDificultatea de aplicare completa a metodeiComplexitate mareComplexitate mareCredibilitate scazutaCredibilitate scazuta

Calculul riscurilor - Metode calitative

AvantajeAvantaje

• permite elaborarea metodei adecvate organizatieipermite elaborarea metodei adecvate organizatiei

• suport intuitiv pentru managementul riscurilor organizatieisuport intuitiv pentru managementul riscurilor organizatiei

• permite stabilirea de prioriati in tratarea riscurilorpermite stabilirea de prioriati in tratarea riscurilor

• costurile de aplicare sunt redusecosturile de aplicare sunt reduse

• adecvata abordarii PDCA adecvata abordarii PDCA

DezavanjeDezavanje

• o anumita doza de subiectivismo anumita doza de subiectivism

• suport redus pentru analiza cost/efectsuport redus pentru analiza cost/efect

Tratamentul riscurilor

Aplicarea măsurilor de control adecvate pentru reducerea riscurilor

Înţelegerea şi acceptarea conştientă a riscurilor în măsura în care sunt satisfăcute politica organizaţională şi criteriile de acceptare a riscului

Eliminarea riscului– Renunţarea la unele activităţi– Mutarea unor bunuri în zone mai puţin expuse– Renunţarea la procesarea unor informaţii sensibile

Transferarea riscurilor asociate activităţii altor părţi– Asigurare, outsourcing, scoaterea din S.M.S.I

Selectarea măsurilor de control

ISO 27002 ISO 27001Alte criterii

– Uşurinţa utilizării– Transparenţa în raport cu utilizatorul– Sprijinul asigurat utilizatorului– Eficienţa măsurii de control– Tipul de funcţie realizat: prevenire, împiedicare, detecţie, refacere, corectare,

monitorizare, semnalizare– Asigurarea unui echilibru între funcţii– Factorul de cost

Acţiune– Reducerea probabilităţii ca ameninţarea sau vulnerabilitatea să cauzeze un

incident– Asigură respectarea cerinţelor legale sau de activitate– Reduce impactul în caz de incident– Detectează evenimentele nedorite, reacţionează şi contracarează

Avantajele managementului riscurilor Avantajele managementului riscurilor informaticeinformatice??

– Creşterea gradului de conştientizare a riscurilor de securitate şi a practicilor recomandate pentru utilizatorii de calculatoare

– Asigurarea resurselor umane şi de competenţă pentru administratorii de reţele şi alte funcţii importante în asigurarea obiectivelor de securitate informatică

– Utilizarea eficace si eficienta a soluţiilor tehnice destinate sporirii gradului de securitate informatică

– Prevederea unor proceduri şi a unor capacităţi corespunzătoare de răspuns la incident; business continuity, disaster rocovery, survivability

Sistemul de management al securităţii informaţiilor – factor decisiv în protejarea afacerilor

Obiectivele standardelor ISO 27002 si ISO 27001

Studiu de caz (1)

Obiectivele studiului de caz:

Stabilirea şi documentarea unei strategii de securitate în cadrul S.C. “Contract” S.A. (Faza PLAN):

Activităţi documentate:

1 - Prezentarea firmei;

2 – Stabilirea/continutul politicii de securitate;

3 – Cadrul organizatoric şi de coordonare a securităţii inf

4 – Metodologia de evaluare a riscurilor

5 - Identificarea şi clasificarea resurselor (bunurilor informaţionale). Registrul resurselor.

6- Analiza şi evaluarea riscurilor de securitate. Scenarii de risc. Registrul riscurilor;

7 - Eaborarea planului de tratare a riscurilor;

8 - Elaborarea declaraţiei de aplicabilitate a standardului ISO 27001

Studiu de caz (2)

1. Prezentarea S.C. “Contract” S.A.:

Obiect de activitate: “Comertul ‘en-gros si en-detail’” cu produse industriale altele decit cele declarate ca avind regim special sau agroalimentare.Cifra de afaceri: aproximativ 10 mil euroanual.Personal: 104 in mediean din care: 4 – personal de conducere; 02 – personal de informatică (inclusiv administratorul de retea); 8 – personal tehnic (subinigineri - ingineri cu specializare in

domeniile constructii, electrotehnica, transporturi, tehnologia constructiilor de masini); 40 – personal pentru aprovizionare – desfacere(manipulanti, gestionari, lucrători comerciali, şefi depozite, merceologi); 30 – personal tehnic de executie (electricieni, macaragii, sudori, strungari, frezori, soferi; 12 – personal financiar – contabil (casieri, contabili, economisti); 8 – personal logistica(juridic, salarizare, facilities);

Studiu de caz (3)

1. Prezentarea S.C. “Contract” S.A.- continuare:

Actionariat: director general (40%); director comercial (25%), director economic (20%), director tehnic (15%).

Organizatia isi desfasoara activitatea in locaţii din cadrul localităţii, în locaţii situate în cadrul judeţului şi în alte judeţe.Locaţiile au urmatoarele destinaţii:

- sediu,- depozite centrale (numai în localitatea în care

organizaţia işi are sediul),- depozite(“en-gros”; în diverse localităţi din

ţara),- magazine(“en-detail”; în diverse localităţi din

ţara).

Studiu de caz (4)


Bunurile fizice ale organizatiei sunt asigurate. Nu au fost inregistrate cazuri de furt sau spargeri.

Structura personalului este destul de stabila, in peste 15 ani de activitate iregistrindu-se doar cazuri de pensionare.

Activitatea organizaţiei nu a fost afectată de incendii sau inundaţii.

Nu sunt definite şi implementate măsuri de securitate fizică, birourile se incuie de ultima persoana care paraseşte incaperea în care işi desfăşoară activitatea.

Încaperile nu dispun de dulapuri cu incuietori destinate depozitarii documentelor confidentiale.

Informatiile vehiculate in organizatie sunt catalogate informal ca fiind confidentiale, de uz intern si publice.

Studiu de caz (5)


La nivelul locatiei de bază (sediul organizaţiei) exista o reţea informatică; resursele informatice sunt accesate remote (linie telefonică închiriată) de utilizatorii care îşi desfăşoară activitatea în celelalte locaţii.

Serviciile de comunicatii (date, voce, e-mail si internet) sunt externalizate către o organizaţie specializată.Activitatile de Back-up sunt asigurate, aleator, de cei doi informatocieni, pe CD-uri; nu sunt realizate proceduri automate de Back-up, nu se tin evidente.

Reteaua informatica nu a fost afectata de soft malitios sau virusi.

Studiu de caz (6)

2. Politica de Securitate a S.C. CONTRACT S.A.

Strategia de securitate a S.C. CONTRACT S.A. va fi prezentată intr-un document “Politica de Securitate a S.C. CONTRACT S.A.”, document care va fi elaborat in conformitate cu recomandarile standardelor ISO 27002, si prevederile actelor normative in vigoare pe teritoriul Romaniei.

Documentul “Politica de Securitate a S.C. CONTRACT S.A.” va evidentia reperele de baza privind strategia de securitate a S.C. CONTRACT S.A.:

- rolurile şi responsabilităţile privind implementarea strategiei de securitate;

Studiu de caz (7)

2. Politica de Securitate a S.C. CONTRACT S.A. - continuare

- existenta unei viziuni clare a managementului organizaţiei şi o comunicare efectiva a acesteia către personalul organizaţiei, aspect fundamental pentru asigurarea eficienţei oricaror proceduri şi măsuri de securitate specifice;

- modul în care s-au identificat cerinţele de securitate considerind ca surse principale: analiza riscurilor, legislaţia existenta, standardele si procedurile interne;

- modul de tratare a riscurilor proprii sau induse de terţi sau subcontractori care au acces la resursele organizatiei;

Studiu de caz (8)

2. Politica de Securitate a S.C. CONTRACT S.A. - continuare

- scopului politicii: asigurarea unui climat de siguranta necesar desfăşurării şi continuităţii activităţii organizaţiei;

- obiectivele politicii– de a asigura confidentialitatea, integritatea, disponibilitatea privind resursele, în condiţii de risc acceptate de managementul organizatiei; - resursele care fac obiectul strategiei de securitate: informatiile, aplicatiile soft, retele informatice si de comunicatii, echipamente tehnice, echipamente informatice si de comunicatii, cladiri, incaperi, utilitati(energie electrica, energie termica, etc.), ersonalul, etc.;

Studiu de caz (9)

2. Politica de Securitate a S.C. CONTRACT S.A. - continuare- planul de continuitate a afacerii (creare, actualizare, testare),

- instruirea salariatilor; raportarea si investigarea incidentelor de securitate; principiile care sustin intregul proces (controlul dual, segregarea atributiilor, derularea activitatii cu privilegii minime, planificarea contingenţei, “orice acces care nu este in mod explicit permis este in mod implicit interzis”, politica biroului curat;

- documente interne (norme, proceduri, planuri de actiune) prin care se va realiza implementarea si aplicarea strategiei de securitate;

- obligativitatea personalului de a lua act, a intelege si a respecta politica si toate reglementarile, conform cu documentatiei SMSI prin care se asigura relizarea obiectivelor strategiei politicii de securitate a S.C. CONTRACT S.A. ;

Studiu de caz (10)

3. Cadrul organizatoric şi de coordonare a securităţii inf

- Consiliul de Administratie reprezintă structura organizatorică care iniţiază şi controlează implementarea strategia şi mecanismelor de securitate în cadrul organizatiei;

- personalul este obligat să raporteze (la adresa [email protected] in situtatii deosebite se vor folosi alte canale de comunicare:FAX - 9999.99.99.99, telefonia fixa - 9999.99.99.88) toate incidentele de securitate asupra resurselor care fac obiectul strategiei de securitate, vulnerabilitati (chiar susceptibile) ale resurselor respective pentru minimizarea efectelor negative, stabilirea cauzelor, eliminarea (masuri reactive) vulnerabilitatilor identificate, stabilirea de masuri proactive;

-

Studiu de caz (12)

4. Metodologia de evaluare a riscurilor.

(e1): Se identifica activele/bunurile asociate activitatii;

(e2): Activele/bunurile sunt clasificate in functie de importanta si

valoarea lor pe o scară de la 1 la 3 unde (1 = valoare mica, 2 = valoare medie, 3 = valoare mare);

(e3): Se identifica vulnerabilităţile şi ameninţările asociate

Activelor/bunurilor;

(e4): Se evalueaza impactul amenintarilor;

(e5): Se evalueaza frecventa de manifestare/probabilitatea unei

amenintari (posibilitatea ca o anumita amenitare sa se materializeze)

(e6): Se calculeaza riscul asociat fiecarui activ/bun pe baza unei matrice

în care input-uri sunt valoarea, impactul si probabilitatea.

Riscul se calculeaza considerind obiectivele de baza ale unei politicii de securitate a informatiei: Co(nfidentialitatea)/

In(tegritatea)/ Di(sponibilitatea). ;

Studiu de caz (13)

5. Identificarea şi clasificarea resurselor (bunurilor informaţionale). Registrul resurselor (e1 şi e2).

Bunurile-resursele informaţionale sunt identificate de către proprietarii proceselor, asistaţi de de RSI, acestea fiind înscrise în Registrul Activelor. Registrul Activelor face referire la documente de referinţe care detaliază toate informaţiile necesare pentru recuperare în urma unui dezastru, inclusiv tipul activului, formatul, amplasamentul, informaţiile de rezervă, informaţii privind licenţa, valoarea comercială. Identificarea resurselor se face pentru fiecare proces în parte. Evaluarea Resurselor se face pe baza impactului potenţial pe care îl poate avea pierderea Confidenţialităţii, Integrităţii sau Disponibilităţii resursei asupra organizaţiei.

Activele/bunurile sunt clasificate in functie de importanta si valoarea lor pe o scara de la 1 la 3 unde: 1 = valoare mica, 2 = valoare medie, 3 = valoare mare.

Studiu de caz (14)

5. Registrul resurselor.

Activ/bun Proprietar Valoare

Active informationale- format electronic:

Fisiere de date neprelucrate Ionescu I. 3

Fisiere de date prelucrate 3

Rapoarte management & autoritati(pentru printare si semnare) 2

Documentaţie sisteme 1

Proceduri operationale 1

Active informationale – hartie: Facturi si alte documente justificative Popescu 2Rapoarte finale de conformitate 1

Rapoarte intermediare de verificare destinate controlului dual 1

Studiu de caz (15)

5. Registrul resurselor - continuare

Contracte 2Corespondenta parteneri 1

Active software: Georgescu I

Aplicatii - server si client - prelucrare date si generare rapoarte 3

Sistem de operare server 2

Sisteme de operare PC 2

Parole administrare server & PC 3

Parole utilizator PC 2

Active hardware: Georgescu IServer baze de date 3

Statii PC 2

Studiu de caz (16)

5. Registrul resurselor - continuare

Imprimante 2Facilitati: Anton P.

Energie electrica 2

Aer conditionat 2

Personalul:

Personal administrare & conducere 3

Personal operare & executie 2

Outsourcing:

Sisteme de comunicatii(date, Internet, e-mail, IP - voice) 3

Studiu de caz (17)

6. Analiza şi evaluarea riscurilor de securitate. Scenarii de risc. Registrul riscurilor

Pentru fiecare resursă inclusă în inventarul activelor, proprietarul de proces, împreună cu RSI identifică ameninţările şi vulnerabilităţile care pot afecta activul respectiv şi implicit activitatea de bază a organizaţiei.

Pentru a avea o cuprindere cât mai exactă a ameninţărilor, riscurile de securitate sunt identificate cu ajutorul elementelor ce le compun: ameninţarea, vulnerabilitatea pe care ameninţarea respectivă o poate exploata şi impactul pe care îl poate avea fructificarea ameninţării.

Identificarea ameninţărilor se face pornind de la identificarea Agentului ameninţării. Agentul ameninţării este asociat cu tipul ameninţării (de natură umană, naturală, tehnologice) şi categoriile de ameninţări (interne, externe, asociate, foc, apă, vibraţii, violenţă,

biologice, de infrastructură, de sistem etc).

Studiu de caz (18)

6. Identificare vulnerabilitati şi amenintari (e3)Vulnerabilitati Amenintari Cauze N=

naturaele, U=umane

neintetionate, I= umane

intentionate,

Bun/Activ Componenta afectată (C,

I, D)

Lipsa monitorizare mediu Cutremur N Toate I, D

Lipsa monitorizare mediu Inundatie N, U, I Toate I, D

Lipsa monitorizare mediu Foc N, U, I Toate I, D

Lipsa monitorizare mediu Contaminare mediu N, U, I Personal D

Lipsa monitorizare mediu Perturbatii industriale

N, U, I Hard, Soft, Outs D

Modul defectuos de intretinerecuratenie Particule praf N Hard D

Lipsa monitorizare mediu Defectiune aer conditionat

N, U, I Hard D

Documentare si instruire insuficienta Deranjamente hardware

U, I Hard D

Documentare si instruire insuficienta Erori de intretinere U Hard I, D

Lipsa documentare,instruire deficitara

Erori de utilizare, operare, administrare

U Soft I, D

Studiu de caz (19)

6.Identificare vulnerabilitati şi amenintari (e3)-continuareLipsa politici de controlul fizic accesului Furt I Resurse

informationale, Hard

C, I, D

Lipsa politici de control fizic acces; Lipsa politici de control logic al accesului; Lipsă politică privind biroul curat; Instruire deficitara utilizatori ; Acces nelimitat la servicii web-based mail, web-chat

Acces neautorizat la informatii si servicii

U, I Resurse informationale,

Hard, Outs

C

Retea in locuri nesupraveghea si in spatiul public

Interceptare comunicatii I Resurse informationale,

Outs

C, I

Instruire deficitara utilizatori – mod de administrare deficitar al parolelor

Substituire identitate I Resurse informationale

C, I

Drepturi admin, lipsa proceduri Acces floppyCD, Lipsa monitorizare si control regulat

Utilizare ilegala de software

U Soft C, I, D

Lipsa politică utilizare internet – lipsa Protectie serverOutS: lipsa procedura

Haking U Resurse inf., Outs C, I, D

Acces internet – protectie inadecvata Virusi & Cod malitios N, U, I

Hard, Soft C, I, D

Instruire deficitara Nerespectare proceduri operationale (administrare, acces, operare)

U, I Resurse informationale, Soft, Personal

C, I, D

Numar insuficient de personal Lipsa personal U, I Personal D

Studiu de caz (20)

6. Stabilirea impactului şi probabilităţii amenintarilor identificate (e4), (e5)

Impactul amenintarii va fi evaluat pe urmatoarea scara:

In – impact nesemnificativ (sistemul este functional, nu sunt consecinte majore,

securitatea nu este compromisa); Is – impact semnificativ (performanta

sistemului este afectata, consecintele pot fi

apreciate ca fiind semnificative, securitatea unor componente ale sistemului este compromisa); Im – impact major (sistemul nu mai este functional, consecintele

sunt foarte grave, securitatea sistemului este compromisa).

· Frecventa/probabilitatea unei amenintari – (e5).

Frecventa/probabilitatea de manifestare a unei amenintari reprezinta gradul in care ea se poate produce in realitate.

Acesata depinde de cat de expus este activul unor contacte cu exteriorul sau cat de cunoscute sunt caracteristicile acestei resurse.

Probabilitatea unei amenintari va fi cuantificata astfel:

Pn – valoare probabilistica nesemnificativa,

Ps – valare probabilistica semnificativa,

Pm – valoare probabilistica majora.

Studiu de caz (21)

6. Evaluarea riscului – (e6).

Pentru fiecare activ identificat in Registrul activelor, pe baza valorii, a impactului ameninţăriii şi a probabilitătii acesteia se va calcula nivelul de risc conform matricei:

RISC

Impactul ameninţării

In Is Im

Probabilitate

a amenintarii Pn Ps Pm Pn Ps Pm Pn Ps Pm

Valoarea

Activului

1 1 1 2 2 3 4 4 5 52 1 2 3 3 4 4 5 5 53 2 2 3 3 4 5 5 5 5

Semnificatia valorilor: 5 = risc foarte mare, 4 = major, 3 = semnificativ, 2 = redus, 1 = nesemnificativ.

Studiu de caz (22)

6. Evaluarea riscului confidenţialitate.

Activ Valoare Impact Probabilitate

Indice de risc

Active informationale- format electronic: Fisiere de date neprelucrate 3 Im Ps 5

Fisiere de date prelucrate 3 Im Ps 5

Rapoarte management & autoritati(pentru printare si semnare) 2 Im Ps 4

Documentaţie sisteme 1 In Pn 1

Proceduri operationale 1 Is Pn 2

Active informationale – hartie:

Facturi si alte documente justificative 2 Is Ps 4

Rapoarte finale de conformitate 1 Is Ps 3

Rapoarte intermediare de verificare destinate controlului dual 1 In Pn 2

Studiu de caz (23)

6. Evaluarea riscului confidenţialitate - continuare

Contracte 2 Is Pn 3

Corespondenta parteneri 1 Is Pn 3

Active software: Aplicatii - server si client - prelucrare date si generare rapoarte 3 - -

Sistem de operare server 2 - -Sisteme de operare PC 2 - -Parole administrare server & PC 3 Im Ps 5Parole utilizator PC 2 Is Ps 4Active hardware:

Server baze de date 3 - - -Statii PC 2 - - -

Studiu de caz (24)

6. Evaluarea riscului confidenţialitate - continuare

Imprimante 2 - - -

Facilitati:

Energie electrica 2 - - -

Aer conditionat 2 - - -

Personalul:

Personal administrare & conducere 3 Is Pn 3

Personal operare & executie 2 Is Pn 3

Outsourcing:

Sisteme de comunicatii(date, Internet, e-mail, IP - voice) 3 Is Pn 3

Studiu de caz (25)

6. Evaluarea riscului Integritate.


Indice de risc



Rapoarte management & autoritati(pentru printare si semnare) 2 Is Ps 4







Studiu de caz (26)

6. Evaluarea riscului Integritate - continuare

Contracte 2 Is Pn 3


Active software: Aplicatii - server si client - prelucrare date si generare rapoarte 3 Im Pn 4

Sistem de operare server 2 Is Pn 3Sisteme de operare PC 2 Is Pn 3Parole administrare server & PC 3 Im Ps 5Parole utilizator PC 2 Is Ps 4Active hardware:

Server baze de date 3 Im Ps 5Statii PC 2 Is Pn 3

Studiu de caz (27)

6. Evaluarea riscului Integritate - continuare

Imprimante 2 In Pn 1

Facilitati:

Energie electrica 2 - - -

Aer conditionat 2 - - -

Personalul:



Outsourcing:


Studiu de caz (28)

6. Evaluarea riscului Disponibilitate.


Indice de risc



Rapoarte management & autoritati(pentru printare si semnare) 2 Is Ps 3







Studiu de caz (29)

6. Evaluarea riscului Disponibilitate - continuare

Contracte 2 Is Pn 3


Active software: Aplicatii - server si client - prelucrare date si generare rapoarte 3 Is Ps 5

Sistem de operare server 2 Is Ps 4Sisteme de operare PC 2 Is Pn 3Parole administrare server & PC 3 Im Ps 5Parole utilizator PC 2 Is Ps 4Active hardware:

Server baze de date 3 Im Ps 5Statii PC 2 Is Pn 3

Studiu de caz (30)

6. Evaluarea riscului Disponibilitate - continuare

Imprimante 2 In Pn 1

Facilitati:

Energie electrica 2 Is Pn 3

Aer conditionat 2 Is Pn 3

Personalul:



Outsourcing:


Studiu de caz (31)

6. Nivelul riscului

Activ Valoare

Indice risc

C I D

Active informationale- format electronic: Fisiere de date neprelucrate 3 5 5 5

Fisiere de date prelucrate 3 5 5 5Rapoarte management & autoritati(pentru printare si semnare) 2 4 4 3

Documentaţie sisteme 1 1 1 1Proceduri operationale 1 2 2 2

Active informationale – hartie: Facturi si alte documente justificative 2 4 4 4Rapoarte finale de conformitate 1 3 3 3Rapoarte intermediare de verificare destinate controlului dual 1 1 1 1

Studiu de caz (32)

6. Nivelul riscului - continuare

Contracte 2 3 3 3

Corespondenta parteneri 1 3 3 3

Active software: Aplicatii - server si client - prelucrare date si generare rapoarte 3 - 4 5

Sistem de operare server 2 - 3 4Sisteme de operare PC 2 - 3 3Parole administrare server & PC 3 5 5 5Parole utilizator PC 2 5 5 5Active hardware:

Server baze de date 3 - 5 5Statii PC 2 - 3 3

Studiu de caz (33)

6. Nivelul riscului - continuare

Imprimante 2 - 1 1

Facilitati:

Energie electrica 2 - - 3

Aer conditionat 2 - - 3

Personalul:

Personal administrare & conducere 3 3 3 3

Personal operare & executie 2 3 3 3

Outsourcing:

Sisteme de comunicatii(date, Internet, e-mail, IP - voice) 3 3 3 3

Studiu de caz (34)

6. Evaluarea riscurilor:

In urma analizei efectuate asupra activitatii S.C. CONTRACT S.A. in conditiile actuale din piaţă, rezulta că materializarea riscurilor identificate şi cuantificate in Analiza de Risc, pot afecta:

Confidenţialitatea: dezavantaje competitive pe piata; pierderi financiare; pierderea increderii partenerilor de afaceri ; pierderi capital imagine; incalcari ale legii si obligatiilor contractuale de confidentialitate;

Integritatea: costuri aditionale financiare; impact negativ asupra deciziilor de management; neconformitate cu obligatiile legii privind contabilitatea;

Disponibilitatea: suplimentar fata de consecintele identificate mai sus: costuri financiare cu recuperarea datelor; intreruperea activitatii.

In aceste conditii, riscul maxim pe care compania este dispusa sa si-l asume este riscul de nivel 3 – semnificativ.

Studiu de caz (35)

7. Planul de tratare a riscurilor

In vederea reducerii nivelului riscurilor critice (cu nivel 4 şi 5) se impun urmatoarele masuri:(m01): Implementarea unui sistem de acces si monitorizare a accesului pe baza de cartela in camera serverului pentru fiecare locatie in parte;

PC-ul pe care este instalat soft-ul de management al accesului si monitorizare va fi instalat in camera serverului;(m02): Sistem de detectie efractie;

(m03): Opacizarea ferestrelor in zonele cu vizibile in zonele sensibile;(m04): Achizitioarea de dulapuri cu inchuietoare pentru depozitarea documentelor confidentiale in format letric si electronic(sau dotarea celor actuale cu sisteme de inchidere);(m05): Elaborarea de reguli privind accesul in incinta S.C. CONTRACT S.A. de catre vizitatori si salariati in cursul programului si afara acestuia;

Studiu de caz (36)

7. Planul de tratare a riscurilor - continuare

(m06): Achizitionarea unui server de back-up;

Elaborarea unei proceduri privind recuperarea datelor; Serverul va fi amplasat intr-o locatie aflata in afara localitatii in

locatia de back--up al furnizorului de Internet;(m07): Dezactivarea drepturilor de administrator

pentru toti salariatii departamentului; Acordarea acestora pe baza baza de solicitare documentata;(m08): Limitarea accesului user-ilor la unitatile de floppy si CD precum si la USB;(m09): Limitarea traficului accesului pe internet in zonele cu risc potential si blocarea accesului la web-based mail, web-chat;

Reguli de utilizare acceptabila a postei electonice;(m10): Elaborarea si implementarea de reguli privind politica biroului si a ecranului curat;

Studiu de caz (37)


(m11): Implementarea si activarea optiunilor de administrare a parolelor de acces; Elaborarea de reguli privind manipularea si alegerea optima a parolelor;

(m12): Elaborarea unei reglementari privind clasificarea informatiilor si reguli de gestiune a acestora atat in interiorul organizatiei cat si in exteriorul acesteia;

Introducere angajamentului de confidentialitate;(m13): Standardizarea statiilor de lucru in functie de atributiile de serviciu ale salariatilor;Interzicerea utilizarii de soft neautorizat sisau nelicentiat;(m14): Elaborarea si implementarea de reguli pentru utilizarea in siguranta a echipamentelor portabile;

Dotarea acestora cu dispozitive pentru criptare datelor(card, token etc); (m15): Instalarea unui software antivirus – licenta corporate;

Studiu de caz (38)


(m16): Elaborarea si implementarea unei proceduri pentru angajarea salariatilor(pre-screening) cat si pentru incetarea relatiei de munca(perioada de preaviz – drepturi de acces – predare doucumente si documentatie – foaie de lichidare);;

(m17): Instruire pe probleme de securitate a salariatilor la angajare(una zi) si instruire semestriala cu tot personalul (doua ore);

Atunci cand este cazul se va utiliza news-letter pentru semnalarea unor amenintari iminente de tipul virus si cod mailitios.

Studiu de caz (39)

7. Planul de tratare a riscurilor - corelatia dintre active, riscuri si masuri

Activ

Valoare

Indice risc Măsuri

C I D

Active informationale- format electronic: Fisiere de date neprelucrate 3 5 5 5 m01, m02, m03, m05, m06,

m08, m09, m11, m12, m13, m14, m15

Fisiere de date prelucrate 3 5 5 5 m01, m02, m03, m05, m06, m08, m09, m11, m12, m13, m14, m15, m16

Rapoarte management & autoritati(pentru printare si semnare) 2 4 4 3 m01, m02, m03, m05, m06,

m08, m09, m11, m12, m13, m14, m15, m16

Documentaţie sisteme 1 1 1 1 -

Proceduri operationale 1 2 2 2 -

Active informationale – hartie: Facturi si alte documente justificative 2 4 4 4 m01, m02, m03, m04, m05,

m10, m12, m16, m17

Rapoarte finale de conformitate 1 3 3 3 -

Rapoarte intermediare de verificare destinate controlului dual 1 1 1 1 -

Studiu de caz (40)


Contracte 2 3 3 3 -

Corespondenta parteneri 1 3 3 3 -

Active software: Aplicatii - server si client - prelucrare date si generare rapoarte 3 - 4 5 m06

Sistem de operare server 2 - 3 4 m06

Sisteme de operare PC 2 - 3 3 -

Parole administrare server & PC 3 5 5 5 m10, m11, m12, m17

Parole utilizator PC 2 5 5 5 m10, m11, m12, m13, m14, m17

Active hardware: Server baze de date 3 - 5 5 m001, m02, m03, m05, m06, m08,

m9, m11, m12, m13, m14, m15

Statii PC 2 - 3 3 -

Studiu de caz (41)


Imprimante 2 - 1 1 -

Facilitati:

Energie electrica 2 - - 3 -

Aer conditionat 2 - - 3 -

Personalul:

Personal administrare & conducere 3 3 3 3 -

Personal operare & executie 2 3 3 3 -

Outsourcing:

Sisteme de comunicatii(date, Internet, e-mail, IP - voice) 3 3 3 3 -

Studiu de caz (42)

8. Declaraţia de aplicabilitateIndicativul

măsurii Denumirea măsuriiAplicabil Da / Nu

Termen

A.5 Politica de securitate A.5.1. Documentaţia politicii de securitate Da 1 luna A.5.2 Revizuiri şi evaluări Da 6 luni

A.6 Organizarea securităţii informaţiilor A.6.1. Organizarea interna 6 luni A.6.1.1. Angajamentul managementului pentru securitatea informaţiilor Da A.6.1.2. Coordonarea securităţii informaţiilor Da A.6.1.3. Alocarea responsabilităţilor privind securitatea informaţiei Da A.6.1.4. Procesul de autorizare pentru facilităţile de procesare a informaţiilor Da A.6.1.5. Acorduri de confidentialitate Da A.6.1.6. Contactul cu autoritatile Da A.6.1.7. Contactul cu grupuri de interese speciale Da A.6.1.8. Revizuirea independentă a securităţii informaţiilor Da

A.6.2. Părţi externe A.6.2.1. Identif icarea riscurilor legate de accesul terţei părţi Da 3 luni A.6.2.2. Cerinţele de securitate în relaţiile de afaceri cu clienţii Da o luna A.6.2.3. Cerinţele de securitate în acordurile cu terţe părţi Da 3 luni

A.7 Managementul activelor A.7.1. Responsabilitatea pentru active A.7.1.1. Inventarierea bunurilor Da 3 luni A.7.1.2. Dreptul de propritate asupra bunurilor Da 3 luni A.7.1.3. Utilizarea aceptabila a bunurilor Da 3 luni

A.7.2. Clasificarea informatiilor A.7.2.1. Linii directoare pentru clasif icare Da 1 luna A.7.2.2. Etichetarea şi manipularea informaţiilor Da

A.8 Securitatea resurselor umane A.8.1. Înainte de angajare 6 luni A.8.1.1. Roluri şi responsabilităţi Da A.8.1.2. Controlul verif icării Da

Studiu de caz (43)

8. Declaraţia de aplicabilitate A.8.2. Pe timpul angajării A.8.2.1. Responsabilităţile managementului Da 1 luna A.8.2.2. Ameninţările la securitatea informaţiei, educaţie şi instruire Da 2 luni A.8.2.3. Procese disciplinare Da 6 luni

A.8.3. La terminarea angajării sau schimbarea locului de muncă 3 luni A.8.3.1. Responsabilităţi la terminare Da A.8.3.2. Returnarea bunurilor Da A.8.3.3. Revocarea drepturilor de acces Da

A.9. Securitatea fizică şi a mediului A.9.1. Arii de securitate A.9.1.1. Perimetrul de securitate f izică Da 3 luni A.9.1.2. Controlul accesului f izic Da 3 luni A.9.1.3. Securizarea birourilor, camerelor şi facilităţilor Da 3 luni A.9.1.4. Protecţia împotriva ameninţărilor externe şi de mediu Da 3 luni A.9.1.5. Lucrul în cadrul zonelor de securitate Da 3 luni A.9.1.6. Arii de acess al publicului, de livrare şi încărcare Nu

A.9.2. Securitatea echipamentului 2 luni A.9.2.1. Amplasarea şi protejarea echipamentului Da A.9.2.2. Utilităţi de susţinere Da A.9.2.3. Securitatea cablurilor Da A.9.2.4. Mentenanţa echipamentului Da A.9.2.5. Securitatea echipamentelor în afara zonelor de securitate Da A.9.2.6. Dezafectarea în siguranţă şi reutilizarea echipamentului Da A.9.2.7. Înstrăinarea resurselor proprietare Da

Studiu de caz (44)

8. Declaraţia de aplicabilitate

A.10 Managementul comunicatiilor si al operatiilor A.10.1. Proceduri şi responsabilităţi operaţionale A.10.1.1. Proceduri de operare documentate Da 3 luni A.10.1.2. Managementul modif icărilor Da 3 luni A.10.1.3. Segregarea atribuţiilor Da 3 luni A.10.1.4. Separarea facilităţilor operaţionale, de test şi de dezvoltare Da 3 luni

A.10.2. Managementul furnizării de servicii de terţă parte A.10.2.1. Furnizarea de servicii Da 3 luni A.10.2.2. Monitorizarea şi revizuirea serviciilor de terţă parte Da 3 luni A.10.2.3. Direcţionarea schimbării serviciilor de terţă parte Da 3 luni

A.10.3. Planificarea şi acceptanţa sistemului A.10.3.1. Managementul capacităţii Da 1 luna A.10.3.2. Acceptanţa sistemului Da 1 luna

A.10.4. Protecţia împotriva softului maliţios şi mobil A.10.4.1. Măsuri împotriva softului maliţios Da 1 luna A.10.4.2. Măsuri împotriva softului mobil Da 1 luna

A.10.5. Back-up A.10.5.1. Informaţia de back-up Da 1 luna

A.10.6. Managementul securităţii reţelelor A.10.6.1. Controalele reţelei Nu A.10.6.2 Securitatea serviciilor de reţea Nu

A.10.7. Manipularea şi securitatea mediilor de stocare A.10.7.1. Managementul suporturilor de date amovibile Da 1 luna A.10.7.2. Depozitarea suporturilor de date Da 2 luni A.10.7.3. Procedurile de manipulare a informaţiilor Da 2 luni A.10.7.4. Securitatea documentaţiei de sistem Da 2 luni

Studiu de caz (45)

8. Declaraţia de aplicabilitate A.10.8. Schimbul de informaţii A.10.8.1. Politici şi proceduri privind schimbul de informaţii Da 3 luni A.10.8.2. Acorduri privind schimburile de informaţii Nu A.10.8.3. Securitatea mediilor în tranzit Da 3 luni A.10.8.4. Mesageria electronică Da 3 luni A.10.8.5. Sisteme pentru informaţia de business Nu

A.10.9. Serviciile de comerţ electronic A.10.9.1. Comerţul electronic Nu A.10.9.2. Tranzacţii on-line Nu A.10.9.3. Informaţia disponibilă public Nu

A.10.10. Monitorizarea A.10.10.1. Logurile de audit Da 1 luna A.10.10.2 Monitorizarea utilizării sistemului Da 1 luna A.10.10.3. Protecţia informatiei de log Da 1 luna A.10.10.4. Loguri pentru administrator si operatori Da 1 luna A.10.10.5. Logarile gresite Da 1 luna A.10.10.6. Sincronizarea ceasului Da 1 luna

A.11 Controlul accesului

A.11.1. Cerinţele afacerii pentru controlul accesului A.11.1.1. Politica de control al accesului Da 2 luni

A.11.2. Managementul accesului utilizatorilor A.11.2.1. Înregistrarea utilizatorilor Da 1 luna A.11.2.2. Managementul privilegiului Da 1 luna A.11.2.3. Managementul parolelor utilizatorilor Da 1 luna A.11.2.4. Revizuirea drepturilor de acces ale utilizatorilor Da la 3 luni

Studiu de caz (46)


A.11.3. Responsabilităţile utilizatorilor A.11.3.1. Utilizarea parolei Da 1 luna A.11.3.2. Echipamentul nesupravegheat Da 1 luna A.11.3.3. Politica biroului si ecranului curate Da 1 luna

A.11.4. Controlul accesului la reţea A.11.4.1. Politica de utilizare a serviciilor de reţea Nu A.11.4.2. Autentif icarea utilizatorului pentru conectări externe Nu A.11.4.3. Identif icarea echipamentului in retele Nu A.11.4.4. Diagnosticarea de la distanţă si configurarea protecţiei porturilor Nu A.11.4.5. Separarea reţelelor Nu A.11.4.6. Controlul conectării la reţea Nu A.11.4.7. Controlul rutării în reţea Nu

A.11.5. Controlul accesului la sistemul de operare A.11.5.1. Procedurile de logare securizate Da 1 luna A.11.5.2. Identif icarea şi autentif icarea utilizatorului Da 1 luna A.11.5.3. Sistemul de management al parolelor Da 1 luna A.11.5.4. Utilitare de sistem Da 1 luna A.11.5.5. Sesiune time-aut Da 1 luna A.11.5.6. Limitarea timpului de conectare Da 1 luna

A.11.6. Controlul accesului la aplicaţii si informatii A.11.6.1. Restricţionarea acceslui la informaţii Da 1 luna A.11.6.2. Izolarea sistemelor sensibile DA 1 luna

A.11.7. Calculatoare mobile si lucrul la distanta A.11.7.1. Calculatoare mobile si facilitati de comunicatii Da A.11.7.2. Lucrul la distanta Nu

Studiu de caz (47)


A.12 Achizitia, dezvoltarea si mentenanta sistemelor informationale A.12.1. Cerinţe de securitate ale sistemelor informationale A.12.1.1. Analiza şi specif icarea cerinţelor de securitate Nu

A.12.2. Procesarea corecta in aplicaţii A.12.2.1. Validarea datelor de intrare Nu A.12.2.2. Controlul proceselor interne Nu A.12.2.3. Integritatea mesajelor Nu A.12.2.4. Validarea datelor de iesire Nu

A.12.3. Controale criptografice A.12.3.1. Politica utilizării controalelor criptografice Da 3 luni A.12.3.2. Managementul cheilor Da 3 luni

A.12.4. Securitatea fişierelor de sistem A.12.4.1. Controlul softw are-ului operaţional Nu A.12.4.2. Protecţia datelor de testare a sistemului Nu A.12.4.3. Controlul accesului la codul sursă Nu

A.12.5. Securitatea proceselor de dezvoltare şi suport 6 luni A.12.5.1. Procedurile de control al schimbărilor Da A.12.5.2. Revizuirea tehnică a aplicaţiilor după schimbarea sistemului operaţional Da A.12.5.3. Restricţionarea modif icărilor softw are-ului Da A.12.5.4. Informaţia ascunsă Da A.12.5.5. Surse externe de dezvoltare a softw are-ului Nu

A.12.6. Managementul vulnerabilitatilor tehnice A.12.6.1. Controlul vulnerabilitatilor tehnice Da

Studiu de caz (48)

8. Declaraţia de aplicabilitateA.13 Managementul incidentelor de securitate a informatiei A.13.1. Raportarea incidentelor si vulnerabilitatilor de securitate A.13.1.1. Raportarea incidentelor de securitate Da 6 luni A.13.1.2. Raportarea vulnerabilitatilor de securitate Da 6 luni

A.13.2. Managementul incidentelor de securitate a informatiei si perfectionare A.13.2.1. Responsabilitati si proceduri Da 6 luni A.13.2.2. Invatarea din incidentele de securitate Da 6 luni A.13.2.3. Colectarea dovezilor Da 6 luni

A.14 Managementul continuităţii afacerii A.14.1. Aspecte ale managementului continuităţii afacerilor A.14.1.1. Includerea securităţii informaţiei în procesul de management al continuităţii afacerilorDa 12 luni A.14.1.2. Continuitatea afacerilor şi evaluarea riscurilor Da 12 luni A.14.1.3. Dezvoltarea şi implementarea planurilor de continuitate bazate pe securitatea informaţiilorDa 12 luni A.14.1.4. Structura de aplicare a planurilor de continuitate Da 12 luni A.14.1.5. Testarea, menţinerea şi reanalizarea planurilor Da 12 luni

A.15 Conformitatea A.15.1. Conformitatea cu cerinţele legale A.15.1.1. Identif icarea legislaţiei aplicabile Da 12 luni A.15.1.2. Drepturile de proprietate intelectuală Da 12 luni A.15.1.3. Protejarea înregistrărilor organizaţiei Da 12 luni A.15.1.4. Protecţia datelor şi informaţiilor personale Nu A.15.1.5. Prevenirea utilizării necorespunzătoare a facilităţilor de procesare a informaţiilorDa 12 luni A.15.1.6. Reglementarea controalelor criptografice Nu

A.15.2.Conformitate cu politicile de securitate şi standardele şi reglementările tehnice

A.15.2.1. Conformitatea cu politicile de securitate şi standardele Da 12 luni A.15.2.2. Verif icarea conformităţii tehnice Da 12 luni

A.15.3. Consideraţii asupra auditării sistemelor informaţionale A.15.3.1. Controalele sistemului de audit Da 12 luni A.15.3.2. Protecţia instrumentelor de audit Da 12 luni

Agenda






PlanificareaPlanificarea, implementarea, , implementarea, menţinerea şi îmbunătăţirea unui menţinerea şi îmbunătăţirea unui

SMSISMSI Aplicarea modelului PDCA (Plan-Do-Check-Act)

PLAN: stabilirea şi documentarea strategiei de securitate, identificarea proceselor de bază ale afacerii şi a procedurilor relevante pentru managementul riscului

DO: implementarea şi funcţionarea strategiei, a sistemelor de management proiectate, a proceselor şi procedurilor pentru fiecare sistem în parte

ACT: Menţinerea şi îmbunătăţirea strategiei prin acţiuni corective şi preventive, bazate pe rezultatele auditurilor interne şi revizuirile managementului

CHECK: Monitorizarea şi revizuirea sistemelor, prin evaluări şi măsurări periodice ale performanţei proceselor în raport cu politicile şi obiectivele de securitate şi experienţa practică dobîndite

Planificarea SMSIPlanificarea SMSI

a. Definirea scopului strategiei în concordanţă cu caracteristicele afacerii, ale organizaţiei, locaţiei, bunurilor şi tehnologiei

b. Definirea politicilor de securitate ale organizaţiei (în domeniul informaţiilor)

c. Definirea unei abordări sistematice a analizei de riscd. Identificarea riscurilore. Analiza şi evaluarea riscurilorf. Identificarea şi evaluarea opţiunilor de tratare a riscurilorg. Selectarea măsurilor pentru tratarea riscurilorh. Întocmirea Declaraţiei de Aplicabilitatei. Obţinerea aprobării managementului de a implementa şi opera strategia de securitate a organizaţiei

Faza PLAN: Stabilirea strategiei de securitate

ImImplementarea, menţinerea, plementarea, menţinerea, certificarea SMSIcertificarea SMSI

Faza DO: Faza DO: Care sunt paşii pentru implementarea Care sunt paşii pentru implementarea

ununeiei strategiistrategii de securitate de securitate ??

a) elaborarea planului de tratare a riscurilor (care identifică acţiunile managementului, resursele/bugetul, responsabilităţile, priorităţile etc)

b) implementarea planului de tratare a riscurilor c) implementarea măsurilor de control stabilited) definirea modului de măsurare a eficienţei strategiei şi a

modului de evaluare a eficienţei acestuia e) implementare programe de instruire şi conştientizare f) gestionarea funcţionării strategieig) administrarea resurselor alocate h) implementarea procedurilor şi măsurilor capabile să permită

detectarea evenimentelor de securitate şi managementul acestora


Faza CHECK: Faza CHECK: Monitorizarea şi revizuirea strategiei

După implementarea strategiei organizaţia trebuie:După implementarea strategiei organizaţia trebuie:aa) s) să ă monitorizeze şi revizuiascămonitorizeze şi revizuiască procesele strategiei (detectare procesele strategiei (detectare

erori; identificare breşe, slăbiciuni; detectare evenimente de securitate; erori; identificare breşe, slăbiciuni; detectare evenimente de securitate; evaluarea modului de respectare a responsabilităţilor);evaluarea modului de respectare a responsabilităţilor);

b) b) evaluarea periodicăevaluarea periodică a eficacităţii măsurilor; a eficacităţii măsurilor;c) c) revizuirea analizei de riscrevizuirea analizei de risc (mutaţii în organizaţie, tehnologie, (mutaţii în organizaţie, tehnologie,

obiective de afaceri, procese, ameninţări identificate, efic. măsuri)obiective de afaceri, procese, ameninţări identificate, efic. măsuri)d) efectuarea de d) efectuarea de audituri interneaudituri interne e) e) revizuiri managerialerevizuiri manageriale ale strategiei ale strategieif) f) actualizare plan de securitateactualizare plan de securitateg) să înregistreze şi evalueze acţiunile şi evenimentele cu impact g) să înregistreze şi evalueze acţiunile şi evenimentele cu impact

asupra activităţilor de businessasupra activităţilor de business


Faza Faza ACTACT: : Menţinerea şi îmbunătăţirea strategiei

Organizaţia trebuie să asigure în mod sistematic:Organizaţia trebuie să asigure în mod sistematic:aa) ) implementarea implementarea îmbunătăţiriloîmbunătăţirilor identificate;r identificate;b) b) măsuri corective şi preventivemăsuri corective şi preventive corespunzătoare, inclusiv prin corespunzătoare, inclusiv prin

folosirea experienţei altor organizaţii;folosirea experienţei altor organizaţii;c) c) comunicarea mcomunicarea măăsurilorsurilor de de îîmbunmbunăăttăţăţire tuturor pire tuturor păărrţţilor ilor

interesateinteresated) d) ssăă se asigure c se asigure căă îîmbunmbunăăttăţăţirile irile ating obiectiveleating obiectivele planificate şi planificate şi

conduc la îmbunătăţiri succesiveconduc la îmbunătăţiri succesive

Certificarea unui SMSI În ce constă certificarea ?

evaluarea, de către un organism acreditat, de terţă parte, a conformităţii unui SMSI cu cerinţele de securitate definite

asigurarea că sistemul a fost creat, implementat şi funcţionează conform cu cerinţele standardului de referinţă

Etapele certificării unui SMSI

a) Contactarea O.C.S.M.S.I.

b) Iniţierea certificării SMSI

c) Semnarea contractului

d) Stabilirea echipei de audit

e) Auditul de evaluare

f) Certificarea

g) Supravegerea organizaţiilor certificate

CCare sunt avantajele certificării S.M.S.I.are sunt avantajele certificării S.M.S.I.??

Conferă încredere că SMSI elaborat şi implementat de organizaţie corespunde standardelor în vigoare

Oferă suport pentru menţinerea şi îmbunătăţirea permanentă a SMSI

Conferă partenerilor de

afaceri, colaboratorilor,

administraţiei garanţii

referitoare la managementul

securităţii informaţiilor în

organizaţia certificată

agenda

Documents