smsi curs ingineri sisteme de securitate

Agenda

1. Conceptul de securitate a informaiilor (definiie, elemente fundamentale; ameninri, vulnerabiliti, riscuri, necesitatea asigurrii securitii informaiilor obiectiv, legal, contractual; cadrul normativ)

2. Sisteme de management al securitii informaiilor (SMSI)

3. Managementul riscului

4. Proiectarea, implementarea, monitorizarea i mbuntirea SMSI

5. Certificarea unui SMSI

Ce sunt informaiile?

Cunotiine derivate din orice surs

Informaiile sunt date analizate, comunicate, nelese Sursa: Information Security Management Handbook Auerbach

Publications

Securitatea informaiei necesitate, cerine, reglementri


Definiia informaiilor ?

Informaiile sunt un bun al afacerii, care ca oricare bun al companiei, are valoare i trebuie protejat adecvat

Sursa: ISO/IEC 27001:2005: Introducere

Informaiile trebuie protejate adecvat indiferent de forma pe care o iau sau de mijloacele prin care sunt pstrate sau comunicate

Sursa: ISO/IEC 27001:2005: Introducere

Informaii?

Informaiile afacerii

Accesul la informaii

Tiprite

Pe suport electronic

Comunicate prin pot clasic

Comunicate electronic

Video

Discuii

Contextul Internet

Reea global

Acces rapid, ieftin, discret, fr urm

Trafic n cretere

Oricine de oriunde

Arhitectur structural nesigur TCP-IP

Nivele de securitate

Instituii guvernamentale secrete de stat

Informaii interne confideniale/secret de serviciu

Domenii de activitate secret profesional

Clieni confidenialitate asumat (bnci)

Parteneri de afaceri informaii folosite n comun

Importana informaiei

Protecia informatiilor business critical

Competitie

Cash Flow

Cerinte legale

Reputatie

?


Definiia securitii informaiilor ?

Confidenialitate Asigurarea c informaia este accesibil doar acelora care sunt autorizai s aib acces.

Integritate Protejarea corectitudinii i caracterului complet al informaiei i metodelor de procesare.

Disponibilitate Asigurarea c utilizatorii autorizai au acces la informaii i la bunurile asociate atunci cnd este necesar.


Obiectivele securitii informaiilor ?

Protejarea organizaiei de o palet larg de pericole i ameninri interne i externe cu impact asupra securitii informaiilor

Asigurarea continuitii operaiunilor Minimizarea pagubelor i maximizarea

recuperrii investiiilor i oprtunitilor de afaceri

Meninerea netirbite a competivitii, profitabilitii, legalitii, reputaiei i imaginii organizaiei


Necesitatea asigurrii SI: cerine, ateptri, principii

Cerine complexe i dinamice este necesar un proces de Management al Cerinelor


Necesitatea asigurrii SI: reducerea riscurilor, pierderilor

Riscuri complexe i dinamice este necesar un proces de Management al Riscurilor


R I S C =

o pagub (pierdere) potenial pentru organizaie n situaia cnd o ameninare exploateaz o vulnerabilitate. Riscul este exprimat cel mai bine

de rspunsul la urmtoarele ntrebri: Ce se poate ntmpla (care este ameninarea)? Care este impactul sau consecina? Care este frecvena (ct de des se poate ntmpla)?


Ameninrile - surse accidentale sau voite de evenimente. Ameninarea exploateaz o vulnerabilitate

Vulnerabilitile -slbiciuni asociate resurselor (specifice mediului fizic, personalului, managementului, administraiei, resurselor hardware, software, comunicaii etc). Cauzeaz daune numai dac sunt exploatate de ameninri

Ameninri Vulnerabiliti

Msuri de control Riscuri Bunuri

Cerine de protecie Impact

exploateaz

protejeaz

reduc

expun

au

cresc

cresc

indic

impun

Vulnerabilitati - Amenintati - Riscuri


Liste de ameninri - exemple Securitatea fizic i a

mediului

Incendiu

Atac cu bomb

Cutremur

Contaminare mediu

Inundaie

Fulger

Furt

Preturbaii industriale

Vandalism

Securitatea echipamentului

Defeciune aer condiionat

Particule conductive

Atac cu bomb

Contaminare

Cdere alimentare

Deranjament hardware

Eroare de ntreinere

Software duntor

Accesarea reelei de persoane neautorizate

Eroare de utilizator


Liste de vulnerabiliti - exemple Administrare calculator i reea

Linii de comunicaie neprotejate (interceptare)

Puncte de conexiune neprotejate (infiltrare comunicaii)

Lipsa mecanismelor de identificare i autentificare (substituire identitate)

Transferul parolelor n clar (accesare reea de utilizatori neautorizai)

Linii dial-up (accesare reea de utilizatori neautorizai)

Administrare reea neadecvat (suprancrcare trafic)

Sistem de control al accesului / politic de dezvoltare i ntreinere

Interfa de utilizator complicat (eroare de utilizator)

Lipsa unei proceduri de tergere a mediilor de stocare nainte de reutilizare (utilizare neautorizat software)

Lipsa unui control adecvat al modificrilor (defeciuni software)

Administrare defectuoas a parolelor (substituire identitate)


Asigurarea SI = inerea sub control a riscurilor

Tratarea riscurilor este rezultatul unui proces de management al riscurilor i const n:

- Aplicarea msurilor de control adecvate pentru reducerea riscurilor

- nelegerea i acceptarea contient a riscurilor n msura n care sunt satisfcute politica organizaional i criteriile de acceptare a riscului

- Eliminarea riscului (renunarea la unele activiti; mutarea unor bunuri n zone mai puin expuse; renunarea la procesarea unor informaii sensibile)

- Transferarea riscurilor asociate activitii altor pri (asigurare, outsourcing)


Factori care influeneaz conceperea, elaborarea i implementarea unei strategii de securitate: - mrimea organizaiei i complexitatea proceselor - cerinele de securitate determinate de multiple provocri (interconectarea sistemelor, spionajul corporativ, terorismul cibernetic,

contientizarea angajailor) - volumul sporit al informaiilor sensibile/critice - profilul activitii, nevoile i obiectivele organizaiei - ameninrile i vulnerabilitile prezente la adresa informaiilor prelucrate, stocate i / sau transmise (de natur uman, legate de minimizarea costurilor, de natur tehnic sau externe) - gradul de securitate a sistemelor informatice folosite

gradul de interconectare a sistemelor i serviciilor - interconectarea reelelor interne cu cele publice (Internet) sau private

- volumul resurselor (umane i financiare) disponibile - nivelul de cultur i tradiie n domeniul securitii inf.

Agenda

1. Conceptul de securitate a informaiilor (definiie, elemente fundamentale; ameninri, vulnerabiliti, riscuri; necesitatea asigurrii securitii informaiilor (obiectiv, legal, contractual; cadrul normativ)





S.M.S.I.

parte a sistemului de management al unei organizaii, bazat pe analiza

riscurilor, destinat elaborrii, implementrii, operrii, supravegherii,

meninerii i mbuntirii securitii informaiilor

Standarde aplicabile

ISO 9001/2008 - Cerine pentru sistemele de management al calitii

ISO 27002/2005 - Ghid practic pentru managementul securitii

informaiilor

ISO 27001/2005 Sisteme de management al securitii informaiilor

Specificaii i instruciuni de aplicare

Abordare cuprinztoare, coerent a problematicii

Ce este un SMSI ?

- Existenta unei Politici de Securitate

- Alocarea responsabilitatilor pentru securitate

- Realizarea de training si educare pentru securitatea informatiei

- Raportarea incidentelor de securitate

- Control pentru malicious code - Existenta unui plan de continuare a afacerii business

continuity plan - Existenta controlului asupra proprietatii intelectuale

- Protejarea documentelor si inregistrarilor companiei

- Respectarea (conformitatea) legilor pentru Protectia Datelor

- Demonstratea conformitatii cu politicile de securitate

10 cerine importate care trebuie sa fie indeplinite de un SMSI

Pentru a proteja informatia de un numar

alarmant de amenintari, pentru a asigura continuitatea afacerii si pentru a maximiza intoarcerea investitiei facute precum si a oportunitatilor de afacere

In concluzie: de ce avem nevoie de un SMSI?

securitatea informaiei privit ca un joc (adoptarea unor tehnici i instrumente de securitate ale cror funcii sunt descoperite mai degrab empiric dect n urma apelrii la literatura de specialitate)

contientizarea nevoii de securitate (a aprut atunci cnd organizaiile au realizat c informaiile pe care le dein merit a fi protejate, prin proceduri minimale. Foarte puine au trecut ns la documentarea adecvat a sistemului)

achiziionarea unor soluii sigure de securitate (o parte din bugetul departamentului IT este dedicat soluiilor de securitate, iar organizaia cerceteaz serios metode moderne i sigure de a-i securiza comunicaiile i a se proteja mpotriva atacurilor)

securitatea informaiei este tratat ca o necesitate prioritar, respectiv ca un sistem de management (o securitate a informaiei puternic a devenit un avantaj n cadrul competiiei n afaceri iar bugetul alocat securitii este separat de cel al departamentului IT).

Stadii evolutive n domeniul SI

Top managementul

-aprob scopul SMSI, angajamentul, obiectivele, politica de securitate a informaiilor i toate documentele aferente SMSI; - emite decizii pentru numirea comitetului de securitate i a responsabilului cu securitatea;

-aprob declaraia de aplicabilitate a SMSI i deciziile de tratare a fiecrui risc n parte;

-aprob planul de tratare a riscurilor i toate aciunile manageriale suplimentare pentru monitorizarea, evaluarea i mbuntirea eficienei msurilor de securitate;

-aprob planurile de auditare a SMSI; efectueaz analiza de management pentru SMSI i aprob procesele verbale ale edinelor de analiz, precum i aciunile corective i preventive necesare mbuntirii SMSI; -aprob resursele necesare pentru proiectarea, meninerea i mbuntirea SMSI.

Roluri si responsabiliti n SMSI

Responsabilul cu securitatea (RS) -definete politica de securitate a informaiilor, procedurile i msurile de securitate;

-definete i obine aprobrilor pentru responsabilitile de securitate (tabel de securitate, document aprobat de managerul general);

-strnge informaii despre politicile de securitate existente (ce funcioneaz i ce nu; cum se comunic riscurile; cum se stabilesc prioritile proiectelor; cum sunt structurate procesele de securitate);

-urmrete aplicarea eficient a politicilor de securitate; -dezvolt, implementeaz i mbuntete msurile n domeniul securitii informaiilor; -supravegheaz toate procesele de securitate din firm; -rspunde de managementul incidentelor de securitate i de rspunsul la incidente;

-coordoneaz procesul de contientizare i pregtire al personalului n domeniu SI;

-orienteaz proprietarii resurselor (PR) n toate problemele ce in de SI.


Proprietarul resurselor

-rspunde de activele date n responsabilitate (informaii; software; echipamente de calcul i de comunicaii; aplicaii; servicii; oameni; active intangibile; proprietatea poate fi atribuit unui proces al afacerii, unui set de activiti, unei aplicaii sau unui set stabilit de date).

mpreun cu RS, PR rspunde de: - - identificarea cerinelor de securitate ale afacerii; - - asigurarea clasificrii corespunztoare a informaiilor i resurselor critice; - - revizuirea permanent a ghidurilor de clasificare a informaiilor; - definirea i supunerea aprobrii managerului general, a drepturilor de acces la informaii pentru toi utilizatorii resurselor informaionale sau ale reelei necesare acestora pentru a-i ndeplini sarcinile de serviciu (procesul de administrare a utilizatorului - AU), precum i modul/metoda de rezolvare a excepiilor de la regulile generale stabilite pentru aceste permisiuni.


Comitetul, forumul, echipa de securitate

- coordoneaz executarea activitilor de securitate n conformitate cu politica de securitate a informaiilor; - identific modul de tratare a neconformitilor; - avizeaz politicile, metodologiile i procedurile legate de securitatea informaiilor; - avizeaz planurile de tratare a riscurilor; - analizeaz incidentele de securitate; - estimeaz gradul de adecvare a msurilor de securitate a informaiilor i coordoneaz implementarea lor; - analizeaz modul de promovare a educaiei, instruirii i contientizrii personalului cu privire la securitatea informaiilor n cadrul organizaiei; - evalueaz informaiilor primite de la activitile de monitorizare i analiz a incidentelor de securitate; - face recomandri de aciuni corective i preventive, precum i de aciuni adecvate de rspuns la incidentele de securitate a informaiilor; - identific mutaiile expunerii la ameninri a informaiilor i a mijloacelor de procesare a acestora i propunde reevaluri de risc.


Agenda






Security is always excessive until

its not enough

Ce reprezint managementul riscurilor ? [SR 17799]

# evaluarea riscurilor abordare sistematic a: daunelor care ar putea rezulta n urma unei bree de securitate

probabilitatea realist ca un astfel eveniment de securitate sa se produca

# indicarea i determinarea actiunilor de management potrivite i a prioritilor acestora # implementarea controalelor

selectate pentru protecia mpotriva riscurilor # revizuiri periodice

Ce reprezint managementul riscurilor?

Basic Assumption:

There will be a failure

What are the

consequences?

Rating:

Risk Exposure

qualified & quantified

Risks categorized

& prioritized

Mitigation/recovery

actions defined

Mitigation/recovery

actions followed-up

Results and decisions

are documented

Cum se stabilesc cerinele de securitate ? [ISO 27002]

- evaluarea riscurilor la care este expus organizaia

- cerinele legale, statutare, contractuale

- setul specific de principii, obiective i cerine pentru procesarea informaiei

Terminologie

Organizaia trebuie s stabileasc o metod de analiz a riscurilor care este adecvat pentru SMSI i s identifice cerinele de securitate, cerinele legale i regulatorii ale sale. S stabileasc politica i obiectivele SMSI n vederea reducerii riscurilor la nivele acceptabile. S determine criteriile pentru acceptarea riscurilor i nivelele la care acestea pot fi acceptate.(ISO 27001)

Schema ISO 27001:2005

A. Identificarea si analiza riscurilor :

a) identificarea resurselor

b) identificarea ameninrilor la resurse

c) identificarea vulnerabilitilor care pot fi exploatate de ameninri

d) identificarea impactului pe care pierderea confidenialitii, integritii i disponibilitii l pot avea asupra resurselor


B. Evaluarea riscurilor :

a) evaluarea prejudiciului care poate rezulta dintr-un incident de securitate, lund n calcul consecinele poteniale ale pierderii confidenialitii, integritii i disponibilitii resurselor;

b) evaluarea realistic a probabilitii de apariie a unui incident avnd n vedere ameninrile i vulnerabilitile predominante asociate cu aceste resurse, ca i msurile de control (protecie) existente;

c) estimarea nivelului riscurilor;

d) determinarea dac riscul este acceptabil sau necesit tratare n baza criteriilor de acceptare stabilite.


C. Identificarea i evaluarea opiunilor de tratare a riscurilor (Tratarea riscurilor)

a) aplicarea msurilor adecvate;

b) acceptare n cunotin de cauz i argumentat, n condiiile satisfacerii polticii organizaiei i a criteriilor de acceptare a riscurilor;

c) eliminarea riscurilor;

d) transferarea riscurilor altor pri.

D. Selectarea obiectivelor i msurilor pentru tratarea riscurilor

Procesul de MR

Stabilirea Contextului

Identificarea/analiza

Riscurilor

Evaluarea Riscurilor:

Probabilitate

Consecinte

Nivel de risc

Tratarea Riscurilor

Com

unic

i consult

Monitorizare

i A

naliz

Plan-Do-Check-Act

Analiza de risc

Tratarea riscurilor

Monitorizarea riscurilor

Imbunatatire

Plan

ActDo

Check

Identificarea ameninrilor i vulnerabilitilor

Ameninrile - surse accidentale sau voite de evenimente

Exploateaz o vulnerabilitate

Factori de analiz:

Resursa

Acces

Actor

Motivaie

Impact

Vulnerabilitile -slbiciuni asociate resurselor n:

Mediul fizic

Personal, management, administraie

Hardware, software, comunicaii

Cauzeaz daune numai dac sunt exploatate de ameninri

Exemple

Calculul riscurilor

Metode cantitative AV valoarea resursei SMSI

EF factorul de expunere (valoarea procentuala a impactului din valoarea resursei)

SLE = AV x EF (Ex. 150.000 lei X 25%= 37.500 lei pierdere la o aparitie a riscului)

SLE impactul unui risc la o aparitie

ARO rata (frecventa) de manifestare a incidentului

ALE impactul total estimat al riscului

ALE = SLE x ARO (Ex. 37.500 lei X 0,1 - o frecventa a riscului de 1 la 10 ani= 3.700 lei)

Calculul riscurilor Metode calitative

Exemplu de calcul: evaluarea separat a ameninrilor i vulnerabilitilor

Nivel ameninare Sczut Mediu Ridicat

Nivel

vulnerabilitate S M R S M R S M R

Valoare

a bunului

0 0 1 2 1 2 3 2 3 4

1 1 2 3 2 3 4 3 4 5

2 2 3 4 3 4 5 4 5 6

3 3 4 5 4 5 6 5 6 7

4 4 5 6 5 6 7 6 7 8

Calculul riscurilor

Metode cantitative Avantaje

Caracter obiectiv

Formalism convenabil top-managementului

Faciliteaza analiza cost-efect

Se preteaza aplicatiilor software

Dezavantaje

Lipsa unor valori unanim recunoscute pentru factorii de expunere sau ratele de aparitie

Dificultatea de aplicare completa a metodei

Complexitate mare

Credibilitate scazuta

Calculul riscurilor - Metode calitative

Avantaje

permite elaborarea metodei adecvate organizatiei

suport intuitiv pentru managementul riscurilor organizatiei

permite stabilirea de prioriati in tratarea riscurilor

costurile de aplicare sunt reduse

adecvata abordarii PDCA

Dezavanje

o anumita doza de subiectivism

suport redus pentru analiza cost/efect

Tratamentul riscurilor

Aplicarea msurilor de control adecvate pentru reducerea riscurilor

nelegerea i acceptarea contient a riscurilor n msura n care sunt satisfcute politica organizaional i criteriile de acceptare a riscului

Eliminarea riscului

Renunarea la unele activiti

Mutarea unor bunuri n zone mai puin expuse

Renunarea la procesarea unor informaii sensibile

Transferarea riscurilor asociate activitii altor pri

Asigurare, outsourcing, scoaterea din S.M.S.I

Selectarea msurilor de control

ISO 27002

ISO 27001

Alte criterii

Uurina utilizrii

Transparena n raport cu utilizatorul

Sprijinul asigurat utilizatorului

Eficiena msurii de control

Tipul de funcie realizat: prevenire, mpiedicare, detecie, refacere, corectare, monitorizare, semnalizare

Asigurarea unui echilibru ntre funcii

Factorul de cost

Aciune

Reducerea probabilitii ca ameninarea sau vulnerabilitatea s cauzeze un incident

Asigur respectarea cerinelor legale sau de activitate

Reduce impactul n caz de incident

Detecteaz evenimentele nedorite, reacioneaz i contracareaz

Avantajele managementului riscurilor

informatice?

Creterea gradului de contientizare a riscurilor de securitate i a practicilor recomandate pentru utilizatorii de calculatoare

Asigurarea resurselor umane i de competen pentru administratorii de reele i alte funcii importante n asigurarea obiectivelor de securitate informatic

Utilizarea eficace si eficienta a soluiilor tehnice destinate sporirii gradului de securitate informatic

Prevederea unor proceduri i a unor capaciti corespunztoare de rspuns la incident; business continuity, disaster rocovery, survivability

Sistemul de management al

securitii informaiilor factor decisiv n protejarea afacerilor

Obiectivele standardelor

ISO 27002 si ISO 27001

Studiu de caz (1)

Obiectivele studiului de caz:

Stabilirea i documentarea unei strategii de securitate n cadrul S.C. Contract S.A. (Faza PLAN):

Activiti documentate:

1 - Prezentarea firmei;

2 Stabilirea/continutul politicii de securitate;

3 Cadrul organizatoric i de coordonare a securitii inf

4 Metodologia de evaluare a riscurilor

5 - Identificarea i clasificarea resurselor (bunurilor informaionale). Registrul resurselor.

6- Analiza i evaluarea riscurilor de securitate. Scenarii de risc. Registrul riscurilor;

7 - Eaborarea planului de tratare a riscurilor;

8 - Elaborarea declaraiei de aplicabilitate a standardului ISO 27001

Studiu de caz (2)

1. Prezentarea S.C. Contract S.A.:

Obiect de activitate: Comertul en-gros si en-detail cu produse industriale altele decit cele declarate ca avind regim special sau

agroalimentare.

Cifra de afaceri: aproximativ 10 mil euroanual.

Personal: 104 in mediean din care: 4 personal de conducere; 02 personal de informatic (inclusiv administratorul de retea); 8 personal tehnic (subinigineri - ingineri cu specializare in

domeniile constructii, electrotehnica, transporturi, tehnologia

constructiilor de masini); 40 personal pentru aprovizionare desfacere(manipulanti, gestionari, lucrtori comerciali, efi

depozite, merceologi); 30 personal tehnic de executie (electricieni, macaragii, sudori, strungari, frezori, soferi; 12 personal financiar contabil (casieri, contabili, economisti); 8 personal logistica(juridic, salarizare, facilities);

Studiu de caz (3)

1. Prezentarea S.C. Contract S.A.- continuare:

Actionariat: director general (40%); director comercial (25%),

director economic (20%), director tehnic (15%).

Organizatia isi desfasoara activitatea in locaii din cadrul

localitii, n locaii situate n cadrul judeului i n alte judee.

Locaiile au urmatoarele destinaii:

- sediu,

- depozite centrale (numai n localitatea n care organizaia ii

are sediul),

- depozite(en-gros; n diverse localiti din ara),

- magazine(en-detail; n diverse localiti din ara).

Studiu de caz (4)


Bunurile fizice ale organizatiei sunt asigurate. Nu au fost

inregistrate cazuri de furt sau spargeri.

Structura personalului este destul de stabila, in peste 15 ani de

activitate iregistrindu-se doar cazuri de pensionare.

Activitatea organizaiei nu a fost afectat de incendii sau inundaii.

Nu sunt definite i implementate msuri de securitate fizic, birourile se incuie de ultima persoana care parasete incaperea n care ii desfoar activitatea.

ncaperile nu dispun de dulapuri cu incuietori destinate

depozitarii documentelor confidentiale.

Informatiile vehiculate in organizatie sunt catalogate informal ca

fiind confidentiale, de uz intern si publice.

Studiu de caz (5)


La nivelul locatiei de baz (sediul organizaiei) exista o reea informatic; resursele informatice sunt accesate remote (linie telefonic nchiriat) de utilizatorii care i desfoar activitatea n celelalte locaii.

Serviciile de comunicatii (date, voce, e-mail si internet) sunt

externalizate ctre o organizaie specializat.

Activitatile de Back-up sunt asigurate, aleator, de cei doi

informatocieni, pe CD-uri; nu sunt realizate proceduri automate

de Back-up, nu se tin evidente.

Reteaua informatica nu a fost afectata de soft malitios sau virusi.

Studiu de caz (6)

2. Politica de Securitate a S.C. CONTRACT S.A.

Strategia de securitate a S.C. CONTRACT S.A. va fi prezentat intr-

un document Politica de Securitate a S.C. CONTRACT S.A., document care va fi elaborat in conformitate cu recomandarile

standardelor ISO 27002, si prevederile actelor normative in

vigoare pe teritoriul Romaniei.

Documentul Politica de Securitate a S.C. CONTRACT S.A. va evidentia reperele de baza privind strategia de securitate a S.C.

CONTRACT S.A.:

- rolurile i responsabilitile privind implementarea strategiei de

securitate;

Studiu de caz (7)

2. Politica de Securitate a S.C. CONTRACT S.A. - continuare

- existenta unei viziuni clare a managementului

organizaiei i o comunicare efectiva a acesteia ctre

personalul organizaiei, aspect fundamental pentru

asigurarea eficienei oricaror proceduri i msuri de

securitate specifice;

- modul n care s-au identificat cerinele de securitate considerind ca surse principale: analiza riscurilor,

legislaia existenta, standardele si procedurile interne;

- modul de tratare a riscurilor proprii sau induse de

teri sau subcontractori care au acces la resursele

organizatiei;

Studiu de caz (8)


- scopului politicii: asigurarea unui climat de siguranta necesar

desfurrii i continuitii activitii organizaiei;

- obiectivele politicii de a asigura confidentialitatea, integritatea, disponibilitatea privind resursele, n condiii de risc acceptate de managementul organizatiei;

- resursele care fac obiectul strategiei de securitate: informatiile,

aplicatiile soft, retele informatice si de comunicatii, echipamente

tehnice, echipamente informatice si de comunicatii, cladiri,

incaperi, utilitati(energie electrica, energie termica, etc.),

ersonalul, etc.;

Studiu de caz (9)


- planul de continuitate a afacerii (creare, actualizare, testare),

- instruirea salariatilor; raportarea si investigarea incidentelor de

securitate; principiile care sustin intregul proces (controlul dual,

segregarea atributiilor, derularea activitatii cu privilegii minime,

planificarea contingenei, orice acces care nu este in mod explicit permis este in mod implicit interzis, politica biroului curat;

- documente interne (norme, proceduri, planuri de actiune) prin care

se va realiza implementarea si aplicarea strategiei de securitate;

- obligativitatea personalului de a lua act, a intelege si a respecta

politica si toate reglementarile, conform cu documentatiei SMSI prin

care se asigura relizarea obiectivelor strategiei politicii de securitate

a S.C. CONTRACT S.A. ;

Studiu de caz (10)

3. Cadrul organizatoric i de coordonare a securitii inf

- Consiliul de Administratie reprezint structura organizatoric care iniiaz i controleaz implementarea strategia i mecanismelor de securitate n cadrul organizatiei;

- personalul este obligat s raporteze (la adresa [email protected] in situtatii deosebite se vor folosi alte canale de comunicare:FAX - 9999.99.99.99,

telefonia fixa - 9999.99.99.88) toate incidentele de securitate asupra

resurselor care fac obiectul strategiei de securitate, vulnerabilitati (chiar

susceptibile) ale resurselor respective pentru minimizarea efectelor

negative, stabilirea cauzelor, eliminarea (masuri reactive) vulnerabilitatilor

identificate, stabilirea de masuri proactive;

-

Studiu de caz (12)

4. Metodologia de evaluare a riscurilor.

(e1): Se identifica activele/bunurile asociate activitatii;

(e2): Activele/bunurile sunt clasificate in functie de importanta si

valoarea lor pe o scar de la 1 la 3 unde (1 = valoare mica, 2 = valoare medie, 3 = valoare mare);

(e3): Se identifica vulnerabilitile i ameninrile asociate

Activelor/bunurilor;

(e4): Se evalueaza impactul amenintarilor;

(e5): Se evalueaza frecventa de manifestare/probabilitatea unei

amenintari (posibilitatea ca o anumita amenitare sa se materializeze)

(e6): Se calculeaza riscul asociat fiecarui activ/bun pe baza unei matrice

n care input-uri sunt valoarea, impactul si probabilitatea.

Riscul se calculeaza considerind obiectivele de baza ale unei politicii de

securitate a informatiei: Co(nfidentialitatea)/

In(tegritatea)/ Di(sponibilitatea). ;

Studiu de caz (13)

5. Identificarea i clasificarea resurselor (bunurilor informaionale). Registrul resurselor (e1 i e2).

Bunurile-resursele informaionale sunt identificate de ctre proprietarii proceselor, asistai de de RSI, acestea fiind nscrise n Registrul Activelor. Registrul Activelor face referire la documente de referine care detaliaz toate informaiile necesare pentru recuperare n urma unui dezastru, inclusiv tipul activului, formatul, amplasamentul,

informaiile de rezerv, informaii privind licena, valoarea comercial. Identificarea resurselor se face pentru fiecare proces n parte.

Evaluarea Resurselor se face pe baza impactului potenial pe care l poate avea pierderea Confidenialitii, Integritii sau Disponibilitii resursei asupra organizaiei.

Activele/bunurile sunt clasificate in functie de importanta si valoarea lor

pe o scara de la 1 la 3 unde: 1 = valoare mica, 2 = valoare medie, 3

= valoare mare.

Studiu de caz (14)

5. Registrul resurselor.

Activ/bun Proprietar Valoare

Active informationale- format electronic:

Fisiere de date neprelucrate Ionescu I. 3 Fisiere de date prelucrate 3

Rapoarte management & autoritati(pentru printare si semnare)

2

Documentaie sisteme 1

Proceduri operationale 1

Active informationale hartie:

Facturi si alte documente justificative Popescu 2

Rapoarte finale de conformitate 1

Rapoarte intermediare de verificare destinate controlului dual

1

Studiu de caz (15)

5. Registrul resurselor - continuare

Contracte 2 Corespondenta parteneri 1

Active software: Georgescu I Aplicatii - server si client - prelucrare date si generare rapoarte

3

Sistem de operare server 2

Sisteme de operare PC 2

Parole administrare server & PC 3

Parole utilizator PC 2

Active hardware: Georgescu I

Server baze de date 3

Statii PC 2

Studiu de caz (16)

5. Registrul resurselor - continuare

Imprimante 2 Facilitati: Anton P.

Energie electrica 2 Aer conditionat 2

Personalul:

Personal administrare & conducere 3

Personal operare & executie 2

Outsourcing:

Sisteme de comunicatii(date, Internet, e-mail, IP - voice)

3

Studiu de caz (17)

6. Analiza i evaluarea riscurilor de securitate. Scenarii de risc. Registrul riscurilor

Pentru fiecare resurs inclus n inventarul activelor, proprietarul de proces, mpreun cu RSI identific ameninrile i vulnerabilitile care pot afecta activul respectiv i implicit activitatea de baz a organizaiei.

Pentru a avea o cuprindere ct mai exact a ameninrilor, riscurile de securitate sunt identificate cu ajutorul elementelor ce le

compun: ameninarea, vulnerabilitatea pe care ameninarea respectiv o poate exploata i impactul pe care l poate avea fructificarea ameninrii.

Identificarea ameninrilor se face pornind de la identificarea Agentului ameninrii. Agentul ameninrii este asociat cu tipul ameninrii (de natur uman, natural, tehnologice) i categoriile de ameninri (interne, externe, asociate, foc, ap, vibraii, violen,

biologice, de infrastructur, de sistem etc).

Studiu de caz (18)

6. Identificare vulnerabilitati i amenintari (e3)

Vulnerabilitati Amenintari Cauze N=

naturaele,

U=umane

neintetionate, I=

umane

intentionate,

Bun/Activ Componenta

afectat (C, I, D)

Lipsa monitorizare mediu Cutremur N Toate I, D

Lipsa monitorizare mediu Inundatie N, U, I Toate I, D

Lipsa monitorizare mediu Foc N, U, I Toate I, D

Lipsa monitorizare mediu Contaminare mediu N, U, I Personal D

Lipsa monitorizare mediu Perturbatii

industriale

N, U, I Hard, Soft, Outs D

Modul defectuos de intretinerecuratenie Particule praf N Hard D

Lipsa monitorizare mediu Defectiune aer

conditionat

N, U, I Hard D

Documentare si instruire insuficienta Deranjamente

hardware

U, I Hard D

Documentare si instruire insuficienta Erori de intretinere U Hard I, D

Lipsa documentare,

instruire deficitara

Erori de utilizare,

operare,

administrare

U Soft I, D

Studiu de caz (19)

6.Identificare vulnerabilitati i amenintari (e3)-continuare

Lipsa politici de controlul fizic accesului Furt I Resurse

informationale,

Hard

C, I, D

Lipsa politici de control fizic acces; Lipsa

politici de control logic al accesului; Lips politic privind biroul curat; Instruire deficitara utilizatori ; Acces nelimitat la servicii web-

based mail, web-chat

Acces neautorizat la

informatii si servicii

U, I Resurse

informationale,

Hard, Outs

C

Retea in locuri nesupraveghea si in spatiul

public

Interceptare comunicatii I Resurse

informationale,

Outs

C, I

Instruire deficitara utilizatori mod de administrare deficitar al parolelor

Substituire identitate I Resurse

informationale

C, I

Drepturi admin, lipsa proceduri Acces

floppyCD, Lipsa monitorizare si control

regulat

Utilizare ilegala de

software

U Soft C, I, D

Lipsa politic utilizare internet lipsa Protectie serverOutS: lipsa procedura

Haking U Resurse inf., Outs C, I, D

Acces internet protectie inadecvata Virusi & Cod malitios N, U, I

Hard, Soft C, I, D

Instruire deficitara Nerespectare proceduri

operationale

(administrare, acces,

operare)

U, I Resurse

informationale,

Soft, Personal

C, I, D

Numar insuficient de personal Lipsa personal U, I Personal D

Studiu de caz (20)

6. Stabilirea impactului i probabilitii amenintarilor identificate (e4), (e5) Impactul amenintarii va fi evaluat pe urmatoarea scara:

In impact nesemnificativ (sistemul este functional, nu sunt consecinte majore, securitatea nu este compromisa); Is impact semnificativ (performanta sistemului este afectata, consecintele pot fi

apreciate ca fiind semnificative, securitatea unor componente ale sistemului este

compromisa); Im impact major (sistemul nu mai este functional, consecintele sunt foarte grave, securitatea sistemului este compromisa).

Frecventa/probabilitatea unei amenintari (e5).

Frecventa/probabilitatea de manifestare a unei amenintari reprezinta gradul in

care ea se poate produce in realitate.

Acesata depinde de cat de expus este activul unor contacte cu exteriorul sau cat

de cunoscute sunt caracteristicile acestei resurse.

Probabilitatea unei amenintari va fi cuantificata astfel:

Pn valoare probabilistica nesemnificativa,

Ps valare probabilistica semnificativa,

Pm valoare probabilistica majora.

Studiu de caz (21)

6. Evaluarea riscului (e6).

Pentru fiecare activ identificat in Registrul activelor, pe baza valorii,

a impactului ameninriii i a probabilittii acesteia se va calcula nivelul de risc conform matricei:

RISC

Impactul

ameninrii In Is Im

Probabilitate

a amenintarii Pn Ps Pm Pn Ps Pm Pn Ps Pm

Valoarea

Activului

1 1 1 2 2 3 4 4 5 5

2 1 2 3 3 4 4 5 5 5

3 2 2 3 3 4 5 5 5 5 Semnificatia valorilor: 5 = risc foarte mare, 4 = major, 3 = semnificativ, 2 = redus, 1 =

nesemnificativ.

Studiu de caz (22)

6. Evaluarea riscului confidenialitate.

Activ Valoare Impact Probabilit

ate

Indice

de risc

Active informationale- format electronic: Fisiere de date neprelucrate 3 Im Ps 5 Fisiere de date prelucrate 3 Im Ps 5


2 Im Ps 4

Documentaie sisteme 1 In Pn 1

Proceduri operationale 1 Is Pn 2


Facturi si alte documente justificative 2 Is Ps 4

Rapoarte finale de conformitate 1 Is Ps 3


1 In Pn 2

Studiu de caz (23)

6. Evaluarea riscului confidenialitate - continuare

Contracte 2 Is Pn 3

Corespondenta parteneri 1 Is Pn 3

Active software: Aplicatii - server si client - prelucrare date si generare rapoarte

3 - -

Sistem de operare server 2 - -

Sisteme de operare PC 2 - -

Parole administrare server & PC 3 Im Ps 5

Parole utilizator PC 2 Is Ps 4

Active hardware:

Server baze de date 3 - - -

Statii PC 2 - - -

Studiu de caz (24)

6. Evaluarea riscului confidenialitate - continuare

Imprimante 2 - - -

Facilitati:

Energie electrica 2 - - - Aer conditionat 2 - - -

Personalul:

Personal administrare & conducere 3 Is Pn 3

Personal operare & executie 2 Is Pn 3

Outsourcing:


3 Is Pn 3

Studiu de caz (25)

6. Evaluarea riscului Integritate.


ate

Indice

de risc



2 Is Ps 4







1 In Pn 1

Studiu de caz (26)

6. Evaluarea riscului Integritate - continuare

Contracte 2 Is Pn 3



3 Im Pn 4

Sistem de operare server 2 Is Pn 3

Sisteme de operare PC 2 Is Pn 3



Active hardware:

Server baze de date 3 Im Ps 5

Statii PC 2 Is Pn 3

Studiu de caz (27)

6. Evaluarea riscului Integritate - continuare

Imprimante 2 In Pn 1

Facilitati:

Energie electrica 2 - - - Aer conditionat 2 - - -

Personalul:



Outsourcing:


3 Is Pn 3

Studiu de caz (28)

6. Evaluarea riscului Disponibilitate.


ate

Indice

de risc



2 Is Ps 3







1 In Pn 1

Studiu de caz (29)

6. Evaluarea riscului Disponibilitate - continuare

Contracte 2 Is Pn 3



3 Is Ps 5

Sistem de operare server 2 Is Ps 4

Sisteme de operare PC 2 Is Pn 3



Active hardware:

Server baze de date 3 Im Ps 5

Statii PC 2 Is Pn 3

Studiu de caz (30)

6. Evaluarea riscului Disponibilitate - continuare

Imprimante 2 In Pn 1

Facilitati:

Energie electrica 2 Is Pn 3 Aer conditionat 2 Is Pn 3

Personalul:



Outsourcing:


3 Is Pn 3

Studiu de caz (31)

6. Nivelul riscului

Activ

Valoare

Indice risc

C I D

Active informationale- format electronic: Fisiere de date neprelucrate 3 5 5 5 Fisiere de date prelucrate 3 5 5 5


2 4 4 3

Documentaie sisteme 1 1 1 1

Proceduri operationale 1 2 2 2


Facturi si alte documente justificative 2 4 4 4

Rapoarte finale de conformitate 1 3 3 3


1 1 1 1

Studiu de caz (32)

6. Nivelul riscului - continuare

Contracte 2 3 3 3

Corespondenta parteneri 1 3 3 3


3 - 4 5

Sistem de operare server 2 - 3 4

Sisteme de operare PC 2 - 3 3

Parole administrare server & PC 3 5 5 5

Parole utilizator PC 2 5 5 5

Active hardware:

Server baze de date 3 - 5 5

Statii PC 2 - 3 3

Studiu de caz (33)

6. Nivelul riscului - continuare

Imprimante 2 - 1 1

Facilitati:

Energie electrica 2 - - 3 Aer conditionat 2 - - 3

Personalul:

Personal administrare & conducere 3 3 3 3

Personal operare & executie 2 3 3 3

Outsourcing:


3 3 3 3

Studiu de caz (34)

6. Evaluarea riscurilor:

In urma analizei efectuate asupra activitatii S.C. CONTRACT S.A. in

conditiile actuale din pia, rezulta c materializarea riscurilor identificate i cuantificate in Analiza de Risc, pot afecta:

Confidenialitatea: dezavantaje competitive pe piata; pierderi financiare; pierderea increderii partenerilor de afaceri ; pierderi capital

imagine; incalcari ale legii si obligatiilor contractuale de confidentialitate;

Integritatea: costuri aditionale financiare; impact negativ asupra

deciziilor de management; neconformitate cu obligatiile legii privind

contabilitatea;

Disponibilitatea: suplimentar fata de consecintele identificate mai

sus: costuri financiare cu recuperarea datelor; intreruperea activitatii.

In aceste conditii, riscul maxim pe care compania este dispusa sa si-l

asume este riscul de nivel 3 semnificativ.

Studiu de caz (35)

7. Planul de tratare a riscurilor

In vederea reducerii nivelului riscurilor critice (cu nivel 4 i 5) se impun urmatoarele masuri:

(m01): Implementarea unui sistem de acces si monitorizare a

accesului pe baza de cartela in camera serverului pentru fiecare locatie

in parte;

PC-ul pe care este instalat soft-ul de management al accesului si

monitorizare va fi instalat in camera serverului;

(m02): Sistem de detectie efractie;

(m03): Opacizarea ferestrelor in zonele cu vizibile in zonele

sensibile;

(m04): Achizitioarea de dulapuri cu inchuietoare pentru

depozitarea documentelor confidentiale in format letric si electronic(sau

dotarea celor actuale cu sisteme de inchidere);

(m05): Elaborarea de reguli privind accesul in incinta S.C.

CONTRACT S.A. de catre vizitatori si salariati in cursul programului si

afara acestuia;

Studiu de caz (36)

7. Planul de tratare a riscurilor - continuare

(m06): Achizitionarea unui server de back-up;

Elaborarea unei proceduri privind recuperarea datelor;

Serverul va fi amplasat intr-o locatie aflata in afara localitatii in locatia de

back--up al furnizorului de Internet;

(m07): Dezactivarea drepturilor de administrator pentru toti

salariatii departamentului; Acordarea acestora pe baza baza de solicitare

documentata;

(m08): Limitarea accesului user-ilor la unitatile de floppy si CD

precum si la USB;

(m09): Limitarea traficului accesului pe internet in zonele cu risc

potential si blocarea accesului la web-based mail, web-chat;

Reguli de utilizare acceptabila a postei electonice;

(m10): Elaborarea si implementarea de reguli privind politica

biroului si a ecranului curat;

Studiu de caz (37)


(m11): Implementarea si activarea optiunilor de administrare a

parolelor de acces; Elaborarea de reguli privind manipularea si alegerea

optima a parolelor;

(m12): Elaborarea unei reglementari privind clasificarea

informatiilor si reguli de gestiune a acestora atat in interiorul organizatiei

cat si in exteriorul acesteia;

Introducere angajamentului de confidentialitate;

(m13): Standardizarea statiilor de lucru in functie de atributiile de

serviciu ale salariatilor;

Interzicerea utilizarii de soft neautorizat sisau nelicentiat;

(m14): Elaborarea si implementarea de reguli pentru utilizarea in

siguranta a echipamentelor portabile;

Dotarea acestora cu dispozitive pentru criptare datelor(card, token etc);

(m15): Instalarea unui software antivirus licenta corporate;

Studiu de caz (38)


(m16): Elaborarea si implementarea unei proceduri pentru

angajarea salariatilor(pre-screening) cat si pentru incetarea relatiei de

munca(perioada de preaviz drepturi de acces predare doucumente si documentatie foaie de lichidare);;

(m17): Instruire pe probleme de securitate a salariatilor la

angajare(una zi) si instruire semestriala cu tot personalul (doua ore);

Atunci cand este cazul se va utiliza news-letter pentru semnalarea unor

amenintari iminente de tipul virus si cod mailitios.

Studiu de caz (39)

7. Planul de tratare a riscurilor - corelatia dintre active, riscuri si masuri

Activ

Valoar

e

Indice risc Msuri

C I D

Active informationale- format electronic:

Fisiere de date neprelucrate 3 5 5 5 m01, m02, m03, m05, m06, m08, m09, m11, m12, m13,

m14, m15

Fisiere de date prelucrate 3 5 5 5 m01, m02, m03, m05, m06, m08, m09, m11, m12, m13,

m14, m15, m16


2 4 4 3 m01, m02, m03, m05, m06, m08, m09, m11, m12, m13,

m14, m15, m16

Documentaie sisteme 1 1 1 1 -

Proceduri operationale 1 2 2 2 -


Facturi si alte documente justificative 2 4 4 4 m01, m02, m03, m04, m05, m10, m12, m16, m17

Rapoarte finale de conformitate 1 3 3 3 -


1 1 1 1 -

Studiu de caz (40)


Contracte 2 3 3 3 -

Corespondenta parteneri 1 3 3 3 -


3 - 4 5 m06

Sistem de operare server 2 - 3 4 m06

Sisteme de operare PC 2 - 3 3 -

Parole administrare server & PC 3 5 5 5 m10, m11, m12, m17

Parole utilizator PC 2 5 5 5 m10, m11, m12, m13, m14, m17

Active hardware:

Server baze de date 3 - 5 5 m001, m02, m03, m05, m06, m08, m9, m11, m12, m13, m14, m15

Statii PC 2 - 3 3 -

Studiu de caz (41)


Imprimante 2 - 1 1 -

Facilitati:

Energie electrica 2 - - 3 - Aer conditionat 2 - - 3 -

Personalul:

Personal administrare & conducere 3 3 3 3 -

Personal operare & executie 2 3 3 3 -

Outsourcing:


3 3 3 3 -

Studiu de caz (42)

8. Declaraia de aplicabilitate Indicativul

msurii Denumirea msuriiAplicabil

Da / NuTermen

A.5 Politica de securitate A.5.1. Documentaia politicii de securitate Da 1 luna

A.5.2 Revizuiri i evaluri Da 6 luni

A.6 Organizarea securitii informaiilor A.6.1. Organizarea interna 6 luni A.6.1.1. Angajamentul managementului pentru securitatea informaiilor Da

A.6.1.2. Coordonarea securitii informaiilor Da

A.6.1.3. Alocarea responsabilitilor privind securitatea informaiei Da

A.6.1.4. Procesul de autorizare pentru facilitile de procesare a informaiilor Da

A.6.1.5. Acorduri de confidentialitate Da

A.6.1.6. Contactul cu autoritatile Da

A.6.1.7. Contactul cu grupuri de interese speciale Da

A.6.1.8. Revizuirea independent a securitii informaiilor Da

A.6.2. Pri externe A.6.2.1. Identif icarea riscurilor legate de accesul terei pri Da 3 luni

A.6.2.2. Cerinele de securitate n relaiile de afaceri cu clienii Da o luna

A.6.2.3. Cerinele de securitate n acordurile cu tere pri Da 3 luni

A.7 Managementul activelor A.7.1. Responsabilitatea pentru active A.7.1.1. Inventarierea bunurilor Da 3 luni

A.7.1.2. Dreptul de propritate asupra bunurilor Da 3 luni

A.7.1.3. Utilizarea aceptabila a bunurilor Da 3 luni

A.7.2. Clasificarea informatiilor A.7.2.1. Linii directoare pentru clasif icare Da 1 luna

A.7.2.2. Etichetarea i manipularea informaiilor Da

A.8 Securitatea resurselor umane A.8.1. nainte de angajare 6 luni A.8.1.1. Roluri i responsabiliti Da

A.8.1.2. Controlul verif icrii Da

Studiu de caz (43)

8. Declaraia de aplicabilitate

A.8.2. Pe timpul angajrii A.8.2.1. Responsabilitile managementului Da 1 luna

A.8.2.2. Ameninrile la securitatea informaiei, educaie i instruire Da 2 luni

A.8.2.3. Procese disciplinare Da 6 luni

A.8.3. La terminarea angajrii sau schimbarea locului de munc 3 luni A.8.3.1. Responsabiliti la terminare Da

A.8.3.2. Returnarea bunurilor Da

A.8.3.3. Revocarea drepturilor de acces Da

A.9. Securitatea fizic i a mediului A.9.1. Arii de securitate A.9.1.1. Perimetrul de securitate f izic Da 3 luni

A.9.1.2. Controlul accesului f izic Da 3 luni

A.9.1.3. Securizarea birourilor, camerelor i facilitilor Da 3 luni

A.9.1.4. Protecia mpotriva ameninrilor externe i de mediu Da 3 luni

A.9.1.5. Lucrul n cadrul zonelor de securitate Da 3 luni

A.9.1.6. Arii de acess al publicului, de livrare i ncrcare Nu

A.9.2. Securitatea echipamentului 2 luni A.9.2.1. Amplasarea i protejarea echipamentului Da

A.9.2.2. Utiliti de susinere Da

A.9.2.3. Securitatea cablurilor Da

A.9.2.4. Mentenana echipamentului Da

A.9.2.5. Securitatea echipamentelor n afara zonelor de securitate Da

A.9.2.6. Dezafectarea n siguran i reutilizarea echipamentului Da

A.9.2.7. nstrinarea resurselor proprietare Da

Studiu de caz (44)


A.10 Managementul comunicatiilor si al operatiilor A.10.1. Proceduri i responsabiliti operaionale A.10.1.1. Proceduri de operare documentate Da 3 luni

A.10.1.2. Managementul modif icrilor Da 3 luni

A.10.1.3. Segregarea atribuiilor Da 3 luni

A.10.1.4. Separarea facilitilor operaionale, de test i de dezvoltare Da 3 luni

A.10.2. Managementul furnizrii de servicii de ter parte A.10.2.1. Furnizarea de servicii Da 3 luni

A.10.2.2. Monitorizarea i revizuirea serviciilor de ter parte Da 3 luni

A.10.2.3. Direcionarea schimbrii serviciilor de ter parte Da 3 luni

A.10.3. Planificarea i acceptana sistemului A.10.3.1. Managementul capacitii Da 1 luna

A.10.3.2. Acceptana sistemului Da 1 luna

A.10.4. Protecia mpotriva softului maliios i mobil A.10.4.1. Msuri mpotriva softului maliios Da 1 luna

A.10.4.2. Msuri mpotriva softului mobil Da 1 luna

A.10.5. Back-up A.10.5.1. Informaia de back-up Da 1 luna

A.10.6. Managementul securitii reelelor A.10.6.1. Controalele reelei Nu

A.10.6.2 Securitatea serviciilor de reea Nu

A.10.7. Manipularea i securitatea mediilor de stocare A.10.7.1. Managementul suporturilor de date amovibile Da 1 luna

A.10.7.2. Depozitarea suporturilor de date Da 2 luni

A.10.7.3. Procedurile de manipulare a informaiilor Da 2 luni

A.10.7.4. Securitatea documentaiei de sistem Da 2 luni

Studiu de caz (45)

8. Declaraia de aplicabilitate A.10.8. Schimbul de informaii A.10.8.1. Politici i proceduri privind schimbul de informaii Da 3 luni

A.10.8.2. Acorduri privind schimburile de informaii Nu

A.10.8.3. Securitatea mediilor n tranzit Da 3 luni

A.10.8.4. Mesageria electronic Da 3 luni

A.10.8.5. Sisteme pentru informaia de business Nu

A.10.9. Serviciile de comer electronic A.10.9.1. Comerul electronic Nu

A.10.9.2. Tranzacii on-line Nu

A.10.9.3. Informaia disponibil public Nu

A.10.10. Monitorizarea A.10.10.1. Logurile de audit Da 1 luna

A.10.10.2 Monitorizarea utilizrii sistemului Da 1 luna

A.10.10.3. Protecia informatiei de log Da 1 luna

A.10.10.4. Loguri pentru administrator si operatori Da 1 luna

A.10.10.5. Logarile gresite Da 1 luna

A.10.10.6. Sincronizarea ceasului Da 1 luna

A.11 Controlul accesului A.11.1. Cerinele afacerii pentru controlul accesului A.11.1.1. Politica de control al accesului Da 2 luni

A.11.2. Managementul accesului utilizatorilor A.11.2.1. nregistrarea utilizatorilor Da 1 luna

A.11.2.2. Managementul privilegiului Da 1 luna

A.11.2.3. Managementul parolelor utilizatorilor Da 1 luna

A.11.2.4. Revizuirea drepturilor de acces ale utilizatorilor Da la 3 luni

Studiu de caz (46)


A.11.3. Responsabilitile utilizatorilor A.11.3.1. Utilizarea parolei Da 1 luna

A.11.3.2. Echipamentul nesupravegheat Da 1 luna

A.11.3.3. Politica biroului si ecranului curate Da 1 luna

A.11.4. Controlul accesului la reea A.11.4.1. Politica de utilizare a serviciilor de reea Nu

A.11.4.2. Autentif icarea utilizatorului pentru conectri externe Nu

A.11.4.3. Identif icarea echipamentului in retele Nu

A.11.4.4. Diagnosticarea de la distan si configurarea proteciei porturilor Nu

A.11.4.5. Separarea reelelor Nu

A.11.4.6. Controlul conectrii la reea Nu

A.11.4.7. Controlul rutrii n reea Nu

A.11.5. Controlul accesului la sistemul de operare A.11.5.1. Procedurile de logare securizate Da 1 luna

A.11.5.2. Identif icarea i autentif icarea utilizatorului Da 1 luna

A.11.5.3. Sistemul de management al parolelor Da 1 luna

A.11.5.4. Utilitare de sistem Da 1 luna

A.11.5.5. Sesiune time-aut Da 1 luna

A.11.5.6. Limitarea timpului de conectare Da 1 luna

A.11.6. Controlul accesului la aplicaii si informatii A.11.6.1. Restricionarea acceslui la informaii Da 1 luna

A.11.6.2. Izolarea sistemelor sensibile DA 1 luna

A.11.7. Calculatoare mobile si lucrul la distanta A.11.7.1. Calculatoare mobile si facilitati de comunicatii Da

A.11.7.2. Lucrul la distanta Nu

Studiu de caz (47)


A.12 Achizitia, dezvoltarea si mentenanta sistemelor informationale A.12.1. Cerine de securitate ale sistemelor informationale A.12.1.1. Analiza i specif icarea cerinelor de securitate Nu

A.12.2. Procesarea corecta in aplicaii A.12.2.1. Validarea datelor de intrare Nu

A.12.2.2. Controlul proceselor interne Nu

A.12.2.3. Integritatea mesajelor Nu

A.12.2.4. Validarea datelor de iesire Nu

A.12.3. Controale criptografice A.12.3.1. Politica utilizrii controalelor criptografice Da 3 luni

A.12.3.2. Managementul cheilor Da 3 luni

A.12.4. Securitatea fiierelor de sistem A.12.4.1. Controlul softw are-ului operaional Nu

A.12.4.2. Protecia datelor de testare a sistemului Nu

A.12.4.3. Controlul accesului la codul surs Nu

A.12.5. Securitatea proceselor de dezvoltare i suport 6 luni A.12.5.1. Procedurile de control al schimbrilor Da

A.12.5.2. Revizuirea tehnic a aplicaiilor dup schimbarea sistemului operaional Da

A.12.5.3. Restricionarea modif icrilor softw are-ului Da

A.12.5.4. Informaia ascuns Da

A.12.5.5. Surse externe de dezvoltare a softw are-ului Nu

A.12.6. Managementul vulnerabilitatilor tehnice A.12.6.1. Controlul vulnerabilitatilor tehnice Da

Studiu de caz (48)


A.13 Managementul incidentelor de securitate a informatiei A.13.1. Raportarea incidentelor si vulnerabilitatilor de securitate A.13.1.1. Raportarea incidentelor de securitate Da 6 luni

A.13.1.2. Raportarea vulnerabilitatilor de securitate Da 6 luni

A.13.2. Managementul incidentelor de securitate a informatiei si perfectionare A.13.2.1. Responsabilitati si proceduri Da 6 luni

A.13.2.2. Invatarea din incidentele de securitate Da 6 luni

A.13.2.3. Colectarea dovezilor Da 6 luni

A.14 Managementul continuitii afacerii A.14.1. Aspecte ale managementului continuitii afacerilor A.14.1.1. Includerea securitii informaiei n procesul de management al continuitii afacerilorDa 12 luni

A.14.1.2. Continuitatea afacerilor i evaluarea riscurilor Da 12 luni

A.14.1.3. Dezvoltarea i implementarea planurilor de continuitate bazate pe securitatea informaiilorDa 12 luni

A.14.1.4. Structura de aplicare a planurilor de continuitate Da 12 luni

A.14.1.5. Testarea, meninerea i reanalizarea planurilor Da 12 luni

A.15 Conformitatea A.15.1. Conformitatea cu cerinele legale A.15.1.1. Identif icarea legislaiei aplicabile Da 12 luni

A.15.1.2. Drepturile de proprietate intelectual Da 12 luni

A.15.1.3. Protejarea nregistrrilor organizaiei Da 12 luni

A.15.1.4. Protecia datelor i informaiilor personale Nu

A.15.1.5. Prevenirea utilizrii necorespunztoare a facilitilor de procesare a informaiilorDa 12 luni

A.15.1.6. Reglementarea controalelor criptografice Nu

A.15.2.Conformitate cu politicile de securitate i

standardele i reglementrile tehnice A.15.2.1. Conformitatea cu politicile de securitate i standardele Da 12 luni

A.15.2.2. Verif icarea conformitii tehnice Da 12 luni

A.15.3. Consideraii asupra auditrii sistemelor informaionale A.15.3.1. Controalele sistemului de audit Da 12 luni

A.15.3.2. Protecia instrumentelor de audit Da 12 luni

Agenda






Planificarea, implementarea, meninerea i mbuntirea unui SMSI

Aplicarea modelului PDCA (Plan-Do-Check-Act)

PLAN: stabilirea i documentarea strategiei de securitate, identificarea proceselor de baz ale afacerii i a procedurilor relevante pentru managementul riscului

DO: implementarea i funcionarea strategiei, a sistemelor de management proiectate, a proceselor i procedurilor pentru fiecare sistem n parte

ACT: Meninerea i mbuntirea strategiei prin aciuni corective i preventive, bazate pe rezultatele auditurilor interne i revizuirile managementului

CHECK: Monitorizarea i revizuirea sistemelor, prin evaluri i msurri periodice ale performanei proceselor n raport cu politicile i obiectivele de securitate i experiena practic dobndite

Planificarea SMSI

a. Definirea scopului strategiei n concordan cu caracteristicele afacerii, ale organizaiei, locaiei, bunurilor i tehnologiei

b. Definirea politicilor de securitate ale organizaiei (n domeniul informaiilor)

c. Definirea unei abordri sistematice a analizei de risc d. Identificarea riscurilor

e. Analiza i evaluarea riscurilor f. Identificarea i evaluarea opiunilor de tratare a riscurilor g. Selectarea msurilor pentru tratarea riscurilor h. ntocmirea Declaraiei de Aplicabilitate i. Obinerea aprobrii managementului de a implementa i opera strategia de securitate a organizaiei

Faza PLAN: Stabilirea strategiei de securitate

Implementarea, meninerea, certificarea

SMSI

Faza DO: Care sunt paii pentru implementarea

unei strategii de securitate ?

a) elaborarea planului de tratare a riscurilor (care identific aciunile managementului, resursele/bugetul, responsabilitile, prioritile etc) b) implementarea planului de tratare a riscurilor c) implementarea msurilor de control stabilite d) definirea modului de msurare a eficienei strategiei i a modului de evaluare a eficienei acestuia e) implementare programe de instruire i contientizare f) gestionarea funcionrii strategiei g) administrarea resurselor alocate h) implementarea procedurilor i msurilor capabile s permit detectarea evenimentelor de securitate i managementul acestora

Implementarea, meninerea, certificarea SMSI

Faza CHECK: Monitorizarea i revizuirea strategiei

Dup implementarea strategiei organizaia trebuie: a) s monitorizeze i revizuiasc procesele strategiei (detectare erori; identificare bree, slbiciuni; detectare evenimente de securitate; evaluarea modului de respectare a responsabilitilor); b) evaluarea periodic a eficacitii msurilor; c) revizuirea analizei de risc (mutaii n organizaie, tehnologie, obiective de afaceri, procese, ameninri identificate, efic. msuri) d) efectuarea de audituri interne e) revizuiri manageriale ale strategiei f) actualizare plan de securitate g) s nregistreze i evalueze aciunile i evenimentele cu impact asupra activitilor de business

Implementarea, meninerea, certificarea SMSI

Faza ACT: Meninerea i mbuntirea strategiei

Organizaia trebuie s asigure n mod sistematic: a) implementarea mbuntirilor identificate; b) msuri corective i preventive corespunztoare, inclusiv prin folosirea experienei altor organizaii; c) comunicarea msurilor de mbuntire tuturor prilor interesate d) s se asigure c mbuntirile ating obiectivele planificate i conduc la mbuntiri succesive

Certificarea unui SMSI

n ce const certificarea ?

evaluarea, de ctre un organism acreditat, de ter parte, a conformitii unui SMSI cu cerinele de securitate definite

asigurarea c sistemul a fost creat, implementat i funcioneaz conform cu cerinele standardului de referin

Etapele certificrii unui SMSI

a) Contactarea O.C.S.M.S.I.

b) Iniierea certificrii SMSI

c) Semnarea contractului

d) Stabilirea echipei de audit

e) Auditul de evaluare

f) Certificarea

g) Supravegerea organizaiilor certificate

Care sunt avantajele certificrii S.M.S.I.?

Confer ncredere c SMSI elaborat i implementat de organizaie corespunde standardelor n vigoare

Ofer suport pentru meninerea i mbuntirea permanent a SMSI

Confer partenerilor de

afaceri, colaboratorilor,

administraiei garanii

referitoare la managementul

securitii informaiilor n

organizaia certificat

smsi curs ingineri sisteme de securitate

Documents