Ciobanu Emil

Sisteme de management pentru Securitatea Informatiei (SMSI)

Dr Ing Ciobanu Emil

Director SYSCERT SRL – partener international TUV Hessen,certificare sisteme de management

 

 

Rezumat

In prezentul articol vom continua sa prezentam sisteme de management. Se va face o scurta referire la Sistemele de Management pentru Securitatea Informatiei (SMSI). Referinta pentru certificarea acestor sisteme este standardul SR ISO/ CEI 27001 - Tehnologia informatiei. Tehnici de securitate. Sisteme de management al securitatii informatiei. Cerinte. Acest standard este insotit de un pachet de alte standarde care pot fi utilizate ca ghiduri in proiectarea, implementarea si functionarea Sistemelor de Management pentru Securitatea Informatiei.

La nivel mondial sunt peste 1.500.000 de sisteme de management certificate conform mai multor referinte, din care 17.509 conform cu ISO 27001, pe tari intre primele 10 sunt: Japonia, India, Regatul Unit, China, Taipei, Romania, Spania, Italia, Germania, SUA.

ISO 27001 este aliniat la ISO 9001 si ISO 14001 pentru a facilita implementarea unui sistem combinat si functionarea coerenta cu celelalte standarde de management. Sistemul de management al securitatii informatiei este partea din intregul sistem de management bazata pe o abordare a riscului afacerii, folosita pentru a stabili, implementa, functiona, monitoriza, revizui, mentine si imbunatati securitatea informatiei.

 

Resume

In this article we will continue to present the management systems. It will be made a short refer to Management System of Information Security (SMSI). The reference for certification of these systems is the standard SR ISO/ CEI 27001 – Technology of information. Techniques of security. Management systems of information security. Requirements. This standard is accompanied with a packet of other standards which can be used as guides in design, implementation and working of Management System for Information Security.

Worldwide, there are over 1.500.000 of certified management systems related to some references, from which 17.509 related to ISO 27001, on countries, the first 10 are: Japan, India, UK, China, Taipei, Romania, Spain, Italy, Germany, USA.

ISO 27001 is aligned to ISO 9001 and ISO 14001 in order to succeed implementation of a combined system and coherent working with other management standards. The management system of information security is the part of a whole management system, based on an approach of business risk, used to establish, implement, work, verify, update, maintain and improve the information security.

 

 

 

 

 

Introducere

In articolele anterioare am facut referire la alte sisteme de management: ISO 9001 – Managementul Calitatii; ISO 14001 – Managementul de Mediu. Dupa ISO 9001 prima editie din 1987, au aparut o multitudine de standarde care sunt referinta pentru certificarea de sistem de management. Astfel este si SR ISO/ CEI 27001 (septembrie 2006) cat si standarde specifice unor domenii industriale ISO TS 16949 pentru industria auto, ISO 9100 pentru aviatie, ISO 13845 pentru aparatura medicala.

Nu trebuie asociata ideea ca SMSI este aplicabil numai organizatiilor cu sisteme electronice informatice. Acest sistem se aplica la mult mai multe tipuri de organizatii si se refera si la alte tipuri de aspecte ca de exemplu: controlul accesului, aprecierea riscurilor, stabilirea de responsabilitati, alocare de resurse pentru protectia informatiilor (fisete, gratii) monitorizarea tertilor, etc.

Securitatea informatiei semnifica pastrarea confidentialitatii, integritatii si a disponibilitatii informatiei. In plus, pot fi si alte caracteristici precum autenticitatea, responsabilitatea, non-repudierea si fiabilitatea.

Informatia poate fi inmagazinata sub diverse forme incluzand: formatul digital (fisiere de date memorate pe medii electronice sau optice), formatul material (hartie) cat si informatia nereprezentabila sub forma cunostintelor angajatilor. Informatia poate fi transmisa prin mijloace variate, incluzand curieratul, comunicarea electronica sau verbala. Oricare ar fi forma pe care o ia informatia sau mijloacele prin care informatia este transmisa, ea va necesita intotdeauna o protectie corespunzatoare.

Se constata ca aceste sistem SMSI pot fi necesare in foarte multe tipuri de organizatii, intrucat odata cu dezvoltarea tehnologiilor, informatia este expusa la o diversitate mai ampla de amenintari si vulnerabilitati.

Toate informatiile detinute si prelucrate de o organizatie pot fi expuse amenintarilor de atac, eroare, naturale, (inundatii, incendii, cutremure) si pot fi expuse vulnerabilitatii inerente in cadrul utilizarii lor.

Securitatea informatiei este realizata prin implementarea unui set aplicabil de mijloace de control, selectionate pe baza procesului de management al riscurilor si gestionate prin utilizarea unui SMSI incluzand politici, procese, proceduri, structuri organizationale, software si hardware pentru a proteja resursele informationale identificate.

Securitatea informatiei include pe langa confidentialitate (proprietatea ca informatia sa nu fie facuta disponibila sau divulgata persoanelor, entitatilor sau proceselor neautorizate) si integritatea si disponibilitatea (proprietatea ca informatia sa fie accesibila si utilizabila la cerere de catre o entitate autorizata.

 

Principiile SMSI

Urmatoarele principii fundamentale contribuie la implementarea cu succes a unui SMSI:

  1. constientizarea cerintei de securitate a informatiei
  2. atribuirea responsabilitatii pentru securitatea informatiei
  3. incorporarea implicarii managementului si a partilor interesate
  4. imbunatatirea valorilor sociale
  5. aprecierile riscurilor pentru determinarea masurilor de securitate corespunzatoare in atingerea nivelurilor acceptabile de risc
  6. securitatea incorporata drept element esential al retelelor si sistemelor informationale
  7. prevenirea activa si detectarea incidentelor de securitate a informatiei
  8. asigurarea unei abordari cuprinzatoare pentru managementul securitatii informatiei
  9. re-evaluarea continua a securitatii informatiei si efectuarea, dupa caz, a modificarilor

 

Adoptarea unui SMSI este preconizata a constitui o decizie strategica pentru organizatie si este necesar ca aceasta decizie sa fie perfect integrata, adaptata la scara si actualizata conform cu cerintele organizatiei.

Ca si celelalte sisteme de management si SMSI este orientat spre procese si aplica ciclul PDCA (Planifica-Implementeaza-Verifica-Actioneaza). Planificarea se refera la stabilirea politicii de securitatea informatiei, a obiectivelor, a proceselor si a precedurilor relevante pentru managementul riscului si imbunatatirea securitatii informatiei.

Partea de implementare se refera la aplicarea cerintelor standardului, a procedurilor scrise, a masurilor de securitate.

Verificarea consta in masurarea performantelor atinse in raport cu politica si obiectivele si raportarea rezultatelor. Actionarea consta in a imbunatati prin actiuni corective, preventive si alte actiuni rezultate in urma analizelor. Ca si cerinte generale privind proiectarea SMSI organizatia trebuie sa:

  1. identifice resursele informationale si cerintele de securitate asociate
  2. aprecieze riscurile de securitate a informatiei
  3. selecteze si implementeze mijloacele de control relevante pentru a gestiona riscuri inacceptabile
  4. monitorizeze, intretina si imbunatateasca mijloacele de control de securitate asociate cu resursele informationale ale organizatiei.

 

Ca si la celelalte sisteme, SMSI trebuie sa fie documentat prin:

  • politica si obiective pentru domeniul stabilit
  • proceduri si masuri de securitate
  • analiza riscului cu raport scris
  • planuri de tratare a riscurilor
  • inregistrarile stabilite de standard
  • declaratie de aplicabilitate.

Documentatia ca volum, grad de detaliere, este dependenta de marimea organizatiei, de complexitatea cerintelor de securitate a informatiei, de procesele din organizatie, de calificare personal.

Desi nu este ceruta in mod explicit existenta unui manual, se recomanda ca acesta sa existe. Daca este un sistem combinat, o parte din documente pot fi comune.

 

Informatii referitoare la SMSI care se urmaresc a fi obtinute in cadrul evaluarii

Tehnicile de audit folosite pentru evaluarea SMSI sunt comune cu ale altor sisteme de management. Auditorii organismelor de certificare folosesc chestionare pentru a se asigura ca sunt parcurse principalele cerinte din standard. In continuare cateva exemple de aspecte abordate in timpul auditului:

 

Politica de securitate

 Conducerea/ administratia afacerii a intocmit o politica de securitate a informatiei?

 Conducerea/ administratia afacerii se angajeaza activ in publicarea si respectarea acestei politici?

Organizarea securitatii informatiei

 Managementul la cel mai inalt nivel a stabilit un grup adecvat pentru securitatea informatiei?

 Este stabilita responsabilitatea si competenta pentru echipamente si instalatii?

 Exista numai sisteme IT autorizate?

 Securitatea informatiei a fost evaluata de catre parti independente, cu Know-how extern?

 Au fost definite riscurile accesului la date a unor terte parti?

 Interesele de securitate aparute la interventia tertilor sunt luate in considerare in cadrul contractelor?

Clasificarea si managementul resurselor

 Au fost inventariate toate componentele importante de informatii, software si hardware si au fost clasificate/ incadrate in clase d.p.d.v. al nivelului lor de protectie?

 Din clasificare/ incadrarea in clase reiese necesitatea, prioritatile si perimetrul protectiei?

 Exista linii directoare referitoare la nivelul de protectie?

Securitatea informatiei in context cu resursele umane

 Prevederile politicii de securitate sunt cuprinse in fisele posturilor?

 Are loc o examinare adecvata a personalului d.p.d.v. al politicii de securitate?

 Responsabilitatea individuala a angajatului referitoare la securitatea informatiei este stabilita in contractele de muncă si in conventiile corespunzatoare de confidentialitate?

 Au loc instruiri referitoare la temele relevante d.p.d.v. al securitatii informatiei?

Securitatea fizica si a mediului de lucru

 Echipamentele care prelucreaza informatii sunt amplasate in zone de securitate, in spatii inchise corespunzatoare si cu controlul accesului?

 Echipamentele sunt protejate fizic de amenintari si de pericole cauzate de mediul de lucru (furt, incendiu, inundatie)?

 La calcularea riscurilor a fost luata în considerare infrastructura necesara pentru exploatarea echipamentelor (alimentarea cu curent electric, linii de telecomunicatii)?

 Au fost intocmite planuri de mentenanta si acestea sunt respectate?

 Exista instructiuni generale de securitate, de ex. referitoare la mutarea de birouri, sau la stingerea de ecrane, inclusiv la plecarea acasa cu obiecte care sunt proprietatea organizatiei?

Managementul comunicatiilor si operatiunilor

 Au fost implementate responsabilitati si proceduri privind administrarea si  exploatarea tuturor echipamentelor de prelucrare a informatiilor?

 Exista instructiuni specifice de exploatare si proceduri de anuntare a incidentelor de securitate?

 Existenţa de capacitati si resurse suficiente este realizata prin planificarea in avans si prin calcularea in avans, precum si prin pregatirea adecvata?

 Pentru toate sistemele noi sunt întocmite, documentate si testate cerintele de exploatare inainte de preluarea si utilizarea lor?

 Au fost stabilite masuri privind identificarea şi eliminarea de software „duşmănoase”?

 Pentru asigurarea informaţiilor de afaceri/administrare de bază sunt întocmite periodic copii de securitate pentru date ,fiind totodată exersată şi reconstituirea rapidă a acestor date?

 Sunt incluşi  purtători de date mobili?

 Pentru asigurarea securităţii purtătorilor de date în caz de furt, deteriorare sau manipulare neadecvată  au fost întocmite proceduri de exploatare corespunzătoare?

 Există proceduri speciale pentru protecţia informaţiilor şi a purtătorilor de date în timpul transportului?

 Au fost analizate aspectele  relevante legate de schimbul electronic de date prin E-Commerce, E-Mail, Fax, limbaj, video etc. Şi se ţine cont de ele în activitatea practică?

 Există o procedură formală de aprobare pentru publicarea de informaţii?

 

Controlul accesului

 Accesul la informaţii şi la procesele de afaceri/administrare este controlat pe baza politicii de securitate şi a modului de acţiune stabilit?

 Există proceduri pentru controlul alocării drepturilor de intervenţie?

 Utilizatorii au fost avertizaţi referitor la responsabilitatea lor privind obţinerea  controlului accesului (de ex. utilizarea de parole)?

 Accesul la servicii în reţele interne şi externe este controlat?

 Este supravegheat tehnic accesul utilizatorului la informaţii şi funcţiile de aplicare?

 Abaterile din politica de control al accesului pot fi acoperite printr-o supraveghere si eventual sunt documentate ca incidente de securitate?

 Pentru montarea de computere mobile inclusiv (telefuncţionare) există prevederi privind securitatea informaţiilor?

Certificarea conform ISO 27001 devine pe zi ce trece o conditie tot mai importanta pentru operatorii economici care doresc sa fie competitivi pe piata.

Un proces de certificare s epoate derula in colaborare cu SYSCERT, certificatul se emite de catre TUV Hessen (organism de certificare din Germania), majoritatea activitatilor sunt efectuate de personal roman ceea ce conduce la preturi avantajoase.

TUV Hessen acorda certificate cu sigla IAF (International Accreditation Forum) si este acreditat de catre DAkkS – organismul german de acreditare. Prin TUV Hessen se pot certifica sisteme de management al calitatii ISO 9001, mediului, ISO 14001, sanatatii si securitatii ocupationale, BS OHSAS 18001 etc.

CONTACT

Pentru certificari – dr ing Ciobanu Emil

Email: office@syscert.ro

Tel: 0214302825; 0745144876

Informatii suplimentare pe www.syscert.ro sau www.tuevhessen.de.

Bigliografie

  • IS0 27001:2006 Tehnologia informatiei – Tehnici de securitate – Sisteme de management a securitatii informatiei – Cerinte.
  • ISO 27000: 2009 Tehnologia informatiei – Tehnici de securitate – Sisteme de management a securitatii informatiei – Prezentare generala si vocabular.
  • Chestionar TUV Hessen pentru pregatirea unui audit ISO 27001