1 / 44

Sistemul d e Management a l Securită ț ii Informa ț iei conform ISO 27K

Sistemul d e Management a l Securită ț ii Informa ț iei conform ISO 27K. Vă sprijinim să deveniţi întreprinzător în mileniul trei!. INFORMAŢIA - DEFINIŢII.

rasia
Télécharger la présentation

Sistemul d e Management a l Securită ț ii Informa ț iei conform ISO 27K

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Sistemulde Managemental Securității Informației conform ISO 27K Vă sprijinim să deveniţi întreprinzător în mileniul trei!

  2. INFORMAŢIA - DEFINIŢII • Informaţia este un activ care, ca şi alte active importante pentru afacere, prezintă o valoare pentru organizaţie şi, în consecinţă, trebuie protejată adecvat. Sursa: SR ISO/IEC 27002:2006

  3. ATRIBUTELE FUNDAMENTALE ALE INFORMAȚIEI • Informația este caracterizată de următoarele atribute fundamentale: • Confidențialitate: accesul la informație nu poate fi făcut decât cu autorizare adecvată. • Integritate: acuratețea și completitudinea informației și a modului în care este prelucrată. • Disponibilitate: utilizatorii autorizați trebuie să aibă acces la informație de fiecare dată când au nevoie.

  4. SECURITATEA INFORMAȚIEI – DEFINIȚII • Securitatea informației constă în conservarea atributelor fundamentale ale informației: confidențialitate, integritate, disponibilitate • Securitatea informației înseamnă protejarea informației de acces, utilizare, divulgare, modificare, dislocare sau distrugere neautorizate în scopul asigurării continuității afacerii, diminuării pierderilor, maximizării rentabilității investițiilor și oportunităților de afaceri. Sursa: SR ISO/IEC 27002:2006

  5. FORME DE REPREZENTARE ALE INFORMAȚIEI • Informația este de esență volatilă și poate fi materializată în diferite forme: • Exprimată prin vorbire • Scrisă sau tipărită pe hârtie • Stocată electronic • Transmisă prin diferite mijloace de comunicație • Înregistrată pe suporturi în format audio/video

  6. SCE ÎNSEAMNĂ SECURITATEA INFORMAȚIEI? • Securitatea informației nu înseamnă doar instalarea de firewall de monitorizare a rețelei, de programe anti-virus, sau în ultimă instanță de externalizare a activităților de protejare a informației. • Toate aceste măsuri trebuie integrate într-o strategie la nivelul organizației în vederea atingerii unui nivel optim de protecție a informației.

  7. SOCE ÎNSEAMNĂ SECURITATEA INFORMAȚIEI?A • Securitatea informației se realizează prin implementarea unei colecții de măsuri de securitate care asigură că obiectivele de securitate ale organizației sunt atinse, concretizate în: • Structuri organizaționale • Politici • Practici • Proceduri • Sisteme informatice

  8. DEFINIȚII • Breșă de securitate: Act care ignoră sau contravine politicilor, practicilor sau procedurilor de securitate și care este săvârșit de către o persoană din interiorul organizației. • Violare de securitate: Act care ignoră sau contravine politicilor, practicilor sau procedurilor de securitate și care este săvârșit de către o persoană din EXTERIORUL organizației. • Eveniment de securitate:Atac de securitate înregistrat și comunicat de către o autoritate recunoscută de către organizație.

  9. DEFINIȚII • Incident de securitate: Un incident de securitate este un incident care implică una sau mai multe dintre componentele de mai jos: • Breșă sau violare de securitate a informației • Activitate generată de un sistem de calcul electronic din cadrul organizației care violează reglementările în vigoare (ECPA) cum ar fi: • Spam • Malware (include orice atac destinat exploatării vulnerabilităților software) • Trafic de agenți de rețea • Orice altă activitate desfășurată pe un sistem de calcul din cadrul organizației care poate deveni dăunătoare.

  10. EXPUNEREA LA RISC A UNUI SISTEM INFORMAȚIONAL ÎN FUNCȚIE DE DOMENIUL DE ACTIVITATE Ridicat Mediu Scăzut Agricultură Construcții Alimentație Echipamente industriale Minerit Automobile Chimie Energie Transport Comerț en-gros Guvern Apărare Prod. biomedicale Prod. electronice Servicii financiare Sănătate Servicii informatice Prod. farmaceutice Comerț cu amănuntul Sursa: Callio Technologies

  11. LEGISLAŢIA PRIVIND SECURITATEA INFORMAŢIEI • Legislația în domeniul securității informației este în continuă dezvoltare și perfecționare pentru a oferi un cadru de reglementare coerent aliniat la cerințele impuse de dezvoltarea socio-economică și tehnologică. Câteva dintre legile de bază sunt: • Legea nr. 8/1996– privind dreptului de autor şi a drepturilor conexe • Legea nr. 182/2002 – privind protecţia informaţiilor clasificate • HG nr. 585/2002 – privind standardele naţionale de protecţie a informaţiilor clasificate în România • HG nr. 781/2002 – privind protecţia informaţiilor secrete de serviciu • HG nr. 353/2002 – privind aprobarea normelor de protecţie a informaţiilor clasificate NATO în România

  12. LEGISLAŢIA PRIVIND SECURITATEA INFORMAŢIEI • Legea nr. 544 /2002 – privind informaţiile de interes public • Legea nr. 676/2002 – privind protecţia datelor cu caracter personal în reţelele de comunicaţii • Legea nr. 677/2001 – privind protecţia datelor cu caracter personal şi libera circulaţie a acestor date • Legea nr. 455/2001 – privind semnătura electronică • Legea nr. 365/2002 – privind comerţul electronic • Ordonanţa nr. 20/2002– privind achiziţiile publice prin licitaţii electronice

  13. SMSI – SUPORT PENTRU ORICE FEL DE INFORMAȚIE • Informaţia trebuie protejată pe tot ciclul ei de viaţă. • Informaţia trebuie protejată indiferent de forma ei şi de mediul de comunicare. • SMSI se referă la securitatea informaţiei în general nu numai la securitatea informației în format digital.

  14. SMSI - SUPORT PENTRU MANAGEMENT • Adoptarea unui SMSI – trebuie să fie o decizie strategică pentru organizaţie deoarece: • Nu este un instrument pentru specialiştii IT şi nicipentru specialiştii în securitate informaticăci al managementului de vârf • Susține managementul de vârf în conștientizarea riscurilor de securitate a informației prin: • Informarea asupra riscurilor rezultate din utilizarea informației înprocesele de producție pentru a putea să determine relevanța şi nivelul critic al acesteia în conformitate cu cerințele afacerii. • Posibilitatea de a decide în cunoștință de cauză cum trebuie să controleze riscurile prin planificarea, implementarea şimonitorizarea măsurilor luate pentru a evita, reduce şi transfera riscurile,şi pentru a fi capabil de a administra incidentele posibile.

  15. SMSI – SUPORT PENTRU ORGANIZAȚIE • Credibilitatea, încrederea şi siguranţa comercială: Clienţii se pot simţi în siguranţă în ceea ce priveşte obligaţiile dvs. de păstrare ainformaţiei în condiţii de siguranţă. SMSI poate ajuta compania să se diferenţiezede competitori şi piaţă • Economie de fonduri: Costul unei singure breşe de securitate a informaţiei poate fi semnificativ; costulmai multor breşe poate fi catastrofal. SMSI reduce riscul expunerii la astfel decosturi, lucru important, de exemplu, pentru management şi investitori • Angajaţi:Îmbunătăţeşte cunoştinţele angajaţilor legate de securitate şi îi conştientizează în cadrul organizaţiei. SMSI contribuie la dezvoltarea unei culturi de securitate

  16. SMSI – SUPORT PENTRU ORGANIZAȚIE • Îmbunătăţirea continuă: Procesul de evaluare periodică va ajuta organizaţia să dezvolte, monitorizeze şi îmbunătăţească continuu, atât SMSI, cât şi procesele de business • Integrare facilă cu alte sisteme de management: Organizaţia care are implementat ISO 9001, aplicarea SMSI este mai facilă deoarece fluxurile informaţionale şi interacţiunile între procese deja funcţionează • Competitivitate: SMSI contribuie semnificativ la menţinerea şi îmbunătăţirea nivelului de competitivitate, circuitului financiar, rentabilităţii, conformităţii cu legile şi imaginii comerciale a firmei

  17. SMSI – SUPORT PENTRU CERTIFICARE • Legalitate: Certificarea SMSI demonstrează autorităţilor competente că organizaţia respectălegile şi reglementările aplicabile în domeniu fiind totodată singura dovadă aimplementării SMSI • Obligaţii (angajament)‏: Certificarea SMSI ajută la asigurarea şi demonstrarea obligaţiilor latoate nivelurileorganizaţiei

  18. FAMILIA DE STANDARDE ISO/IEC 2700X • ISO/IEC 27000 – Fundamente și vocabular – 2007 • ISO/IEC 27001 - SMSI- Cerințe (BS 7799 Part 2:2005revizuit ) – 2005 • ISO/IEC 27002 – Cod de practici pentru managementul securității informației (fost ISO/IEC 17799:2005) -2005 • ISO/IEC 27003 – Ghid de implementare SMSI (în dezvoltare) – 2008 • ISO/IEC 27004 – Măsurarea managementului de securitate a informației - 2007 • ISO/IEC 27005 – Managementul riscului de securitate a informației (se bazează pe și incorporează ISO/IEC 13335 MICTS Partea 2) – 2008 • ISO/IEC 27006 – Ghidul de acreditare- 2007 • ISO/IEC 27007-27010 – alocarepentru utilizare ulterioară

  19. SR ISO/IEC 27002 SR ISO/IEC 27001 Introducere Introducere Corespondența cu ISO 9001 4. SMSI (definire,implementare și operare) (PD) 5. Responsabilitatea managementului (D) 6. Audit intern SMSI (C) 7. Analiza managementului (C) 8. Îmbunătățire SMSI (A) 4. EvaluareașI tratareariscului 5. Politica de securitate 6. Organizarea securității 7. Managementul resurselor 8. Securitatea resurselor umane 9. Securitatea fizică și de mediu 10. Managementul comunicațiilor și operațiilor 11. Controlul accesului 12. Achiziții, dezvoltare și mentenanță SI 13. Managementul incidentelor de securitate 14. Continuitatea afacerii 15. Conformitate A5. Politica de securitate A6. Organizarea securității A7. Managementul resurselor A8. Securitatea resurselor umane A9. Securitatea fizică și de mediu A10. Managementul comunicațiilor și operațiilor A11. Controlul accesului A12. Achiziții, dezvoltare și mentenanță SI A13. Managementul incidentelor de securitate A14. Continuitatea afacerii A15. Conformitate ANEXA A Index și bibliografie Alte anexe și bibliografie

  20. SR ISO/IEC 27002:2008 - DESCRIERE • SR ISO/CEI 27002:2008 Tehnologia informaţiei – Tehnici de securitate – Cod de bună practică pentru managementul securităţii informaţiei • Este un standard de management şi de aceea precizează ce trebuie făcut pentru conformarea la standard fără a impune soluţii de implementare (ce să faci NU cum să faci?)‏ • Descriere detaliată a celor mai bune practici de implementare a măsurilor de siguranţă pentru o securitate cuprinzătoare şi durabilă în organizaţie

  21. SR ISO/IEC 27002:2008 - DESCRIERE • Caracteristici: • Neutru din punct de vedere tehnologic • Aplicabil pentru toate ramurile industriale, toate categoriile şi caracteristicile de organizaţii • Adecvat inclusiv organizaţiilor mici

  22. CORESPONDENŢA ÎNTRE SR ISO/IEC 27002:2006 ŞI SR ISO/IEC 27001:2006 • Între grupele de clauze 5 - 15 ale SR ISO/IEC 27002:2008 şi măsurile de control din Anexa A a SR ISO/IEC 27001:2008 există o corespondenţă biunivocă.

  23. SR ISO/IEC 27002:2008 STRUCTURA STANDARDULUI • Organizarea standardului: • organizaţia emitentă, codificare, data versiunii • denumirea standardului în lb. română, engleză, franceză • aprobare, statut, ce standard înlocuieşte • corespondenţă cu alte standarde, în lb. română, engleză, franceză • cuprins, preambul, cap. 0 – Introducere; • cap. 1 – domeniul de aplicare, cap. 2 – termeni şi definiţii • structura standardului, de forma: • x – număr de capitol – articol privind controlul securităţii • x.x – categorii de securitate (principale)‏ • x.x.x – măsură de securitate (control)‏

  24. SR ISO/IEC 27002:2008 STRUCTURA STANDARDULUI • Standardul internaţional ISO/IEC 27002:2008 a fost acceptat ca standard român de către comitetul tehnic CT 208 – Tehnici de securitate în tehnologia informaţiei • Standardul a fost tradus în limba română şi verificat de membrii comitetului tehnic al ASRO.

  25. ASOCIAŢIA DE STANDARDIZARE DIN ROMÂNIA

  26. SR ISO/IEC 27002:2008 STRUCTURA STANDARDULUI • Fiecare categorie de securitate conţine: • un obiectiv privind măsura de securitate care stabileşte ceea ce trebuie realizat; • una sau mai multe măsuri de securitate aplicate pentru a atinge obiectivul • Măsura de securitate este compusă din: • Definiţie • Ghid de implementare • Ate informaţii utile

  27. SR ISO/IEC 27002:2008 STRUCTURA STANDARDULUI • Standardul conţine 39 de categorii de securitate grupate în 11 clauze: • Managementul riscului este tratat separat în clauza 4.

  28. SR ISO/IEC 27001:2008 - DESCRIERE • SR ISO/CEI 27001:2008 Tehnologia informaţiei – Tehnici de securitate – Sisteme de management al securităţii informaţiei – Cerinţe • Este un standard de management şi descrie cerinţele pentru Sistemele de management al securităţii informaţiei • Ca şi SR ISO/IEC 27002:2006 conţine 11 clauze de control, totalizând 39 de obiective de control susţinute prin 133 de măsuri de securitate.

  29. SR ISO/IEC 27001:2008 - DESCRIERE • Caracteristici: • Neutru din punct de vedere tehnologic • Aplicabil pentru toate ramurile industriale, toate categoriile şi caracteristicile de organizaţii • Adecvat inclusiv organizaţiilor mici • Este singurul standard internaţional auditabil care defineşte cerinţe pentru un SMSI

  30. SR ISO/IEC 27001:2008 - DESCRIERE • Caracteristici: • Reprezintă baza pentru certificarea SMSI • Reprezintă o bază pentru relaţii contractuale • Este orientat pe îmbunătăţire continuă (buclă de reacţie PDCA – Plan, Do, Chek, Act)‏ • Accent pus pe prevenire, nu pe corecţie!

  31. SR ISO/IEC 27001:2008 COMPATIBILITATEA CU SR ISO 9001:2008 • Acest standard internațional este aliniat cu ISO 9001 și ISO 14001 în scopul de a sprijini implementarea și operarea consistentă și integrată cu aceste standarde. Un sistem de management proiectat adecvat poate implicit satisface și cerințele celorlalte standarde.

  32. Stabilire (P=Plan) Implementare și operare (D=Do) Întrteținere și îmbunătățire (A=Act) Monitorizare și examinare (C=Check) SR ISO/IEC 27001:2006CICLUL PDCA Părți interesate Cerințe și așteptăride securitatea informației Părți interesate Securitatea informației aflată sub controlul managementului Corecții, Acțiuni corective, preventive Raportul de neconformitate

  33. SR ISO/IEC 27001:2008 - ABORDARE • SR ISO/IEC 27001 are o abordare bzată pe proces • Această abordare sprijină: • înţelegerea cerinţelor de securitate a informaţiei şi nevoia de a stabili politica şi obiectivele pentru securitatea informaţiei • implementarea şi operarea măsurilor de control pentru managementul riscurilor de securitate a informaţiei, integrat în managementului riscului aferent întregii activităţi a organizaţiei • îmbunătăţirea continuă bazată pe măsurători

  34. SR ISO/IEC 27001:2008APLICAREA CERINŢELOR STANDARDULUI • Cerinţele standardului sunt generice şi sunt destinate a fi aplicabile tuturor organizaţiilor, indiferent de tip, mărime şi natura activităţii • Clauzele specificate în capitolele 4, 5, 6, 7 şi 8 sunt obligatorii şi prin urmare nici o organizaţie care solicită certificarea pentru conformitatea cu acest standard nu poate opera excluderi pe aceste grupe de clauze.

  35. SR ISO/IEC 27001:2008APLICAREA CERINŢELOR STANDARDULUI • Orice excludere de măsuri de control necesare eliminării sau reducerii riscului până la un nivel acceptabil trebuie justificată şi trebuie furnizate dovezi obiective privind excluderea. • Cerinţele standardului nu pot fi aplicate decât în legătură cu standardul SR ISO/IEC 27002:2008

  36. SR ISO/IEC 27001:2008STRUCTURA STANDARDULUI • PARTEA NORMATIVĂ • PRINCIPII GENERALE • CADRUL DE MANAGEMENT • ANEXA A (normativă)‏ • PARTEA INFORMATIVĂ • ANEXA B – Principiile OECD şi acest standard internaţional • ANEXA C – Corespondenţa dintre ISO 9001:2000, ISO 14001:2004 şi acest standard internaţional • BIBLIOGRAFIE

  37. SR ISO/IEC 27001:2008STRUCTURA STANDARDULUI • PRINCIPII GENERALE • 0. Introducere • 1. Scop • 2. Referinţe normative • 3. Termeni şi definiţii • CADRUL DE MANAGEMENT • 4. Sistemul de management al securităţii informaţiei • 5. Responsabilitatea managementului • 6. Auditări interne SMSI • 7. Analiza efectuată de management a SMSI • 8. Îmbunătăţirea SMSI • AUDITARE ŞI CERTIFICARE • Anexa A (normativă): Obiective şi măsuri de control

  38. SR ISO/IEC 27001:2008CERINŢE PENTRU CADRUL DE MANAGEMENT AL SMSI • Clauzele obligatorii ale standardului sunt grupate în următoarele capitole: • 4. Sistemul de management al securităţii informaţiei • 5. Responsabilitatea managementului • 6. Auditări interne SMSI • 7. Analiza efectuată de management a SMSI • 8. Îmbunătăţirea SMSI

  39. SR ISO/IEC 27001:2006Anexa A

  40. CADRUL DE IMPLEMENTARE SMSI • Standardul ISO 27001 stabilește următoarele practici: • Toate activitățile trebuie să aibă la bază o metodă. Alegerea metodei este liberă dar trebuie clar definită și documentată. • Stabilirea obiectivelor de securitate este responsabilitatea organizației. Auditorul va verifica numai dacă aceste cerințe sunt îndeplinite. • Toate măsurile de securitate utilizate în SMSI se implementează pe baza analizei de risc în scopul de a elimina sau reduce riscul la un nivel acceptabil.

  41. CADRUL DE IMPLEMENTARE SMSI • Standardul ISO 27001 stabilește următoarele practici: • Standardul pune la dispoziție o colecție de măsuri de control dar este la latitudinea organizației să aleagă și să implementeze măsurile de control care răspund necesităților obiective ale proceselor specifice de producție. • Un proces de management al securității informației trebuie să asigure verificarea continuă a elementelor SMSI prin audituri și analize (examinări). • Un proces de management al securității informației trebuie să asigure îmbunătățirea continuă a SMSI. (Standardul ISO/IEC 27001 adoptă ca bază pentru implementare modelul Plan-Do-Check-Act [PDCA].)

  42. FLUX ACTIVITĂȚI IMPLEMENTARE ȘI CERTIFICAREA SMSI

  43. REGISTRUL INTERNAŢIONAL AL CERTIFICATELOR SMSI http://www.iso27001certificates.com/

  44. REGISTRUL INTERNAŢIONAL AL CERTIFICATELOR SMSI Februarie 2011

More Related