Cerinţe minime privind tratarea incidentelor de securitate într-un sistem de management al securităţii informaţiei (ISO 27001)

Management & Calitate

de Mihai Gheorghe

În acest articol, vom prezenta câteva caracteristici ale politicii privind tratarea incidentelor de securitate. Politica privind tratarea incidentelor de securitate se aplică nediscriminatoriu tuturor persoanelor care folosesc resursele informaţionale ale organizaţiei.

Câteva definiţii aplicabile:

Incident de securitate înseamnă orice eveniment care îndeplineşte una sau mai multe dintre următoarele criterii:

  • orice pierdere, deteriorare, distrugere accidentală sau divulgarea datelor clientului, materiale sau informaţii;
  • orice reală sau potenţială situaţie de divulgare de informaţii despre clienţi;
  • orice activitate care poate cauza riscuri financiare sau reputaţionale organizaţiei sau clienţilor;
  • un telefon pierdut sau furat şi / sau alt dispozitiv portabil, cum ar fi un scaner etc.;
  • pierderea sau furtul laptop-urilor sau computerelor desktop, cu active de informaţii ale organizaţiei;
  • pierderea, furtul, sau livrarea greşită a bunurilor clienţilor cum ar fi: documente, cutii cu documente, benzi magnetice;
  • probleme cu comunicaţiile electronice, cum ar fi trimiterea email-urilor care conţin informaţiipersonale, private sau financiare la adrese de e-mail greşite;
  • incidente legate de apă, foc, gaze, inclusive inundaţii, scurgeri, disfuncţionalităţi alarmă sau sistem de monitorizare;
  • incidente de automobile, cum ar fi furt şi remorcare;
  • orice deteriorare sau potenţial de deteriorare a bunurilor firmei sau părţilor interesate.

Descrierea procesului de tratare a incidentelor de securitate

A. Raportarea incidentelor

Este responsabilitatea oricărui angajat de a raporta un incident şefului direct. Dacă acesta nu poate fi contactat atunci se vor contacta persoanele nominalizate pentru locaţia respectivă de directorul general. Lista acestor persoane cu numerele de telefon mobil este la secretariat. Dacă nici unul din aceştia nu sunt disponibili se va lua legătura direct cu Directorul General pentru Raportarea Incidentelor.

În momentul în care şeful direct sau una din persoanele nominalizate în lista cu persoane de contact este anunţată de un angajat de apariţia unui incident, acesta va verifica cele semnalate. După verificare, acesta va raporta imediat Directorului General şi/sau Managerului cu securitatea informaţiei incidentul furnizând totodată detaliile pe care le-a aflat. Dacă este posibil, pe baza informaţiilor primite despre incident se vor dispune primele măsuri ce trebuie întreprinse pentru soluţionarea incidentului.

După deschiderea incidentului, Managerul cu securitatea informaţiei va monitoriza rezolvarea lui.

Imediat după raportarea incidentului, conform regulilor interne, Directorul General va aloca un manager de incident.

Acesta va ţine legatură cu persoana care a raportat incidental pe tot parcursul desfăşurării acestuia asigurând suport pentru rezolvare. Managerul va închide incidentul în sistemul de raportare numai după ce acesta a fost soluţionat.

Toate incidentele raportate vor fi analizate în cadrul întâlnirilor Comitetului pentru securitatea informaţiei.

B. Raportarea incidentelor referitoare la sistemul informatic

Responsabilul cu securitatea informatică are obligativitatea de a raporta către Directorul General toate incidentele referitoare la sistemul informatic şi de comunicaţii. Acesta va furniza periodic rapoarte privind incidentele de securitate. Tot el trebuie să furnizeze la întâlnirile Comitetului pentru securitatea informaţiei un raport complet al incidentelor sistemului informatic şi de comunicare.

C. Raportarea incidentelor parcului auto

Periodic Şeful departamentului logistică trebuie să transmită un raport în care va trece detalii (atât tehnice cât şi finaciare) ale accidentelor în care au fost implicate autovehiculele, dacă este cazul.

D. Analiza incidentelor de securitate

Comitetul pentru securitatea informaţiei va analiza în cadrul întâlnirilor periodice sau ori de câte ori este nevoie, rapoartele privind incidentele primite. În urma acestor analize se vor stabili măsuri pentru prevenirea şi limitarea accidentelor. Acolo unde este posibil, va realiza o informare şi o va distribui părţilor interesate.

E. Înregistrări aplicabile

Raportul lunar privind incidentele referitoare la sistemul informatic.

Raportul privind accidentele flotei auto.

Raportul comisie CSI.

Nr. crt.

Standard

Denumire

Comentarii

1

ISO/IEC 27000:2009

Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary”

Standard de vocabular

2

ISO/IEC 27001:2005

Information technology -- Security techniques -- Information security management systems – Requirements”

Standard utilizat în auditarea modului de implementare a măsurilor descrise în ISO/IEC 27002:2008. Aceste două standarde sunt obligatorii pentru a implementa, audita şi certifica un SMSI. O implementare corectă însă trebuie să ţină seama şi de restul standardelor din aceeaşi familie, deoarece acestea detaliază unele aspecte legate de cerinţele ISO 27001/27002.

3

ISO/IEC 27002:2008

Information technology -- Security techniques -- Code of practice for information security management

Standard ce defineşte obiectivele de securitate ce trebuie atinse într-o organizaţie prin aplicarea a 133 de măsuri concrete de securitate. Este standardul utilizat în implementarea SMSI.

4

ISO/IEC 27005:2008

Information technology -- Security techniques -- Information security risk management

Standard ce provine din familia ISO 13335 şi câteva din metodologiile de calcul al riscurilor, identifică o listă de vulnerabilităţi şi ameninţări posibile.

5

ISO/IEC FCD 27003

Information technology -- Security techniques -- Information security management system implementation guidance”;

 

Standard (nefinalizat încă) ce se doreşte a fi un ghid de implementare a SMSI

6

ISO/IEC 27006:2007

Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems

 

Standard utilizat pentru acreditarea organismelor de certificare

_______________________________________________________________________

MIHAI GHEORGHE dr. ing., Director Calitate Indaco Systems

_______________________________________________________________________

Note:

Seria de standarde ISO 27000 cuprinde mai multe standarde toate având legatură între ele. Acestea sunt:

Pe lângă familia ISO 27000, mai există o serie de standarde specifice, care detaliază fiecare câte o măsură sau un grup de măsuri descrise în ISO/IEC 27002. Printre acestea enumăr aici doar:

  • ISO/IEC TR 18044:2004 – Security Techniques – Information security incident management

  • ISO/IEC 18028-1:2006 -- IT network security -- Part 1: Network security management

  • ISO/IEC 18028-2:2006 – IT network security -- Part 2: Network security architecture

  • ISO/IEC 18028-3:2005 – IT Network security -- Part 3: Securing communications between networks using security gateways

  • ISO/IEC 18028-4:2005 - IT network security -- Part 4: Securing remote access

  • ISO/IEC 18028-5:2006 - IT network security -- Part 5: Securing communications across networks using virtual private networks

  • ISO/IEC 24762:2008 - Security techniques -- Guidelines for information and communications technology disaster recovery services

Pentru anumite domenii critice (conform definirii din ISO/IEC 27006) există elaborate standarde specifice aplicării măsurilor de securitate a informaţiei în acel domeniu:

  • ISO/IEC 27011:2008 - Information security management guidelines for telecommunications organizations based on ISO/IEC 27002

  • ISO/ TR 13569:2005 - Financial Services – Information security guidelines

  • ISO 27799:2008 - Health informatics – Information security management in health using ISO/IEC 27002.

_________________________________________________________________________


Accept cookie

www.ttonline.ro utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru.

Te informăm că ne-am actualizat politicile pentru a integra în acestea și în activitatea curentă a www.ttonline.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera
circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru, te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politicii de Cookie.

Prin continuarea navigării pe Website-ul nostru confirmi acceptarea utilizării fişierelor de tip cookie conform Politicii de Cookie. Îți mulțumim pentru acest accept și nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookie.

Da, sunt de acord