Elemente de bună practică pentru sistemul de management al securităţii informaţiei

Management & Calitate

de Mihai Gheorghe

Sistemul de management al securităţii informaţiei include: structura organizatorică, politicile, activităţile de planificare, planurile, responsabilităţile, practicile de lucru, procedurile, procesele şi resursele. Acest sistem de management este bazat pe analiza şi tratarea riscurilor, permite managementului să stabilească, să implementeze, să opereze, să monitorizeze, să revadă, să menţină şi să îmbunătăţească securitatea informaţiilor în cadrul organizaţiei.

 

În continuare, prezentăm mai multe cerinţe privind sistemul de management al securităţii informaţiei.

 

1. Clasificarea informaţiei

Scopul urmărit: să asigure faptul că informaţia be­neficiază de un nivel de protecţie adecvat. Informaţiile trebuie clasificate în funcţie de valoare, cerinţe legale, importanţă şi criticalitate pentru Organizaţie.

Organizaţia trebuie să elaboreze instrucţiuni pentru clasificarea informaţiilor, care sunt adecvate pentru nevoile organizaţiei, atât pentru controlul cât şi pentru partajarea informaţiilor.

Un set corespunzător de norme pentru etichetarea informaţiei şi manipularea informaţiei trebuie elaborat şi implementat în conformitate cu structura de clasificare adoptată   de către organizaţie.

 

2. Securitatea fizică

Scopul urmărit: să prevină accesul fizic neautorizat, distrugerile şi pătrunderea în interiorul organizaţiei, precum şi accesul la informaţii.

Organizaţia trebuie să utilizeze perimetre de securitate pentru a proteja zonele care conţin informaţii şi facilităţi de prelucrare a informaţiilor.

Zonele de securitate trebuie protejate prin măsuri de control, de acces adecvate pentru a se asigura că numai personalului autorizat îi este permis accesul.

Trebuie realizată o evaluare a riscurilor, pentru a determina tipul de control al accesului care este necesar pentru siguranţa acestor zone de securitate.

Responsabilii zonelor de  securitate sunt responsabili pentru menţinerea controlului de acces fizic necesar.

Organizaţia trebuie să proiecteze şi să aplice măsuri pentru protecţia fizică şi pentru desfăşurarea activităţii în zone de securitate.

Organizaţia trebuie sa facă evaluări de risc individuale pentru spaţii şi sisteme informaţionale care conţin informaţii confidenţiale sau cu risc ridicat, pentru a identifica controalele necesare asigurării securităţii.

Organizaţia trebuie să proiecteze şi să aplice măsuri de protecţie fizică împotriva incendiilor, inundaţiilor, cutremurelor, exploziilor, revoltelor publice şi a oricăror altor forme de dezastre naturale sau produse de oameni.

Organizaţia trebuie să proiecteze şi să aplice măsuri şi ghiduri pentru protecţia fizică şi pentru desfăşurarea activităţii în zone de securitate.

 

Punctele de acces, sau alte puncte pe unde persoanele neautorizate nu au voie să intre, trebuie controlate pentru a evita accesul neautorizat.

 

3. Securitatea echipamentelor

Scopul urmărit: prevenirea pierderii, avarierii, furtului sau compromiterii resurselor şi întreruperii  proceselor organizaţiei.

Echipamentele trebuie amplasate şi protejate astfel încât să se reducă riscurile faţă de ameninţările, pericolele şi faţă de posibilităţile de acces neautorizat.

Echipamentele trebuie să fie protejate împotriva efectelor penelor de curent şi a altor întreruperi cauzate de probleme ale utilităţilor suport.

Cablurile de energie şi reţelele de comunicaţii purtătoare de date sau servicii de suport pentru informaţii trebuie protejate faţă de interceptări sau avarii.

Echipamentele trebuie corect întreţinute, pentru a se asigura disponibilitatea continuă şi integritatea acestora, prin mentenanţă preventivă.

Pentru echipamentele scoase în afara locaţiei trebuie să se asigure o securitate corespunzătoare,  ţinându-se cont de riscurile diferite pentru activităţile care se desfăşoară în afara locaţiei.

Toate elementele de echipamente care conţin medii de stocare trebuie verificate pentru a se asigura că orice date importante au fost înlăturate sau suprascrise într-un mod sigur înainte de distrugere.

Echipamentele, informaţiile nu trebuie scoase în afara spaţiului de lucru fără o autorizaţie prealabilă.

 

4. Managementul comunicaţiilor

Scopul urmărit: să se asigure operarea corectă şi în condiţii de securitate a sistemelor de procesare a informaţiei.

Procedurile de operare trebuie documentate, menţinute şi sunt puse la dispoziţia tuturor părţilor interesate.

Responsabilul cu Securitatea Informaţională (RSI) este responsabil pentru documentarea tuturor procedurilor IT pentru activităţile legate de prelucrarea informaţiilor.

Responsabilul cu Securitatea Informaţională (RSI) este responsabil pentru asigurarea faptului că toate cere­rile de schimbări semnificative a facilităţilor de prelucrare a informaţiilor sunt gestionate în conformitate cu procedurile aplicabile.

Atribuţiile şi domeniile de responsabilitate trebuie separate, pentru a reduce posibilitatea modificării neautorizate sau neintenţionate sau folosirea într-un mod greşit a resurselor organizaţiei.

Cerinţele organizaţiei pentru separarea sistemelor de dezvoltare, testare şi operaţionale, precum şi normele de utilizare a acestora şi transferul de software pentru mediul operaţional pot fi documentate în proceduri separate.

Pentru protejarea schimbului de informaţii, folosind orice tip de dispozitiv de comunicare, trebuie implementate politici, proceduri şi măsuri de  securitate formalizate pentru schimbul de informaţii.

 

Acordurile de schimb pentru schimbul de informaţii între organizaţie şi alte părţi trebuie stabilite prin acorduri specifice.

Trebuie să existe norme care stabilesc modul în care organizaţia asigură faptul că mediile de stocare care conţin informaţii sunt protejate împotriva accesului neautori­zat, utilizării necorespunzătoare sau falsificării în timpul transportării dincolo de graniţele fizice ale organizaţiei.

Informaţia transmisă prin mesageria electronică trebuie protejată în mod corespunzător.

Pentru protejarea informaţiei trebuie dezvoltate şi implementate politici şi proceduri corespunzătoare modului de interconectare a  sistemelor informaţionale.

 

Politica organizaţiei trebuie să fie ca informaţiile să fie partajate în cadrul organizaţiei la un nivel permis de clasificarea de securitate a informaţiilor organizaţiei; aceste informaţii ar trebui să aibă o clasificare de un nivel minim de confidenţialitate posibil, pentru a permite accesul tuturor celor care trebuie şi sunt abilitaţi să aibă acces la ea. Confidenţialitatea trebuie să fie practică, să aibă în vedere sensibilitatea şi faptul că informaţia, în cadrul sistemelor sale interconectate, trebuie să fie protejată în conformitate cu clasificarea acesteia. Au fost elaborate proceduri pentru a aplica această politică.

 

5. Responsabilităţile pentru resurse

Toate activele informaţionale trebuie clar identificate şi un inventar al tuturor activelor importante a fost elaborat şi este menţinut de Responsabilul cu Securitatea Informaţiei.

Toate activele asociate cu sistemele sau serviciile informaţionale sunt proprietatea  organizaţiei, iar detaliile privind proprietarul trebuie identificate în inventarul activelor.

Regulile pentru utilizarea în mod acceptabil a informaţiilor şi resurselor asociate sistemelor de procesare a informaţiilor trebuie identificate, documentate şi implementate.

 

Obiectiv: să prevină accesul neautorizat al utilizatorului, precum şi compromiterea sau furtul de informaţii şi sisteme de procesare a informaţiilor.

Utilizatorilor sistemelor informatice trebuie să li se ceară să urmeze bunele practici de securitate, în ceea ce priveşte selecţia şi utilizarea parolelor.

Utilizatorii sistemelor informatice trebuie să fie obligaţi să se asigure că echipamentul lăsat nesupravegheat este protejat în mod adecvat.

Trebuie să fie implementată o normă clară de folosire a cât mai puţine documente şi medii de stocare amovibile şi o politică de păstrare a ecranului protejat pentru sistemele de procesare a informaţiilor.

 

6.Tratarea incidentelor de securitate a informaţiei

Scopul urmărit: să se asigure faptul că evenimentele de securitate a informaţiei şi punctele slabe asociate sistemelor informaţionale sunt comunicate astfel încât să permită luarea de măsuri în timp real.

Evenimentele de securitate a informaţiei trebuie raportate Responsabilului cu Securitatea Informaţiei, cât mai curând posibil.

Toţi angajaţii şi alte părţi interesate trebuie să raporteze şi să noteze orice punct slab de securitate observat în cadrul sistemelor sau al serviciilor.

Responsabilităţile şi regulile specifice trebuie documentate şi implementate pentru a asigura un răspuns rapid, eficace şi sistematic la incidentele de securitate ale informaţiei.

Regulile privind tratarea incidentelor de securitate solicită Responsabilului cu Securitatea Informaţiei să măsoare şi să monitorizeze tipurile, volumul şi costurile incidentelor de securitate ale informaţiei şi să se informeze părţile interesate.

 

7. Cerinţe privind protecţia antivirus

Sistemele de calcul trebuie să satisfacă standardele acestei politici, programul antivirus trebuie să fie instalat şi programat pentru pornire automată. Baza de date a acestui program trebuie menţinută la zi prin update-uri (actualizări) periodice.

Sistemele de calcul virusate trebuie scoase din reţea până când nu vor fi devirusate prin scanarea cu programul de antivirus. Managerul IT şi Responsabilul cu Securitatea Informatică sunt responsabili pentru funcţionalitatea programului de antivirus, update-urile regulate şi scanările periodice ale sistemelor de calcul.

 

Toate activităţile care au intenţia sau pot crea sau distribui programe ce conţin viruşi sau coduri maliţioase în reţea (ex:virus, trojan etc) trebuie interzise.

La configurarea unui calculator nou, până la instalarea unui program de antivirus, se vor utiliza numai software-uri originale.

Orice software-uri comerciale trebuie scanate de antivirus înainte de a fi instalate.

Pentru a putea proteja datele în cazul virusării calculatorului, pentru fiecare sistem de calcul se face un back-up (salvare) periodic.

 

8. Cerinţe privind utilizarea e-mail-ului

Trebuie stabilite reguli pentru modul de transmitere a mesajelor de e-mail. E-mail-ul nu este o tehnologie securizată, mai ales în cazul  mesajelor transmise în / din afara firmei. Angajaţii trebuie să aibă o atitudine prudentă când utilizează contul de e-mail al firmei, mai ales când transmit mesaje altor persoane decât angajaţilor.

Nu se permite transmiterea mesajelor ce conţin date confidenţiale înainte ca acestea să obţină acceptul pentru transmitere. Se recomandă ca informaţia confidenţială transmisă prin e-mail să fie criptată în concordanţă cu politica de securitate a organizaţiei.

 

Toate e-mail-urile procesate de sistemul informaţional al societăţii sunt considerate proprietate a organizaţiei.

E-mail-urile trebuie scanate automat de viruşi sau alt software maliţios.

Nu folosiţi serviciile Gmail, Hotmail, Yahoo Mail pentru transmiterea corespondenţei organizaţiei.

Folosirea contului de e-mail al organizaţiei în interese personale nu trebuie admisă.

Trebuie stabiliţi clienţii de mesagerie acceptaţi pentru folosirea pe sistemele de calcul ale organizaţiei.

 

Pentru a răspunde cerinţelor sistemului de management al securităţii informaţiei (SMSI) trebuie să fi fost definite responsabilităţile şi autoritatea necesare pentru toate funcţiile care au influenţă asupra SMSI, astfel încât:

  • să fie definite politica şi obiectivele sistemului de ma­nagement;
  • să se asigure resursele necesare proiectării, imple­mentării şi menţinerii sistemului de management;
  • să se aloce autoritatea şi responsabilitatea necesare pentru Managerul SMSI necesare proiectării, implementării şi menţinerii sistemului de management.

Mihai Gheorghe este dr. ing., Director Calitate Indaco Systems



Accept cookie

Acest site web utilizează module cookie în scopuri funcţionale, de confort şi statistică.

Dacă sunteţi de acord cu această utilizare a modulelor cookie, faceţi clic pe "Da, sunt de acord". Termeni si conditii

Nu sunt de acord Accept doar cookie functional Da, sunt de acord