Principii de bună practică pentru un sistem de management al securităţii informaţionale

Management & Calitate

de Mihai Gheorghe

Principii de bună practică pentru un sistem de management al securităţii informaţionale

Măsurile de securitate se bazează pe cerinţe legislative, pe cerinţe specifice sistemului de management al organizaţiei, sau sunt considerate cerinţe obişnuite pentru securitatea informaţiei. 

 

Între măsurile de securitate considerate esenţiale pentru o organizaţie enumerăm:

  • alocarea responsabilităţilor în domeniul managementului securităţii informaţiei, stabilirea, actualizarea organizării structurale şi funcţionale;
  • stabilirea şi comunicarea principalelor cerinţe ale organizaţiei în domeniul managementului securităţii informaţiei;
  • clasificarea şi stabilirea măsurilor pentru protejarea bunurilor organizaţiei;
  • protejarea drepturilor de proprietate intelectuală;
  • conştientizarea, educarea şi instruirea personalului în domeniul securităţii informaţiei;
  • identificarea ameninţărilor, a vulnerabilităţilor, calcularea riscurilor şi implementarea de măsuri corective şi preventive pentru diminuarea riscurilor;
  • implementarea de măsuri specifice asigurării continuităţii activităţilor;
  • implementarea de măsuri pentru identificarea şi tratarea incidentelor legate de securitatea informaţiei.

 

Măsurile de securitate se pot aplica în majoritatea organizaţiilor şi în majoritatea domeniilor de activitate. Deşi măsurile de securitate sunt importante şi trebuie avute în vedere, relevanţa fiecărei măsuri de securitate trebuie determinată prin prisma riscurilor specifice cu care se confruntă organizaţia.

 

După identificarea cerinţelor şi riscurilor de securitate şi implementarea măsurilor de tratare a riscului, trebuie selectate şi implementate măsurile necesare de reducere a riscurilor la un nivel acceptabil.

 

Măsurile de securitate pot fi selectate din diverse liste de măsuri de securitate sau pot fi proiectate măsuri proprii de securitate, conform specificului organizaţiei.

 

Selectarea măsurilor de securitate depinde de obiectul de activitate, infrastructura organizaţiei, deciziile luate pe baza criteriilor de acceptare a riscului, a opţiunilor privind tratarea riscului şi a principiilor generale privind managementul riscurilor în cadrul organizaţiei, trebuind să fie, de asemenea, respectate cerinţele legislative şi reglementările naţionale şi internaţionale aplicabile.

 

Experienţa a arătat că, pentru reuşita implementării unui sistem de management al securităţii informaţionale, în cadrul unei organizaţii, sunt importanţi următorii factori:

  • angajamentul ferm din partea conducerii organizaţiei pentru implementarea sistemului de management al securităţii informaţionale;
  • o bună înţelegere a cerinţelor de securitate,a  metodologiei de determinare a riscului şi a managementului riscului;
  • o comunicare eficace a cerinţelor privind securitatea informaţională pentru toţi angajaţii şi pentru toate părţile interesate;
  • principiile de securitate, obiectivele sistemului de management al securităţii informaţionale;
  • realizarea unui program pentru implementarea, menţinerea, monitorizarea şi îmbunătăţirea sistemului de management al securităţii informaţionale, în corespondenţă cu cultura organizaţională;
  • alocarea fondurilor necesare activităţilor de management al securităţii informaţionale;
  • asigurarea unei conştientizări şi instruiri continue şi corespunzătoare privind sistemul de management al securităţii informaţionale;
  • nimplementarea unui proces eficace de management al incidenţelor de securitate;
  • implementarea unui sistem de măsurare pentru evaluarea performanţei sistemului de management al securităţii informaţionale precum şi pentru implementarea acţiunilor de îmbunătăţire.

 

Realizarea unui cod de bune practici sau a unui manual al sistemului de management al securităţii informaţionale

Acest document poate fi privit ca punct de pornire pentru dezvoltarea şi implementarea unui set de principii directoare pentru sistemul de management al securităţii informaţionale specific organizaţiei. Trebuie identificate numai măsurile de securitate şi îndrumările aplicabile.

 

Atunci când se elaborează documente care cuprind îndrumări sau măsuri de securitate suplimentare, poate fi util să se insereze referiri la un cod de bune practici.

 

 Exemple de măsuri de securitate:

 1. Echipamentele trebuie să fie protejate împotriva întreruperilor cauzate de probleme ale serviciilor/ utilităţilor suport

Toate utilităţile, cum ar fi: electricitatea, alimentarea cu apă, canalizarea, încălzirea/ ventilaţia trebuie să fie corespunzătoare infrastructurii organizaţiei.

 

Utilităţile trebuie verificate periodic pentru a se asigura buna lor funcţionare şi pentru a se reduce riscul funcţionării lor incorecte sau al defectărilor. Trebuie asigurată o alimentare electrică adecvată, conform specificaţiilor infrastructurii.

Se recomandă folosirea unităţilor destinate alimentării cu energie electrică fără întreruperi (UPS), instalarea preventivă de generatoare electrice pentru oprirea controlată sau funcţionarea continuă în cazul echipamentelor pe care se derulează activităţi critice pentru organizaţie.

Trebuie să existe planuri pentru situaţii de urgenţă şi trebuie efectuate simulări care să cuprindă acţiunile care trebuie întreprinse în cazul întreruperii alimentării cu energie electrică, defectării UPS-urilor etc. Trebuie avută în vedere instalarea unui generator electric pentru situaţiile de urgenţă în care este necesară continuarea activităţilor critice în timpul unei întreruperi mai mari a alimentării cu energie electrică.

 

Pentru asigurarea funcţionării generatorului o perioadă îndelungată, se vor lua măsuri pentru asigurarea unei can­tităţi suficiente de combustibil.

Trebuie implementat un plan de mentenanţă şi de testare a unităţilor UPS şi a generatoarelor pentru ca acestea să funcţioneze la capacitatea necesară şi în conformitate cu specificaţiile tehnice ale producătorului. Dacă este necesar, trebuie luate măsuri pentru dimensionarea corespunzătoare a reţelei electrice, a tablourilor eletrice etc.

Dacă este posibil, se recomandă ca lângă ieşirile de urgenţă să existe întrerupătoare de urgenţă pentru între­ruperea rapidă a alimentării cu energie electrică în caz de urgenţă. Iluminatul de urgenţă, în cazul defectării sursei principala de electricitate, trebuie să funcţioneze. 

 

Sistemul de alimentare cu apă trebuie să funcţioneze corespunzător şi trebuie adecvat pentru a asigura funcţionarea sistemelor de stingere a incendiilor (atunci când sunt utilizate). Funcţionarea improprie a sistemului de alimentare cu apă poate conduce la deteriorarea echipamentelor sau poate împiedica funcţionarea eficientă a instalaţiilor de stingere a incendiilor.

Dacă este necesar, trebuie analizată posibilitatea instalării unui sistem de avertizare pentru detectarea funcţionării anormale a sistemelor.

Dacă este cazul, se poate lua în considerare şi asigura­rea continuităţii surselor de energie electrică, prin includerea unei surse de alimentare suplimentare pentru evitarea dependenţei de o singură sursă în caz de defectare.

 

2. Sistemele şi echipamentele integrate în infrastructura organizaţiei

Cerinţele tehnice şi criteriile de acceptanţă pentru sistemele şi echipamentele noi trebuie să fie clar definite, acceptate, documentate şi testate. Noile sisteme şi echipamente, modernizările acestora şi versiunile noi nu trebuie implementate decât după ce au fost testate şi validate.

 

Înainte de validarea unui sistem sau echipament nou, la emiterea aprobării oficiale trebuie avute în vedere următoarele cerinţe:

  • cerinţele tehnice de performanţă;
  • elaborarea şi implementarea manualelor de utilizare aplicabile;
  • instruirea corespunzătoare a operatorilor noilor sisteme şi echipamente;
  • elaborarea şi testarea planurilor pentru situaţii de urgenţă, alocarea resurselor;
  • elaborarea şi testarea planului de continuitate a afacerii;
  • analiza impactului utilizării noului sistem asupra securităţii generale a organizaţiei;
  • sistemele critice pentru desfăşurarea activităţii trebuie să aibă un spaţiu izolat pentru desfăşurarea proceselor. Izolarea poate fi obţinută prin utilizarea de metode fizice sau logice;
  • sensibilitatea unui sistem critic trebuie identificată şi documentată explicit de utilizatorul acestuia;
  • atunci când este rulată o aplicaţie critică, accesul la resursele aplicaţiei, precum şi riscurile corespunzătoare trebuie identificate şi aprobate de către proprietarul aplicaţiei.  Aplicaţiile critice  trebuie să ruleze pe sisteme destinate sau numai pe sisteme de încredere.

 

3. Măsuri de securitate pentru reţelele de calculatoare

Reţeaua de calculatoare trebuie administrată şi controlată corespunzător de personal competent, pentru a asigura preventiv măsurile necesare menţinerii sistemelor şi aplicaţiilor.

Responsabilii cu administrarea reţelelor trebuie să implementeze măsuri de securitate, pentru a asigura securitatea informaţiilor şi datelor şi, de asemenea, trebuie implementate măsuri pentru scanarea de vulnerabilităţi ale reţelei, realizarea unui audit tehnic al reţelei, pentru prevenirea accesului neautorizat. Se vor avea în vedere, în mod special, următoarele elemente:

  • responsabilităţile pentru administrarea reţelei trebuie separate de ope­rarea calculatoarelor;
  • pentru creşterea eficienţei şi eficacităţii trebuie stabilite responsabilităţi şi proceduri pentru managementul de la distanţă al echipamentelor;
  • trebuie stabilite şi implementate măsuri de securitate pentru păstrarea confidenţialităţii, integrităţii şi disponibilităţii datelor care trec prin reţelele publice sau prin reţelele fără fir;
  • trebuie stabilite şi implementate metodologii corespunzătoare pentru monitorizarea acţiunilor care au impact  asupra securităţii;
  • trebuie luate măsuri şi pentru autentificarea utilizatorului.

 

Identificarea echipamentelor din reţea este necesară. Se va folosi un element de identificare unică a echipamentului.

Dacă există mai multe reţele, aceşti identificatori unici trebuie să indice în mod clar care este reţeaua/sunt serviciile la care echipamentul se poate conecta.

 

Dacă este cazul, se vor implementa măsuri pentru protejarea fizică a echipamentelor. Astfel de măsuri de securitate se pot aplica în toate tipurile de organizaţii, indiferent de domeniul de activitate.

Este important să-şi identifice propriile cerinţe de securitate. Exemple:

  • identificarea cerinţelor legale şi de reglementare aplicabile şi a cerin­ţe­­lor contractuale ale organizaţiei;
  • principiile, obiectivele şi cerinţele organizaţiei pentru procesarea infor­maţiilor şi datelor;
  • identificarea ameninţărilor, a vulnerabilităţilor şi calcularea riscurilor şi implementarea de măsuri corective şi preventive pentru diminuarea riscurilor.
  •  

Aceste principii de bună practică pot fi dezvoltate într-un set de norme şi proceduri specifice organizaţiei.  


Mihai Gheorghe este dr. ing., Director Calitate Indaco Systems



Accept cookie

Acest site web utilizează module cookie în scopuri funcţionale, de confort şi statistică.

Dacă sunteţi de acord cu această utilizare a modulelor cookie, faceţi clic pe "Da, sunt de acord". Termeni si conditii

Nu sunt de acord Accept doar cookie functional Da, sunt de acord