Proiectarea unui sistem de management al securităţii informaţiei (SMSI) în conformitate cu specificaţiile SR ISO/CEI 27001: 2006

Management & Calitate

de Mihai Gheorghe

Tehnologia informaţiei. Tehnici de securitate. Sisteme de management al securităţii informaţiei. Cerinţe.

Proiectarea sistemului începe cu definirea obiectivelor, a politicii de securitate a informaţiei - care include: cadrul pentru stabilirea obiectivelor pentru SMSI (pentru a păstra avantajul său competitiv, profitabilitatea şi imaginea companiei şi care să permită schimbul de informaţii şi date); cerinţele pentru conformitatea legală, reglementările şi cerinţele contractuale cu părţile interesate;  metodologiile care vizează managementul riscului, criteriile de evaluare a riscurilor, planurile de măsuri pentru diminuarea riscurilor. Politica trebuie aprobată de conducere.

Managemenentul trebuie să autorizeze politica organizaţiei, de securitate a informaţiei. Această politică trebuie redactată într-un document separat şi este autorizată distribuţia ei separată, cu semnătura Directorului General. O versiune curentă a acestui document trebuie să fie disponibilă pentru toţi angajaţii şi părţile interesate în toate punctele de aplicare.

Politica de securitate a informaţiilor trebuie revizuită la intervale planificate sau atunci când şi dacă apar modificări semnificative, pentru a asigura continuitatea, coerența şi eficienţa acesteia. 

A. Identificarea riscurilor privind securitatea informaţiilor  

Identificarea riscurilor privind securitatea informaţiilor trebuie să se desfăşoare în conformitate cu procesul stabilit mai jos. 

Trebuie definit un nivel acceptabil de risc. Acest lucru se evaluează identificând cum sunt selectate controalele şi cum sunt puse în aplicare pentru a reduce riscul la acest nivel, precum şi acceptabilitatea riscului. Se descrie şi abordarea globală a riscurilor în termeni de risc al informaţiilor – de fapt, cum se aplică cadrul de management al riscului întregii organizaţii. 

Metodologia aleasă este cea descrisă în ISO 27005 şi se bazează pe identificarea bunurilor şi a ameninţărilor ce pot exploata vulnerabilitățile bunurilor informaționale identificate. Se au în vedere impactul asupra pierderii confidenţialităţii, integrităţii şi disponibilităţii informaţiei dar şi probabilitatea ca o ameninţare să exploateze o vulnerabilitate existentă. 

Am preferat să folosim evaluarea de tip calitativ în deteminarea valorii riscurilor bunurilor informaţionale. Aceasta presupune determinarea unor niveluri relative ale riscului, probabilitaţii de apariţie şi impactului. Se asumă această abordare în detrimentul celei cantitative, prin care costurile datorate refacerii bunurilor/informaţiei sunt raportate la nivelul de risc. 

Astfel,  metoda aleasă pentru calculul nivelului de risc este: Risc = Probabilitate (x 10) x Impact

Probabilitatea va avea valori între 0 și 100%, iar impactul între 0 și 5 

Probabilitatea de apariţie: Foarte ridicată (80%-100%] = prezenţă extrem de probabilă

Impact - Foarte ridicat: 5

Probabilitatea de apariţie: Ridicată(60%-80%] = prezenţă foarte probabilă

Impact - Ridicat: 4

Probabilitatea de apariţie: Medie (40%-60%] = prezenţă probabilă

Impact - Mediu: 3

Probabilitatea de apariţie: Redus (20%-40%] - prezenţă puţin probabilă

Impact – Redus: 2

Probabilitatea de apariţie: Foarte redusa(0%-20%] = prezenţa neglijabilă

Impact - Neglijabil: 1

 

Riscurile identificate cu valori între 20 și 50 nu sunt acceptate şi trebuie tratate pentru a fi reduse sub valoarea pragului de risc acceptat, prin aplicarea sistematică a măsurilor de securitate. Dacă totuşi nivelul de risc rămâne peste valoarea de prag stabilită, chiar şi după aplicarea măsurilor de securitate din SR ISO/CEI 27002:2008, CSI informează conducerea. Aceste riscuri pot fi asumate de către conducere sau se poate încearca transferarea lor prin încheierea unei poliţe de asigurare sau prin luarea unor măsuri de evitare a apariției lor. 

Pentru noile riscuri ce vor fi identificate şi introduse ulterior în analiza de risc se va folosi aceeaşi formulă de calcul pentru a se asigura obţinerea de rezultate comparabile. Pentru aceasta se va ţine seama de încadrarea cea mai bună a probabilităţii de apariţie şi a impactului, în funcţie de nivelurile definite mai sus. 

Pentru evaluarea riscurilor se iau în calcul legislaţia în vigoare ce trebuie respectată, cerinţele de securitate din partea clienţilor şi cerinţele standardului SR ISO/CEI 27001:2006. În plus trebuie ţinut seama de riscurile specifice zonei geografice în care se afla organizaţia dar şi de datele statistice furnizate de Institutul Naţional de Statistică. Acest din urmă aspect are relevanță în luarea în calcul a riscurilor specifice României şi nu a unora cu aspect general aplicabil. 

Etapele analizei riscului sunt prezentate mai jos:

Etapa 1. Obţinerea de informaţii preliminare.

Etapa 2. Colectarea datelor şi analiza acestora.

Etapa 3. Identificarea zonelor cu probleme.

Etapa 4. Identificarea ameninţărilor şi vulnerabilităţilor specifice acelor zone / informaţii.

Etapa 5. Calcularea riscului şi identificarea nivelului de prag.

Etapa 6. Stabilirea priorităţilor şi tratarea riscurilor şi elaborarea planului de tratare riscului.

 

Obiectivele de control şi controalele sunt selectate din anexa A a ISO27001: 2005, pentru a îndeplini criteriile şi cerinţele cadrului de management al riscului, şi ţin cont de criteriile de acceptare a riscurilor, cerinţele juridice, de reglementare şi contractuale şi sunt conţinute într-o declaraţie de aplicabilitate împreună cu detaliile cu privire la controalele implementate.

 

Modul de determinare al riscului de către organizaţie trebuie aprobat şi autorizat de către management şi face parte din procesul de planificare strategică. Cadrul de management al riscurilor este proiectat pentru identificarea şi evaluarea riscurilor, în cadrul planului de afacere;pentru identificarea şi evaluarea opţiunilor de tratare a acestor riscuri; pentru selectarea obiectivelor şi controalelor, care vor reduce aceste riscuri la niveluri acceptabile în contextul cerinţelor operaţionale, obiectivelor şi a legislaţiei aplicabile.  

Dacă este necesar, controalele şi obiectivele suplimentare pot fi selectate din alte surse decât ISO 27001:2005. Toate obiectivele de control şi controalele trebuie documentate în declaraţia de aplicabilitate. 

Un plan de tratament al riscurilor trebuie realizat la nivelul organizaţiei în vederea punerii în aplicare a controalelor selectate. Modul de implementare trebuie permanent actualizat pentru eficientizare şi, dacă este posibil, îmbunătaţirile trebuie aplicate folosind modelul PDCA.

 

B. Despre Declaraţia de Aplicabilitate  

Toate controalele şi obiectivele din Anexa A a ISO27001/ISO27002:2005, care sunt excluse, trebuie documentate împreună cu justificările excluderilor făcute; toate controalele adiţionale, obiectivele de control de care poate fi nevoie trebuie documentate.

Riscul rezidual rămas evidenţiat în planul de tratare a riscurilor, trebuie tratat şi trebuie obţinută autorizaţia managementului pentru a permite implementarea SMSI. Orice modificări ale planului de tratare a riscurilor care implică schimbări în SMSI, trebuie aprobate de management.

 

C. Organizarea sistemului de managemnet al securităţii informaţiei  

1. Securitatea resurselor umane

 

1.1. Înainte de angajare

Rolurile şi responsabilităţile angajaţilor privind securitatea informaţiei trebuie definite şi documentate în conformitate cu cerinţele politicii de securitate a informaţiei. Pentru toţi candidaţii, la angajare trebuie să se efectueze controale de verificare în conformitate cu legile aplicabile, reglementările şi etica, proporţionale cu nivelul de clasificare a informaţiei la care urmează să aibă acces şi riscurile identificate. 

Ca parte a obligaţiilor contractuale, angajaţii trebuie să cadă de acord şi să semneze termenii şi condiţiile contractului de angajare, care trebuie să precizeze responsabilităţile lor pentru securitatea informaţiilor. 

1.2.În timpul perioadei de angajare

Toţi angajaţii primesc o instruire corespunzătoare şi actualizări periodice în ceea ce priveşte politicile şi procedurile organizaţionale, în funcţie de atribuţiile specifice funcţiei lor. Organizaţia trebuie să implementeze un proces formal disciplinar pentru angajaţii care au comis o încălcare a securităţii informaţiei. Încălcările SMSI pot fi tratate ca necorespunderi din punct de vedere al politicii disciplinare (conform Regulamentului intern). 

1.3. La încetarea contractului de muncă

Responsabilităţi privind încetarea contractului de muncă sau schimbarea locului de muncă au fost clar definite şi încadrate în Regulamentul intern. Toţi angajaţii trebuie să înapoieze organizaţiei resursele pe care le deţin la încetarea contractului de muncă. Drepturile de acces la informaţie şi la sistemele de procesare a informaţiei ale angajaţilor sunt revocate la încetarea contractului de muncă. 

2. Securitatea mediului de lucru 

Organizaţia trebuie să utilizeze perimetrele de securitate pentru a proteja zonele care conţin informaţii şi facilităţi de prelucrare a informaţiilor. Zonele de securitate sunt protejate prin măsuri de control de acces adecvate pentru a asigura doar accesul personalului autorizat. 

Se va efectua o evaluare a riscurilor pentru a determina tipul de control al accesului care este necesar pentru siguranţa acestor zone de securitate iar acestea vor fi puse în aplicare. 

Organizația trebuie să respecte cerințe de securitate, cum sunt cele prezentate mai jos:

  • trebuie să implementeze zone de securitate, pentru protecţia fizică şi pentru desfăşurarea corespunzătoare a activităţii
  • trebuie să facă evaluări de risc individuale pentru birouri, încăperi, spaţii şi sisteme informaţionale, care conţin informaţii confidenţiale sau cu risc ridicat, pentru a identifica controalele de care este nevoie pentru asigurarea securităţii
  • trebuie să aplice măsuri de protecţie fizică împotriva incendiilor, inundațiilor, cutremurilor,exploziilor şi a oricăror alte forme de dezastre naturale sau produse de oameni
  • trebuie să aplice măsuri şi ghiduri pentru protecţia fizică şi pentru desfăşurarea activităţii în zone de securitate
  • echipamentele trebuie amplasate şi protejate astfel încât să se reducă riscurile faţă de ameninţările şi pericolele de mediu şi faţă de posibilităţile de acces neautorizat
  • echipamentele trebuie protejate împotriva penelor de curent şi a altor întreruperi cauzate de probleme ale utilităţilor suport
  • echipamentele trebuie să fie corect întreţinute pentru a se asigura disponibilitatea continuă şi integritatea acestora
  • pentru echipamentele scoase în afara locaţiei trebuie să se asigure o securitate corespunzătoare,  ţinându-se cont de riscurile diferite pentru activităţile care se desfăşoară în afara locaţiei
  • echipamentele, datele, informaţiile sau software-ul nu trebuie scoase în afara spaţiului de lucru fără o autorizaţie
  • echipamentele care conţin medii de stocare sunt verificate pentru a se asigura că orice date importante şi produse software licenţiate au fost înlăturate sau suprascrise într-un mod sigur înainte de distrugere. 

În ediţiile viitoare ale revistei vom continua cu alte cerinţe pentru proiectarea unui sistem de management al securităţii informaţiei.


Mihai Gheorghe este dr. ing., Director Calitate Indaco Systems



Accept cookie

www.ttonline.ro utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru.

Te informăm că ne-am actualizat politicile pentru a integra în acestea și în activitatea curentă a www.ttonline.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera
circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru, te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politicii de Cookie.

Prin continuarea navigării pe Website-ul nostru confirmi acceptarea utilizării fişierelor de tip cookie conform Politicii de Cookie. Îți mulțumim pentru acest accept și nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookie.


Da, sunt de acord