Iso 27002

ACADEMIA TEHNICĂ MILITARĂ
SISTEMUL DE MANAGEMENT AL SECURITĂŢII

INFORMAŢIEI (SMSI)
IMPLEMENTAREA, AUDITUL SI
CERTIFICAREA SMSI
Conf. univ. dr. ing. Iustin PRIESCU

Lead Auditor SMC & SMSI
iustin.priescu@gmail.com
04-05 decembrie © 2010 Iustin Priescu
PREZENTAREA LECTORULUI
 Licenţă ştiinţa calculatoarelor (ATM) şi licenţă comunicare (UB)
 Doctor inginer în ştiinţa calculatoarelor – domeniul securitate informatică
 Certificare SMSI – auditor – TUViT, membru TUV Nord Group, Germania, 2005
 Certificare SMSI – Lead Auditor – IQMS-BSI-UKAS, UK, 2009
 Auditor şi trainer SMSI – Simtex; auditor SMC – Simtex (http://www.simtex.ro)
 Consultant securitatea informaţiei – ANISP (http://www.anisp.ro)
 Membru CT 208 Tehnici de securitate – ASRO
 Lector asociat în ASE, ATM şi UTM Bucureşti
 Cursuri în domeniul securităţii informaţiei în Italia, Germania, UK, USA
 Autor a 3 cărţi în domeniul securităţii informaţiei:
IUSTIN PRIESCU
COMERT
ELECTRONIC
(E-COMMERCE)
ATM – Master Securitatea Informaţiei 2
1
PROIECTE SMSI
AGENDA
 SISTEMUL DE MANAGEMENT AL SECURITĂŢII

INFORMAŢIEI (SMSI)
 MODULUL 1 – STRUCTURA ŞI CONŢINUTUL STANDARDULUI

ISO/IEC 27002:2005
 MODULUL 2 – STRUCTURA ŞI CONŢINUTUL STANDARDULUI

ISO/IEC 27001:2005
 MODULUL 3 – CADRUL DE MANAGEMENT (MANAGEMENT
FRAMEWORK) AL UNUI SMSI. ANEXA A
 MODULUL 4 – MIS & DRP & BCP
2
SECURITATEA INFORMAŢIEI
Conform SR ISO/IEC 27002:2006, cerinţele fundamentale de securitate a informaţiei sunt:

 Confidenţialitatea – asigură că informaţia este accesibilă numai persoanelor autorizate
să aibe acces
 Integritatea – păstrarea acurateţei şi şi completitudinii informaţiei şi a metodelor de
procesare
 Disponibilitatea – asigurarea că utilizatorii autorizaţi au acces la informaţie şi la resursele
asociate atunci când este necesar
(funcţii de utilitate)
 Autentificarea – asigură asocierea informaţiei cu autorul ei

 Nerepudierea – asigură asocierea că destinatarul legal a primit informaţia de la expeditor
(funcţii de credibilitate)– acoperirea prejudiciului
“CUBUL” FUNCŢIILOR DE SECURITATE
 În funcţie de cerinţele de INTEGRITATE

securitate ale organizaţiei
variază dimensiunile
“spaţiale”
 Poate fi doar un pătrat ? CONFIDENŢIALITATE
 Poate fi doar un punct ?
DISPONIBILITATE
3
CERINŢE DE SECURITATE
Surse principale de identificare a propriilor cerinţe de securitate:
1. EVALUAREA 2. CERINŢELE
RISCURILOR LEGALE
3. CULTURA DE
SECURITATE
SELECTAREA CONTROALELOR
Securitatea informaţiei este obţinută prin implementarea unui:
SET ADECVAT DE
CONTROALE
POLITICI PRACTICI PROCEDURI STRUCTURI FUNCŢII SOFTWARE
Să asigure atingerea obiectivelor specifice de securitate ale firmei !

“Selectarea controalelor se bazează pe costul implementării lor, corelat cu
reducerea riscurilor…” [SR ISO/CEI 27002:2006]
4
FAMILIA DE STANDARDE ISO 2700X
27000 Fundamente & Vocabular (2009)
27001:SMSI – Cerinţe* (2005)
27005
27002 Cod de practică pt. SMSI (2005)
Managementul
Riscului
pt. SMSI 27003 Ghid de Implementare (2008)
(2009)
27004 Metrici & Măsurători (2010)
27006 Ghid pentru Acreditarea SMSI* (2007)
* CERINŢĂ:
FOLOSIRE OBLIGATORIE PENTRU CERTIFICAREA SMSI
ISO/IEC 27001 – ISO/IEC 27002 – ISO/IEC 27006
 ISO/IEC 27001:2005 (SR ISO/CEI 27001:2006)

Tehnologia informaţiei – Tehnici de securitate – Sisteme de
management al securităţii informaţiei – Cerinţe
 ISO/IEC 27002:2005 (SR ISO/CEI 27002:2008)

Tehnologia informaţiei – Tehnici de securitate – Cod de bună
practică pentru managementul securităţii informaţiei
 ISO/IEC 27006:2007 (SR ISO/CEI 27006:2008)

Tehnologia informaţiei – Tehnici de securitate – Cerinţe pentru
organismele care auditează şi certifică sisteme de
management al securităţii informaţiei
5
“AGREGAREA” STANDARDELOR
ISO 27001, ISO 27002 şi ISO 27006
ISO 27006 ISO 27001 ISO 27002

(fost ISO 17799)
CAPITOLELE CAPITOLELE
8-10 4-8
DESCRIEREA
DETALIATA
A CONTROALELOR
ANEXA D ANEXA A (MASURILOR DE

SECURITATE)
GHID EVAL. CONTROALE -133-
CONTROALE
-133- -133-
SR ISO/CEI 27002:2008
 SR ISO/CEI 27002:2008 Tehnologia informaţiei – Tehnici de

securitate – Cod de bună practică pentru managementul securităţii
informaţiei
 Neutru din punct de vedere tehnologic

 CE SA FACI ? (NU>> Cum să faci?)
 Standard de management (nu tehnic !)
 Descriere detaliată a abordărilor verificate şi a controalelor pentru o

securitate cuprinzătoare şi durabilă în organizaţie
6
STANDARDUL SR ISO/CEI 27002:2008
Cod de bună practică pentru SMSI

SR ISO/CEI Descrie în detaliu modul de implementarea a măsurilor
27002:2008 de securitate
Aplicabil pentru toate tipurile de organizaţii
Conţine 133 de controale (măsuri de securitate)
5 6 7 8
9 10 11
12 13 14 15
SR ISO/CEI 27002:2008
 SR ISO/CEI 27002:2008 Tehnologia informaţiei – Tehnici de

securitate – Cod de bună practică pentru managementul
securităţii informaţiei
 Neutru din punct de vedere tehnologic
 Aplicabil pentru toate ramurile industriale, toate categoriile şi

caracteristicile de organizaţii
 Adecvat şi organizaţiilor mici
7
CORESPONDENŢA DINTRE
SR ISO/CEI 27002:2008 ŞI ISO/CEI 27001:2006
 Din Clauzele 5-15 ale SR ISO/CEI 27002:2008 sunt

derivate în mod direct obiectivele de control şi
controalele prezentate în Anexa A (normativă) a
standardului SR ISO/CEI 27001:2006
STRUCTURA STANDARDULUI
SR ISO/CEI 27002:2008
 Organizarea standardului:
 organizaţia emitentă, codificare, data versiunii
 denumirea standardului în lb. engleză, franceză
 aprobare, statut, ce standard înlocuieşte
 corespondenţă cu alte standarde, în lb. engleză, franceză
 cuprins, preambul, cap. 0 – Introducere;
 cap. 1 – domeniul de aplicare, cap. 2 – termeni şi definiţii
 structura standardului, de forma:
 x – număr de capitol – articol privind controlul securităţii
 x.x – categorii de securitate (principale)
 x.x.x – măsură de securitate (control)
8
SR ISO/CEI 27002:2008
 Standardul internaţional ISO/IEC 27002:2005 a fost acceptat ca

standard român de către comitetul tehnic CT 208 – Tehnici de
securitate în tehnologia informaţiei
 Membrii comitetului tehnic care au verificat versiunea în limba
română ....
SR ISO/CEI 27002:2008
 FIECARE CATEGORIE PRINCIPALĂ DE SECURITATE CONŢINE:

- un obiectiv privind măsura de securitate care stabileşte ceea ce
trebuie realizat;
- una sau mai multe măsuri de securitate aplicate pentru a atinge
obiectivul
Structura unei măsuri de securitate
Definiţia măsurii
Ghid de implementare
Alte informaţii utile
9
SR ISO/CEI 27002:2008
CATEGORII DE
ARTICOL (CLAUZA)
SECURITATE
 Standardul conţine: 5. Politica de securitate 1
 11 articole (clauze) de 6. Organizarea securităţii informaţiei 2
control al securităţii 7. Managementul bunurilor 2

8. Securitatea resurselor umane 3
 totalizează 39 de 9. Securitatea fizică şia mediului 2
categorii de securitate 10. Managementul comunicaţiilor şi al
10
principale operaţiilor
11. Controlul accesului 7
 un articol (clauză) 12. Achiziţia sistemelor informatice,
6
introductiv referitor la dezvoltarea şi mentenanţa
13. Managementul incidentelor de
evaluarea şi tratarea securitate a informaţiei
2
riscurilor – cap. 4 14. Managementul continuităţii afacerii 1

15. Conformitate 3
SR ISO/CEI 27002:2008
CATEGORII DE
ARTICOL (CLAUZA)
SECURITATE  NOTĂ:
5. Politica de securitate 1  Ordinea articolelor din
6. Organizarea securităţii informaţiei 2 standard NU reprezintă nivelul
7. Managementul bunurilor 2 de importanţă.
8. Securitatea resurselor umane 3
9. Securitatea fizică şia mediului 2
 În funcţie de condiţii, toate
10. Managementul comunicaţiilor şi al
operaţiilor
10 articolele pot fi importante,
11. Controlul accesului 7 organizaţia trebuie să
12. Achiziţia sistemelor informatice,
6
identifice articolele aplicabile,
dezvoltarea şi mentenanţa
cât de importante sunt ele şi
13. Managementul incidentelor de
securitate a informaţiei
2 aplicarea lor în procesele
14. Managementul continuităţii afacerii 1
individuale.
15. Conformitate 3
10
5 POLITICA DE SECURITATE
 5.1 POLITICA DE SECURITATE A INFORMAŢIEI

 OBIECTIV: să asigure..., să stabilească, ... să demonstreze
 5.1.1 DOCUMENT DE POLITICĂ A SECURITĂŢII INFORMAŢIEI

 Măsură de securitate – aprobat, publicat şi comunicat
 Îndrumări pt. implementare – documentul trebuie să cuprindă a) ... f)
 Alte informaţii – vezi ISO/IEC 133335 – 1:2004
 5.1.2 REVIZUIREA POLITICII DE SECURITATE
 Intervale planificate, schimbări semnificative
 Rezultatele analizei de management a securităţii a) ... i)
 Decizii şi acţiuni referitoare la a) ... c).
6 ORGANIZAREA SECURITĂŢII INFORMAŢIEI (SI)
 6.1 ORGANIZARE INTERNĂ

 OBIECTIV: să administreze securitatea informaţiei
 6.1.1 Angajamentul echipei de management privind SI

 Managementul să susţină în mod activ SI în organizaţie
 Managementul trebuie să a) ... h)
 Alte informaţii – vezi ISO/IEC 133335 – 1:2004
 6.1.2 Coordonarea SI
 6.1.3 Alocarea responsabilităţilor pentru SI
 Intervale planificate, schimbări semnificative
 Domenii de responsabilitate, resursele şi procesele
 entitatea răspunzătoare şi nevelurile de autorizare
11
 6.1 ORGANIZARE INTERNĂ

 OBIECTIV: să administreze securitatea informaţiei
 6.1.4 Procesul de autorizare pt. sistemele de procesare a

inf.
 6.1.5 Acorduri de confidenţialitate
 6.1.6 Contactul cu autorităţile
 6.1.7 Contactul cu grupuri specializate de interese
 6.1.8 Revizuirea independentă a SI
 6.2 PĂRŢI EXTERNE

 OBIECTIV: accesul părţilor externe la sistemele de procesare a
informaţiei trebuie ţinut sub control
 6.2.1 Identificarea riscurilor legate de părţile din afara

organizaţiei
 trebuie să se efectueze o determinare de risc (a) ... k) )
 6.2.2 Respectarea cerinţelor de securitate în activităţile care
implică clienţii
 6.2.3 Respectarea cerinţelor de securitate în acordurile cu terţii
 trebuie să acopere toate cerinţele de securitate relevante
 condiţii ce trebuie incluse în acord (a) ... v) )
 externalizează managementul securităţii informaţiei
12
7 MANAGEMENTUL RESURSELOR
 7.1 Responsabilitatea pentru resurse

 OBIECTIV: să obţină şi să menţină o protecţie
corespunzătoare a resurselor organizaţionale (înregistrate şi
deţinător)
 7.1.1 Inventarul resurselor

 vezi tipuri de resurse – necesare la evaluarea riscurilor
 7.1.2 Deţinerea resurselor
 deţinător vs. proprietar
 7.1.3 Utilizarea în mod admisibil a resurselor
 trebuie identificate, documentate şi implementate (de ex. e-mail,
Internet, dispozitive mobile)
7 MANAGEMENTUL RESURSELOR
 7.2 Clasificarea informaţiei

 OBIECTIV: să asigure faptul că informaţia beneficiază de un
nivel de protecţie adecvat
 7.2.1 Îndrumări pentru clasificare

 clasificată după: valoare, cerinţe legale, importanţă şi nivel de
criticabilitate pentru organizaţie
 ghid de clasificare a informaţiilor
 7.2.2 Etichetarea şi manipularea informaţiei
 proceduri de etichetare
 pt. fiecare nivel de clasificare – definite proceduri de operare pt.
procesare, stocare, transmitere, declasificare şi distrugere
securizată
 marcare vs. etichetare
13
8 SECURITATEA RESURSELOR UMANE
 8.1 Înaintea angajării

 OBIECTIV: trebuie menţionate responsabilităţile privind securitatea înainte
de angajare
 8.1.1 Roluri şi responsabilităţi

 8.1.2 Verificare
 trebuie să se efectueze controale de verificare de fond, proporţionale cu
cerinţele afacerii şi clasificarea informaţiei
 atenţie !!! – protejarea intimităţii, a datelor cu caracter personal şi / sau
legislaţia muncii
 exerciţiu – de citit din standard îndrumările pt. implementare
 8.1.3 Cerinţe şi condiţii de angajare
 să se asigure că viitorii angajaţi acceptă termenii şi condiţiile privind SI
 cod de conduită a angajaţilor
 8.2 Pe timpul perioadei angajării

 OBIECTIV: sunt conştienţi de ameninţările privind SI, responsabilităţi juridice,
să susţină politica de securitate organizaţională şi să asigure reducerea
riscului erorilor umane.
 F. IMP....: CONŞTIENTIZARE, EDUCAŢIE ŞI INSTRUIRE (instituit un proces
disciplinar oficial pt. încălcarea regulilor de SI)
 8.2.1 Responsabilităţile managementului

 să ceară (imperativ) angajaţilor să aplice măsurile de securitate
 8.2.2 Gradul de calificare, educaţie şi instruire
 toţi angajaţii trebuie să primească o instruire corespunzătoare şi actualizări
periodice
 8.2.3 Procesul disciplinar
 trebuie să existe un proces formal disciplinar ce asigură o reacţie progresivă
 trebuie folosit şi ca element de descurajare
14
 8.3 Încetarea contractului sau schimbarea locului de muncă

 OBIECTIV: foştii angajaţi părăsesc organizaţia sau schimbă locul de
muncă într-o manieră reglementată (managementul plecării din organizaţie)
 8.3.1 Responsabilităţi privind terminarea contractului

 condiţii ce se prelungesc o perioadă de timp după terminarea contractului
 8.3.2 Returnarea resurselor
 dacă angajatul dispune de cunoştinţe importante pt. operaţiile în derulare,
acestea trebuie documentate şi transferate organizaţiei
 8.3.3 Înlăturarea drepturilor de acces
 toate drepturile trebuie revocate
9 SECURITATEA FIZICĂ ŞI A MEDIULUI DE LUCRU
 9.1 Zone de securitate

 OBIECTIV: să prevină accesul fizic neautorizat, distrugerile şi
pătrunderea în interiorul organizaţiei, precum şi accesul la informaţii
 9.1.1 Perimetrul fizic de securitate

 9.1.2 Controlul accesului fizic
 9.1.3 Securizarea birourilor, încăperilor şi a sistemelor informatice
 9.1.4 Protejarea împotriva ameninţărilor externe şi de mediu
 9.1.5 Desfăşurarea activităţii în zonele de securitate
 9.1.6 Zone de acces public, puncte de livrare şi încărcare
15
9 SECURITATEA FIZICĂ ŞI A MEDIULUI DE LUCRU
 9.2 Securitatea echipamentelor

 OBIECTIV: să prevină pierderea, avarierea, furtul sau compromiterea
resurselor şi întreruperea activităţilor din organizaţie
 9.2.1 Amplasarea şi protejarea echipamentelor

 9.2.2 Utilităţi suport pentru afacere
 9.2.3 Securitatea reţelelor de cablu
 9.2.4 Întreţinerea echipamentelor
 9.2.5 Securitatea echipamentelor în afara locaţiei
 9.2.6 Scoaterea din uz sau reutilizarea în condiţii de siguranţă
 9.2.7 Scoaterea activelor
 echipamentele, informaţiile sau produsele software nu trebuie scoase în
afara spaţiului de lucru fără o autorizare prealabilă
 verificări prin sondaj pentru depistarea mutărilor neautorizate
10 MANAGEMENTUL
COMUNICAŢIILOR ŞI OPERAŢIILOR
 10.1 Proceduri operaţionale şi responsabilităţi

 OBIECTIV: să asigure operarea corectă şi în condiţii de securitate a
sistemelor de procesare a informaţiei
 10.1.1 Proceduri de operare documentate

 procedurile de operare trebuie să fie documentate, păstrate şi puse la
dispoziţia tuturor celor care au nevoie de ele
 10.1.2 Managementul schimbării
 toate schimbările privind sistemele de procesare a informaţiilor trebuie să
se facă într-un mod controlat
 jurnale de audit ce conţin toate informaţiile relevante despre schimbări
 10.1.3 Separarea atribuţiilor
 10.1.4 Separarea sistemelor de dezvoltare, testare şi a sistemelor
operaţionale
 personalul de dezvoltare şi testare este o ameninţare pentru
confidenţialitatea informaţiei operaţionale
16
10 MANAGEMENTUL
 10.2 Managementul serviciilor furnizate de terţi

 OBIECTIV: să implementeze şi să menţină un nivel
corespunzător al SI şi al livrării serviciilor încheiate cu terţi
 10.2.1 Furnizarea serviciilor

 acordurile încheiate cu terţi sunt implementate, operate şi
întreţinute corespunzător
 10.2.2 Monitorizarea şi evaluarea serviciilor terţilor
 în cazul externalizării, organizaţia trebuie să fie conştientă că, în
final, responsabilitatea pt. procesarea informaţiei revine tot org.
 10.2.3 Managementul modificărilor în cazul serviciilor
furnizate de terţi
 trebuie efectuat în mod controlat
10 MANAGEMENTUL
 10.3 Planificarea şi acceptanţa sistemului

 OBIECTIV: să reducă riscurile de disfuncţionalităţi ale
sistemelor
 10.3.1 Managementul capacităţii

 utilizarea resurselor trebuie să fie monitorizată şi optimizată,
iar capacităţile viitoare trebuie să fie prevăzute
 10.3.2 Acceptanţa sistemului
 efectuarea de teste în timpul dezvoltării şi înainte de
acceptanţă
 aprobarea pentru acceptanţă poate cuprinde un proces oficial
de certificare şi acreditare
17
10 MANAGEMENTUL
 10.4 Protecţia împotriva codurilor mobile şi dăunătoare

 OBIECTIV: să asigure protejarea integrităţii software-ului şi a informaţiei
 10.4.1 Măsuri de securitate împotriva codurilor cu potenţial dăunător

 măsuri de securitate pentru detectarea, prevenirea şi recuperarea datelor,
precum şi proceduri de avertizare a utilizatorilor
 10.4.2 Măsuri de securitate faţă de codul mobil
 autorizarea codului mobil în conformitate cu politica de securitate
 codul mobil neautorizat trebuie să fie împiedicat să se execute
 aprobarea pentru acceptanţă poate cuprinde un proces oficial de
certificare şi acreditare
10 MANAGEMENTUL
 10.5 Copie de siguranţă

 OBIECTIV: să menţină integritatea şi disponibilitatea
informaţiei şi a sistemelor de procesare
 10.5.1 Copii de siguranţă ale informaţiei

 copiile de siguranţă ale informaţiilor trebuie testate în mod regulat
în conformitate cu politica de realizare de copii stabilită
 trebuie ţinute evidenţe corecte şi complete ale copiilor de siguranţă
 când confidenţialitatea este importantă, salvările de siguranţă
trebuie protejate prin metode criptografice
 procedurile de salvare de siguranţă pot fi automatizate, însă trebuie
riguros testate înainte de implementare şi la intervale regulate
18
10 MANAGEMENTUL
 10.6 Managementul securităţii reţelei

 OBIECTIV: să asigure protejarea protecţia reţelelor de informaţii şi
protecţia infrastructurii de suport
 10.6.1 Măsuri pentru securitatea reţelei

 responsabilitatea pentru operarea reţelei trebuie separată de operarea
calculatoarelor
 trebuie utilizate metode adecvate de jurnalizare şi monitorizare pt. a
permite înregistrarea acţiunilor relevante
 10.6.2 Securitatea serviciilor de reţea
 cuprind furnizarea de conexiuni, servicii private de reţea, reţele cu valoare
adăugată sau soluţii de administrare de securitate (firewall, IDS)
10 MANAGEMENTUL
 10.7 Manipularea mediilor de stocare

 OBIECTIV: să prevină divulgarea neautorizată, modificarea, îndepărtarea
sau distrugerea resurselor şi întreruperea activităţii afacerii
 10.7.1 Managementul mediilor amovibile

 trebuie să existe proceduri specifice pt. managementul adecvat al
mediilor de stocare amovibile
 toate procedurile şi nivelurile de autorizare trebuie clar documentate
 10.7.2 Distrugerea mediilor de stocare
 mediile de stocare trebuie distruse într-un mod securizat şi sigur atunci
folosind proceduri formale pentru acestea
 10.7.3 Proceduri de manipulare a informaţiei
 trebuie stabilite proceduri specifice de manipulare: utilizarea, prelucrarea,
stocarea şi comunicarea informaţiei (a se vedea 7.2)
 10.7.4 Securitatea documentaţiei de sistem
 documentaţia de sistem trebuie protejată împotriva accesului neautorizat
19
10 MANAGEMENTUL
 10.8 Schimbul de informaţii

 OBIECTIV: să menţină securitatea schimbului de informaţii şi software în
interiorul unei organizaţii sau cu orice entitate externă
 10.8.1 Proceduri şi politici pt. schimbul de informaţii

 exerciţiu – de citit procedurile din standard
 10.8.2 Acorduri de schimb
 pt. schimbul de informaţii şi software între organizaţie şi alte părţi trebuie
stabilite acorduri specifice
 10.8.3 Medii fizice de stocare în tranzit
 trebuie protejate pe timpul transportului dincolo de graniţele fizice ale org.
 10.8.4 Mesageria electronică
 informaţia transmisă trebuie protejată în mod corespunzător
 10.8.5 Sisteme de informaţii ale afacerii
 trebuie dezvoltate şi implementate politici şi proceduri corespunzătoare
modului de interconectare a sistemelor de informaţii ale afacerii
10 MANAGEMENTUL
 10.9 Servicii de comerţ electronic

 OBIECTIV: să asigure securitatea serviciilor de comerţ electronic şi
utilizarea lor în condiţii de siguranţă
 10.9.1 Comerţ electronic

 informaţia implicată în comerţul electronic trebuie protejată împotriva
oricăror activităţi de fraudare, dispute contractuale, divulgare neautorizată
şi modificare
 10.9.2 Tranzacţii on-line
 protejată pentru a preveni transmiterea incompletă, direcţionarea greşită,
modificarea neautorizată a mesajului, divulgarea, copierea sau replicarea
neautorizate
 10.9.3 Informaţie disponibilă în mod public
 integritatea informaţiei de pe un sistem disponibil public trebuie să fie
protejată pt. a preveni modificarea neautorizată a acesteia
20
10 MANAGEMENTUL
 10.10 Monitorizare
 OBIECTIV: identificarea activităţilor neautorizate de procesare a informaţiei
 10.10.1 Jurnal de audit

 trebuie să existe proceduri specifice pt. managementul adecvat al mediilor de
stocare amovibile
 toate procedurile şi nivelurile de autorizare trebuie clar documentate
 10.10.2 Monitorizarea utilizării sistemului
 nivelul de monitorizare trebuie stabilit printr-o determinare a riscului
 10.10.3 Protecţia informaţiilor din jurnale
 sistemele de înregistrare şi jurnalele de informaţii trebuie protejate împotriva
modificărilor şi accesului neautorizat
 10.10.4 Jurnalul activităţilor administratorului şi operatorului
 activităţile administratorului de sistem şi ale operatorului de sistem trebuie
înregistrate
 10.10.5 Înregistrarea erorilor şi deficienţelor în funcţionare
 10.10.6 Sincronizarea ceasului
11 CONTROLUL ACCESULUI
 11.1 Cerinţele afacerii pentru controlul accesului

 OBIECTIV: să controleze accesul la informaţie
 11.1.1 Politica de control al accesului

 pe baza cerinţelor afacerii şi a cerinţelor de securitate trebuie
stabilită, documentată şi revizuită o politică de control a accesului
 reguli de control a accesului şi drepturi fiecărui utilizator sau grup de
utilizatori
 măsurile de securitate sunt atât logice, cât şi fizice şi trebuie
considerate împreună
 trebuie furnizate instrucţiuni clare privind controlul accesului
21
 11.2 Managementul accesului utilizatorului

 OBIECTIV: să asigure accesul autorizat al utilizatorului şi să prevină accesul
neautorizat la sistemele de informaţii
 11.2.1 Înregistrarea utilizatorilor

 trebuie implementată o procedură formală de înregistrare a utilizatorului şi de
anulare a înregistrării
 11.2.2 Managementul privilegiilor
 alocarea şi utilizarea privilegiilor trebuie restricţionată şi controlată
 11.2.3 Managementul parolei de utilizator
 alocarea parolelor trebuie controlată printr-un proces formal de management
 11.2.4 Revizuirea drepturilor de acces ale utilizatorilor
 managementul trebuie să revizuiască drepturile de acces ale utilizatorilor la
intervale regulate (de exemplu la 6 luni sau 1 an) utilizând pentru aceasta un
proces formal
 11.3 Responsabilităţile utilizatorului

 OBIECTIV: să prevină accesul neautorizat al utilizatorului,
precum şi compromiterea sau furtul de informaţii
 11.3.1 Utilizarea parolelor

 bune practici de securitate în ceea ce priveşte selecţia şi utilizarea
parolelor
 11.3.2 Echipament nesupravegheat de către utilizatori
 echipamentul lăsat nesupravegheat este protejat corespunzător
 11.3.3 Politica biroului curat şi a ecranului protejat
 trebuie adoptată o politică clară de folosire a cât mai puţine
documente şi medii de stocare amovibile şi o politică de păstrare
a ecranului protejat
22
 11.4 Controlul de acces la reţea

 OBIECTIV: să prevină accesul neautorizat la servciile de reţea; accesul la
serviciile de reţea, atât interne, cât şi externe, trebuie controlat
 11.4.1 Politica de utilizare a serviciilor de reţea

 11.4.2 Autentificarea utilizatorilor pentru conectarea din exterior
 exerciţiu – a se citi din standard îndrumările de implementare
 11.4.3 Identificarea echipamentelor în reţea
 11.4.4 Protecţia porturilor de diagnoză la distanţă şi a celor de configurare
 11.4.5 Separarea în interiorul reţelelor
 11.4.6 Controlul conectării la reţea
 11.4.7 Controlul de rutare în reţea
 11.5 Controlul accesului la sistemele de operare

 OBIECTIV: să prevină accesul neautorizat la sistemele de
operare
 11.5.1 Proceduri de autentificare sigură

 11.5.2 Identificarea şi autentificarea utilizatorului
 11.5.3 Sistemul de management al parolelor
 11.5.4 Utilizarea programelor utilitare de sistem
 11.5.5 Pauza de sesiune
 11.5.6 Limitarea timpului de conectare
23
 11.6 Controlul accesului la aplicaţii şi informaţii

 OBIECTIV: să prevină accesul neautorizat la informaţia deţinută în
sistemele de aplicaţii
 11.6.1 Restricţii de acces la informaţii

 accesul utilizatorilor trebuie restricţionat în conformitate cu politica de
control al accesului
 11.6.2 Izolarea sistemelor critice
 sistemele critice trebuie să aibă un spaţiu dedicat (izolat) pentru
desfăşurarea proceselor
 izolarea poate fi obţinută prin utilizarea de metode fizice sau logice
 11.7 Prelucrarea datelor folosind echipamente mobile şi lucrul
la distanţă
 OBIECTIV: să asigure SI cînd se folosesc echipamente mobile şi de lucru la
distanţă
 11.7.1 Prelucrarea datelor folosind echipamente şi comunicaţii mobile

 pentru protecţia împotriva riscurilor care decurg din folosirea
echipamentelor şi comunicaţiilor mobile trebuie implementată o politică
formală
 11.7.2 Lucrul la distanţă
 trebuie dezvoltată şi implementată o politică, planuri operaţionale şi
proceduri specifice
 protecţie adecvată împotriva furtului de echipamente şi informaţii,
dezvăluiri neautorizate a informaţiei, acces neautorizat de la distanţă etc.
24
12 ACHIZIŢIA, DEZVOLTAREA ŞI MENTENANŢA
SISTEMELOR INFORMATICE
 12.1 Cerinţe de securitate pentru sistemele

informatice
 OBIECTIV: să asigure faptul că securitatea este parte
integrantă a sistemelor informatice
 12.1.1 Analiza şi specificarea cerinţelor de securitate

 specificaţiile privind cerinţele pentru măsurile de securitate trebuie
să ia în considerare măsurile automate de securitate care trebuie
încorporate în sistem şi necesitatea unor măsuri manuale ajutătoare
de securitate
 trebuie integrate în fazele iniţiale ale proiectelor sistemelor
informatice
 dacă produsele sunt cumpărate, trebuie urmat un proces oficial de
testare şi achiziţie

 12.2 Procesarea corectă a datelor în cadrul aplicaţiilor

 OBIECTIV: să prevină erorile, pierderile, modificările neautorizate sau
folosirea greşită a informaţiilor în cadrul aplicaţiilor
 12.2.1 Validarea datelor de intrare

 datele de intrare trebuie validate pt. a se asigura că acestea sunt corecte
 unde este posibil, se pot examina şi valida automat datele de intrare pt.
reducerea riscului de erori
 12.2.2 Controlul procesării interne
 trebuie încorporate verificări de validare pentru a detecta orice modificare a
informaţiei prin procesare eronată sau prin acte deliberate
 12.2.3 Integritatea mesajului
 prin folosirea tehnicilor criptografice
 12.2.4 Validarea datelor de ieşire
 datele de ieşire trebuie să fie valide
25
 12.3 Măsuri criptografice

 OBIECTIV: să protejeze confidenţialitatea, autenticitatea sau integritatea
informaţiei prin metode criptografice
 12.3.1 Politica de utilizare a metodelor criptografice

 trebuie să se ţină cont de reglementările şi restricţiile naţionale, precum şi
de problemele legate de fluxurile transfrontaliere de informaţii criptate
 12.3.2 Managementul cheilor criptografice
 toate cheile criptografice trebuie protejate împotriva modificării, pierderii şi
distrugerii
 ISO/IEC 11770 informaţii suplimentare pt. managementul cheilor

 12.4 Securitatea fişierelor de sistem

 OBIECTIV: să asigure securitatea fişierelor de sistem
 12.4.1 Controlul software-ului operaţional

 pentru a controla instalarea de software pe sistemele operaţionale trebuie
să fie implementate proceduri specifice
 12.4.2 Protejarea datelor din sistemul de test
 datele de testare trebuie selectate cu grijă, protejate şi utilizate în mod
regulat
 12.4.3 Controlul accesului la codul sursă al programelor
 accesul la codul sursă al programelor trebuie restricţionat
26
 12.5 Securitatea în procesele de dezvoltare şi suport

 OBIECTIV: să menţină securitatea produselor software de aplicaţii de
sistem şi a informaţiei; mediile de proiectare şi suport trebuie strict
controlate
 12.5.1 Proceduri de control al modificărilor

 implementarea modificărilor trebuie controlată prin utilizarea de proceduri
formale pt. controlul schimbărilor
 12.5.2 Revizuirea tehnică a aplicaţiilor după operarea modificărilor de
sistem
 12.5.3 Restricţii privind modificările asupra pachetelor software
 12.5.4 Scurgerea de informaţii
 posibilităţile de scurgere de informaţii trebuie prevenite
 12.5.5 Externalizarea dezvoltării de software

 12.6 Managementul vulnerabilităţilor tehnice

 OBIECTIV: să reducă riscurile care decurg din exploatarea vulnerabilităţilor
tehnice publicate
 12.6.1 Controlul vulnerabilităţilor tehnice

 trebuie obţinute informaţii de actualitate în ceea ce priveşte vulnerabilităţile
tehnice
 luate măsuri corespunzătoare de răspuns la identificarea unor
vulnerabilităţi tehnice
 poate fi conceput ca o sub-funcţie a managementului modificării (10.1.2 şi
12.5.1)
27
13 MANAGEMENTUL INCIDENTELOR DE
SECURITATE A INFORMAŢIEI
 13.1 Raportarea evenimentelor produse şi a slăbiciunilor

privind securitatea
 OBIECTIV: să asigure faptul că evenimentele de SI şi slăbiciunile asociate
sunt comunicate de o manieră astfel încât să permită luarea de acţiuni
corective la timp
 13.1.1 Raportarea evenimentelor de SI

 evenimentele de SI trebuie raportate prin canale de management
corespunzătoare cât mai curând posibil
 trebuie stabilită o procedură formală o procedură de raportare a
evenimentelor de SI şi o procedură de reacţie la incident
 13.1.2 Raportarea slăbiciunilor de securitate
 tuturor angajaţilor trebuie să li se ceară să raporteze şi să noteze orice
slăbiciune de securitate observată sau suspectă în cadrul sistemelor sau
proceselor
 NU trebuie sub nici o formă să încerce să confirme existenţa unei slăbiciuni
bănuite
13 MANAGEMENTUL INCIDENTELOR DE
SECURITATE A INFORMAŢIEI
 13.2 Managementul incidentelor de SI şi îmbunătăţiri

 OBIECTIV: să asigure faptul că pentru managementul incidentelor de SI este
aplicată o abordare consistentă şi eficientă
 13.2.1 Responsabilităţi şi proceduri
 responsabilităţile şi procedurile de management trebuie stabilite pentru a
asigura un răspuns eficient şi sistematic la incidentele de SI
 incidentele de SI pot să depăşească graniţele organizaţiei şi naţionale, fiind
necesară coordonarea reacţiilor şi folosirea informaţiei privitoare la aceste
incidente în comun cu organizaţiile externe
 13.2.2 Învăţarea din incidentele de securitate a informaţiei
 trebuie implementate mecanisme pt. a autoriza cuantificarea şi monitorizarea
tipului, volumului şi costurilor de SI
13.2.3 Colectarea probelor
 trebuie colectate probe ce trebuie prezentate şi reţinute în conformitate cu
regulile pt. colectarea probelor stabilite de legislaţia naţională
 probele cuprind:
 admisibilitatea probei: posibilitatea utilizării ei în instanţă
 relevanţa probei: calitatea probei şi caracterul complet al acesteia
28
14 MANAGEMENTUL CONTINUITĂŢII AFACERII
 14.1 Aspecte de SI în managementul continuităţii afacerii

 OBIECTIV: să contracareze orice discontinuităţi în activităţile afacerii şi să protejeze
aspectele critice faţă de efectele căderilor majore ale sistemelor informaţionale sau
împotriva dezastrelor şi să asigure reluarea acestora în timp optim
 14.1.1 Includerea SI în procesul de management al continuităţii afacerii

 responsabilitatea procesului de management al continuităţii afacerii trebuie atribuită la un
nivel corespunzător în cadrul organizaţiei
 14.1.2 Continuitatea afacerii şi evaluarea riscului
 14.1.3 Dezvoltarea şi implementarea planurilor de continuitate incluzând SI
 trebuie să fie dezvoltate şi implementate planuri pentru a menţine şi restaura operaţiunile
şi pentru a asigura disponibilitatea informaţiei la nivelul cerut şi în timpul cerut în urma
întreruperii sau căderii proceselor critice ale afacerii
 14.1.4 Cadrul de planificare a continuităţii afacerii
 fiecare plan trebuie specifice o abordare progresivă şi condiţiile activării acestuia, precum
şi persoanele răspunzătoare de executarea fiecărei acţiuni din plan
 14.1.5 Testarea, mentenanţa şi reevaluarea planurilor de continuitate a afacerii
 planurile de continuitate a afacerii trebuie testate şi actualizate în mod regulat pentru a se
asigura că sunt eficiente şi adecvate
15 CONFORMITATE
 15.1 Conformitatea cu cerinţele legale

 OBIECTIV: să evite încălcarea oricărei legi, obligaţii statutare, de reglementare
sau contractuale sau oricărei alte cerinţe de securitate
 15.1.1 Identificarea legislaţiei aplicabile

 15.1.2 Drepturi de proprietate intelectuală
 15.1.3 Protejarea înregistrărilor în cadrul organizaţiei
 înregistrările importante trebuie protejate împotriva pierderii, distrugerii şi
falsificării acestora în conformitate cu cerinţele statutare, de reglementare,
contractuale şi de afaceri
 15.1.4 Protecţia datelor cu caracter personal şi confidenţialitatea
informaţiilor personale
 15.1.5 Prevenirea utilizării abuzive a sistemelor de procesare a informaţiei
 utilizatorii trebuie descurajaţi să folosească sistemele de procesare a
informaţiei în scopuri neautorizate
15.1.6 Reglementări privind măsurile criptografice
29
15 CONFORMITATE
 15.2 Conformitatea cu standardele şi politicile de securitate şi

conformitatea tehnică
 OBIECTIV: să asigure conformitatea cu standardele şi politicile de securitate
organizaţionale
 15.2.1 Conformitatea cu standardele şi politicile de securitate

 Managerii trebuie să se asigure că toate procedurile de securitate din
domeniul lor de responsabilitate sunt respectate în mod corect pentru a
obţine conformitatea cu standardele şi politicile de securitate
 exerciţiu – de citit din standard îndrumările pt. implementare
 15.2.2 Verificarea conformităţii tehnice
 sistemele informatice trebuie controlate în mod periodic pentru a fi conforme
cu standardele de securitate implementate
 dacă se recurge la teste de penetrare sau determinări ale vulnerabilităţii
trebuie manifestată prudenţă; aceste teste trebuie să fie planificate,
documentate şi reproductibile
15 CONFORMITATE
 15.3 Consideraţii privind auditul sistemelor informatice

 OBIECTIV: să maximizeze eficienţa procesului de audit şi să minimizeze
interferenţa acestuia asupra sistemelor informaţionale
 15.3.1 Măsuri privind auditul sistemelor informatice

 cerinţele de audit şi activităţile care implică verificări asupra sistemelor
operaţionale trebuie planificate cu grijă şi trebuie convenite astfel încât să
minimizeze riscul întreruperii proceselor de afaceri
 15.3.2 Protecţia sistemelor de audit pentru sistemele informaţionale
 dacă sunt implicaţi terţi, ar putea exista riscul utilizării abuzive a
instrumentelor de audit, precum şi al accesării de informaţii de către aceştia
30
EXERCIŢII PRACTICE
 Folosirea corespunzătoare a standardului ISO/IEC

27002:2005
 Exemplificarea unor categorii de securitate
 Exemplificarea unor obiective de control
 Detalierea unor controale de securitate din standard:
 Definiţia controlului
 Ghid de implementare
 Alte informaţii utile
31
CONCLUZII
 INTREBĂRI ALE CURSANŢILOR
SMSI  INTREBĂRI ALE LECTORULUI
 EXERCIŢII
32

Iso 27002

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Iso 27002

Загружено:

Авторское право:

Доступные форматы

ACADEMIA TEHNICĂ MILITARĂ

SISTEMUL DE MANAGEMENT AL SECURITĂŢII

Conf. univ. dr. ing. Iustin PRIESCU

04-05 decembrie © 2010 Iustin Priescu

ATM – Master Securitatea Informaţiei 2

ATM – Master Securitatea Informaţiei 3

 SISTEMUL DE MANAGEMENT AL SECURITĂŢII

 MODULUL 1 – STRUCTURA ŞI CONŢINUTUL STANDARDULUI

 MODULUL 2 – STRUCTURA ŞI CONŢINUTUL STANDARDULUI

 MODULUL 4 – MIS & DRP & BCP

ATM – Master Securitatea Informaţiei 4

Conform SR ISO/IEC 27002:2006, cerinţele fundamentale de securitate a informaţiei sunt:

 Autentificarea – asigură asocierea informaţiei cu autorul ei

(funcţii de credibilitate)– acoperirea prejudiciului

ATM – Master Securitatea Informaţiei 5

“CUBUL” FUNCŢIILOR DE SECURITATE

 În funcţie de cerinţele de INTEGRITATE

 Poate fi doar un pătrat ? CONFIDENŢIALITATE

 Poate fi doar un punct ?

ATM – Master Securitatea Informaţiei 6

ATM – Master Securitatea Informaţiei 7

Securitatea informaţiei este obţinută prin implementarea unui:

POLITICI PRACTICI PROCEDURI STRUCTURI FUNCŢII SOFTWARE

Să asigure atingerea obiectivelor specifice de securitate ale firmei !

ATM – Master Securitatea Informaţiei 8

27000 Fundamente & Vocabular (2009)

27001:SMSI – Cerinţe* (2005)

27006 Ghid pentru Acreditarea SMSI* (2007)

ATM – Master Securitatea Informaţiei 9

ISO/IEC 27001 – ISO/IEC 27002 – ISO/IEC 27006

 ISO/IEC 27001:2005 (SR ISO/CEI 27001:2006)

 ISO/IEC 27002:2005 (SR ISO/CEI 27002:2008)

 ISO/IEC 27006:2007 (SR ISO/CEI 27006:2008)

ATM – Master Securitatea Informaţiei 10

ISO 27006 ISO 27001 ISO 27002

ANEXA D ANEXA A (MASURILOR DE

ATM – Master Securitatea Informaţiei 11

 SR ISO/CEI 27002:2008 Tehnologia informaţiei – Tehnici de

 Neutru din punct de vedere tehnologic

 Standard de management (nu tehnic !)

 Descriere detaliată a abordărilor verificate şi a controalelor pentru o

ATM – Master Securitatea Informaţiei 12

Cod de bună practică pentru SMSI

ATM – Master Securitatea Informaţiei 13

 SR ISO/CEI 27002:2008 Tehnologia informaţiei – Tehnici de

 Neutru din punct de vedere tehnologic

 Aplicabil pentru toate ramurile industriale, toate categoriile şi

 Adecvat şi organizaţiilor mici

ATM – Master Securitatea Informaţiei 14

 Din Clauzele 5-15 ale SR ISO/CEI 27002:2008 sunt

ATM – Master Securitatea Informaţiei 15

ATM – Master Securitatea Informaţiei 16

 Standardul internaţional ISO/IEC 27002:2005 a fost acceptat ca

ATM – Master Securitatea Informaţiei 17

 FIECARE CATEGORIE PRINCIPALĂ DE SECURITATE CONŢINE:

Structura unei măsuri de securitate

Alte informaţii utile

ATM – Master Securitatea Informaţiei 18

control al securităţii 7. Managementul bunurilor 2

riscurilor – cap. 4 14. Managementul continuităţii afacerii 1

ATM – Master Securitatea Informaţiei 19

ATM – Master Securitatea Informaţiei 20

 5.1 POLITICA DE SECURITATE A INFORMAŢIEI