Академический Документы
Профессиональный Документы
Культура Документы
IMPLEMENTAREA, AUDITUL SI
CERTIFICAREA SMSI
PREZENTAREA LECTORULUI
Licenţă ştiinţa calculatoarelor (ATM) şi licenţă comunicare (UB)
Doctor inginer în ştiinţa calculatoarelor – domeniul securitate informatică
Certificare SMSI – auditor – TUViT, membru TUV Nord Group, Germania, 2005
Certificare SMSI – Lead Auditor – IQMS-BSI-UKAS, UK, 2009
Auditor şi trainer SMSI – Simtex; auditor SMC – Simtex (http://www.simtex.ro)
Consultant securitatea informaţiei – ANISP (http://www.anisp.ro)
Membru CT 208 Tehnici de securitate – ASRO
Lector asociat în ASE, ATM şi UTM Bucureşti
Cursuri în domeniul securităţii informaţiei în Italia, Germania, UK, USA
Autor a 3 cărţi în domeniul securităţii informaţiei:
IUSTIN PRIESCU
COMERT
ELECTRONIC
(E-COMMERCE)
1
PROIECTE SMSI
AGENDA
2
SECURITATEA INFORMAŢIEI
DISPONIBILITATE
3
CERINŢE DE SECURITATE
Surse principale de identificare a propriilor cerinţe de securitate:
1. EVALUAREA 2. CERINŢELE
RISCURILOR LEGALE
3. CULTURA DE
SECURITATE
SELECTAREA CONTROALELOR
SET ADECVAT DE
CONTROALE
4
FAMILIA DE STANDARDE ISO 2700X
27005
27002 Cod de practică pt. SMSI (2005)
Managementul
Riscului
pt. SMSI 27003 Ghid de Implementare (2008)
(2009)
27004 Metrici & Măsurători (2010)
* CERINŢĂ:
FOLOSIRE OBLIGATORIE PENTRU CERTIFICAREA SMSI
5
“AGREGAREA” STANDARDELOR
ISO 27001, ISO 27002 şi ISO 27006
CAPITOLELE CAPITOLELE
8-10 4-8
DESCRIEREA
DETALIATA
A CONTROALELOR
SR ISO/CEI 27002:2008
6
STANDARDUL SR ISO/CEI 27002:2008
5 6 7 8
9 10 11
12 13 14 15
SR ISO/CEI 27002:2008
7
CORESPONDENŢA DINTRE
SR ISO/CEI 27002:2008 ŞI ISO/CEI 27001:2006
STRUCTURA STANDARDULUI
SR ISO/CEI 27002:2008
Organizarea standardului:
organizaţia emitentă, codificare, data versiunii
denumirea standardului în lb. engleză, franceză
aprobare, statut, ce standard înlocuieşte
corespondenţă cu alte standarde, în lb. engleză, franceză
cuprins, preambul, cap. 0 – Introducere;
cap. 1 – domeniul de aplicare, cap. 2 – termeni şi definiţii
structura standardului, de forma:
x – număr de capitol – articol privind controlul securităţii
x.x – categorii de securitate (principale)
x.x.x – măsură de securitate (control)
8
SR ISO/CEI 27002:2008
STRUCTURA STANDARDULUI
SR ISO/CEI 27002:2008
Definiţia măsurii
Ghid de implementare
9
STRUCTURA STANDARDULUI
SR ISO/CEI 27002:2008
CATEGORII DE
ARTICOL (CLAUZA)
SECURITATE
Standardul conţine: 5. Politica de securitate 1
11 articole (clauze) de 6. Organizarea securităţii informaţiei 2
STRUCTURA STANDARDULUI
SR ISO/CEI 27002:2008
CATEGORII DE
ARTICOL (CLAUZA)
SECURITATE NOTĂ:
5. Politica de securitate 1 Ordinea articolelor din
6. Organizarea securităţii informaţiei 2 standard NU reprezintă nivelul
7. Managementul bunurilor 2 de importanţă.
8. Securitatea resurselor umane 3
9. Securitatea fizică şia mediului 2
În funcţie de condiţii, toate
10. Managementul comunicaţiilor şi al
operaţiilor
10 articolele pot fi importante,
11. Controlul accesului 7 organizaţia trebuie să
12. Achiziţia sistemelor informatice,
6
identifice articolele aplicabile,
dezvoltarea şi mentenanţa
cât de importante sunt ele şi
13. Managementul incidentelor de
securitate a informaţiei
2 aplicarea lor în procesele
14. Managementul continuităţii afacerii 1
individuale.
15. Conformitate 3
10
5 POLITICA DE SECURITATE
11
6 ORGANIZAREA SECURITĂŢII INFORMAŢIEI (SI)
12
7 MANAGEMENTUL RESURSELOR
7 MANAGEMENTUL RESURSELOR
13
8 SECURITATEA RESURSELOR UMANE
14
8 SECURITATEA RESURSELOR UMANE
15
9 SECURITATEA FIZICĂ ŞI A MEDIULUI DE LUCRU
10 MANAGEMENTUL
COMUNICAŢIILOR ŞI OPERAŢIILOR
16
10 MANAGEMENTUL
COMUNICAŢIILOR ŞI OPERAŢIILOR
10 MANAGEMENTUL
COMUNICAŢIILOR ŞI OPERAŢIILOR
17
10 MANAGEMENTUL
COMUNICAŢIILOR ŞI OPERAŢIILOR
10 MANAGEMENTUL
COMUNICAŢIILOR ŞI OPERAŢIILOR
18
10 MANAGEMENTUL
COMUNICAŢIILOR ŞI OPERAŢIILOR
10 MANAGEMENTUL
COMUNICAŢIILOR ŞI OPERAŢIILOR
19
10 MANAGEMENTUL
COMUNICAŢIILOR ŞI OPERAŢIILOR
10 MANAGEMENTUL
COMUNICAŢIILOR ŞI OPERAŢIILOR
20
10 MANAGEMENTUL
COMUNICAŢIILOR ŞI OPERAŢIILOR
10.10 Monitorizare
OBIECTIV: identificarea activităţilor neautorizate de procesare a informaţiei
11 CONTROLUL ACCESULUI
21
11 CONTROLUL ACCESULUI
11 CONTROLUL ACCESULUI
22
11 CONTROLUL ACCESULUI
11 CONTROLUL ACCESULUI
23
11 CONTROLUL ACCESULUI
11 CONTROLUL ACCESULUI
11.7 Prelucrarea datelor folosind echipamente mobile şi lucrul
la distanţă
OBIECTIV: să asigure SI cînd se folosesc echipamente mobile şi de lucru la
distanţă
24
12 ACHIZIŢIA, DEZVOLTAREA ŞI MENTENANŢA
SISTEMELOR INFORMATICE
25
12 ACHIZIŢIA, DEZVOLTAREA ŞI MENTENANŢA
SISTEMELOR INFORMATICE
26
12 ACHIZIŢIA, DEZVOLTAREA ŞI MENTENANŢA
SISTEMELOR INFORMATICE
27
13 MANAGEMENTUL INCIDENTELOR DE
SECURITATE A INFORMAŢIEI
13 MANAGEMENTUL INCIDENTELOR DE
SECURITATE A INFORMAŢIEI
28
14 MANAGEMENTUL CONTINUITĂŢII AFACERII
15 CONFORMITATE
29
15 CONFORMITATE
15 CONFORMITATE
30
ATM – Master Securitatea Informaţiei 61
EXERCIŢII PRACTICE
Definiţia controlului
Ghid de implementare
Alte informaţii utile
31
CONCLUZII
EXERCIŢII
32