Cerinele standardului SR ISO/CEI 27001:2006 (managementul securitii informaiei)

ISO (Organizaia Internaional de Standardizare) i CEI (Comisia Electrotehnic Internaional) formeaz sistemul internaional specializat pentru standardizare. Organismele naionale care sunt membre ale ISO sau CEI particip la dezvoltarea standardelor internaionale prin comitetele tehnice stabilite de respectiva organizaie pe domenii specifice de activitate tehnic. Comitetele tehnice ISO i CEI colaboreaz n domenii de interes reciproc. La aceast aciune particip i alte organizaii internaionale, guvernamentale i neguvernamentale, n colaborare cu ISO i CEI. n domeniul tehnologiei informaiei, ISO i CEI au stabilit un comitet tehnic comun ISO/IEC JTC.Securitatea informaiei const n conservarea atributelor fundamentale ale informaiei: confidenialitate, integritate, disponibilitateSecuritatea informaiei nseamn protejarea informaiei de acces, utilizare, divulgare, modificare, dislocare sau distrugere neautorizate n scopul asigurrii continuitii afacerii, diminurii pierderilor, maximizrii rentabilitii investiiilor i oportunitilor de afaceri.ISO 27001este un standard care prevedecerinte pentruproiectarea, implementarea si certificareaunuisistem de management alsecuritii informaiilor care ajuta organizatia sa-si stabileasca si sa realizeze politici de securitate informaionala si obiective in concordanta cu cerintele legaleaplicabile activitatii desfasurate.ISO 27001este un standard care stabileste cerintele pentru un Sistem de Management al Securitatii Informatiei. Ajuta la identificarea, managementul si minimizarea amenintarilor care afecteaza de obicei informatia. Standardul include urmatoarele: formularea cerintelor de securitate si a obiectivelor; asigurarea ca riscurile de securitate sunt stapanite din punct de vedere al costului; asigurarea unei conformitati cu legislatia si diverse reglementari; identificarea si clarificarea proceselor existente de management al securitatii informatiei; folosinta lui de catre management pentru a determina statusul activitatilor de management al securitatii informatiei; folosinta de catre auditori interni si externi pentru a determina gradul de conformitate cu politicile, directivele si standardele adoptate de catre organizatie; furnizarea de informatii relevante despre politicile de securitatea informatiei, standarde si proceduri, catre partenerii comerciali; furnizarea de informatii relevante despre securitatea informatiei, clientilor societatii.Acest standard se aplic n toate tipurile de organizaii (de exemplu: societi comerciale, agenii guvernamentale, organizaii non-profit). El specific cerinele pentru implementarea msurilor de securitate adaptate la nevoile individuale ale organizaiei sau ale unor pri din aceasta.Sistemul de management al securitii informaiei este conceput n aa fel nct s asigure selectarea adecvat i proporional a msurilor de securitate care protejeaz resursele informatice i s asigure ncrederea prilor implicate.La data adoptrii acestui standard, standardul de referin menionat n text, ISO/CEI 17799:2005, nu este adoptat ca standard romn.

Acest standard internaional adopt o abordare bazat pe proces pentru stabilirea, implementarea,funcionarea, monitorizarea, evaluarea, ntreinerea i mbuntirea SMSI al unei organizaii.Acest standard internaional adopt modelul "Plan-Do-Check-Act" (PDCA)),care este aplicat pentru a structura toate procesele SMSI. Figura 1 ilustreaz felul n care un SMSI ia ca date de intrare cerinele de securitate a informaiei i ateptrile prilor interesate si prin aciunile i procesele necesare obine rezultate de securitate a informaiei care ndeplinesc aceste cerine i ateptri.Plan (stabilirea SMSI) Stabilirea politicii SMSI, a obiectivelor, proceselor i procedurilor relevante pentru managementul riscului i mbuntirea securitii informaiei pentru a furniza rezultate n conformitate cu politicile i obiectivele de ansambluale organizaiei.Do (implementarea i funcionarea SMSI) - Implementarea i funcionarea politicilor SMSI, msurilor de securitate, a proceselor i procedurilor.Check (monitorizarea i revizuirea SMSI) - Evaluarea si, acolo unde este aplicabil, msurarea performantei procesului n raport cu politica SMSI, obiectivele i experiena practica i raportarea rezultatelor ctre echipa de management pentru revizuire.Act (meninerea imbuntirea SMSI) Deciderea de aciuni corective i preventive, bazate pe rezultatele auditului intern SMSI i revizuirile managementului sau alte informaii relevante pentru a obine o mbuntire continua a SMSI.Acest standard internaional a fost elaborat pentru a furniza un model pentru stabilirea,implementarea, funcionarea, monitorizarea, revizuirea, ntreinerea i mbuntirea unui Sistem de Management pentru Securitatea Informaiei (SMSI). Adoptarea SMSI trebuie s fie o deciziestrategica pentru o organizaie. Proiectarea i implementarea unui SMSI intr-o organizaie esteinfluenat de nevoile i obiectivele acesteia, cerinele de securitate, procesele existente i mrimea i structura organizaiei. Acestea, mpreun cu sistemele lor de suport se pot schimba de-a lungul timpului. Este de ateptat ca implementarea SMSI s fie dimensionat n conformitate cu nevoileorganizaiei, de exemplu o situaie simpl necesitnd o soluie simpl SMSI.Acest standard internaional poate fi folosit pentru evaluarea conformitii de ctre prile interesate,att din interiorul organizaiei, ct i din exteriorul acesteia.

Abordare bazat pe procesAcest standard internaional adopt o abordare bazat pe proces pentru stabilirea, implementarea,funcionarea, monitorizarea, evaluarea, ntreinerea i mbuntirea SMSI al unei organizaii.Pentru ca o organizaie s funcioneze n mod eficient ea trebuie s identifice i s conduc numeroase activiti. Orice activitate care folosete resurse i este condus pentru a permite transformarea intrrilor n ieiri, poate fi considerat un proces. Adesea o ieire dintr-un proces reprezint n mod direct intrarea procesului urmtor.Aplicarea unui sistem de procese n cadrul unei organizaii, mpreun cu identificarea i interaciunea acestor procese i managementul acestora poate fi considerata ca fiind "o abordare bazat pe proces".Abordarea bazat pe proces pentru managementul securitii informaiei prezentat n acest standard internaional ncurajeaz utilizatorii acestuia s accentueze importanta urmtoarelor aspecte:a) nelegerea cerinelor de securitate a informaiei ale unei organizaii i nevoia de a stabili politici iobiective pentru securitatea informaiei;b) implementarea i utilizarea msurilor pentru a administra riscurile securitii informaiei ncontextul riscurilor de ansamblu ale afacerii;c) monitorizarea i evaluarea performantei i eficientei SMSI; sid) mbuntirea continua bazata pe msurarea obiectiva.Acest standard internaional adopt modelul "Plan-Do-Check-Act" (PDCA)N1),care este aplicat pentru a structura toate procesele SMSI.Adoptarea modelului PDCA trebuie s reflecte, de asemenea, principiile care guverneaz securitatea sistemelor informaionale i a reelelor aa cum sunt ele exprimate n Liniile Generale ale OECD

StandardulISO 27001:2006are la baza urmatoarele principii care definesc securitatea informatiei: confidentialitatea, integritatea si disponibilitatea informatiei. Abordarea acestui standard asigura o securitate pe termen lung bazandu-se pe implementarea de politici, proceduri si metode de securitate destinate protejarii informatiilor si resurselor organizatiilor. Prin reducerea la maximum a riscurilor se garanteaza ca sistemul de management este functional si indeplineste cerintele operationale ale companiei, asteptarile clientilorsi se conformeaza legislatiei in vigoare. Aplicarea cerintelor standarduluiCerinele standardului sunt generice i sunt destinate a fi aplicabile tuturor organizaiilor, indiferent de tip, mrime i natura activitii Clauzele specificate n capitolele 4, 5, 6, 7 i 8 sunt obligatorii i prin urmare nici o organizaie care solicit certificarea pentru conformitatea cu acest standard nu poate opera excluderi pe aceste grupe de clauze. Orice excludere de msuri de control necesare eliminrii sau reducerii riscului pn la un nivel acceptabil trebuie justificat i trebuie furnizate dovezi obiective privind excluderea.

Responsabilitatea managementuluiAngajamentul managementuluiManagementul trebuie s furnizeze dovezi ale angajamentului su fa de instituirea, implementarea, funcionarea, monitorizarea, revizuirea, meninerea i mbuntirea SMSI prin:a) stabilirea politicii SMSI;b) asigurarea faptului ca obiectivele i planurile SMSI sunt stabilite;c) stabilirea rolurilor i responsabilitilor privind securitatea informaiei;d) comunicarea ctre organizaie a importanei ndeplinirii obiectivelor de securitate a informaiei i conformrii cu politica de securitate a informaiei, responsabilitile legale i nevoia continu de mbuntire.e) asigurarea de resurse suficiente pentru stabilirea, implementarea, funcionarea, monitorizarea,revizuirea, meninerea i mbuntirea SMSI f) stabilirea criteriilor de acceptare a riscurilor i a nivelurilor acceptabile de risc;g) asigurarea c auditurile interne ale SMSI se desfoar h) realizarea analizelor de management ale SMSI

Analizele de management pentru SMSIGeneralitiManagementul trebuie s revizuiasc SMSI al organizaiei la intervalele planificate (cel puin o dat pe an) pentru a asigura continua adecvare, conformitate i eficien. Aceasta revizuire trebuie s includ evaluarea oportunitilor pentru mbuntire i nevoia de schimbri n cadrul SMSI, incluznd politica de securitate a informaiei i obiectivele de securitate a informaiei. Rezultatele revizuirilor trebuie documentate clar, iar nregistrrile trebuie pstrate

mbuntirea SMSImbuntire continuOrganizaia trebuie s mbunteasc n mod continuu eficiena SMSI prin utilizarea politicii de securitate a informaiei, obiectivele securitii informaiei, rezultatele auditului,analiza evenimentelor monitorizate, aciunile corective i preventive i revizuirile manageriale .

Aciune corectivaOrganizaia trebuie s ia msuri pentru a elimina cauza neconformittii cu cerinele SMSIpentru a preveni recidiva. Procedura documentat pentru aciunea corectiva trebuie sdefineasc cerinele pentru:a) identificarea neconformitilor;b) determinarea cauzelor neconformitilor;c) evaluarea necesitii ntreprinderii de aciuni pentru a se asigura c neconformitile nu reapar;d) determinarea i implementarea aciunii corective necesare;e) nregistrarea rezultatelor aciunii ntreprinse f) analiza aciunii corective ntreprinse.Aciune preventivOrganizaia trebuie s determine aciunile necesare pentru a elimina cauza potenialelorneconformiti cu cerinele SMSI n scopul prevenirii apariiei lor. Msurile preventive luate trebuie sfie adecvate fa de impactul problemelor poteniale. Procedura documentat pentru aciuneapreventiv trebuie s defineasc cerinele pentru:a) identificarea potenialelor neconformitii i a cauzelor acestora;b) evaluarea nevoii de aciune pentru a preveni apariia neconformitilor;c) determinarea i implementarea aciunii preventive necesare;d) nregistrarea rezultatelor aciunilor ntreprinse e) analiza aciunii preventive ntreprinse.Organizaia trebuie s identifice riscurile ce s-au modificat precum i cerinele aciunii preventive care se axeaz pe riscurile modificate semnificativ.