Analiza etapelor de creare a unui Sistem de Management al Securitatii Informatiei - Securitatea Informatica

Analiza etapelor de creare a unui Sistem de Management al Securitatii Informatiei

An Information Security Management System (ISMS) is a system of management concerned with information security. The best known ISMS is described in ISO/IEC 27001 and ISO/IEC 27002 .

Informaţiile sunt o resursă a organizaţiei care, ca şi celelalte resurse importante de business, adaugă valoare organizaţiei şi trebuie protejate ca atare. Un Sistem de Management al Securităţii Informaţiilor (SMSI) este o abordare sistematică a gestionării informaţiilor sensibile ale organizaţiei în scopul protejării acestora.

Actualitatea creării SMSI reprezintă una dintre pietrele unghiulare, cu care se confruntă oricare organizaţie internaţională (şi ar trebui să preocupe şi organizaţiile naţionale), una dintre cele mai prioritare sarcini al sistemului managerial de gestionare a organizaţiilor.

Standardele ”ISO/IEC 27001:2005 (fost BS 7799-2) Sistemul de Management al Securităţii Informaţiei” şi ”ISO/IEC 27002:2005/ Cor 1:2007 (fost BS 7799-1, ulterior, ISI/IEC 17799), Codul de practică pentru Managementul Securităţii Informaţiei” sunt cele mai importante, până la ora actuală, în domeniul securităţii informaţiei. Ele stabilesc un limbaj internaţional comun pentru securitatea informaţiei.

În anul 2003, Banca Naţională a Republicii Moldova a fost prima din spaţiul sovietic, care a început să implementeze în practică cerinţele ISO 17799 şi BS 7799:2, obligând toate băncile să îndeplinească cerinţele lui, creând SMSI pe baza standardului. Un SMSI elaborat în conformitate cu cerinţele standardului ISO/IEC 27001:2005 reprezintă un sistem complex care include atât mecanismele de gestionare, cât şi mecanismele de protecţie a informaţiei, figura 1. Modelul procesului de realizare a SMSI presupune un ciclu perpetuu de măsuri, şi anume: planificarea, realizarea, verificarea şi menţinerea.În etapa de planificare, se asigură evaluarea riscurilor securităţii informaţiei, se propune un plancorespunzător de prelucrare a riscurilor. În etapa de realizare, sunt implementate deciziile luate în etapa de planificare. Etapele ulterioare, de verificare şi menţinere, fortifică, redactează şi perfecţionează deciziile privind securitatea informaţiei, deja, luate şi implementate.


Figura 1. Sistemul de Management al Securităţii Informaţiei
SMSI, care reprezintă un complex de măsuri organizaţionale, programate, tehnice şi fizice, trebuie să asigure integritatea, confidenţialitatea, accesibilitatea şi autenticitatea resurselor informaţionale.

Totuşi, la crearea SMSI, este necesară luarea în considerare nu doar a regulilor enumerate mai sus, nu doar atingerea tuturor proprietăţilor resurselor informaţionale, ci şi a specificului businessului. De exemplu, pentru sectorul bancar, scopul-cheie în direcţia SI este asigurarea integrităţii informaţiei financiare; pentru operatorii sectorului de telecomunicaţie – accesul la resursele informaţionale, începând cu canalele de transmisie şi până la serverele comerciale; pentru companiile de stat, este importantă menţinerea confidealităţii informaţiilor etc. Acest lucru nu înseamnă că băncile nu iau în considerare accesibilitatea datelor sau că sectorul de stat nu are nevoie de menţinerea integrităţii datelor.

Din aceste considerente, de la bun început, se iau în considerare aspectele critice cele mai importante şi specifice ale organizaţiei şi prin crearea unei arhitecturi corecte, în final, poate fi obţinut un SMSI eficient şi sigur.

În funcţie de sfera şi specificul activităţii organizaţiei, numărul de angajaţi şi aria activităţii care necesită a fi supusă procesului de securitate a informaţiei, numărul etapelor şi detalizarea lorpoate fi diferit. În general, ele cuprind: luarea deciziei de creare a unui SMSI, pregătirea pentru crearea SMSI (organizarea grupului de lucru, asigurarea metodico-normativă, evidenţierea sferei de activitate cuprinsă de SMSI, depistarea neconcordanţelor etc.), analiza riscurilor (identificarea tuturor activelor, determinarea valorii activelor identificate, identificarea ameninţărilor şi vulnerabilităţilor pentru activele identificate, evaluarea riscurilor pentru posibilele cazuri de realizare a atacurilor informaţionale în privinţa activelor identificate, alegerea criteriilor de reacţionare la riscuri, pregătirea planului de prelucrare a riscurilor), elaborarea politicii şi procedurilor SMSI, implementarea şi exploatarea SMSI.

Prin implementarea SMSI se activează toate procedurile elaborate şi mecanismele, mijlocele de gestionare, etc., figura 2.


Figura 2. Mecanismele de bază ale SMSI

Twitter Digg Delicious Stumbleupon Technorati Facebook


Nici un comentariu inca... Fii primul care lasa un comentariu!

Lasa un raspuns

This site is protected by Comment SPAM Wiper. This site is protected by WP-CopyRightPro