ISO IEC 27002 – masuri de securitate - Securitatea Informatica

ISO IEC 27002 – masuri de securitate

INTRODUCERE

ISO IEC 27002 2005 a fost cunoscut anterior ca ISO IEC 17799 2005. Cu toate acestea, nimic altceva nu sa schimbat. Continutul este acelasi.

ISO si IEC

ISO este Organizatia Internationala de Standardizare. Acesta a fost înfiintata in 1947 si este situata în Geneva, Elvetia. Scopul sau este de a dezvolta standarde si a facilita comertul international.
IEC este Comisia Electrotehnica Internationala. Acesta a fost înfiintat în 1906 si are, de asemenea, sediul la Geneva, Elvetia. Scopul sau este de a dezvolta standarde pentru toate tipurile de electro-tehnologii.
Atât ISO si IEC sunt acceptate de catre organismele nationale. Aceste organisme membre participa la procesul de dezvoltare al standardelor prin intermediul comitetelor tehnice.

Schimbarea de nume

Când acest standard a fost oficial publicat pe 15 iunie 2005, a fost cunoscut sub numele de ISO/IEC 17799 2005. La 1 iulie 2007, numele oficial a fost schimbat la ISO/IEC 27002 2005. Cu toate acestea, nimic altceva nu sa schimbat. Continutul este exact la fel. Numele a fost schimbat pentru a face clar ca ISO/IEC 17799 apartine de seria de standarde de securitate a informatiilor ISO/IEC 27000.

ISO/IEC 17799

Standardul ISO/IEC 17799 2005 (acum cunoscut ca ISO/IEC 27002 2005) a fost dezvoltat de Subcomisia de Securitate IT (SC 27) a Comitetului Tehnic Mixt pentru Tehnologia Informatiei (ISO/IEC JTC 1). Acesta anuleaza si înlocuieste vechiul ISO / IEC 17799 2000 standard care este acum depasit In timp ce mare parte din continut este acelasi, noul standard ISO/IEC 17799 2005 (27002) a fost rescris în întregime, reorganizat, si actualizat în scopul de a aborda noi si emergente probleme de securitate a informatiilor. În plus, o noua sectiune a fost adaugata la managementul incidentelor securitatii informatiei (sectiunea 13).

Practicile de securitate

ISO/IEC 27002 2005 poate fi utilizat de catre orice organizatie care are nevoie sa implementeze un management al securitatii informatiilor sau îmbunatateasca practicile curente de securitate a informatiilor. Potrivit titlului oficial, ISO/IEC27002 este un “cod de practica pentru managementul securitatii informatiei”. ISO/IEC va recomanda sa luati în considerare fiecare dintre aceste practici în timp ce implementati sau îmbunatatiti programul de management al securitatii informatiilor in organizatia dumneavoastra. Cu toate acestea, nu trebuie sa puneti în aplicare fiecare practica de securitate recomandata. Totul depinde de informatiile dumneavoastra privind riscurilor de securitate si cerintele organizatiei. Daca o anumita practica va ajuta sa abordati o grava problema de securitate a informatiilor sau pentru a satisface o cerinta importanta a securitatii atunci utilizati-o. Daca nu, ignorati-o.

Tipuri de informatii

Standardul ISO 27002 tine numai de informatie. Deoarece informatiile pot exista în multe forme, standardul ISO 27002 are o foarte larga abordare. În contextul prezentului standard, termenul de informatie include cel putin urmatoarele:

  • Fisiere electronice
    • Software
    • Fisiere de date
  • Documente pe hartie
    • Materiale tiparite
    • Note scrise de mâna
    • Fotografii
  • Înregistrari
    • Înregistrari video
    • Înregistrarile audio
  • Comunicatii
    • Conversatii
      • Conversatii telefonice
      • Conversatii la telefoane mobile
      • Conversatii face-to-face
    • Mesaje
      • Mesaje email
      • Mesaje fax
      • Mesaje video
      • Mesaje instantanee (IM)
      • Mesaje fizice

Securitatea informatiilor

Din punct de vedere al unei organizatii, informatiile au valoare si astfel reprezinta un bun. Prin urmare, trebuie sa fie protejat la fel ca orice alte active corporative. Si pentru ca informatiile trebuie sa fie protejate, infrastructura care sustine informatii trebuie sa fie, de asemenea, protejata. Aceasta infrastructura include toate retelele, sistemele, si functiile care permit unei organizatii sa gestioneze si sa controleze activele sale informationale. Marea întrebare este cum sa protejezi activele tale informationale? Aici vine standardul ISO/IEC 27002. Acesta explica ce se poate face pentru a proteja activele informationale ale organizatiei dumneavoastra. Dar de ce ar trebui sa fie protejate informatiile? Acestea trebuie sa fie protejate deoarece organizatiile moderne se confrunta cu o gama larga de amenintari de securitate. Aceste amenintari includ totul de la eroare umana, esecul echipamentelor, frauda, vandalism, sabotaj, incendii, inundatii, si chiar terorism. Si pentru ca majoritatea organizati lor moderne opereaza într-o lumea tehnologica complexa si interconectata, informatiile sunt, de asemenea, vulnerabile la un nou set de amenintari si atacuri high-tech. Din cauza interconexiunii, organizatiile moderne sunt, de asemenea, amenintate de hackeri, cod malitios, si atacuri DDOS.

În conformitate cu ISO 27002, informatiile pot fi protejate cu ajutorul unei largi game de controale. În plus fata de functiile de hardware si software, controalele includ lucruri cum ar fi politicile, procedurile, procesele, si structurile organizationale. Pentru a proteja informatiile lor, organizatiile trebuie sa dezvolte, implementeze, monitorizeze, sa evalueze, si sa imbunatateasca aceste tipuri de controale de securitate.

Cerintele dumneavoastra de securitate

Dar cum si unde începi? ISO IEC sugereaza sa începeti prin identificarea nevoilor si cerintelor de securitate ale organizatiei dumneavoastra. Ei sugereaza sa va identificati nevoile si cerintele dumneavoastra de securitate în felul urmator:

  1. Efectuati o evaluare a riscului.
    Identificati amenintarile majore de securitate si vulnerabilitatile. Apoi determinati cât de probabil este ca fiecare amenintare si vulnerabilitatea sa cauzeze un incident de securitate. Apoi evaluati impactul potential pe care fiecare incident l-ar putea avea asupra organizatiei dumneavoastra având în vedere obiectivele generale de afaceri si strategiile. Acest lucru va ajuta la identificarea nevoilor si cerintele de securitate ale oganizatiei dumneavoastra.
  2. Studiati cerintele dumneavoastra juridice.
    Studiati toate cerintele legale, statutare, de reglementare, precum si contractuale pe care organizatia dumneavoastra, partenerii sai comerciali, contractori, si prestatorii de servicii trebuie sa le implineasca. Uitati-va la toate cerintele de securitate a informatiilor care trebuiesc îndeplinite. Acest lucru va va ajuta sa identificati nevoile unice de securitate ale organizatiei dumneavoastra.
  3. Examinati cerintele dumneavoastra.
    Examinati principiile de prelucrare, obiectivele, si cerintele informationale ale organizatiei dumneavoastra. Studiati metodele de prelucrare a informatiilor si practicile pe care organizatia dumneavoastra le-a dezvoltat în scopul de a sprijini operatiunile sale. Acest lucru va va ajuta sa identificati si sa rafinati nevoile si cerintele de securitate ale informatiilor dumneavoastra.

Programul dumneavoastra de securitate

Odata ce ati identificat nevoile si cerintele dumneavoastra de securitate, puteti începe sa stabiliti sau sa îmbunatatiti propria securitate a informatiilor dumneavoastra. Alegeti din practicile de securitate recomandate de standardul ISO/IEC 27002 2005. Selectati practici care sa corespunda nevoile si cerintele unice de securitate ale organizatiei si ignorati-le pe cele care nu corespund. ISO IEC sugereaza ca practicile de securitate care urmeaza sunt un bun loc pentru a începe, si, prin urmare, ar trebui sa fie în centrul programului dumneavoastra de securitate a informatiilor:

  • Cele mai bune practici comune:
    • Alocati responsabilitatea pentru securitatea informatiilor.
    • Dezvoltati un document pentru politica de securitate.
    • Asigurati-va ca aplicatiile proceseaza informatiile in mod corect.
    • Administrati incidentele de securitate si îmbunatatirile.
    • Implementati un proces tehnic de gestionare a vulnerabilitatilor.
    • Furnizati training, educatie si constientizare în domeniul securitatii pentru angajati.
    • Dezvoltati un proces de management al continuitatii.
  • Practici comune legiferate:
    • Respectati drepturile de proprietate intelectuala.
    • Protejati înregistrarile organizatiei dumneavoastra.
    • Protejati confidentialitatea informatiilor cu caracter personal.

Factorii dumneavoastra de succes

În conformitate cu ISO IEC, programul de securitate al organizatiei dumneavoastra va avea mai mult succes daca luati in considerare urmatoarele sugestii:

  • Asigurati-va ca managementul senior accepta, in mod vizibil, si se angajeaza sa integreze programul de securitate a informatiilor.
  • Asigurati-va ca managementul dumneavoastra a fost de acord sa va finanteze gestionarea securitatii organizatiei dumneavoastra.
  • Asigurati-va ca abordarea dumneavoastra legata de securitatea informatiilor este în conformitate cu cultura corporativa a organizatiei.
  • Asigurati-va ca politica de securitate, obiectivele si activitatile reflecta obiectivele de afaceri ale organizatiei.
  • Asigurati-va ca organizatia dumneavoastra întelege propria nevoie si cerintele de securitate.
  • Asigurati-va ca organizatia dumneavoastra întelege de ce managementul riscului este esential pentru programul dumneavoastra si de ce o evaluare a riscului trebuie efectuata.
  • Asigurati-va ca programul de securitate este explicat tuturor managerilor si angajatilor si ca înteleg de ce este important.
  • Asigurati-va ca distribuiti informatii care explica politica si standardele dumneavoastra de securitate pentru toti angajatii si alte parti interesate.
  • Asigurati-va ca oferiti instruire, educatie, si programe de constientizare de securitate adecvate.
  • Asigurati-va ca organizatia dumneavoastra instituie un sistem eficient de gestionare a incidentelor de securitate.
  • Asigurati-va ca încurajati oamenii sa ofere feedback si sa sugereze modalitati de îmbunatatire a performantei programului dumneavoastra de securitate.
  • Asigurati-va ca dezvoltati o solutie echilibrata si complexa de masurare a performantei programului de securitate.

STRUCTURA ISO / IEC 27002

Fiecare sectiune a standardului ISO/IEC 27002 2005 a fost structurata în acelasi mod. Fiecare sectiune foloseste aceleasi patru categorii:

  • obiective
  • control
  • implementare
  • alte informatii

Fiecare sectiune începe cu unul sau mai multe obiective. Aceasta este urmata de o discutie a acestor controale care ar trebui sa fie folosite pentru a atinge aceste obiective. Aceste discutii despre controale sunt urmate imediat de detalii de implementare care explica modul în care controalele pot fi puse în aplicare. În majoritatea cazurilor, de asemenea, fiecare sectiune se încheie cu alte informatii suplimentare.

Sursa: securitatea-informatica.ro

Twitter Digg Delicious Stumbleupon Technorati Facebook


2 Raspunsuri la “ISO IEC 27002 – masuri de securitate”

  1. As dori sa va intreb de unde poate fi achizitionat acest standard?Este de vanzare sau se pe net?Daca cineva vrea sa implementeze un smsi si are nevoie de practicile din 27002 cum procedeaza?
    Va multumesc

Lasa un raspuns

This site is protected by Comment SPAM Wiper. This site is protected by WP-CopyRightPro