Securitate

Securitate1Asigurăm atingerea conformităţii cu cerinţele ISO 27001 şi garantăm certificarea sistemului prin livrabilele dezvoltate.
Beneficiile certificării:
Creşterea încrederii şi securităţii sistemelor informaţionale (nu doar IT). Folosirea unei abordări bazată pe un standard recunoscut internaţional oferă asigurări cu privire la implementarea cotroalelor, proceselor şi procedurilor adecvate.
Optimizarea costurilor prin implementarea unor structuri operaţionale transparente şi creşterea profitului. Sistemele stabile şi sigure vor oferi asigurări în ceea ce priveşte minimizarea întreruperii sistemelor şi, ca efect, creşterea productivităţii. Securitatea informaţiilor devine parte a proceselor economice ale companiei.
Mai buna monitorizarea a riscurilor printr-o aboradare sistematică a managementului riscurilor
Îmbunătăţirea managementului, prin controlarea utilizării resurselor informaţionale
Asigurarea conformităţii cu cerinţele legislative devine mult mai facilă.

Suita de standarde ISO27x oferă cele mai bune ghiduri practice cu privire la protejarea confidenţialităţii, integrităţii şi disponibilităţii informaţiilor:
ISO/IEC 27001 – standardul de certificare a Sistemului de Management al Securităţii Informaţionale
ISO/IEC 27002 – codul celor mai bune practici pentru managementul securităţii informaţiilor (ex. BS7799-1, ex ISO/IEC 17799)

Anexa A a standardului ISO 27001 prezintă obiectivele de control şi controalele de securitate grupate pe 10 secţiuni:
Politica de Securitate: orice organizaţie trebuie să aibă un document care să definească şi să explice securitatea informaţională
Organizarea securităţii: defineşte principiile care stau la baza managementului securităţii în orice organizaţie
Securitatea personalului: descrie cerinţele legate de recrutarea şi instruirea angajaţilor, managementul incidentelor din sistem
Securitatea fizică şi a mediului de lucru: sînt avute în vedere controalele generale implementate în cadrul organizaţiei
Managementul operaţional şi al comunicaţiilor: acoperă procedurile documentate cu privire la operarea la calculator şi comunicarea informaţiilor
Controlul accesului: principiile care guvernează accesul securizat la informaţii
Dezvoltarea şi întreţinerea sistemelor: cerinţele legate de securitate trebuie avute în vedere în fiecare etapă a ciclului de viaţă al unui sistem
Planificarea continuităţii afacerii: analiza de impact, proceduri de refacere, testare
Conformitatea: securitatea informaţională trebuie să fie conformă cu orice prevedere legală aplicabilă

Procesul prin care se poate obţine conformitatea cu acest standard este similar cu obţinerea certificării ISO 9000. Etapele obţinerii acestei certificări pot fi sintetizate astfel:
Organizaţia decide să implementeze prevederile ISO 27001
Odată luată această decizie, conducerea trebuie să desemneze o echipă care să elaboreze Politica de Securitate a organizaţiei
Acest document trebuie revizuit, aprobat şi adus la cunoştinţa tuturor angajaţilor
Organizaţia trebuie să decidă apoi care componentă organizaţională va fi supusă certificării ISO (Scopul certificării)
Acest scop trebuie documentat, rezultînd ISMS Scope Document (Scopul Sistemului de Management al Securităţii Informaţionale)
În cadrul acestui Scop trebuie indentificate activele organizaţiei (şi valoarea asociată acestora) care trebuie protejate (Inventarul activelor).
Pentru acest inventar se va realiza Analiza de Risc: ameninţările, vulnerabilităţile şi impactul asupra activelor ce trebuiesc protejate.
În baza rezultatului acestei analize se identifică riscul acceptabil.
Se documentează controalele care vor fi implementate pentru a menţine riscurile în limite acceptabile. Acestea vor fi preluate din Anexa A ISO 27001 sau din alte documente recunoscute ca fiind „cele mai bune practici” ale domeniului
Fiecare control considerat relevant trebuie să se adreseze unui risc.
După completarea acestor etape se trece la implementarea controalelor
După implementarea controalelor se realizează Analiza breşelor pentru a identifica controalele care nu au fost implementate în totalitate sau pentru care utilizatorii necesită instruire.
Se implementează acţiunile corective prin care se remediază situaţiile identificate anterior.