Prezentare Generala Securitatea Informatiei - ISO27001
- 1. Securitatea Informaiei ISO 27001 AVANTAJELE IMPLEMENTRII SISTEMULUI DE MANAGEMENT AL SECURITII INFORMAIEI 樽n conformitate cu standardele: ISO27001-Sisteme de Management al Securit釘ii Informa釘iei ISO27002-Tehnici de Securitate. Cod de Bun Practic Pentru Managementul Securit釘ii Informa釘iei
- 2. Ameninrile i Costurile posibile ale lipsei implementrii eficace a Sistemului de Management al Securitii Informaiei Divulgarea informaiei confideniale. ntreruperi 樽n activitate: nefuncionarea reelei de calculatoare i imposibilitatea accesrii serverelor i aplicaiilor. Informatizarea tot mai mare a sistemelor informaionale duce la imposibilitatea desfurrii activitilor 樽n timpul indisponibilitii sistemului IT. Pierderea 樽ncrederii clienilor i partenerilor: practica demonstreaz c organizaiile atacate de hackeri au pierdut reputaia i 樽ncrederea i s o recapete le-a fost foarte greu, sau chiar imposibil. Clienii, asiguratorii i partenerii vor evita s colaboreze cu o organizaie care nu este 樽n stare s protejeze adecvat informaiile. Directiva 2002/58/EC a Parlamentului European privind procesarea datelor personale, interzice comunicarea informaiilor personale unei organizaii care nu poate asigura confidenialitatea acestora. Costuri Financiare: Legislaia 樽n vigoare prevede rspunderea juridic i financiar pentru pierderea confidenialitii datelor clienilor. 息 www.iso27001consulting.ro
- 3. Avantajele Implementrii Sistemului de Management al Securitii Informaiei Pstrarea confiden釘ialit釘ii, integrit釘ii i a disponibilit釘ii informa釘iei; mbuntirea reputaiei i 樽ncrederii 樽n organizaie; Asigurarea conformitii legale i reducerea riscului penalizrilor; Scderea costurilor IT; Asigurarea instruirii continue a angajailor 樽n materie de pstrare a confidenialitii informaiei; Posibilitatea oferirii unor servicii de calitate 樽n timp optim; Ofer managerilor un control mai bun asupra fluxurilor de informaii din organizaie; Sunt identificate i inute sub control riscurile care pot afecta activitatea organizaiei; Ofer posibilitatea comparrii performanei sistemului IT 樽n raport cu media din industrie; 息 www.iso27001consulting.ro
- 4. Ce efecte a avut pierderea confidenialitii datelor 樽n 2010? n 2010 costul mediu al pierderii unei 樽nregistrri a ajuns la 204$, ceea ce 樽nseamn c pentru 1000 de 樽nregistrri divulgate costul se poate ridica la 204000$. (conform Ponemon Institute's annual study 2010 ). n 2010 96% din compromiteri puteau fi evitate prin controale simple de securitate; 94% din pierderile de confidenialitate ale datelor au fost cauzate de aciuni ale propriilor angajai; 61% din cazuri au fost descoperite de pri tere; 27% din cazuri au implicat mai multe pri, iar 11% din cazuri au implicat parteneri de afaceri; Au fost fcute publice la nivel internaional 494 cazuri de pierderi a confidenialitii informaiei - de dou ori mai multe fa de 2009, fiind divulgate 14 milioane 樽nregistrri; (conform http://www.privacyrights.org/data-breach/new i VERIZON 2010 DATA BREACH INVESTIGATIONS REPORT ) 息 www.iso27001consulting.ro
- 5. Securitatea Informaiei Implementarea Sistemului de Management al Securitii Informaiei 樽n conformitate cu ISO27001-SMSI v ajut s pstrai informaiile organizaiei 樽n condiii de siguran i securitate. Este responsabilitatea fiecrei organizaii s previn, s identifice i s trateze riscurile de securitate care pot avea impact negativ asupra confidenialitii, integritii i disponibilitii informaiei pacienilor. Av但nd 樽n vedere c, legislaia i standardele care prevd dreptul oamenilor la confidenialitatea datelor, se dezvolt i se multiplic (de ex: Directiva 95/46/EC, Directiva 2002/58/EC), riscurile devin tot mai mari. 息 www.iso27001consulting.ro
- 6. Legislaie care oblig protecia datelor cu caracter personal A. Legislaie comunitar Directiva 95/46/EC a Parlamentului i a Consiliului European din 24.10.1995 cu privire la protecia persoanelor referitoare la procesarea datelor personale i la libera circulaie a acestor date (OJL 281, 23.11.1995, p.31); Directiva 2002/58/EC a Parlamentului European i a Consiliului din 12.07.2002 privind procesarea datelor personale i protecia intimitii 樽n sectorul comunicaiilor electronice; B. Legislaie intern Legea nr. 677/2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor date; Legea nr. 682/2001 privind ratificarea de ctre Rom但nia a Conveniei pentru protejarea persoanelor fa de prelucrarea automatizat a datelor cu caracter personal, adoptat la Strasbourg la 28 ianuarie 1981; Legea nr. 102/2005 privind 樽nfiinarea Autoritii Naionale de Supraveghere a Prelucrrii Datelor cu Caracter Personal. 息 www.iso27001consulting.ro
- 7. Obiectivele Sistemului de Management al Securitii Informaiei Disponibilitate Confidenialitate Informa釘iile pot exista sub diferite forme. Ele pot fi tiprite sau scrise pe SECURITATEA h但rtie, stocate electronic, Informaiei transmise prin pot sau prin echipamente electronice, prezentate pe filme sau comunicate 樽n cadrul unor conversa釘ii. Orice form ar avea informa釘iile sau orice metode de stocare ar fi folosite, ele trebuie s fie Integritate 樽ntotdeauna protejate corespunztor. 息 www.iso27001consulting.ro
- 8. Obiectivele Sistemului de Management al Securitii Informaiei Confiden釘ialitate proprietatea ca informa釘ia s nu fie fcut disponibil sau divulgat persoanelor, entit釘ilor sau proceselor fr autorizare. Integritate proprietatea de a pstra acurate釘ea coninutului informaiei, iar modificarea acesteia s fie posibil doar 樽n circumstane autorizate. Disponibilitate proprietatea de a fi accesibil i utilizabil la cerere de ctre o entitate autorizat la momentul i locul potrivit. 息 www.iso27001consulting.ro
- 9. ISO 27002 - Cod de bun practic pentru managementul securit釘ii informa釘iei Ce reprezint? Acest standard interna釘ional stabilete liniile directoare pentru ini釘ierea, implementarea, men釘inerea i 樽mbunt釘irea managementului securit釘ii informa釘iei 樽ntr-o organiza釘ie. Obiectivele eviden釘iate 樽n acest standard interna釘ional ofer 樽ndrumri privitoare la 釘intele general acceptate ale managementului securit釘ii informa釘iei. ISO27002 conine 樽ndrumri referitoare la implementarea celor 11 domenii de control i 133 msuri de securitate din ISO27001. 息 www.iso27001consulting.ro
- 10. ISO 27001 - Sisteme de management al securit釘ii informa釘iei. Cerin釘e Ce reprezint? ISO27001 este standardul de certificare pentru SMSI. Standardul ISO27001 stabilete cerinele i criteriile pentru implementarea, operarea, monitorizarea, revizia, mentenana i 樽mbuntirea sistemului de management al securitii informaiilor 樽n contextul riscurilor de ansamblu la care este supus organizaia. De asemenea, sistemul de management al securitii informaiilor ofer managerilor un control mai bun asupra fluxurilor de informaii din organizaie i reduce costurile aferente managementului riscului. 息 www.iso27001consulting.ro
- 11. 11 Domenii de control ale ISO27001 A.15 Conformitate A.5 POLITICA DE SECURITATE A.6 ORGANIZAREA A.14 Managementul SECURITATII continuitatii afacerii INFORMATIEI A.13 Managementul A.7 MANAGEMENTUL incidentelor de securitate RESURSELOR a informatiei (BUNURILOR) A.12 Achizitia, dezvoltarea si A.8 SECURITATEA mentenanta sistemelor RESURSELOR UMANE informatice A. 9 SECURITATEA A.10 Managementul FIZICA SI A MEDIULUI A.11 Controlul accesului comunicatiilor si operatiilor 息 www.iso27001consulting.ro
- 12. Contact Pentru informaii suplimentare referitoare la implementarea i certificarea SMSI contactai-ne la: www.iso27001consulting.ro V asigurm: Implementarea controalelor de securitate 樽n conformitate cu ISO27001; Raport centralizat de analiza SWOT din perspectiva securitii informaiei asupra practicilor din organizaie; Teste de penetrare a sistemului informatic al organizaiei i plan de msuri de remediere i 樽mbuntire; Recomandri privind achiziia de echipamente i software pentru 樽mbuntirea sistemului IT&C; Backup automatizat al informaiei din organizaie i implementarea practicilor de continuitate a afacerii. 息 www.iso27001consulting.ro