 |
| cine suntem? :: portofoliu servicii :: securitate şi audit :: leadership :: confidenţialitate :: contact |
|
Securitatea sistemelor informationale
Asigurăm atingerea conformităţii cu cerinţele ISO 27001 şi garantăm certificarea sistemului prin livrabilele dezvoltate. Beneficiile certificării: Creşterea încrederii şi securităţii sistemelor. Folosirea unei abordări bazată pe un standard recunoscut internaţional oferă asigurări cu privire la implementarea cotroalelor, proceselor şi procedurilor adecvate. Optimizarea costurilor prin implementarea unor structuri operaţionale transparente şi creşterea profitului. Sistemele stabile şi sigure vor oferi asigurări în ceea ce priveşte minimizarea întreruperii sistemelor şi, ca efect, creşterea productivităţii. Securitatea informaţiilor devine parte a proceselor economice ale companiei. Mai buna monitorizarea a riscurilor printr-o aboradare sistematică a managementului riscurilor Îmbunătăţirea managementului, prin controlarea utilizării resurselor informaţionale Asigurarea conformităţii cu cerinţele legislative devine mult mai facilă. Suita de standarde ISO27x oferă cele mai bune ghiduri practice cu privire la protejarea confidenţialităţii, integrităţii şi disponibilităţii informaţiilor: ISO/IEC 27001 – standardul de certificare a Sistemului de Management al Securităţii Informaţionale ISO/IEC 27002 – codul celor mai bune practici pentru managementul securităţii informaţiilor (ex. BS7799-1, ex ISO/IEC 17799) Anexa A a standardului ISO 27001 prezintă obiectivele de control şi controalele de securitate grupate pe 10 secţiuni: Politica de Securitate: orice organizaţie trebuie să aibă un document care să definească şi să explice securitatea informaţională Organizarea securităţii: defineşte principiile care stau la baza managementului securităţii în orice organizaţie Securitatea personalului: descrie cerinţele legate de recrutarea şi instruirea angajaţilor, managementul incidentelor din sistem Securitatea fizică şi a mediului de lucru: sînt avute în vedere controalele generale implementate în cadrul organizaţiei Managementul operaţional şi al comunicaţiilor: acoperă procedurile documentate cu privire la operarea la calculator şi comunicarea informaţiilor Controlul accesului: principiile care guvernează accesul securizat la informaţii Dezvoltarea şi întreţinerea sistemelor: cerinţele legate de securitate trebuie avute în vedere în fiecare etapă a ciclului de viaţă al unui sistem Planificarea continuităţii afacerii: analiza de impact, proceduri de refacere, testare Conformitatea: securitatea informaţională trebuie să fie conformă cu orice prevedere legală aplicabilă Procesul prin care se poate obţine conformitatea cu acest standard este similar cu obţinerea certificării ISO 9000. Etapele obţinerii acestei certificări pot fi sintetizate astfel: Organizaţia decide să implementeze prevederile ISO 27001 Odată luată această decizie, conducerea trebuie să desemneze o echipă care să elaboreze Politica de Securitate a organizaţiei Acest document trebuie revizuit, aprobat şi adus la cunoştinţa tuturor angajaţilor Organizaţia trebuie să decidă apoi care componentă organizaţională va fi supusă certificării ISO (Scopul certificării) Acest scop trebuie documentat, rezultînd ISMS Scope Document (Scopul Sistemului de Management al Securităţii Informaţionale) În cadrul acestui Scop trebuie indentificate activele organizaţiei (şi valoarea asociată acestora) care trebuie protejate (Inventarul activelor). Pentru acest inventar se va realiza Analiza de Risc: ameninţările, vulnerabilităţile şi impactul asupra activelor ce trebuiesc protejate. În baza rezultatului acestei analize se identifică riscul acceptabil. Se documentează controalele care vor fi implementate pentru a menţine riscurile în limite acceptabile. Acestea vor fi preluate din Anexa A ISO 27001 sau din alte documente recunoscute ca fiind „cele mai bune practici” ale domeniului Fiecare control considerat relevant trebuie să se adreseze unui risc. După completarea acestor etape se trece la implementarea controalelor După implementarea controalelor se realizează Analiza breşelor pentru a identifica controalele care nu au fost implementate în totalitate sau pentru care utilizatorii necesită instruire. Se implementează acţiunile corective prin care se remediază situaţiile identificate anterior. |
Auditul sistemelor informationale “… inovaţia este riscantă. Dar riscantă este şi urcarea în maşină pentru a merge la cumpărături. Orice activitate economică cere prin definiţie un înalt grad de risc. Şi a lua apărarea trecutului – adică, a nu inova – este mult mai riscant decît a pregăti viitorul”. Peter Drucker, Innovation and Entrepreneurship Oferim asigurări rezonabile bazate pe judecata profesională a membrilor echipei de audit şi recomandările livrate. DE CE este nevoie ca un CISA (Certified Information Systems Auditor) să îşi exprime o opinie sau să ofere asigurări cu privire la eficacitatea şi eficienţa unui sistem informaţional? În primul rînd, pentru că activitatea unei firme este complicată şi presupune tranzacţii numeroase. Culegerea şi procesarea datelor cu privire la transpunerea în formă bănească a vieţii firmei nu cad în sarcina celor ce folosesc informaţii. În al doilea rînd, utilizatorii unor astfel de informaţii sunt oarecum izolaţi în timp şi spaţiu de înregistrările contabile şi lipsiţi de experienţa profesioniştilor. În al treilea rînd (dar nu neapărat şi ultimul), consecinţele deciziilor luate de manageri sunt atît de importante pentru viaţa firmei încît opinia sau asigurarea oferită de CISA sunt absolut necesare. Auditul trebuie să verifice dacă sunt întrunite condiţiile necesare pentru a se asigura echilibrul unei organizaţii, să instrumenteze stăpînirea dezordinii, adaptarea la schimbări şi să evalueze gradul de securitate şi riscurile pe care le poate întîmpina o firmă. Auditul sistemelor informaţionale reprezintă procesul prin care se colectează şi evaluează dovezi cu scopul de a determina dacă protecţia fizică a activelor sistemului şi măsurile prin care se asigură integritatea datelor, contribuie la utilizarea eficace a resurselor şi ajută în mod eficient la atingerea obiectivelor organizaţiei . Standardul ISACA S2 statuează: „Auditul sistemului informaţional trebuie să fie o funcţie independentă de aria sau activitatea supusă reviziei astfel încît să permită îndeplinerea cu obiectivitate a angajamentului”. Standardul ISACA S4 statuează: „Auditorul trebuie să fie competent din punct de vedere profesional, să deţină competenţele şi abilităţile necesare administrării unei astfel de misiuni”. Standardul ISACA S5 statuează: ”Auditorul trebuie să planifice auditul sistemului informaţional astfel încît să atingă obiectivele stabilite şi conformitatea cu legislaţia şi standardele profesionale aplicabile”. Standardul ISACA S6 statuează: „În timpul misiuni sale, auditorul trebuie să obţină probe suficiente, de încredere şi relevante pentru obiectivele stabilite. Constatările şi concluziile trebuie să fie susţinute prin interpretarea şi analizarea probelor obţinute.” Raportul de audit este un document confidenţial şi prezintă constatările noastre în funcţie de practicile la care ne raportăm. Raportul nostru va fi proiectat în conformitate cu Ghidul de Audit ISACA nr. 20 cu scopul de a oferi rezultate semnificative managementului şi pentru a servi scopului auditului. Raportul de audit va include: Scopul, obiectivele, metodologia de audit O evaluare generală a soluţiei/proceselor/sistemului auditat, exprimată sub formă de puncte tari/puncte slabe precum şi efectul punctelor slabe identificate Recomandări pentru a surmonta punctele slabe şi pentru a îmbunătăţi soluţia/procesul/sistemul informatic Opinia cu privire la conformitatea cu cerinţele legale. Evaluarea riscurilor Fiind un standard managerial, ISO 27001:2005 nu impune utilizarea unui instrument software pentru evaluarea riscurilor ci stabilirea şi documentarea unei metodologii în funcţie de nevoile companiei. Etapele considerate critice sînt prezentate în clauza 4.2.1 (d): Identificarea activelor incluse în Scopul SMSI şi a proprietarilor acestor active Indentificarea ameninţărilor la adresa activelor Indentificarea vulnerabilităţilor ce pot exploata ameninţările identificate anterior Identificarea impactului pierderii confidenţialităţii, integrităţii sai disponibilităţii activelor. Aceste cerinţe determină criteriile iniţiale ce vor fi folosite în cazul selecţiei unui instrument pentru evaluarea riscurilor. Punctul (e) din clauza menţionată anterior specifică necesitatea evaluării riscurilor la nivel de activ individual: Impactul fiecărui activ aspura impactului organizaţei, în general Propabilitatea reală a apariţiei unui eveniment Nivelul riscului pentru fiecarea eveniment Acceptabilitatea riscului sau mecanimsele de control asupra acestuia. În final standardul prezintă în Anexa A controale ce pot fi folosite pentru prevenire, diminuarea sau eliminarea riscurilor. Controalele selectate în această etapă trebuie documentate în cadrul Manualului de securitate. În cazul organizaţiilor mari şi foarte mari se poate folosi una din metodologiile CRAMM, OCTAVE sau MEHARI. |
|
 |
