IMPEMENTAREA SISTEMELOR DE MANAGEMENT AL SECURITATII INFORMATIEI IN CADRUL ORGANIZATIILOR

DIN REPUBLICA MOLDOVA

Autor:Ion MUNTEANIMC 08M

20 ianuarie 2010

Cultura este cea care influenţează atitudinea faţă de valoarea securitătii informatiei.

UNIVERSITATEA TEHNICA A MOLDOVEI

Conducator:Conf. dr. ing. Mihail GUZUN

INTRODUCERE

• O nouă epocă informaţională bazată pe accelerarea tehnologiei informaţiei şi comunicaţiilor ;

• Societatea informaţională dictează noi reguli care se aplică atât la nivel economic, dirijând noua economie, dar şi la nivelurile politic, social, administrativ, cultural, etc ;

• Materia primă a activitătii fiecăruia din noi este informaţia, produsul este cunoaşterea, echipamentele industriale sunt calculatoarele, iar munca manuală este înlocuită de efortul intelectual;

• “Un om informat este un om puternic.”• Terorişti, noua ameninţare a secolului XXI;

FAMILIA DE STANDARDE ISO/IEC 27000Familia ISO/IEC 27000 (pe scurt "ISO27k") cuprinde standarde

de securitate publicate în comun de către Organizaţia Internaţională pentru Standardizare (ISO) şi Comisia Electrotehnică Internaţională (IEC).

• ISO/IES 27000:2009 Tehnologia Informatiei – Tehnici de securitate. Sisteme de management al securitătii informatiei – Principii fundamentale și vocabular;

• ISO/IES 27001:2005 Tehnologia Informatiei – Tehnici de securitate. Cerinte pentru un sistem de management al securitătii informatiei;

• ISO/IEC 27002:2005 Tehnologia Informatiei – Tehnici de securitate. Cod de practici pentru managementul securitătii informatiei;

• ISO/IEC 27005:2008 Tehnologia Informatiei – Tehnici de securitate. Managementul riscurilor securitătii informatiei;

• ISO/IEC 27006:2007 Tehnologia Informatiei – Tehnici de securitate. Cerinţe pentru organisme care efectuează auditul şi certificarea sistemelor de management a securitătii informaţiilor;

• ISO/IEC 27011:2008 Tehnologia Informatiei – Tehnici de securitate –Linii directoare a mnagementului de securitate a informatiei pentru organizatiile din telecomunicatii bazat pe ISO/IEC 27002.

1. ELABORAREA UNUI MECANISM DE IMPLEMENTARE A UNUI SISTEM DE MANAGEMENT AL SECURITATII INFORMATIEI;

2. PERFECTIONAREA ABILITATILOR PRACTICE SI TEORETICE IN ACEST DOMENIU(specialisti made in Moldova).

Obiectiv

ELABORAREA UNUI MECANISM DE IMPLEMENTARE A UNUI SISTEM DE MANAGEMENT AL SECURITATII INFORMATIEI;

Pasul 1. Stabilirea importanţei securităţii informaţiei în cadrul afacerii;Pasul 2. Definirea scopului SMSI;Pasul 3. Definirea politicii de securitate;Pasul 4. Stabilirea structurii securităţii organizaţionale;Pasul 5. Identificarea şi clasificarea bunurilor;Pasul 6. Identificarea şi evaluarea riscurilor;Pasul 7. Plan pentru managementul riscului;Pasul 8. Strategie pentru reducerea riscurilor implementării;Pasul 9. Redactarea specificaţiilor privind aplicabilitatea;Pasul 10. Pregătirea personalului şi conştientizarea acestuia;Pasul 11. Monitorizarea şi controlul performanţei SMSI;Pasul 12. Întreţinerea SMSI şi asigurarea îmbunătăţirii continue.

CADRUL LEGISLATIV• În anul 1994, Comunitatea Europeană a trasat sarcina edificării societăţii

informaţionale în rândul celor mai prioritare.• Legea Republicii Moldova „ Privind accesul la informaţie” Nr.982-XIV din

11 mai 2000;• Republica Moldova, ca stat participant la Pactul de stabilitate pentru

Europa de Sud-Est, a semnat în iunie 2002 Declaraţia de intenţii şi şi-a asumat responsabilitatea de a edifica o societate informaţională bazată pe principiile consfinţite în Statutul ONU, în Declaraţia Universală a Drepturilor Omului şi în Carta edificării societăţii informaţional globale de la Okinawa.

• Legea cu privire la informatizare şi la resursele informaţionale de stat (Nr. 467 – XV din 21.11.2003).

• Decretul Preşedintelui Republicii Moldova Nr.1743 – III din 19 martie 2004 „Privind edificarea societăţii informaţionale în Republica Moldova” .

• Hotărîrea Guvernului Republicii Moldova Nr.632 din 8 iunie 2004 „Despre aprobarea Politicii de edificare a societăţii informaţionale în Republica Moldova”.

• Hotărîrea Guvernului Republicii Moldova Nr.255 din 9 martie 2005 privind aprobarea Strategiei Naţionale de edificare a societăţii informaţionale „Moldova electronică”.

• În aprilie 2005 a fost creat Ministerul Dezvoltării Informaţionale.

Sisteme de importanta vitala careimplica securitatea informatiei

• Sistemul electronic de plată;• Sistemul de votare electronică;• Sistemul achiziţiilor electronice de stat;• Business-ul electronic;• Medicina electronică;• Învăţămîntul electronic.

PREVENIREA RISCURILOR DE SECURITATE INFORMATIONALĂ PRIN PRISMA STATISTICII MONDIALE.

Informaţia este privită ca o monedă nouă de afaceri a cărei valoare crește și

scade în momente diferite și în diferite situatii în funcţie de când, unde și de cine

este plasată în circuitul economic.

ANALIZA PIETEI SECURITATIIINFORMATIONALE INTERNATIONALE.

Cine necesita un ISO/IEC 27001:2005 ?

Sursa: Certification Europa Ltd in anul 2004

NIVELUL DE ÎNCREDERE AL ORGANIZAȚIILOR FAȚĂ DE PARTENERI.

Sursa:Global State of Information Security Survey 2008

PRINCIPALELE EFECTE REZULTATE ÎN URMA INCIDENTELOR DE SECURITATE INFORMATIONALĂ.

Sursa:Global State of Information Security Survey 2008

STATISTICA CERTIFICARILOR ISO/IEC 27001:2005 LA NIVEL MONDIAL

Sursa:ISO survey 2008

Sursa:ISO survey 2007 Sursa:ISO survey 2008

Sursa:ISO survey 2007

Certificari ISO/IEC 27001

Dec 2007 Dec 2006519

148135

938177

554541

32272322

16141212119998755442211111

0 50 100 150 200 250 300 350 400 450 500 5501 M area Bri tanie

2 Ita l ia3 Germ ania

4 Spania5 Ungaria

6 Cehia7 Suedia

8 Polonia9 Netherland

10 Elvetia11 T urcia12 Austria

13 Norvegia14 Rom ania15 Fin landa16 Slovenia17 Slovacia

18 Islanda19 Franta

20 Federatia Rusa21 Belg ia

22 Bulgaria23 Irlanda24 Grecia

25 Croatia26 Danem arca27 Portugal ia

28 Luxem burg29 L i tuania30 Ucraina

31 Iugoslavia32 Republ ica M oldova

33 M al ta34 Estonia

Solutia…Ce trebiue sa facem pentru a minimiza incidentele privind

securitatea informatiei?• Trebuie sa cunoastem care sunt cele mai bune practici,

acceptabile ca norma sau standard industrial;• Este necesara o metodologie logic structurata de evaluare,

determinare si apoi de tratare a pericolelor;• Este necesar ca utilizatorii interni sa fie instruiti in domeniul

practicilor de securitate informationala;• Trebuie furnizata angajatilor cea mai relevanta informatie

din domeniul securitatii informationale, ghiduri, proceduri, instructiuni.

…este necesar ISO/IEC 27001

Certificari ISO/IEC 27001 in Republica Moldova

• ICS Endava

• BC Moldova Agroindbank SA

Certificari ISO/IEC 27001 in Romania• ABT&CO SRL, Bucuresti• AURORA SA, Mehedinti• CLASS COMPUTERS AND SERVICE SRL,

Bucuresti• ETA 2U SRL, Timis• S.C. OMNIS GROUP S.R.L. Bucurest• EXIMPROD GRUP SRL, Buzau• EXYCOMP SA, Cluj• XEROX (ROMANIA) ECHIPAMENTE SI SERVICII SA,

Bucuresti• ICCO ELECTRIC SRL, Brasov• IIRUC SERVICE S.A. Bucuresti• SC BYTE TRANS GROUP SA• INSTITUTUL NATIONAL DE CERCETARE - DEZVOLTARE PENTRU IMBUNATATIRI

FUNCIARE - I.N.C.D.I.F. "ISPIF" , BUCURESTI • S.C. BIT SOLUTIONS S.R.L. Bucuresti• S.C. EXPERCO - ISPIF S.R.L. Bucuresti• S.C. MICROSOFT ROM, BUCURESTI • S.C. APAVITAL S.A. Iasi • S.C. ROMANIAN SOFT COMPANY S.R.L. Bucuresti

Certificari ISO/IEC 27001 in tarile CSI

Certificari ISO/IEC 27001 in lume

• S-a elaborat un mecanism constituit din 12 etape;• Fiecare etapă a fost descrisă în măsura în care ar

satisface cerinţele standardului ISO/IEC 27001:2005;• Un punct de pornire pentru implementarea unui sistem

în cadrul unei organizaţii;• Parcurgerea tuturor etapelor oferă posibilitatea

organizaţiei de a se certifica;• Prin analiza statistica se observa abordare strategică a

subiectului de catre UE care implica stabilirea de parteneriate doar cu subiecți care au capabilitatea de a conferi încredere, siguranță și securitate;

• Experienta UE poate fi preluata cu succes prin cursulcorect al poliiticii RM;

• Securitatea informaţiei nu trebuie privită ca o problemă ce ţine de tehnologie, ia este mai mult o problemă umană şi de management.

CONCLUZIE

Securitate in toate !