Prezentare Generala Securitatea Informatiei - ISO27001

1. Securitatea InformațieiISO 27001AVANTAJELE IMPLEMENTĂRII SISTEMULUI DE MANAGEMENT AL SECURITĂțII INFORMAțIEI în conformitate cu standardele:ISO27001-Sisteme de Management al Securităţii Informaţiei ISO27002-Tehnici de Securitate. Cod de Bună Practică Pentru Managementul Securităţii Informaţiei 2. Amenințările și Costurile posibile ale lipsei implementăriieficace a Sistemului de Management al Securității Informației Divulgarea informației confidențiale. Întreruperi în activitate: nefuncționarea rețelei de calculatoare și imposibilitateaaccesării serverelor și aplicațiilor. Informatizarea tot mai mare a sistemelorinformaționale duce la imposibilitatea desfășurării activităților în timpulindisponibilității sistemului IT. Pierderea încrederii clienților și partenerilor: practica demonstrează că organizațiileatacate de hackeri au pierdut reputația și încrederea și să o recapete le-a fost foartegreu, sau chiar imposibil.Clienții, asiguratorii și partenerii vor evita să colaboreze cu o organizație care nueste în stare să protejeze adecvat informațiile. Directiva 2002/58/EC aParlamentului European privind procesarea datelor personale, interzicecomunicarea informațiilor personale unei organizații care nu poate asiguraconfidențialitatea acestora. Costuri Financiare: Legislația în vigoare prevede răspunderea juridică și financiarăpentru pierderea confidențialității datelor clienților. © www.iso27001consulting.ro 3. Avantajele Implementării Sistemului de Management al Securității Informației Păstrarea confidenţialităţii, integrităţii şi a disponibilităţii informaţiei; Îmbunătățirea reputației și încrederii în organizație; Asigurarea conformității legale și reducerea riscului penalizărilor; Scăderea costurilor IT; Asigurarea instruirii continue a angajaților în materie de păstrare a confidențialitățiiinformației; Posibilitatea oferirii unor servicii de calitate în timp optim; Oferă managerilor un control mai bun asupra fluxurilor de informații din organizație; Sunt identificate și ținute sub control riscurile care pot afecta activitatea organizației; Oferă posibilitatea comparării performanței sistemului IT în raport cu media din industrie;© www.iso27001consulting.ro 4. Ce efecte a avut pierderea confidențialității datelor în 2010? În 2010 costul mediu al pierderii unei înregistrări a ajuns la 204$, ceea ce înseamnă că pentru 1000 deînregistrări divulgate costul se poate ridica la 204000$. (conform Ponemon Institutes annual study 2010 ). În 2010 96% din compromiteri puteau fi evitate prin controale simple de securitate; 94% din pierderile de confidențialitate ale datelor au fost cauzate de acțiuni ale propriilorangajați; 61% din cazuri au fost descoperite de părți terțe; 27% din cazuri au implicat mai multe părți, iar 11% din cazuri au implicat parteneri deafaceri; Au fost făcute publice la nivel internațional 494 cazuri de pierderi a confidențialitățiiinformației - de două ori mai multe față de 2009, fiind divulgate 14 milioane înregistrări; (conform http://www.privacyrights.org/data-breach/new și VERIZON 2010 DATA BREACH INVESTIGATIONS REPORT )© www.iso27001consulting.ro 5. Securitatea Informației Implementarea Sistemului de Management al SecuritățiiInformației în conformitate cu ISO27001-SMSI vă ajută să păstrați informațiile organizației în condiții de siguranță și securitate. Este responsabilitatea fiecărei organizații să prevină, să identifice și să trateze riscurile de securitate care pot avea impact negativ asupra confidențialității, integrității și disponibilității informației pacienților. Având în vedere că, legislația și standardele care prevăd dreptul oamenilor la confidențialitatea datelor, se dezvoltă și se multiplică (de ex: Directiva 95/46/EC, Directiva 2002/58/EC), riscurile devin tot mai mari. © www.iso27001consulting.ro 6. Legislație care obligă protecția datelor cu caracterpersonalA. Legislație comunitară Directiva 95/46/EC a Parlamentului și a Consiliului European din 24.10.1995 cu privire la protecția persoanelor referitoare la procesarea datelor personale și la libera circulație a acestor date (OJL 281, 23.11.1995, p.31); Directiva 2002/58/EC a Parlamentului European și a Consiliului din 12.07.2002 privindprocesarea datelor personale și protecția intimității în sectorul comunicațiilor electronice;B. Legislație internă Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracterpersonal și libera circulație a acestor date; Legea nr. 682/2001 privind ratificarea de către România a Convenției pentru protejareapersoanelor față de prelucrarea automatizată a datelor cu caracter personal, adoptată laStrasbourg la 28 ianuarie 1981; Legea nr. 102/2005 privind înființarea Autorității Naționale de Supraveghere a PrelucrăriiDatelor cu Caracter Personal. © www.iso27001consulting.ro 7. Obiectivele Sistemului de Management al Securității InformațieiDisponibilitateConfidențialitateInformaţiile pot existasub diferite forme. Ele potfi tipărite sau scrise peSECURITATEAhârtie, stocate electronic,Informațieitransmise prin poştă sauprin echipamenteelectronice, prezentate pefilme sau comunicate încadrul unor conversaţii.Orice formă ar aveainformaţiile sau oricemetode de stocare ar fifolosite, ele trebuie să fieIntegritateîntotdeaunaprotejatecorespunzător.© www.iso27001consulting.ro 8. Obiectivele Sistemului de Management al Securității Informației Confidenţialitateproprietatea ca informaţia să nu fie făcută disponibilăsau divulgată persoanelor, entităţilor sau proceselor fărăautorizare. Integritateproprietatea de a păstra acurateţea conținutuluiinformației, iar modificarea acesteia să fie posibilă doarîn circumstanțe autorizate. Disponibilitateproprietatea de a fi accesibil şi utilizabil la cerere de cătreo entitate autorizată la momentul și locul potrivit. © www.iso27001consulting.ro 9. ISO 27002 - Cod de bună practică pentru managementul securităţii informaţieiCe reprezintă? Acest standard internaţional stabileşte liniile directoarepentru iniţierea, implementarea, menţinerea şiîmbunătăţirea managementului securităţii informaţieiîntr-o organizaţie. Obiectivele evidenţiate în acest standard internaţionaloferă îndrumări privitoare la ţintele general acceptate alemanagementului securităţii informaţiei. ISO27002 conțineîndrumări referitoarelaimplementarea celor 11 domenii de control şi 133măsuri de securitate din ISO27001.© www.iso27001consulting.ro 10. ISO 27001 - Sisteme de management alsecurităţii informaţiei. CerinţeCe reprezintă? ISO27001 este standardul de certificare pentru SMSI. Standardul ISO27001 stabilește cerințele și criteriilepentru implementarea, operarea, monitorizarea, revizia,mentenanța și îmbunătățirea sistemului de managemental securității informațiilor în contextul riscurilor deansamblu la care este supusă organizația.De asemenea, sistemul de management al securitățiiinformațiilor oferă managerilor un control mai bunasupra fluxurilor de informații din organizație și reducecosturile aferente managementului riscului.© www.iso27001consulting.ro 11. 11 Domenii de control ale ISO27001A.15 ConformitateA.5 POLITICA DESECURITATEA.6 ORGANIZAREAA.14 Managementul SECURITATIIcontinuitatii afaceriiINFORMATIEI A.13 ManagementulA.7 MANAGEMENTULincidentelor de securitateRESURSELORa informatiei (BUNURILOR) A.12Achizitia, dezvoltarea si A.8 SECURITATEAmentenanta sistemelorRESURSELOR UMANEinformatice A. 9 SECURITATEAA.10 ManagementulFIZICA SI A MEDIULUIA.11 Controlul accesului comunicatiilor sioperatiilor © www.iso27001consulting.ro 12. Contact Pentru informații suplimentare referitoare la implementarea și certificareaSMSI contactați-ne la: www.iso27001consulting.roVă asigurăm: Implementarea controalelor de securitate în conformitate cu ISO27001; Raport centralizat de analiza SWOT din perspectiva securității informațieiasupra practicilor din organizație; Teste de penetrare a sistemului informatic al organizației și plan de măsuride remediere și îmbunătățire; Recomandări privind achiziția de echipamente și software pentruîmbunătățirea sistemului IT&C; Backup automatizat al informației din organizație și implementareapracticilor de continuitate a afacerii.© www.iso27001consulting.ro