Numerele anterioare

2, 8, 9, 10, 12, 13, 14, 15, 16, 18, 20, 21, 22, 23, 24, 25, 26, 27, 29, 30, 31, 32, 34, 35, 36, 38, 39, 41, 42, 43, 45, 46, 47, 48, 49, 50, 51, 52, 53, 54, 55, 56, 57, 59, 60, 61, 62, 63, 64, 65, 67, 68, 69, 70, 71,
 

Lunile anterioare


 

Autor


 

Sistemul de Management al Securității Informației

Cătălin ALBU

Implementarea și certificarea unui Sistem de Management al Securității Informației (pe scurt SMSI) este o decizie strategică pentru orice organizație deoarece garantează securitatea informațiilor societății certificate, dar și a informațiilor clienților și partenerilor de afaceri. Acest sistem furnizează recomandări pentru ținerea sub control a riscurilor informaționale, aduce o clarificare asupra tipurilor de amenințări și dă direcții de abordare ale metodelor de protecție pentru a asigura supraviețuirea companiei, minimizarea potențialelor daune financiare, maximizarea profitului și a perspectivelor organizației.

În zilele noastre, având în vedere că majoritatea datelor se țin pe suport informatic, o atenție deosebită trebuie acordată protecției sistemelor informatice.
Securitatea informației trebuie să aibă legătură cu toate aspectele legate de protejarea datelor indiferent de forma în care acestea există (suport magnetic, optic, hârtie etc.).
Un SMSI este un sistem de management bazat pe o abordare a riscurilor la care organizația este expusă și are scopul de a stabili, implementa, opera, monitoriza, revizui, menține și îmbunătăți securitatea informației.
Primul standard pentru certificarea SMSI a fost standardul britanic BS 7799. Acesta a avut două părți:
1 Partea I: BS 7799-1, care era un Cod de Practică, apoi a devenit  ISO/IEC 17799. În prezent acest ultim standard a fost înlocuit de ISO/IEC 27002.
2 Partea a II-a: BS 7799-2. Acesta a fost primul standard după care se putea efectua certificarea unei organizații. Pe acest referențial, s-a elaborat primul standard internațional de certificare pentru SMSI, ISO 27001.
Indicarea în mod clar a îndeplinirii de către organizatie a conditiilor standardului BS 7799 partea a 2-a sau ISO 27001; aceste standarde conțin cele mai bune recomandări făcute de experți în SMSI.

Beneficii

1 Oferă clienților și partenerilor de afaceri încredere sporită în organizația certificată;
2 Reduce necesitatea unei posibile evaluări a sistemului de securitate din partea clienților sau partenerilor care cer acest lucru;
3 Oferă managerilor un control mai bun asupra fluxurilor de informații din organizația certificată;
4 Sunt identificate și ținute sub control riscurile care pot afecta activitatea organizației;
5 Posibilitatatea de a întruni toate condițiile de eligibilitate la licitații acolo unde certificarea SMSI este un criteriu;
6 poziție și imagine mai bune pe piață, în fața societăților concurente care au doar un singur sistem certificat (ex.: ISO 9001).

Standardul ISO/IEC 27001

ISO/ IEC 27001 este aliniat atât cu ISO 9001, dar și cu ISO 14001. Toate cele trei standarde conțin elemente și principii de sistem comune inclusiv procesul ciclic de îmbunătățire continuă PDCA (Plan-Do-Check-Act, Planifică-Elaborează-Verifică-Îmbunătățește). Această abordare face posibilă integrarea ușoară a acestor sisteme, astfel încât să aibă sens un sistem unic de management în organizație.
Standardul are la bază următoarele principii care definesc securitatea informației: confidențialitatea, integritatea și disponibilitatea informației. Abordarea acestui standard asigură o securitate pe termen lung bazându-se pe implementarea de politici, proceduri și metode de securitate destinate protejării informațiilor și resurselor organizațiilor. Prin reducerea la maximum a riscurilor se garantează că sistemul de management este funcțional și îndeplinește cerințele operaționale ale companiei, așteptările clienților și se conformează legislației în vigoare.
Trebuie precizat faptul că standardul ISO/CEI 17799:2005 nu este un standard de certificare și nici nu a fost vreodată gândit ca atare. Însă el este completat de o specificație tehnică, ISO/TS 27001, Tehnologia informației – Tehnici de securitate – Sisteme de management al securității informației – Cerințe, care poate fi utilizată în scopuri de certificare. Aceasta se referă la securitatea informației în cel mai larg sens, stabilind linii directoare și principii generale de implementare, actualizare și management al securității informației.
Revenind la standardul ISO/IEC 17799, acesta, identificând controalele care constituie punctul de plecare pentru securitatea informației, poate servi ca instrument de bază pentru orice întreprindere, indiferent că este vorba despre o organizație multinațională sau despre un IMM, indiferent că activează în sectorul public sau cel privat.
Această afirmație e susținută și de declarația lui Ted Humphrey care consideră că “organizațiile care utilizează standardul pot să le demonstreze partenerilor economici, clienților și furnizorilor că sunt solide și că prezintă suficientă încredere pentru a putea intra în afaceri și a face astfel încât investiția consimțită pentru securizarea informației să deschidă întreprinderii posibilități de afaceri. În concluzie, standardul ISO/CEI 17799 este cel mai important până la ora actuală în domeniul securității informației. El stabilește un limbaj internațional comun pentru securitatea informației, astfel încât toate întreprinderile din lume se pot angaja în domeniul afacerii”.
Dacă organizațiile mari beneficiază de resurse financiare pentru angajarea unor specialiști în securitatea informației, nu același lucru se poate spune despre IMM-uri. În cel mai bun caz, acestea din urmă dispun de un departament IT cu un număr redus de angajați care abia se descurcă cu întreținerea aplicațiilor informatice folosite în activitatea zilnică a firmei.

European Network and Information Security Agency (ENISA)

Membrii sunt reprezentanții fiecărei țări din Uniunea Europeană. Aceasta înseamnă că în consiliul de administrație al ENISA sunt 27 de membri, iar România urmează să numească de asemenea un membru. ENISA raportează consiliului de administrație, trebuie să pună în aplicare programele anuale de activitate, ceea ce înseamnă că la începutul fiecărui an sunt pregătite programele de lucru pentru anul următor, de exemplu la finele acestui an trebuie finalizate programele de lucru pentru 2008. Programele de lucru reflectă toate acțiunile și activitățile care trebuie derulate.
În general, obiectivele sunt exprimate în sarcini cuprinse într-o boșură. Când a luat ființă ENISA la începutul lui 2004, constituită fiind de către Parlamentul European și Consiliul European, ENISA a primit o broșură în care figurează obiectivele și sarcinile agenției. Obiectivele generale, în câteva cuvinte, sunt de a oferi suport Comisiei Europene și statelor membre ale Uniunii Europene pe partea de securitate a informației și a rețelelor și să devină Centru de Excelență în securitatea informației astfel încât țări ale Europei și chiar ale lumii să se poată adresa agenției ca unui grup de competențe în securitatea informației. Privind primul obiectiv, Comisia sau oricare stat membru UE poate solicita ENISA să deruleze un anumit studiu pe o temă devenită preocupare specifică pentru Comisie sau țara respectivă. Există o procedură standard – ministrul Comunicațiilor și Tehnologiei Informației din țara interesată de un studiu trimite o scrsoare adresată ENISA în care descrie ce sarcină oferă agenției pentru a fi îndeplinită. ENISA răspunde acestei solicitări precizând orizontul de timp în care sarcina poate fi îndeplinită. O sarcină îndeplinită deja sunt campaniile de conștientizare. Astfel, se alcătuiesc ghiduri menite să crească nivelul de informare pe diverse teme ce țin de securitatea informației, dat fiind faptul că s-a constatat, în Europa și nu numai, un nivel scăzut de informare și de capabilități și chiar de posibilități financiare. Să ne gândim la studenții care au know-how-ul, dar nu au puterea financiară pentru a-și proteja sistemele sau la persoanele în vârstă care folosesc computerul pentru a citi ziarele sau a chatui, dar care nu știu ce să facă computerului sau cui să se adreseze dacă acesta nu mai funcționează. Un alt exemplu sunt întreprinderile mici și mijlocii care nu au banii, timpul și competențele tehnice pentru a se ocupa de sistemele lor informatice și nici dorința de a investi într-un personal competent pe această zonă. Ele vor să producă, să vândă și să obțină profit pentru că altfel falimentează. Trebuie astfel să le ajute cineva, să le sprijine să-și securizeze sistemele. Dacă sunt sprijinite în acest demers, vor deveni mai de încredere, mai agresive, cu alte cuvinte mai competitive. Există un lanț – trebuie început de la nivelul cel mai de jos pentru a face totul mai sigur. Trebuie oferite directivele și rămâne la latitudinea fiecărei țări cum coordonează campaniile de conștientizare. Se întocmesc de asemenea ghiduri de bune practici, pentru managementul riscurilor, de exemplu. Dacă ne gândim la spitale, aeroporturi, din nou IMM-uri, administrații, în mod cert au puncte slabe care le pot afecta sistemele de securitate. Neavând timp și resurse pentru a cerceta aceste puncte slabe, dat fiind faptul că prioritățile le sunt cu totul altele, le sunt oferite instrumente care să îi ajute să evalueze și apoi să administreze aceste riscuri care acoperă în proporție de 50% activitățile pe care o organizație trebuie să le desfășoare, fiind vorba doar de luarea deciziilor care se impun. Și aceasta se aplică pentru toate aspectele care țin de securitatea informației.

Publicat în : Tehnologie  de la numărul 47

Comentarii

Nu există nici un comentariu. Fii primul care comentează acest articol!

Număr curent

Coperta ultimului număr al revistei

Semnal editorial

Emil Constantinescu - Pacatul originar, sacrificiul fondator

Revolutia din decembrie ’89: Pacatul originar, sacrificiul fondator este prima carte dintr-o serie de sapte volume dedicate ultimelor doua decenii din istoria României. „Nu am pretentia ca sunt detinatorul unui adevar politic, juridic sau istoric incontestabil, si sunt gata sa discut si sa accept orice documente, fapte sau marturii care pot lumina mai bine sau chiar altfel realitatea. Educatia mea stiintifica si religioasa m-a ajutat sa cercetez faptele în mod obiectiv, eliberat de ura sau intoleranta. Recunosc însa o anume încrâncenare în ceea ce am scris venita din durerea unui om care a trait în miezul evenimentelor si se simte lovit de acceptarea cinica a crimelor, abuzurilor, coruptiei si minciunii, sau de indiferenta la fel de cinica cu care sunt înca privite de catre o mare parte a societatii românesti.... Am scris aceste carti de pe pozitia victimelor mintite sau speriate, care nu-si cunosc sau nu-si pot apara drepturile. Le-am scris de pe pozitia milioanelor de români cinstiti care cred în adevar, în dreptate si în demnitate.” Emil Constantinescu (text preluat din Introducerea cartii).

Mircea Malita - Mintea cea socotitoare

MINTEA CEA SOCOTITOARE
de academician Mircea Malita, Editura Academiei Române, 2009
În volumul de eseuri „Mintea cea socotitoare“, aparut la Editura Academiei Române, acad. Mircea Malita formuleaza în crescendo o serie de întrebari grave ale timpului nostru: Daca omul este rational, de ce se fac atâtea greseli în economie
sau în politica?; Daca rationalitatea nu e de ajuns, care ar fi rolul întelepciunii?; Din viitorul imprevizibil putem smulge portiuni, daca nu certe, cel putin probabile?; Ce si cum învatam pregatindu-ne pentru viitorul nostru?; Este în stare omenirea sa îsi vindece crizele?; Ne asteapta oare un dezastru final? s.a. De-a lungul anilor, acad. Mircea Malita a staruit asupra acestor teme în lucrari recunoscute, însa acum o face raportându-se la dinamica realitatii imediate, inspirat de cuvintele lui Dimitrie Cantemir: „socoteala mintii mele, lumina dinlauntrul capului“. Eseurile sunt structurate pe patru parti - „Mintea senina“, „Metaforele mintii“, Mintea învolburata“ si „Privind înainte“. Finalul este de un optimism lucid care tine seama de potentialul de rationalitate si imaginatie al mintii umane si, fireste, de generatiile tinere care îl pot valoriza benefic.

Virginia Mircea - Poezii (vol.1 - Mișeii, vol.2 - Vise, îngeri, amintiri), Editura Cadran Politic Virginia Mircea - Poezii (vol.1 - Mișeii, vol.2 - Vise, îngeri, amintiri), Editura Cadran Politic

Această carte de poezie este seismograful de mare sensi­bilitate care înregistrează cele două întâlniri ale sufletului, deo­potrivă cu URÂTUL care ne schilodește ca ființă, ca neam, dar și cu FRUMU­SEȚEA sufletească nepoluată ce stă ca o fântână cu apă curată pe un câmp plin cu peturi și gunoaie nede­gra­da­bile. Ce poate fi mai dureros decât să surprinzi această fibră distrusă de aluviunile istorice încărcate de lașități, inerții, apatii, compromisuri devenite congenitale ale ro­mâ­nului? Vibrația ver­su­rilor, directețea lor, simplitatea dusă până în marginea cotidianului para­do­xal n-au efect distructiv asupra tonu­sului moral al cititorului, ci produc „neli­niștea cea bună”, cum ar spune Sfin­ții Părinți. Citești în revolta și durerea poetei un mănunchi admirabil de calități: o demnitate neînfrântă, o fizio­logie a verticalității și, mai ales, o inimă creștină, „o inimă din ceruri”, cum ar spune poetul latin. Căci, în aceast㠄inimă din ceruri”, există lacrimi deopotrivă pentru românul umi­lit, distrus până și-n visele lui, dar și pentru copilul din Gaza, cu sufletul și trupul chircite sub șenilele tancurilor unui război ce tinde să devină mai lung decât viața lui, ale unui „război-viață”, lacrimi pentru copilul evreu ce nu a putut fi salvat de la deportarea bestială, lacrimi pentru Tibetul sfâșiat. Și toate acestea fără impostura unui ecumenism sentimental, ci izvorâte din acel suspin curat românesc ce face esența lacrimii creștine. (Dan Puric)

ISLAMUL SI SOARTA LUMII - Fundamentalismul islamic ca ideologie politica

ISLAMUL SI SOARTA LUMII - Fundamentalismul islamic ca ideologie politica de Virginia Mircea "Islamul si soarta lumii - Fundamendamentalismul ca ideologie politca invita la o reflectie mai adanca asupra porceselor lumii contemporane. Judecata critica si independenta a autoarei a produs o lucrare de o veritabila investigatie stiintifica, exact la momentul in care tema tratata deseori fara solutii si perspective ocupa scena din fata a politicii si problemelor mondiale. Cititorii o pot aseza cu satisfactie in bliblioteca lor de referinta. Vor fi mult ajutati in intelegerea evenimentelor care ne sesizeaza in prezent si intr-un viitor in care tema nu se va desprinde de mersul lumii contemporane." (academician Mircea Malita)

Parteneri

Institutul de Proiecte pentru Inovatie si Dezvoltare The National Centre for Sustainable Development

Login: