Skip to content

SMSI: Intre utilitate si conformitate

Publicat marti, 7 iulie 2009

Sistemul de Management al Securitatii Informationale (SMSI sau ISMS - Information Security Management System) este, dupa cum implica si numele sau, o colectie de documente si masuri venite sa asigure confidentialitatea, integritatea si disponibilitatea informatiilor si a datelor informatice, proprietate a unei organizatii.
Guvernat de prevederile Standardului ISO-IEC 27001, SMSI reprezinta o unealta utila oricarei organizatii pentru a controla procesele interne si, in general, activitatile personalului ce interfereaza cu sau se bazeaza pe infrastructura IT a companiei.

Conceptul ce sta la baza oricarei implementari a SMSI este “prevenirea incidentelor de securitate IT prin controlul activ al resurselor”. Desi poate suna complicat, acest concept este unul cat se poate de eficient deoarece orice actiune preventiva propusa de Standardul ISO-IEC 27001 poate fi documentata printr-un set complet si complex de proceduri operationale, orientate catre fiecare departament sau resursa a companiei.

Implementarea unui SMSI inseamna, de cele mai multe ori, obtinerea unei certificari ISO-27001. Aceasta certificare atesta intrinsec un set de calitati ale organizatiei certificate si poate fi vazuta ca un “insemn de prestigiu”. Odata cu aparitia organismelor de certificare SMSI, a aparut si o disputa de principiu ce pune in balanta utilitatea implementarii si costurile acesteia. Acest articol propune o descriere obiectiva si succinta a celor doua “talere” ale balantei: utilitatea implementarii SMSI, pe de-o parte si costurile aferente procesului pe de alta parte.

Inainte de aceasta discutie, o sa analizam ce presupune o implementare SMSI la nivelul unei organizatii medii, cu 1000 de angajati.
Implementarea SMSI reprezinta un proces complex, etapizat, realizabil cu interventia managementului companiei, a departamentelor IT si telecomunicatii precum si a a personalului ce utilizeaza resurse informationale in desfasurarea activitatii. Mai jos o descriere a etapelor implementarii:

1. Inventarierea tuturor bunurilor si a serviciilor IT&C – aceasta etapa presupune crearea unui registru al bunurilor si serviciilor existente in companie. Pentru fiecare dintre intrari in acest registru va fi atribuit un Proprietar – fie un departament ce utilizeaza resursa respectiva sau o persoana anume, daca bunul sau serviciul este utilizat doar de un angajat. Proprietarul, in aceasta etapa, isi va comite responsabilitatea pentru functionarea si controlul resursei respective.

2. Indexarea riscului pentru fiecare dintre bunurile si serviciile IT&C – va fi creat un tabel ce va contine un index de risc pentru fiecare dintre resursele inventariate. Definirea gradului de risc la care respectiva resursa este expusa se va face in conformitate cu un set de politici directive, ce va fi elaborat in paralel si va fi diferit pentru fiecare organizatie in parte, in functie de un cumul de factori.

3. Numirea unei persoane Responsabil cu Securitatea Informationala – aceasta persoana va fi numita fie dintre angajatii existenti sau printr-o noua colaborare cu un tert. Va superviza implementarea SMSI si va raspunde, unde este cazul, de buna functionare a sistemului implementat. Este vorba, asadar, despre un responsabil de proces.

4. Crearea unei Diagrame de Procese – acest pas presupune o colaborare extinsa intre Responsabilul cu Securitatea Informationala si managementul fiecarui departament din cadrul organizatie pentru a creea, in final, un document cuprinzator pentru fiecare proces intern din cadrul departamentelor companiei. Astfel, vor fi marcate toate activitatile departamentelor, circuitul documentelor interne precum si orice alte documente si informatii ce circula prin departamentele respective. Diagrama de Procese este deosebit de utila pentru a creea o imagine detaliata a fiecarei activitati din cadrul companiei in scopul de a adapta, astfel, prevederile SMSI pentru fiecare departament in parte.

5. Elaborarea unui Manual de Politici si Proceduri Operationale – aceasta etapa presupune crearea unor documente directive “Politici” si a conexelor acestora, documente operationale “Proceduri”, conforme cu cerintele Standardului ISO 27001 si adaptate pentru realitatea din cadrul organizatiei ce doreste implementarea SMSI. Un manual complet va include un set de minim 10 Politci ce trateaza aspecte privitoare la securitatea comunicatiilor, reguli de acces la servicii de tip e-mail, Internet si Intranet precum si reguli ce vin sa controleze procesele de recuperare a informatiilor in caz de dezastru. Pentru mai multe detalii in acest sens va invitam sa apelati la documentatiile disponibile in Internet. De asemenea, va stam la dispozitie, prin intermediul comentariilor la acest articol, pentru exemplificari ulterioare sau lamurirea oricaror neclaritati.
Procedurile Operationale nu sunt constranse de existenta intr-un numar fix, si pot acoperi aspecte complexe ale activitatilor din cadrul organizatiei. Exemple de astfel de proceduri pot fi: Procedura pentru utilizarea E-Mail-ului, Procedura pentru utilizarea dispozitivelor mobile etc.

6. Crearea de documente conexe Manualului de Politici ce vizeaza Asumarea Responsabilitatii Management-ului Organizatiei pentru implementarea SMSI - Pentru a asigura eficienta procesului de implementare SMSI, asumarea Managementului in acest sens reprezinta o cerinta esentiala. Acest pas presupune o acreditare formala, de partea conducerii companiei, a eforturilor financiare si logistice necesare pentru o implementare cu succes a SMSI

7. Revizuirea documentelor – reprezinta un pas important in implementare ce presupune o atenta studiere a tuturor documentelor si a activitatilor creeate si dispuse in cadrul SMSI. In aceasta etapa vor fi efectuare modificari, acolo unde este cazul, pentru a aduce “la zi” procesul SMSI

8. Auditul pentru obtinerea certificarii ISO-27001 Compliant – Procesul de Audit va fi realizat prin externalizare catre un auditor acreditat. Raportul de Audit reprezinta documentul final al intregului proces de implementare SMSI, document ce va admite sau, dupa caz, respinge, masurile luate in procesul de implementare pentru a atinge conformitatea cu cerintele ISO 27001. Un raport favorabil inseamna o implementare reusita a SMSI si, implicit, obtinerea acreditarii ISO 27001.

Acum, ca am vazut ce presupune o implementare eficienta si completa a SMSI, trebuie sa luam in calcul si costurile aferente procesului. Mai jos am pregatit o lista de argumente ce vizeaza Utilitatea implementarii si, in balanta, Investitiile necesare:

Utilitate:
-conformitatea cu Standardul ISO 27001 creeaza premisele unei mai bune reprezentare pe piata in care organizatia activeaza, prin acreditarea unui set de calitati specifice
-odata implementat, SMSI asigura un inalt nivel de protectie impotriva pierderilor de informatii, a utilizarii acestora in scopuri necorespunzatoare precum si o buna conduita a angajatilor in privinta utilizarii resurselor IT ale companiei
-un control foarte amanuntit pentru orice document sau activitate a companiei ce utilizeaza resursele IT
-costuri reduse in exploatare si eficienta sporita pentru departamentul IT si a resurselor acestuia: Instruierea personalului conform SMSI si aderarea acestora la regulile si politicile directive SMSI presupune o mai buna exploatare a resurselor – Reducerea activitatilor “consumatoare de timp” de partea angajatilor -  conform regulilor SMSI, angajatii nu vor mai utiliza resursele IT ale companiei in scopuri personale decat sub un strict control. Astfel, vor fi reduse si costurile aferente conexiunilor la Internet, deoarece, o reducere substantiala a traficului efectuat de angajati va reduce si costurile serviciilor de internet.
-SMSI implica o uniformizare a modurilor de utilizare a resurselor companiei de catre angajati, astfel, o mai buna comunicare si transparenta va fi atinsa intre departamentele companiei – daca, la nivel central, va fi dispus un unic sistem de management al documentelor, spre exemplu, timpul necesar pentru elaborarea, editarea si publicarea acestora va fi redus substantial.

Investitii:
-Atribuirea unei noi functii, Responsabil cu Securitatea Informationala, poate presupune costuri
-Externalizarea serviciului de elaborare a documentelor SMSI implica costuri mici spre medii pentru organizatie
-In aceeasi masura, serviciile de consultanta in etapa de implementare (evaluarea riscului, diagrama de procese) implica costuri
-Investitii in echipamente: implementarea SMSI presupune achizitia, instalarea si mentenanta unor solutii de securitate specifice de tip IDS/IPS, Anti-SPAM, Anti-Virus, controlul accesului internet etc. Aceste investitii pot fi substantial reduse in cazul organizatiilor ce dispun de astfel de solutii.
-Investitii in procesul de constientizare “Security Awarness” a angajatilor. Ulterior implementarii SMSI, organizatia va asigura cursuri pentru angajati in vederea intelegerii prevederilor SMSI si a riscurilor la care compania este expusa in cazul nerespectarii acestora
-Procesul de Audit implica costuri ce difera pentru fiecare dintre Auditorii certificati ISO 27001
-Acreditarea ISO-27001 presupune costuri, asa cum sunt stabilite de organismele de acreditare ISO din Romania.

Adauga / Trimite:
  • Print
  • Digg
  • email
  • Google Bookmarks
  • LinkedIn
  • del.icio.us
  • Twitter
  • Technorati
  • Facebook
  • StumbleUpon
  • Mixx
  • Live
  • Reddit
  • Yahoo! Bookmarks
  • Yahoo! Buzz

Tagged with , , , , , , , , .

fara comentarii

0 Responses

Stay in touch with the conversation, subscribe to the RSS feed for comments on this post.



Some HTML is OK

or, reply to this post via trackback.

« 5 solutii gratuite pentru securizarea unui sistem Microsoft Windows HijackThis – Anti-Spyware Inteligent »
articole similare: