Odata cu intrarea in vigoare a Regulamentului european privind protectia datelor (GDPR) incepand cu 25.05.2018, organizatiile cauta modalitati de a demonstra conformitatea cu cerintele acestuia si de a evita posibilele amenzi asociate. O buna modalitate de a acoperi o mare parte din cerintele GDPR este implementarea standardului SR EN ISO/IEC 27001:2018 Tehnologia informatiei. Tehnici de securitate. Sisteme de management al securitatii informatiei. Exista multe puncte in care standardul poate ajuta entitatile sa realizeze respectarea acestei reglementari, dintre care cele mai relevante fiind: evaluarea riscurilor, conformitatea, gestionarea activelor, confidentialitatea prin proiectare, relatiile cu furnizorii etc.
Institutul pentru Managementul Riscului utilizeaza definitia din ISO/IEC Guide 73:
“Combinatia dintre probabilitatea de aparitie a unui eveniment si consecintele acestuia”
ISO 27001 este un standard pentru managementul securitatii informatiei. Este aplicabil tuturor sectoarelor din economie și nu se limitează doar la informațiile stocate in computere. Informațiile pot fi tipărite sau scrise pe hârtie, stocate electronic, transmise prin poștă sau e-mail, indicate pe filme sau vorbite într-o conversație. Oricare ar fi suportul media al informației sau a mijloacelor prin care aceasta este împărțită sau stocata, standardul ISO 27001 ajuta la oferirea unei abordari sistemice in cadrul organizatiei pentru a se asigura că întotdeauna acestea sunt protejate corespunzător.
Adoptarea unui sistem de management al securitatii informatiilor conform ISO/IEC 27001:2013 reprezintă o decizie strategică a managementului de la cel mai înalt nivel al companiei.
Implementarea sistemului de management pentru securitatea informatiei şi certificarea ISO 27001 a companiei demonstrează angajamentul pentru protecţia datelor procesate, continuitatea activităţilor (business continuity) şi respectarea legislaţiei naţionale şi internaţionale în domeniu.
ISO 31000:2009, Managementul riscului
Premise conceptuale si definitii
Determinarea riscului – procesul combinat de analiza si evaluare a riscului (ISO/IEC 73)
Analiza riscului – utilizarea sistematica a informatiilor pentru identificarea surselor si estimarea riscului (ISO/IEC 73)
Estimarea riscului – exprimare a duratei, intensitatii, dimensiunii si capacitatii de a genera consecinte, aferente unui factor de risc identificat, intr-o maniera cuantificata sau baneasca (Business Dictionary)
Evaluarea riscului – procesul de comparare a riscului estimat cu criteriile de risc pentru determinarea semnificatiei riscului (ISO/IEC 73
Tratarea riscului – procesul de selectie si implementare a masurilor pentru reducerea riscului (ISO/IEC 73)
Amenințare – cauza potentiala a unui incident nedorit care poate produce daune unui sistem sau unei organizații (ISO/IEC 13335-1)
Vulnerabilitate – slabiciune a unei resurse sau grup de resurse care
poate fi exploatata de una sau mai multe amenintari (ISO/IEC 13335-1)
Impact – daunele cauzate de un incident
Bun (Asset) – valoare pentru organizatie, activitatea organizatiei si continuitatea acesteia (ISO/IEC 13335-1)
Masura de control – practica, procedura sau mecanism care reduce
riscurile de securitate (ISO/IEC 13335-1)
Risc rezidual – riscul care ramane dupa tratarea riscului (ISO/IEC 73)
Managementul riscului – activitati coordonate pentru indrumarea si
controlul unei organizatii luand in considerare riscurile (ISO/IEC 73)
Riscul informational se raporteaza la informatie si la capacitatea acesteia de a fi mentinuta in conditii de securitate.
Atat riscul cat si securitatea informatiei se raporteaza la proprietatile informatiei: confidentialitate, integritate, disponibilitate, responsabilitate, autenticitate, non- repudiere, fiabilitate.
BENEFICIILE IMPLEMENTĂRII UNUI SMSI
Ține organizația la curent cu toate informațiile apărute în domeniu;
Introduce în organizație o metodă sistematică de control a confidențialității, integrității și disponibilității informației;
Contribuie la păstrarea unui nivel bun de competitivitate pe piață a organizației prin introducerea unor măsuri adecvate de control asupra informației sensibile;
Contribuie la respectarea cerințelor legale privind securitatea informației;
Oferă posibilitatea de îmbunătăţire continuă prin audituri interne regulate;
Asigură continuitatea afacerii;
Reduce costurile de asigurare;
BENEFICIILE CERTIFICĂRII UNUI SMSI
Câteva beneficii majore pentru organizaţii ale certificării sunt:
Indică în mod clar conformitatea cu cerinţele standardului ISO/IEC 27001;
Îmbunătățeste credibilitatea şi consolidează încrederea clienţilor;
Reduce necesitatea evaluărilor multiple;
Oferă posibilitatea de îmbunătăţire continuă prin audituri independente, regulate;
Oferă mai multe căi pentru comerţul pe piaţa mondială prin intermediul unor acorduri bilaterale şi multilaterale în baza recunoaşterii reciproce a certificării.
Beneficiile clienților și partenerilor de afaceri ale unei organizaţii certificate sunt:
Asigură clientul asupra capacității continue a furnizorului certificat de a îndeplini cerinţele de securitate a informaţiei prin supraveghere regulată;
Elimină sau reduce, după caz, nevoia de evaluare şi de control asupra furnizorului privind modul în care acesta realizează managementul securităţii informaţiilor;
Simplifică procedurile de cumpărare şi deciziile de achiziție.