Sistemul de Management al Securitatii Informatiei

Informatia este lucrul cel mai de pret al unei organizatii, practic fara informatie nu se poate lucra. Informatia poate fi sub 2 forme: notata pe hartie si stocata electronic sau ar mai putea fi prezentata in filme. Fiind un lucru foarte important, informatia, este si foarte cautata. Cei interesati speculeaza toate oportunitatile, de la divulgari accidentale si pana la cele rau voitoare din interiorul organizatiei si cumparate de cei din afara. De aceea este imperios necesara, la toate organizatiile, existenta unei politici de securitate a informatiei constand in tehnologii noi (de ultima ora) de stocare a informatiei, de confidentialitate si de integritatea si loialitatea celor ce au acces la aceste informatii. De aici rezulta importanta includerii in sistemul de management a securitatii informatiei. Este necesara aceasta includere din mai multe motive, in primul rand datorita faptului ca informatia a capatat un volum din ce in ce mai mare si nevoia de accesare a acesteia este foarte rapida, din alt punct de vedere informatia trebuie stocata si arhivata in asa fel incat sa fie securizata atat in privinta personalului care are acces la acesta cat si faptul ca trebuie sa fie in concordanta cu legislatia in vigoare referitoare la protectia informatiilor. In acest fel se face si protectia informatiei impotriva accesului neautorizat, a virusarii acesteia cat si inpotriva dezastrelor naturale, si minimizarii daunelor posibile.

Securitatea informatiilor, in functie de importanta acestora, a fost clasificata in patru nivele de securitate:

SEC 1 fiind primul nivel de securitate cu impact major in importanta activitatii intreprinderii. Aici fiind vorba de date despre produse sau activitati ce sunt vitale pentru întreprindere si la care are acces doar un grup restrans de persoane cu drept de utilizare a acestor date;

SEC 2 al doilea nivel de securitate aici fiind cuprise date ce nu pot fi utilizate de angajatii firmei, deoarece ar putea aduce prejudicii firmei ajungand chiar pana la diminuarea profitului si cu efecte nefaste fata de concurenta;

SEC 3 cel de al treilea nivel de securitate, se refera la securizarea datelor inpotriva accesului din exterior la acestea, dar care nu poate produce efecte negative majore;

Cel de al patrulea nivel cuprinde date neclasificate din punct de vedere al securitatii. Acestea sunt in majoritate in orice întreprindere si nu necesita o protectie speciala comparativ cu celelalte.

Pentru securizarea datelor este necesar a se cunoaste cat de repede se pot stoca acestea, cat de repede si de protejat se poate ajunge la ele, modul de acces si locul unde se vor stoca.

Avand in vedere importanta implementarii in management a informatiilor ca o strategie de gestionare a riscului a fost publicat, de ISO, noul standard cu o privire de ansamblu asupra Sistemului de Management al Securitatii Informatiilor (ISMS). Acesta inplica atat angajatii cat si procesele si sistemele IT.

Standardele ISO (ISO/ IEC 27000; ISO/IEC 27000/2009) au ca scop sa ajute organizatiile in obtinerea unui nivel inalt al securitatii informatiilor. Aceste standarde, prin tehnicile de securitate, prin tehnologia informatiei si sistemele de management al informatiilor ajuta organizatiile sa inteleaga conceptele fundamentale si principiile de inbunatatire a cantitatii informatiilor culese. Toate standardele acestea sunt aplicabile la toate marimile si tipurile de organizatii si pentru aceasta este nevoie de existenta unei Politici de Securitate a Informatiei pentru toate organizatiile.

Predecesorul ISO/IEC 27000-2005 si anume (ISMS) BS 7799 (Standardul pentru Securitatea Informatiei) este unul din cele mai cerute standarde. Sistemul de Management al Securitatii Informatiilor (SMSI) reprezentand o abordare sistematica a gestionarii informatiilor in vederea protejarii acestora. Sistemul SMSI se bazeaza pe abordarea riscurilor la care este expusa organizatia, avand ca scop monitorizarea, inplementarea si revizuirea imbunatatirea securitarii informatiei.

Standardul BS 7799, a fost unul britanic si avea doua parti:

BS 7799-1 care mai tarziu a devenit ISO/IEC 17799 era un cod de practica pentru Managementul Securitatii Informatiei care stabilea principiile generale pentru initierea, implementarea si imbunatatirea acestuia.

BS 7799-2 care reprezenta standardul de certificare a unei organizatii si pe baza caruia s-au stabilit standardele internationale de certificare pentru urmatoarele SMSI si anume ISO 27001si ISO/IEC 27001-2005. Acestea stabilesc cerintele unui Sistem de Management al Securitatii Informatiei ce ajuta la identificarea si minimizarea amenintarilor ce afecteaza informatia.