Pre Zen Tare Securitatea Informatiei CNVM

8/2/2019 Pre Zen Tare Securitatea Informatiei CNVM

1/13

AVANTAJELE IMPLEMENTRII SISTEMULUI DE MANAGEMENTAL SECURITII INFORMAIEI

n conformitate cu standardele:

ISO27001-Sisteme de Management al Securitii Informaiei

ISO27002-Tehnici de Securitate. Cod de Bun Practic Pentru Managementul Securitii Informaiei

Certificarea Securitii Informaiei - ISO 27001i efectul certificrii asupracerinelor instruciunii privind auditarea sistemelor

informatice utilizate de entitile autorizate, reglementate i supravegheate deComisiaNaional a Valorilor Mobiliare

www.iso27001consulting.ro


2/13

Proiectul privind completarea i modificarea instruciuniiCNVM Nr.2/2011

n data de 23.11.2011 CNVM a publicat proiectul de modificare a instruciunii Nr.2/2011 care urmeazs intre n vigoare:

http://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdf

Proiectul prevede corganizaiile supravegheate de CNVM pot alege intre auditul de unauditor IT certificat CISA i certificarea ISO 27001 de ctre un organism de certificare

acreditat.

Opiunea de a implementa i certifica ISO 27001 Sistem de Management al SecuritiiInformaiei are urmtoarele avantaje: Asigurprotecia tuturor informaiilororganizaiei ntr-un mediu controlat; Cost, de obicei, mai puin dect auditul specializat CISA; Ofer organizaiei posibilitatea de a alege organismul de certificare dorit (cu o

reputaie i un renume recunoscute la nivel naional i o experien n certificareaISO27001 la nivelul sutelor de firme); Este un activ al organizaiei care asigur protecia continu a resurselor companiei,

chiar idup auditul de certificare; Asigur ndeplinirea anumitor condiii de participare la licitaii publice.

http://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-Instructiunea-2-2007.pdf


3/13

ISO 27001 - Sisteme de management alsecuritii informaiei. Cerine

Ce reprezint ISO 27001?

ISO27001 este standardul de certificare pentru SMSI.

Standardul ISO27001 stabilete cerinele i criteriile pentruimplementarea, operarea, monitorizarea, revizia, mentenanai mbuntirea sistemului de management al securitiiinformaiilor n contextul riscurilor de ansamblu la care estesupusorganizaia.

De asemenea, sistemul de management al securitiiinformaiilor ofer managerilor un control mai bun asuprafluxurilor de informaii din organizaie i reduce costurileaferente managementului riscului.



4/13

Ce implic certificarea ISO 27001

Certificarea SMSI implic implementarea cerinelor standardului ISO27001 i documentarea proceselor i procedurilor organizaionale.

Pentru eficiena implementrii se apeleaz la consultani externi cum esteISO27001CONSULTING.

Implementarea ISO 27001 dureaz de obicei ntre 3 i 6 luni pentruorganizaii de mrime medie.

Dup implementare se alege organismul de certificare ISO acreditat:http://www.renar.ro/ro/oec/

Certificarea presupune un audit de 1 sau 2 zile i o reevaluare anual de ozi.

Dup auditul de certificare i rezolvarea observaiilor formulate de auditorse obine certificatul ISO 27001 SMSI.

http://www.renar.ro/ro/oec/http://www.renar.ro/ro/oec/http://www.renar.ro/ro/oec/http://www.renar.ro/ro/oec/http://www.renar.ro/ro/oec/http://www.renar.ro/ro/oec/http://www.renar.ro/ro/oec/http://www.renar.ro/ro/oec/http://www.renar.ro/ro/oec/


5/13

Cui i se aplic instruciunea?

Instruciunea se aplic urmtoarelor categorii de entiti autorizate,reglementate isupravegheate de C.N.V.M.,denumite n continuare entiti:

a) organisme de plasament colectiv care se autoadministreaz;

b) depozitari centrali, case de compensare/contrapri centrale;

c) societi de servicii de investiii financiare (S.S.I.F.) ncadrate la art.7din Legea nr.297/2004, cu modificrile i completrile ulterioare,inclusiv sucursale ale firmelor de investiii din alte statemembre;

d) traderi;

e) societi de administrare a investiiilor, inclusiv sucursale ale societilorde administrare ainvestiiilordin alte state membre;

f) fondul de compensare a investitorilor;

g) operatori depia/operatori de sistem;

h) instituiile de credit autorizate de Banca Naional a Romniei (BNR)carepresteaz servicii deinvestiii financiare pepiaa de capital;

i) alte entiti nominalizate de C.N.V.M. prin acte normative. www.iso27001consulting.ro


6/13

Avantajele Implementrii Sistemului deManagement al Securitii Informaiei

Pstrareaconfidenialitii,integritiii a disponibilitiiinformaiei; mbuntireareputaieii ncrederii n organizaie;

Asigurarea conformitii legale i reducerea riscului penalizrilor;

Scderea costurilor IT;

Asigurarea instruirii continue a angajailor n materie de pstrare aconfidenialitiiinformaiei;

Posibilitatea oferirii unor servicii de calitate n timp optim;

Ofer managerilor un control mai bun asupra fluxurilor de informaiidin organizaie;

Sunt identificate i inute sub control riscurile care pot afectaactivitatea organizaiei;

Ofer posibilitatea comparriiperformanei sistemului IT n raport cumedia din industrie;



7/13

De ce s ne alegei pe noi?

ISO27001Consulting este unul dintre cei mai buni consultani n securitatea informaieii a colaborat cu peste 50 de organizaii care i-au obinut certificarea SMSI i i-auasigurat un nivel adecvat de protecie a avantajului competitivi a informaiilor.

Vasigurm:

Implementarea controalelor de securitate n conformitate cu ISO27001;

Raport centralizat de analiza SWOT din perspectiva securitii informaiei asupra

practicilor din organizaie; Teste de vulnerabilitate a sistemului informatic al organizaiei i plan de msuri de

remediere imbuntire;

Recomandri privind achiziia de echipamente i software pentru mbuntireasistemului IT&C;

Suport n alegerea soluiei de backup automatizat al informaiei organizaiei i

implementarea practicilor de continuitate a afacerii. Pentru informaii suplimentare referitoare la implementarea i certificarea SMSI

contactai-ne la:


Tel: (+40) 744-917-771

http://www.iso27001consulting.ro/http://www.iso27001consulting.ro/


8/13

Care suntAmeninrile i Costurile posibile ale lipsei implementriieficace a Sistemului de Management al Securitii Informaiei?

Divulgarea informaieiconfideniale.

ntreruperi n activitate: nefuncionarea reelei de calculatoare i imposibilitateaaccesrii serverelor i aplicaiilor. Informatizarea tot mai mare a sistemelorinformaionale duce la imposibilitatea desfurrii activitilor n timpulindisponibilitii sistemului IT.

Pierderea ncrederii clienilori partenerilor: practica demonstreazcorganizaiileatacate de hackeri au pierdut reputaiai ncrederea is o recapete le-a fost foartegreu, sau chiar imposibil.Clienii, asiguratorii i partenerii vor evita s colaboreze cu o organizaie care nueste n stare s protejeze adecvat informaiile. Directiva 2002/58/EC aParlamentului European privind procesarea datelor personale, interzicecomunicarea informaiilor personale unei organizaii care nu poate asigura

confidenialitatea acestora.

Costuri Financiare: Legislaia n vigoare prevede rspundereajuridicifinanciarpentru pierderea confidenialitii datelor clienilor.



9/13

Ce efecte a avut pierderea confidenialitiidatelor n 2010?

n 2010 costul mediu al pierderii uneinregistrri a ajuns la 204$, ceea censeamnc pentru 1000 denregistrri divulgate costul se poate ridica la 204000$.(conformPonemon Institute's annual study 2010).

n 2010

96% din compromiteri puteau fi evitate prin controale simple de securitate;

94% din pierderile de confidenialitate ale datelor au fost cauzate de aciuni ale propriilorangajai;

61% din cazuri au fost descoperite de pritere;

27% din cazuri au implicat mai multe pri, iar 11% din cazuri au implicat parteneri deafaceri;

Au fost fcute publice la nivel internaional 494 cazuri de pierderi a confidenialitii informaiei - de dou ori mai multe fa de 2009, fiind divulgate 14 milioanenregistrri;

(conform http://www.privacyrights.org/data-breach/newiVERIZON 2010 DATA BREACH INVESTIGATIONS REPORT )

http://www.privacyrights.org/data-breach/newhttp://www.privacyrights.org/data-breach/newhttp://www.privacyrights.org/data-breach/newhttp://www.privacyrights.org/data-breach/new


10/13

Legislaie care oblig protecia datelor cu caracterpersonal

A. Legislaiecomunitar

Directiva 95/46/EC a Parlamentului i a Consiliului European din 24.10.1995 cu privire la proteciapersoanelor referitoare la procesarea datelor personale i la libera circulaie a acestor date (OJL 281,23.11.1995, p.31);

Directiva 2002/58/EC a Parlamentului European i a Consiliului din 12.07.2002 privind procesarea

datelor personale i protecia intimitii n sectorul comunicaiilor electronice;

B. Legislaieintern

Legea nr. 677/2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter personali libera circulaie a acestor date;

Legea nr. 682/2001 privind ratificarea de ctre Romnia a Conveniei pentru protejarea persoanelorfa de prelucrarea automatizat a datelor cu caracter personal, adoptat la Strasbourg la 28 ianuarie

1981; Legea nr. 102/2005 privindnfiinareaAutoritiiNaionale de Supraveghere a PrelucrriiDatelor cu Caracter Personal.



11/13

Obiectivele Sistemului de Management al SecuritiiInformaiei ISO 27001

Confidenialitate

Integritate

Disponibilitate

SECURITATEAInformaiei

Informaiile pot existasub diferite forme. Ele pot

fi tiprite sau scrise pehrtie, stocate electronic,transmise prin pot sauprin echipamenteelectronice, prezentate pefilme sau comunicate ncadrul unor conversaii.Orice form ar aveainformaiile sau oricemetode de stocare ar fifolosite, ele trebuie s fie ntotdeauna protejatecorespunztor.



12/13

Obiectivele Sistemului de Management al SecuritiiInformaiei

Confidenialitateproprietatea ca informaia s nu fie fcut disponibil saudivulgat persoanelor, entitilor sau proceselor frautorizare.

Integritateproprietatea de a pstra acurateea coninutului informaiei,iar modificarea acesteia s fie posibil doar n circumstaneautorizate.

Disponibilitateproprietatea de a fi accesibil i utilizabil la cerere de ctre oentitate autorizat la momentul i locul potrivit.



13/13

11 Domenii de control ale ISO27001

A.5 POLITICA DESECURITATE

A.6 ORGANIZAREASECURITATIIINFORMATIEI

A.7 MANAGEMENTULRESURSELOR(BUNURILOR)

A.8 SECURITATEA

RESURSELOR UMANE

A. 9 SECURITATEAFIZICA SI A MEDIULUIA.10 Managementul

comunicatiilor sioperatiilor

A.11 Controlul accesului

A.12 Achizitia,dezvoltarea si

mentenanta sistemelorinformatice

A.13 Managementulincidentelor de securitate

a informatiei

A.14 Managementulcontinuitatii afacerii

A.15 Conformitate


Date post:	06-Apr-2018
Category:	Documents
Upload:	vavvav
View:	226 times
Download:	0 times

Pre Zen Tare Securitatea Informatiei CNVM

Documents