Date post: | 02-Aug-2015 |
Category: |
Documents |
Upload: | ioan-victor-dragan |
View: | 811 times |
Download: | 14 times |
w w w . t u v . r o1
w w w . t u v . r o
010561 BucureştiCalea Dorobanţilor 103-105
Tel.: 021-3188834Fax: 021-3188835
www.tuv.ro
TÜV Rheinland Romania
w w w . t u v . r o2
w w w . t u v . r o
Sistemul de Management al Securitatii
Informatiilor– In era comunicatiilor Infrastructura IT constituie o resursa
critica in dezvoltarea afacerii iar informatiile sunt vitale pentrudezvoltarea activitatii organizatiei.
- Informatia reprezinta un bun al afacerii care trebuie protejat
- Informatiile trebuiesc protejate corespunzator de o gama largade amenintari pentru a se putea asigura continuarea afacerii, sia minimiza pierderile
- Informatia poate fi stocata astfel:- Pe suport electronic- Pe suport neelectronic
w w w . t u v . r o3
w w w . t u v . r o
Securitatea Informatiilor
Protejarea informatiilor (datelor) impotrivaamenintarilor are ca scop :
• Asigurarea supravietuirii companiei
• Minimizarea potentialelor daune de ordin financiar
• Maximizarea profitului si perspectivele organizatiei
w w w . t u v . r o4
w w w . t u v . r o
� Sistem de management pentru securitatea informatiei
: acea parte a unui sistem general de management, care se
bazeaza pe abordarea riscului afacerii, in scopul stabilirii,
implementarii, functionarii, monitorizarii, analizei, mentinerii
si imbunatatirii securitatii informatiei
w w w . t u v . r o5
w w w . t u v . r o
Seria de standarde 27000
ISO 27000
Contine un set de definitii si vocabular pentru securitatea informatiilor
ISO 27001:2005
Tehnologia Informatiei – Tehnici de Securitate – Sistemul de Management al Securitatii Informatiilor – Cerinte
Versiunea finala a ISO 27001:2005 a fost publicata in octombrie 2005
Ce reprezinta ISO 27001:2005 ?Referential pentru certificarea ISMS
Inlocuieste standardul BS 7799-2
Este armonizat cu ISO 9001:2000 si ISO 14001
w w w . t u v . r o6
w w w . t u v . r o
ISO 27002 ISO 17799:2005
Tehnologia informatiei- Cod de practica pentru managementulsecuritatii informatiei
British Standard Institute (BSI) a publicat in 1995 BS 7799-1 iarin anul 2000 a devenit ISO 17799.
ISO 17799 a fost revizuit in iunie 2005In acest standard sunt precizate recomandari pentru
managementul securitatii informatiilor pentru a fi de folos celorcare sunt responsabili pentru initierea, implementarea saumentinerea ISMS in organizatia lor.
Ca si ISO 9001 acest standard este relevant pentru toate tipurile de organizatii indiferent de tipul si marimea acestora.
w w w . t u v . r o7
w w w . t u v . r o
ISO 27003 - Ghid de implementare pentru seria de standarde27000
ISO 27004 – Indicatori de eficienta ISMS
Acest standard vine in ajutorul organizatiilor cu un set de masuri si indicatori de masurare si raportare a eficientei in cadrul sistemului de management al securitatii informatiilor
w w w . t u v . r o8
w w w . t u v . r o
ISO 27005 – Managementul riscului (BS 7799-3)
Inlocuieste BS 7799-3:2005 – Sisteme de management al securitatii informatiilor – ghiduripentru implementarea managementului riscului si estedefapt un nou standard britanic aparut in decembrie2005. ISO 27005Se anticipeaza ca BS 7799-3:2005 va fi adoptat ca standard ISO si va deveni ISO 27005.
ISO 27006 - Disaster recovery – Business Continuity Plan
w w w . t u v . r o9
w w w . t u v . r o
ISO 27001:2005
Capitole:
0). Introducere
1). Scop
2). Normative si referinte
3). Termeni si definitii
4). Sistemul de Management al Securitatii Informatiilor
5). Responsabilitatea managementului
6). Analiza de management a ISMSI
7). Imbunatatirea ISMSI
Anexa A (normative) obiectivele de control si controale
Anexa B (informatii) Organizatia pentru dezvoltare si cooperareeconomica, principiile standardului modelul PDCA
Anexa C (informatii) corespondenta intre ISO 9001:2000, ISO 14001:2004 si acest standard
w w w . t u v . r o10
w w w . t u v . r o
Managementul Securitatii include:
- Clasificarea informatilor
- Organizarea structurii de securitate in organizatie (ierarhia)
- Ghiduri
- Standarde (aplicabile in organizatie)
- Politicile de securitate
- Proceduri
- Managementul Riscului
- Educatia personalului privind securitatea informatiilor
w w w . t u v . r o11
w w w . t u v . r o
Clasificarea informatiilor
Ierarhizarea informatiilor in functie de importanta (valoare)
Ghiduri de clasificare (Informatiile trebuie clasificate in functie de valoare, cerinte legale, sensibilitate ..)
Informatii
- Pe suport electronic
- Pe suport neelectronic
w w w . t u v . r o12
w w w . t u v . r o
Informatii pe suport electronic
• Servere,
• Statii de lucru,
• CD-uri, Dischete, unitati de stocare externa,
• Posta electronica (mail)
• Web
• etc.
w w w . t u v . r o13
w w w . t u v . r o
Informatii pe suport neelectronic
• Dosare
• Scrisori
• Fax-uri
• Carti
• Afise
• etc.
w w w . t u v . r o14
w w w . t u v . r o
Organizarea structurii de securitate in organizatie
Ierarhizare a functiilor la nivelul organizatiei
Ex.- Manager
- Responsabilul cu securitatea informatiilor in organizatie (CIO)
- Responsabili cu securitatea pe departamente
- etc
w w w . t u v . r o15
w w w . t u v . r o
Ghiduri - Standarde
Ghiduri de folosire
Standardele aplicabile in organizatie
w w w . t u v . r o16
w w w . t u v . r o
Politici de securitate
Managementul organizatiei trebuie sa stabileasca niste reguli,
politici de securitate in cadrul organizatiei astfel incat fiecare
angajat, salariat sa ia la cunostinta, si sa respecte aceste reguli.
Aceasta politica trebuie comunicata utilizatorilor intr-o forma
clara concisa si accesibila.
w w w . t u v . r o17
w w w . t u v . r o
Definirea Politicilor de Securitate
Asigurarea securitatii retelei presupune adoptarea unui set de norme, reguli si politici, care sa nu lase nimic la voiaintimplarii.
Intr-o retea de calculatoare modelul de securitate presupune treinivele si anume :
- Securitatea fizica
- Nivele logice de securitate
- Conectare sigura
w w w . t u v . r o18
w w w . t u v . r o
.
Politicile de securitate vin in ajutorul administratorilor de retea sia utilizatorilor pentru a evita situatiile neprevazute.
Cele mai importante politici de securitate sunt:
- Prevenirea
- Autentificarea
- Instruirea
w w w . t u v . r o19
w w w . t u v . r o
.- Prevenirea: este cea mai buna politica de protejare a datelor. Prin
prevenirea accesului neautorizat in retea, datele vor fi in siguranta;
- Autentificarea: este politica prin care se asigura prima linie de aparareimpotriva utilizatorilor neautorizati. Asta inseamna ca accesul intr-o reteanecesita un nume de utilizator valid si o parola.
- Instruirea: este o politica pe care administratorii de retea trebuie sa o promoveze permanent in randul utilizatorilor. In acest sens administratoriide retea trebuie sa elaboreze un set de reguli (ghid) clar, concis, cu notiunilepe care utilizatorii trebuie sa le cunoasca cu privire la procedurile de operaresi asigurare a securitatii in retea.
w w w . t u v . r o20
w w w . t u v . r o
Proceduri
Set de reguli stabilite la nivelul companiei.
Ex.
Etichetarea si manipularea informatiilor (proceduri de etichetare si manipulare)
w w w . t u v . r o21
w w w . t u v . r o
Managementul riscului
- Managementul riscului - activitatile de conducere si control ale unei organizatii din punct de vedere al riscului
- Analiza de risc identifica bunurile companiei, descopera eventualele amenintari asupraacestora si calculeaza riscul, estimandposibilele daune si potentialele pierderi ale companiei daca aceste amenintari devinposibile (reale)
w w w . t u v . r o22
w w w . t u v . r o
Rezultatul unei analize de risc, ajuta managementulpentru alocarea unui buget atat cat este necesar pentruprotejarea bunurilor, identificarea amenintarilor sidezvoltarea unei politici de securitate aplicabile in companie.
Implicarea managementului este factorul hotarator in implementarea unui Sistem de management al securitatii informatiilor in companie
w w w . t u v . r o23
w w w . t u v . r o
- Tratarea riscului - proces de selectie si implementare a masurilor de control pentru reducerea riscului
- Amenintare - cauza potentiala a unui incident care poate provoca daune
- Vulnerabilitate - slabiciune a unui bun sau grupuri de bunuri care poate fi exploatata de o amenintare
- Impact - daunele cauzate de un incident
w w w . t u v . r o24
w w w . t u v . r o
Etapele procesului de analiza a riscurilor
- Identificarea si evaluarea bunurilor
- Identificarea cerintelor de securitate
- Evaluarea probabilitatilor de manifestare a amenintarilor si vulnerabilitatilor
- Calculul riscurilor
- Alegerea optiunilor de tratare a riscurilor
- Alegerea masurilor de control pentru reducereariscurilor la un nivel acceptabil
w w w . t u v . r o25
w w w . t u v . r o
Identificarea bunurilor
ISO17799
ResponsabilitateaClasificarea
Inventarul bunurilor
IdentificareLocalizareDetinator(responsabil)Bunuri informaticeDocumente pe hârtieSoftwareBunuri fizicePersoaneImaginea organizatieiServicii
w w w . t u v . r o26
w w w . t u v . r o
Evaluarea bunurilor
Daunele potentiale
- Valoare- Divulgare- Modificare/distrugere- Indisponibilitate
Felul daunelor
- Financiare- Reducere profit- Reducere cota piata- Afectare imagine
w w w . t u v . r o27
w w w . t u v . r o
Educatia privind securitatea informatiilor
Educatia angajatilor companiei a devenit o practicauzuala.
Aceasta educatie se face cu scopul de a apara intereselecompaniei
(Scolarizari si testari periodice)
w w w . t u v . r o28
w w w . t u v . r o
Responsabilul cu securitatea informatiilor din organizatie trebuiesa se asigure ca obiectivele Sistemului de Management al Securitatii Informatiilor sunt implementate.
Urmatoarele controale trebuie utilizate pentru implementarea unuisistem de management al securitatii informatiilor:
- Controale administrative
- Controale tehnice
- Controale fizice
w w w . t u v . r o29
w w w . t u v . r o
Controale administrative
Includ dezvoltarea si publicarea
- politicilor,
- standardelor,
- procedurilor si ghidurilor de utilizare,
- selectarea personalului, inclusiv scolaizari
- Implementarea procedurilor schimbarilor in organizatie
w w w . t u v . r o30
w w w . t u v . r o
Controale tehnice
- Implementarea si mentinerea unui mecanismde control acces, parole
- Echipamente de securitate
- Configurari
w w w . t u v . r o31
w w w . t u v . r o
Controale fizice
- Controlul accesului in cladiri
- Protejarea perimetrelor
- Monitorizarea intruziunilor
- Controale privind mediul inconjuraor
w w w . t u v . r o32
w w w . t u v . r o
Controale fizice:
Controale tehnice
Controale administrative
Datele companiei
si bunurile
w w w . t u v . r o33
w w w . t u v . r o
Principiile de baza ale securitatii informatiilor• Confidentialitatea:
- Asigurarea ca informatia este accesibila numaipersoanelor autorizate
- Integritatea:
- Pastrarea acuratetei si completitudinii informatieiprecum si a metodelor de procesare
- Disponibilitatea:
- asigurarea faptului ca utilizatorii autorizati au acces la informatie si la resurse atunci cind este necesar
w w w . t u v . r o34
w w w . t u v . r o
Disponibilitatea
Obiectivele
sec. inf.
Integritatea Confidentialitatea
w w w . t u v . r o35
w w w . t u v . r o
Amenintari la adresa informatiei
• Cauze umane:
Eroare/Neglijenta
Furt
Hacking, Cracking, Social engineering
Malware
Sabotaj
Spionaj
Terorism
w w w . t u v . r o36
w w w . t u v . r o
.
Cauze legate de costuri:
– Lipsa de personal calificat
– Minimizarea proceselor de testare a sistemelor sauprogremelor folosite
– Procese inadegvate de productie / service / distributie
w w w . t u v . r o37
w w w . t u v . r o
.
Cauze tehnice:
Hardware / Software
w w w . t u v . r o38
w w w . t u v . r o
.
Cauze externe:
Dezastre naturale
incidente
accidente
terorism
w w w . t u v . r o39
w w w . t u v . r o
Securitate fizica si a mediului:
– atac cu bomba
– incendiu
– cutremur
– contaminare mediu
– inundatie
– fulger
– furt
– vandalism
w w w . t u v . r o40
w w w . t u v . r o
Securitatea echipamentului:
– cadere alimentare
– incendiu
– inundatie
– eroare de intretinere
– soft daunator
– accesul persoanelor neautorizate la retea
– furt
– eroare de utilizare
– defectiune sistem de racire
– vandalism
w w w . t u v . r o41
w w w . t u v . r o
Planificarea continuitatii afacerii
– Lipsa personal
– Vandalism
– Incendiu
– Cutremur
– Inundatii
– fulger
w w w . t u v . r o42
w w w . t u v . r o
Conformitatea cu cerintele legale
– utilizarea de software ilegal
– accesul persoanelor neautorizate la retea
– penetrarea comunicatiilor
– Interceptarea
– import/export de software ilegal
– substituirea identitatii
w w w . t u v . r o43
w w w . t u v . r o
Exemple de vulnerabilitatiSecuritate fizica si a mediului
- Controlul accesului in cladiri si birouri necontrolat – poate conduce la sabotaj
- Lipsa protectiei fizice a cladirii – (ex. camere video, etc) – furt
- Amplasarea cladirii intr-o zona vulnerabila la inundatii, foc,…etc
- Depozitarea necontrolata – furt
- Lipsa unei proceduri de stocare a informatiilor (ex. inf. ref. la personal, datele acestora care sunt confidentiale)
w w w . t u v . r o44
w w w . t u v . r o
Securitatea personal- absenta personalului autorizat;
- nesupravegherea personalului de intretinere (furt);
- instruirea insuficienta sau neadegvata a politicilor de securitate;
- documentatii insuficiente cu privire la utilizarea echipamentelor si a programelor;
- lipsa unui mecanism de monitorizare (echipamente si utilizare software neautorizat);
- lipsa procedurilor de utilizare a comunicatiilor (utilizarea retelei si a liniilortelefonice in mod neautorizat – exemplu Social Engineering);
- selectarea inadegvata de personal (poate conduce la sabotare sau utilizareainadegvata)
w w w . t u v . r o45
w w w . t u v . r o
Administrarea calculatoarelor, severelor,
echipamentelor de comunicatie si a retelei– linii de comunicatie neprotejate – interceptare – ex. serviciul connex– puncte de conexiune neprotejate (ex. fire de retea,….prize …);– lipsa mecanismelor de identificare a utilizatorilor (substituirea
identitatii) ex man in the middle);– transferul parolelor – accesarea retelei de catre persoane neautorizate
(ex. utiliz. care isi scriu parola pe un postit lipit de monitor – sau cuvintelegate de numele pers, sau data de nastere …exemple de hacking);
– administrarea neadegvata a retelei;– lipsa unor mecanisme de evidenta transmitere / primire (ex. fax,
mail…etc);– lipsa service sau service neadegvat;– lipsa protectiei impotriva caderilor de tensiune sau fluctuatilor de
tensiune
w w w . t u v . r o46
w w w . t u v . r o
Control acces- interfata de acces a utilizatorului complicata (posibilitatea
de erori);
- administrare defectuoasa a parolelor (posibilitatea de substituire a identitatii);
- lipsa controlului la download si upload de informatii sisoftware;
- lipsa unui control adegvat al modificarilor;
- lipsa unor proceduri de stergere a mediilor de stocare in vederea reutilizarii
w w w . t u v . r o47
w w w . t u v . r o
Cerinte legale, contractualelegate de securitate
– Datele personale (serviciul personal – date personale confidentiale) drepturi de autor / licente;
- informatii clasificate;
- date organizationale (structura organizatorica a intreprinderii);
- cerinte contractuale (date privind contractele – tarife – conditii –clauze);
– documente sau informatii legate de organizatie, parteneri, furnizori. etc
w w w . t u v . r o48
w w w . t u v . r o
Relatia dintre componentele securitatiiinformatiilor
Agent
amenintator
Amenintare
Poate crea
Vulnerabilitate
Expluateaza
Risc
Creaza
Bunul
Poate distruge
ExpusPoate fi
Dispozitive de
siguranta
(protejare, paza, etc)
Afecteazadirect
w w w . t u v . r o49
w w w . t u v . r o
Furturi de echipamenteLipsa pazaIntrus
Blocarea sistemelor, afectareadisponibilitatiiserviciilor
Lipsa setarilor firewall, detectarea intruziunilor.Cracker
Divulgarea inf.Accesul lejer la informatiiContract de mentenanta retea
Partajarea inf (Sharing)Lipsa programelor de instruire. Lipsa auditAngajati
Distrugeri ale bunurilorLipsa stingatoarelorFoc
Defectiuni ale sist.Configurarea neadegvata a parametrilor sist. de operareUtilizatori
Acces neautorizat la inf. Confid.
Rularea de programe pe server, calcHacker
Infectarea sistemuluiLipsa unui program antivirusVirus
RezultatulPoate genera o vulnerabilitateAgent
amenintator
w w
w . t u
v . r o50
w w
w . t u
v . r o
.Nivel de importanta
Nivelde probabilitate
Foc
Fenomenenaturale(furtuni)
Atac pe internet
Folosirea inadegvata a internetului
Erori de utilizare
w w w . t u v . r o51
w w w . t u v . r o
MODELUL PDCA
Stabilirea – se stabileste ce anume trebuie facut, intelegereacerintelor si stabilirea politicilor de securitate si obiectivele de securitate.
Implementarea – implementarea sistemul
Operarea – se opereaza conform procedurilor si politicilorstabilite
Monitorizarea – se monitorizeaza prin inregistrari, loguri, procesul SMSI
Mentinerea – se mentine in permanenta SMSI
Imbunatatirea – se imbunatateste in permanenta SMSI
w w w . t u v . r o52
w w w . t u v . r o
MODELUL PDCA
w w w . t u v . r o53
w w w . t u v . r o
MODELUL PDCA
• PLAN
• definirea ariei de aplicare a politicii,
• identificarea si evaluarea riscurilor,
• managementul riscurilor prin obiective si controale
w w w . t u v . r o54
w w w . t u v . r o
MODELUL PDCA
Implementarea DO
- implementarea unor planuri de combatere a riscurilor posibile
- implementarea controalelor selectate pentru atingereaobiectivelor
w w w . t u v . r o55
w w w . t u v . r o
MODELUL PDCA
Controleaza - Verifica ( Ceck )
• - procedurile de monitorizare
• - revizii periodice ale SMSI
• - revizii ale nivelelor de risc (risc acceptat)
• - audituri interne
• Nu este deajuns sa se implementeze si sa se monitorizeze SMSI.
• El trebuie mentinut si imbunatatit in permanenta
w w w . t u v . r o56
w w w . t u v . r o
MODELUL PDCA
Actioneaza ( Act )
• - implementeaza imbunatatirile adegvate in SMSI
• - Actiuni corective si preventive
• - comunica actiunile
• - validarea imbunatatirilor
w w w . t u v . r o57
w w w . t u v . r o
1 Scop
Acest standard se refera la toate tipurile de organizatii indiferentde marimea si domeniu de activitate
Standardul specifica cerinte pentru :
- stabilirea (establish)
- implementarea
- monitorizarea
- analiza (review)
- mentinerea
- imbunatatirea
unui SMSI documentat in contextul riscurilor in afaceri
w w w . t u v . r o58
w w w . t u v . r o
Scop
Acest standard specifica cerintele pentru implementarea
controalelor de securitate personalizate in functie de specificul
organizatiilor sau ale partilor interesate.
SMSI este proiectat sa asigure controale de securitate adegvate si
proportionate care sa asigure o protectie adegvata bunurilor
informationale si sa dea incredere partilor interesate.
w w w . t u v . r o59
w w w . t u v . r o
EvenimenteObiectivele afacerii
Oportunitati ale afacerii
Cerinte externe
Regulamente
Risc
Date
Tehnologie
Facilitati
Oameni
Mesajede
intrare
Serviciide
iesire
InformatiiEficiente
Confidentiale
Integritate
Disponibilitate
Incredere, siguranta
w w w . t u v . r o60
w w w . t u v . r o
Beneficiile implementarii si certificarii conform
standardului
ISO 27001:2005- O politică de securitate a informaţiilor specifică companiei dvs.- Un plan de continuitate al afacerii şi de recuperare in caz de dezastru, adecvatorganizaţiei- Reducerea riscurilor operaţionale şi prevenirea acţiunilor în instanţă- Creşterea productivităţii- Siguranţă în exploatarea sistemelor informatice- Practici eficiente de recrutare a personalului
- creşterea profesionalismul angajaţilor
- protejarea principalelor valori/bunuri ale companie
- menţinerea disponibilităţii şi performanţei sistemelor informatice,
w w w . t u v . r o61
w w w . t u v . r o
Beneficiile implementarii si certificarii
- reducerea riscului vulnerabilităţilor ce ar putea fi exploatate şi mai ales timpii de nefuncţionare
- îmbunătăţirea sistemului de prevenire şi tratare a incidentelor de securitatea informaţiilor.
- Imaginea pe piaţă a companiei dvs. se va schimba radical
- Increderea celor cu care veţi dori să încheiaţi afaceri de succes şiprofitabile.
- Stabilirea unui sistem documentat de reguli, responsabilitati, comunicare, masurare, monitorizare, pentru tot personalul organizatiei
- informaţiile confidenţiale şi vitale pentru derularea afacerii vor fi securizate
w w w . t u v . r o62
w w w . t u v . r o
De ce certificare SMSI ?
- Instrument de imbunatatire si consolidare a pozitiei de piata
- Sporirea increderii clientilor in modul in care organizatia dvs gestioneazainformatiile referitoare la acestia
- Cerinta contractuala;
- Participare la licitatii;
- Conexiunea cu legea Informatiilor Clasificate;
- NATO – Aderarea la UE;
- Integrarea cu alte sisteme de management ale organizatie: de ex: sistemul de Management al Calitatii
w w w . t u v . r o63
w w w . t u v . r o
Protectia informatiilor clasificate
Legi si Reglementari
- Legea nr 182/12.04.2002 privind protectia informatiilor clasificate- HG 781 / 2002 privind protectia informatiilor secrete de serviciu- Legea nr. 365/07.06.2002 privind comertul electronic- Legea 455/18.06.2001 privind semnatura electronica- Legea 544/12.10.2001 privind liberul acces la informatiile de interes public- Legea 677/21.10.2001 privind protectia persoanelor cu privire la prelucrarea
datelo cu caracter personal si libera circulatie a acestor date- Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal si
protectia vietii private in sectorul comunicatiilor electronice- Legea nr. 51/1991 privind siguranta nationala a Romaniei
w w w . t u v . r o64
w w w . t u v . r o
Standarde de referintaISO/IEC 20000 - reprezintă primul standard internaţional pentruManagementul Serviciilor IT, fiind perfect compatibil cu ITIL –IT Infrastructure Library. Acest nou standard inlocuieşte standardul britanic BS 15000.
Ca şi BS 15000, acest standard a fost elaborat în două părţi si anume:Partea I - ISO/IEC 20000-1:2005 – Specificatii pentrimanagementul serviciilor, aceste cerinţe ale managementuluiserviciilor IT, fiind utile responsabililor de iniţierea, implementareaşi/sau mentenanţa managementului serviciilor IT în cadrulorganizaţiilor proprii.Partea II - ISO/IEC 20000-2:2005 - Cod de practica pentruserviciile de management, indrumări pentru auditorii interni sau ceicare se pregătesc pentru auditare în vederea certificării conform referenţialului ISO/IEC 20000-1:2005
w w w . t u v . r o65
w w w . t u v . r o
Standarde conexe2004
SR ISO/CEI 15408-1:2004Tehnologia informaţiei - Tehnicide securitate - Criterii de evaluare pentru securitateatehnologiei informaţiei - Partea 1: Introducere şi model general
2005
SR ISO/CEI TR 14516 Tehnologia informaţiei – Tehnici de securitate – Îndrumări pentru utilizarea şi administrareaserviciilor părţilor terţe de încredereSR ETSI TS 102 023 V1.2.1 Semnaturi electronice siinfrastructuri (ESI); Cerinţe privind politica pentru autorităţilede marcare temporală
w w w . t u v . r o66
w w w . t u v . r o
.SR ISO/CEI 9126-1 Inginerie software– Calitatea produsului – Partea 1:
Modelul calităţiiSR ISO/CEI 15939 Inginerie software – Proces de măsurare a software-ului
Standarde de tehnologia informaţiei propuse spre adoptare de catreMCTI (Ministerul Comunicatiilor si Tehnologiei Informatiilor)
Software si system engineering
ISO/IEC 14598-1 : 1999 Tehnologia informatiilor – Evaluarea produsului-Part 1: criterii generaleISO/IEC 145098-2 : 2000 Software engineering – Evaluarea produsului- Part 2: Planificare si managementISO/IEC 145098-3 : 2000 Software engineering - Evaluarea produsului
- Part 3: Dezvoltarea proceselor
w w w . t u v . r o67
w w w . t u v . r o
.
ISO/IEC 145098-4 : 1999 Software engineering - Evaluareaprodusului - Part 4: Evaluarea proceselorISO/IEC 145098-4 : 1998 Information technology – Evaluareaprodusului software - Part 5: Evaluarea proceselorISO/IEC 15504-1 : 2004 Information technology – Evaluareaproceselor - Part 1: Concept si vocabularISO/IEC 15504-2 : 2003 Information technology – Evaluareaproceselor - Part 2: Procesul de evaluareISO/IEC 15504-3 : 2004 Information technology - Evaluareaproceselor - Part 3: Ghiduri de evaluare a proceselorISO/IEC 15504-4 : 2004 Information technology - Process assessment - Part 4: Ghiduri pentru imbunatatirea proceselor sideterminarea capabilitatii acestora
w w w . t u v . r o68
w w w . t u v . r o
Tehnici de securitate IT
ISO/IEC 13335-1 : 2004 Information technology – Tehnici de securitate – Managementul informatiilor si securitateainformatiilor - Part 1: Concepte si modeletermeni de bazaISO/IEC TR 13335-2 : 1998 Information technology –
Managementul si planificarea securitatii IT - proiectareaprocesului de securitate ITISO/IEC TR 13335-3 : 1998 Information technology – Tehnicipentru managementul securitatiiISO/IEC TR 13335-4 : 2000 Information technology -Alegerea masurilor de siguranta
w w w . t u v . r o69
w w w . t u v . r o
.
ISO/IEC TR 13335-5 : 2001 Information technology – Ghidpentru securitatea retelei
ISO/IEC 15408-2:2005 COMMON CRITERIA Information technology - Tehnici de securitate – Criterii de evaluare pentrusecuritatea IT - Part 2: Cerinte de securitate
ISO/IEC 15408-3:2005 COMMON CRITERIA Information technology - Tehnici de securitate – Criterii de evaluare pentrusecuritatea IT –
Part 3: Cerinte de asigurare a securitatii
w w w . t u v . r o70
w w w . t u v . r o
Certificari recunoscute international
.
w w w . t u v . r o71
w w w . t u v . r o
.
w w w . t u v . r o72
w w w . t u v . r o
Organisme acreditate international