Certificare ISO/IEC 27001

ISO 27001 include cerințe specifice de sistem de management dar și o anexă cu 114 controale de securitatea informației împărțite în 14 categorii diferite.

Mai jos detaliem cerințele lui ISO/IEC 27001:2013, inclusiv cele 114 de controale din Anexa A a acestui standard.

Pentru a fi conform cu ISO/IEC 27001 sistemul de management al organizației ce urmărește să obțină certificarea trebuie să se conformeze tuturor cerințelor standardului, inclusiv controalelor din Anexa A ce îi sunt aplicabile (având în vedere specificul organizației). Compania este liberă să definească și să implementeze controale de securitate suplimentare celor din Anexa A, dacă consideră oportun.

Cerințele lui ISO/IEC 27001 sunt grupate în 7 capitole: Contextul organizației, Leadership, Planificare, Suport, Operare, Evaluarea performanței și Îmbunătățire.

CONTEXTUL ORGANIZAȚIEI

Companiei i se solicită să identifice aspectele interne și externe relevante pentru scopul său și care pot afecta sistemul său de management al securității informației. Câteva exemple de aspecte interne: structura organizațională, echipamentele și tehnologia utilizate, competența personalului, cultura organizațională, etc. Aspecte externe pot fi: legislația referitoare la securitatea informației, tendințe în domeniul securității informației, concurența, aspecte legate de mediul economic, etc.

Standardul solicită organizației să identifice părțile interesate (acele părți ce au un interes referitor la sistemul de management al organizației) împreună cu nevoile și așteptările acestora. Câteva exemple de părți intersate: clienți, anagajați, furnizori, comunitate, parteneri de afaceri, utilizatori ai produselor și serviciilor companiei, etc.

Organizația trebuie să definească domeniul de aplicare al sistemului său de management al securității informației. Compania poate decide să includă toate activitățile și locațiile sale în domeniul sistemului de management sau să aplice sistemul numai pentru unele dintre activitățile/ locațiile sale.

LEADERSHIP

Conducerea trebuie să susțină sistemul de management și să demonstreze angajamentul său pentru securitatea informației.

În același timp conducerii i se solicită să definească și să comunice în cadrul organizației o politică privind securitatea informației.

Este de asemenea responsabilitatea managementului organizației să definească și să atribuie responsabilități și autorități referitoare la securitatea informației personalului său.

Pentru a putea avea un sistem de management al securității informației funcțional și a beneficia de pe urma utilizării sale, susținerea din partea conducerii este esențială.

PLANIFICARE

ISO/IEC 27001:2013 solicită o evaluare a riscurilor referitoare la securitatea informației.

Metodologia de evaluare utilizată este la alegerea organizației. Totuși, există un standard publicat de către ISO, respectiv ISO/IEC 27005, ce oferă linii directoare pentru managementul riscurilor referitoare la securitatea informației. Utilizarea lui ISO/IEC 27005 nu este însă obligatorie.

Evaluarea de risc trebuie actualizată ori de câte ori este necesar (de exemplu în situația unor schimbări majore în structura organizației sau în urma unor incidente de securitatea informației).

Pornind de la rezultatele evaluării riscurilor, compania trebuie să aplice un proces de tratare a riscurilor prin implementarea unor controale de securitate.

O declarație de aplicabilitate este solicitată de standard. Acest document conține controalele de securitatea informației din Anexa A a lui ISO/IEC 27001, împreună cu justificarea deciziei de a implementa sau nu respectivul control.

ISO/IEC 27001 solicită organizației să definească obiective de securitatea informației și să planifice acțiuni pentru îndeplinirea lor.

SUPORT

Resursele necesare pentru funcționarea sistemului de management al securității informației trebuie să fie disponibile (personal suficient, tehnologie, infrastructură, finanțe). Organizației i se solicită să determine competența necesară pentru persoanele ce pot avea un impact asupra securității informației. Compania trebuie să se asigure că personalul său este competent și, atunci când este necesar, trebuie să întreprindă acțiunile necesare pentru creșterea nivelului de competență (de exemplu să ofere acces la instruire în domeniul securității informației).

Persoanele ce își desfășoară activitatea sub controlul organizației trebuie să fie conștientizate cu privire la politica privind securitatea informației, contribuția lor la sistemul de management al securității, cerințele de securitatea informației.

Compania trebuie să se asigure că există procese eficace de comunicare internă și externă, referitoare la aspectele legate de securitatea informației.

Sistemul de management al securității informației trebuie să includă informații documentate. Amploarea documentației de sistem depinde de structura și dimensiunea organizației precum și de specificul activităților sale. Trebuie stabilite controale cu privire la crearea și actualizarea documentației sistemului de management (stabilirea formatului documentelor, verificarea și aprobarea acestora). Totodată trebuie să existe controale cu privire la accesul, distribuirea, regăsirea, utilizarea, păstrarea și controlul versiunilor documentelor.

Controalele se referă atât la documentele elaborate intern cât și la cele de proveniență externă (de exemplu documentație de la clienți, furnizori, parteneri, autorități).

OPERARE

Compania trebuie să planifice, să implementeze și să controleze procesele necesare pentru a îndeplini cerințele de securitatea informației. Schimbările planificate trebuie controlate cu scopul de a preveni sau reduce efectele nedorite asupra securității.

Organizației i se solicită de asemenea, să asigure controlul asupra proceselor pe care decide să le externalizeze și care pot avea un impact asupra securității informației.

EVALUAREA PERFORMANȚEI

ISO/IEC 27001:2013 solicită organizației să evalueze performanța și eficacitatea sistemului său de management al securității informației. La intervale planificate compania trebuie să deruleze audituri interne pentru a se asigura că sistemul de management se conformează cu cerințele standardului ISO/IEC 27001, este implementat și menținut corespunzător.

Conducerea organizației va analiza periodic sistemul de management pentru a se asigura de continua sa adecvare și eficacitate.

ÎMBUNĂTĂȚIRE

Atunci când sunt identificate neconformități organizația trebuie să reacționeze prin aplicarea de corecții (menite a controla neconformitatea și consecințele sale) și acțiuni corective (cu scopul de a elimina cauzele neconformității).

ISO/IEC 27001:2013 solicită ca organizația să își îmbunătățească în mod continuu sistemul de management al securității informației.

ANEXA A a ISO/IEC 27001:2013

Categorii de controale

A5 – POLITICI DE SECURITATEA INFORMAȚIEI

Standardul solicită definirea unui set de politici de securitate, aprobate de conducere și comunicate atât angajaților cât și celorlalte părți interesate. Aceste politici trebuie analizate periodic și ori de câte ori apar modificări semnificative în organizație, cu scopul de a le confirma adecvarea și eficacitatea.

A6 – ORGANIZAREA SECURITĂȚII INFORMAȚIEI

Trebuie alocate responsabilități referitoare la securitatea informației pentru personalul organizației. Sarcinile și zonele de responsabilitate conflictuale trebuie segrgate (de exemplu inițierea și aprobarea tranzacțiilor financiare importante). Organizației i se solicită să mențină contacte cu autoritățile relevante în aspecte ce privesc securitatea informației. În același timp, contacte corespunzătoare cu grupuri de interese, forumuri sau asociații din domeniul securității informației, trebuie menținute. Aspectele referitoare la securitatea informației trebuie avute în vedere în managementul proiectelor, indiferent de specificul acestora. Utilizarea dispozitivelor mobile introduce riscuri de securitate și ISO/IEC 27001 solicită o politică și măsuri de securitate pentru a gestiona aceste riscuri. Dacă organizația utilizează teleworking-ul (lucrul de la distanță – de exemplu lucrul de acasă, de la locații ale clienților sau din locații publice) atunci trebuie să stabilească o politică și măsuri de securitate pentru a trata acest aspect.

A7 – SECURITATEA RESURSELOR UMANE

Organizația trebuie să efectueze verificări pentru toți candidații la angajare. Nivelul de detaliere al verificărilor trebuie să fie în concordanță cu accesul persoanei la informație și riscurile asociate poziției. Contractele de muncă și celelalte documente de angajare trebuie să includă cerințe de securitate. Conducerea trebuie să solicite tuturor angajaților, precum și contractorilor, să respecte politicile și procedurile de securitate stabilite. Toți angajații și contractanții trebuie să fie conștientizați cu privire la aspectele legate de securitatea informației. Un proces disciplinar trebuie să existe, să fie comunicat și aplicat în cazul angajaților care comit breșe de securitate. Acele responsabilități referitoare la securitate ce rămăn valabile și după ce angajatul părăsește compania (de exemplu clauze de confidențialitate) trebuie definite clar, comunicate și aplicate.

A8 – MANAGEMENTUL ACTIVELOR

Trebuie elaborat și mențiunut la zi un inventar al activelor și trebuie nominalizați “proprietari” ai activelor, ce pot fi persoane sau structuri din cadrul companiei. ISO/IEC 27001 solicită organiației să  stabilească, să documenteze și să implementeze reguli pentru utilizarea acceptabilă a activelor. Organizația trebuie să se asigure că activele sale sunt returnate de către persoanele al căror contract de muncă sau colaborare este finalizat(ă). ISO/IEC 27001 solicită companiei să definească și să aplice o schemă pentru clasificarea informației ținând cont de aspecte precum valoarea informației pentru companie sau sensibilitatea acesteia la accesul neautorizat sau modificare. Un sistem de etichetare a informației în conformitate cu schema de clasificare adoptată trebuie  aplicat. Organizația trebuie să dezvolte și să aplice reguli pentru manipularea activelor. Trebuie să existe proceduri/ reguli cu privire la managementul mediilor amovibile (HDD-uri externe, stick-uri USB, CD-uri, DVD-uri, etc). Mediile amovibile ce conțin informație trebuie protejate împotriva accesului neautorizat, utilizării necorespunzătoare sau coruperii informației

A9 – CONTROLUL ACCESULUI

ISO/IEC 27001 solicită documentarea și aplicarea unei politici privind controlul accesului care să trateze atât accesul fizic cât și accesul logic la rețele și aplicații. Organizația trebuie să se asigure că utilizatorilor le este permis accesul numai la acele rețele și servicii pe care sunt autorizați să le utilizeze. ISO/IEC 27001:2013 solicită un proces formal de inregistrare și de-registrare a utilizatorilor, în vreme ce alocarea și utilizarea privilegiilor de acces trebuie restricționată și strict controlată. Organizația trebuie să se asigure că la finalizarea angajării sau a contractului de colaborare, drepturile de acces sunt restricționate. Sistemul de management al parolelor utilizat de către organizație trebuie să fie interactiv și să asigure parole de calitate. Trebuie să existe controale care să restricțineze accesul utilizatorilor la codul sursă al programelor software.

A10 – CRIPTOGRAFIE

Dacă organizația utilizează critpografia pentru a proteja confidențialitatea, autenticitatea și/ sau integritatea informației, atunci trebuie să dezvolte și să implementeze o politică privind utilizarea controalelor criptografice. În același timp trebuie definită o politică ce să trateze cheile criptografice în aspecte precum utilizarea, protecția și durata lor de viață.

A11 – SECURITATE FIZICĂ ȘI DE MEDIU

ISO/IEC 27001:2013 solicită organizației să definească perimetre de securitate cu scopul de a proteja zonele ce conțin informații critice și/sau facilități de procesare a informației. Accesul în aceste zone trebuie permis numai personalului autorizat. Măsuri de securitate fizică pentru birouri și încăperi trebuie proiectate și aplicate. Organizației i se solicită să implementeze măsuri de securitate fizică împotriva dezastrelor naturale, atacurilor sau accidentelor. Zonele de încărcare și descărcare trebuie controlate și, dacă se poate, izolate de facilitățile ce procesează informații critice, pentru a preveni accesul neautorizat. Standardul solicită ca echipamentul să fie poziționat în așa fel încât să se reducă riscurile asociate amenințărilor de mediu și oportunitățile pentru acces neautorizat. Trebuie implementate măsuri de protecție împotriva căderilor de tensiune. Organizația trebuie să protejeze echipamentele și cablurile împotriva interceptărilor neautorizate (de exemplu prin utilizarea tehnologiilor TEMPEST). Echipamentele trebuie întreținute conform specificațiilor pentru a se asigura funcționarea lor corespunzătoare. ISO/IEC 27001 solicită organizației să se asigure că echipamentele nu sunt scoase în afara locației fără autorizare. Echipamentele ce se află în afara locației trebuie protejate corespunzător. Atunci când anumite echipamente nu mai sunt utilizate organizația trebuie să se asigure că, înainte de a renunța la ele, a eliminat sau rescris informațiile sensibile și software-ul licențiat. Standardul solicită utilizatorilor să se asigure că echipamentele nesupravegheate au măsuri de protecție active. ISO/IEC 27001 solicită dezvoltarea și aplicarea unei politici privind biroul și ecranul curate.

A12 – SECURITATEA OPERAȚIUNILOR

ISO/IEC 27001 solicită proceduri de operare documentate care să fie disponibile tuturor utilizatorilor. Modificările în cadrul organizației precum și modificările proceselor afacerii trebuie controlate în așa fel încât ele să nu afecteze securitatea informației. Organizația trebuie să monitorizeze utilizarea resurselor sale și să realizeze proiecții ale cerințelor viitoare pentru a asigura operarea în condții optime. Mediile de dezvoltare, testare și cele operaționale trebuie separate. Organizația trebuie să dețină măsuri de prevenție, detecție și recuperare în cazul infestării cu malware. Backup-ul informației trebuie realizat cu regularitate iar datele trebuie testate periodic pentru a da asigurări că în situația în care este necesar se pot restaura cu succes instanțe anterioare. Loguri ale evenimentelor (inclusiv erori, excepții și alte evenimente relevante pentru securitate) trebuie să fie generate, menținute și analizate periodic. Logurile trebuie protejate împotriva accesului neautorizat și modificării. Activitățile administratorilor de sistem trebuie înregistrate iar logurile generate trebuie protejate. Ceasurile tuturor sistemelor relevante de procesare a informației trebuie sincronizate. Organizația trebuie să controleze instalarea de software pe sistemele sale. ISO/IEC 27001 solicită organizației să fie la curent cu informațiile referitoare la vulnerabilitățile tehnice ale sistemelor informatice, să evalueze aceste vulnerabilități și să implementeze măsuri care să trateze riscurile asociate. Activiățile de audit ale sistemelor operaționale trebuie să fie astfel realizate încât să perturbe cât mai puțin procesele afacerii.

A13 – SECURITATEA COMUNICAȚIILOR

ISO/IEC 27001 solicită organizației să administreze și să controleze rețelele sale în așa fel încât să se asigure că informația care circulă este protejată. Aspectele referitoare la securitatea informației precum și nivelurile acceptabile ale serviciilor trebuie agreate cu furnizorii (indiferent dacă aceștia sunt interni sau externi). Diferitele grupuri de servicii, utilizatori și sisteme informatice trebuie segregate în cadrul rețelelor. Organizației i se solicită să definească și să aplice proceduri și controale pentru a proteja transferul informației, indiferent de tipul echipamentelor de comunicații utilizate. Schimbul de informații prin mesagerie electronica (email sau programe de instant messaging) trebuie protejat.

A14 – ACHIZIȚIA, DEZVOLTAREA ȘI MENTENANȚA SISTEMELOR

Cerințele specifice de securitatea informației trebuie incluse în cerințele organizației pentru sisteme informatice noi sau îmbunătățiri la sistemele existente. Informația confidențială ce trece prin rețele publice (de exemplu cazul plaților electronice) trebuie protejată împotriva activităților frauduloase, modificării sau accesului neautorizat. ISO/IEC 27001:2013 solicită organizației să dezvolte și să aplice reguli pentru dezvoltarea de software. În urma modificărilor la platformele de operare organizația trebuie să analizeze aplicațiile sale critice, pentru a se asigura că nu există un impact nefavorabil asupra securității informației. Organizația trebuie să dețină reguli care să descurajeze modificările la pachetele software. ISO/IEC 27001 solicită organizației să dețină medii de dezvoltare sigure în situația în care activitatea de dezvoltare software este desfășurată in-house. Dacă activitatea de dezvoltare software este externalizată atunci organizația trebuie să monitorizeze activitatea subcontractanților. Testarea produselor software trebuie să se refere inclusiv la aspectele de securitate iar datele de testare trebuie protejate adecvat.

A15 – RELAȚII CU FURNIZORII

Organizația trebuie să agreeze și să documenteze în contractele cu furnizorii, cerințele de securitate menite a trata riscurile asociate cu accesul furnizorilor la informațiile sale. Cerințele privind securitatea trebuie agreate cu fiecare furnizor ce accesează, procesează, păstrează sau comunică informații relevante. Cerințele de securitate trebuie să se refere inclusiv la lanțul de aprovizionare cu servicii și produse IT&C. Organizația trebuie să monitorizeze, analizeze și să auditeze modul în care furnizorii săi respectă cerințele agreate.

A16 – MANAGEMENTUL INCIDENTELOR DE SECURITATEA INFORMAȚIILOR

ISO/IEC 27001:2013 solicită proceduri și alocarea de responsabilități pentru a putea asigura un răspuns prompt și corespunzător în cazul incidentelor de securitate. Evenimentele trebuie raportate cât mai rapid, utilizând procese de comunicare eficiente. Organizația trebuie să solicite tuturor angajaților și contractorilor ce utilizează sistemele și serviciile sale să înregistreze și să raporteze orice vulnerabilitate raportată sau observată. Evenimentele de securitate trebuie evaluate pentru a decide dacă ele reprezintă incidente de securitate sau nu. Organizația trebuie să asigure un răspuns adecvat la incidentele de securitate și să utilizeze cunoștințele obținute din analiza acestor incidente pentru a reduce probabilitatea și/ sau impactul unor incidente viitoare.

A17 – CONTINUITATEA SECURITĂȚII INFORMAȚIEI

ISO 27001 solicită organizației să integreze aspectele de securitatea informației în managementul continuității, prin definirea de controale care să asigure că securitatea este menținută în cazul unor evenimente nedorite. Organizația trebuie să asigure suficientă redundanță a sistemelor de procesare a informației pentru a satisface cerințele de disponibilitate.

A18 – CONFORMITATE

ISO/IEC 27001 solicită organizației să identifice și să actualizeze cerințele legale, contractuale și de reglementare ce se referă la securitatea informației. Trebuie stabilite proceduri pentru a asigura conformitatea cu cerințele privind proprietatea intelectuală și drepturile de autor sau protecția datelor cu caracter personal. Utilizarea criptografiei trebuie să respecte cerințele legale (dacă există). Organizației i se solicită să efectueze la intervale planificate și ori de câte ori apar modificări semnificative, analize independente ale modului în care respectă cerințele de securitate (controale implementate, proceduri, politici). Managerilor li se solicită să analizeze periodic conformitatea cu politicile și procedurile de securitate, în zona lor de responsabilitate.

Acestea sunt, foarte pe scurt, cerințele lui ISO/IEC 27001:2013.

Unele cerințe ar putea să nu fie aplicabile datorită specificului organizației și, desigur, organizația poate defini și aplica controale de securitate suplimentare celor descrise în ISO/IEC 27001 (Anexa A) și detaliate în ISO/IEC 27002, dacă consideră necesar.