-
DESPRE NOI
Având în vedere dezvoltarea tehnologică din ultimii zece ani, proiectele echipei noastre au la bază convingerea noastră că „protecția datelor cu caracter personal este un drept și că datele personale în era tehnologică au devenit o monedă”, astfel că prin activitatea noastră ne propunem să creștem semnificativ nivelul de conștientizarea a operatorilor și a persoanelor vizate cu privire la importanța și valoarea datelor personale. La începutul anului 2018, NeoPrivacy și-a lansat oferta de servicii pentru companiile din România, oferind soluții pentru conformitate și implementarea GDPR, precum și servicii de audit și traininguri specializate pentru DPO și alți specialiști în domeniul protecției și securității datelor. În 2019, NeoPrivacy România a lansat primul portal web românesc dedicat exclusiv comunității profesioniștilor din domeniul protecției datelor și securității informațiilor (https://dpo-net.ro), promovând informații, resurse utile și traininguri online.
- SERVICII PERSONALIZATE
Fiecare client are particularitățile sale astfel că adaptăm fiecare program de consultanță în funcție de rezultatele auditului preliminar.
- ABORDARE SISTEMATICĂ
Programul de consultanță este construit modular, într-un mod logic, și permite o abordare sistematică și eficientă.
- TRANSFER DE CUNOȘTINȚE
În cadrul programului de consultanță punem accent pe transferul de cunoștințe și instruirea personalului.
- EVALUĂRI PERIODICE
Din evaluările preliminare și cele de final analizăm împreună cu fiecare client evoluția, gradul de conformare și vulnerabilitățile existente.
- ECHIPA CU EXPERTIZĂ PLURIDISCIPLINARĂ
Echipa noastră este compusă din 6 CONSULTANȚI, specialiști în implementarea GDPR și securitatea informațiilor și care au competențe în diverse domenii de activitate, cum ar fi: drept / științe juridice, resurse umane, marketing, evaluare de riscuri, securitate cibernetică, iar dintre domeniile în care activează clienții noștri amintim: societăți comerciale (asigurări și brokeraj, producție, comerț direct și online, agricultură, servicii hoteliere, site-uri de prezentare, site-uri jurnalistice, organizatori de evenimente cu prezența fizică a organizatorilor / participanților și / sau online / exclusiv online), instituții publice (primării mici, medii și mari), instituții sanitare/medicale (spitale, policlinici, cabinete medicale individuale), instituții de învățământ de stat sau private, de orice nivel sau ONG-uri.
Echipa noastră a acumulat o vastă experiență în protecția și securitatea datelor cu caracter personal, inclusiv anterior punerii în aplicare a Regulamentului 679/2016, experiență pe care acum o folosește în toate serviciile pe care le oferă clienților pentru implementarea corectă a prevederilor GDPR.
GARANȚII DE COMPETENȚĂ ALE ECHIPEI NOASTRE
- Toți membrii echipei noastre sunt absolvenți de studii superioare / masterat / studii postuniversitare în specialitatea studiilor de bază (studii juridice, marketing, IT, resurse umane, management, științe economice, științe politice etc.).
- Toți membrii echipei noastre au absolvit cursuri acreditate de protecția datelor cu caracter personal.
- Toți membrii echipei noastre au absolvit cursuri autorizate / acreditate privind formarea profesională continuă a adulților.
- Compania NeoPrivacy pune accent pe calitate serviciilor și pe siguranța datelor prelucrate, obținând certificare ISO 9001:2015 și ISO 27001:2013
GARANȚII DE CONFIDENȚIALITATE ALE ECHIPEI NOASTRE
- Toți membrii echipei noastre semnează și respectă întocmai acorduri de confidențialitate pentru fiecare client în parte.
- Toți membrii echipei noastre păstrează confidențialitatea listei noastre de clienți.
- Toți membrii echipei noastre păstrează confidențialitatea listei de activități personalizate pentru fiecare client în ce privește implementarea GDPR.
GAMĂ COMPLETĂ DE SERVICII DE CONSULTANȚĂ
- Implementare principii GDPR
- Consultanta si asistenta privind implementarea SCIM
- Consultanță implementare și certificare ISO / Directiva NIS
- GDPR mystery shopping
- Servicii externalizare DPO
- DPO coaching
- Monitorizare riscuri de securitate informatică
- Cursuri de specializare și instruire GDPR și securitatea informațiilor
- Audit GDPR și măsuri tehnice și organizatorice
- Managementul incidentelor de securitate
- Consultanță dezvoltare software
- Audit tehnic si de conformitate pentru website-uri
- Audit de securitate fizică
- Audit de securitate informatică (ISO / Directiva NIS)
- Analiza de impact (DPIA)
- Cursuri PECB cu certificare internațională
- Produse și servicii digitalizare
DESCARCĂ OFERTA GENERALĂ DE PREȚ
ACTIVITĂȚI CUPRINSE ÎN PACHETUL STANDARD DE CONSULTANȚĂ “IMPLEMENTAREA SISTEM SECURITATEA INFORMATIILOR
(DIRECTIVA NIS / ISO 27001)“
Informatia este sangele fiecarei organizatii si poate exista sub mai multe forme.
Aceasta poate fi printata sau scrisa pe hartie, stocata electronic, transmisa prin e-mail, aratata in filme sau spusa in conversatii. In mediul de afaceri competitiv prezent, informatia este “amenintata” constant de diferite surse. Acestea pot fi interne, externe, accidentale sau rau-voitoare. Cu tendintele crescande ale noilor tehnologii de stocare a informatiei si de gasire a acesteia, cresc si riscurile care afecteaza siguranta informatiei.
De aceeea, exista o nevoie generala a unei Politici de Securitate a Informatiei pentru toate organizatiile. Exista nevoia de confidentialitate, integritate si disponibilitate atat pentru organizatii cat si pentru informarea clientilor. Standardul pentru Securitatea Informatiei (ISMS) BS 7799 (predecesorul ISO/IEC 27001:2013) a devenit rapid unul dintre cele mai cerute si vandute standarde.
Ce este un Sistem de Management pentru Securitatea Informatiei ISO 27001:2013?
Un Sistem de Management al Securitatii Informatie (ISMS), ISO/IEC 27001:2013, reprezinta o abordare sistematica a managementului informatiei astfel incat aceasta sa fie in siguranta. Acest lucru implica angajatii, procesele si sistemele IT. BSI a publicat un cod de practica pentru aceste sisteme, acum adoptat international sub forma ISO/IEC 27001:2013.
Ce este Directiva NIS?
Adoptarea, în iulie 2016, a Directivei UE 2016/1148 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniunea Europeană (Directiva NIS), confirmă preocupările constante din ultimii ani ale forurilor comunitare pe linia creșterii rezilienței infrastructurilor IT&C aparținând operatorilor de servicii esențiale și furnizorilor de servicii digitale din statele membre. Această Directivă prevede măsuri unitare pentru atingerea unui nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune și noi mecanisme de cooperare la nivel european.
Nu este o nouă lege a securității cibernetice!
Nu vizează apărarea și securitatea națională.
Vizează piața și serviciile!
Transpunerea în legislația națională a Directivei NIS s-a realizat prin Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice.
Noile reglementări legislative vizează asigurarea securității rețelelor și sistemelor informatice ce deservesc activități vitale pentru economie și societate, în tot ansamblul ei, precum infrastructură digitală, energie, transport, sănătate etc. Mai exact, este stabilit mecanismul de prevenție, detecție și reacție în cazul unor incidente de securitate cibernetică, astfel încât impactul asupra economiei și populației să fie minim – toate acestea în contextul creșterii continue a riscurilor la care suntem expuși în era digitală, nu doar la nivel individual.
Lista sectoarelor și subsectoarelor care intră sub incidența Legii NIS
Pentru a putea răspunde la aceasta întrebare, operatorii vor consulta, mai întâi, Lista sectoarelor și subsectoarelor care intră sub incidența legii NIS:
- Energie: electricitate; petrol; gaze naturale.
- Transport: transport aerian; transport feroviar; transport pe apă; transport rutier
- Sectorul bancar
- Infrastructuri ale pieței financiare
- Sectorul sănătății: instituții de asistență medicală (inclusiv spitale și clinici private)
- Furnizarea și distribuirea de apă potabilă
- Infrastructură digitală
Propunerea de Directivă NIS 2.0 și implicațiile ei majore
Comisia Europeană a demarat procesul de revizuire a Directivei (UE) 2016/1148 privind securitatea rețelelor și a sistemelor informatice (Directiva NIS) începând cu iunie 2020.
Pe 16 decembrie 2020, Comisia a lansat propunerea de Directivă NIS 2.0 care va fi supusă spre dezbatere și aprobare în Parlamentul European.
Una dintre schimbările majore pe care le aduce noua Directivă este aceea că Administrația Publică devine un sector care intră sub incidența noii Directive.
În condițiile noilor reglementări din propunerea de Directivă NIS 2.0, sfera de activități acoperite de autoritatea competentă națională în domeniul securității cibernetice (CERT-RO cf. Legii 362/2018) se extinde și asupra acestui nou sector, care va include explicit ministere și agenții ale statului, extensiile în teritoriu ale administrației centrale, precum și structurile administrației publice locale.
Modificările aduse de Directiva NIS 2.0
Directiva NIS 2.0 aduce o serie de modificări majore, între care menționăm:
- Creșterea de la șapte la zece a sectoarelor reglementate pentru entitățile esențiale: energia, transporturile, domeniul financiar-bancar, infrastructurile pieței financiare, sănătatea, apa potabilă, apa reziduală, infrastructura digitală, administrația publică și spațiul.
- Introducerea unei serii de sectoare pentru entitățile importante: servicii poștale și de curierat, managementul deșeurilor, substanțe chimice, manufactură, furnizori de servicii digitale.
- Consolidarea cerințelor de securitate impuse întreprinderilor și abordarea securității lanțurilor de aprovizionare și relațiilor cu furnizorii.
- Simplificarea obligațiilor de raportare și introducerea unor măsuri de supraveghere mai stricte pentru autoritățile naționale; cerințe mai stricte de asigurare a respectării legii, urmărind totodată armonizarea regimurilor de sancțiuni în toate statele membre ale UE.
Noua Directivă se va adresa tuturor organizațiilor mijlocii și mari dintr-o serie de sectoare definite în anexele propunerii. În plus, vor fi incluse și entități mici, în funcție de nivelul critic pentru economie sau societate.
Pachetul de servicii NIS oferite de Neoprivacy cuprinde:
- Consultanță și asistență privind evaluarea operatorului economic / instituției publice pentru identificarea acestora ca operatori de servicii esențiale – OSE și/sau furnizori de servicii digitale – FSD;
- Consultanță și asistență privind întocmirea DAICMS – Documentația de autoevaluare a îndeplinirii cerințelor minime de securitate;
- Consultanță și asistență privind notificarea operatorului economic / instituției publice către CERT-RO pentru înscrierea acestora în Registrul operatorilor de servicii esențiale – ROSE și/sau în CRONOS, după caz;
- Consultanță și asistență privind identificarea Responsabilului NIS la nivelul entității;
- Asumarea rolului de Responsabil NIS (prevedere specială în contractul de consultanță NIS);
- Consultanță și asistență privind întocmirea de către operator a formularelor / comunicărilor cu CERT-RO, după caz;
- Consultanță și asistență privind identificarea, tratarea și notificarea incidentelor de securitate;
- Integrarea serviciilor NIS pentru respectarea prevederilor GDPR – protecția datelor cu caracter personal și SCIM, după caz;
- Furnizarea de livrabile: rapoarte, politici, proceduri integrate NIS / ISO27001 GDPR;
- Sesiuni de instruire a personalului privind îndeplinirea atribuțiilor care le revin pentru respectarea prevederilor Legii NIS.
De unde incepem?
- Dezvoltam o politica pentru securitatea informatiei si identificam informatiile cheie ale organizatiei dvs.
- Construim împreună Sistem de Management al Securitatii Informatie (ISMS) si instruim personalul cheie pentru a ajuta implementarea cu succes.
- Odata ce sistemul de management este implementat in totalitate, puteti sa cereti auditarea unui organism de certificare ISO 27001, pentru ca apoi sa primiti acreditarea (optional).
Avantajele implementării ISO 27001, un standard pentru securitatea informatiei
ISO 27001:2013 ajuta mediul de afaceri sa implementeze si sa gestioneze sistemele de management al securitatii informationale. Organizatia Internationala pentru Standardizare (ISO) a dezvoltat mai mult de 18000 de standarde industriale in vederea promovarii controlului calitatii si imbunatatirii continue.
Mediul de afaceri cauta in mod activ certificarea ISO in vederea imbunatatirii operationale si procesuale interne, in concordanta cu politicile si strategiile fiecarei companii in parte.
Introdus din anul 2005, standardul ISO 27001 are ca obiectiv imbunatatirea operatiunilor specifice tehnologiei informatiei cat si ridicarea nivelului de securitate a datelor, prin intermediul unor activitati de management proactive specifice.
Armonizarea obiectivelor mediului de afaceri cu inovatia tehnologica continua
ISO 27001 are ca domeniu de aplicatie in special managementul tehnologiei informatiei, iar in mod particular gestionarea securitatii datelor.
Datorita faptului ca standardul impune cooperarea dintre structura de management al companiei cu personalul tehnic, in vederea indeplinirii unor obiective legate de securitatea informationala, exista posibilitatea unei cresteri dramatice a armonizarii activitatilor acestor grupuri, care in mod normal ar fi disjuncte.
ISO recomanda aceasta imbinare operationala sa devina permanenta ducand la o imbunatatire continua a activitatii companiei. Standardul este aplicabil afacerilor de orice dimensiune si tipologie.
Sistemul de Management pentru Securitatea Informatiei ajuta la protectia datelor
ISO recunoaste faptul ca orice avans tehnologic aduce cu sine noi provocari legate de securitatea informationala. ISO 27001 ajuta organizatiile sa fie la curent cu cele mai noi proceduri in acest domeniu prin implementarea unor evaluari stricte ale securitatii produselor si proceselor, alaturi de alte proceduri de monitorizare, revizuire si mentenanta.
Aplicarea unui proces standardizat presupune o activitate de selectie si revizuire a procedurilor de securitate, in cadrul careia sunt implicate atat cadrele de management cat si personalul IT, ajutand astfel la prevenirea aparitiei unor probleme potentiale.
Implementarea standardului ISO 27001 pentru securitatea informatiilor presupune si respectarea unor cerinte legale suplimentare, ce implica o serie de activitati de auditare, interne si externe. Masurile tehnice si organizatorice selectate și adoptate pentru a implementa acest standard ISO, răspund totodată și cerințelor GDPR, acest standard ISO 27001:2013 fiind deseori considerat un element de referință în achetele realizate de ANSPDCP.
Evaluari imbunatatite
ISO 27001 ofera o serie de elemente ajutatoare activitatii de eveluare, ajutand companiile sa fie mai dispuse in a implementa cele mai bune practici si sa atinga obiective stranse.
Diversele comparatii si evaluari detaliate, complexe, facute cu organizatii apartinand acelorasi ramuri industriale conduc la o serie de imbunatatiri care pot fi spectaculoase.
Standardul ISO 27001 incureajeaza toti membrii organizatiei, de la cadrele de management la personalul tehnic, sa constientizeze si sa-si conjuge eforturile legate de atingerea tintelor si obiectivelor comune, imbunatatind astfel gradul de comunicare interna si, in final, rezultatele companiei.
DOCUMENTE LIVRATE
- MANUALUL SISTEMULUI DE MANAGEMENT AL SECURITATII INFORMATIEI
- PROCEDURI OPERATIONALE SI DE SISTEM
- FORMULARE ( FISE, FORMULARE, POLITICI, LISTE, PLANURI, RAPOARTE)
- EVALUARE RISC INFORMATIC IN CONFORMITATE CU ISO 27001:2013
- MANUALUL SISTEMULUI RESURSELOR INFORMATICE SI DE COMUNICATII
1.MANUALUL SISTEMULUI DE MANAGEMENT AL SECURITATII INFORMATIEI
Cu ajutorul Manualului de Securitate ISO 27001 din 2013 acoperiți toate secțiunile și subsecțiunile cerințelor sistemului de management al securității informațiilor conform cu ISO 27001:2013
Acest lucru vă va ajut în stabilirea unui sistem de securitate informatică eficient.
Manualul ISO 27001 vă poate ajuta atat în implementarea pentru prima dată a unui sistem de management al securității informațiilor ISO 27001:2013 cat și pentru a face tranziția sistemul dvs. actual mai vechi la ISO 27001:2013.
Acest model de Manual ISO 27001 este user-friendly, ușor de învățat și usor personalizabil pentru a se potrivi cu propriul dvs. sistem de management al securității informației.
Un sistem de management certificat ISO / IEC 27001 pentru securitatea informațiilor a devenit foarte important în mediul de afaceri de astăzi. Atât clienții cât și furnizorii devin din ce în ce mai preocupați de garanțiile pe care le oferiți pentru a proteja datele clienților, know-how-ul tehnic, tranzacțiile online etc.
Nu numai companiile IT dar practic orice organizație de servicii și de producție are nevoie de un anumit nivel de securitate a informațiilor iar Manualul de Securitate ISO 27001 poate fi de un real ajutor in acest sens.
Orice organizație poate implementa un sistem de management al securității informațiilor (SMSI) conform standardului ISO 27001: 2013 (ultima ediție) și poate fi certificat.
Manualul SMSI ISO 27001 prezentat in aceasta secțiune are urmatoarea structura (capitole și subcapitole):
I Despre Manualul Sistemului de Management ISO 27001
II Aprobări
III Întroducere
- DOMENIUL DE APLICARE
- REFERINŢE NORMATIVE
- TERMENE ŞI DEFINIŢII
- CONTEXTUL ORGANIZAȚIEI
4.1 Înțelegerea organizației și a contextului în care activează
4.2 Înțelegerea necesităților și așteptărilor părților interesate
4.3 Determinarea domeniului de aplicare al sistemului de management
4.4 Sistemul de management al calității și procesele sale
- LEADERSHIP
5.1 Leadership și angajament
5.2 Politică
5.3 Roluri organizaționale, responsabilitatăți și autorități
- PLANIFICARE
6.1 Acțiuni de tratare a riscurilor și oportunităților
6.2 Obiectivele referitoare la SMSI
- SUPORT
7.1 Resurse
7.2 Competenţă
7.3 Conştientizare
7.4 Comunicare
7.5 Informaţii documentate
- OPERARE
8.1 Planificare şi control operaţional
8.2 Evaluarea riscurilor
8.3 Tratarea riscurilor
- EVALUAREA PERFORMANTEI
9.1 Monitorizare, măsurare, analizare şi evaluare
9.2 Audit intern
9.3 Analiza efectuată de management
- ÎMBUNĂTĂȚIRE
10.1 Neconformitate şi acţiune corectivă
10.2 îmbunătăţire continuă
- PROCEDURI OPERATIONALE SI DE SISTEM
Acest set de documente SMSI conține un set complex de proceduri ISO 27001 pentru securitatea informației, necesare în implementarea standardului și dacă vă doriți ca procesul de certificare ISO 27001 să fie unul ușor și eficient.
Pachetul conține 22 de modele de proceduri operationale ISO 27001 și 6 modele de proceduri de sistem ISO 27001.
Folosind aceste modele de proceduri ISO 27001:2013, puteți economisi timp prețios în pregătirea documentelor SMSI în conformitate cu standardul pentru securitatea informației. Astfel veți obține un control mai bun în sistemul dvs. de securitate informatică datorită documentatiei noastre dezvoltate sub îndrumarea experților și a consultanților cu experiență în implementarea și certificarea sistemelor ISO 27001.
Procedurile SMSI au fost folosite în implementarea a zeci de sisteme de securitate a informației certificate cu succes de către organisme de top din România.
Documentația cuprinde următoarele 28 de modele (numai procedurile, nu si eventualele formulare specificate de acestea):
Proceduri de sistem pentru Sistemul de Management pentru Securitatea Informatiei:
PS-SMSI – 10.1 Actiuni corective
PS-SMSI- 6 Identificarea, evaluarea si tratarea riscului informatic
PS-SMSI- 7.5 Control informatii documentate
PS-SMSI-7.5 IL1 – IL Elaborare documente
PS-SMSI-9.2 Audit intern SMSI
PS-SMSI-9.3 Analiza efect de management
Proceduri operaționale pentru Sistemul de Management pentru Securitatea Informatiei:
PO-SMSI-7.2.2 Constientizare, Instruire
PO-SMSI-A11.1 Securitatea fizica
PO-SMSI-A11.2 Securitatea echipamentelor
PO-SMSI-A12.1 Proceduri operationale si responsabilitati
PO-SMSI-A12.1.1 Procesarea corecta a datelor in cadrul aplicatiilor
PO-SMSI-A12.2 Protectia impotriva codurilor mobile si daunatoare
PO-SMSI-A12.3 Copie de siguranta Back-up
PO-SMSI-A12.4 Securitatea fisierelor de sistem
PO-SMSI-A12.4.4 Monitorizare
PO-SMSI-A13 Managementul securitatii retelei
PO-SMSI-A14.1 Planificarea si acceptanta sistemului
PO-SMSI-A15.1 Managementul serviciilor furnizate de terti
PO-SMSI-A16 Managementul incidentelor SMSI
PO-SMSI-A17 Managementul continuitatii afacerii
PO-SMSI-A18 Conformitatea cu cerintele legale
PO-SMSI-A6 Organizarea securitatii informatiei
PO-SMSI-A6.1.5 Informatie disponibila in mod public
PO-SMSI-A8.1 Managementul resurselor informationale
PO-SMSI-A8.2 Clasificarea si etichetarea informatiei SMSI
PO-SMSI-A8.3 Manipularea mediilor de stocare
PO-SMSI-A9 Controlul accesului
RUTCS – Reguli de utilizare tehnica de calcul
- FORMULARE ( FISE, FORMULARE, POLITICI, LISTE, PLANURI, RAPOARTE)
Setul de formulare ISO 27001 pentru securitatea informației este foarte util pentru acele firme care sunt interesate să achizitioneze un conținut parțial al documentației ISO 27001 din 2013 pentru SMSI. Puteți economisi timp în realizarea procedurilor și formularelor folosind acest set de documente ce conține declarații, formulare, liste, planuri, procese verbale, rapoarte și registre.
Înainte de a invita un organism de certificare ISO 27001 pentru auditul de certificare, societatea dvs. trebuie să pregătească documentele SMSI (manual, politici, proceduri, formulare ISO), să efectueze instruirea angajaților, să implementeze ISO 27001 pentru o perioadă suficientă de timp și să efectueze audituri interne și revizuiri ale conducerii. Aceste formulare ISO 27001 realizate și completate corespunzător reprezintă o parte importantă a acestui proces.
Planificarea necorespunzătoare sau nefinalizarea documentației ISO 27001 pentru securitatea informației sunt motivele principale pentru întârzierile înregistrate în proiectele de certificare ISO 27001.
Pachetul nostru de formulare privind Sistemul de Management pentru Securitatea Informatiei contine urmatoarele 21 de modele de documente:
A.5. Declaratia de politica
Declaratia de Aplicabilitate
F1- SMSI-7.2.2 – Program anual de instruire SMSI
F1-SMSI- 10.1 Raport de neconformitate si actiune corectiva
F1-SMSI- 9.2 Program de audit
F1-SMSI- 9.3 PV Sedinta de analiza
F1-SMSI-A11 Registru conturi utilizatori
F1-SMSI-A16-Managementul incidentelor SMSI
F1-SMSI-A8.1 Registru resurse informationale
F1-SMSI-A9.1 Registru acces vizitatori
F2-SMSI-7.2.2 – Proces verbal de instruire
F2-SMSI-9.2 Plan de audit
F3-SMSI- 9.2 Raport de Audit
F3-SMSI-7.2.2 – Fisa de apreciere
Plan de obiective
PS-SMSI- 7.5-A1 – Responsabilitati E,V,Ap
PS-SMSI- 7.5-F1 – Lista de difuzare documente
PS-SMSI- 7.5-F2 – Lista de evidenta a documentelor in vigoare
PS-SMSI- 7.5-F3 – Lista formularelor in vigoare
PS-SMSI-7.5 IL 01-A1 – Pagina garda procedura
PS-SMSI-7.5 IL 01-A2 – Continut Procedura
- EVALUARE RISC INFORMATIC IN CONFORMITATE CU ISO 27001:2013
Raportul privind Identificarea si Evaluarea Riscurilor Sistemului Informational documenteaza vulnerabilitatile IT descoperite pe parcursul auditarii societatii, conform cu standardul ISO 27001:2013.
Evaluarea riscurilor SMSI furnizeaza recomandari pentru solutii eficiente din punct de vedere al costului care ar elimina sau minimiza efectele riscurilor indentificate pentru sistemul informatic. Documentul este conform cu ISO 27001:2013 pentru SMSI.
Evaluarea riscului se refera la un proces bazat pe stiinta si tehnologie, constand in patru etape si anume:
- identificarea amenintarilor
- caracterizarea amenintarilor
- expunerea evaluarilor
- analizelor si caracterizarea riscurilor.
Managementul riscului reprezinta procesul, distinct de cel anterior, de evaluarea riscului IT, de stabilire si analiza a tacticilor si politicilor alternative in etapa consultarilor cu partile interesate, in considerarea riscurilor evaluate si a altor factori legitimi, cat si, daca este necesar, selectarea optiunilor de prevenire si control.
Modelul de raport pentru Evaluarea Riscului Informatic reprezinta o radiografie a sistemului informational si retelei de calculatoare, ca o concluzie a datelor colectate din procesul de evaluare al activitatii in domeniul IT.
Metodologia de evaluarea a riscului informatic este un document care are 41 de pagini si cuprinde urmatoarele sectiuni:
- Controlul documentului
- Domeniul de aplicare a evaluarii de risc IT
- Prezentarea metodei de evaluare a riscului
- Descrierea sistemului IT
- Identificarea amenintarilor (pericolelor)
- Identificarea vulnerabilitatilor
- Identificarea riscurilor IT
- Clasificarea riscurilor IT
- Determinarea probabilitatii de aparitie a riscului
- Analiza riscului de impact
- Evaluarea riscului general
- Recomandari si mijloace de protective
- Matricea evaluarii riscurilor
- MANUALUL SISTEMULUI RESURSELOR INFORMATICE SI DE COMUNICATII
Spre deosebire de Manualul SMSI (care pune accent pe sistemul de management, proceduri de sistem şi proceduri tehnice), Manualul Sistemului Resurselor Informatice şi de Comunicaţii (Manualul Sistemului RIC) se referă mai mult la partea tehnica pe echipamente şi solutii IT fără a intra “adânc” în procese de management şi suport precum Resurse Umane şi altele.
Acest model de Manual al Sistemului Resurselor Informatice şi de Comunicatii RIC este un document conform cu ISO 27001:2013, conţine 65 de pagini şi are următoarea structură:
Manualul realizat in conformitate cu ISO 27001:2013 contine:
Sistem de management al securităţii informaţiei
– Cerinţe generale
– Stabilirea şi administrarea SMSI
– Stabilirea SMSI
Politica de Securitate privind Sistemul Resurselor Informatice şi de Comunicaţii
– Introducere
– Scopul politicii de securitate
– Definiţii folosite în politica de securitate şi regulamentul de utilizare
– Clasificarea informatiei
Obligaţii, raspunderi si sancţiuni aferente clasificării informaţiilor
Confidenţialitate
Declaraţia de aplicabilitate a Sistemului de Management al Securtăţii Informaţiei
Procedura de identificare, evaluare a riscurilor de securitate
– Implementarea şi funcţionarea SMSI
– Monitorizarea, revizuirea şi îmbunătăţirea SMSI
– Cerinţe referitoare la documentaţie
– Generalităţi
– Controlul documentelor
– Controlul înregistrărilor
Responsabilitatea managementului
– Angajamentul managementului
– Managementul resurselor
– Analizele de management pentru SMSI
Elemente de intrare ale analizei
Elemente de ieşire ale analizei
Regulamentele de Utilizare a Resurselor Informatice şi de Comunicaţii (RIC) :
- Regulament de utilizare a RIC
- Utilizarea ocazională a RIC în scopuri personale
- Accesul Administrativ
- Accesul Fizic
- Conectarea la Sistemul Resurselor Informatice şi de Comunicaţii
- Configurarea Parametrilor de Acces la Reţea
- Tratarea Incidentelor de Securitate şi de nerespectare a Politicii şi Regulamentului de Securitate
- Monitorizarea Resurselor Informatice şi de Comunicaţii
- Securitatea Serverelor
- Crearea şi Utilizarea Copiilor de Siguranţă (Backup)
- Detectarea Tentativelor de Acces Neautorizat
- Utilizarea Calculatoarelor Portabile
- Modificări şi Modernizări ale Sistemului Resurselor Informatice şi de Comunicaţii
- Utilizare Internet şi Intranet
- Administrarea Conturilor
- Parole de Acces
- Sistemul de Mesagerie Electronică
- Detectarea viruşilor
- Licenţe de utilizare
- Relaţii cu terţi
Planul de Pregătire pentru Situaţii de Urgenţă şi Capacitatea de Răspuns
Măsuri Disciplinare
Proceduri generale de lucru privind exploatarea sistemului Resurselor Informatice şi de Comunicaţii
Procedura P.01 – Intervenţii în cazul defecţiunilor hardware
Procedura P.02 – Salvările de date, stocarea şi păstrarea acestora
Procedura P.03 – Achiziţii echipamente hardware şi/sau software pe bază de referat de necesitate, altele decât prin licitaţii
Procedura P.04 – Modificări sau defecţiuni ale aplicaţiilor software
Procedura P.05 – Exploatarea programelor informatice
Procedura P.06 – Activităţi de mentenanţă privind componentele harware
Procedura P.07 – Poşta electronică, sesizări pe site-ul firmei, sesizări pe alte site-uri de specialitate
Procedura P.08 – Rezolvarea documentelor/problemelor repartizate spre rezolvare
Procedura P.09 – Anunţarea defecţiunilor hardware firmei de service
Procedura P.10 – Părăsirea temporara a calculatorului
Procedura P.11 – Atribuirea/schimbarea/anularea utilizatorilor şi a parolelor de access
Codul de Bună Practică pentru Managementul Securităţii Informaţiei
A.5 Politica de securitate
A.5.1 Politica de securitate a informaţiei
A.6 Organizarea securităţii informaţiei
A.6.1 Organizarea interna
A.6.2 Părţi externe
A.7 Managementul resurselor
A.7.1 Responsabilitatea pentru resurse
A.7.2 Clasificarea informaţiei
A.8 Securitatea resurselor umane
A.B.1 Înaintea angajării
A.8.2 In timpul perioadei de angajare
A.8.3 Incetarea contractului sau schimbarea locului de munca
A.9 Securitatea fizica şi a mediului de lucru
A.9.1 Zone de securitate
A.9.2 Securitatea echipamentelor
A.10 Managementul comunicaţiilor şi operaţiunilor
A.10.1 Proceduri operaţionale şi responsabilităţi
A.10.2 Managementul serviciilor furnizate de terţi
A.10.3 Planificarea şi acceptanţa sistemelor
A.10.4 Protecţia împotriva codurilor mobile şi dăunătoare
A.10.5 Copie de siguranţă
A.10.6 Managementul securităţii reţelei
A.10.7 Manipularea mediilor de stocare
A.10.8 Schimbul de informaţii
A.10.9 Serviciile de comerţ electronic – nu se aplica in cadrul societatii
A.10.10 Monitorizarea
A.11 Controlul accesului
A.11.1 Cerinţele afacerii pentru controlul accesului
A.11.2 Managementul accesului utilizatorului
A.11.3 Responsabilităţile utilizatorului
A.11.4 Controlul de acces la reţea
A.11.5 Controlul accesului la sistemul de operare
A.11.6 Controlul accesului la aplicaţii şi informaţii
A.11.7 Prelucrarea datelor folosind echipamente mobile şi lucrul la distanţă
A.12 Achiziţionarea, dezvoltarea şi mentenanţa sistemelor informatice
A.12.1 Cerinţe de securitate pentru sistemele informaţionale
A.12.2 Procesarea corectă a datelor în cadrul aplicaţiilor
Lista legislaţiei din domeniu