Politica de Securitate a Informației

Florin-Mihai Iliescu, CISA, CISSP | Marți, 19 ianuarie 2016

Securitatea informației este procesul care asigură protecția necesară reducerii pierderilor în faţa unor amenințări specifice ce pot afecta disponibilitatea, integritatea sau confidenţialitatea:

  • a) confidenţialitatea: asigurarea faptului că informaţia este accesibilă numai celor autorizaţi;
  • b) integritatea: păstrarea acurateţei şi completitudinii informaţiei precum şi a metodelor de procesare;
  • c) disponibilitatea: asigurarea faptului că utilizatorii autorizaţi au acces la informație şi la resursele asociate atunci când este necesar.

Securitatea informaţiei este obţinută prin implementarea unui set adecvat de controale, care pot fi politici, practici, proceduri, structuri organizaţionale şi funcţii software. Aceste controale trebuie implementate în măsura în care se asigură atingerea obiectivelor specifice de securitate ale organizaţiei.

Cerinţele legale, statutare, reglementările şi cerinţele contractuale pe care o organizaţie, partenerii săi comerciali, contractorii şi furnizorii săi de servicii trebuie să le respecte pot genera şi ele riscuri pe care o organizaţie ar trebui să le includă în procesul de management al securităţii.

Politica de securitate a informaţiei determină direcţia şi suportul managementului pentru securitatea informaţiei. Managementul trebuie să stabilească o direcţie clară a politicii de securitate şi să demonstreze susţinerea şi angajamentul său pentru securitatea informaţiei, prin emiterea şi menţinerea politicii de securitate a informaţiei în cadrul organizaţiei.

Politica de securitate a informaţiei cuprinde:

  • a) o definiţie a securităţii informaţiei, scopul şi obiectivele generale şi importanţa securităţii informaţiei ca mecanism de autorizare a accesului la informaţie;
  • b) o declaraţie de intenţie a managementului organizaţiei care să sprijine obiectivele şi principiile securităţii informaţiei;
  • c) scurtă explicare a politicilor de securitate, a principiilor, a standardelor şi a cerinţelor de conformitate de o importanţă deosebită pentru organizaţie;
  • d) o definiţie a responsabilităţilor generale şi specifice în realizarea managementului securităţii informaţiei, incluzând raportarea incidentelor de securitate;
  • e) trimiteri la documentaţii care vor susţine politica de securitate, ca de exemplu politici de securitate mai detaliate şi proceduri pentru sisteme informatice specifice sau reguli de securitate pe care utilizatorii trebuie să le respecte;
  • f) Referinţe la politici, proceduri şi reguli de securitate.

Politica va avea un proprietar responsabil pentru menţinerea şi revizuirea ei, în baza unui proces de revizuire clar definit. Acest proces va trebui să asigure revizuirea politicii de securitate ca răspuns la apariţia oricărei modificări care afectează bazele iniţiale de evaluare a riscului, cum ar fi incidente de securitate semnificative, noi vulnerabilități sau modificări în infrastructura organizaționala sau tehnică.

Infologica oferă servicii de consultanță pentru definirea obiectivelor de securitate, analiza riscurilor, definirea planului de măsuri pentru tratarea riscurilor, stabilirea politicilor și procedurilor de securitate, definirea arhitecturii de securitate a sistemului informatic.