8/2/2019 Pre Zen Tare Securitatea Informatiei CNVM
1/13
AVANTAJELE IMPLEMENTRII SISTEMULUI DE MANAGEMENTAL SECURITII INFORMAIEI
n conformitate cu standardele:
ISO27001-Sisteme de Management al Securitii Informaiei
ISO27002-Tehnici de Securitate. Cod de Bun Practic Pentru Managementul Securitii Informaiei
Certificarea Securitii Informaiei - ISO 27001i efectul certificrii asupracerinelor instruciunii privind auditarea sistemelor
informatice utilizate de entitile autorizate, reglementate i supravegheate deComisiaNaional a Valorilor Mobiliare
www.iso27001consulting.ro
8/2/2019 Pre Zen Tare Securitatea Informatiei CNVM
2/13
Proiectul privind completarea i modificarea instruciuniiCNVM Nr.2/2011
n data de 23.11.2011 CNVM a publicat proiectul de modificare a instruciunii Nr.2/2011 care urmeazs intre n vigoare:
http://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdf
Proiectul prevede corganizaiile supravegheate de CNVM pot alege intre auditul de unauditor IT certificat CISA i certificarea ISO 27001 de ctre un organism de certificare
acreditat.
Opiunea de a implementa i certifica ISO 27001 Sistem de Management al SecuritiiInformaiei are urmtoarele avantaje: Asigurprotecia tuturor informaiilororganizaiei ntr-un mediu controlat; Cost, de obicei, mai puin dect auditul specializat CISA; Ofer organizaiei posibilitatea de a alege organismul de certificare dorit (cu o
reputaie i un renume recunoscute la nivel naional i o experien n certificareaISO27001 la nivelul sutelor de firme); Este un activ al organizaiei care asigur protecia continu a resurselor companiei,
chiar idup auditul de certificare; Asigur ndeplinirea anumitor condiii de participare la licitaii publice.
www.iso27001consulting.ro
http://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-completare-Instructiunea-2-2011.pdfhttp://www.cnvmr.ro/pdf/instructiuni/proiecte/Proiect-instructiune-modificare-Instructiunea-2-2007.pdf8/2/2019 Pre Zen Tare Securitatea Informatiei CNVM
3/13
ISO 27001 - Sisteme de management alsecuritii informaiei. Cerine
Ce reprezint ISO 27001?
ISO27001 este standardul de certificare pentru SMSI.
Standardul ISO27001 stabilete cerinele i criteriile pentruimplementarea, operarea, monitorizarea, revizia, mentenanai mbuntirea sistemului de management al securitiiinformaiilor n contextul riscurilor de ansamblu la care estesupusorganizaia.
De asemenea, sistemul de management al securitiiinformaiilor ofer managerilor un control mai bun asuprafluxurilor de informaii din organizaie i reduce costurileaferente managementului riscului.
www.iso27001consulting.ro
8/2/2019 Pre Zen Tare Securitatea Informatiei CNVM
4/13
Ce implic certificarea ISO 27001
Certificarea SMSI implic implementarea cerinelor standardului ISO27001 i documentarea proceselor i procedurilor organizaionale.
Pentru eficiena implementrii se apeleaz la consultani externi cum esteISO27001CONSULTING.
Implementarea ISO 27001 dureaz de obicei ntre 3 i 6 luni pentruorganizaii de mrime medie.
Dup implementare se alege organismul de certificare ISO acreditat:http://www.renar.ro/ro/oec/
Certificarea presupune un audit de 1 sau 2 zile i o reevaluare anual de ozi.
Dup auditul de certificare i rezolvarea observaiilor formulate de auditorse obine certificatul ISO 27001 SMSI.
www.iso27001consulting.ro
http://www.renar.ro/ro/oec/http://www.renar.ro/ro/oec/http://www.renar.ro/ro/oec/http://www.renar.ro/ro/oec/http://www.renar.ro/ro/oec/http://www.renar.ro/ro/oec/http://www.renar.ro/ro/oec/http://www.renar.ro/ro/oec/http://www.renar.ro/ro/oec/8/2/2019 Pre Zen Tare Securitatea Informatiei CNVM
5/13
Cui i se aplic instruciunea?
Instruciunea se aplic urmtoarelor categorii de entiti autorizate,reglementate isupravegheate de C.N.V.M.,denumite n continuare entiti:
a) organisme de plasament colectiv care se autoadministreaz;
b) depozitari centrali, case de compensare/contrapri centrale;
c) societi de servicii de investiii financiare (S.S.I.F.) ncadrate la art.7din Legea nr.297/2004, cu modificrile i completrile ulterioare,inclusiv sucursale ale firmelor de investiii din alte statemembre;
d) traderi;
e) societi de administrare a investiiilor, inclusiv sucursale ale societilorde administrare ainvestiiilordin alte state membre;
f) fondul de compensare a investitorilor;
g) operatori depia/operatori de sistem;
h) instituiile de credit autorizate de Banca Naional a Romniei (BNR)carepresteaz servicii deinvestiii financiare pepiaa de capital;
i) alte entiti nominalizate de C.N.V.M. prin acte normative. www.iso27001consulting.ro
8/2/2019 Pre Zen Tare Securitatea Informatiei CNVM
6/13
Avantajele Implementrii Sistemului deManagement al Securitii Informaiei
Pstrareaconfidenialitii,integritiii a disponibilitiiinformaiei; mbuntireareputaieii ncrederii n organizaie;
Asigurarea conformitii legale i reducerea riscului penalizrilor;
Scderea costurilor IT;
Asigurarea instruirii continue a angajailor n materie de pstrare aconfidenialitiiinformaiei;
Posibilitatea oferirii unor servicii de calitate n timp optim;
Ofer managerilor un control mai bun asupra fluxurilor de informaiidin organizaie;
Sunt identificate i inute sub control riscurile care pot afectaactivitatea organizaiei;
Ofer posibilitatea comparriiperformanei sistemului IT n raport cumedia din industrie;
www.iso27001consulting.ro
8/2/2019 Pre Zen Tare Securitatea Informatiei CNVM
7/13
De ce s ne alegei pe noi?
ISO27001Consulting este unul dintre cei mai buni consultani n securitatea informaieii a colaborat cu peste 50 de organizaii care i-au obinut certificarea SMSI i i-auasigurat un nivel adecvat de protecie a avantajului competitivi a informaiilor.
Vasigurm:
Implementarea controalelor de securitate n conformitate cu ISO27001;
Raport centralizat de analiza SWOT din perspectiva securitii informaiei asupra
practicilor din organizaie; Teste de vulnerabilitate a sistemului informatic al organizaiei i plan de msuri de
remediere imbuntire;
Recomandri privind achiziia de echipamente i software pentru mbuntireasistemului IT&C;
Suport n alegerea soluiei de backup automatizat al informaiei organizaiei i
implementarea practicilor de continuitate a afacerii. Pentru informaii suplimentare referitoare la implementarea i certificarea SMSI
contactai-ne la:
www.iso27001consulting.ro
Tel: (+40) 744-917-771
www.iso27001consulting.ro
http://www.iso27001consulting.ro/http://www.iso27001consulting.ro/8/2/2019 Pre Zen Tare Securitatea Informatiei CNVM
8/13
Care suntAmeninrile i Costurile posibile ale lipsei implementriieficace a Sistemului de Management al Securitii Informaiei?
Divulgarea informaieiconfideniale.
ntreruperi n activitate: nefuncionarea reelei de calculatoare i imposibilitateaaccesrii serverelor i aplicaiilor. Informatizarea tot mai mare a sistemelorinformaionale duce la imposibilitatea desfurrii activitilor n timpulindisponibilitii sistemului IT.
Pierderea ncrederii clienilori partenerilor: practica demonstreazcorganizaiileatacate de hackeri au pierdut reputaiai ncrederea is o recapete le-a fost foartegreu, sau chiar imposibil.Clienii, asiguratorii i partenerii vor evita s colaboreze cu o organizaie care nueste n stare s protejeze adecvat informaiile. Directiva 2002/58/EC aParlamentului European privind procesarea datelor personale, interzicecomunicarea informaiilor personale unei organizaii care nu poate asigura
confidenialitatea acestora.
Costuri Financiare: Legislaia n vigoare prevede rspundereajuridicifinanciarpentru pierderea confidenialitii datelor clienilor.
www.iso27001consulting.ro
8/2/2019 Pre Zen Tare Securitatea Informatiei CNVM
9/13
Ce efecte a avut pierderea confidenialitiidatelor n 2010?
n 2010 costul mediu al pierderii uneinregistrri a ajuns la 204$, ceea censeamnc pentru 1000 denregistrri divulgate costul se poate ridica la 204000$.(conformPonemon Institute's annual study 2010).
n 2010
96% din compromiteri puteau fi evitate prin controale simple de securitate;
94% din pierderile de confidenialitate ale datelor au fost cauzate de aciuni ale propriilorangajai;
61% din cazuri au fost descoperite de pritere;
27% din cazuri au implicat mai multe pri, iar 11% din cazuri au implicat parteneri deafaceri;
Au fost fcute publice la nivel internaional 494 cazuri de pierderi a confidenialitii informaiei - de dou ori mai multe fa de 2009, fiind divulgate 14 milioanenregistrri;
(conform http://www.privacyrights.org/data-breach/newiVERIZON 2010 DATA BREACH INVESTIGATIONS REPORT )
www.iso27001consulting.ro
http://www.privacyrights.org/data-breach/newhttp://www.privacyrights.org/data-breach/newhttp://www.privacyrights.org/data-breach/newhttp://www.privacyrights.org/data-breach/new8/2/2019 Pre Zen Tare Securitatea Informatiei CNVM
10/13
Legislaie care oblig protecia datelor cu caracterpersonal
A. Legislaiecomunitar
Directiva 95/46/EC a Parlamentului i a Consiliului European din 24.10.1995 cu privire la proteciapersoanelor referitoare la procesarea datelor personale i la libera circulaie a acestor date (OJL 281,23.11.1995, p.31);
Directiva 2002/58/EC a Parlamentului European i a Consiliului din 12.07.2002 privind procesarea
datelor personale i protecia intimitii n sectorul comunicaiilor electronice;
B. Legislaieintern
Legea nr. 677/2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter personali libera circulaie a acestor date;
Legea nr. 682/2001 privind ratificarea de ctre Romnia a Conveniei pentru protejarea persoanelorfa de prelucrarea automatizat a datelor cu caracter personal, adoptat la Strasbourg la 28 ianuarie
1981; Legea nr. 102/2005 privindnfiinareaAutoritiiNaionale de Supraveghere a PrelucrriiDatelor cu Caracter Personal.
www.iso27001consulting.ro
8/2/2019 Pre Zen Tare Securitatea Informatiei CNVM
11/13
Obiectivele Sistemului de Management al SecuritiiInformaiei ISO 27001
Confidenialitate
Integritate
Disponibilitate
SECURITATEAInformaiei
Informaiile pot existasub diferite forme. Ele pot
fi tiprite sau scrise pehrtie, stocate electronic,transmise prin pot sauprin echipamenteelectronice, prezentate pefilme sau comunicate ncadrul unor conversaii.Orice form ar aveainformaiile sau oricemetode de stocare ar fifolosite, ele trebuie s fie ntotdeauna protejatecorespunztor.
www.iso27001consulting.ro
8/2/2019 Pre Zen Tare Securitatea Informatiei CNVM
12/13
Obiectivele Sistemului de Management al SecuritiiInformaiei
Confidenialitateproprietatea ca informaia s nu fie fcut disponibil saudivulgat persoanelor, entitilor sau proceselor frautorizare.
Integritateproprietatea de a pstra acurateea coninutului informaiei,iar modificarea acesteia s fie posibil doar n circumstaneautorizate.
Disponibilitateproprietatea de a fi accesibil i utilizabil la cerere de ctre oentitate autorizat la momentul i locul potrivit.
www.iso27001consulting.ro
8/2/2019 Pre Zen Tare Securitatea Informatiei CNVM
13/13
11 Domenii de control ale ISO27001
A.5 POLITICA DESECURITATE
A.6 ORGANIZAREASECURITATIIINFORMATIEI
A.7 MANAGEMENTULRESURSELOR(BUNURILOR)
A.8 SECURITATEA
RESURSELOR UMANE
A. 9 SECURITATEAFIZICA SI A MEDIULUIA.10 Managementul
comunicatiilor sioperatiilor
A.11 Controlul accesului
A.12 Achizitia,dezvoltarea si
mentenanta sistemelorinformatice
A.13 Managementulincidentelor de securitate
a informatiei
A.14 Managementulcontinuitatii afacerii
A.15 Conformitate
www.iso27001consulting.ro