Слайд 2Fazele implementării SMSI
Plan 1: Stabilirea importanţei securităţii informaţiei
Plan 2: Definirea sferei SMSI
Plan
![Fazele implementării SMSI Plan 1: Stabilirea importanţei securităţii informaţiei Plan 2: Definirea](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/1139513/slide-1.jpg)
3: Definirea politicii de securitate
Plan 4: Stabilirea rolurilor şi responsabilităţilor
Plan 5: Identificarea şi clasificarea resurselor
Plan 6: Identificarea şi evaluarea riscurilor
Plan 7: Selectarea opţiunilor de tratare a riscului
Do 8: Implementare şi funcţionare SMSI
Do 9: Întocmirea declaraţiei de aplicabilitate
Do 10: Instruirea şi pregătirea personalului
Check 11: Monitorizarea şi controlul performanţelor SMSI
Act 12: Menţinerea SMSI şi îmbunătăţirea continuă
Слайд 3Plan 1: Stabilirea importanţei securităţii informaţiei
Identificarea şi documentarea obiectivelor afacerii
Identificarea proceselor
![Plan 1: Stabilirea importanţei securităţii informaţiei Identificarea şi documentarea obiectivelor afacerii Identificarea](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/1139513/slide-2.jpg)
de business
Identificarea sistemelor şi proceselor TI
Identificarea dependenţei afacerii de sistemele TI
Identificarea cerinţelor de protecţie pentru sistemele TI
Слайд 4Plan 2: Definirea sferei SMSI
Descrierea organizaţiei
Descrierea afacerii, obiective
Descrierea locaţiei geografice
Procese de afacere
![Plan 2: Definirea sferei SMSI Descrierea organizaţiei Descrierea afacerii, obiective Descrierea locaţiei](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/1139513/slide-3.jpg)
incluse în sferă
Sisteme TI incluse în sferă
O schemă fizică generală a locaţiei
Diagrame ce reflectă arhitectura SI (aplicații, flux de date, fizic, rețea logic și fizic)
Слайд 5Plan 3: Definirea politicii de securitate
Reprezintă demonstrarea atenţiei şi angajamentului managementului pentru
![Plan 3: Definirea politicii de securitate Reprezintă demonstrarea atenţiei şi angajamentului managementului](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/1139513/slide-4.jpg)
securitatea informaţiei
Stabileşte directivele managementului pentru managementul securităţii informaţiei
Conţine:
Definiţia securităţii informaţiei
O declaraţie a managementului privind securitatea informaţiei
O scurtă descriere a principiilor, principalelor politici, standarde şi cerinţe de conformare;
O definire a responsabilităţilor generale şi specifice
Referinţă la documente care pot susţine implementarea Politicii
Слайд 6Plan 4: Roluri şi responsabilităţi în cadrul SMSI
Comitetul de conducere responsabil de
![Plan 4: Roluri şi responsabilităţi în cadrul SMSI Comitetul de conducere responsabil](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/1139513/slide-5.jpg)
securitatea informaţiei
Ofiţerul de securitate a informaţiei (OSI)
Diferite echipe cu destinaţie specială
Echipa de intervenţie la incidente
Echipa de instruire în domeniul securităţii
Echipa de planificare a continuităţii
Echipa de restabilire în caz de dezastru
Слайд 7Plan 4: Roluri şi responsabilităţi în cadrul SMSI
Posesor resurse
Gestionar resurse
Conducători de subdiviziune
Utilizatori
![Plan 4: Roluri şi responsabilităţi în cadrul SMSI Posesor resurse Gestionar resurse Conducători de subdiviziune Utilizatori](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/1139513/slide-6.jpg)
Слайд 8Plan 5: Indentificarea resurselor
Registrul resurselor organizaţiei
Informaţiile
Softuri aplicative
Servicii de suport
Bunuri fizice (hard)
Infrastructură (încăperi,
![Plan 5: Indentificarea resurselor Registrul resurselor organizaţiei Informaţiile Softuri aplicative Servicii de](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/1139513/slide-7.jpg)
sisteme de menţinere)
Personalul
Identificarea şi înregistrarea începe cu cele mai critice resurse
Слайд 9Plan 5: Clasificarea resurselor
Clasificarea se face pentru toate resursele importante
Clasificarea se
![Plan 5: Clasificarea resurselor Clasificarea se face pentru toate resursele importante Clasificarea](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/1139513/slide-8.jpg)
face conform criteriilor:
Confidenţialitate
Integritate
Disponibilitate
Autenticitate
Non-Repudiere
Scări de clasificare
Critic
Important
Normal
Nesemnificativ
Слайд 10Plan 6: Identificarea şi evaluare riscurilor
Analiza ameninţărilor
Analiza vulnerabilităţilor
Analiza riscurilor
Evaluarea riscurilor
![Plan 6: Identificarea şi evaluare riscurilor Analiza ameninţărilor Analiza vulnerabilităţilor Analiza riscurilor Evaluarea riscurilor](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/1139513/slide-9.jpg)
Слайд 11Plan 7: Selectarea opţiunilor de tratare a riscului
Opţiunile de tratare a riscului
Definirea
![Plan 7: Selectarea opţiunilor de tratare a riscului Opţiunile de tratare a](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/1139513/slide-10.jpg)
politicilor de securitate
Definirea procedurilor
Identificarea soluţiilor de securitate
Evaluarea cost-eficienţei opţiunilor
Pregătirea Planului de tratare cu indicarea opţiunilor
Obținerea aprobării Managementului
Слайд 12Do 8: Implementare şi funcţionare SMSI
Implementarea planului de tratare a riscurilor
Planificarea proiectului
![Do 8: Implementare şi funcţionare SMSI Implementarea planului de tratare a riscurilor](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/1139513/slide-11.jpg)
de implementare
Pregătirea măsurilor de securitate
Testarea măsurilor de securitate
Implementarea măsurilor de securitate
Stabilirea indicatorilor de măsurare a eficienţei
Revizuirea riscului rezidual
Слайд 13Do 9: Declaraţia de aplicabilitate
Maparea măsurilor de securitate implementate pe cele din
![Do 9: Declaraţia de aplicabilitate Maparea măsurilor de securitate implementate pe cele](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/1139513/slide-12.jpg)
Anexa A, ISO/IEC 27001
Menţionarea excepţiilor, argumentarea neselecţiei, măsurile compensatorii
Poate fi utilă pentru eficientizarea controalelor BNM
Слайд 14Do 10: Instruire personal
Identificarea grupurilor de interes
Pregătirea planului de instruire
Pregătirea programului de
![Do 10: Instruire personal Identificarea grupurilor de interes Pregătirea planului de instruire](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/1139513/slide-13.jpg)
instruire
Organizarea cursurilor de instruire
Menţinerea culturii de securitate corporativă
Слайд 15Check 11: Monitorizarea şi controlul performanţei SMSI
Raportarea incidentelor
Monitorizare efectuată de OSI
Auditul intern
Analiza
![Check 11: Monitorizarea şi controlul performanţei SMSI Raportarea incidentelor Monitorizare efectuată de](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/1139513/slide-14.jpg)
de management
Слайд 16Act 12: Menţinerea SMSI şi îmbunătăţirea continuă
În rezultatul incidentelor
Rapoartelor de analiză a
![Act 12: Menţinerea SMSI şi îmbunătăţirea continuă În rezultatul incidentelor Rapoartelor de](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/1139513/slide-15.jpg)
SMSI
Noi vulnerabilităţi
Schimbări în sistemul informaţional
Schimbări în legislaţia în vigoare
Слайд 17Documentaţia SMSI
Nivelul 1
Nivelul 2
Nivelul 3
Nivelul 4
Responsabilitate elaborare:
Conducere, comitet SMSI, OSI
Posesori resurse, gestionari
resurse
Posesori
![Documentaţia SMSI Nivelul 1 Nivelul 2 Nivelul 3 Nivelul 4 Responsabilitate elaborare:](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/1139513/slide-16.jpg)
resurse, gestionari
resurse
Gestionari
resurse, OSI