După ce am scris la cald despre cîteva din lucrurile bune şi coerenţa din instrucţiunea de mai sus, revin cu un răspuns asupra unor puncte mai puţin clare, ca urmare a frămîntărilor din piaţa legate de asigurarea conformităţii (în cazul auditului nebuloasele sînt mai puţine şi cam aceleaşi care rezultă din alte acte normative). Imboldul l-am primit în urma unei discuţii cu un prieten şi coleg de suferinţă.

Spuneam în postul iniţial că în sfîrşit nu mai regăsim sintagma “plan de securitate” ci “politică de securitate”. Diferenţele sînt evidente şi am făcut referire de mai multe ori la subiectul acesta cînd mi-am exprimat opinia în legătură cu OMCSI 389 sau ex OMF1077.

Discuţia avută pornea de la cerinţa cu privire la implementarea ISO 27001 prin raportarea la celelalte cerinţe ale Instrucţiunii.

În Instrucţiunea CNVM nu este dată o definiţie a “politicii de securitate” nici a “obiectivelor de securitate”dar le regăsim referenţiate începînd cu cu Art. 4., de mai multe ori, în contexte diferite:

A.  măsuri organizatorice:
1. definirea politicii de securitate;

2. definirea obiectivelor de securitate;

B.  politică de securitate:

C.  manual de securitate:
1. în structura sa, manualul de securitate va cuprinde cel puţin capitolele:

……

c)  politica de securitate;

d)  obiectivele de securitate;

Întrebarea  era: Unde va fi inclus documentul “Politică de securitate”? Va fi un document distinct sau va fi inclus în manualul de securitate?

ISO 27001 spune că:

“For the purpose of this International Standard, the  ISMS policy is considered as a superset of the information security policy. These policies can be described in one document”

Art.12 din Instrucţiune impune obligativitatea obţinerii certificării SMSI (în baza implementării standardelor SR EN ISO/IEC 27001:2005). Stadardul, la punctul 4.2.1 b) impune:

“Define the ISMS policy in terms of the characteristics of the business, the organization, its location, assets and technology that ”

Acum apare contradicţia. Pe de o parte există o anumită structură impusă de cerinţele ISO 27001, pe de altă parte există cerinţe impuse de instrucţiune.

Dacă ar fi vorba de un audit pur, în sensul definit de ISACA şi nu aşa cum este perceput auditul de legiuitor, cred că aici ar interveni “professional judgement” din partea auditorului. Din nefericire, cerinţele instrucţiunii se circumscriu mai mult în ceea ce ISACA defineşte ca fiind “review”: acea misiune în care revizuieşti o speţă prin raportarea la cerinţele mandatare ale cuiva şi nu exprimi opinie!

Tot ISO 27001 spune şi ce trebuie să conţină documentaţia SMSI cu referire la politică şi obiective:

“documented statements of the ISMS policy and objectives”

Prin urmare, chiar dacă instrucţiunea nu este suficient de clară la prima lectură, manualul de securitate cred că poate să le includă pe toate, aşa după cum se precizează în Art.4 pct .C :

“în structura sa, manualul de securitate va cuprinde cel puţin capitolele…”

A doua întrebare era legată de cerinţa:

“certificarea SMSI (în baza implementării standardelor SR EN ISO/IEC 27001:2005) emisă de o organizaţie naţională sau internațională  acreditată de un semnatar al acordului EA MLA. ”

Aici cred că lucrurile sînt ceva mai încîlcite. La noi, RENAR este organismul  naţional semnatar al acordului cu pricina. Dar pentru că nu vreau să scriu şi altele pun doar linkul către ceilalţi semnatari (aici sînt organismele înregistrate le RENAR).

UPDATE: DISPUNEREA DE MĂSURI  Nr. 3 /16.02. 2011 – despre raportul de audit si Registrul auditorilor IT. Dovada calităţii de membru activ ISACA se poate face şi pe baza unui document emis de Chapterul nostru.