Să luăm articolul 5 din instrucţiune, drept exemplu:

 

“să asigure integritatea, confidenţialitatea, securitatea, disponibilitatea datelor în orice circumstanțe, precum  şi prelucrarea acestora în conformitate cu reglementările pieţei de capital, luând în considerare posibilitatea actualizării acestora, în funcție  de modificările intervenite în legislația pieței de capital. Sistemele informatice care oferă intermediarilor și clienţilor lor accesul la pieţe trebuie să asigure cel puţin:
1. integritatea și securitatea datelor trimise la și recepţionate de la piaţă în sisteme de baze de date care funcţionează în regim  de redundanţă și care să poată fi certificate în orice moment;
2. securitatea și integritatea datelor procesate prin folosirea unei scheme de encriptare, atât asupra datelor trimise către pieţe, cât și asupra datelor recepţionate de la pieţe;
3. jurnalizarea în timp real a informaţiei despre ordinele plasate pe piaţă, a stării acestor ordine, respectiv a modificărilor care se aduc acestor ordine în decursul existenţei lor de către clienţii ce utilizează aceste sisteme informatice;

……

g) să asigure confidenţialitatea  şi protecţia informaţiilor  şi a programelor prin parole, coduri  de identificare pentru accesul la
informaţii, precum și realizarea de copii de siguranţă pentru programe şi informaţii deținute; ”

(O observaţie de cîrcotaş ar fi: ce diferenţă există între securitate  şi integritate, respectiv integritatea şi securitatea, respectiv ele între ele :D  Dar între confidenţialitate  şi protecţie……)

Cum ar putea fi interpretată aceste cerinţe prin raportare la ISO 27001? Fără a avea pretenţia că nu am sărit vreo una (se prespune că la baza selecţiei lor există o evaluare a riscurilor), în opinia mea, clauzele implicate sînt:

A.6.1.3 Alocarea responsabilitatilor privind securitatea informatiilor

A.6.1.4 Procesul de autorizare pentru mijloacele de procesare a informatiilor

A.7.1.1 Inventarierea resurselor

A.7.1.2 Responsabilitatea resurselor

A.7.2.1 Instructiuni de clasificare

A.7.2.2 Etichetarea si utilizarea informatiilor

A.10.1.1 Proceduri operationale documentate

A.10.1.2 Managementul schimbarii

A.10.1.3 Separarea atributiilor

A.10.1.4 Separarea mijloacelor de dezvoltare, de testare si operationale

A.10.5.1 Copia de siguranta a informatiilor

A.10.6.1 Masuri de securitate specifice retelei

A.10.6.2 Securitatea serviciilor de retea

A.10.8.4 Transmiterea şi procesarea mesajelor electronice

A.10.10.1 Jurnale de audit

A.10.10.2 Monitorizarea utilizarii sistemului

A.10.10.3 Protejarea informatiilor din jurnale

A.10.10.4 Jurnalele administratorului si operatorului

A.10.10.5 Inregistrarea erorilor

A.10.10.6 Sincronizarea ceasului

A.11.2.1 Inregistrarea utilizatorului

A.11.2.2 Managementul privilegiilor

A.11.2.3 Managementul parolei utilizatorului

A.11.2.4 Analiza drepturilor de acces ale utilizatorului

A.11.4.1 Politica de utilizare a serviciilor de retea

A.11.4.2 Autentificarea utilizatorului pentru conexiuni externe

A.11.4.3 Identificarea echipamentului din retele

A.11.4.5 Separarea retelelor

A.11.4.6 Controlul conectarii in retea

A.11.4.7 Controlul rutarii in retea

A.11.5.1  Proceduri de conectare securizata

A.11.5.2 Identificarea si autentificarea utilizatorului

A.11.5.5 Temporizarea sesiunii

A.11.5.6 Limitarea timpului de conectare

A.11.6.1 Restrictionarea accesului la informatii

A.11.6.2 Izolarea sistemelor importante

A.12.2.1 Validarea datelor de intrare

A.12.2.2 Controlul procesarii interne

A.12.2.3 Integritatea mesajului

A.12.2.4 Validarea datelor de iesire

A.12.3.1 Politica privind utilizarea masurilor de securitate criptografice

A.12.3.2 Managementul cheii de criptare

A.12.4.1 Controlul software-ului operational

A.12.4.3 Controlul accesului la codul sursa al programului

A.12.5.1 Proceduri de control a schimbarii

A.12.5.2 Analiza tehnica a aplicatiilor dupa schimbari in sistemul de operare

A.12.5.3 Restrictionarea modificarii pachetelor software

A.12.5.4 Scurgerea de informatii

A.12.5.5  Dezvoltarea externalizata de software

A.14.1.1 Includerea securitatii informatiilor in procesul de management al continuitatii afacerii

A.14.1.2 Continuitea afacerii si evaluarea riscului

A.14.1.3 Dezvoltarea si implementarea planurilor de continuitate incluzand securitatea informatiilor

A.14.1.4 Cadrul planificarii continuitatii afacerii

A.14.1.5 Testarea, intretinerea si reevaluarea planurilor de continuitate a afacerii

(Dacă nu sună bine, nu e vina mea. Traducerea este de la ASRO…)

Dacă analizăm şi celelalte cerinţe vom observa că se aplică aproape toate clauzele ISO 27001! Trebuie să menţionez că auditul de certificare este un audit de conformitate în timp ce auditul realizat de CISA va verifica şi măsura în care controlul existent îşi atinge obiectivele declarate….Adică nu doar hîrtii…..