În postul precedent făceam vorbire de standarde şi tipuri de rapoarte. Iată acum două definiţii din INSTRUCŢIUNEA Nr.2/2011 privind auditarea sistemelor informatice utilizate de entităţile autorizate, reglementate şi supravegheate de Comisia Naţională a Valorilor Mobiliare
“6. date – orice reprezentare a unor fapte, informaţii sau concepte într-o formă care poate fi prelucrată printr-un sistem informatic,incluzându-se şi orice program informatic care poate determina realizarea unei funcţii similare de către un sistem informatic;
7. declarație de aplicabilitate – declaraţie care definește politica de securitate a sistemului informatic al entității și care va reflecta procesul de evaluare a riscurilor pe care entitatea și le-a asumat;”
Prima definiţie ar trebuie să fie identică cu cea din Legea 161 din 19/04/2003 privind unele masuri pentru asigurarea transparentei în exercitarea demnitatilor publice, a functiilor publice si in mediul de afaceri, prevenirea si sanctionarea coruptiei. Doar că s-a omis un cuvînt:
“d) prin date informatice se întelege orice reprezentare a unor fapte, informatii sau concepte într-o formã care poate fi prelucratã printr-un sistem informatic. În aceastã categorie se include si orice program informatic care poate determina realizarea unei functii de cãtre un sistem informatic;”
Cea de a doua definiţie se referă la o componentă mandatară din ISO 27001. Definiţia ne spune ce conţine o astfe de declaraţie. Recunosc că din textul citat nu am reuşit să înţeleg cum va arată un astfel de document. Mai mult, din articolul 4 aflăm că:
“(1) Entitățile prevăzute la art.3 alin.(1) lit. c) care utilizează sisteme informatice de prelucrare automată a datelor au obligaţia să elaboreze un set de măsuri de siguranță, în concordanță cu legislația în domeniu, ce va include cel puțin următoarele elemente:
….
E. plan de combatere a riscurilor. Riscurile care se vor lua în considerare în elaborarea planului sunt din următoarele categorii:
1. încălcarea legilor, reglementărilor și contractelor;
2. daune fizice;
3. împiedicarea realizării sarcinilor la parametrii de performanţă;
4. efect negativ asupra relaţiilor cu terţii, indiferent dacă aceștia sunt clienţi sau alte persoane cu care entitatea interacţionează;
5. consecinţe financiare;
F. declarație de aplicabilitate.”
Conform Art. 12.
“ (1) Entitățile prevăzute la art.3 alin.(1) lit. a), b), d)-h) și alin.(2) au obligaţia să obţină certificarea SMSI (în baza implementării standardelor SR EN ISO/IEC 27001:2005) emisă de o organizație națională sau internațională acreditată de un semnatar al acordului EA MLA.”
Ce spune ISO 27001 despre declaraţia de aplicabilitate (Statement of Applicability)?
“The SoA is a mandatory requirement for those organizations that are seeking certification to ISO/IEC 27001. The SoA is a document, wich presents the control objectives and controls that have been selected. This selection shall be linked to the results of the risk assessment and the risk treatment process. The linkage should indicate the justification and rationale for he selection of control objectives and controls. (…) The SoA shall also identify the control objectives and controls already implemented, and shall justify the exclusion of any of the control objectives or controls from ISO/IEC 27001 Annex A” – Guidelines on requirements and preparation for ISMS certification based on ISO/IEC 27001, British Standard Institution.
Citatul de mai sus este o descriere ceva mai narativă a cerințelor Clauzei 4.2.1, pct. j) din ISO 27001. Aici mai regăsim însă și o notă:
“The Statement of Applicability provides a summary of decisions concerning risk treatment. Justifying exclusions provides a cross-check that no controls have been inadvertently omitted”
Parcă nu seamnă cu definiţia citată. Acestea fiind clarificate ajungem acum la Art. 8.
“(1) Auditorul IT are obligația de a întocmi la încheierea auditării prevăzute la art.6 un raport de audit care trebuie să cuprindă cel puțin următoarele elemente:
….
9. opinia detaliată a auditorului privind îndeplinirea cerințelor prevăzute la art.4 și art.5 (pentru fiecare cerință, cu mențiunea: DA/NU, precum şi motivaţia.)”
Întrebare: dacă SoA este conform ISO 27001, dar nu “definește politica de securitate a sistemului informatic al entității” și nici nu “va reflecta procesul de evaluare a riscurilor pe care entitatea și le-a asumat” ce se va afirma despre această cerinţă în “opinia detaliată a auditorului” ? 
ADRIAN B. MUNTEANU 
Buna seara,
Cel mai probabil va fi o struto-camila care sa incerce sa impace atat cerintele instructiunii cat si cerintele ISO27001
Adica va include politica de securitate (sau extrase din ea) si evaluarea riscurilor, dar si lista de controale
ApreciazăApreciază
Buna Andrei,
Probabil aşa va fi atît timp cît s-a preluat ceva din ISO 27001, dar nu complet şi nici corect. Partea şi mai interesantă este că unele entităţi trebuie să fie auditate în timp ce altele trebuie să se certifice doar pe ISO 27001, dar în acest an au de ales între cele două posibilităţi.
ApreciazăApreciază
Bun,
Parerea mea este ca, in 2011, entitatile vor alege o certificare SMSI, sarind astfel peste capitolele II-V. De aici si o implementare (si certificare) mai laxa
Din 2012 insa, vor fi obligati sa fie atat auditati cat si certificati SMSI?
ApreciazăApreciază
Eu am înţeles că începînd cu 2012, toate entităţile cu excepţia SSIF – urilor, trebuie să fie certificate ISO 27001.
SSIF-urile rămîn cu auditul….
ApreciazăApreciază
Totul este corect, cu o completare: SSIF-urile raman cu auditul, mai putin SSIF-urile cu capital mai mare de 730.000E si care pot tranzactiona instrumente financiare pe cont propriu.
Cele din urma intra totusi sub incidenta Art 12, alin 1 din Instructiunea nr 2/2011 si sunt obligate la certificarea SMSI
ApreciazăApreciază
Multumesc pentru completare. Nu am verificat cum sint reglementate SSIF-urile.
ApreciazăApreciază
Au fost suspendate prevederile Intructiunii cu privire la audit si ISO 27001:
Dă clic pentru a accesa Dispunerea-05-2011.pdf
Nu mai exista insa diferentierea SSIF și alții. Vor intra toți sub aceeași umbrelă.
ApreciazăApreciază
care sunt procedurile si cum se numesc ele ale iso 27001?
ApreciazăApreciază
Interpretare ad literam a cerintelor standardului poate duce la ideea ca sint necesare 6 proceduri ( doar in cazul a 6 clauze apare cerinta de documentare a controalelor). Procedurile pot fi denumite oricum. Parte din ele insa trebuie corelate cu alte cerinte. De ex. in ISO 9001 exista o cerinta cu privire la controlul documentelor. Acelasi lucru se regaseste si in 27001.
Procedura trebuie sa porneasca de la proces. In caz contrar este un lucru facut de dragul de a fi facut….A se vedea in cite companii certificate 9001 procedurile chiar au imbunatatit calitatea procesului….Birocratia apare din cauza unui proces incorect definit si proiectat….
ApreciazăApreciază
Este SOA un document public?
ApreciazăApreciază
Public, in sensul de a fi publicat, nu. In cel mai bun caz poate fi etichetat ca „uz intern”. In practica, de cele mai multe ori este folosit pentru a demonstra partenerilor de afaceri, concret, care sint controalele aplicabile in organizatie.
Sa exemplific suplimentar: daca SoA prevede doar o procedura pentru controlul accesului pe laptopurile organizatiei fara nici o alta solutie software, un partener e foarte posibil sa considere ca de faot nu prea exista control in acea zona.
ApreciazăApreciază
Public, in sensul de-a fi posibil sa fie accesat si de terti, in afara auditorilor. Sunt indreptatiti partenerii sa ceara copii dupa SoA, fiind un document intern? Certificatul de autorizare deja releva faptul ca am fost verificati si auditati pe aceasta arie, nu e o intruziune chiar in domeniul de securitate? Va multumesc pentru promptitudine/
ApreciazăApreciază
Certificatul obtinut de la un organism de certificare confirma implementarea SMSI pentru un anumit domeniu.
Ca partener de afaceri doar din SoA pot sa vad ce controale sint implementate in mod real.
Sa luam exemplul unei companii certificata deja. Un partener de afaceri ii pune la dispozitie informatii confidentiale/proprietare si vrea sa se asigure ca aceste informatii nu vor fi divulgate in piata. Cum poate obtine aceasta asigurare? Doar din SoA, unde poate observa (continuind exemplul) ca exista politici/proceduri dar nici o solutie tehnica prin care informatiile din sistemul informatic al celui la care ajung informatiile, sint protejate impotriva copierii/divulgarii etc. In acest caz certificarea s-ar putea sa nu conteze prea mult pentru respectivul partener.
Este o cerinta chiar normala din partea partenerilor de afaceri sa solicite SoA: de aici se vede cit de temeinica/reala/corecta este implementarea SMSI.
ApreciazăApreciază