Politica de securitate: un simplu document sau un control?

Pînă la ordinul 1323/2020 emis de DNSC, în legislația noastră nu putea fi identificată nici o definiție cu privire la ce este și care este conținutul unei politici de securitate. Putem constata că, de multe ori, termenii politică, plan, program (de securitate) sînt folosiți chiar incorect.( Și ”economia politică” probabil este o traducere a ”economic policy”…) Nu doar în literatura academică dar și în standarde, termenul ”politică” atunci cînd se referă la ”securitatea informațiilor”, are mai multe definiții.

Definiții

  • security policy – A set of criteria for the provision of security services. (NIST – Glossary of terms)
  • information security policy – Aggregate of directives, regulations, rules, and practices that prescribes how an organization manages, protects, and distributes information. (NIST – Glossary of terms)
  • Policy – A document that communicates required and prohibited activities and behaviors (ISACA – Glossary of terms)
  • Security policy – A high-level document representing an enterprise’s information security philosophy and commitment. (ISACA Glossary of terms)

În ISO 27001 nu se regăsește o definiție propriu zisă ci referiri la conținut (Clauza 5.2):

Top management shall establish an information security policy that:

a) is appropriate to the purpose of the organization;

b) includes information security objectives (see 6.2) or provides the framework for setting information

security objectives;

c) includes a commitment to satisfy applicable requirements related to information security; and

d) includes a commitment to continual improvement of the information security management system.

The information security policy shall:

e) be available as documented information;

f) be communicated within the organization; and

g) be available to interested parties, as appropriate.

Ordinul 1323/2020 precizează că politica de securitate a OSE ”stabilește obiectivele strategice de securitate, descrie guvernanța securității și reflectă toate politicile specifice de securitate ale SMSI (procesul de acreditare de securitate, audit de securitate, criptografie, întreținere securitate, manipulare incidente etc.).” Este o definiție care se aseamănă cu cea din NIST.

Scriam mai sus că există diferențe între o politică de securitate și un program de securitate: politica stabilește regulile prin care programul este pus în practică!

Prin programul de securitate se identifică activele, procesele, resursele umane, tehnologia care au impact asupra securității IT etc. Pentru că un program de securitate include cele menționate, politica de securitate este considerată un document de ”nivel înalt” și poate include referiri la politici specifice subiectelor din program.

Este firesc să folosim ”modele” (template) pentru realizarea unei politici de securitate. Dar ”modelul” nu se referă la subiectele incluse în politică ci la elementele componente (structura) ale acesteia (Scop, obiective, resonsabil(i), cerințe legale etc). Nici în acest caz nu vom regăsi referințe legale cu privire la modul de structurare a unei politici de securitate ci doar la conținut. În Ghidul publicat de către DNSC și ISACA Romania este sugerată abordarea dezvoltării prin referire la alte politici. Există însă suficientă literatură care descrie ”cuprinsul” unei politici de securitate)

Indiferent dacă discutăm despre ”politica generală” sau de politici individuale, din perspectiva auditului în cazul ”politici și proceduri” din imaginea de mai sus, interesează pentru început ca politica să aibă asociat un responsabil cu putere de decizie căruia îi revin sarcinile de dezvoltare, punere în aplicare, revizie și evaluare. Apoi, în timpul auditului se realizează ”unirea” cu celelalte 5 ”buline”, pentru că ”politica de securitate” este un control care trebuie testat și nu doar o bucată de hîrtie care trebuie să existe pentru că așa scrie în Ordinul 1323.

Mulţumesc.

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Conectare la %s

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.