Proiect cofinanţat din Fondul Social European prin Programul Operaţional Capital Uman 2014-2020
Proiect cofinanţat din Fondul Social European prin Programul Operaţional Capital Uman 2014-2020
Autor: Ilona Vitan
Din luna mai 2018 a fost pus în aplicare Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date, cunoscut prin prescurtarea GDPR. Acest regulament european introduce un set de reguli care impun companiilor și organizațiilor să implementeze controale pentru a proteja datele cu caracter personal.
Și în România, implementarea și respectarea cerințelor standardului SR EN ISO/IEC 27001:2018 „Tehnologia informației. Tehnici de securitate. Sisteme de management al securității informației” este recomandată de ASRO (organismul național de standardizare). Cerințele descrise în acest standard ajută companiile să se conformeze, acesta fiind un document-cadru pentru protecția informațiilor. Conform GDPR, datele personale sunt informații critice pe care toate companiile trebuie să le protejeze.
O parte din cerințele privind GDPR nu sunt acoperite în mod direct în standardul SR EN ISO/IEC 27001 (ex.: susținerea drepturilor subiecților de date cu caracter personal: de a fi informați, ștergerea datelor sau transferabilitatea datelor), însă prin implementarea standardului acestui standard, care identifică datele personale ca fiind un element de securitate a informațiilor, se vor îndeplini multe din cerințele GDPR.
Dintre care cele mai relevante aspecte în privința cărora standardul poate veni în sprijinul companiilor pentru conformare, amintim: evaluarea riscurilor, relațiile cu furnizorii, conformitatea, gestionarea activelor, confidențialitatea prin proiectare.
SR EN ISO/IEC 27001:2018 conține cerințele în vederea stabilirii, implementării, întreținerii și îmbunătățirii continue a unui sistem de management al securității informației în cadrul companiei și, totodată, cerințele pentru evaluarea și tratarea riscurilor de securitate a informației potrivit nevoilor companiei. Cerințele specificate în standard sunt destinate aplicării în cadrul companiilor din orice domeniu și de orice dimensiune.
Sistemul de management al securității informației păstrează confidențialitatea, integritatea și disponibilitatea informațiilor prin aplicarea unui proces de management al riscului și conferă încredere părților interesate că riscurile sunt gestionate corespunzător.
Sistemul de management al securității informației trebuie să fie parte integrantă din procesele și structura de management a companiei, iar securitatea informației trebuie obligatoriu avută în vedere în proiectarea proceselor, sistemelor informaționale și a mijloacelor de control. Desigur, implementarea trebuie să fie dimensionată în conformitate cu nevoile proprii. De altfel, stabilirea și implementarea unui sistem de management al securității informației este de domeniul strategic al companiei și, ca atare, este influențată de obiective, procese, dimensiunea și structura companiei.
Un alt standard ce privește securitatea datelor este SR EN ISO/IEC 27002:2018 intitulat „Tehnologia informației. Tehnici de securitate. Cod de bună practică pentru managementul securității informației”. Standardul trasează principalele linii directoare pentru standardele de securitate a informației și practicile de management al securității informației la nivel de companie, inclusiv în ce privește alegerea, implementarea și managementul mijloacelor de control, cu luarea în considerare a mediilor de risc de securitate a informației. Conform ASRO, standardul este destinat utilizării de către companii drept referință în alegerea mijloacelor de control în cadrul proceselor de implementare ale unui sistem de management al securității informației (SMSI) bazat pe SR EN ISO/IEC 27001 sau drept document de îndrumare pentru companiile care implementează mijloace de control de securitate a informației general acceptate.
Seria ISO/IEC 27000 conține un număr mare de standarde internaționale dedicate managementului securității informației, cu rolul de a ajuta companiile să păstreze siguranța informațiilor. Cel mai relevant standard din aceasta serie stă și la baza certificării sistemului de management al securității informației, respectiv SR EN ISO/ IEC 27001:2018, dar utilizarea tuturor standardelor din această serie ajută compania să gestioneze securitatea informațiilor financiare, proprietatea intelectuală, detaliile angajatului sau informațiile încredințate de terțe părți.
Seria de standarde internaționale ISO/IEC 27000 cuprinde următoarele standarde ce au fost adoptate ca standarde române:
SR EN ISO/IEC 27000:2017 „Tehnologia informației. Tehnici de securitate. Sisteme de management al securității informației. Privire de ansamblu și vocabular”
SR EN ISO/IEC 27001:2018 „Tehnologia informației. Tehnici de securitate. Sisteme de management al securității informației. Cerințe” – pentru stabilirea, implementarea, întreținerea și îmbunătățirea continuă a unui sistem de management al securității informației.
SR EN ISO/IEC 27002:2018 „Tehnologia informației. Tehnici de securitate. Cod de bună practică pentru managementul securității informației” – linii directoare pentru standardele de securitate a informației și practicile de management al securității informației ale companiei.
SR ISO/CEI 27003:2013 „Tehnologia informației. Tehnici de securitate. Îndrumări privind implementarea unui sistem de management al securității informației” – îndrumări practice pentru elaborarea planului de implementare a unui sistem de management al securității informației.
SR ISO/IEC 27004:2016 „Tehnologia informației. Tehnici de securitate. Managementul securității informației. Măsurare” – îndrumări pentru elaborarea și utilizarea măsurilor și a măsurării în vederea evaluării eficacității unui sistem de management al securității informației.
SR ISO/IEC 27005:2016 „Tehnologia informației. Tehnici de securitate. Managementul riscului de securitate a informației” – precizăm că acest standard a fost anulat pe 28 septembrie 2018, locul lui fiind luat de ISO/IEC 27005.
SR ISO/IEC 27006:2016 „Tehnologia informației. Tehnici de securitate. Cerințe pentru organismele care furnizează servicii de auditare și certificare a sistemelor de management al securității informației” – specifică cerințe și furnizează îndrumări pentru organismele care furnizează servicii de auditare și certificare a sistemelor de management al securității informației în plus față de cerințele conținute în ISO/IEC 17021 și ISO/IEC 27001. Este destinat în primul rând sprijinirii acreditării organismelor de certificare care asigură certificarea SMSI.
SR ISO/IEC 27007:2016 „Tehnologia informației. Tehnici de securitate. Linii directoare pentru auditarea sistemelor de management al securității informației” – furnizează, suplimentar față de SR EN ISO 19011, îndrumări privind managementul unui program de audit al sistemelor de management al securității informației, efectuarea auditurilor și competențele auditorilor.
Informații suplimentare privind seria de standarde ISO/IEC 27000 dar și alte standarde, din toate domeniile de activitate, puteți obține de la Centrul Zonal ASRO din cadrul Camerei de Comerț și Industrie Iași.