Standarde de Securitate a Informației

Standardele de securitate informatica îsi focalizeaza atentia asupra existentei acestui proces de avertizare asupra pericolelor si nu asupra continutului sau.

Managementul standardelor de securitate informatica este unul dintre cele mai larg raspândite tipuri de management. Aceste standarde, în particular BS7799 si ultima sa versiune BS ISO/IEC17799:2000, au fost elogiate ca fiind piatra de temelie a oricarei activitati de management al securitatii informatice care are succes.

Aceste standarde sunt intens folosite si sprijinite de cercetatori si utilizatori, dar este de remarcat ca au o lacuna grava. Cercetatorii si cei care le folosesc se concentreza asupra faptului ca anumite procese sau activitati de securitate a informatiei exista însa, în acelasi timp, ignora cuprinsul acestora si omit sa dea indicatii despre cum aceste procese de securitate pot fi aplicate în situatii practice. E important ca un lucru sa fie facut bine si nu doar sa fie facut. Aceasta problema o regasim si în cadrul a patru standarde prestigioase de securitate a informatiei: BS ISO/IEC17799:2000, GAISP, SSE-CMM(2003) si Standardul Bunei Practici pentru Securitatea Informatiei.

Asadar, managementul standardelor de securitate a informatiei se concentreaza în primul rând asupra prezentei acestor procese de securitate, si nu asupra continutului lor.

Procesele se refera la un set de principii care fac ca sistemul sa fie sigur. De exemplu, „desfasoara o analiza asupra riscului” si „stabileste un program de avertizare” sunt exemple de principii care fac parte din acest tip de procese. Însa lipsa de atentie în ceea ce priveste continutul problemei este evidenta si poate fi analizata din doua unghiuri.

În primul rând standardele se preocupa doar de asigurarea simplei prezente a anumitor acivitati de securitate informatica într-o organizatie si sunt mai putin interesati de cât de bine se deruleaza acestea. În al doilea rând aceste procese, aceste îndrumatoare si principiile oferite de managementul standardelor de securitate informatica sunt abstracte, simpliste si nu furnizeaza indicatii despre cum sa se obtina, în practica, rezultatul dorit.

Aceasta problema a lipsei de continut deriva din faptul ca existenta unui proces sau a unei activitati de securitate, ca atare, nu mentioneaza nimic despre calitatea desfasurarii lor. Astfel, daca ele exista într-o organizatie, asta nu înseamna ca scopul lor a fost atins. Nu înseamna ca sistemele organizatiei sunt sigure, potrivit prevederilor din protocoalele de securitate.

Vom da exemple din fiecare din cele patru standarde de management al securitatii informatiei pentru a ilustra aceasta problema.

Primul exemplu este din BS ISO/IEC17799:2000, iar cel de-al doilea din SSE-CMM(2003).

Exemplul din BS ISO/IEC17799:2000 sugereaza angajatilor sa urmeze întocmai procedurile standardului de securitate,iar standardul implica realizarea unui program de avertizare care ar asigura înfaptuirea acestui lucru. Totusi, standardul nu sugereaza cum ar trebui sa fie instruiti si motivati utilizatorii ca sa urmeze acele proceduri de securitate. Evident ca simpla prezentare a unei politici de securitate si a unor îndrumari sau organizarea unor sesiuni de instruire nu implica automat faptul ca angajatii vor respecta aceste politici sau ca le vor adopta ca pe o misiune interna si vor urma în mod corect procedurile.

O problema similara o are si SSE-CMM care prescrie, la fel, un program de avertizare pentru angajati si nu mentioneaza nimic privind punerea în practica a standardului- ce strategii educationale trebuie urmarite în cadrul unor asemenea programe.