Securitatea Informatiilor

w w w . t u v . r o1

w w w . t u v . r o

010561 BucureştiCalea Dorobanţilor 103-105

Tel.: 021-3188834Fax: 021-3188835

www.tuv.ro

academia@tuv.ro

TÜV Rheinland Romania

w w w . t u v . r o2

w w w . t u v . r o

Sistemul de Management al Securitatii

Informatiilor– In era comunicatiilor Infrastructura IT constituie o resursa

critica in dezvoltarea afacerii iar informatiile sunt vitale pentrudezvoltarea activitatii organizatiei.

- Informatia reprezinta un bun al afacerii care trebuie protejat

- Informatiile trebuiesc protejate corespunzator de o gama largade amenintari pentru a se putea asigura continuarea afacerii, sia minimiza pierderile

- Informatia poate fi stocata astfel:- Pe suport electronic- Pe suport neelectronic

w w w . t u v . r o3

w w w . t u v . r o

Securitatea Informatiilor

Protejarea informatiilor (datelor) impotrivaamenintarilor are ca scop :

• Asigurarea supravietuirii companiei

• Minimizarea potentialelor daune de ordin financiar

• Maximizarea profitului si perspectivele organizatiei

w w w . t u v . r o4

w w w . t u v . r o

� Sistem de management pentru securitatea informatiei

: acea parte a unui sistem general de management, care se

bazeaza pe abordarea riscului afacerii, in scopul stabilirii,

implementarii, functionarii, monitorizarii, analizei, mentinerii

si imbunatatirii securitatii informatiei

w w w . t u v . r o5

w w w . t u v . r o

Seria de standarde 27000

ISO 27000

Contine un set de definitii si vocabular pentru securitatea informatiilor

ISO 27001:2005

Tehnologia Informatiei – Tehnici de Securitate – Sistemul de Management al Securitatii Informatiilor – Cerinte

Versiunea finala a ISO 27001:2005 a fost publicata in octombrie 2005

Ce reprezinta ISO 27001:2005 ?Referential pentru certificarea ISMS

Inlocuieste standardul BS 7799-2

Este armonizat cu ISO 9001:2000 si ISO 14001

w w w . t u v . r o6

w w w . t u v . r o

ISO 27002 ISO 17799:2005

Tehnologia informatiei- Cod de practica pentru managementulsecuritatii informatiei

British Standard Institute (BSI) a publicat in 1995 BS 7799-1 iarin anul 2000 a devenit ISO 17799.

ISO 17799 a fost revizuit in iunie 2005In acest standard sunt precizate recomandari pentru

managementul securitatii informatiilor pentru a fi de folos celorcare sunt responsabili pentru initierea, implementarea saumentinerea ISMS in organizatia lor.

Ca si ISO 9001 acest standard este relevant pentru toate tipurile de organizatii indiferent de tipul si marimea acestora.

w w w . t u v . r o7

w w w . t u v . r o

ISO 27003 - Ghid de implementare pentru seria de standarde27000

ISO 27004 – Indicatori de eficienta ISMS

Acest standard vine in ajutorul organizatiilor cu un set de masuri si indicatori de masurare si raportare a eficientei in cadrul sistemului de management al securitatii informatiilor

w w w . t u v . r o8

w w w . t u v . r o

ISO 27005 – Managementul riscului (BS 7799-3)

Inlocuieste BS 7799-3:2005 – Sisteme de management al securitatii informatiilor – ghiduripentru implementarea managementului riscului si estedefapt un nou standard britanic aparut in decembrie2005. ISO 27005Se anticipeaza ca BS 7799-3:2005 va fi adoptat ca standard ISO si va deveni ISO 27005.

ISO 27006 - Disaster recovery – Business Continuity Plan

w w w . t u v . r o9

w w w . t u v . r o

ISO 27001:2005

Capitole:

0). Introducere

1). Scop

2). Normative si referinte

3). Termeni si definitii

4). Sistemul de Management al Securitatii Informatiilor

5). Responsabilitatea managementului

6). Analiza de management a ISMSI

7). Imbunatatirea ISMSI

Anexa A (normative) obiectivele de control si controale

Anexa B (informatii) Organizatia pentru dezvoltare si cooperareeconomica, principiile standardului modelul PDCA

Anexa C (informatii) corespondenta intre ISO 9001:2000, ISO 14001:2004 si acest standard

w w w . t u v . r o10

w w w . t u v . r o

Managementul Securitatii include:

- Clasificarea informatilor

- Organizarea structurii de securitate in organizatie (ierarhia)

- Ghiduri

- Standarde (aplicabile in organizatie)

- Politicile de securitate

- Proceduri

- Managementul Riscului

- Educatia personalului privind securitatea informatiilor

w w w . t u v . r o11

w w w . t u v . r o

Clasificarea informatiilor

Ierarhizarea informatiilor in functie de importanta (valoare)

Ghiduri de clasificare (Informatiile trebuie clasificate in functie de valoare, cerinte legale, sensibilitate ..)

Informatii

- Pe suport electronic

- Pe suport neelectronic

w w w . t u v . r o12

w w w . t u v . r o

Informatii pe suport electronic

• Servere,

• Statii de lucru,

• CD-uri, Dischete, unitati de stocare externa,

• Posta electronica (mail)

• Web

• etc.

w w w . t u v . r o13

w w w . t u v . r o

Informatii pe suport neelectronic

• Dosare

• Scrisori

• Fax-uri

• Carti

• Afise

• etc.

w w w . t u v . r o14

w w w . t u v . r o

Organizarea structurii de securitate in organizatie

Ierarhizare a functiilor la nivelul organizatiei

Ex.- Manager

- Responsabilul cu securitatea informatiilor in organizatie (CIO)

- Responsabili cu securitatea pe departamente

- etc

w w w . t u v . r o15

w w w . t u v . r o

Ghiduri - Standarde

Ghiduri de folosire

Standardele aplicabile in organizatie

w w w . t u v . r o16

w w w . t u v . r o

Politici de securitate

Managementul organizatiei trebuie sa stabileasca niste reguli,

politici de securitate in cadrul organizatiei astfel incat fiecare

angajat, salariat sa ia la cunostinta, si sa respecte aceste reguli.

Aceasta politica trebuie comunicata utilizatorilor intr-o forma

clara concisa si accesibila.

w w w . t u v . r o17

w w w . t u v . r o

Definirea Politicilor de Securitate

Asigurarea securitatii retelei presupune adoptarea unui set de norme, reguli si politici, care sa nu lase nimic la voiaintimplarii.

Intr-o retea de calculatoare modelul de securitate presupune treinivele si anume :

- Securitatea fizica

- Nivele logice de securitate

- Conectare sigura

w w w . t u v . r o18

w w w . t u v . r o

.

Politicile de securitate vin in ajutorul administratorilor de retea sia utilizatorilor pentru a evita situatiile neprevazute.

Cele mai importante politici de securitate sunt:

- Prevenirea

- Autentificarea

- Instruirea

w w w . t u v . r o19

w w w . t u v . r o

.- Prevenirea: este cea mai buna politica de protejare a datelor. Prin

prevenirea accesului neautorizat in retea, datele vor fi in siguranta;

- Autentificarea: este politica prin care se asigura prima linie de aparareimpotriva utilizatorilor neautorizati. Asta inseamna ca accesul intr-o reteanecesita un nume de utilizator valid si o parola.

- Instruirea: este o politica pe care administratorii de retea trebuie sa o promoveze permanent in randul utilizatorilor. In acest sens administratoriide retea trebuie sa elaboreze un set de reguli (ghid) clar, concis, cu notiunilepe care utilizatorii trebuie sa le cunoasca cu privire la procedurile de operaresi asigurare a securitatii in retea.

w w w . t u v . r o20

w w w . t u v . r o

Proceduri

Set de reguli stabilite la nivelul companiei.

Ex.

Etichetarea si manipularea informatiilor (proceduri de etichetare si manipulare)

w w w . t u v . r o21

w w w . t u v . r o

Managementul riscului

- Managementul riscului - activitatile de conducere si control ale unei organizatii din punct de vedere al riscului

- Analiza de risc identifica bunurile companiei, descopera eventualele amenintari asupraacestora si calculeaza riscul, estimandposibilele daune si potentialele pierderi ale companiei daca aceste amenintari devinposibile (reale)

w w w . t u v . r o22

w w w . t u v . r o

Rezultatul unei analize de risc, ajuta managementulpentru alocarea unui buget atat cat este necesar pentruprotejarea bunurilor, identificarea amenintarilor sidezvoltarea unei politici de securitate aplicabile in companie.

Implicarea managementului este factorul hotarator in implementarea unui Sistem de management al securitatii informatiilor in companie

w w w . t u v . r o23

w w w . t u v . r o

- Tratarea riscului - proces de selectie si implementare a masurilor de control pentru reducerea riscului

- Amenintare - cauza potentiala a unui incident care poate provoca daune

- Vulnerabilitate - slabiciune a unui bun sau grupuri de bunuri care poate fi exploatata de o amenintare

- Impact - daunele cauzate de un incident

w w w . t u v . r o24

w w w . t u v . r o

Etapele procesului de analiza a riscurilor

- Identificarea si evaluarea bunurilor

- Identificarea cerintelor de securitate

- Evaluarea probabilitatilor de manifestare a amenintarilor si vulnerabilitatilor

- Calculul riscurilor

- Alegerea optiunilor de tratare a riscurilor

- Alegerea masurilor de control pentru reducereariscurilor la un nivel acceptabil

w w w . t u v . r o25

w w w . t u v . r o

Identificarea bunurilor

ISO17799

ResponsabilitateaClasificarea

Inventarul bunurilor

IdentificareLocalizareDetinator(responsabil)Bunuri informaticeDocumente pe hârtieSoftwareBunuri fizicePersoaneImaginea organizatieiServicii

w w w . t u v . r o26

w w w . t u v . r o

Evaluarea bunurilor

Daunele potentiale

- Valoare- Divulgare- Modificare/distrugere- Indisponibilitate

Felul daunelor

- Financiare- Reducere profit- Reducere cota piata- Afectare imagine

w w w . t u v . r o27

w w w . t u v . r o

Educatia privind securitatea informatiilor

Educatia angajatilor companiei a devenit o practicauzuala.

Aceasta educatie se face cu scopul de a apara intereselecompaniei

(Scolarizari si testari periodice)

w w w . t u v . r o28

w w w . t u v . r o

Responsabilul cu securitatea informatiilor din organizatie trebuiesa se asigure ca obiectivele Sistemului de Management al Securitatii Informatiilor sunt implementate.

Urmatoarele controale trebuie utilizate pentru implementarea unuisistem de management al securitatii informatiilor:

- Controale administrative

- Controale tehnice

- Controale fizice

w w w . t u v . r o29

w w w . t u v . r o

Controale administrative

Includ dezvoltarea si publicarea

- politicilor,

- standardelor,

- procedurilor si ghidurilor de utilizare,

- selectarea personalului, inclusiv scolaizari

- Implementarea procedurilor schimbarilor in organizatie

w w w . t u v . r o30

w w w . t u v . r o

Controale tehnice

- Implementarea si mentinerea unui mecanismde control acces, parole

- Echipamente de securitate

- Configurari

w w w . t u v . r o31

w w w . t u v . r o

Controale fizice

- Controlul accesului in cladiri

- Protejarea perimetrelor

- Monitorizarea intruziunilor

- Controale privind mediul inconjuraor

w w w . t u v . r o32

w w w . t u v . r o

Controale fizice:

Controale tehnice

Controale administrative

Datele companiei

si bunurile

w w w . t u v . r o33

w w w . t u v . r o

Principiile de baza ale securitatii informatiilor• Confidentialitatea:

- Asigurarea ca informatia este accesibila numaipersoanelor autorizate

- Integritatea:

- Pastrarea acuratetei si completitudinii informatieiprecum si a metodelor de procesare

- Disponibilitatea:

- asigurarea faptului ca utilizatorii autorizati au acces la informatie si la resurse atunci cind este necesar

w w w . t u v . r o34

w w w . t u v . r o

Disponibilitatea

Obiectivele

sec. inf.

Integritatea Confidentialitatea

w w w . t u v . r o35

w w w . t u v . r o

Amenintari la adresa informatiei

• Cauze umane:

Eroare/Neglijenta

Furt

Hacking, Cracking, Social engineering

Malware

Sabotaj

Spionaj

Terorism

w w w . t u v . r o36

w w w . t u v . r o

.

Cauze legate de costuri:

– Lipsa de personal calificat

– Minimizarea proceselor de testare a sistemelor sauprogremelor folosite

– Procese inadegvate de productie / service / distributie

w w w . t u v . r o37

w w w . t u v . r o

.

Cauze tehnice:

Hardware / Software

w w w . t u v . r o38

w w w . t u v . r o

.

Cauze externe:

Dezastre naturale

incidente

accidente

terorism

w w w . t u v . r o39

w w w . t u v . r o

Securitate fizica si a mediului:

– atac cu bomba

– incendiu

– cutremur

– contaminare mediu

– inundatie

– fulger

– furt

– vandalism

w w w . t u v . r o40

w w w . t u v . r o

Securitatea echipamentului:

– cadere alimentare

– incendiu

– inundatie

– eroare de intretinere

– soft daunator

– accesul persoanelor neautorizate la retea

– furt

– eroare de utilizare

– defectiune sistem de racire

– vandalism

w w w . t u v . r o41

w w w . t u v . r o

Planificarea continuitatii afacerii

– Lipsa personal

– Vandalism

– Incendiu

– Cutremur

– Inundatii

– fulger

w w w . t u v . r o42

w w w . t u v . r o

Conformitatea cu cerintele legale

– utilizarea de software ilegal

– accesul persoanelor neautorizate la retea

– penetrarea comunicatiilor

– Interceptarea

– import/export de software ilegal

– substituirea identitatii

w w w . t u v . r o43

w w w . t u v . r o

Exemple de vulnerabilitatiSecuritate fizica si a mediului

- Controlul accesului in cladiri si birouri necontrolat – poate conduce la sabotaj

- Lipsa protectiei fizice a cladirii – (ex. camere video, etc) – furt

- Amplasarea cladirii intr-o zona vulnerabila la inundatii, foc,…etc

- Depozitarea necontrolata – furt

- Lipsa unei proceduri de stocare a informatiilor (ex. inf. ref. la personal, datele acestora care sunt confidentiale)

w w w . t u v . r o44

w w w . t u v . r o

Securitatea personal- absenta personalului autorizat;

- nesupravegherea personalului de intretinere (furt);

- instruirea insuficienta sau neadegvata a politicilor de securitate;

- documentatii insuficiente cu privire la utilizarea echipamentelor si a programelor;

- lipsa unui mecanism de monitorizare (echipamente si utilizare software neautorizat);

- lipsa procedurilor de utilizare a comunicatiilor (utilizarea retelei si a liniilortelefonice in mod neautorizat – exemplu Social Engineering);

- selectarea inadegvata de personal (poate conduce la sabotare sau utilizareainadegvata)

w w w . t u v . r o45

w w w . t u v . r o

Administrarea calculatoarelor, severelor,

echipamentelor de comunicatie si a retelei– linii de comunicatie neprotejate – interceptare – ex. serviciul connex– puncte de conexiune neprotejate (ex. fire de retea,….prize …);– lipsa mecanismelor de identificare a utilizatorilor (substituirea

identitatii) ex man in the middle);– transferul parolelor – accesarea retelei de catre persoane neautorizate

(ex. utiliz. care isi scriu parola pe un postit lipit de monitor – sau cuvintelegate de numele pers, sau data de nastere …exemple de hacking);

– administrarea neadegvata a retelei;– lipsa unor mecanisme de evidenta transmitere / primire (ex. fax,

mail…etc);– lipsa service sau service neadegvat;– lipsa protectiei impotriva caderilor de tensiune sau fluctuatilor de

tensiune

w w w . t u v . r o46

w w w . t u v . r o

Control acces- interfata de acces a utilizatorului complicata (posibilitatea

de erori);

- administrare defectuoasa a parolelor (posibilitatea de substituire a identitatii);

- lipsa controlului la download si upload de informatii sisoftware;

- lipsa unui control adegvat al modificarilor;

- lipsa unor proceduri de stergere a mediilor de stocare in vederea reutilizarii

w w w . t u v . r o47

w w w . t u v . r o

Cerinte legale, contractualelegate de securitate

– Datele personale (serviciul personal – date personale confidentiale) drepturi de autor / licente;

- informatii clasificate;

- date organizationale (structura organizatorica a intreprinderii);

- cerinte contractuale (date privind contractele – tarife – conditii –clauze);

– documente sau informatii legate de organizatie, parteneri, furnizori. etc

w w w . t u v . r o48

w w w . t u v . r o

Relatia dintre componentele securitatiiinformatiilor

Agent

amenintator

Amenintare

Poate crea

Vulnerabilitate

Expluateaza

Risc

Creaza

Bunul

Poate distruge

ExpusPoate fi

Dispozitive de

siguranta

(protejare, paza, etc)

Afecteazadirect

w w w . t u v . r o49

w w w . t u v . r o

Furturi de echipamenteLipsa pazaIntrus

Blocarea sistemelor, afectareadisponibilitatiiserviciilor

Lipsa setarilor firewall, detectarea intruziunilor.Cracker

Divulgarea inf.Accesul lejer la informatiiContract de mentenanta retea

Partajarea inf (Sharing)Lipsa programelor de instruire. Lipsa auditAngajati

Distrugeri ale bunurilorLipsa stingatoarelorFoc

Defectiuni ale sist.Configurarea neadegvata a parametrilor sist. de operareUtilizatori

Acces neautorizat la inf. Confid.

Rularea de programe pe server, calcHacker

Infectarea sistemuluiLipsa unui program antivirusVirus

RezultatulPoate genera o vulnerabilitateAgent

amenintator

w w

w . t u

v . r o50

w w

w . t u

v . r o

.Nivel de importanta

Nivelde probabilitate

Foc

Fenomenenaturale(furtuni)

Atac pe internet

Folosirea inadegvata a internetului

Erori de utilizare

w w w . t u v . r o51

w w w . t u v . r o

MODELUL PDCA

Stabilirea – se stabileste ce anume trebuie facut, intelegereacerintelor si stabilirea politicilor de securitate si obiectivele de securitate.

Implementarea – implementarea sistemul

Operarea – se opereaza conform procedurilor si politicilorstabilite

Monitorizarea – se monitorizeaza prin inregistrari, loguri, procesul SMSI

Mentinerea – se mentine in permanenta SMSI

Imbunatatirea – se imbunatateste in permanenta SMSI

w w w . t u v . r o52

w w w . t u v . r o

MODELUL PDCA

w w w . t u v . r o53

w w w . t u v . r o

MODELUL PDCA

• PLAN

• definirea ariei de aplicare a politicii,

• identificarea si evaluarea riscurilor,

• managementul riscurilor prin obiective si controale

w w w . t u v . r o54

w w w . t u v . r o

MODELUL PDCA

Implementarea DO

- implementarea unor planuri de combatere a riscurilor posibile

- implementarea controalelor selectate pentru atingereaobiectivelor

w w w . t u v . r o55

w w w . t u v . r o

MODELUL PDCA

Controleaza - Verifica ( Ceck )

• - procedurile de monitorizare

• - revizii periodice ale SMSI

• - revizii ale nivelelor de risc (risc acceptat)

• - audituri interne

• Nu este deajuns sa se implementeze si sa se monitorizeze SMSI.

• El trebuie mentinut si imbunatatit in permanenta

w w w . t u v . r o56

w w w . t u v . r o

MODELUL PDCA

Actioneaza ( Act )

• - implementeaza imbunatatirile adegvate in SMSI

• - Actiuni corective si preventive

• - comunica actiunile

• - validarea imbunatatirilor

w w w . t u v . r o57

w w w . t u v . r o

1 Scop

Acest standard se refera la toate tipurile de organizatii indiferentde marimea si domeniu de activitate

Standardul specifica cerinte pentru :

- stabilirea (establish)

- implementarea

- monitorizarea

- analiza (review)

- mentinerea

- imbunatatirea

unui SMSI documentat in contextul riscurilor in afaceri

w w w . t u v . r o58

w w w . t u v . r o

Scop

Acest standard specifica cerintele pentru implementarea

controalelor de securitate personalizate in functie de specificul

organizatiilor sau ale partilor interesate.

SMSI este proiectat sa asigure controale de securitate adegvate si

proportionate care sa asigure o protectie adegvata bunurilor

informationale si sa dea incredere partilor interesate.

w w w . t u v . r o59

w w w . t u v . r o

EvenimenteObiectivele afacerii

Oportunitati ale afacerii

Cerinte externe

Regulamente

Risc

Date

Tehnologie

Facilitati

Oameni

Mesajede

intrare

Serviciide

iesire

InformatiiEficiente

Confidentiale

Integritate

Disponibilitate

Incredere, siguranta

w w w . t u v . r o60

w w w . t u v . r o

Beneficiile implementarii si certificarii conform

standardului

ISO 27001:2005- O politică de securitate a informaţiilor specifică companiei dvs.- Un plan de continuitate al afacerii şi de recuperare in caz de dezastru, adecvatorganizaţiei- Reducerea riscurilor operaţionale şi prevenirea acţiunilor în instanţă- Creşterea productivităţii- Siguranţă în exploatarea sistemelor informatice- Practici eficiente de recrutare a personalului

- creşterea profesionalismul angajaţilor

- protejarea principalelor valori/bunuri ale companie

- menţinerea disponibilităţii şi performanţei sistemelor informatice,

w w w . t u v . r o61

w w w . t u v . r o

Beneficiile implementarii si certificarii

- reducerea riscului vulnerabilităţilor ce ar putea fi exploatate şi mai ales timpii de nefuncţionare

- îmbunătăţirea sistemului de prevenire şi tratare a incidentelor de securitatea informaţiilor.

- Imaginea pe piaţă a companiei dvs. se va schimba radical

- Increderea celor cu care veţi dori să încheiaţi afaceri de succes şiprofitabile.

- Stabilirea unui sistem documentat de reguli, responsabilitati, comunicare, masurare, monitorizare, pentru tot personalul organizatiei

- informaţiile confidenţiale şi vitale pentru derularea afacerii vor fi securizate

w w w . t u v . r o62

w w w . t u v . r o

De ce certificare SMSI ?

- Instrument de imbunatatire si consolidare a pozitiei de piata

- Sporirea increderii clientilor in modul in care organizatia dvs gestioneazainformatiile referitoare la acestia

- Cerinta contractuala;

- Participare la licitatii;

- Conexiunea cu legea Informatiilor Clasificate;

- NATO – Aderarea la UE;

- Integrarea cu alte sisteme de management ale organizatie: de ex: sistemul de Management al Calitatii

w w w . t u v . r o63

w w w . t u v . r o

Protectia informatiilor clasificate

Legi si Reglementari

- Legea nr 182/12.04.2002 privind protectia informatiilor clasificate- HG 781 / 2002 privind protectia informatiilor secrete de serviciu- Legea nr. 365/07.06.2002 privind comertul electronic- Legea 455/18.06.2001 privind semnatura electronica- Legea 544/12.10.2001 privind liberul acces la informatiile de interes public- Legea 677/21.10.2001 privind protectia persoanelor cu privire la prelucrarea

datelo cu caracter personal si libera circulatie a acestor date- Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal si

protectia vietii private in sectorul comunicatiilor electronice- Legea nr. 51/1991 privind siguranta nationala a Romaniei

w w w . t u v . r o64

w w w . t u v . r o

Standarde de referintaISO/IEC 20000 - reprezintă primul standard internaţional pentruManagementul Serviciilor IT, fiind perfect compatibil cu ITIL –IT Infrastructure Library. Acest nou standard inlocuieşte standardul britanic BS 15000.

Ca şi BS 15000, acest standard a fost elaborat în două părţi si anume:Partea I - ISO/IEC 20000-1:2005 – Specificatii pentrimanagementul serviciilor, aceste cerinţe ale managementuluiserviciilor IT, fiind utile responsabililor de iniţierea, implementareaşi/sau mentenanţa managementului serviciilor IT în cadrulorganizaţiilor proprii.Partea II - ISO/IEC 20000-2:2005 - Cod de practica pentruserviciile de management, indrumări pentru auditorii interni sau ceicare se pregătesc pentru auditare în vederea certificării conform referenţialului ISO/IEC 20000-1:2005

w w w . t u v . r o65

w w w . t u v . r o

Standarde conexe2004

SR ISO/CEI 15408-1:2004Tehnologia informaţiei - Tehnicide securitate - Criterii de evaluare pentru securitateatehnologiei informaţiei - Partea 1: Introducere şi model general

2005

SR ISO/CEI TR 14516 Tehnologia informaţiei – Tehnici de securitate – Îndrumări pentru utilizarea şi administrareaserviciilor părţilor terţe de încredereSR ETSI TS 102 023 V1.2.1 Semnaturi electronice siinfrastructuri (ESI); Cerinţe privind politica pentru autorităţilede marcare temporală

w w w . t u v . r o66

w w w . t u v . r o

.SR ISO/CEI 9126-1 Inginerie software– Calitatea produsului – Partea 1:

Modelul calităţiiSR ISO/CEI 15939 Inginerie software – Proces de măsurare a software-ului

Standarde de tehnologia informaţiei propuse spre adoptare de catreMCTI (Ministerul Comunicatiilor si Tehnologiei Informatiilor)

Software si system engineering

ISO/IEC 14598-1 : 1999 Tehnologia informatiilor – Evaluarea produsului-Part 1: criterii generaleISO/IEC 145098-2 : 2000 Software engineering – Evaluarea produsului- Part 2: Planificare si managementISO/IEC 145098-3 : 2000 Software engineering - Evaluarea produsului

- Part 3: Dezvoltarea proceselor

w w w . t u v . r o67

w w w . t u v . r o

.

ISO/IEC 145098-4 : 1999 Software engineering - Evaluareaprodusului - Part 4: Evaluarea proceselorISO/IEC 145098-4 : 1998 Information technology – Evaluareaprodusului software - Part 5: Evaluarea proceselorISO/IEC 15504-1 : 2004 Information technology – Evaluareaproceselor - Part 1: Concept si vocabularISO/IEC 15504-2 : 2003 Information technology – Evaluareaproceselor - Part 2: Procesul de evaluareISO/IEC 15504-3 : 2004 Information technology - Evaluareaproceselor - Part 3: Ghiduri de evaluare a proceselorISO/IEC 15504-4 : 2004 Information technology - Process assessment - Part 4: Ghiduri pentru imbunatatirea proceselor sideterminarea capabilitatii acestora

w w w . t u v . r o68

w w w . t u v . r o

Tehnici de securitate IT

ISO/IEC 13335-1 : 2004 Information technology – Tehnici de securitate – Managementul informatiilor si securitateainformatiilor - Part 1: Concepte si modeletermeni de bazaISO/IEC TR 13335-2 : 1998 Information technology –

Managementul si planificarea securitatii IT - proiectareaprocesului de securitate ITISO/IEC TR 13335-3 : 1998 Information technology – Tehnicipentru managementul securitatiiISO/IEC TR 13335-4 : 2000 Information technology -Alegerea masurilor de siguranta

w w w . t u v . r o69

w w w . t u v . r o

.

ISO/IEC TR 13335-5 : 2001 Information technology – Ghidpentru securitatea retelei

ISO/IEC 15408-2:2005 COMMON CRITERIA Information technology - Tehnici de securitate – Criterii de evaluare pentrusecuritatea IT - Part 2: Cerinte de securitate

ISO/IEC 15408-3:2005 COMMON CRITERIA Information technology - Tehnici de securitate – Criterii de evaluare pentrusecuritatea IT –

Part 3: Cerinte de asigurare a securitatii

w w w . t u v . r o70

w w w . t u v . r o

Certificari recunoscute international

.

w w w . t u v . r o71

w w w . t u v . r o

.

w w w . t u v . r o72

w w w . t u v . r o

Organisme acreditate international