SharePoint Fundation instrument pentru ISO 27001 (ep.1)

Într-un articol anterior spuneam că un instrument foarte bun pentru implementarea ISO27001 poate fi SharePoint. Versiunea care o vom folosi pentru această serie de episoade este SharePoint Fundation 2010 cu părțile bune și lipsurile aferente. Versiunea SharePoint Server chiar și versiunile mai vechi ar răspunde mai bine cerințelor de implementare a ISO27001, dar cum economisirea primează, am preferat să alegem o versiune gratuită a sistemului de management al documentelor și proceselor de afaceri.

În continuare vom detalia un exemplu de implementare pe faze și metode pentru suportul decizional pentru întreg ciclu de viață al unui sistem de management al securității.

0. Start

Organizaţia decide să implementeze prevederile standardului ISO 27001.

În această etapă se stabilește necesitatea implementării ISMS 27001 și se definesc pașii de implementare. Managerul de proiect poate folosi SPF2010 în sensul gestionării proiectului, prin crearea unui site specializat pentru această activitate sau prin crearea unei liste de tip Project Task:

În planul de proiect se definesc etapele și perioadele de timp necesare implementării. Pentru cei familiarizați cu instrumentele de project management, crearea și gestionarea ativităților este foarte simplă. Activitățile pot fi grupate pe categorii, conținând următoarele criterii:

Componenta de noutate în SPF2010 față de versiunile anterioare de SharePoint este dată de Diagrama Gantt.

Pentru definirea subactivităților (A.2.1, A.2.2,…) trebuie creat un element de tip Summary Task.

Un proiect din SPF2010 poate fi exportat în Access, Excel, Outlook și, în cazul în care aveți instalat pe calculatorul client, în Microsoft Project.

SPF2010 deține un instrument destul de avansat de control al erorilor. În exemplul de mai jos, este prezentată modul în care data a fost introdusă greșit.

Pentru gestionarea sedinței de deschidere se poate utiliza crearea unui eveniment în calendarul organizației și un site de tip Meeting Workspace, în care se pot posta prezentări, agenda, documentele de tip minuta ședinței, permițând integrarea agendei și invitațiilor folosind sistemul de e-mail.

 

1. Obţinerea sprijinului din partea conducerii:

Dacă s-a luat decizia de implementare, conducerea trebuie să desemneze o echipă care să elaboreze Politica de Securitate a organizaţiei. Acest document trebuie revizuit, aprobat şi adus la cunoştinţa tuturor angajaţilor, pentru a cunoaște faptul că organizația va trece la implementarea SMSI.

Pentru această etapă în SPF201 se poate defini un Document Workspace sau o listă de documente distinctă la care să aibă acces toți angajații cu permisiuni de Read pentru consultare.

Esențial în faza de construcție este înregistrarea versiunilor pentru a reflecta toate modificările aduse documentului.

 

2. Definirea scopului SMSI:

Pentru definirea scopului nu avem un exemplu de implementare în SPF2010 fiind o rezultantă a discuției de la ședința de deschidere. Putem utiliza în schimb un Decision meeting workspace pentru a vedea rezultatele voturilor, etc.

 

3. Inventarierea activelor informaționale:

În cadrul Scopului trebuie identificate activele organizaţiei (şi valoarea asociată acestora) care trebuie protejate, rezultând documentul sau baza de date Inventarul activelor.

Sunt convins că în orice organizație există cel puțin un fișier Excel în care sunt stocate informații despre activele informaționale, cel puțin cele fizice. Sau o parte din aceste active se pot obține din aplicațiile financiar-contabile din cadrul organizației.

Varianta cea mai simplă este să centralizăm într-un fișier aceste active și să le completăm cu informațiile necesare unei liste corecte de inventar conform ISO27001.

În Excel (2007) creem această listă centralizată, după care o definim ca un tabel și o exportăm într-o nouă listă SharePoint. Ulterior putem personaliza și îmbunătăți această listă nou creată prin adăugarea de noi coloane sau personalizarea coloanelor existente. Elementele din listă se pot actualiza permanent.

Foarte interesantă este funcția de versionare în 2010. De exemplu, dacă unui activ de tip server îi schimbăm memoria sau alte caracteristici tehnice, la actualizarea listei se păstrează și versiunea anterioară. Trebuie să știți că versionarea nu este activată implicit și putem stabili numărul maxim de versiuni. Nu trebuie să omitem prezența funcțiilor de validate a datelor introduse pentru a elimina inadvertențele sau greșelile:

Adăugarea unui element nou este reprezentată schematic mai jos.

Owner-ul poate fi validat prin preluarea sa automată din sistemul de autentificare.

Pe o listă se pot activa filtre, sortări asemănător cu majoritatea operațiunilor aplicabile listelor din Excel, sau poate fi exportată direct în Excel pentru efectuarea de sinteze pivot sau importul în aplicațiile de Analiză a riscurilor.

Lista completă de operațiuni este prezentată în Ribonul List.

O altă versiune de lucru, este ca fiecare departament să aibă propria sa librărie de documente sau o librărie de documente Excel comună în care să se salveze direct fișierele cu date, fiecare actualizare trebuind în acest fel să se realizeze doar prin deschiderea în aplicația client.

 

4. Stabilirea gradului de risc asociat activelor informaţionale:

Pe baza Inventarului activelor, se va realiza Analiza de Risc, care constă în identificarea pentru fiecare activ a ameninţărilor, vulnerabilităţilor şi impactului din prisma triadei Confidențialitate-Integritate-Disponibilitate.

Metoda de calcul am preluat-o de la Adi Munteanu.

Modelul prezentat în figură este implementat într-o listă personalizată SharePoint care preia amenințările și vulnerabilitățile din alte două liste specifice. Sunt multe metodologii de evaluare a riscurilor (sau mai multe detalii aici), dar prin articolul curent am încercat să exemplificăm tehnica utilizată de aplicația vsRISK care după o serie de articole este menționat ca cel mai complet produs software pentru analiza de riscuri pentru implementarea și gestionarea ISO 27001.

Trebuie să mai amintim că în modelul referit nu am inclus și Planul de tratare a riscurilor care ar presupune adăugarea unei coloane noi în lista Planul de evaluare a riscurilor (PER).

Adăugarea unuei noi intrări în PER:

Fiecare asset trebuie tratat din prisma Triadei CID, numit aici Atribut, i se alocă o amenințare din lista de Amenințări. Mai departe Probabilitatea de apariție și Impactul sunt determinate pe baza experienței consultantului. În exemplul nostru, datorită Lipsei unui sistem de detecție a incendiilor, și a faptului că se fumează în sala în care se află DVD-ul cu softul respectiv, probabilitatea de apariție a unui incendiu a fost stabilită la nivelul 3, iar impactul este relativ mic (1) pentru că un kit de instalare poate fi descărcat de pe MSDN sau TechNet în lipsa DVD-ului original. Impactul ar fi mult mai mare dacă ar arde în incendiu, contractul sau certificatul de licențiere.

Nivelul de risc asociat se calculează automat pe baza Probabilității și Impactului.

Avantajul incontestabil al acestei metode, în contextul în care nu avem o altă aplicație de management al riscurilor este acela că anual sau ori de câte ori este cazul putem reface analiza de risc și poate fi partajată pentru mai mulți untilizatori simultan. Din cunoștințele mele, vsRISK este doar pentru monopost, adică un singur om poate lucra simultan la toată analiza de risc.

Lista generată în SharePoint poate fi migrată în alte aplicații de tip Office pentru analize avansate.

 

Încheind prezentul articol, într-o notă optimistă, avem credința că mulți manageri IT vor lua în calcul o analiză de risc folosind acest instrument. Rămâne de văzut!

Aștept părerile și propunerile de îmbunătățire.

 

Disclaimer:

Acest articol nu pretinde că cel mai bun instrument pentru implementarea ISO27001 este SharePoint Fundation, sau că metodele descrise aici sunt cele mai corecte și mai bune. El pune în evidență un mod de lucru, aducând la cunoștința celor interesați, faptul că Sistemul de Management al Securității nu reprezintă doar un standard procedural, un teanc de hîrtii cu care să te acoperi, ci un standar practic de lucru securizat în cadrul organizațiilor, chiar și din România.