26-06-06 12:16
Standardi informacijske sigurnosti
piše ACO DMITROVIĆ
Informacijska sigurnost kao svoje ciljeve navodi dostupnost, povjerljivost i cjelovitost informacija. To znači da informacije moraju biti točne i neprekidno dostupne, ali samo onima koji imaju pravo da ih koriste. Prikupljanje, obrada i čuvanje informacija sve je više regulirano zakonima i uredbama koji obvezuju sve organizacije da se pobrinu za njihovu zaštitu.
Međunarodni standardi koji se bave informacijskom sigurnošću su ISO 17799 i ISO 27001. Oni evoluiraju, dorađuju se, kako bi postali dio sustava u kojem će biti usklađeni međusobno i s drugim standardima, na pr. s ISO 9001, koji se bavi upravljanjem kvalitetom poslovanja.
ISO 27001 bavi se uspostavom sustava upravljanja informacijskom sigurnošću, kojeg označavamo kraticom ISMS (Information Security Management System). U njemu su određeni ciljevi koje organizacija treba postići. ISO 17799 bavi se konkretnim postupcima, najboljim praksama, pomoću kojih se ti ciljevi mogu postići. Zato se obično kaže da se 27001 bavi normama, a 17799 kontrolama, pomoću kojih se u praksi mogu ispuniti zahtjevi norme.
Kolege koji nisu čitali standard 17799 ipak ga poznaju, a da toga nisu ni svjesni. Prijedlog sigurnosne politike za ustanove članice mreže CARNet napravljen je po njemu, ali na takav način da i laicima bude razumljiva potreba za uvođenjem procedura koje poboljšavaju sigurnosti poslovanja. Neki od vas prisustvovali su i seminaru o Sigurnosnoj politici. Politiku i seminar izradio sam za CARNet, u sklopu ugovora kojim je CARNet za brigu o sigurnosti mreže zadužio Srce.
Standard ISO 27001
Prije svega, svaka ustanova treba odlučiti da li da krene u smjeru primjene spomenutih standarda? Da skratimo priču, treba odgovoriti na dva pitanja. Prikupljate li i obrađujete vrijedne informacije? Da li je bar dio vašeg poslovanja reguliran nekim od zakona i uredbi koji se tiču informacijske sigurnosti?
Odgovor je, nužno, DA! Zakon o zaštiti osobnih podataka izričito nalaže svakoj organizaciji koja prikuplja i obrađuje osobne podatke da se pobrine za njihovu zaštitu. Nema te tvrtke ili ustanove koja ne prikuplja/obrađuje osobne podatke, na pr. o zdravlju, nacionalnosti, vjerskoj pripadnosti, članstvu u sindikatu, da ne nabrajamo dalje. Prema tome, svaki fakultet ili istraživački institut mora brinuti o povjerljivosti podataka svojih zaposlenika, suradnika, studenata, ili o rezultatima istraživanja, koji su često kombinacija poslovne i profesionalne tajne, ali mogu sadržavati i osobne podatke.
Na taj je način riješena dilema da li uopće treba brinuti o sigurnosti informacija. Slijedeći korak jest određivanje opsega primjene ISMS-a. Možda nema potrebe cijelo poslovanje opteretiti sigurnosnim procedurama, već možemo odabrati kritične poslovne procese. To će najčešće biti kadrovska služba, računovodstvo, studentska referada, pojedini istraživački projekti i tome slično.
Naredni korak je procjena rizika. To je složen postupak, koji se može prepustiti nekoj konzultantskoj tvrtki. Rezultat procjene treba biti odluka organizacije o tome koju informacijsku imovinu treba posebno štiti, kojim kontrolama, a koje rizike je spremna prihvatiti.
Standard predlaže način provedbe ISMS-a, primjenom metode PCDA (Plan, Do, Check, Act), čime je određen kružni proces, u kojem se neprestano provjerava provedba planiranog, te se koriste uočene pogreške da se proces popravi, usavrši. Pri tom se mogu ispravljati sigurnosna politika, pojedinačne procedure, konfiguracije uređaja itd.
Standard propisuje podršku uprave procesu informacijske sigurnosti, koja se očituje u usvajanju sigurnosne politike, procedura, izdvajanju sredstava potrebnih za obrazovanje i podizanje svijesti, nabavu opreme itd. Propisuje se čuvanje dokumentacije kojom se prati uspostava ISMS-a. To znači dostupnost zadnjih verzija politike i procedura, imenovanja i ovlaštenja za pristup prostorijama, podacima i opremi. Organizacija treba čuvati dokumentaciju o obrazovanju zaposlenika, certifikatima. Administratori sustava trebaju dokumentirati postojeću konfiguraciju, sve izmjene, sigurnosne incidente, te mjere koje se predlažu da se oni ne bi ponovili. Standard predviđa i redovnu provjeru ISMS-a, takozvani interni audit, te obavezuje upravu da barem jednom godišnje provjeri da li ISMS ispunjava zadane ciljeve.
Organizacija može zatražiti certifikat kojim dokazuje da je poslovanje prilagođeno standardu ISO 27001. Vanjski prosuditelji najprije prouče dokumentaciju, sigurnosnu politiku, izjavu o primjenjivosti, procjenu rizika itd. Na kraju, obilaze radne prostorije, razgovaraju sa zaposlenicima, kako bi se uvjerili da se poštuju propisane procedure. Ukoliko se praksa razlikuje od internih pravila, ne zadovoljava normu, auditori ispunjavaju obrazac koji se zove NCR, Non Compliance Record, i audit se prekida. Organizacija mora odgovoriti na prigovor, a auditor prosuđuje da li je zadovoljan odgovorom. Kada se jednom zasluži, certifikat vrijedi tri godine, uz uvjet da se svake godine ponovi audit.
Na prvi pogled čini se da se radi o velikom dodatnom opterećenju. Izrada politike, procedura, procjene rizika, dokumentiranje svega, od izmjena u konfiguraciji, incidenata, imenovanja i ovlaštenja za obavljanje pojedinih poslova. No s vremenom će se to ulaganje isplatiti, jer će se, na primjer, čovjek kojeg zaposlite mnogo brže snaći ako mu je sav posao već dokumentiran. U slučaju sigurnosnih događaja ili incidenata, iz dokumentacije se može ustanoviti da li se neke situacije ponavljaju, te poraditi na ispravljanju pogrešaka. Sva ta dokumentacija neophodna je ako vaša organizacija želi dobiti certifikat, jer prosudba sukladnosti počinje provjerom dokumentacije: ako ona ne valja, audit se prekida u startu.
Certifikat daje organizaciji samopouzdanje, a postojećim i potencijalnim poslovnim partnerima sigurnost da su njihove informacije u dobrim rukama.
Tekst oba standarda, ISO 17799 i 27001, u prijevodu ili kao dvojezično izdanje, može se nabaviti u Zavodu za ispitivanje kvalitete, www.zik.hr.
|
