13-06-06 09:02
Akademska zajednica mora brinuti o informacijskoj sigurnosti
piše ACO DMITROVIC
G. Košutiću, vi ste "certificirani Lead Auditor" za standard ISO 27001, koji se odnosi na informacijsku sigurnost. Možete li nam približiti područje svog djelovanja i objasniti ulogu auditora?
Kao konzultantu u poduzeću Kvadra Consulting moja je zadaća da pomažem raznim organizacijama da uvedu sustave upravljanja informacijskom sigurnošću, sukladno standardu ISO 27001. To zapravo znači da izrađujemo politike informacijske sigurnosti, sve procedure i ostalu potrebnu dokumentaciju kako bi se pitanju informacijske sigurnosti moglo pristupiti sveobuhvatno. Također radimo i procjene rizika, jer je upravo to ključni korak u izgradnji sustava upravljanja informacijskom sigurnošću – naime, nema smisla uvoditi razne mjere zaštite dok zapravo ne znate od čega se i u kojoj mjeri želite zaštititi.
Kao Lead Auditor ovlašten sam sudjelovati u procesu tzv. certifikacije, gdje ovlaštena certifikacijska organizacija vrši prosudbu da li je neka organizacija sukladna standardu ISO/IEC 27001. nakon čega se izdaje certifikat. Sistem certifikacije je isti kao i kod poznatijeg standarda ISO 9001 koji se bavi upravljanjem kvalitetom.
Da li termin auditor znači isto što i revizor? Postoji li domaći izraz za tu ulogu?
Hrvatski naziv za auditora je prosuditelj – u pravilu, prosuditelj nije isto što i revizor, jer se pod revizorima obično smatraju oni koji pregledavaju računovodstveno i financijsko poslovanje, a prosuditelji pregledavaju sukladnost sa standardima.
Na prvi pogled čini se da se informacijska sigurnost prije svega tiče financijskih institucija, velikih tvrtki, državnih agencija i sličnih organizacija. Koja je uloga IT sigurnosti u akademskoj zajednici?
ISO/IEC 27001 standard često se pogrešno poistovjećuje samo sa zaštitom povjerljivosti – naime naravno da banke i državna tijela prikupljaju i obrađuju vrlo povjerljive informacije koje treba štititi, dok akademska zajednica u pravilu takvih nema; međutim, informacijska sigurnost podrazumjeva ne samo povjerljivost nego istovremeno i zaštitu dostupnosti i cjelovitosti informacija. Zamislite samo da nekoliko godina nečijeg istraživačkog rada propadne zato što podaci nisu bili adekvatno zaštićeni? Ili da loše čuvani osobni podaci omoguće krađu identitita koja može rezultirati financijskim prijevarama? Drugim riječima, akademska zajednica mora razmišljati o informacijskoj sigurnosti.
Da li država propisuje ISO standarde 17799 i 27001 kao obvezu ustanovama akademske zajednice? Postoji li zakonska regulativa koja ih izričito ili posredno propisuje?
Kroz Zakon o zaštiti osobnih podataka (NN 103/03) propisano je da se sve kategorije osobnih podataka moraju zaštiti (članak 18), a Uredbom o načinu pohranjivanja i posebnim mjerama tehičke zaštite posebnih kategorija osobnih podataka (NN 139/04) je od članka 3 do članka 39 detaljno navedeno koje mjere zaštite se moraju provesti za posebne kategorije osobnih podataka. U članku 38 Uredbe poziva se upravo na standard ISO/IEC 17799, koji je očito poslužio kao nit vodilja pri pisanju dotične Uredbe. Posebnim kategorijama osobnih podataka smatraju se podaci koji se odnose na rasno ili etničko podrijetlo, politička stajališta, vjerska ili druga uvjerenja, sindikalno članstvo, zdravlje ili spolni život i osobnih podataka o kaznenom i prekršajnom postupku – moguće je da i neka akademska zajednica ima određeni projekt sa takvim podacima.
Tu je i Operativni plan provedbe Programa e-Hrvatska 2007. za 2006. godinu koji je u točki 6.2.2. predvidio da će Ministarstvo znanosti obrazovanja i športa izraditi sigurnosnu politiku informacijskog sustava tokom 2006. godine.
Zapravo svaka kadrovska služba i računovodstvo prikupljaju povjerljive osobne podatke: o bolovanjima, trudnoći, ili sindikalnoj članarini koja se odbija od plaće. Zaposlenici koji pripadaju manjinskim vjeroispovjedima mogu zatražiti slobodne dane ako se njihovi vjerski praznici ne poklapaju s državnim praznicima. Znači li to da se vladina uredba odnosi na sve takve zbirke podataka?
Točno – ako računovodstvo obrađuje takve podatke, onda i zbirke podataka koje posjeduje moraju biti zaštićene na način kako je definirano Uredbom.
Na koji način se ista norma može primijeniti u tako različitom okruženju, na primjer u banci i visokoškolskoj ustanovi?
Ovo je opet jedno od pitanja oko kojeg se rađaju kontroverze vezano za standard ISO 27001 – naime, neki smatraju da standard pretvrdo propisuje provođenje određenih postupaka, pa stoga ne može biti dovoljno prilagođen akademskoj organizaciji koja po definiciji mora imati širu mogućnost djelovanja. To po meni ne stoji kao argument, jer kao što sam već spomenuo, srce sustava upravljanja informacijskom sigurnošću jest kvalitetna procjena rizika – iz nje će biti jasno vidljivo gdje je neka organizacija realno ranjiva ili gdje postoje neke stvarne prijetnje, pa će se zaštita "dozirati" upravo za takve situacije; tamo gdje ne postoji rizik, tamo se neće inzistirati na nekim zaštitama ili suhoparnim procedurama. Istvoremeno, nekih procedura se mora tvrdo držati – primjer je backup podataka.
Za krivu sliku o ISO 27001 standardu donekle je kriv i standard ISO 17799, jer sve do 2005. godine nije stavljao u prvi plan procjenu rizika, nego je detaljno navodio preko 100 preporučanih mjera zaštita. Drugim riječima, na prvi pogled se činilo da sve što je napisano u tom standardu treba doslovno primjeniti, pa se to onda činilo kao Sizifov posao: Nasuprot tome, ISO 27001 traži da se primjene samo one mjere zaštite koje su primjerene dotičnoj organizaciji. ISO 17799 izuzetno je koristan u trenutku kada ste odlučili da želite provesti pojedinu mjeru zaštite – onda taj standard lijepo opisuje kako to učiniti.
Jesu li zadani rokovi za implementaciju sigurnosnih mjera u akademskoj zajednici?
Zakon o zaštiti osobnih podataka definirao je rok provedbe mjera zaštita do lipnja 2004. godine, a Uredba o načinu pohranjivanja i posebnim mjerama tehičke zaštite posebnih kategorija osobnih podataka definira rok provedbe dotičnih mjera do ožujka 2005. godine, bez obzira o kojoj je vrsti organizacije riječ.
Kako se akademska zajednicu u svijetu odnosi prema informacijskoj sigurnosti? Postoje li u akademske ustanove koje su prihvatile i implementirale ISO 27001 standard, ili se čak certificirale?
Da svakako, npr. certificirao se The University of Texas iz Dallasa. Akademske ustanove koje obavljaju osjetljiva istraživanja primjenjuju norme informacijske sigurnosti, ali se nisu certificirale. Računski centri, poput Srca, koji kroz outsourcing pružaju usluge gospodarstvu i akademskim organizacijama češće se certificiraju, jer to doprinosi poslovnom ugledu i pruža poslovnim partnerima sigurnost da će s njihovim podacima primjereno postupati.
Kako bi tipična akademska ustanova trebala započeti proces primjene mjera informacijske sigurnosti u svom poslovanju?
Standard ISO 27001 jasno je propisao četiri faze u uvođenju sustava upravljanja informacijskom sigurnošću – planiranje, implementacija, pregledavanje i poboljšavanje. Ono što je dobro u tom faznom pristupu jest da akademska ustanova ne treba biti previše ambiciozna i da ne treba napraviti sve odjednom – po meni, dovoljno je za početak u fazi planiranja propisati politiku informacijske sigurnosti, napraviti procjenu rizika i shodno tome odabrati koje su mjere zaštite realno potrebne dotičnoj akademskoj ustanovi. Onda se u drugoj fazi, koja može trajati i do 2 godine mogu implementirati potrebne mjere zaštite, a faze pregledavanja i poboljšavanja se aktiviraju kako se implementira pojedina mjera zaštite. Drugim riječima, ovakvim pristupom se ne opterećuju pretjerano ljudski i financijski resursi.
|