Pred. Josip Britvić, univ.spec.oec, Top Consult Grupa d.o.o., Centar za upravljanje kvalitetom u Visokoj školi za menadžment u turizmu i informatici u pVirovitici IMPLEMENTACIJA SUSTAVA UPRAVLJANJA INFORMACIJSKOM SIGURNOŠĆU TEMELJENOG NA NORMI ISO 27001:2010 S OSVRTOM NA FINANCIJSKI SEKTOR Sažetak U današnje vrijeme informacijsku sigurnost najčešće povezujemo s raznim internetskim prijetnjama poput hakerskih napada, virusa ili raznih drugih aplikacija koje imaju funkciju da naprave štetu našem računalu i informacijskom sustavu. Međutim, informacijsku sigurnost treba promatrati u značajno širem kontekstu. Moguće nekontrolirano „curenje“ važnih i vrijednih informacija izvan sustava predstavlja veliku prijetnju organizaciji. Dakle, informacije koje često mogu biti vrlo važne ili okarakterizirane kao tajne i povjerljive nisu uvijek u elektronskom obliku, gdje se može raditi i o pisanim dokumentima, slikama, tablicama, grafikonima i sl. Naravno, u današnje je vrijeme velika većina spomenutih informacija u digitalnom obliku te se tema ovog članka, najčešće, odnosi na te informacije. Norma ISO 27001, odnosno sustav upravljanja informacijskom sigurnošću, definira zahtjeve u odnosu na sustav upravljanja unutar organizacije koji je vezan uz informacijsku sigurnost. Sama norma je generička, što znači da je primjenjiva na sve vrste organizacija, bez obzira na djelatnost, veličinu ili oblik ustrojstva organizacije. Norma je kompatibilna sa ostalim ISO normama poput ISO 9001, ISO 14001 i drugim ISO normama te se može implementirati kao integrirani sustav upravljanja. Certifikacija prema normi ISO 27001 je moguća i poželjna iz razloga jer na taj način organizacija dokazuje da ima ustrojen sustav upravljanja informacijskom sigurnošću te da ga kontrolira i periodički provjerava neovisno akreditirano tijelo. Ta informacija je sve važnija kod potencijalnih klijenata kada se odlučuju o davatelju usluga bilo koje vrste, odnosno kada daju svoje važne informacije u ruke svojih poslovnih partnera. Dakako, važno je naglasiti da u kontekstu financija i bankarstva informacijska sigurnost ima status prioritetne funkcije. Međutim organizacije iz tog sektora se sve češće odlučuju za implementaciju i certificiranje sukladno normi ISO 27001 upravo iz razloga neovisne vanjske provjere i potvrde odnosno certifikata koji daje dozu više sigurnosti i povjerenja kod klijenata. Razina primijenjenosti navedene norme odnosno sustava upravljanja u Hrvatskoj još je uvijek relativno niska. Kao opravdanje niske razine primijenjenosti može se navesti nedovoljna educiranost potencijalnih korisnika o prednostima navedene norme, kao i još uvijek relativno nizak postotak implementiranosti ostalih ISO normi u Hrvatskoj. Međutim daljnja globalizacija i integracija Hrvatske značajno i brzo mijenja trenutnu situaciju na tržištu. Uvodna razmatranja U vrijeme snažnog utjecaja globalizacije teško je pronaći područje poslovanja koje nije pod utjecajem informacijskih tehnologija. Sukladno tome informacijski sustavi postali su nezaobilazni u današnjem visoko integriranom društvu. Visoka razina primijenjenosti te visoka razina integriranosti informacijskih sustava nameće sve češća pitanja sa aspekta sigurnosti informacija. Financijski sektor i organizacije unutar njega značajno ovise o informacijskim tehnologijama a jedan od nekoliko osnovnih temelja njihovog poslovanja postavljen je na informacijskim sustavima i informacijskim tehnologijama. Zbog visoke važnosti podataka u financijskim institucijama, poput banaka, ali i u njihovim partnerskim poduzećima (dobavljači, kooperanati, serviseri i sl.) pitanje informacijske sigurnosti postaje važna i osjetljiva tema. Usporedba rezultata istraživanja provedenih u 2009.g. i 2013.g. od strane korporacije PwC - Global State of Information Security Survey pokazuje na porast godišnje stope rasta prijevara putem informacijskih sustava sa 17% u 2009.g. na 23% u 2013.g. što je u kumulativnom izračunu porast od 95%. U Bookings Institution deklariraju kako organizacijske informacije i ostali nematerijalni resursi predstavljaju preko 80% tržišne vrijednosti velikog broja organizacija. Kao rezultat toga, poremećaji vezani uz integritet informacija mogu biti poražavajući za organizaciju i njezine izvršne rukovoditelje (ISACA, CISM Review Manual 2011.). Donedavno je usredotočenost zaštite bila na IT sustavima kojima se obrađuje i pohranjuje većina informacija, a ne na 1 samim informacijama (Informatička tehnologija u poslovanju, 2011.). Uočeno je da je takav pristup nedovoljan i nekompletan da bi se ostvarila razina integracije, osiguranja procesa i sveopća sigurnost koja se danas zahtjeva. Već spomenuto istraživanje, provedeno od korporacije PwC - Global State of Information Security Survey iz 2013.g., ukazuje da je 34% organizacija iz financijskog sektora doživjelo financijske gubitke zbog nedovoljne sigurnosti informacijskog sustava što je značajno više u odnosu na ostale sektore. Iz navedenog se može zaključiti kako je, sa aspekta zaštite informacija potrebno ustrojiti primjeren i stabilan sustav upravljanja informacijskom sigurnošću, što norma ISO 27001:2010 omogućava. U Hrvatskoj je do srpnja 2013.g. prema normi ISO 27001:2010 certificirano 45 organizacija od kojih je njih 90% iz IT sektora te samo 1 organizacija iz financijskog sektora (www.kvaliteta.net, 2013.). U tablici 1 prikazano je stanje izdanih certifikata u svijetu u periodu od 2006g. do 2011.g. Iz prikazanog se može uočiti tendencija značajnog rasta broja certificiranih organizacija u svijetu. Vodeći sektori su IT sektor sa 3.588 certificiranih organizacija, ostale usluge sa 564, građevinski sektor sa 350 certificiranih organizacija, dok je sektor financijskih usluga na 8 mjestu sa 113 certificiranih organizacija. Prilikom promatranja broja certificiranih organizacija u financijskom sektoru treba uzeti u obzir manji broj takvih organizacija, odnosno broj organizacija u tom sektoru je značajno manji od broja organizacija u ostalim sektorima. Tablica 1.: Broj izdanih certifikata prema normi ISO 27001:2010 u periodu 2006.g-2011.g prema industrijskim sektorima sa dodatkom hrvatske (svi sektori) EA code ISO/IEC 27001 PO INDUSTRIJSKIM SEKTORIMA 1 2 3 4 5 6 7 8 9 Poljoprivreda i ribarstvo Rudarstvo i vađenje minerala Proizvodnja hrane, pića i duhana Odjeća i tekstilna industrija Proizvodnja i prerada kože Drvna industrija Proizvodnja papira Izdavačke kompanije Tiskarstvo Proizvodnja koksa i rafiniranih naftnih proizvoda Nuklarna industrija Kemijska industrija Farmaceutska industrija Guma i proizvodi od plastike Proizvodnja nemetala Proizvodnja cementa i betona Proizvodnja metala i proizvoda od metala Proizvodnja strojeva i opreme Proizvodnja električne i optičke opreme Brodogradnja Avioindustrija Proizvodnja ostalih trasportnih sredstava Proizvodnja koja nije drugdje specificirana Recikliranje Opskrba električnom energijom Opskrba plinom Opskrba vodom Građevina 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 2006 2007 2008 2009 1 0 3 0 0 0 2 1 34 45 1 14 1 0 0 6 5 84 1 3 1 1 0 0 6 6 30 13 6 10 3 1 1 7 10 62 3 0 7 0 7 1 1 10 18 38 0 0 1 6 0 3 1 5 3 1 5 10 58 0 7 3 9 0 3 3 0 0 1 2 9 50 2 12 2 8 0 9 4 10 16 6 16 29 135 5 22 4 4 2 8 0 1 55 14 10 10 2 1 17 2 4 11 2 2 12 5 11 20 4 11 127 2010 2011 8 2 14 12 6 3 8 2 2 3 5 5 4 11 7 20 78 101 3 5 0 9 24 4 1 9 3 16 8 14 28 36 280 3 17 7 5 32 23 44 9 3 12 2 13 350 6 15 16 6 25 31 221 3 13 266 2 29 30 31 32 33 34 35 36 37 38 Trgovina na veliko i na malo; popravak motornih vozila i motocikla te kućanskih aparata Hoteli i restorani Transport i skladištenje Financijske usluge IT Inženjering Ostale usluge Javna uprava Školstvo Zdravstvo i socijalne usluge 39 Druge socijalne usluge UKUPNO Hrvatska – svi sektori 12 2 60 47 890 25 189 23 8 14 38 4 70 54 1236 33 204 33 9 10 26 0 63 68 1152 48 228 79 25 61 93 6 170 148 2086 173 380 181 47 102 3217 122 75 102 214 32 241 113 3588 126 564 106 65 145 8 13 16 46 54 75 1475 2016 1940 3987 5579 6314 10 22 24 35 2 5 Izvor: ISO, (2012.), ISO Survey 2011. 164 10 184 185 579 79 Koji su ciljevi informacijske sigurnosti? Ovo pitanje nema veliki značaj iz razloga jer većina organizacija ne uspijeva točno utvrditi ciljeve informacijske sigurnosti. Razlog tome može svakako biti što je očigledni cilj zaštita informacijske imovine. Međutim, informacijska imovina u organizaciji mora biti poznata s visokom razinom preciznosti, što često nije slučaj. Isto tako, potrebno je razjasniti pojam „zaštititi informacijsku imovinu“. Najsloženiji čin prilikom implementacije ISO 27001 sustava upravljanja jest izraditi precizan registar informacijske imovine te deklarirati koju razinu zaštite koja imovina treba imati. Iz prethodnog se može konstatirati da implementacija sustava upravljanja sigurnošću zahtjevan proces koji traži kvalificirane stručnjake koji će realizirati kompletan projekt na najkvalitetniji i organizaciji najprimjereniji način. UKRATKO O NASTANKU ISO 27001 Rizik informatičko/internetske tehnologije je opasnost da njezina primjena dovede do neželjenih posljedica (šteta) u organizacijskom sustavu i/ili njegovoj okolini. Do zlouporabe uglavnom dolazi zbog dva razloga, i to radi ostvarivanja neopravdanih ili protupravnih koristi od strane pojedinaca ili organiziranih skupina ili radi nanošenja materijalne ili nematerijalne štete pojedincu, skupini ili zajednici. Najugroženiji su informacijski sustavi iz koji se može pristupiti internetu, jer je i sam Internet izuzetno ugrožen (Klasić i Klarić, 2009:160). Ranih 90-ih odsjek za trgovinu i industriju Ujedinjenog Kraljevstva inicirao je razvoj Britanskog standarda kako bi pokrili informacijsku sigurnost. Prvi standard bio je prihvaćen 1995.g. te je tako slijedilo unapređivanje. Godine 1998. pokrenuti su zahtjevi za certificiranje. Druga revizija norme bila je 1999.g. i u njoj se dodaje elektronička trgovina kao dio standarda. Sljedeća verzija norme dogodila se 2000.g. te je ISO odobrio ISO 17799 koji je uz neke male promijene nastao na temelju BS1 7799-2 koji je izlazio iz okvira smjernica i u kojem je napravljena baza za registriranje organizacije u području sustava upravljanja informacijskom sigurnošću. Dio aktivnosti koji je vezan za primjenu informacijske tehnologije u poslovnom svijetu trebalo je biti planiranje zaštite informacijskog sustava. Na osnovu tih potreba ISO organizacija je organizirala potkomisiju broj 27 koja je dobila zadatak izraditi i konstantno unaprjeđivati norme za sigurnost informacijskog sustava. Stoga je uspostava organizacijske kontrole i upravljanja zaštitom informacijskog sustava svrha normi iz skupine ISO/IEC 27000. ISO norma 17799 2002.g. uz reformiranje općih zahtjeva postaje ISO 27001. Godine 2005. izdan je standard ISO 27001, nakon toga je bila još samo jedna revizija norme i to 2010.g. Stoga trenutno važeća verzija norme ima oznaku ISO 27001:2010. Ove norme daju preporuke i nužne elemente (s obzirom na specifičnosti svakog pojedinog sustava), koje bi trebalo poštivati pri izradi 1 BS – British Standard 3 vlastitog modela upravljanja sigurnošću, ali i standarde za uspostavljanje, primjenu, održavanje i poboljšanje sustava upravljanja sigurnošću informacija. NAMJENA NORME ISO 27001 Norma ISO 27001:2010 predstavlja temelj informacijske sigurnosti i njom se propisuje na koji se način, u bilo kojoj vrsti organizacije, (profitnoj, neprofitnoj; mikro, srednje veličine ili velikoj; državnoj ili privatnoj i sl.) može organizirati informacijska sigurnost. Svrha norme ISO 27001:2010 je da prikaže na koji način uvesti informacijsku sigurnost u neku organizaciju. Norma pruža organizaciji mogućnost dobivanja certifikata koji služi kao potvrda da je sigurnost u organizaciji provedena na najbolji mogući način. Norma ISO 27001:2010 znači za informacijsku sigurnost isto ono što ISO 9001:2008 znači za sustav upravljanja kvalitetom. Vrijednost ove norme dodatno naglašava činjenica da su mnoga zakonodavstva uzela tu normu kao temelj za pisanje raznih regulativa iz područja zaštite osobnih podataka, zaštite tajnosti podataka, zaštite informacijskih sustava i sl. Standardi informacijske sigurnosti razvijaju se na osnovi zahtjeva kupaca. Norma ISO 27001:2010 napravljena je kako bi osigurala adekvatnu i razmjernu sigurnosnu kontrolu koja štititi podatkovnu imovinu i daje povjerenje korisnicima. PREDNOSTI NORME ISO 27001 Uspostava i djelovanje ISMS2 neće, sama po sebi, nužno odmah smanjiti negativan rizik od narušavanja informacijske sigurnosti. U suštini, ISMS je alat koji omogućuje organizaciji da sustavno kontrolirala razinu informacijske sigurnosti i performansi. Sustav treba osigurati ekonomske koristi kao što su smanjenje vremena za istraživanje sigurnosti, smanjenje vremena učenja novih stvari, smanjenje sporova, smanjenje pravnih pristojbi, moguća smanjenja premija osiguranja, zaštita informacijske imovine, povećanje svijesti za informacijsku sigurnost, povećanje povjerenja kod korisnika i ostalih zainteresiranih strana. Norma ISO 27001 pomaže u zaštiti tajnosti informacija na način da ih drži dostupnima samo ovlaštenim osobama. Norma također čuva integritet, točnost i cjelovitost informacije te dostupnost ovlaštenim subjektima informacije i mogućnost korištenja istih. Interne i eksterne prednosti sustava upravljanja koji je sukladan s normom ISO 27001 su uvođenje kulture i sigurnost unutar organizacije, utvrđivanje kritičnih točaka putem analize rizika, sustavno preuzimanje mjera za upravljanje rizicima od istjecanja informacija koje su presudne za poslovanje, usklađenost procesa upravljanja sigurnošću informacija sa politikom sigurnosti organizacije, rast povjerenja klijenata i društva, promicanje kredibiliteta organizacije, prikazivanje svih napora koje je organizacija uložila u zaštitu informacija. Također, značajna prednost ISO 27001 je procjena stupnja uspostavljenosti i održavanja sustava od strane vanjske neovisne akreditirane organizacije kao i obveza provođenja internih audita3. FAZE UPRAVLJANJA INFORMACIJSKOM SIGURNOŠĆU Faze upravljanja sigurnošću temelje se na Demingovom krugu kvalitete odnosno PDCA (Plan/Do/Check/Act). ISO 27001 propisuje kako se upravlja informacijskom sigurnošću kroz sustav upravljanja informacijskom sigurnošću. Faze upravljanja sigurnošću se trebaju „kontinuirano provoditi kako bi se umanjili rizici za povjerljivost, cjelovitost i dostupnost informacija“(ISO, 2010.). 2 ISMS – Information Security Management System Audit - sustavan, neovisan i dokumentiran proces prikupljanja i vrednovanja objektivnih dokaza o ispunjenju i zadovoljenju kriterija prema kojima se audit provodi. 3 4 Slika 1.: PDCA model primijenjen na ISMS procese Izvor: Izradio autor prema SO27k Implementers’ Forum, www.ISO27001security.com, HR prilagodba, Juraj Ljubešić, M.Sc.EE CISM, CISA, ISO27kLA, Končar-KET© 2010. Faze upravljanja su sljedeće: 1. Plan – Faza planiranja: Uspostaviti sigurnosnu politiku, ciljeve, procese i postupke relevantne za upravljanje rizicima i poboljšanje informacijske sigurnosti kako bi se dovelo u sklad sa organizacijskom politikom i ciljevima. Ova faza pomaže organizaciji da odabere primjerene mjere sigurnosti. 2. Do – Faza implementacije: U ovoj se fazi provodi sve ono što je isplanirano tijekom prethodne faze, znači implementacija i upravljanje sigurnosnom politikom, kontrola procesa i procedura. 3. Check – Faza provjera: procijeniti, i gdje je primjenjivo, izmjeriti procesni nastup protiv sigurnosne politike, ciljeva i praktičnog iskustva te izvješća sa rezultatima dostaviti menadžmentu na preispitivanje. Ovom se fazom provjerava kako funkcionira informacijska sigurnost te da li ispunjava postavljene ciljeve. 4. Act – Faza djeluj: kako bi se postigla kontinuirana poboljšanja informacijske sigurnosti potrebno je poduzeti korektivne i preventivne radnje na temelju rezultata koje je dao menadžment, tj kako bi se poboljšalo sve što je u prethodnoj fazi identificirano kao nesukladno. Sve ove faze potrebno je ciklički provoditi kako bi informacijska sigurnost bila i ostala učinkovita. IMPLEMENTACIJA ISMS-A, NADZOR I PROVJERA Da bi organizacija dobila certifikat koji potvrđuje upravljanje informacijskom sigurnošću organizacije moraju ispuniti skup zahtjeva koje definira standard ISO 27001. Kao temelj za donošenje odluka uprave o konačnom prihvaćanju informacijske sigurnosti je ključni dokument implementacije koji se koristi u cijelom projektu, a to je „Izjava o prihvatljivosti“. U tom je dokumentu definirano što je sve potrebno primijeniti od kontrole u organizaciji da bi se uspostavila željena informacijska sigurnost. Osim tog dokumenta, prije implementacije, potrebno je odrediti opseg i granice ISMS-a ovisno o karakteristikama poslovanja, organizacije, lokacije, sredstvima i tehnologiji. Također potrebno je dati opravdanje za sve što se isključuje iz ovog opsega, definirati organizacijski pristup procjeni rizika, identificirati rizike, analizirati i vrednovati rizike, identificirati i vrednovati opcije za obradu rizika, odabrati kontrolne ciljeve i kontrole za obradu rizika, dobiti odobrenje uprave za predložene rezidualne rizike, dobiti odobrenje uprave za implementaciju i izvršavanje ISMS-a. 5 Osnovni koraci u implementaciji standarda ISO 27001 su početak projekta, definiranje ISMS-a, procjena rizika, upravljanje rizikom, obuka, priprema za reviziju, revizija i kontinuirano unaprjeđenje. U prvom koraku implementacije odnosno početku projekta potrebno je osigurati potporu rukovodećeg osoblja, te obučiti odabrane članove projektnog tima. U drugom koraku potrebno je definirati ISMS, odnosno nakon kreiranja projektnog tima koji je zadužen za definiranje okvira koji će ih fokusirati na ključne elemente. Razvoj ISMS mora biti pod kontrolom organizacije, ukoliko to nije slučaj organizacija neće imati mogućnost njime učinkovito upravljati. Da bi se učinkovito utvrdio ISMS potrebno je odrediti cilj, opseg, granice, ovisnosti, izuzeća, strateški kontekst i organizacijski kontekst. U procjeni rizika (trećem koraku) potrebno je ocijeniti sukladnost, utvrditi i vrednovati imovinu te prijetnje i ranjivosti. U okviru kontrola, procesa i procedura, u trećem koraku potrebno je provesti početnu ocjenu statusa koje zahtjeva norma ISO 27001. U početnoj ocjeni statusa kreće se od utvrđivanja kritičnih ili povjerljivih podataka, a potrebno je i prikazati koja su neopipljiva sredstva organizacije te je li njihova vrijednost utvrđena kao funkcija kriterija povjerljivosti. Isto tako, moramo pronaći slabosti svakog dijela imovine koji podržava kritične informacije organizacije. Upravljanje rizikom četvrti je korak. U njemu je potrebno formulirati plan rizika koji identificira upravljanje odgovarajućom akcijom i napraviti prioritete za upravljanje rizicima informacijske sigurnosti. Također, potrebno je provesti plan rizika kako bi se postigla identifikacijska kontrola ciljeva, što uključuje razmatanje pronalaska i raspodjele uloga i odgovornosti. Zatim, definirati kako mjeriti učinkovitost odabranih kontrola i kako se ta mjerenja mogu koristiti za procjenu učinkovitosti kontrole proizvodnje usporedivih i izvodljivih rezultata. Peti korak implementacije je obuka i osvješćivanje. U ovom koraku organizacija mora osigurati da su svi osposobljeni za obavljanje svojih zadataka, znači organizacija mora pružiti odgovarajuću obuku, te utvrditi učinkovitost obuke. Uz sve to, potrebno je od strane organizacije osvijestiti osoblju važnost vlastitih aktivnosti i pridonošenju dostizanja ciljeva ISMS-a. Važno je da zaposlenici poštuju postupke informacijske sigurnosti. Zaposlenici koji su svjesni posljedica sigurnosnih problema mogu spriječiti i umanjiti utjecaj kada se dogodi incident. Stoga uključivanje zaposlenika uvelike olakšava zaštitu poslovne imovine. U pripremi za reviziju odnosno u šestom koraku implementacije potrebno je izraditi izjavu o primjenjivosti. Taj dokument mora sadržavati opravdanja o primjenjivosti ili neprimjenjivosti svake od ISO 27001 kontrola ISMS-a za koje se vrši revizija. Sedmi korak je revizija koja se sastoji od revizije dokumentacije i revizije implementacije. U reviziji dokumentacije bitno je da se ISMS razumije, a služi i kao mogućnost procjene spremnosti organizacije na reviziju te kao temelj za pripremu drugog dijela revizije. Revizija implementacije vođena je prema zaključku izvješća revizije dokumentacije. Revizija se obavlja u samoj organizaciji odnosno na licu mjesta gdje je ISMS lociran. Posljednji, osmi korak implementacije, kontinuirano je unaprjeđenje. Organizacija mora odmah otkriti pogreške u rezultatima obrade, poduzeti odgovarajuće korektivne i preventivne radnje. Implementirati procedure i druge kontrole koje će omogućiti pravovremenu detekciju sigurnosnih događaja i odgovor na sigurnosne incidente. 6 Slika 2.: Osnovni tijek procesa implementacije ISO 27001:2010 Izvor: ISO27k Implementers’ Forum, www.ISO27001security.com, HR prilagodba, Juraj Ljubešić, M.Sc.EE CISM, CISA, ISO27kLA, Končar-KET© 2010. Kako bi se omogućio nadzor i provjera ISMS organizacija mora učiniti određene radnje. Organizacija mora nadzirati i provjeravati procedure i provoditi druge kontrole, kako bi se na vrijeme detektirale pogreške, identificirali uspješni i neuspješni pokušaji sigurnosnih prekršaja i incidenata te kako bi se moglo utvrditi jesu li aktivnosti dodijeljene zaposlenicima prikladne i da li implementirane sigurnosne kontrole funkcioniraju kako se očekuje. Potrebno je detektirati sigurnosne događaje i spriječiti sigurnosne incidente. Da bi se utvrdila efikasnost akcija poduzetih za rješavanje sigurnosnih prekršaja također se mora provoditi nadzor. Organizacija mora izvoditi redovitu provjeru učinkovitosti ISMS-a uzimajući u obzir rezultate sigurnosnih ispitivanja, incidente, rezultate mjerenja učinkovitosti, prijedloge i povratne informacije svih zainteresiranih strana. Potrebno je mjeriti učinkovitost kontrola kako bi se provjerilo da su ispunjeni sigurnosni zahtjevi. Provjeravati procjene rizika u planiranim intervalima i provjeriti rezidualne rizike te ustanovljene prihvatljive razine rizika. Provoditi interna ispitivanja u planiranim intervalima. ODRŽAVANJE I POBOLJŠAVANJE ISMS-A Uprava treba redovito provoditi provjeru ISMS-a kako bi se osiguralo da je opseg i dalje primjeren i da su identificirana poboljšanja u ISMS procesima. Nadopunjavati sigurnosne planove pri čemu treba uzeti u obzir rezultate ispitivanja i provjere ISMS-a. Bilježiti akcije i događaje koji bi mogli imati utjecaj na učinkovitost i izvođenje ISMS-a. Uobičajeni način provjera stanja ISMS-a od strane uprave je kroz provedbu internih audita. Zahtjev norme je da se interni audit mora provoditi minimalno jednom godišnje. Međutim svakako se preporuča provedba internih audita nekoliko puta godišnje. U svakom slučaju, potrebno je izraditi godišnji plan i program internih audita sa definiranim odjelima i terminima provedbe internih audita. 7 Da bi se redovito održavao ISMS organizacija mora učiniti sljedeće. Potrebno je implementirati uočena poboljšanja, poduzeti odgovarajuće korektivne i preventivne mjere, te primjenjivati znanja i iskustva iz drugih organizacija i iz vlastite organizacije. Organizacija mora obavijestiti sve zainteresirane strane o aktivnostima i poboljšanjima s prikladnom detaljnošću, te prema potrebi, usuglasiti način daljnjeg postupanja. Potrebno je osigurati da poboljšanja postignu ciljeve. DOKUMENTACIJA ISMS-A TE KONTROLA DOKUMENATA I ZAPISA Standard zahtjeva da se dokumentiraju odluke uprave, kako bi se poduzete akcije mogle uskladiti s politikama i odlukama uprave. ISMS dokumentacija treba sadržavati: izjavu o sigurnosnoj politici i njezinim ciljevima, opseg ISMS-a, procedure i kontrole na koje se ISMS oslanja, opis metodologije za procjenu rizika, izvještaj o procjeni rizika. plan obrade rizika, procedure potrebne organizaciji za planiranje, održavanje i kontroliranje sigurnosnih procesa, Izjavu o primjenjivosti. Dokument treba biti strukturiran na način da se uklapa u veličinu organizacije i tip djelatnosti, te da se uklapa u opseg, složenost informacijskog sustava i sustava kojim se upravlja. Dokumenti koje zahtjeva ISMS moraju biti zaštićeni i kontrolirani. Da bi se to postiglo mora postojati mjesto gdje je dokumentirani postupak za: odobrenje adekvatnosti dokumenta prije uporabe, pregledavanje i ažuriranje dokumenata ako je potrebno, i ponovno odobravanje dokumenata, osiguranje da su promjene i revizija stanja utvrđene, osiguranje da su odgovarajuće verzije dokumenata dostupne na mjestu korištenja, osiguranje da dokumenti ostaju čitljivi i prepoznatljivi, osiguranje da su dokumenti vanjskog porijekla utvrđeni, osiguranje da se distribucija dokumenata kontrolira, prikladno utvrđivanje se primjenjuje na dokumentaciju kako bi se spriječilo da se zastarjele dokumente koristi za nenamjernu uporabu. Podaci moraju biti uspostavljeni i održavani kako bi pružili dokaze o sukladnosti sa zahtjevima i kako bi prikazali djelotvoran rad ISMS-a. U kontroli zapisa moraju biti kontrole za utvrđivanje, pohranu, zaštitu, dohvat, vrijeme zadržavanja i raspolaganja zapisima. Proces upravljanja mora biti postavljen tako da utvrdi potrebu i opseg zapisa. Evidencija mora sadržavati uspješnost procesa i pojavu svih značajnijih sigurnosnih incidenata. Zaključak U zaključnom razmatranju važno je ponoviti kako je svrha norme ISO 27001:2010 uspostava organizacijske kontrole i upravljanja zaštitom informacijskog sustava (odnosno sigurnošću inf. sustava) u poslovnom sustavu. S obzirom na specifičnost svakog poslovnog sustava odnosno organizacije u kojem on djeluje ova norma daje preporuke i nužne elemente kojih se treba pridržavati pri izradi i primjeni vlastitog modela upravljanja sigurnošću, te standarde za uspostavljanje, primjenu, održavanje i poboljšavanje sustava upravljana sigurnošću informacija. Implementacija norme ISO 27001:2010 nije jednostavan projekt. Projektu uspostave sustava ISMS-a potrebno je pristupiti studiozno i nadasve profesionalno kako bi izbjegli kreiranje sustava koji će otežavati svakodnevno poslovanje. Svakako se preporuča uz normu ISO 27001:2010 implementirati i ISO 9001:2008. Te dvije norme zajedno čine integrirani sustav upravljanja te su u potpunosti međusobno kompatibilne. Svaka od navedenih normi daje dodatne zahtjeve koji će unaprijediti kvalitetu i sigurnost poslovanja organizacije. Također prethodno je već spomenuto da je norma ISO 9001 temeljna norma na koju se mogu nadograditi sve ostale norme (ISO 14001, OHSAS 18001, HACCP, ISO 26001, ISO 50001 i sl.). Možemo reći da je nužno uspostaviti sustav upravljanja sigurnošću ukoliko je to organizaciji od 8 neposredne važnosti za uspješnost i kontinuirani rad. Bitan faktor u prepoznavanju organizacije, kao pouzdanog i modernog poslovnog partnera, je implementiran sustav informacijske sigurnosti jer ona predstavlja provedbu potrebnih mjera za postizanje zadovoljavajuće razine informacijske sigurnosti unutar organizacije. Sustav upravljanja koji je uveden u organizaciju radi zaštite informacija, a sukladan je normi ISO 27001:2010 raspolaže efikasnim instrumentima za provjeru učinkovitosti sustava upravljanja sigurnošću informacija. Cilj ove norme je maksimalna zaštita informacijskih sustava i poslovnih resursa a certifikacija je završni čin koji dokazuje primijenjenost. Implementacija sustava upravljanja informacijskom sigurnošću u financijski sektor, te certifikacija organizacija u tom sektoru, kao i kontrola svih dobavljača, kooperanata, servisera i ostalih partnera s kojom organizacija razmjenjuje i dijeli važne informacije, potiče i unaprjeđuje konkurentsku prednost organizacije. Literatura: 1. Britvić, J., Prelas Kovačević, A., Cingel, M., (2013.), Mogućnost integracije sustava upravljanja kvalitetom ISO 9001:2008 i sustava upravljanja informacijskom sigurnošću ISO 27001:2010, Međunarodni znanstveni simpozij gospodarstvo istočne hrvatske: jučer, danas, sutra, EFOS 2. IsecT Ltd., (2007.), ISO27k implementers' forum, dostupno na: www.ISO27001security.com (03.09.2013.) 3. ISO, (2012.), ISOSurvey 2011, dostupno na: http://www.iso.org/iso/home/standards/certification/iso-survey.htm, (04.09.2013.) 4. Klasić, K., Klarić, K., (2009.), Informacijski sustavi, Zagreb, Intus informatika 5. Knez, J., (2006.), Sigurnost informacija po normi ISO/IEC 27001 u postojećim sustavima upravljanja, dostupno na: http://issuu.com/kvaliteta.net/docs/knez_j_rad?viewMode= magazine& mode=embed (17.08.2013.) 6. Kvaliteta.net, (2013.), Certifikati 27001:2010 - 2013, dostupno na: www.kvaliteta.net, (02.09.2013.) 7. Lazibat, T., (2009.), Upravljanje kvalitetom, Zagreb, Znanstvena knjiga 8. ISO, (2008.), Norma ISO 9001:2008., Geneva, ISO 9. ISO, (2010.), Norma ISO 27001:2010., Geneva, ISO 10. Oslić, I., (2009.), Normom preventivno povećavamo sigurnost proizvoda i usluga, Zagreb, Manager.hr, dostupno na: http://www.manager.hr/naslovnica/item/normom-iso-90012008preventivno-povecavamo-sigurnost-proizvoda-i-usluga (20.08.2013.) 11. PwC, (2012.), PwC 2011 Global State of Information Security Survey, New York, dostupno na http://www.pwc.com/gx/en/consulting-services/information-security-survey/index.jhtml, (01.09.2013.) 12. Skoko, H., (2000.), Upravljanje kvalitetom, Zagreb, Sinergija d.o.o. 13. Top Consult Grupa d.o.o., (2013.), Sustav upravljanja informacijskom sigurnošću, dostupno na: www.top-consult-grupa.hr (02.09.2013.) 9
© Copyright 2024 Paperzz
