ISO 27001 & BS 25999

Je li vam se ikada dogodilo da vas je menadžment zadužio za provođenje kontinuiteta poslovanja samo zato što radite u IT odjelu? Zašto se kontinuitet poslovanja redovito poistovjećuje s informacijskom tehnologijom?

Vjerojatno zato što kontinuitet poslovanja vuče korijene iz disaster recoverya (“oporavka nakon havarije“), a u disaster recoveryu se sve svodi na informacijsku tehnologiju. Prije dvadesetak ili tridesetak godina koncept kontinuiteta poslovanja nije postojao, ali je zato postojao disaster recovery – glavna briga bila je kako sačuvati podatke ako dođe do havarije. Tada je bilo jako popularno nabavljati skupu opremu i spremati je na drugu, udaljenu lokaciju kako bi se svi važni podaci organizacije očuvali u slučaju havarija poput potresa. Ne samo kako bi se očuvali, nego kako bi se i obrađivali s približno istim kapacitetom kao na glavnoj lokaciji.

Ali nakon nekog vremena došlo se do zaključka – koja korist od podataka ako nema poslovnih aktivnosti koje bi koristile te podatke? Tako se rodila ideja o kontinuitetu poslovanja čija je svrha omogućiti nastavak poslovanja čak i u slučaju većeg prekida.

Definicije

Pogledajmo malo definicije – kontinuitet poslovanja je “strateška i taktička sposobnost organizacije da planira i odgovori na incidente i prekide u poslovanju, kako bi nastavila s poslovnim aktivnostima na nivou koji je prethodno definirala kao prihvatljiv“ (BS 25999-2:2007), dok disaster recovery čine „procesi, politike i procedure povezane s pripremom za oporavak ili obnovu tehnološke infrastrukture od kritične važnosti za organizaciju nakon prirodne havarije ili havarije uzrokovane ljudskim djelovanjem“ (Wikipedia.org).

Kao što se vidi iz definicija, kod disaster recoverya naglasak je na tehnologiji, dok je kod kontinuiteta poslovanja naglasak na poslovnim aktivnostima. Zato je disaster recovery dio kontinuiteta poslovanja – može ga se smatrati jednim od glavnih čimbenika koji omogućuju odvijanje poslovnih aktivnosti ili tehnološkim dijelom kontinuiteta poslovanja.

Ipak, možda ste još nešto primijetili – definicija za kontinuitet poslovanja preuzeta je iz norme BS 25999-2, vodeće norme za upravljanje kontinuitetom poslovanja, dok je definicija disaster recoverya citirana s Wikipedije – „kontinuitet poslovanja“ zapravo je službeni pojam koji se upotrebljava u normama, dok “disaster recovery“ nije službeni termin.

Implikacije za provedbu

Zašto je onda loša ideja da IT odjel provodi kontinuitet poslovanja za cijelu organizaciju? Zato što je kontinuitet poslovanja prije svega poslovno pitanje, a ne pitanje kojim bi se trebao baviti IT odjel. Kad bi IT odjel provodio kontinuitet poslovanja za cijelu organizaciju, ne bi mogao odrediti ni kritičnost poslovnih aktivnosti ni kritičnost informacija. Osim toga pitanje je bi li dobio podršku od ostatka organizacije.

Najbolje je provedbu kontinuiteta poslovanja prepustiti poslovnoj strani – tada će svi dijelovi organizacije bolje razumjeti potrebu za takvim projektom i prihvatiti ga. IT odjel treba preuzeti svoj dio takvog projekta – ključni dio – pripremu disaster recovery planova.

Pogledajte i naš webinar Osnove BS 25999-2 – 1. dio: Analiza utjecaja na poslovanje (seminar uz naplatu).

Aneks A norme ISO 27001 vjerojatno je najviše spominjan aneks svih upravljačkih standarda. Zašto se o njemu toliko govori? Zašto je ponekad kontroverzan?

Ako ste pročitali Aneks A, vidjeli ste da se tamo nalazi popis 133 kontrole (sigurnosne mjere). Ako je tome tako, čemu onda služi glavni dio norme?

Svrha

Aneks A sadrži sljedeća poglavlja (ponekad se nazivaju i domene Aneksa A):

• A.5 Sigurnosna politika
• A.6 Organizacija informacijske sigurnosti
• A.7 Upravljanje informacijskim resursima
• A.8 Sigurnost vezana uz osoblje
• A.9 Fizička sigurnost i sigurnost okruženja
• A.10 Upravljanje komunikacijama i operativnim postupcima
• A.11 Kontrola pristupa
• A.12 Nabavka, razvoj i održavanje informacijskih sustava
• A.13 Upravljanje incidentima informacijske sigurnosti
• A.14 Upravljanje kontinuitetom poslovanja
• A.15 Sukladnost

Kao što sam spomenuo, Aneks A sadrži 133 kontrole koje se, kao što se vidi iz naziva poglavlja, ne tiču isključivo informacijskih tehnologija – također pokrivaju i fizičku sigurnost, pravnu zaštitu, upravljanje ljudskim resursima, organizacijska pitanja itd.

Stoga se Aneks A može promatrati kao katalog sigurnosnih mjera koje se koriste tijekom postupka obrade rizika – kad u postupku procjene rizika odredite neprihvatljive rizike, Aneks A će vam pomoći da odaberete kontrolu/kontrole kojima ćete smanjiti takve rizike. A pobrinut će se i da ne zaboravite neku važnu kontrolu.

Aneks A je na neki način poveznica za norme ISO 27001 i ISO 27002 – kontrole u ISO 27002 imaju iste nazive kao i one u Aneksu A norme ISO 27001, ali je razlika u količini detalja – ISO 27001 daje samo kratku definiciju pojedine kontrole, dok ISO 27002 daje detaljne smjernice o tome kako primijeniti kontrolu.

Nedostaci

Ako sada mislite da je Aneks A savršen implementacijski alat za vaš projekt informacijske sigurnosti, nemojte biti previše optimistični – u njemu ćete naći i neke stvari koje nemaju smisla. Na primjer, ponekad različite kontrole definiraju gotovo ista pitanja i zbog toga mogu djelovati zbunjujuće – takav je slučaj s kontrolama A.9.2.6 (Rashodovanje ili ponovna uporaba opreme) i A.10.7.2 (Rashodovanje medija). S druge strane neka pitanja, poput odnosa s trećim stranama, razbacana su kroz više točaka u Aneksu A – možete ih pronaći u točkama A.6.2 (Vanjske stranke), A.8 (Sigurnost vezana uz osoblje) i A.10.2 (Upravljanje uslugama trećih strana), te u kontroli A.12.5.5 (Eksternalizirani razvoj softvera). Zbog toga Aneks A ponekad nije jednostavan za korištenje kao implementacijski alat.

Ali to nisu jedine nejasnoće – u nekim kontrolama Aneks A govori o politikama i procedurama, ali ne propisuje da moraju biti dokumentirane. Može se činiti čudno, ali norma propisuje pisane politike/procedure samo tamo gdje se pojavljuje riječ “dokumentiran”. Ako proučite čitav Aneks A, riječ “dokumentiran” se pojavljuje samo u 6 kontrola (A.5.1.1, A.7.1.3, A.8.1.1, A.10.1.1, A.11.1.1, A.15.1.1) – to znači da sve druge kontrole možete primijeniti bez da ih dokumentirate.

Ipak, nemojte previše iskorištavati ovu fleksibilnost Aneksa A. Što je organizacija veća, morat ćete proizvesti više dokumenata kako bi se svi upoznali i uskladili s vašim sigurnosnim procedurama. S druge strane morate paziti da ne pretjerate s dokumentacijom – ako je imate previše, nitko je se neće pridržavati.

Odnos s glavnim dijelom norme ISO 27001

Glavni dio norme, ili točnije obvezne točke 4 do 8 opisuju upravljački dio norme. One propisuju ciklus Planiranja-Implementacije-Pregledavanja i praćenja-Poboljšavanja (engl. PDCA: Plan-Do-Check-Act), uključujući procjenu i obradu rizika, upravljanje dokumentacijom, upravljanje zapisima, osiguravanje resursa, interni audit, pregled od strane menadžmenta, korektivne i preventivne mjere, itd.

Kao što je već prije spomenuto, postupak procjene i obrade rizika je glavna poveznica između točaka 4 do 8 i kontrola iz Aneksa A. On će vam pomoći da odlučite jesu li pojedine kontrole iz Aneksa A potrebne za smanjivanje rizika ili ne.

To znači da točke 4 do 8 i Aneks A ne mogu postojati jedni bez drugih – procjena rizika nema smisla ako ne postoje kontrole koje će smanjiti rizik, a jedini način da se odredi primjenjivost kontrola je pomoću procjene rizika.

Moje mišljenje je da su upravo fokus na rizike i fleksibilnost u primjeni sigurnosnih mjera najbolje stvari u normi ISO 27001 – samo morate paziti da ih iskoristite na najbolji mogući način.

Pogledajte i naš webinar Osnove ISO 27001 – 3. dio: Pregled Aneksa A (seminar uz naplatu).

Jeste li ikada čuli rečenice poput “To se ne može provesti”, “Ovo nema smisla” ili “U slučaju ozbiljne havarije sve će biti uzalud”? Ako ste provodili projekte upravljanja kontinuitetom poslovanja, vjerojatno jeste. Naravno, takav pristup ne bi pomogao vašem projektu – zato ovdje navodim nekoliko savjeta kako odgovoriti takvim skepticima.

“Ako dođe do havarije, bespomoćni smo”

Ovo ćete najčešće čuti. U tome možda ima istine ako niste ozbiljno pripremili strategiju kontinuiteta poslovanja i planove kontinuiteta poslovanja uzimajući u obzir sve moguće scenarije. Ako ste to ipak učinili, možete im objasniti da ste pripremili rezervnu lokaciju koja je dovoljno udaljena tako da može podnijeti bilo koju havariju, da ste napravili sigurnosne kopije podataka, da ste osigurali zamjenu za svakog zaposlenika u organizaciji, da imate alternativne dobavljače za sve kritične usluge i sl.

“U slučaju atomskog rata, to ne može funkcionirati”

Osim ako niste dio vojne industrije, zar bi to uopće bilo bitno? U slučaju ovakve katastrofe vaše poslovanje ionako više ne bi imalo smisla.

“Ne vidimo svrhu”

Nadajte se da nikada nećete morati primijeniti kontinuitet poslovanja. Ne spominjući opće poznate primjere poput napada 11. rujna ili uragana Katrina, dovoljno je pitati – jeste li vam ikad nestala struja? Je li vam se ikada pokvario server? Ili možda računalo na kojem su bili pohranjeni važni podaci? Jeste li ikada čuli da je neka zgrada izgorjela do temelja? Dovoljno je čitati crnu kroniku kako biste shvatili da se takve stvari mogu svakome dogoditi.

“Provest ćemo to samo da auditor bude zadovoljan”

Izokrenuli ste prioritete. Ako sve učinite kako treba, zaštitit ćete sebe, a i vaš će auditor biti zadovoljan.

“Ne možemo predvidjeti sve incidente”

To je istina, barem u početku. Ali ako pravilno provedete procjenu rizika, konzultirate literaturu i upotrijebite razne resurse te redovito pregledavate procjenu, vrlo ćete vjerojatno s vremenom moći uzeti u obzir sve moguće rizike. Kad ih jednom prepoznate, možete pripremiti odziv.

“U opasnim situacijama ljudi se brinu za svoje obitelji, a ne za posao”

To je također istina. Tko u slučaju potresa ne bi nazvao svoju obitelj da provjeri je li s njima sve u redu? Međutim, taj ćete problem riješiti tako da vrlo pažljivo isplanirate tko nakon incidenta smije ići kući, a tko mora ostati rješavati situaciju, i da se pobrinete se za obitelj zaposlenika koji moraju ostati (npr. tako što ćete taj zadatak povjeriti nekom drugom zaposleniku).

“U kriznim situacijama ljudi reagiraju iracionalno”

Ovo je definitivno istina. Ali ako zaposlenike (i dobavljače/partnere) redovito obučavate i vježbate planove kontinuiteta poslovanja, oni će se naučiti na stresne situacije pa će kod pojave takve situacije vjerojatno pravilno reagirati.

Ako ste već provodili slične projekte, znate koliko je osviještenost važna. Ako vaši suradnici ne prepoznaju smisao takvih projekata, imat ćete velikih poteškoća u njihovoj implementaciji, da ne spominjem da bi vaš projekt mogao i potpuno propasti – zato unaprijed morate dobro razmisliti o osvješćivanju.

Pogledajte i naš webinar Osnove BS 25999-2 – 2. dio: Strategija kontinuiteta poslovanja (seminar uz naplatu).

Ako tek započinjete s provedbom norme ISO 27001, vjerojatno to želite učiniti na što lakši način. Tu vas moram razočarati: ovakva provedba nije lak posao. Međutim, pokušat ću vam ga olakšati tako što ću vam opisati 16 koraka koje morate odraditi ako želite dobiti certifikat ISO 27001.

1. Osigurajte podršku menadžmenta

Iako se doima očito, ovom se koraku obično olako pristupa. Upravo to je prema mom iskustvu glavni razlog za neuspjeh ISO 27001 projekata  –kada menadžment za provedbu projekta ne osigurava dovoljan broj ljudi ili novca. (U članku Četiri ključne koristi implementacije norme ISO 27001 pročitajte ideje kako projekt prezentirati menadžmentu.)

2. Primijenite projektni pristup

Kao što je već rečeno, implementacija norme ISO 27001 je kompleksna i uključuje razne aktivnosti, mnogo ljudi i traje nekoliko mjeseci (ili dulje od godinu dana). Ako jasno ne definirate što se treba učiniti, tko to treba učiniti i u kojem vremenskom roku (tj. ako ne primijenite principe upravljanja projektima), posao bi se mogao otegnuti u nedogled.

3. Odredite opseg

Ako se radi o većoj organizaciji, bolje bi bilo normu ISO 27001 provesti u samo jednom dijelu organizacije, jer tako možete znatno smanjiti rizike svojeg projekta. (Problemi s određivanjem opsega prema normi ISO 27001)

4. Napišite Politiku ISMS-a

Politika ISMS-a krovni je dokument u vašem ISMS-u – ona ne bi trebala sadržavati previše detalja, ali bi trebala definirati osnove vezane za informacijsku sigurnost u vašoj organizaciji. Ali ako nije detaljna, koja je onda njezina svrha? Svrha je da kroz nju menadžment odredi što želi postići i kako će to kontrolirati. (Koliko detaljna treba biti politika informacijske sigurnosti?)

5. Definirajte metodologiju procjene rizika

Procjena rizika najsloženiji je zadatak u projektu implementacije ISO 27001. Metodologijom određujete pravila za utvrđivanje resursa, ranjivosti, prijetnji, posljedica i vjerojatnosti te prihvatljivu razinu rizika. Ako ta pravila jasno ne odredite, rezultati bi mogli biti neupotrebljivi. (Savjeti za procjenu rizika u manjim tvrtkama)

6. Provedite procjenu i obradu rizika

Pravila koja ste u prethodnom koraku odredili sada morate primijeniti – u većim organizacijama to može potrajati i nekoliko mjeseci, pa biste trebali pažljivo koordinirati takav posao. Cilj je dobiti cjelovitu sliku mogućih izvora opasnosti za informacije vaše organizacije.

Svrha procesa obrade rizika je smanjivanje neprihvatljivih rizika – to se obično provodi primjenom sigurnosnih mjera iz Aneksa A. U ovom koraku morate napisati Izvješće o procjeni rizika u kojem ćete dokumentirati sve korake koje ste poduzeli u postupku procjene i obrade rizika. Također morate dobiti i odobrenje za preostale rizike – ili u obliku zasebnog dokumenta ili kao dio Izvješća o primjenjivosti.

7. Napišite Izvješće o primjenjivosti

Po završetku postupka obrade rizika znat ćete točno koje su vam sigurnosne mjere iz Aneksa potrebne (postoji ukupno 133 mjere, ali vama vjerojatno neće trebati sve). Svrha ovog dokumenta (engl. SoA – Statement of Applicability) je da prikaže sve sigurnosne mjere, te koje od njih su primjenjive, a koje nisu, razloge za takvu odluku, ciljeve koje se mjerama želi postići i opis kako se provode. Izvješće o primjenjivosti je i najprikladniji dokument kojim od menadžmenta možete tražiti odobrenje za implementaciju ISMS-a.

8. Napišite Plan obrade rizika

Upravo kada ste pomislili da ste zgotovili sve dokumente vezane za rizike, shvatili ste da ste se prevarili – svrha Plana obrade rizika je točno odrediti način na koji će se mjere iz SoA provoditi – tko će ih provoditi, kada, kojim sredstvima i sl. Ovaj je dokument zapravo plan provedbe vaših sigurnosnih mjera bez kojeg ne biste mogli koordinirati daljnje korake u projektu.

9. Utvrdite način mjerenja učinkovitosti sigurnosnih mjera

Ovo je još jedan od zadataka koji su obično podcijenjeni. A stvar je zapravo u ovome – ako ne možete izmjeriti napravljeno kako možete biti sigurni da ste ispunili svrhu? Stoga svakako definirajte način na koji ćete mjeriti ispunjavanje ciljeva koje ste postavili kako za cjelokupni ISMS tako i za svaku primjenjivu sigurnosnu mjeru u Izvješću o primjenjivosti.

10. Provodite sigurnosne mjere i obvezne procedure

Ovo izgleda lagano, ali ovdje morate provesti četiri obvezne procedure i primjenjive kontrole iz Aneksa A.

Ovo je obično najrizičniji zadatak u projektu – često uključuje primjenu novih tehnologija, ali prije svega provedbu novog načina ponašanja u vašoj organizaciji. Često je potrebno napisati nove politike i procedure (što znači da je potrebno nešto promijeniti), međutim ljudi se obično odupiru promjenama. Zato je sljedeći zadatak (obučavanje i osvješćivanje) ključan u sprječavanju rizika.

11. Provodite programe obučavanja i osvješćivanja

Ako želite da vaše osoblje provodi sve nove politike i procedure, prvo im morate objasniti zašto su potrebne i obučiti ih da mogu proizvesti očekivani učinak. Neprovođenje ovih aktivnosti drugi je najčešći razlog zašto projekti implementacije norme ISO 27001 ne uspijevaju.

12. Upravljajte ISMS-om

U ovoj fazi ISO 27001 postaje dio rutine u vašoj organizaciji. Ovdje ključna riječ glasi: “zapisi”. Auditori obožavaju zapise – bez zapisa ćete teško dokazati da ste neke aktivnosti zaista proveli. No zapisi bi prije svega trebali pomoći vama – pomoću njih možete pratiti što se događa i možete sa sigurnošću znati provode li vaši zaposlenici (i dobavljači) svoje zadatke u skladu sa zahtjevima.

13. Pratite ISMS

Što se događa u vašem ISMS-u? Koji su se incidenti pojavili, koje vrste? Provode li se sve procedure ispravno?

Ovdje koristite ciljeve sigurnosnih mjera i metodologiju mjerenja – morate provjeriti postižete li ostvarenim rezultatima ono što ste si postavili kao cilj. Ako ne, znate da nešto nije u redu i da morate provesti korektivne i/ili preventivne mjere.

14. Interni audit

Ljudi često nisu ni svjesni da čine nešto krivo (s druge strane, ponekad jesu, ali ne žele da to itko sazna), a Vašoj organizaciji može štetiti činjenica da niste svjesni postojećih i potencijalnih problema. Morate provoditi interni audit kako biste takve stvari otkrili. Poanta nije u pokretanju disciplinskog postupka, nego u poduzimanju korektivnih i/ili preventivnih mjera. (Nedoumice vezane za interne auditore po normi ISO 27001 i BS 25999-2)

15. Pregled od strane menadžmenta

Menadžment ne mora konfigurirati vaš vatrozid, ali mora znati što se događa u ISMS-u, tj. jesu li svi izvršili svoje dužnosti, postiže li ISMS željene rezultate, i sl. Na temelju toga menadžment mora donositi ključne odluke.

16. Korektivne i preventivne mjere

Sustav upravljanja treba osigurati da se sve što nije u redu (tzv. “nesukladnost”) ispravi, ili još i bolje, spriječi. Stoga norma ISO 27001 traži da se korektivne i preventivne mjere provode sustavno, što znači da se mora ustanoviti uzrok nesukladnosti, koji se zatim mora riješiti i provjeriti.

Nadam se da vam je nakon čitanja ovog članka jasnije što trebate učiniti. Iako implementacija norme ISO 27001 nije lagan zadatak, ne mora nužno biti i jako kompliciran. Jednostavno morate svaki korak pažljivo planirati i ne brinite – dobit ćete certifikat.

Ovdje možete preuzeti dijagram Proces implementacije norme ISO 27001 u kojem su svi ovi koraci grafički prikazani zajedno s potrebnom dokumentacijom.

Ako ste se susreli s normama ISO 27001 i ISO 27002, vjerojatno ste primijetili da norma ISO 27002 sadrži mnogo više detalja, da je mnogo preciznija. Koji je onda uopće smisao norme ISO 27001?

Prije svega, po normi ISO 27002 se ne možete certificirati jer to nije upravljačka norma. Što to znači upravljačka norma? To znači da se takvom normom određuje način upravljanja sustavom, što se  u slučaju norme ISO 27001 odnosi na sustav upravljanja informacijskom sigurnošću (ISMS) – stoga se po normi ISO 27001 možete certificirati.

Ovaj sustav upravljanja znači da se informacijska sigurnost mora planirati, implementirati, nadzirati, pregledavati i poboljšavati; znači da menadžment ima točno određene odgovornosti i da se ciljevi moraju postaviti, mjeriti i pregledavati, da se moraju provoditi interni auditi i sl. Svi su ovi elementi opisani u ISO 27001, ali ne i u ISO 27002.

Sigurnosne mjere u normi ISO 27002 nose iste nazive kao i one u Aneksu A norme ISO 27001 – na primjer, u normi ISO 27002 mjera 6.1.6 nosi naslov Kontakt s državnim službama dok se u normi ISO 27001 zove A.6.1.6 Kontakt s državnim službama. Razlika je ipak u količini detalja – u normi ISO 27002 svakoj je sigurnosnoj mjeri posvećena otprilike jedna cijela stranica, dok je u normi ISO 27001 istoj mjeri posvećena tek jedna rečenica.

Razlika je i u tome što norma ISO 27002 ne razlikuje sigurnosne mjere prema tome jesu li primjenjive u određenoj organizaciji ili ne. S druge strane, norma ISO 27001 propisuje da se mora provesti procjena rizika kako bi se za svaku mjeru utvrdilo je li potrebna za umanjivanje rizika, i ako je, u kojoj mjeri se mora primijeniti.

Postavlja se pitanje zašto te dvije norme postoje zasebno, zašto nisu integrirane kako bi se na jednom mjestu objedinile njihove pozitivne strane? Odgovor je u upotrebljivosti – ako bi tvorile jedinstvenu normu, ona bi bila suviše složena i opsežna za praktičnu upotrebu.

Norme iz serije ISO 27000 osmišljene su tako da svaka na nešto stavlja naglasak – ako u svojoj organizaciji želite postaviti temelje informacijske sigurnosti i odrediti njezine okvire, koristit ćete se normom ISO 27001; ako želite implementirati sigurnosne mjere, koristiti ćete se normom ISO 27002, a ako želite provesti procjenu i obradu rizika, upotrijebit ćete ISO 27005, itd.

Da zaključim: bez detalja koje nudi norma ISO 27002 ne bi bilo moguće provesti mjere navedene u Aneksu A norme ISO 27001; međutim, bez upravljačkog okvira postavljenog u normi ISO 27001 norma ISO 27002 ostala bi samo usamljen primjer nastojanja nekolicine entuzijasta za informacijsku sigurnost, bez podrške top menadžmenta i bez pravog učinka na organizaciju.

Pogledajte i naš webinar Osnove ISO 27001 – 3. dio: Pregled Aneksa A (seminar uz naplatu).

Jeste li ikada pokušali uvjeriti menadžment da financira provedbu informacijske sigurnosti? Ako jeste, vjerojatno znate kakav je to osjećaj – pitaju vas koliko to košta  i ako zvuči preskupo, jednostavno kažu ne.

Zapravo ne biste trebali kriviti njih – oni su u konačnici ipak zaduženi za profitabilnost tvrtke. To jest, temelj svake njihove odluke je odnos između visine ulaganja i koristi, ili da se izrazimo menadžerskim rječnikom – povrat na investiciju (engl. return on investment – ROI).

To znači da prije predlaganja takvog ulaganja morate napraviti domaću zadaću – dobro promislite kako prezentirati koristi, koristeći se jezikom koji će menadžment razumjeti i podržati.

Pokušat ću vam u tome pomoći – koristi informacijske sigurnosti, pogotovo provedbe norme ISO 27001 su brojne. Ali iz mog iskustva ove četiri su najvažnije:

1. Sukladnost

Možda se čini neobičnim ovo navesti kao prvu prednost, ali upravo se tako ostvaruje najbrži “povrat ulaganja” – ISO 27001 pruža metodologiju s kojom organizacija na najefikasniji način može postići sukladnost sa propisima u području zaštite podataka, privatnosti i IT upravljanju (posebno ako se radi o financijskoj, zdravstvenoj ili državnoj organizaciji).

2. Marketinška prednost

Na sve konkurentnijem tržištu ponekad je jako teško pronaći nešto po čemu kupcima možete  biti prepoznatljivi. Norma ISO 27001 vam zaista može osigurati da ponudite nešto jedinstveno, pogotovo ako baratate osjetljivim informacijama klijenata.

3. Smanjivanje troškova

Informacijska sigurnost obično se smatra troškom koji ne donosi očitu financijsku dobit. Ipak, financijsku korist možete ostvariti ukoliko smanjite troškove  uzrokovane incidentima – vjerojatno se suočavate s prekidom usluga ili povremenim curenjem informacija, a nađe se i poneki nezadovoljni djelatnik. Ili nezadovoljni bivši djelatnik.

Istini za volju, još uvijek ne postoji metodologija i/ili tehnologija koja bi vam omogućila da izračunate koliko novaca možete uštedjeti sprječavanjem takvih incidenata. Ali uvijek je dobro skrenuti pozornost menadžmenta na takve slučajeve.

4. Uvođenje reda u poslovanje

Ova korist se najčešće podcjenjuje – ako ste tvrtka koja se u zadnjih nekoliko godina naglo razvila, možete naići na probleme poput – tko o čemu odlučuje, tko je odgovoran za određene informacijske resurse, tko odobrava pristup informacijskim sustavima, i sl.

Norma ISO 27001 posebno je korisna u rješavanju takvih stvari – prisilit će vas da vrlo precizno definirate odgovornosti i zaduženja, i da na taj način ojačate svoju internu organizaciju.

Da zaključim – umjesto da norma ISO 27001 bude samo još jedan certifikat na zidu, ona vašoj tvrtki može donijeti mnoge koristi. U većini slučajeva će vas menadžment poslušati ako te koristi prezentirate na jasan način.

Pogledajte i naš webinar Obveze menadžmenta prema ISO 27001 / BS 25999-2: Što menadžment mora znati? (seminar uz naplatu).

Vjerojatno znate da je prvi korak u implementaciji norme ISO 27001 određivanje opsega. Ono što vjerojatno niste znali je da taj korak, iako se na prvi pogled čini jednostavnim, može ponekad biti problematičan. Naime, mnoge tvrtke sužavanjem opsega pokušavaju smanjiti troškove implementacije, ali se često nađu u situaciji u kojoj im taj isti opseg zadaje glavobolju.

U čemu je dakle problem?

Kada opseg određen prema normi ISO 27001 ne obuhvaća cijelu organizaciju, sustav upravljanja informacijskom sigurnošću (ISMS) mora imati sučelje prema „vanjskom svijetu“ – u tom smislu vanjski svijet ne uključuje samo klijente, partnere, dobavljače i sl., već i odjele u organizaciji koji nisu unutar opsega. Možda će se činiti neobičnim, ali odjel koji nije unutar opsega treba tretirati jednako kao i vanjske dobavljače.

Ako na primjer odlučite da unutar opsega bude samo informatički odjel, a taj odjel koristi usluge odjela za nabavu, informatički bi odjel trebao provesti procjenu rizika vašeg odjela za nabavu kako bi utvrdio postoji li rizik za informacije za čiju sigurnost je odgovoran. Osim toga, ova dva odjela bi trebala potpisati opće uvjete o pružanju usluga.

Zašto je potrebno toliko papirologije? Morate se staviti u poziciju certifikacijskog tijela – ono mora potvrditi da ste unutar opsega u stanju postupati s informacijama na siguran način, a ne može provjeravati odjele koji su izvan opsega. Jedino rješenje u ovom slučaju je da takve odjele tretirate kao vanjske tvrtke. (Napomena: certifikacijski auditori ne vole uski opseg).

Tu problemima nije kraj. Ponekad jednostavno nije moguće uspostaviti uzak opseg jer ne postoji sučelje prema vanjskom svijetu. Ako na primjer i djelatnici unutar opsega i djelatnici izvan opsega sjede u istoj prostoriji, takav opseg je teško izvediv; ako i djelatnici koji jesu dio opsega i oni koji nisu koriste istu lokalnu mrežu (bez segregacije) i imaju pristup raznim mrežnim servisima, tek takav opseg nije izvediv – ne bi bilo moguće kontrolirati protok informacija samo unutar opsega.

Suština je sljedeća – ponekad je nemoguće suziti opseg ISMS-a, a sužavanje vas u većini slučajeva samo opterećuje dodatnom papirologijom. Stoga je ono rješenje koje se u početku nije činilo dobrim u konačnici ipak možda najbolje – pokušajte opseg proširiti na cijelu organizaciju. Nepisano je pravilo, ako vaša organizacija ima samo nekoliko stotina zaposlenika i jednu ili samo nekoliko lokacija, najbolje je da ISMS obuhvaća cijelu organizaciju.

S druge strane, ako opsegom ISMS-a zaista ne možete obuhvatiti cijelu organizaciju, pokušajte ga uspostaviti u organizacijskoj jedinici koja je u dovoljnoj mjeri neovisna; pokušajte urediti odnose s drugim organizacijskim jedinicama izvan opsega određujući njihove usluge kroz interne dokumente (politike, procedure i sl.) koji bi imali funkciju „ugovora“ – obveze organizacijskih jedinica dokumentirane na ovaj način iskoristive su i u svakodnevnom poslovanju.

Eto – riješili ste prvi korak u implementaciji norme ISO 27001.

Pogledajte i naš video tutorijal Kako odrediti i dokumentirati opseg ISMS-a prema ISO 27001 (video uz naplatu).

Vjerojatno se pitate zašto nakon procjene rizika još morate provoditi i analizu utjecaja na poslovanje. Sve ste rizike identificirali, zar ne? Mnogo ste vremena potrošili na analizu svoje tvrtke, čemu dakle još jedna analiza?

Svrha analize utjecaja na poslovanje ipak je nešto drukčija. U kontinuitetu poslovanja sve se vrti oko vremena – nije važno možete li oporaviti poslovnu aktivnost ako to ne možete učiniti u razumnom roku. Upravo se analizom utjecaja na poslovanje želi utvrditi što je “razumno” pa je njezin glavni cilj utvrditi ciljano vrijeme oporavka za svaku kritičnu aktivnost unutar organizacije.

Takva se analiza često olako shvaća – kao prvo, tvrtka obično nije svjesna toga da bi krivi rezultati mogli dovesti do nepotrebnih troškova ili neprikladne strategije kontinuiteta poslovanja, a osim toga se i podcjenjuje trud koji je potrebno uložiti u provođenje analize utjecaja na poslovanje.

Zbog toga ovdje navodim nekoliko savjeta koji će vašu analizu utjecaja na poslovanje učiniti uspješnijom:

Shvatite analizu kao (mini) projekt. Odredite osobu odgovornu za provedbu analize i definirajte njezina ovlaštenja; definirajte opseg, ciljeve i vremenske rokove.

Napravite domaću zadaću, pripremite dobar upitnik. Dobro strukturiranim upitnikom možete uštedjeti mnogo vremena, a rezultati će biti točniji. U normama BS 25999-1 i BS 25999-2 možete naći dobre smjernice što takav upitnik mora sadržavati – između ostalog morate utvrditi posljedice prekida i kako one variraju s vremenom, identificirati resurse koji su potrebni za oporavak i sl. Dobro je postaviti pitanja kojima se mogu ocijeniti i kvalitativni i kvantitativni učinci.

Definirajte jasne kriterije. Ako osobe koje intervjuirate moraju na pitanja odgovarati tako da daju ocjene od 1 do 5, svakako objasnite što točno svaka od tih 5 ocjena znači. Nije rijetkost da posljedice istog događaja zaposlenici na nižim razinama ocijene kao katastrofalne, a najviši menadžment kao umjerene.

Sakupljajte podatke u interakciji s ljudima. Najbolji se rezultati postižu kada osoba koja ima iskustva s kontinuitetom poslovanja provodi intervju s osobom koja je odgovorna za kritičnu aktivnost. Na taj se način razjašnjavaju mnoge nejasnoće i postiže ujednačenost u odgovorima. Ako intervjui nisu izvedivi, organizirajte barem jednu radionicu za sve sudionike kako bi mogli pitati sve što ih muči. Drugim riječima, nemojte im samo slati upitnike i izgrditi ih ako ih ne ispune na vrijeme.

Ciljano vrijeme oporavka odredite tek nakon što utvrdite sve međuovisnosti. Primjerice, iz upitnika ćete možda zaključiti da je za kritičnu aktivnost “A” maksimalno tolerirano vrijeme prekida 2 dana, dok je maksimalno tolerirano vrijeme prekida za aktivnost “B” 1 dan i da se ne može oporaviti bez aktivnosti “A”. To znači da ciljano vrijeme oporavka aktivnosti “A” mora biti 1 dan, a ne 2 dana.

Iz iskustva znam da su rezultati analize utjecaja na poslovanje često iznenađujući – obično je ciljano vrijeme oporavka dulje nego što se u početku mislilo, a analiza utjecaja na poslovanje otkriva ovisnost o nekim resursima koji u stvari predstavljaju jedinstvenu točku prekida. Ali najbolje je to što je analiza utjecaja na poslovanje najučinkovitiji način na koji ljude možete potaknuti da razmišljaju o neočekivanom – stvarajući takvu svijest povećavate vjerojatnost za opstanak svoje tvrtke.

Pogledajte i naš webinar Osnove BS 25999-2 – 1. dio: Analiza utjecaja na poslovanje (seminar uz naplatu).

Često imam priliku vidjeti politike informacijske sigurnosti koje, pokušavajući obuhvatiti sve, od strateških ciljeva do toga koliko numeričkih znakova treba sadržavati lozinka, sadrže suviše detalja. Problem kod takvih politika je taj što imaju preko 50 stranica – i nitko ih u stvari ne shvaća ozbiljno. Na kraju su to samo umjetni dokumenti čija je isključiva svrha zadovoljiti auditora.

Zašto je takve politike izuzetno teško implementirati? Jer su preambiciozne – pokušavaju obuhvatiti previše područja i namijenjene su preširokom krugu ljudi.

Zbog toga ISO 27001, vodeća norma za informacijsku sigurnost, definira različite razine politika informacijske sigurnosti:

• politike visoke razine, poput Politike sustava upravljanja informacijskom sigurnošću – takve politike visoke razine obično definiraju strateške namjere, ciljeve i sl.
• detaljne politike (u hrvatskom jeziku često nazivane kao „pravilnici“) – politike ove vrste obično detaljnije opisuju određeno područje informacijske sigurnosti, precizirajući odgovornosti i sl.

Norma ISO 27001 propisuje da Politika sustava upravljanja informacijskom sigurnošću kao dokument najviše razine mora sadržavati okvir za postavljanje ciljeva, uzimajući u obzir razne zahtjeve i obveze, da mora pratiti kontekst u kojem organizacija provodi strateško upravljanje rizicima i da mora postaviti kriterije za ocjenu rizika. Takva politika bi zapravo trebala biti vrlo kratka (imati možda stranicu-dvije) jer joj je glavna svrha da pomoću nje najviši menadžment može upravljati ISMS-om.

S druge strane, detaljne politike (pravilnici) trebale bi imati operativnu namjenu i biti usredotočene na uže područje sigurnosnih aktivnosti. Primjeri takvih politika su: politika o klasifikaciji informacija, politika o prihvatljivoj uporabi informacijskih resursa, politika za izradu sigurnosnih kopija, politika kontrole pristupa, politika uporabe lozinki, politika čistog stola i čistog ekrana, politika uporabe mrežnih servisa, politika za mobilno računarstvo, politika uporabe kriptografskih kontrola, itd. Napomena: ISO 27001 ne propisuje da sve ove politike moraju biti implementirane ili dokumentirane, jer odluka jesu li takve kontrole primjenjive i u kojoj mjeri ovisi o rezultatima procjene rizika.

Budući da takve politike propisuju mnogo više detalja, obično su duže – do deset stranica. Ako bi bile duže od toga, bilo bi ih jako teško implementirati i održavati.

Drugim riječima, informacijska sigurnost je previše složena da bi se mogla definirati jednom politikom – za različite aspekte ISMS-a i različite “ciljne skupine” trebale bi postojati različite politike. Srednje velike organizacije za svoj ISMS obično uspostave do petnaest politika/pravilnika.

Moglo bi se tvrditi da toliki broj politika za organizaciju predstavlja samo dodatni trošak bez neke vidljive koristi – sa time se dakako slažem u slučajevima gdje su te politike napisane imajući u vidu samo certifikacijski audit, jer će takve politike samo će još povećati birokraciju. Ako je pak politika napisana s ciljem da se stvarno smanje rizici, onda će se njezina prava korist ipak pokazati – ako ne odmah, onda vjerojatno za dvije do tri godine, kada se smanji broj incidenata.

Pogledajte i naš video tutorijal Kako napisati Politiku ISMS-a prema ISO 27001 (video uz naplatu).

Ako ste čuli da norma ISO 27001 propisuje mnogo procedura, to nije u potpunosti točno. Zapravo je prema normi potrebno dokumentirati samo četiri procedure: proceduru za upravljanje dokumentacijom, proceduru za interne audite ISMS-a, proceduru za korektivne mjere i proceduru za preventivne mjere. Izraz “dokumentirati” znači da se “procedura mora uspostaviti, dokumentirati, implementirati i održavati.” (ISO/IEC 27001  4.3.1 Note 1)

Napomena: u ovom postu neću pisati o ostalim obveznim dokumentima kao što su opseg ISMS-a, politika ISMS-a, metodologija za procjenu rizika, Izvješće o procjeni rizika, Izvješće o primjenjivosti, plan obrade rizika, itd. – usredotočit ću se samo na procedure.

Procedura za upravljanje dokumentacijom trebala bi odrediti osobu odgovornu za odobravanje i pregled dokumentacije, definirati način na koji se utvrđuje status izmjena i revizije, kako se dokumentacija distribuira i sl. Drugim riječima, ova procedura trebala bi propisati način na koji će funkcionirati krvotok organizacije (protok dokumentacije).

Procedura za interni audit mora propisati odgovornosti za planiranje i provođenje audita, načine izvještavanja o rezultatima audita i vođenje zapisa. To znači da se moraju propisati osnovna pravila za provođenje audita.

Procedura za korektivne mjere trebala bi propisati način na koji će se utvrđivati nesukladnost i njezini uzroci, kako definirati i implementirati potrebne mjere, koji oblik zapisa primjenjivati te kako obavljati pregled mjera. Svrha ove procedure je da definira način na koji će svaka pojedina mjera ukloniti uzrok nesukladnosti, kako se isti ne bi ponovio.

Procedura za preventivne mjere i procedura za korektivne mjere gotovo su iste. Jedina razlika je u tome što je cilj preventivnih mjera ukloniti uzrok nesukladnosti, kako se nesukladnost uopće ne bi pojavila. Budući da su slične, ove se dvije procedure obično spajaju u jednu.

Ali kako to da ISO 27001 propisuje dokumentiranje procedura koje nisu povezane s informacijskom sigurnošću, dok istovremeno sigurnosne procedure nisu obvezne?

Odgovor leži u procjeni rizika – ISO 27001 propisuje da morate provesti procjenu rizika, a ako se tom procjenom rizika utvrdi određen neprihvatljiv rizik, ISO 27001 propisuje  provođenje mjere iz Aneksa A koja će umanjiti rizik(e). Ta mjera može biti tehnička (primjerice anti virusni softver za smanjenje rizika od napada zlonamjernog softvera), ali i organizacijska – provedba politike ili procedure (primjerice, implementacija procedure za sigurnosne kopije). Procedure dakle postaju obvezne samo ako se procjenom rizika utvrde neprihvatljivi rizici.

Važno je napomenuti:  za razliku od četiri obvezne procedure koje moraju biti dokumentirane, procedure koje proizlaze iz mjera u Aneksu A ne moraju biti dokumentirane. Organizacija može samostalno procijeniti je li te procedure potrebno dokumentirati ili ne.

Četiri obvezne procedure (zajedno sa sigurnosnom politikom) možete smatrati stupovima vašeg sustava upravljanja – nakon što ih dobro učvrstite u temelje, možete početi zidati kuću. To je očigledno ako pogledate druge sustava upravljanja – i tamo su obvezne iste četiri procedure – u ISO 9001 (sustavi upravljanja kvalitetom), ISO 14001 (sustavi upravljanja okolišem) i BS 25999-2 (upravljanje kontinuitetom poslovanja). Iz toga slijedi da ove procedure možete koristiti kao glavnu poveznicu između različitih sustava upravljanja ako želite razviti tzv. “integrirani sustav upravljanja”.

Pogledajte i naš video tutorijal Kako se piše Procedura za upravljanje dokumentacijom prema ISO 27001/ISO 22301 (video uz naplatu).