ISO 27001 & BS 25999

WikiLeaks je ovih dana s razlogom goruća tema – nije baš uobičajeno da se povjerljivi dokumenti najmoćnije vlade objavljuju na Internetu. A poneki od njih su,  blago rečeno,  neugodni.

Ovdje neću pisati o tome je li legalno to što WikiLeaks objavljuje takve informacije ili ne, je li objavljivanje tih informacija u javnom interesu ili ne, što će biti s osnivačem WikiLeaksa (u trenutku pisanja ovog članka Julian Assange bio je u pritvoru) itd.

Stvar je u tome što će se, ako se WikiLeaks i ugasi, pojaviti neki novi WikiLeaks. Drugim riječima, opasnost od curenja informacija u javnost neprestano se povećava. (Usput rečeno, prije uhićenja Julian Assange je najavio da će objaviti inkriminirajuće informacije o jednoj od glavnih američkih banaka i njezinom nelegalnom poslovanju.)

Ovdje ću promatrati stvar iz perspektive tvrtki – što ako smo mi sljedeća žrtva WikiLeaksa ili nekog njegovog klona? Kako možemo zaštititi vlastite informacije i spriječiti štetu prouzročenu tako velikim incidentom?

Jednostavan primjer

Kako izgleda informacijska sigurnost u praksi? Uzmimo jednostavan primjer – recimo da svoje prijenosno računalo redovito ostavljate na stražnjem sjedalu automobila – vrlo je vjerojatno da će ga prije ili kasnije netko ukrasti.

Što možete učiniti kako biste umanjili taj rizik? Kao prvo, možete uvesti pravilo (donošenjem procedure ili politike) da se prijenosna računala ne smiju bez nadzora ostavljati u automobilu ili da automobil mora biti parkiran negdje gdje postoji neki oblik fizičke zaštite. Kao drugo, informacije možete zaštititi i odabirom kvalitetnih lozinki i enkripcijom podataka. Osim toga možete od vaših zaposlenika tražiti da potpišu izjavu prema kojoj su odgovorni za eventualne štete. Ipak, sve ove mjere možda neće imati učinka ako zaposlenicima pravila ne objasnite održavanjem kratke obuke.

Što dakle možete zaključiti iz ovog primjera? Informacijska sigurnost se nikada ne sastoji samo od jedne mjere, već je uvijek čini više njih zajedno. Isto tako, mjere se ne odnose samo na IT, nego uključuju i organizacijska pitanja, upravljanje ljudskim resursima, fizičku i tehničku zaštitu i pravnu zaštitu.

Problem je sljedeći – ovo je bio primjer samo jednog računala, ne uzimajući u obzir unutarnje prijetnje. Sada zamislite kako je složeno zaštititi informacije u vašoj tvrtki gdje se informacije ne pohranjuju samo na vaš PC, nego i na razne poslužitelje; ne samo u vašu ladicu nego na sve vaše mobilne telefone; ne samo na USB prijenosne memorije nego i u glave svih zaposlenika. A uvijek se nađe poneki nezadovoljni zaposlenik.

Taj vam se posao čini nemogućim? Težak je, ali nije neizvediv.

Kako postupiti

Za rješavanje ovog složenog problema potreban vam je okvir za postavljanje sustava. Dobra vijest je da takav okvir već postoji u obliku normi – najraširenija je norma ISO 27001, vodeći međunarodni standard za upravljanje informacijskom sigurnošću, ali postoje i drugi – COBIT, NIST SP 800 series, PCI DSS, itd.

Ovdje ću se usredotočiti na ISO 27001 – ova norma pruža dobre temelje za izgradnju sustava informacijske sigurnosti sa svojim katalogom od 133 sigurnosne mjere i fleksibilnošću da primijenite samo one mjere koje su vam s obzirom na rizike zaista i potrebne. Međutim, najbolja odlika ove norme je da definira upravljački okvir za kontrolu i upravljanje sigurnosnim pitanjima, čime upravljanje sigurnošću postaje dio cjelokupnog upravljanja organizacijom.

Ukratko – ova vam norma pomaže u sagledavanju svih oblika informacija, svih rizika i pruža vam modus za pažljivo rješavanje svakog potencijalnog problema i očuvanje sigurnosti informacija.

Posljedice za poslovanje

Dakle, trebaju li korporacije strahovati da će njihove informacije procuriti u javnost? Dakako, ako je njihovo poslovanje ilegalno ili nije etično.

Međutim, tvrtke koje posluju legalno, a žele zaštititi svoje poslovanje, ne mogu razmišljati samo o povratu na investiciju, tržišnom udjelu, ključnim kompetencijama i dugoročnoj viziji. U svojoj strategiji moraju također uzeti u obzir sigurnosna pitanja budući da ih nezaštićene informacije mogu stajati više od npr. neuspjelog pokušaja lansiranja proizvoda. Pod sigurnošću ne mislim samo na fizičku i tehničku zaštitu jer to jednostavno više nije dovoljno – tehnologija omogućuje da informacije cure na razne načine.

Potreban je sveobuhvatan pristup informacijskoj sigurnosti – nije važno radite li prema normi ISO 27001, COBIT-u ili nekom drugom zadanom okviru, sve dok to činite sustavno. Trud koji je potrebno uložiti nije jednokratan, nego se radi o kontinuiranom radu. I na kraju – to nije nešto što vaši ljudi iz IT-a mogu napraviti sami – to je nešto u čemu mora sudjelovati cijela tvrtka, počevši od uprave.

Ako tek započinjete s provedbom norme ISO 27001, vjerojatno to želite učiniti na što lakši način. Tu vas moram razočarati: ovakva provedba nije lak posao. Međutim, pokušat ću vam ga olakšati tako što ću vam opisati 16 koraka koje morate odraditi ako želite dobiti certifikat ISO 27001.

1. Osigurajte podršku menadžmenta

Iako se doima očito, ovom se koraku obično olako pristupa. Upravo to je prema mom iskustvu glavni razlog za neuspjeh ISO 27001 projekata  –kada menadžment za provedbu projekta ne osigurava dovoljan broj ljudi ili novca. (U članku Četiri ključne koristi implementacije norme ISO 27001 pročitajte ideje kako projekt prezentirati menadžmentu.)

2. Primijenite projektni pristup

Kao što je već rečeno, implementacija norme ISO 27001 je kompleksna i uključuje razne aktivnosti, mnogo ljudi i traje nekoliko mjeseci (ili dulje od godinu dana). Ako jasno ne definirate što se treba učiniti, tko to treba učiniti i u kojem vremenskom roku (tj. ako ne primijenite principe upravljanja projektima), posao bi se mogao otegnuti u nedogled.

3. Odredite opseg

Ako se radi o većoj organizaciji, bolje bi bilo normu ISO 27001 provesti u samo jednom dijelu organizacije, jer tako možete znatno smanjiti rizike svojeg projekta. (Problemi s određivanjem opsega prema normi ISO 27001)

4. Napišite Politiku ISMS-a

Politika ISMS-a krovni je dokument u vašem ISMS-u – ona ne bi trebala sadržavati previše detalja, ali bi trebala definirati osnove vezane za informacijsku sigurnost u vašoj organizaciji. Ali ako nije detaljna, koja je onda njezina svrha? Svrha je da kroz nju menadžment odredi što želi postići i kako će to kontrolirati. (Koliko detaljna treba biti politika informacijske sigurnosti?)

5. Definirajte metodologiju procjene rizika

Procjena rizika najsloženiji je zadatak u projektu implementacije ISO 27001. Metodologijom određujete pravila za utvrđivanje resursa, ranjivosti, prijetnji, posljedica i vjerojatnosti te prihvatljivu razinu rizika. Ako ta pravila jasno ne odredite, rezultati bi mogli biti neupotrebljivi. (Savjeti za procjenu rizika u manjim tvrtkama)

6. Provedite procjenu i obradu rizika

Pravila koja ste u prethodnom koraku odredili sada morate primijeniti – u većim organizacijama to može potrajati i nekoliko mjeseci, pa biste trebali pažljivo koordinirati takav posao. Cilj je dobiti cjelovitu sliku mogućih izvora opasnosti za informacije vaše organizacije.

Svrha procesa obrade rizika je smanjivanje neprihvatljivih rizika – to se obično provodi primjenom sigurnosnih mjera iz Aneksa A. U ovom koraku morate napisati Izvješće o procjeni rizika u kojem ćete dokumentirati sve korake koje ste poduzeli u postupku procjene i obrade rizika. Također morate dobiti i odobrenje za preostale rizike – ili u obliku zasebnog dokumenta ili kao dio Izvješća o primjenjivosti.

7. Napišite Izvješće o primjenjivosti

Po završetku postupka obrade rizika znat ćete točno koje su vam sigurnosne mjere iz Aneksa potrebne (postoji ukupno 133 mjere, ali vama vjerojatno neće trebati sve). Svrha ovog dokumenta (engl. SoA – Statement of Applicability) je da prikaže sve sigurnosne mjere, te koje od njih su primjenjive, a koje nisu, razloge za takvu odluku, ciljeve koje se mjerama želi postići i opis kako se provode. Izvješće o primjenjivosti je i najprikladniji dokument kojim od menadžmenta možete tražiti odobrenje za implementaciju ISMS-a.

8. Napišite Plan obrade rizika

Upravo kada ste pomislili da ste zgotovili sve dokumente vezane za rizike, shvatili ste da ste se prevarili – svrha Plana obrade rizika je točno odrediti način na koji će se mjere iz SoA provoditi – tko će ih provoditi, kada, kojim sredstvima i sl. Ovaj je dokument zapravo plan provedbe vaših sigurnosnih mjera bez kojeg ne biste mogli koordinirati daljnje korake u projektu.

9. Utvrdite način mjerenja učinkovitosti sigurnosnih mjera

Ovo je još jedan od zadataka koji su obično podcijenjeni. A stvar je zapravo u ovome – ako ne možete izmjeriti napravljeno kako možete biti sigurni da ste ispunili svrhu? Stoga svakako definirajte način na koji ćete mjeriti ispunjavanje ciljeva koje ste postavili kako za cjelokupni ISMS tako i za svaku primjenjivu sigurnosnu mjeru u Izvješću o primjenjivosti.

10. Provodite sigurnosne mjere i obvezne procedure

Ovo izgleda lagano, ali ovdje morate provesti četiri obvezne procedure i primjenjive kontrole iz Aneksa A.

Ovo je obično najrizičniji zadatak u projektu – često uključuje primjenu novih tehnologija, ali prije svega provedbu novog načina ponašanja u vašoj organizaciji. Često je potrebno napisati nove politike i procedure (što znači da je potrebno nešto promijeniti), međutim ljudi se obično odupiru promjenama. Zato je sljedeći zadatak (obučavanje i osvješćivanje) ključan u sprječavanju rizika.

11. Provodite programe obučavanja i osvješćivanja

Ako želite da vaše osoblje provodi sve nove politike i procedure, prvo im morate objasniti zašto su potrebne i obučiti ih da mogu proizvesti očekivani učinak. Neprovođenje ovih aktivnosti drugi je najčešći razlog zašto projekti implementacije norme ISO 27001 ne uspijevaju.

12. Upravljajte ISMS-om

U ovoj fazi ISO 27001 postaje dio rutine u vašoj organizaciji. Ovdje ključna riječ glasi: “zapisi”. Auditori obožavaju zapise – bez zapisa ćete teško dokazati da ste neke aktivnosti zaista proveli. No zapisi bi prije svega trebali pomoći vama – pomoću njih možete pratiti što se događa i možete sa sigurnošću znati provode li vaši zaposlenici (i dobavljači) svoje zadatke u skladu sa zahtjevima.

13. Pratite ISMS

Što se događa u vašem ISMS-u? Koji su se incidenti pojavili, koje vrste? Provode li se sve procedure ispravno?

Ovdje koristite ciljeve sigurnosnih mjera i metodologiju mjerenja – morate provjeriti postižete li ostvarenim rezultatima ono što ste si postavili kao cilj. Ako ne, znate da nešto nije u redu i da morate provesti korektivne i/ili preventivne mjere.

14. Interni audit

Ljudi često nisu ni svjesni da čine nešto krivo (s druge strane, ponekad jesu, ali ne žele da to itko sazna), a Vašoj organizaciji može štetiti činjenica da niste svjesni postojećih i potencijalnih problema. Morate provoditi interni audit kako biste takve stvari otkrili. Poanta nije u pokretanju disciplinskog postupka, nego u poduzimanju korektivnih i/ili preventivnih mjera. (Nedoumice vezane za interne auditore po normi ISO 27001 i BS 25999-2)

15. Pregled od strane menadžmenta

Menadžment ne mora konfigurirati vaš vatrozid, ali mora znati što se događa u ISMS-u, tj. jesu li svi izvršili svoje dužnosti, postiže li ISMS željene rezultate, i sl. Na temelju toga menadžment mora donositi ključne odluke.

16. Korektivne i preventivne mjere

Sustav upravljanja treba osigurati da se sve što nije u redu (tzv. “nesukladnost”) ispravi, ili još i bolje, spriječi. Stoga norma ISO 27001 traži da se korektivne i preventivne mjere provode sustavno, što znači da se mora ustanoviti uzrok nesukladnosti, koji se zatim mora riješiti i provjeriti.

Nadam se da vam je nakon čitanja ovog članka jasnije što trebate učiniti. Iako implementacija norme ISO 27001 nije lagan zadatak, ne mora nužno biti i jako kompliciran. Jednostavno morate svaki korak pažljivo planirati i ne brinite – dobit ćete certifikat.

Ovdje možete preuzeti dijagram Proces implementacije norme ISO 27001 u kojem su svi ovi koraci grafički prikazani zajedno s potrebnom dokumentacijom.

Jeste li ikada pokušali uvjeriti menadžment da financira provedbu informacijske sigurnosti? Ako jeste, vjerojatno znate kakav je to osjećaj – pitaju vas koliko to košta  i ako zvuči preskupo, jednostavno kažu ne.

Zapravo ne biste trebali kriviti njih – oni su u konačnici ipak zaduženi za profitabilnost tvrtke. To jest, temelj svake njihove odluke je odnos između visine ulaganja i koristi, ili da se izrazimo menadžerskim rječnikom – povrat na investiciju (engl. return on investment – ROI).

To znači da prije predlaganja takvog ulaganja morate napraviti domaću zadaću – dobro promislite kako prezentirati koristi, koristeći se jezikom koji će menadžment razumjeti i podržati.

Pokušat ću vam u tome pomoći – koristi informacijske sigurnosti, pogotovo provedbe norme ISO 27001 su brojne. Ali iz mog iskustva ove četiri su najvažnije:

1. Sukladnost

Možda se čini neobičnim ovo navesti kao prvu prednost, ali upravo se tako ostvaruje najbrži “povrat ulaganja” – ISO 27001 pruža metodologiju s kojom organizacija na najefikasniji način može postići sukladnost sa propisima u području zaštite podataka, privatnosti i IT upravljanju (posebno ako se radi o financijskoj, zdravstvenoj ili državnoj organizaciji).

2. Marketinška prednost

Na sve konkurentnijem tržištu ponekad je jako teško pronaći nešto po čemu kupcima možete  biti prepoznatljivi. Norma ISO 27001 vam zaista može osigurati da ponudite nešto jedinstveno, pogotovo ako baratate osjetljivim informacijama klijenata.

3. Smanjivanje troškova

Informacijska sigurnost obično se smatra troškom koji ne donosi očitu financijsku dobit. Ipak, financijsku korist možete ostvariti ukoliko smanjite troškove  uzrokovane incidentima – vjerojatno se suočavate s prekidom usluga ili povremenim curenjem informacija, a nađe se i poneki nezadovoljni djelatnik. Ili nezadovoljni bivši djelatnik.

Istini za volju, još uvijek ne postoji metodologija i/ili tehnologija koja bi vam omogućila da izračunate koliko novaca možete uštedjeti sprječavanjem takvih incidenata. Ali uvijek je dobro skrenuti pozornost menadžmenta na takve slučajeve.

4. Uvođenje reda u poslovanje

Ova korist se najčešće podcjenjuje – ako ste tvrtka koja se u zadnjih nekoliko godina naglo razvila, možete naići na probleme poput – tko o čemu odlučuje, tko je odgovoran za određene informacijske resurse, tko odobrava pristup informacijskim sustavima, i sl.

Norma ISO 27001 posebno je korisna u rješavanju takvih stvari – prisilit će vas da vrlo precizno definirate odgovornosti i zaduženja, i da na taj način ojačate svoju internu organizaciju.

Da zaključim – umjesto da norma ISO 27001 bude samo još jedan certifikat na zidu, ona vašoj tvrtki može donijeti mnoge koristi. U većini slučajeva će vas menadžment poslušati ako te koristi prezentirate na jasan način.

Pogledajte i naš webinar Obveze menadžmenta prema ISO 27001 / BS 25999-2: Što menadžment mora znati? (seminar uz naplatu).

Netko bi mogao pomisliti da su ova dva pojma sinonimi – uostalom, zar se ne tiče informacijska sigurnost računala?

Ne baš. Poanta je da možete imati savršene IT sigurnosne mjere, ali samo jedan zlonamjeran čin, na primjer od strane administratora, može srušiti cijeli IT sustav. Taj rizik uopće nije povezan s računalom, već ima veze s ljudima, procesima, nadzorom, itd.

Nadalje, važne informacije uopće ne moraju biti u digitalnom obliku, već mogu biti i na papiru – na primjer, važan ugovor potpisan s najvećim klijentom, osobne bilješke direktora ili ispis administratorskih lozinaka pohranjen u sefu.

Zato svojim klijentima uvijek kažem – IT sigurnost čini samo  50% informacijske sigurnosti jer informacijska sigurnost uključuje fizičku sigurnost, upravljanje ljudskim potencijalima, pravnu zaštitu, organizaciju, procese itd. Svrha informacijske sigurnosti je izgradnja sustava koji u obzir uzima sve moguće rizike za sigurnost informacija (bili oni vezani za IT ili ne) i provedba sveobuhvatnih mjera koje umanjuju sve vrste neprihvatljivih rizika.

Takav integrirani pristup sigurnosti informacija najbolje opisuje norma ISO 27001, vodeći međunarodni standard za upravljanje informacijskom sigurnošću. Ukratko, potrebno je procjenu rizika provesti za sve organizacijske resurse – uključujući hardver, softver, dokumentaciju, ljude, dobavljače, partnere, itd., te odabrati primjenjive mjere za umanjenje tih rizika.

Norma ISO 27001 u Aneksu A nudi 133 mjere – proveo sam kratku analizu tih mjera i rezultati su sljedeći:

• mjere vezane za IT: 46%
• mjere vezane za organizaciju/dokumentaciju: 30%
• mjere fizičke sigurnosti: 9%
• pravna zaštita: 6%
• mjere vezane za odnose s dobavljačima i kupcima: 5%
• mjere upravljanja ljudskim resursima: 4%

Koje značenje sve to ima za informacijsku sigurnost / provedbu norme ISO 27001? Ova vrsta projekta ne bi se trebala smatrati IT projektom, jer u tom slučaju postoji vjerojatnost da neki dijelovi organizacije neće htjeti u njemu sudjelovati. Taj bi se projekt trebao smatrati projektom koji se tiče cjelokupnog poduzeća, u kojem bi trebali sudjelovati ključni ljudi iz svih poslovnih jedinica – viši menadžment, IT osoblje, pravni stručnjaci, voditelji ljudskih resursa, osoblje za fizičku sigurnost, poslovna strana organizacije, itd. Bez takvog pristupa sve će se svesti na IT sigurnost, što vas neće zaštititi od najvećih rizika.

Pogledajte i naš webinar Osnove ISO 27001 – 3. dio: Pregled Aneksa A (seminar uz naplatu).

Na prvi pogled informacijska sigurnost i kontinuitet poslovanja nemaju mnogo toga zajedničkog – neki bi možda nadodali da je jedina sličnost u tome što su oboje povezani s informacijskom tehnologijom.

Međunarodna norma ISO/IEC 27001 najbolje definira upravljanje informacijskom sigurnošću, dok britanska norma BS 25999-2 definira kontinuitet poslovanja – želimo li dakle usporediti ova dva pojma, najpametnije je pogledati što o tome kažu ove dvije norme.

Prije svega, informacijska tehnologija važan je dio i norme ISO 27001 i norme BS 25999-2, ali se ni u kojem slučaju ne može reći da se te dvije norme bave isključivo informacijskom tehnologijom – naglasak je na poslovnim procesima i resursima i s time povezanim rizicima. Istina je da je informacijska tehnologija  glavni alat za obradu podataka, ali činjenica je da su najveći rizici povezani sa zlonamjernim i nenamjernim djelovanjem ljudi. Stoga se rizici povezani s informacijskom sigurnošću ili kontinuitetom poslovanja ne mogu razriješiti samo informacijskom tehnologijom – puno je važnije definirati organizaciju, procese i odgovornosti unutar organizacije.

No što je u biti informacijska sigurnost? Norma ISO 27001 definira je kao “očuvanje povjerljivosti, cjelovitosti i dostupnosti informacija”. S druge strane, norma BS 25999-2 kontinuitet poslovanja definira kao „stratešku i taktičku sposobnost organizacije da planira i odgovori na incidente i prekide u poslovanju kako bi nastavila s poslovnim aktivnostima na razini koju je prethodno definirala kao prihvatljivu“.

Te dvije definicije ne pokazuju velike sličnosti. Jedan ih detalj ipak čini vrlo sličnima -  dostupnost. I informacijska sigurnost i kontinuitet poslovanja usredotočuju se na to da  informacije budu dostupne onima kojima su potrebne – u tom smislu Aneks A norme ISO 27001 nudi neke mjere posvećene isključivo kontinuitetu poslovanja.

Nadalje, obje norme zahtijevaju provođenje procjene rizika kako bi se uočili potencijalni problemi vezani za informacije; obje norme zahtijevaju upravljanje dokumentacijom, provođenje internih audita, preglede od strane menadžmenta, te popravne i preventivne mjere. To znači da ako već posjedujete dokumentaciju za normu ISO 27001, iste proceduremožete koristiti i za BS 25999-2 (uz manje prilagodbe).

U čemu je razlika? Glavna razlika je u količini detalja. Norma ISO 27001 pokriva puno šire područje i stoga ne ulazi u detalje kad se radi o kontinuitetu poslovanja; s druge strane, norma BS 25999-2 detaljno opisuje kako treba provoditi analizu utjecaja na poslovanje, kako definirati strategiju kontinuiteta poslovanja ili što bi trebao biti sadržaj planova kontinuiteta poslovanja itd.

Da zaključim – poanta je da se kontinuitet poslovanja može smatrati dijelom informacijske sigurnosti. U praksi to znači da je za implementaciju kontinuiteta poslovanja u kontekstu norme ISO 27001 najbolje koristiti normu BS 25999-2 kao smjernicu.

Pogledajte i naš besplatni webinar ISO 27001 & BS 25999-2: Zašto ih je bolje implementirati zajedno?.