ISO 27001 & BS 25999

Je li vam se ikada dogodilo da ste dobili zadatak napisati sigurnosnu politiku ili proceduru? No ne želite da vaš dokument dijeli sudbinu mnogih drugih – da skuplja prašinu u nekoj zaboravljenoj ladici? Evo nekoliko razmišljanja koja bi vam mogla pomoći…

Koraci koje ću vam predstaviti temelje se na mom iskustvu s raznim klijentima, velikim i malim, državnim ili privatnim, profitnim ili neprofitnim – mislim da se ti koraci mogu primijeniti u svim navedenim slučajevima. Ti su koraci zapravo primjenjivi na bilo koju vrstu politika i procedura, ne samo na one povezane s ISO 27001 ili BS 25999-2.

1. Proučite zahtjeve

Prvo morate vrlo pažljivo proučiti razne zahtjeve – postoje li zakonski propisi koji zahtijevaju da nešto imate napismeno? Imate li sklopljen ugovor s klijentom? Ili možda neku drugu politiku više razine koja je već postoji u vašoj organizaciji (možda korporativni standard)? Proučiti morate i zahtjeve iz ISO 27001 ili BS 25999-2 ako se želite uskladiti s tim normama.

2. Uzmite u obzir rezultate procjene rizika

Procjenom rizika utvrdit ćete na koje se probleme morate osvrnuti u svojem dokumentu, ali i do koje mjere – primjerice, možda ćete morati odlučiti hoćete li informacije klasificirati prema stupnju povjerljivosti i, ako je tako, jesu li vam potrebne dva, tri ili četiri stupnja povjerljivosti.

Ako vaša politika ili procedura nije povezana s informacijskom sigurnošću ili kontinuitetom poslovanja, ovaj korak možda nije relevantan u tom obliku. Međutim, principi upravljanja rizikom primjenjivi su i na sva druga područja – upravljanje kvalitetom (ISO 9001), upravljanje okolišem (ISO 14001), itd. Na primjer, u ISO 9001 morate odrediti do koje je mjere neki proces ključan za upravljanje kvalitetom i prema tome odlučiti hoćete li ga dokumentirati ili ne.

3. Optimizirajte i uskladite svoj(e) dokument(e)

Važno je razmisliti o ukupnom broju dokumenata – hoćete li napisati deset dokumenta od jedne stranice ili jedan dokument od deset stranica? Puno je lakše upravljati jednim dokumentom, pogotovo ako je ciljna skupina čitatelja ista. (Samo nemojte napraviti jedan dokument od 100 stranica.)

Štoviše, morate svakako svoje dokumente uskladiti s drugim dokumentima – pitanja koje definirate možda su djelomično definirani u nekom drugom dokumentu. U tom slučaju možda neće biti potrebno pisati novi dokument, nego samo proširiti postojeći.

Ako pišete novi dokument o pitanju koje je već spomenuto u drugom dokumentu, svakako izbjegavajte suvišno ponavljanje – nemojte istu stvar opisivati u oba dokumenta. Kasnije će upravljanje tim dokumentima biti noćna mora. Kako biste izbjegli ponavljanja, puno je bolje da se jedan dokument referira na drugi.

4. Strukturirajte dokument

Morate također paziti da dokument bude formatiran u skladu s korporativnim pravilima – možda već imate obrazac s unaprijed definiranim fontovima, zaglavljima, podnožjima i sl.

Ako ste već implementirali ISO 27001 ili BS 25999-2 (ili neku drugu upravljačku normu), morat ćete raditi u skladu s procedurom za upravljanje dokumentacijom – takva procedura osim formatiranja dokumenta definira i pravila za njegovo odobravanje, distribuciju, itd.

5. Napišite dokument

Uobičajeno pravilo glasi – što je organizacija manja i što su manji rizici to je dokumentacija manje složena. Uopće nema smisla pisati opširan dokument koji nitko neće čitati – morate razumjeti da čitanje dokumenta oduzima vremena i da je razina koncentracije pri čitanju obrnuto proporcionalna broju redaka u vašem dokumentu.

Dobar način na koji možete savladati otpor zaposlenika prema ovom dokumentu (nitko ne voli promjene, pogotovo ako to podrazumijeva obvezu poput redovitog mijenjanja lozinke) je da ih uključite u pisanje ili komentiranje dokumenta – na taj će način shvatiti zašto je potreban.

6. Tražite odobrenje za vaš dokument

Ovaj korak se podrazumijeva sam po sebi, ali evo zašto je zapravo važan – ako ne pripadate najvišem menadžmentu u svojoj organizaciji, onda obično nemate ovlaštenje za provođenje dokumenta.

Zato ga netko na toj poziciji mora razumjeti, odobriti i aktivno podupirati njegovu implementaciju. Zvuči jednostavno, ali vjerujte – nije. Implementacija najčešće zapne na ovom kao i na sljedećem koraku.

7. Obučavanje i osvješćivanje zaposlenika

Ovaj korak je možda i najvažniji, ali se nažalost vrlo često zanemaruje. Kao što sam prije spomenuo, zaposlenici su zasićeni neprestanim promjenama i sigurno neće poduprijeti još jednu promjenu, pogotovo ako ona donosi još više posla.

Stoga je vrlo važno da zaposlenicima objasnite zašto je potrebna takva politika ili procedura – zašto je to dobro, ne samo za tvrtku, nego i za njih same.

U nekim će slučajevima biti potrebno obučavanje – bilo bi pogrešno misliti da svatko posjeduje vještine za provođenje novih aktivnosti. Vama kao autoru dokumenta možda će to izgledati jednostavno i samo po sebi razumljivo, ali ostalima se može činiti vrlo komplicirano.

Kraj priče?

Ako ste mislili da je to kraj priče o implementaciji vašeg dokumenta, pogriješili ste – avantura tek počinje. Nije dovoljno imati savršenu politiku ili proceduru koju svi obožavaju. Potrebno ju je i održavati.

Netko mora voditi računa o ažuriranju i poboljšavanju dokumenta, inače više nitko neće na njega obraćati pažnju – a taj netko je obično ista osoba koja ga je i napisala. Osim toga netko mora mjeriti je li dokument ispunio svrhu – opet to možete biti vi.

Čitajući ovaj članak možda ste primijetili da nije dovoljno imati dobar predložak za uspješnu politiku ili proceduru – ono što je potrebno je sustavan pristup njihovoj implementaciji. U njegovoj primjeni nemojte zaboraviti najvažniju činjenicu: dokument nije sam sebi svrha – on je samo alat potreban da bi se aktivnosti i procesi glatko odvijali. Stoga ne dozvolite da se dogodi suprotno – da takav dokument otežava odvijanje tih aktivnosti i procesa.

Pogledajte i naš video tutorijal Kako se piše Procedura za upravljanje dokumentacijom prema ISO 27001/ISO 22301 (video uz naplatu).

Ako tek započinjete s provedbom norme ISO 27001, vjerojatno to želite učiniti na što lakši način. Tu vas moram razočarati: ovakva provedba nije lak posao. Međutim, pokušat ću vam ga olakšati tako što ću vam opisati 16 koraka koje morate odraditi ako želite dobiti certifikat ISO 27001.

1. Osigurajte podršku menadžmenta

Iako se doima očito, ovom se koraku obično olako pristupa. Upravo to je prema mom iskustvu glavni razlog za neuspjeh ISO 27001 projekata  –kada menadžment za provedbu projekta ne osigurava dovoljan broj ljudi ili novca. (U članku Četiri ključne koristi implementacije norme ISO 27001 pročitajte ideje kako projekt prezentirati menadžmentu.)

2. Primijenite projektni pristup

Kao što je već rečeno, implementacija norme ISO 27001 je kompleksna i uključuje razne aktivnosti, mnogo ljudi i traje nekoliko mjeseci (ili dulje od godinu dana). Ako jasno ne definirate što se treba učiniti, tko to treba učiniti i u kojem vremenskom roku (tj. ako ne primijenite principe upravljanja projektima), posao bi se mogao otegnuti u nedogled.

3. Odredite opseg

Ako se radi o većoj organizaciji, bolje bi bilo normu ISO 27001 provesti u samo jednom dijelu organizacije, jer tako možete znatno smanjiti rizike svojeg projekta. (Problemi s određivanjem opsega prema normi ISO 27001)

4. Napišite Politiku ISMS-a

Politika ISMS-a krovni je dokument u vašem ISMS-u – ona ne bi trebala sadržavati previše detalja, ali bi trebala definirati osnove vezane za informacijsku sigurnost u vašoj organizaciji. Ali ako nije detaljna, koja je onda njezina svrha? Svrha je da kroz nju menadžment odredi što želi postići i kako će to kontrolirati. (Koliko detaljna treba biti politika informacijske sigurnosti?)

5. Definirajte metodologiju procjene rizika

Procjena rizika najsloženiji je zadatak u projektu implementacije ISO 27001. Metodologijom određujete pravila za utvrđivanje resursa, ranjivosti, prijetnji, posljedica i vjerojatnosti te prihvatljivu razinu rizika. Ako ta pravila jasno ne odredite, rezultati bi mogli biti neupotrebljivi. (Savjeti za procjenu rizika u manjim tvrtkama)

6. Provedite procjenu i obradu rizika

Pravila koja ste u prethodnom koraku odredili sada morate primijeniti – u većim organizacijama to može potrajati i nekoliko mjeseci, pa biste trebali pažljivo koordinirati takav posao. Cilj je dobiti cjelovitu sliku mogućih izvora opasnosti za informacije vaše organizacije.

Svrha procesa obrade rizika je smanjivanje neprihvatljivih rizika – to se obično provodi primjenom sigurnosnih mjera iz Aneksa A. U ovom koraku morate napisati Izvješće o procjeni rizika u kojem ćete dokumentirati sve korake koje ste poduzeli u postupku procjene i obrade rizika. Također morate dobiti i odobrenje za preostale rizike – ili u obliku zasebnog dokumenta ili kao dio Izvješća o primjenjivosti.

7. Napišite Izvješće o primjenjivosti

Po završetku postupka obrade rizika znat ćete točno koje su vam sigurnosne mjere iz Aneksa potrebne (postoji ukupno 133 mjere, ali vama vjerojatno neće trebati sve). Svrha ovog dokumenta (engl. SoA – Statement of Applicability) je da prikaže sve sigurnosne mjere, te koje od njih su primjenjive, a koje nisu, razloge za takvu odluku, ciljeve koje se mjerama želi postići i opis kako se provode. Izvješće o primjenjivosti je i najprikladniji dokument kojim od menadžmenta možete tražiti odobrenje za implementaciju ISMS-a.

8. Napišite Plan obrade rizika

Upravo kada ste pomislili da ste zgotovili sve dokumente vezane za rizike, shvatili ste da ste se prevarili – svrha Plana obrade rizika je točno odrediti način na koji će se mjere iz SoA provoditi – tko će ih provoditi, kada, kojim sredstvima i sl. Ovaj je dokument zapravo plan provedbe vaših sigurnosnih mjera bez kojeg ne biste mogli koordinirati daljnje korake u projektu.

9. Utvrdite način mjerenja učinkovitosti sigurnosnih mjera

Ovo je još jedan od zadataka koji su obično podcijenjeni. A stvar je zapravo u ovome – ako ne možete izmjeriti napravljeno kako možete biti sigurni da ste ispunili svrhu? Stoga svakako definirajte način na koji ćete mjeriti ispunjavanje ciljeva koje ste postavili kako za cjelokupni ISMS tako i za svaku primjenjivu sigurnosnu mjeru u Izvješću o primjenjivosti.

10. Provodite sigurnosne mjere i obvezne procedure

Ovo izgleda lagano, ali ovdje morate provesti četiri obvezne procedure i primjenjive kontrole iz Aneksa A.

Ovo je obično najrizičniji zadatak u projektu – često uključuje primjenu novih tehnologija, ali prije svega provedbu novog načina ponašanja u vašoj organizaciji. Često je potrebno napisati nove politike i procedure (što znači da je potrebno nešto promijeniti), međutim ljudi se obično odupiru promjenama. Zato je sljedeći zadatak (obučavanje i osvješćivanje) ključan u sprječavanju rizika.

11. Provodite programe obučavanja i osvješćivanja

Ako želite da vaše osoblje provodi sve nove politike i procedure, prvo im morate objasniti zašto su potrebne i obučiti ih da mogu proizvesti očekivani učinak. Neprovođenje ovih aktivnosti drugi je najčešći razlog zašto projekti implementacije norme ISO 27001 ne uspijevaju.

12. Upravljajte ISMS-om

U ovoj fazi ISO 27001 postaje dio rutine u vašoj organizaciji. Ovdje ključna riječ glasi: “zapisi”. Auditori obožavaju zapise – bez zapisa ćete teško dokazati da ste neke aktivnosti zaista proveli. No zapisi bi prije svega trebali pomoći vama – pomoću njih možete pratiti što se događa i možete sa sigurnošću znati provode li vaši zaposlenici (i dobavljači) svoje zadatke u skladu sa zahtjevima.

13. Pratite ISMS

Što se događa u vašem ISMS-u? Koji su se incidenti pojavili, koje vrste? Provode li se sve procedure ispravno?

Ovdje koristite ciljeve sigurnosnih mjera i metodologiju mjerenja – morate provjeriti postižete li ostvarenim rezultatima ono što ste si postavili kao cilj. Ako ne, znate da nešto nije u redu i da morate provesti korektivne i/ili preventivne mjere.

14. Interni audit

Ljudi često nisu ni svjesni da čine nešto krivo (s druge strane, ponekad jesu, ali ne žele da to itko sazna), a Vašoj organizaciji može štetiti činjenica da niste svjesni postojećih i potencijalnih problema. Morate provoditi interni audit kako biste takve stvari otkrili. Poanta nije u pokretanju disciplinskog postupka, nego u poduzimanju korektivnih i/ili preventivnih mjera. (Nedoumice vezane za interne auditore po normi ISO 27001 i BS 25999-2)

15. Pregled od strane menadžmenta

Menadžment ne mora konfigurirati vaš vatrozid, ali mora znati što se događa u ISMS-u, tj. jesu li svi izvršili svoje dužnosti, postiže li ISMS željene rezultate, i sl. Na temelju toga menadžment mora donositi ključne odluke.

16. Korektivne i preventivne mjere

Sustav upravljanja treba osigurati da se sve što nije u redu (tzv. “nesukladnost”) ispravi, ili još i bolje, spriječi. Stoga norma ISO 27001 traži da se korektivne i preventivne mjere provode sustavno, što znači da se mora ustanoviti uzrok nesukladnosti, koji se zatim mora riješiti i provjeriti.

Nadam se da vam je nakon čitanja ovog članka jasnije što trebate učiniti. Iako implementacija norme ISO 27001 nije lagan zadatak, ne mora nužno biti i jako kompliciran. Jednostavno morate svaki korak pažljivo planirati i ne brinite – dobit ćete certifikat.

Ovdje možete preuzeti dijagram Proces implementacije norme ISO 27001 u kojem su svi ovi koraci grafički prikazani zajedno s potrebnom dokumentacijom.

Često imam priliku vidjeti politike informacijske sigurnosti koje, pokušavajući obuhvatiti sve, od strateških ciljeva do toga koliko numeričkih znakova treba sadržavati lozinka, sadrže suviše detalja. Problem kod takvih politika je taj što imaju preko 50 stranica – i nitko ih u stvari ne shvaća ozbiljno. Na kraju su to samo umjetni dokumenti čija je isključiva svrha zadovoljiti auditora.

Zašto je takve politike izuzetno teško implementirati? Jer su preambiciozne – pokušavaju obuhvatiti previše područja i namijenjene su preširokom krugu ljudi.

Zbog toga ISO 27001, vodeća norma za informacijsku sigurnost, definira različite razine politika informacijske sigurnosti:

• politike visoke razine, poput Politike sustava upravljanja informacijskom sigurnošću – takve politike visoke razine obično definiraju strateške namjere, ciljeve i sl.
• detaljne politike (u hrvatskom jeziku često nazivane kao „pravilnici“) – politike ove vrste obično detaljnije opisuju određeno područje informacijske sigurnosti, precizirajući odgovornosti i sl.

Norma ISO 27001 propisuje da Politika sustava upravljanja informacijskom sigurnošću kao dokument najviše razine mora sadržavati okvir za postavljanje ciljeva, uzimajući u obzir razne zahtjeve i obveze, da mora pratiti kontekst u kojem organizacija provodi strateško upravljanje rizicima i da mora postaviti kriterije za ocjenu rizika. Takva politika bi zapravo trebala biti vrlo kratka (imati možda stranicu-dvije) jer joj je glavna svrha da pomoću nje najviši menadžment može upravljati ISMS-om.

S druge strane, detaljne politike (pravilnici) trebale bi imati operativnu namjenu i biti usredotočene na uže područje sigurnosnih aktivnosti. Primjeri takvih politika su: politika o klasifikaciji informacija, politika o prihvatljivoj uporabi informacijskih resursa, politika za izradu sigurnosnih kopija, politika kontrole pristupa, politika uporabe lozinki, politika čistog stola i čistog ekrana, politika uporabe mrežnih servisa, politika za mobilno računarstvo, politika uporabe kriptografskih kontrola, itd. Napomena: ISO 27001 ne propisuje da sve ove politike moraju biti implementirane ili dokumentirane, jer odluka jesu li takve kontrole primjenjive i u kojoj mjeri ovisi o rezultatima procjene rizika.

Budući da takve politike propisuju mnogo više detalja, obično su duže – do deset stranica. Ako bi bile duže od toga, bilo bi ih jako teško implementirati i održavati.

Drugim riječima, informacijska sigurnost je previše složena da bi se mogla definirati jednom politikom – za različite aspekte ISMS-a i različite “ciljne skupine” trebale bi postojati različite politike. Srednje velike organizacije za svoj ISMS obično uspostave do petnaest politika/pravilnika.

Moglo bi se tvrditi da toliki broj politika za organizaciju predstavlja samo dodatni trošak bez neke vidljive koristi – sa time se dakako slažem u slučajevima gdje su te politike napisane imajući u vidu samo certifikacijski audit, jer će takve politike samo će još povećati birokraciju. Ako je pak politika napisana s ciljem da se stvarno smanje rizici, onda će se njezina prava korist ipak pokazati – ako ne odmah, onda vjerojatno za dvije do tri godine, kada se smanji broj incidenata.

Pogledajte i naš video tutorijal Kako napisati Politiku ISMS-a prema ISO 27001 (video uz naplatu).