ISO 27001 & BS 25999

Važnost Izvješća o primjenjivosti (engl. Statement of Applicability – SoA) obično se podcjenjuje – poput Priručnika kvalitete iz norme ISO 9001, radi se o središnjem dokumentu u kojem je definirano kako ćete implementirati veći dio svoje informacijske sigurnosti.

Izvješće o primjenjivosti zapravo je glavna poveznica između procjene i obrade rizika te implementacije vaše informacijske sigurnosti. Svrha mu je definirati koje od 133 predložene kontrole (sigurnosne mjere) iz Aneksa A norme ISO 27001 ćete primijeniti, te način na koji ćete ih provesti.

Zašto je taj dokument potreban?

Zašto je dakle takav dokument potreban ako ste već napisali Izvješće o procjeni rizika (koje je isto obavezno), koje također definira potrebne kontrole? Razlozi su sljedeći:

• Prije svega, tijekom obrade rizika utvrđujete potrebne kontrole jer ste utvrdili koje je rizike potrebno smanjiti. Međutim, u Izvješću o primjenjivosti također određujete potrebne kontrole iz nekih drugih razloga – zbog propisa, ugovornih obveza, drugih procesa, itd.
• Drugo, Izvješće o procjeni rizika može biti prilično dugačko – u nekim se organizacijama može identificirati i nekoliko tisuća rizika (ponekad i više), pa takav dokument nije baš prikladan za svakodnevnu uporabu. S druge strane, Izvješće o primjenjivosti je kraće – ima 133 retka (po jedan za svaku kontrolu), što vam omogućuje da ga prezentirate menadžmentu i da ga lakše ažurirate.
• Treće – i najvažnije- u Izvješću o primjenjivosti mora se za svaku pojedinu primjenjivu kontrolu dokumentirati provodili li se ona već ili ne. Dobra praksa (a većina auditora će upravo to provjeravati) uključuje i opisivanje načina na koji se pojedina primjenjiva kontrola provodi – npr. referiranjem na neki dokument (politiku/proceduru/upute i sl.) ili kratkim opisom uspostavljene procedure ili opreme koja se upotrebljava.

Ako se želite certificirati prema ISO 27001, certifikacijski auditor će uzeti vaše Izvješće o primjenjivosti i obilaziti tvrtku da bi provjerio jeste li proveli mjere na način na koji su opisane u Izvješću o primjenjivosti. To je glavni dokument za provedbu on-site audita.

Vrlo mali broj tvrtki shvaća da pisanjem dobrog Izvješća o primjenjivosti može smanjiti broj ostalih dokumenata – na primjer, želite li dokumentirati određenu kontrolu, a opis procedure za tu kontrolu prilično je kratak, možete je opisati u Izvješću o primjenjivosti. Na taj način izbjegavate pisanje dodatnih dokumenata.

Zašto je taj dokument koristan?

Iz vlastitog iskustva znam da većina tvrtki koje provode sustav upravljanja informacijskom sigurnošću prema ISO 27001 utroše puno više vremena na pisanje ovog dokumenta nego što su očekivali jer moraju razmišljati o tome kako provesti kontrole: Hoće li nabavljati novu opremu? Ili promijeniti proceduru? Ili zaposliti novu osobu? Radi se o odlukama koje su prilično važne (a ponekad i skupe), tako da ne iznenađuje da ih je teško donijeti. Dobra strana Izvješća o primjenjivosti je da organizaciju prisiljava da ovaj posao obavi na sustavan način.

Stoga ovaj dokument ne biste trebali smatrati samo suvišnim dokumentom koji vam ne koristi u redovitom poslovanju – smatrajte ga glavnim dokumentom u kojem definirate kako želite da vaš sustav informacijske sigurnosti izgleda. Ako se napiše kako treba, Izvješće o primjenjivosti predstavlja izvrstan pregled onoga što treba učiniti u sklopu informacijske sigurnosti, zašto je to potrebno i kako to treba provesti.

Kliknite ovdje kako biste preuzeli besplatan predložak Izvješća o primjenjivosti.

Menadžment vam je u zadatak dao da implementirate kontinuitet poslovanja, ali niste sasvim sigurni kako ćete to učiniti? Iako to nije lak zadatak, možete se poslužiti metodologijom iz norme BS 25999-2 kako biste si olakšali život – u nastavku se nalaze glavni koraci nužni za implementaciju te norme:

1. Osigurajte podršku menadžmenta

Iako to nije obavezni korak prema BS 25999-2, sigurno je ključan za sam početak – ako menadžment ne razumije koristi koje donosi kontinuitet poslovanja i ako nije predan tom projektu, vaš projekt najvjerojatnije neće uspjeti.

2. Primijenite projektni pristup

Za uspostavu sustava za upravljanje kontinuitetom poslovanja (BCMS) bit će potrebno dosta vremena i resursa – morate jasno definirati što se mora učiniti, u kojem vremenskom roku i koje su uloge u provedbi projekta. Drugim riječima, morate primijeniti metode upravljanja projektima.

3. Definirajte ciljeve i opseg; sastavite Politiku upravljanja kontinuitetom poslovanja

Morate definirati što želite postići BCMS-om – sukladnost, smanjenje razine rizika, zahtjevi klijenata/partnera, itd. Također morate definirati što ćete uključiti u svoj BCMS – čitavu organizaciju ili samo jedan njezin dio. Na primjer, možda ćete odlučiti da ćete uključiti samo podatkovni centar ako svojim klijentima pružate usluge hostinga. Sve to treba dokumentirati u Politici upravljanja kontinuitetom poslovanja (Politika BCM-a).

4. Definirajte uloge i odgovornosti za BCMS

Budući da će BCMS postati stalna aktivnost u vašoj organizaciji, morate jasno definirati odgovornosti, osobito za “sponzora” BCMS-a (netko tko je odgovoran za BCMS, ali nije uključen u svakodnevne aktivnosti oko BCMS-a) te “koordinatora upravljanja BCM-om”, “menadžera upravljanja BCM-om” ili neku sličnu funkciju – jedna ili više osoba s aktivnim zaduženjima oko BCMS-a. Te uloge i odgovornosti je najbolje definirati kroz Politiku BCM-a.

5. Implementirajte obavezne procedure

Norma BS 25999-2 propisuje implementaciju sljedeće četiri obavezne procedure: upravljanje dokumentima i zapisima, interni audit, preventivne i korektivne mjere. Te procedure zapravo tvore temelj vašeg sustava upravljanja, slično kao u  ISO 27001 ili ISO 9001.

6. Provedite analizu utjecaja na poslovanje i procjenu rizika

Pomoću analize utjecaja na poslovanje morate odrediti kritične aktivnosti, maksimalno tolerirano vrijeme njihovog prekida, međuovisnosti između takvih kritičnih aktivnosti (uključujući i ovisnosti o dobavljačima i outsourcing partnerima), kao i postaviti ciljana vremena oporavka.

Provedbom procjene rizika zapravo ćete saznati koji bi mogli biti uzroci prekida vaših kritičnih aktivnosti – oni mogu biti prirodne, ali i ljudske aktivnosti, i to zlonamjerne ili slučajne. Također biste morali provesti i obradu rizika, što znači da morate odlučiti kako ćete smanjiti vjerojatnost da nešto pođe po zlu. Nažalost ova norma ne definira procjenu i obradu rizika na najbolji način pa bi bilo dobro da pogledate normu ISO 27001 koja ih opisuje mnogo detaljnije.

7. Određivanje strategije kontinuiteta poslovanja

Prije nego krenete s pisanjem planova kontinuiteta poslovanja, morate odrediti koji će vam resursi biti potrebni za ponovno uspostavljanje kritičnih aktivnosti – koji ljudi, lokacije, podaci, hardver, softver, dobavljači, oursourcing partneri, itd.

Strategija kontinuiteta poslovanja mora odrediti ne samo ono što vam je potrebno, nego i kako ćete osigurati te resurse.

8. Pisanje planova za upravljanje incidentima i planova kontinuiteta poslovanja

Svrha planova za upravljanje incidentima je opisati kako ćete izravno reagirati na pojavu incidenta (npr. požar, potres, prijetnja bombom, nestanak struje, itd.) kako biste spriječili njegovo širenje i pokušali smanjiti izravne učinke.

S druge strane, svrha planova kontinuiteta poslovanja je opisati  kako ćete oporaviti svoje kritične aktivnosti – kako ćete aktivirati sve resurse koje ste pripremili. To znači da morate opisati tko će što raditi, u kojem vremenu, uz pomoć kojih podataka i tehnologije kako bi vaša organizacija ponovno profunkcionirala.

Sve te planove treba detaljno opisati jer se moraju izvršavati čak i u slučaju da nema glavnog osoblja – zbog toga ih treba pisati tako da ih može provesti i netko drugi.

9. Obučavanje i osvješćivanje

Morate definirati kompetencije potrebne za izvršavanje planova kontinuiteta poslovanja u slučaju prekida i zatim provesti obuku svog osoblja (kako zaposlenika tako i vanjskih partnera) da bi se postigla ta razina kompetencije.

Međutim, to nije dovoljno – osoblju ćete još morati objasniti zašto je upravljanje kontinuitetom poslovanja nužno. Budimo realni, svoje ćete planove kontinuiteta poslovanja primijeniti možda jednom u životu pa će ih većina zbog toga smatrati gubitkom vremena. Zato im morate objasniti zašto tako nešto postoji. (Vidi također Upravljanje kontinuitetom poslovanja – kako izići na kraj sa skepticima?)

10. Vježbanje BCM-a

Ako ste pomislili da ste napisali savršene planove, vjerojatno griješite – gotovo je nemoguće odmah na početku sastaviti plan bez greške. Zbog toga je vježbanje obavezni dio BCMS-a – planove morate testirati u situaciji koja više ili manje nalikuje stvarnom prekidu. Tek ćete tada znati što ste planirali dobro, a što niste.

11. Održavanje i pregledavanje BCMS-a

Još jedan način kako svoj BCMS možete stalno održavati ažurnim je definiranje intervala u kojima ćete pregledavati svoje planove kontinuiteta poslovanja, ali i druge aranžmane (npr. ugovore s dobavljačima i outsourcing partnerima, obučavanje i osvješćivanje itd.). Različite promjene u okolini prijete da vaša dokumentacija postane zastarjela – dovoljno je da neki zaposlenik napusti tvrtku pa da vam u planu ostane neupotrebljivi telefonski broj ako je ta osoba imala ulogu u BCMS-u.

Također je obavezno provesti pregled nakon incidenta ako je stvarno došlo do incidenta – njegova svrha je saznati kako je organizacija stvarno reagirala – je li slijedila planove ili ne.

12. Interni audit

Svrha internog audita  je saznati  je li sve u redu, na objektivan način – interni auditor mora biti osoba koja treba saznati je li nešto  u vašem BCMS-u učinjeno pogrešno kako bi se to moglo ispraviti. Ako se učini kako treba, interni audit može biti jedan od najboljih načina da poboljšate svoj BCMS. (Nedoumice vezane za interne auditore po normi ISO 27001 i BS 25999-2)

13. Pregled od strane menadžmenta

Kako je već rečeno, vrlo je važno da se menadžment uključi u projekt – pregled od strane menadžmenta služi upravo tome. Norma propisuje da menadžment mora ispitati sve relevantne činjenice o upravljanju kontinuitetom poslovanja i odlučiti je li ono ispunilo svoju svrhu. Kad je to učinjeno, menadžment mora donijeti odluku o tome koja poboljšanja treba provesti.

14. Preventivne i korektivne mjere

Najbolje bi bilo spriječiti da se pogreške (ili “nesukladnosti” u terminologiji norme BS 25999) događaju – tome služe preventivne mjere. One predstavljaju sustavan način ispravljanja stvari prije nego dođe do problema. Slično preventivnim mjerama, tu su i korektivne mjere koje rješavaju problem koji se već dogodio.

Sad je pitanje: zašto biste uopće koristili normu BS 25999-2? Iako ona (još uvijek) nije međunarodna norma, radi se o najpopularnijoj normi za kontinuitet poslovanja u cijelom svijetu. Navedene korake osmislili su najbolji stručnjaci s područja kontinuiteta poslovanja pa ako želite implementirati najbolje prihvaćene prakse za kontinuitet poslovanja, ne morate tražiti dalje.

Ovdje možete preuzeti dijagram Proces implementacije norme BS 25999-2 u kojem su svi ovi koraci grafički prikazani zajedno s potrebnom dokumentacijom (potrebno je registrirati se).

Aneks A norme ISO 27001 vjerojatno je najviše spominjan aneks svih upravljačkih standarda. Zašto se o njemu toliko govori? Zašto je ponekad kontroverzan?

Ako ste pročitali Aneks A, vidjeli ste da se tamo nalazi popis 133 kontrole (sigurnosne mjere). Ako je tome tako, čemu onda služi glavni dio norme?

Svrha

Aneks A sadrži sljedeća poglavlja (ponekad se nazivaju i domene Aneksa A):

• A.5 Sigurnosna politika
• A.6 Organizacija informacijske sigurnosti
• A.7 Upravljanje informacijskim resursima
• A.8 Sigurnost vezana uz osoblje
• A.9 Fizička sigurnost i sigurnost okruženja
• A.10 Upravljanje komunikacijama i operativnim postupcima
• A.11 Kontrola pristupa
• A.12 Nabavka, razvoj i održavanje informacijskih sustava
• A.13 Upravljanje incidentima informacijske sigurnosti
• A.14 Upravljanje kontinuitetom poslovanja
• A.15 Sukladnost

Kao što sam spomenuo, Aneks A sadrži 133 kontrole koje se, kao što se vidi iz naziva poglavlja, ne tiču isključivo informacijskih tehnologija – također pokrivaju i fizičku sigurnost, pravnu zaštitu, upravljanje ljudskim resursima, organizacijska pitanja itd.

Stoga se Aneks A može promatrati kao katalog sigurnosnih mjera koje se koriste tijekom postupka obrade rizika – kad u postupku procjene rizika odredite neprihvatljive rizike, Aneks A će vam pomoći da odaberete kontrolu/kontrole kojima ćete smanjiti takve rizike. A pobrinut će se i da ne zaboravite neku važnu kontrolu.

Aneks A je na neki način poveznica za norme ISO 27001 i ISO 27002 – kontrole u ISO 27002 imaju iste nazive kao i one u Aneksu A norme ISO 27001, ali je razlika u količini detalja – ISO 27001 daje samo kratku definiciju pojedine kontrole, dok ISO 27002 daje detaljne smjernice o tome kako primijeniti kontrolu.

Nedostaci

Ako sada mislite da je Aneks A savršen implementacijski alat za vaš projekt informacijske sigurnosti, nemojte biti previše optimistični – u njemu ćete naći i neke stvari koje nemaju smisla. Na primjer, ponekad različite kontrole definiraju gotovo ista pitanja i zbog toga mogu djelovati zbunjujuće – takav je slučaj s kontrolama A.9.2.6 (Rashodovanje ili ponovna uporaba opreme) i A.10.7.2 (Rashodovanje medija). S druge strane neka pitanja, poput odnosa s trećim stranama, razbacana su kroz više točaka u Aneksu A – možete ih pronaći u točkama A.6.2 (Vanjske stranke), A.8 (Sigurnost vezana uz osoblje) i A.10.2 (Upravljanje uslugama trećih strana), te u kontroli A.12.5.5 (Eksternalizirani razvoj softvera). Zbog toga Aneks A ponekad nije jednostavan za korištenje kao implementacijski alat.

Ali to nisu jedine nejasnoće – u nekim kontrolama Aneks A govori o politikama i procedurama, ali ne propisuje da moraju biti dokumentirane. Može se činiti čudno, ali norma propisuje pisane politike/procedure samo tamo gdje se pojavljuje riječ “dokumentiran”. Ako proučite čitav Aneks A, riječ “dokumentiran” se pojavljuje samo u 6 kontrola (A.5.1.1, A.7.1.3, A.8.1.1, A.10.1.1, A.11.1.1, A.15.1.1) – to znači da sve druge kontrole možete primijeniti bez da ih dokumentirate.

Ipak, nemojte previše iskorištavati ovu fleksibilnost Aneksa A. Što je organizacija veća, morat ćete proizvesti više dokumenata kako bi se svi upoznali i uskladili s vašim sigurnosnim procedurama. S druge strane morate paziti da ne pretjerate s dokumentacijom – ako je imate previše, nitko je se neće pridržavati.

Odnos s glavnim dijelom norme ISO 27001

Glavni dio norme, ili točnije obvezne točke 4 do 8 opisuju upravljački dio norme. One propisuju ciklus Planiranja-Implementacije-Pregledavanja i praćenja-Poboljšavanja (engl. PDCA: Plan-Do-Check-Act), uključujući procjenu i obradu rizika, upravljanje dokumentacijom, upravljanje zapisima, osiguravanje resursa, interni audit, pregled od strane menadžmenta, korektivne i preventivne mjere, itd.

Kao što je već prije spomenuto, postupak procjene i obrade rizika je glavna poveznica između točaka 4 do 8 i kontrola iz Aneksa A. On će vam pomoći da odlučite jesu li pojedine kontrole iz Aneksa A potrebne za smanjivanje rizika ili ne.

To znači da točke 4 do 8 i Aneks A ne mogu postojati jedni bez drugih – procjena rizika nema smisla ako ne postoje kontrole koje će smanjiti rizik, a jedini način da se odredi primjenjivost kontrola je pomoću procjene rizika.

Moje mišljenje je da su upravo fokus na rizike i fleksibilnost u primjeni sigurnosnih mjera najbolje stvari u normi ISO 27001 – samo morate paziti da ih iskoristite na najbolji mogući način.

Pogledajte i naš webinar Osnove ISO 27001 – 3. dio: Pregled Aneksa A (seminar uz naplatu).

Ako tek započinjete s provedbom norme ISO 27001, vjerojatno to želite učiniti na što lakši način. Tu vas moram razočarati: ovakva provedba nije lak posao. Međutim, pokušat ću vam ga olakšati tako što ću vam opisati 16 koraka koje morate odraditi ako želite dobiti certifikat ISO 27001.

1. Osigurajte podršku menadžmenta

Iako se doima očito, ovom se koraku obično olako pristupa. Upravo to je prema mom iskustvu glavni razlog za neuspjeh ISO 27001 projekata  –kada menadžment za provedbu projekta ne osigurava dovoljan broj ljudi ili novca. (U članku Četiri ključne koristi implementacije norme ISO 27001 pročitajte ideje kako projekt prezentirati menadžmentu.)

2. Primijenite projektni pristup

Kao što je već rečeno, implementacija norme ISO 27001 je kompleksna i uključuje razne aktivnosti, mnogo ljudi i traje nekoliko mjeseci (ili dulje od godinu dana). Ako jasno ne definirate što se treba učiniti, tko to treba učiniti i u kojem vremenskom roku (tj. ako ne primijenite principe upravljanja projektima), posao bi se mogao otegnuti u nedogled.

3. Odredite opseg

Ako se radi o većoj organizaciji, bolje bi bilo normu ISO 27001 provesti u samo jednom dijelu organizacije, jer tako možete znatno smanjiti rizike svojeg projekta. (Problemi s određivanjem opsega prema normi ISO 27001)

4. Napišite Politiku ISMS-a

Politika ISMS-a krovni je dokument u vašem ISMS-u – ona ne bi trebala sadržavati previše detalja, ali bi trebala definirati osnove vezane za informacijsku sigurnost u vašoj organizaciji. Ali ako nije detaljna, koja je onda njezina svrha? Svrha je da kroz nju menadžment odredi što želi postići i kako će to kontrolirati. (Koliko detaljna treba biti politika informacijske sigurnosti?)

5. Definirajte metodologiju procjene rizika

Procjena rizika najsloženiji je zadatak u projektu implementacije ISO 27001. Metodologijom određujete pravila za utvrđivanje resursa, ranjivosti, prijetnji, posljedica i vjerojatnosti te prihvatljivu razinu rizika. Ako ta pravila jasno ne odredite, rezultati bi mogli biti neupotrebljivi. (Savjeti za procjenu rizika u manjim tvrtkama)

6. Provedite procjenu i obradu rizika

Pravila koja ste u prethodnom koraku odredili sada morate primijeniti – u većim organizacijama to može potrajati i nekoliko mjeseci, pa biste trebali pažljivo koordinirati takav posao. Cilj je dobiti cjelovitu sliku mogućih izvora opasnosti za informacije vaše organizacije.

Svrha procesa obrade rizika je smanjivanje neprihvatljivih rizika – to se obično provodi primjenom sigurnosnih mjera iz Aneksa A. U ovom koraku morate napisati Izvješće o procjeni rizika u kojem ćete dokumentirati sve korake koje ste poduzeli u postupku procjene i obrade rizika. Također morate dobiti i odobrenje za preostale rizike – ili u obliku zasebnog dokumenta ili kao dio Izvješća o primjenjivosti.

7. Napišite Izvješće o primjenjivosti

Po završetku postupka obrade rizika znat ćete točno koje su vam sigurnosne mjere iz Aneksa potrebne (postoji ukupno 133 mjere, ali vama vjerojatno neće trebati sve). Svrha ovog dokumenta (engl. SoA – Statement of Applicability) je da prikaže sve sigurnosne mjere, te koje od njih su primjenjive, a koje nisu, razloge za takvu odluku, ciljeve koje se mjerama želi postići i opis kako se provode. Izvješće o primjenjivosti je i najprikladniji dokument kojim od menadžmenta možete tražiti odobrenje za implementaciju ISMS-a.

8. Napišite Plan obrade rizika

Upravo kada ste pomislili da ste zgotovili sve dokumente vezane za rizike, shvatili ste da ste se prevarili – svrha Plana obrade rizika je točno odrediti način na koji će se mjere iz SoA provoditi – tko će ih provoditi, kada, kojim sredstvima i sl. Ovaj je dokument zapravo plan provedbe vaših sigurnosnih mjera bez kojeg ne biste mogli koordinirati daljnje korake u projektu.

9. Utvrdite način mjerenja učinkovitosti sigurnosnih mjera

Ovo je još jedan od zadataka koji su obično podcijenjeni. A stvar je zapravo u ovome – ako ne možete izmjeriti napravljeno kako možete biti sigurni da ste ispunili svrhu? Stoga svakako definirajte način na koji ćete mjeriti ispunjavanje ciljeva koje ste postavili kako za cjelokupni ISMS tako i za svaku primjenjivu sigurnosnu mjeru u Izvješću o primjenjivosti.

10. Provodite sigurnosne mjere i obvezne procedure

Ovo izgleda lagano, ali ovdje morate provesti četiri obvezne procedure i primjenjive kontrole iz Aneksa A.

Ovo je obično najrizičniji zadatak u projektu – često uključuje primjenu novih tehnologija, ali prije svega provedbu novog načina ponašanja u vašoj organizaciji. Često je potrebno napisati nove politike i procedure (što znači da je potrebno nešto promijeniti), međutim ljudi se obično odupiru promjenama. Zato je sljedeći zadatak (obučavanje i osvješćivanje) ključan u sprječavanju rizika.

11. Provodite programe obučavanja i osvješćivanja

Ako želite da vaše osoblje provodi sve nove politike i procedure, prvo im morate objasniti zašto su potrebne i obučiti ih da mogu proizvesti očekivani učinak. Neprovođenje ovih aktivnosti drugi je najčešći razlog zašto projekti implementacije norme ISO 27001 ne uspijevaju.

12. Upravljajte ISMS-om

U ovoj fazi ISO 27001 postaje dio rutine u vašoj organizaciji. Ovdje ključna riječ glasi: “zapisi”. Auditori obožavaju zapise – bez zapisa ćete teško dokazati da ste neke aktivnosti zaista proveli. No zapisi bi prije svega trebali pomoći vama – pomoću njih možete pratiti što se događa i možete sa sigurnošću znati provode li vaši zaposlenici (i dobavljači) svoje zadatke u skladu sa zahtjevima.

13. Pratite ISMS

Što se događa u vašem ISMS-u? Koji su se incidenti pojavili, koje vrste? Provode li se sve procedure ispravno?

Ovdje koristite ciljeve sigurnosnih mjera i metodologiju mjerenja – morate provjeriti postižete li ostvarenim rezultatima ono što ste si postavili kao cilj. Ako ne, znate da nešto nije u redu i da morate provesti korektivne i/ili preventivne mjere.

14. Interni audit

Ljudi često nisu ni svjesni da čine nešto krivo (s druge strane, ponekad jesu, ali ne žele da to itko sazna), a Vašoj organizaciji može štetiti činjenica da niste svjesni postojećih i potencijalnih problema. Morate provoditi interni audit kako biste takve stvari otkrili. Poanta nije u pokretanju disciplinskog postupka, nego u poduzimanju korektivnih i/ili preventivnih mjera. (Nedoumice vezane za interne auditore po normi ISO 27001 i BS 25999-2)

15. Pregled od strane menadžmenta

Menadžment ne mora konfigurirati vaš vatrozid, ali mora znati što se događa u ISMS-u, tj. jesu li svi izvršili svoje dužnosti, postiže li ISMS željene rezultate, i sl. Na temelju toga menadžment mora donositi ključne odluke.

16. Korektivne i preventivne mjere

Sustav upravljanja treba osigurati da se sve što nije u redu (tzv. “nesukladnost”) ispravi, ili još i bolje, spriječi. Stoga norma ISO 27001 traži da se korektivne i preventivne mjere provode sustavno, što znači da se mora ustanoviti uzrok nesukladnosti, koji se zatim mora riješiti i provjeriti.

Nadam se da vam je nakon čitanja ovog članka jasnije što trebate učiniti. Iako implementacija norme ISO 27001 nije lagan zadatak, ne mora nužno biti i jako kompliciran. Jednostavno morate svaki korak pažljivo planirati i ne brinite – dobit ćete certifikat.

Ovdje možete preuzeti dijagram Proces implementacije norme ISO 27001 u kojem su svi ovi koraci grafički prikazani zajedno s potrebnom dokumentacijom.

Netko bi mogao pomisliti da su ova dva pojma sinonimi – uostalom, zar se ne tiče informacijska sigurnost računala?

Ne baš. Poanta je da možete imati savršene IT sigurnosne mjere, ali samo jedan zlonamjeran čin, na primjer od strane administratora, može srušiti cijeli IT sustav. Taj rizik uopće nije povezan s računalom, već ima veze s ljudima, procesima, nadzorom, itd.

Nadalje, važne informacije uopće ne moraju biti u digitalnom obliku, već mogu biti i na papiru – na primjer, važan ugovor potpisan s najvećim klijentom, osobne bilješke direktora ili ispis administratorskih lozinaka pohranjen u sefu.

Zato svojim klijentima uvijek kažem – IT sigurnost čini samo  50% informacijske sigurnosti jer informacijska sigurnost uključuje fizičku sigurnost, upravljanje ljudskim potencijalima, pravnu zaštitu, organizaciju, procese itd. Svrha informacijske sigurnosti je izgradnja sustava koji u obzir uzima sve moguće rizike za sigurnost informacija (bili oni vezani za IT ili ne) i provedba sveobuhvatnih mjera koje umanjuju sve vrste neprihvatljivih rizika.

Takav integrirani pristup sigurnosti informacija najbolje opisuje norma ISO 27001, vodeći međunarodni standard za upravljanje informacijskom sigurnošću. Ukratko, potrebno je procjenu rizika provesti za sve organizacijske resurse – uključujući hardver, softver, dokumentaciju, ljude, dobavljače, partnere, itd., te odabrati primjenjive mjere za umanjenje tih rizika.

Norma ISO 27001 u Aneksu A nudi 133 mjere – proveo sam kratku analizu tih mjera i rezultati su sljedeći:

• mjere vezane za IT: 46%
• mjere vezane za organizaciju/dokumentaciju: 30%
• mjere fizičke sigurnosti: 9%
• pravna zaštita: 6%
• mjere vezane za odnose s dobavljačima i kupcima: 5%
• mjere upravljanja ljudskim resursima: 4%

Koje značenje sve to ima za informacijsku sigurnost / provedbu norme ISO 27001? Ova vrsta projekta ne bi se trebala smatrati IT projektom, jer u tom slučaju postoji vjerojatnost da neki dijelovi organizacije neće htjeti u njemu sudjelovati. Taj bi se projekt trebao smatrati projektom koji se tiče cjelokupnog poduzeća, u kojem bi trebali sudjelovati ključni ljudi iz svih poslovnih jedinica – viši menadžment, IT osoblje, pravni stručnjaci, voditelji ljudskih resursa, osoblje za fizičku sigurnost, poslovna strana organizacije, itd. Bez takvog pristupa sve će se svesti na IT sigurnost, što vas neće zaštititi od najvećih rizika.

Pogledajte i naš webinar Osnove ISO 27001 – 3. dio: Pregled Aneksa A (seminar uz naplatu).

Vidio sam kako mnoge manje tvrtke (do 50 zaposlenih) pokušavaju primijeniti alate za procjenu rizika kao dio projekta implementacije norme ISO 27001. Rezultat je da to obično oduzima previše vremena i novca, a ne proizvodi dovoljne učinke.

Prije svega, što je ustvari procjena rizika i koja joj je svrha? Procjena rizika je postupak pomoću kojeg organizacija treba uočiti rizike vezane za  informacijsku sigurnost i odrediti njihovu vjerojatnost i posljedice. Pojednostavljeno rečeno, organizacija bi trebala prepoznati sve potencijalne probleme vezane za  informacije, kolika je vjerojatnost da se pojave i koje bi mogle biti posljedice. Svrha procjene rizika je utvrđivanje mjera koje su potrebne da bi se rizik smanjio – odabir mjera naziva se procesom obrade rizika, a u normi ISO 27001 one se odabiru iz Aneksa A u kojem su navedene 133 mjere.

U procjeni rizika moraju se identificirati i ocijeniti resursi, ranjivosti i prijetnje. Resurs je sve ono što ima vrijednost za organizaciju – hardver, softver, ljudi, infrastruktura, podaci (u raznim oblicima i na raznim medijima), dobavljači i partneri, itd.  Ranjivost je slabost resursa, procesa, mjere itd. koju bi prijetnja mogla iskoristiti;  prijetnja je bilo koji uzrok koji može naštetiti sustavu ili organizaciji. Primjer ranjivosti je nepostojanje antivirusnog softvera; s time povezana prijetnja je računalni virus.

Sad kad sve to znate, a vaša organizacija je mala, zapravo vam nije potreban sofisticiran alat za provedbu procjene rizika. Sve što vam treba je Excel tablica, dobar katalog ranjivosti i prijetnji i dobra metodologija procjene rizika. Pravi posao se zapravo sastoji u tome da ocijenite vjerojatnost i učinke, a to ne može svaki alat – to je nešto o čemu moraju razmišljati vaši vlasnici resursa koristeći svoje znanje o tim resursima.

Dakle, gdje nabaviti katalog i metodologiju? Ako koristite usluge konzultanta, on bi tvam ih trebao dati. U suprotnom, na internetu postoji nekoliko besplatnih kataloga, samo ih morate potražiti pomoću  Googlea. Metodologija nije dostupna besplatno, ali možete koristiti normu ISO 27005 (ona detaljno opisuje procjenu i obradu rizika), ili možete koristiti neke druge web stranice koje prodaju metodologiju. Za sve to bi trebalo znatno manje vremena i novca nego za kupnju alata za procjenu rizika i učenje kako se koristi.

Dobra metodologija trebala bi sadržavati metodu za identifikaciju resursa, prijetnji i ranjivosti, tablice za označavanje vjerojatnosti i učinaka, metodu za izračun rizika, te definirati prihvatljivu razinu rizika. U katalozima bi trebalo biti navedeno najmanje 30 ranjivosti i 30 prijetnji; u nekim se katalozima navodi i po nekoliko stotina ranjivosti i prijetnji, ali to je vjerojatno previše za malu tvrtku.

Postupak zaista nije kompliciran – evo osnovnih koraka za procjenu i obradu:

1. definirajte i dokumentirajte metodologiju (uključujući kataloge), dostavite je svim vlasnicima resursa u organizaciji
2. organizirajte intervjue sa svim vlasnicima resursa u kojima ćete od njih zatražiti da identificiraju svoje resurse i s njima povezane ranjivosti i prijetnje; u drugom koraku ih zamolite da ocijene vjerojatnost i učinak pojave određenog rizika
3. objedinite podatke u jednoj Excel tablici, izračunajte rizike i odredite neprihvatljive rizike
4. za svaki neprihvatljiv rizik odaberite jednu ili više mjera iz Aneksa A norme ISO 27001 – izračunajte koja bi bila nova razina rizika nakon provedbe tih mjera

Da zaključim: procjena i obrada rizika zaista jesu temelj informacijske sigurnosti / ISO 27001, što ne znači da moraju biti komplicirane. Možete ih provesti  na jednostavan način, bitan je samo zdrav razum.

Pogledajte i naš video tutorijal Kako provesti obradu rizika prema ISO 27001 (video uz naplatu).