ISO 27001 & BS 25999

Važnost Izvješća o primjenjivosti (engl. Statement of Applicability – SoA) obično se podcjenjuje – poput Priručnika kvalitete iz norme ISO 9001, radi se o središnjem dokumentu u kojem je definirano kako ćete implementirati veći dio svoje informacijske sigurnosti.

Izvješće o primjenjivosti zapravo je glavna poveznica između procjene i obrade rizika te implementacije vaše informacijske sigurnosti. Svrha mu je definirati koje od 133 predložene kontrole (sigurnosne mjere) iz Aneksa A norme ISO 27001 ćete primijeniti, te način na koji ćete ih provesti.

Zašto je taj dokument potreban?

Zašto je dakle takav dokument potreban ako ste već napisali Izvješće o procjeni rizika (koje je isto obavezno), koje također definira potrebne kontrole? Razlozi su sljedeći:

• Prije svega, tijekom obrade rizika utvrđujete potrebne kontrole jer ste utvrdili koje je rizike potrebno smanjiti. Međutim, u Izvješću o primjenjivosti također određujete potrebne kontrole iz nekih drugih razloga – zbog propisa, ugovornih obveza, drugih procesa, itd.
• Drugo, Izvješće o procjeni rizika može biti prilično dugačko – u nekim se organizacijama može identificirati i nekoliko tisuća rizika (ponekad i više), pa takav dokument nije baš prikladan za svakodnevnu uporabu. S druge strane, Izvješće o primjenjivosti je kraće – ima 133 retka (po jedan za svaku kontrolu), što vam omogućuje da ga prezentirate menadžmentu i da ga lakše ažurirate.
• Treće – i najvažnije- u Izvješću o primjenjivosti mora se za svaku pojedinu primjenjivu kontrolu dokumentirati provodili li se ona već ili ne. Dobra praksa (a većina auditora će upravo to provjeravati) uključuje i opisivanje načina na koji se pojedina primjenjiva kontrola provodi – npr. referiranjem na neki dokument (politiku/proceduru/upute i sl.) ili kratkim opisom uspostavljene procedure ili opreme koja se upotrebljava.

Ako se želite certificirati prema ISO 27001, certifikacijski auditor će uzeti vaše Izvješće o primjenjivosti i obilaziti tvrtku da bi provjerio jeste li proveli mjere na način na koji su opisane u Izvješću o primjenjivosti. To je glavni dokument za provedbu on-site audita.

Vrlo mali broj tvrtki shvaća da pisanjem dobrog Izvješća o primjenjivosti može smanjiti broj ostalih dokumenata – na primjer, želite li dokumentirati određenu kontrolu, a opis procedure za tu kontrolu prilično je kratak, možete je opisati u Izvješću o primjenjivosti. Na taj način izbjegavate pisanje dodatnih dokumenata.

Zašto je taj dokument koristan?

Iz vlastitog iskustva znam da većina tvrtki koje provode sustav upravljanja informacijskom sigurnošću prema ISO 27001 utroše puno više vremena na pisanje ovog dokumenta nego što su očekivali jer moraju razmišljati o tome kako provesti kontrole: Hoće li nabavljati novu opremu? Ili promijeniti proceduru? Ili zaposliti novu osobu? Radi se o odlukama koje su prilično važne (a ponekad i skupe), tako da ne iznenađuje da ih je teško donijeti. Dobra strana Izvješća o primjenjivosti je da organizaciju prisiljava da ovaj posao obavi na sustavan način.

Stoga ovaj dokument ne biste trebali smatrati samo suvišnim dokumentom koji vam ne koristi u redovitom poslovanju – smatrajte ga glavnim dokumentom u kojem definirate kako želite da vaš sustav informacijske sigurnosti izgleda. Ako se napiše kako treba, Izvješće o primjenjivosti predstavlja izvrstan pregled onoga što treba učiniti u sklopu informacijske sigurnosti, zašto je to potrebno i kako to treba provesti.

Kliknite ovdje kako biste preuzeli besplatan predložak Izvješća o primjenjivosti.

Aneks A norme ISO 27001 vjerojatno je najviše spominjan aneks svih upravljačkih standarda. Zašto se o njemu toliko govori? Zašto je ponekad kontroverzan?

Ako ste pročitali Aneks A, vidjeli ste da se tamo nalazi popis 133 kontrole (sigurnosne mjere). Ako je tome tako, čemu onda služi glavni dio norme?

Svrha

Aneks A sadrži sljedeća poglavlja (ponekad se nazivaju i domene Aneksa A):

• A.5 Sigurnosna politika
• A.6 Organizacija informacijske sigurnosti
• A.7 Upravljanje informacijskim resursima
• A.8 Sigurnost vezana uz osoblje
• A.9 Fizička sigurnost i sigurnost okruženja
• A.10 Upravljanje komunikacijama i operativnim postupcima
• A.11 Kontrola pristupa
• A.12 Nabavka, razvoj i održavanje informacijskih sustava
• A.13 Upravljanje incidentima informacijske sigurnosti
• A.14 Upravljanje kontinuitetom poslovanja
• A.15 Sukladnost

Kao što sam spomenuo, Aneks A sadrži 133 kontrole koje se, kao što se vidi iz naziva poglavlja, ne tiču isključivo informacijskih tehnologija – također pokrivaju i fizičku sigurnost, pravnu zaštitu, upravljanje ljudskim resursima, organizacijska pitanja itd.

Stoga se Aneks A može promatrati kao katalog sigurnosnih mjera koje se koriste tijekom postupka obrade rizika – kad u postupku procjene rizika odredite neprihvatljive rizike, Aneks A će vam pomoći da odaberete kontrolu/kontrole kojima ćete smanjiti takve rizike. A pobrinut će se i da ne zaboravite neku važnu kontrolu.

Aneks A je na neki način poveznica za norme ISO 27001 i ISO 27002 – kontrole u ISO 27002 imaju iste nazive kao i one u Aneksu A norme ISO 27001, ali je razlika u količini detalja – ISO 27001 daje samo kratku definiciju pojedine kontrole, dok ISO 27002 daje detaljne smjernice o tome kako primijeniti kontrolu.

Nedostaci

Ako sada mislite da je Aneks A savršen implementacijski alat za vaš projekt informacijske sigurnosti, nemojte biti previše optimistični – u njemu ćete naći i neke stvari koje nemaju smisla. Na primjer, ponekad različite kontrole definiraju gotovo ista pitanja i zbog toga mogu djelovati zbunjujuće – takav je slučaj s kontrolama A.9.2.6 (Rashodovanje ili ponovna uporaba opreme) i A.10.7.2 (Rashodovanje medija). S druge strane neka pitanja, poput odnosa s trećim stranama, razbacana su kroz više točaka u Aneksu A – možete ih pronaći u točkama A.6.2 (Vanjske stranke), A.8 (Sigurnost vezana uz osoblje) i A.10.2 (Upravljanje uslugama trećih strana), te u kontroli A.12.5.5 (Eksternalizirani razvoj softvera). Zbog toga Aneks A ponekad nije jednostavan za korištenje kao implementacijski alat.

Ali to nisu jedine nejasnoće – u nekim kontrolama Aneks A govori o politikama i procedurama, ali ne propisuje da moraju biti dokumentirane. Može se činiti čudno, ali norma propisuje pisane politike/procedure samo tamo gdje se pojavljuje riječ “dokumentiran”. Ako proučite čitav Aneks A, riječ “dokumentiran” se pojavljuje samo u 6 kontrola (A.5.1.1, A.7.1.3, A.8.1.1, A.10.1.1, A.11.1.1, A.15.1.1) – to znači da sve druge kontrole možete primijeniti bez da ih dokumentirate.

Ipak, nemojte previše iskorištavati ovu fleksibilnost Aneksa A. Što je organizacija veća, morat ćete proizvesti više dokumenata kako bi se svi upoznali i uskladili s vašim sigurnosnim procedurama. S druge strane morate paziti da ne pretjerate s dokumentacijom – ako je imate previše, nitko je se neće pridržavati.

Odnos s glavnim dijelom norme ISO 27001

Glavni dio norme, ili točnije obvezne točke 4 do 8 opisuju upravljački dio norme. One propisuju ciklus Planiranja-Implementacije-Pregledavanja i praćenja-Poboljšavanja (engl. PDCA: Plan-Do-Check-Act), uključujući procjenu i obradu rizika, upravljanje dokumentacijom, upravljanje zapisima, osiguravanje resursa, interni audit, pregled od strane menadžmenta, korektivne i preventivne mjere, itd.

Kao što je već prije spomenuto, postupak procjene i obrade rizika je glavna poveznica između točaka 4 do 8 i kontrola iz Aneksa A. On će vam pomoći da odlučite jesu li pojedine kontrole iz Aneksa A potrebne za smanjivanje rizika ili ne.

To znači da točke 4 do 8 i Aneks A ne mogu postojati jedni bez drugih – procjena rizika nema smisla ako ne postoje kontrole koje će smanjiti rizik, a jedini način da se odredi primjenjivost kontrola je pomoću procjene rizika.

Moje mišljenje je da su upravo fokus na rizike i fleksibilnost u primjeni sigurnosnih mjera najbolje stvari u normi ISO 27001 – samo morate paziti da ih iskoristite na najbolji mogući način.

Pogledajte i naš webinar Osnove ISO 27001 – 3. dio: Pregled Aneksa A (seminar uz naplatu).

Ako tek započinjete s provedbom norme ISO 27001, vjerojatno to želite učiniti na što lakši način. Tu vas moram razočarati: ovakva provedba nije lak posao. Međutim, pokušat ću vam ga olakšati tako što ću vam opisati 16 koraka koje morate odraditi ako želite dobiti certifikat ISO 27001.

1. Osigurajte podršku menadžmenta

Iako se doima očito, ovom se koraku obično olako pristupa. Upravo to je prema mom iskustvu glavni razlog za neuspjeh ISO 27001 projekata  –kada menadžment za provedbu projekta ne osigurava dovoljan broj ljudi ili novca. (U članku Četiri ključne koristi implementacije norme ISO 27001 pročitajte ideje kako projekt prezentirati menadžmentu.)

2. Primijenite projektni pristup

Kao što je već rečeno, implementacija norme ISO 27001 je kompleksna i uključuje razne aktivnosti, mnogo ljudi i traje nekoliko mjeseci (ili dulje od godinu dana). Ako jasno ne definirate što se treba učiniti, tko to treba učiniti i u kojem vremenskom roku (tj. ako ne primijenite principe upravljanja projektima), posao bi se mogao otegnuti u nedogled.

3. Odredite opseg

Ako se radi o većoj organizaciji, bolje bi bilo normu ISO 27001 provesti u samo jednom dijelu organizacije, jer tako možete znatno smanjiti rizike svojeg projekta. (Problemi s određivanjem opsega prema normi ISO 27001)

4. Napišite Politiku ISMS-a

Politika ISMS-a krovni je dokument u vašem ISMS-u – ona ne bi trebala sadržavati previše detalja, ali bi trebala definirati osnove vezane za informacijsku sigurnost u vašoj organizaciji. Ali ako nije detaljna, koja je onda njezina svrha? Svrha je da kroz nju menadžment odredi što želi postići i kako će to kontrolirati. (Koliko detaljna treba biti politika informacijske sigurnosti?)

5. Definirajte metodologiju procjene rizika

Procjena rizika najsloženiji je zadatak u projektu implementacije ISO 27001. Metodologijom određujete pravila za utvrđivanje resursa, ranjivosti, prijetnji, posljedica i vjerojatnosti te prihvatljivu razinu rizika. Ako ta pravila jasno ne odredite, rezultati bi mogli biti neupotrebljivi. (Savjeti za procjenu rizika u manjim tvrtkama)

6. Provedite procjenu i obradu rizika

Pravila koja ste u prethodnom koraku odredili sada morate primijeniti – u većim organizacijama to može potrajati i nekoliko mjeseci, pa biste trebali pažljivo koordinirati takav posao. Cilj je dobiti cjelovitu sliku mogućih izvora opasnosti za informacije vaše organizacije.

Svrha procesa obrade rizika je smanjivanje neprihvatljivih rizika – to se obično provodi primjenom sigurnosnih mjera iz Aneksa A. U ovom koraku morate napisati Izvješće o procjeni rizika u kojem ćete dokumentirati sve korake koje ste poduzeli u postupku procjene i obrade rizika. Također morate dobiti i odobrenje za preostale rizike – ili u obliku zasebnog dokumenta ili kao dio Izvješća o primjenjivosti.

7. Napišite Izvješće o primjenjivosti

Po završetku postupka obrade rizika znat ćete točno koje su vam sigurnosne mjere iz Aneksa potrebne (postoji ukupno 133 mjere, ali vama vjerojatno neće trebati sve). Svrha ovog dokumenta (engl. SoA – Statement of Applicability) je da prikaže sve sigurnosne mjere, te koje od njih su primjenjive, a koje nisu, razloge za takvu odluku, ciljeve koje se mjerama želi postići i opis kako se provode. Izvješće o primjenjivosti je i najprikladniji dokument kojim od menadžmenta možete tražiti odobrenje za implementaciju ISMS-a.

8. Napišite Plan obrade rizika

Upravo kada ste pomislili da ste zgotovili sve dokumente vezane za rizike, shvatili ste da ste se prevarili – svrha Plana obrade rizika je točno odrediti način na koji će se mjere iz SoA provoditi – tko će ih provoditi, kada, kojim sredstvima i sl. Ovaj je dokument zapravo plan provedbe vaših sigurnosnih mjera bez kojeg ne biste mogli koordinirati daljnje korake u projektu.

9. Utvrdite način mjerenja učinkovitosti sigurnosnih mjera

Ovo je još jedan od zadataka koji su obično podcijenjeni. A stvar je zapravo u ovome – ako ne možete izmjeriti napravljeno kako možete biti sigurni da ste ispunili svrhu? Stoga svakako definirajte način na koji ćete mjeriti ispunjavanje ciljeva koje ste postavili kako za cjelokupni ISMS tako i za svaku primjenjivu sigurnosnu mjeru u Izvješću o primjenjivosti.

10. Provodite sigurnosne mjere i obvezne procedure

Ovo izgleda lagano, ali ovdje morate provesti četiri obvezne procedure i primjenjive kontrole iz Aneksa A.

Ovo je obično najrizičniji zadatak u projektu – često uključuje primjenu novih tehnologija, ali prije svega provedbu novog načina ponašanja u vašoj organizaciji. Često je potrebno napisati nove politike i procedure (što znači da je potrebno nešto promijeniti), međutim ljudi se obično odupiru promjenama. Zato je sljedeći zadatak (obučavanje i osvješćivanje) ključan u sprječavanju rizika.

11. Provodite programe obučavanja i osvješćivanja

Ako želite da vaše osoblje provodi sve nove politike i procedure, prvo im morate objasniti zašto su potrebne i obučiti ih da mogu proizvesti očekivani učinak. Neprovođenje ovih aktivnosti drugi je najčešći razlog zašto projekti implementacije norme ISO 27001 ne uspijevaju.

12. Upravljajte ISMS-om

U ovoj fazi ISO 27001 postaje dio rutine u vašoj organizaciji. Ovdje ključna riječ glasi: “zapisi”. Auditori obožavaju zapise – bez zapisa ćete teško dokazati da ste neke aktivnosti zaista proveli. No zapisi bi prije svega trebali pomoći vama – pomoću njih možete pratiti što se događa i možete sa sigurnošću znati provode li vaši zaposlenici (i dobavljači) svoje zadatke u skladu sa zahtjevima.

13. Pratite ISMS

Što se događa u vašem ISMS-u? Koji su se incidenti pojavili, koje vrste? Provode li se sve procedure ispravno?

Ovdje koristite ciljeve sigurnosnih mjera i metodologiju mjerenja – morate provjeriti postižete li ostvarenim rezultatima ono što ste si postavili kao cilj. Ako ne, znate da nešto nije u redu i da morate provesti korektivne i/ili preventivne mjere.

14. Interni audit

Ljudi često nisu ni svjesni da čine nešto krivo (s druge strane, ponekad jesu, ali ne žele da to itko sazna), a Vašoj organizaciji može štetiti činjenica da niste svjesni postojećih i potencijalnih problema. Morate provoditi interni audit kako biste takve stvari otkrili. Poanta nije u pokretanju disciplinskog postupka, nego u poduzimanju korektivnih i/ili preventivnih mjera. (Nedoumice vezane za interne auditore po normi ISO 27001 i BS 25999-2)

15. Pregled od strane menadžmenta

Menadžment ne mora konfigurirati vaš vatrozid, ali mora znati što se događa u ISMS-u, tj. jesu li svi izvršili svoje dužnosti, postiže li ISMS željene rezultate, i sl. Na temelju toga menadžment mora donositi ključne odluke.

16. Korektivne i preventivne mjere

Sustav upravljanja treba osigurati da se sve što nije u redu (tzv. “nesukladnost”) ispravi, ili još i bolje, spriječi. Stoga norma ISO 27001 traži da se korektivne i preventivne mjere provode sustavno, što znači da se mora ustanoviti uzrok nesukladnosti, koji se zatim mora riješiti i provjeriti.

Nadam se da vam je nakon čitanja ovog članka jasnije što trebate učiniti. Iako implementacija norme ISO 27001 nije lagan zadatak, ne mora nužno biti i jako kompliciran. Jednostavno morate svaki korak pažljivo planirati i ne brinite – dobit ćete certifikat.

Ovdje možete preuzeti dijagram Proces implementacije norme ISO 27001 u kojem su svi ovi koraci grafički prikazani zajedno s potrebnom dokumentacijom.

Netko bi mogao pomisliti da su ova dva pojma sinonimi – uostalom, zar se ne tiče informacijska sigurnost računala?

Ne baš. Poanta je da možete imati savršene IT sigurnosne mjere, ali samo jedan zlonamjeran čin, na primjer od strane administratora, može srušiti cijeli IT sustav. Taj rizik uopće nije povezan s računalom, već ima veze s ljudima, procesima, nadzorom, itd.

Nadalje, važne informacije uopće ne moraju biti u digitalnom obliku, već mogu biti i na papiru – na primjer, važan ugovor potpisan s najvećim klijentom, osobne bilješke direktora ili ispis administratorskih lozinaka pohranjen u sefu.

Zato svojim klijentima uvijek kažem – IT sigurnost čini samo  50% informacijske sigurnosti jer informacijska sigurnost uključuje fizičku sigurnost, upravljanje ljudskim potencijalima, pravnu zaštitu, organizaciju, procese itd. Svrha informacijske sigurnosti je izgradnja sustava koji u obzir uzima sve moguće rizike za sigurnost informacija (bili oni vezani za IT ili ne) i provedba sveobuhvatnih mjera koje umanjuju sve vrste neprihvatljivih rizika.

Takav integrirani pristup sigurnosti informacija najbolje opisuje norma ISO 27001, vodeći međunarodni standard za upravljanje informacijskom sigurnošću. Ukratko, potrebno je procjenu rizika provesti za sve organizacijske resurse – uključujući hardver, softver, dokumentaciju, ljude, dobavljače, partnere, itd., te odabrati primjenjive mjere za umanjenje tih rizika.

Norma ISO 27001 u Aneksu A nudi 133 mjere – proveo sam kratku analizu tih mjera i rezultati su sljedeći:

• mjere vezane za IT: 46%
• mjere vezane za organizaciju/dokumentaciju: 30%
• mjere fizičke sigurnosti: 9%
• pravna zaštita: 6%
• mjere vezane za odnose s dobavljačima i kupcima: 5%
• mjere upravljanja ljudskim resursima: 4%

Koje značenje sve to ima za informacijsku sigurnost / provedbu norme ISO 27001? Ova vrsta projekta ne bi se trebala smatrati IT projektom, jer u tom slučaju postoji vjerojatnost da neki dijelovi organizacije neće htjeti u njemu sudjelovati. Taj bi se projekt trebao smatrati projektom koji se tiče cjelokupnog poduzeća, u kojem bi trebali sudjelovati ključni ljudi iz svih poslovnih jedinica – viši menadžment, IT osoblje, pravni stručnjaci, voditelji ljudskih resursa, osoblje za fizičku sigurnost, poslovna strana organizacije, itd. Bez takvog pristupa sve će se svesti na IT sigurnost, što vas neće zaštititi od najvećih rizika.

Pogledajte i naš webinar Osnove ISO 27001 – 3. dio: Pregled Aneksa A (seminar uz naplatu).