BILJANA CERIN, DIPL. ING. Nobium d.o.o., Zagreb
SAŽETAK
Standard BS 7799 opisuje proces uvođenja sustava upravljanja sigurnošću informacija, “Information Security Management System (ISMS)”. Takav proces pruža sistematski pristup upravljanju osjetljivim informacijama s ciljem očuvanja njihove sigurnosti. Cilj procesa je postići sigurnost informacija u aspektima povjerljivosti, integriteta i dostupnosti, uključivši pritom relevantne organizacijske resurse, politike, procedure i informacijske sustave. Ovaj dokument opisuje ciklus uvođenja sustava upravljanja sigurnošću informacija u skladu sa sigurnosnim i poslovnim zahtjevima pojedine organizacije, te način njegove integracije sa sustavom upravljanja kvalitetom prema zahtjevima norme ISO 9001:2000.
INTEGRACIJA SUSTAVA UPRAVLJANJA SIGURNOŠĆU INFORMACIJA SA SUSTAVOM UPRAVLJANJA KVALITETOM
UVOD
Ključne riječi: sigurnost informacija, BS 7799, informacijski sustavi
Prvi dio standarda BS 7799 poznatiji je pod nazivom ISO 17799, a pruža sveobuhvatan skup smjernica i preporuka za upravljanje sigurnošću informacija. Njegova namjena je da služi kao referenca za identifikaciju opsega sigurnosnih kontrola koje se koriste u informacijskim sustavima velikih, srednjih i malih organizacija. Sustav upravljanja sigurnošću informacija, “Information Security Management System, ISMS”, kao integrirani sustav upravljanja kvalitetom opisan je u drugom dijelu britanskog standarda BS 7799. Drugi dio standarda predstavlja specifikaciju s postupcima implementiranja sustava upravljanja sigurnošću informacija, pri tom dajući upute što je sve potrebno napraviti kako bi se uspostavila prihvatljiva razina informacijske sigurnosti unutar organizacije. Drugi dio standarda BS 7799 usklađen je sa standardima u sustavima upravljanja, te je tako pružen okvir za njihovu konzistentnu i integriranu implementaciju. Iz aspekta zahtjeva norme ISO 9001:2000, implementacija sustava upravljanja sigurnošću informacija pridonosi učinkovitosti sustava upravljanja kvalitetom kroz poboljšanje sigurnosti i pouzdanosti informacijskog sustava organizacije.
133
ODNOS INFORMACIJSKE SIGURNOSTI I KVALITETE U daljnjem će se tekstu za sustav upravljanja sigurnošću informacija koristiti izraz “ISMS sustav”. Brzim razvojem informacijskih tehnologija okruženje informacijskih sustava u velikoj mjeri se mijenja. Upotrebom operacijskih sustava opće namjene i distribuiranog procesiranja dodatno se povećava broj potencijalnih opasnosti za sigurnost i pouzdan rad informacijskih sustava. Kao rezultat ovih pojava, organizacije prepoznaju potrebu za implementacijom ISMS sustava. ISMS sustav se može protumačiti kao sigurnosna mjera kojom se smanjuju mogućnosti za provođenje neovlaštenih i zlonamjernih aktivnosti u informacijskim sustavima, te kao sredstvo pomoću kojeg više poslovodstvo prati i nadzire sigurnost informacijskih sustava organizacije, svodeći poslovni rizik na prihvatljivi minimum. Promotrimo nekoliko sljedećih rečenica: “Kvaliteta se ne može kupiti. Kvaliteta nije proizvod. Kvaliteta je način razmišljanja i beskonačan proces. Ukoliko želite ostvariti poslovni uspjeh, kvaliteta se mora integrirati u svaki aspekt Vašeg poslovanja. Kvaliteta nije odgovornost samo poslovodnih struktura; svaki zaposlenik mora joj posvetiti dužnu pažnju. Kvaliteta se ne može dodirnuti, ali nije ni vječna. Teško ju je izmjeriti, ali su njeni ciljevi i rezultati svakako mjerljivi. Koliko košta kvaliteta? Ništa, ona je potpuno besplatna ukoliko joj je svatko posvećen.” Ako sada zamijenimo riječ “Kvaliteta” u prethodnom tekstu sa riječju “Sigurnost”, dobili smo krovnu izjavu o ulozi informacijske sigurnosti unutar svake moderne organizacije. Današnje su organizacije neupitno gotovo potpuno ovisne o pouzdanosti i sigurnosti svog informacijskog sustava. Upravo stoga, sigurnosti tog sustava, kao i kvaliteti poslovanja, proizvoda ili usluge koju organizacija pruža, potrebno je posvetiti svu potrebnu pažnju. Mjera koristi koju donosi uvođenje sustava upravljanja kvalitetom i ISMS sustava je odsutnost pogrešaka. Niti sigurnost, niti kvaliteta, ne plijene pažnju niti zadaju glavobolje sve dok poslovodstvo organizacije, zajedno sa svima zaposlenima, u potpunosti prihvaća pravila ponašanja koja nameće odgovarajuća razina svijesti o važnosti informacijske sigurnosti i kvalitete.
UVOĐENJE ISMS SUSTAVA U svakodnevnom korištenju informacijskih sustava vrlo često dolazi do namjernih i nenamjernih otkrivanja povjerljivih podataka kao i otkrivanja potencijalnih ranjivosti sustava. Neovlašteni korisnici vješto iskorištavaju otkrivene ranjivosti te provode zlonamjerne aktivnosti koje uzrokuju velike štete cjelokupnom poslovanju organizacije. Čak ni potpuno izolirani informacijski sustavi nisu sigurni, jer pored vanjskih načina ugroza sustava, uvijek preostaju i oni unutarnji. Uzrok tomu je često neupućenost, nedovoljna obrazovanost o problemima sigurnosti informacijskih sustava, ili jednostavno nepažnja. Sigurnost takvih sustava na onoj je razini na kojoj je razini svijesti o važnosti informacijske sigurnosti njegov najmanje upućen korisnik. Bitno je ovdje naglasiti da osviještenost o važnosti informacijske sigurnosti (engleski izraz “security awareness” puno je prikladniji) igra prvu i zadnju ulogu u uspostavi ISMS sustava. Implementacija ISMS sustava, kao i sustava upravljanja kvalitetom, temelji se na “Plan-DoCheck-Act” (PDCA) modelu. PDCA model ističe važnost pažljivog planiranja programa uspostave sustava, što rezultira učinkovitim mjerama za njegovo stalno poboljšanje i pravilnu upotrebu. Sve procedure nužne za provedbu, održavanje, i stalno poboljšanje sustava potrebno je adekvatno dokumentirati i uskladiti sa sustavom upravljanja kvalitetom kako bi se izbjegle moguće zalihosti i postigao maksimalan učinak u njihovom izvođenju. Slijedi opis procedura koje se provode u implementaciji ISMS sustava.
“Plan” faza PDCA ciklusa Podrška najvišeg poslovodstva Prije implementacije bilo kojeg efikasnog sustava upravljanja kvalitetom, najviše poslovodstvo mora u potpunosti razumjeti koristi uvođenja sustava te podržati njegovo uvođenje, svjesno mogućih problema i prepreka koje se mogu pojaviti. Informacijska sigurnost, kao i sve druge interne kontrole, potaknuta je od vrha organizacije. Kako bi se uspješno ispunjavali ciljevi i zahtjevi informacijske sigurnosti, važno je da izvršno tijelo organizacije pruži punu potporu timu ili vanjskim suradnicima koji će uvoditi ISMS sustav.
134
Definiranje opsega ISMS sustava Domena u koju će se uvesti ISMS sustav
može biti područje cijelog informacijskog sustava organizacije, ili samo jednog njegovog dijela. Također, sustav može pokrivati samo jednu specifičnu uslugu – npr. Internet bankarstvo. Opseg ISMS sustava pokriva sve one domene za koje je važno da imaju adekvatnu informacijsku zaštitu. Kreiranje krovnog dokumenta sigurnosne politike Krovni dokument sigurnosne politike je relativno kratak dokument potpisan od strane izvršnog tijela organizacije, te prezentiran svim zaposlenicima. Dokumentom se nedvojbeno izražava politika organizacije da će osigurati tajnost informacija, štititi njihov integritet, te osigurati njihovu dostupnost samo autoriziranim korisnicima. Dokument predstavlja potpunu potporu najvišeg poslovodstva uvođenju ISMS sustava. Korisno je krovnu sigurnosnu politiku organizacije istaknuti zajedno s njenom politikom kvalitete. Kreiranje strukture sigurnosne organizacije Organizacija mora uspostaviti upravljačku strukturu za provedbu mjera i funkcija ISMS sustava. Struktura se brine za provedbu, kreiranje i održavanje ažurnosti sigurnosnih politika, kao i relevantnih standarda, procedura i planova, a sastoji se od različitih tijela i timova zaduženih za specifične sigurnosne aspekte. Konačnu odgovornost za provedbu sigurnosnih mjera preuzima glavni službenik za informacijsku sigurnost. Njegove odgovornosti i ovlaštenja moraju biti jasno definirani, kao i odgovornosti i ovlaštenja svakog zaposlenika u upravljačkoj strukturi za sigurnost informacija. Na taj način postiže se adekvatna provedba sigurnosnih mjera unutar organizacije. Unutar sustava upravljanja kvalitetom, kod definicije ovlasti i odgovornosti za svakog zaposlenika, integriraju se zaduženja i ovlaštenja proizašla iz uspostave ISMS sustava. Izvođenje procjene rizika Kako bi se donijela odluka o tome koje je informacijske resurse potrebno zaštititi, nužno je provesti detaljnu analizu organizacije u cilju utvrđivanja lokacije, načina postupanja i odgovornosti za pojedine informacijske resurse. Informacijski resursi svakog dijela organizacije trebaju se klasificirati unutar aspekata tajnosti, integriteta i dostupnosti. Na osnovi važnosti resursa te procijenjene veličine rizika za pojedini resurs, odabire se adekvatan način zaštite tog resursa.
Odabir sigurnosnih kontrola Drugi dio BS 7799 standarda sadrži 127 sigurnosnih kontrola. Podrazumijeva se da nisu sve kontrole primjenjive na sve organizacije, te se preporučuje upotreba samo onih kontrola koje su u procesu analize rizika identificirane kao nužne za primjenu. Nakon odabira sigurnosnih kontrola, specifične sigurnosne politike definiraju se za svaku pojedinu kontrolu. Preporuke i procedure za implementaciju sigurnosnih politika navode se u posebnoj dokumentaciji o implementaciji sigurnosnih politika, te se sama implementacija mjera definiranih politikama provodi u “Act” fazi PDCA ciklusa. Prilikom odabira sigurnosnih kontrola razmatraju se pravne i ugovorne obveze organizacije, poslovni zahtjevi, te rezultati procjene rizika. Nakon toga razmatraju se ograničavajući faktori za svaku odabranu kontrolu te se donose odluke na razini poslovodstva o skupu odabranih kontrola koji će dati optimalne rezultate. Kreiranje izjave o sukladnosti Drugi dio BS 7799 standarda zahtijeva postojanje dokumenta zvanog “Izjava o sukladnosti” (Statement of Applicability, SOA), koji sadrži popis sigurnosnih kontrola s objašnjenjima zašto su pojedine kontrole uključene odnosno isključene iz sustava. Standard podrazumijeva da je opseg ISMS sustava specifičan za svaku pojedinu organizaciju i samim time je opravdano isključivanje pojedinih kontrola iz sustava.
“Do” faza PDCA ciklusa Pri implementaciji ISMS sustava nužno je usredotočiti se na potrebu za dugoročnim i ispravnim mehanizmom održavanja funkcionalnosti sustava. Ovaj mehanizam izvodi se u “Do” fazi implementacije ISMS sustava. Izrada i implementiranje plana upravljanja sigurnosnim rizikom Plan upravljanja sigurnosnim rizikom je projektni plan kojim se uključuju eventualne dodatne sigurnosne kontrole u ISMS sustav ukoliko se za tim otkrije potreba. Uslijed promjene informacijskih resursa ili promjene veličine rizika za pojedine informacijske resurse, potrebno je ponovno provesti procjenu rizika te revidirati i ažurirati sigurnosnu politiku za relevantne sigurnosne kontrole. Pri formulaciji mjera za postizanje željene razine sigurnosti, formulira se
135
plan za upravljanje sigurnosnim rizikom tako da se veličina rizika nastoji svesti na minimalan iznos. Svi zapisi o provedenoj analizi sigurnosnih rizika moraju se strogo kontrolirano nadzirati i čuvati na točno određenim lokacijama i unutar definiranih odgovornosti. Ovi dokumenti sadrže osjetljive informacije o ranjivosti sustava i samim tim su vrlo interesantni potencijalnim napadačima unutar i izvan organizacije. Implementiranje sigurnosnih kontrola Definiranjem sigurnosnih politika za odabrane sigurnosne kontrole opisuje se koje bi mjere trebalo poduzeti za postizanje i održavanje željene razine informacijske sigurnosti. Implementacija sigurnosnih kontrola podrazumijeva specifikaciju kako je potrebno provesti sigurnosne mjere opisane dokumentima sigurnosne politike. Nužno je redovito provjeravati sigurnosne politike i metode njihove implementacije, kako bi se na vrijeme odredila optimalna metoda suočavanja s novim sigurnosnim prijetnjama. Budući da su sposobnosti napadača sve sofisticiranije i štete koje mogu nastati njihovim djelovanjem sve veće, važno je često provjeravati i ažurirati sigurnosne politike i metode njihove implementacije. Provođenje obrazovnih programa Uspješnost implementacije ISMS sustava ovisi o odlukama i aktivnostima ovlaštenih osoba kao i svih korisnika informacijskog sustava organizacije. Kako bi se podigla svijest o važnosti pridržavanja sigurnosnih mjera implementiranih kroz ISMS sustav, važno je provoditi planiranu izobrazbu zaposlenika o važnosti informacijske sigurnosti, te pridržavanju sigurnosnih politika i procedura. Ukoliko je ISMS sustav zaista zaživio u nekoj poslovnoj organizaciji, on će, kao i uspješan sustav upravljanja kvalitetom, postati gotovo neprimjetan u obavljanju svakodnevnih poslovnih aktivnosti. Upravljanje operacijama i resursima Kako bi se upravljanje operacijama i resursima ISMS sustava pravilno i efikasno provodilo, važno je uspostaviti takav tip sigurnosne organizacije koji se ne oslanja pretjerano na pojedinačne zaposlenike. Također, nužno je uspostaviti sustav brzog reagiranja na incidente kako bi se osigurao kontinuirani rad informacijskog sustava i poslovanja organizacije. Svaki novi informacijski resurs treba biti provjeren i testiran prije uključivanja u informacijski sustav. Specifikacije resursa moraju se nadzirano pohranjivati i kontrolirati. Ukoliko je određeni
uređaj uništen ili je na njemu izveden popravak, odgovarajuća procedura treba se provoditi pri rukovanju uređajem s ciljem sprečavanja otkrivanja osjetljivih informacija zlonamjernim korisnicima. Uočavanje i reagiranje na sigurnosne incidente Svaki zaposlenik dužan je o uočenom sigurnosnom incidentu izvijestiti osobu nadležnu za provedbu sigurnosnih mjera, bez pokušaja samostalnog rješavanja incidenta. Za rješavanje sigurnosnih incidenata potrebno je kreirati posebnu proceduru i slijediti metode i odgovornosti definirane procedurom. Prilikom rješavanja sigurnosnih incidenata nužno je napraviti izvještaj o riješenim sigurnosnim incidentima. Na taj način postiže se kontrolirano i efikasno reagiranje na incidente i sprečavanje nastajanja još većih indirektnih šteta. “Check” faza PDCA ciklusa Implementacija ove faze podrazumijeva kontinuirano praćenje efikasnosti ISMS sustava iz perspektive zadovoljavanja poslovnih potreba organizacije i njegove praktične upotrebe i provedbe unutar organizacije. Izvršavanje procedura za nadzor sustava Osiguranje željene razine sigurnosti informacijskog sustava održava se primjenom pravila i procedura za nadzor ISMS sustava. Budući da se nove sigurnosne prijetnje otkrivaju svakodnevno, nužno je pratiti izvore informacija o sigurnosnim prijetnjama i redovito ažurirati sigurnosne mehanizme za sprečavanje tih prijetnji. Izvori takvih informacija obično su organizacije namijenjene pravodobnom informiranju zainteresiranih o novim sigurnosnim prijetnjama i analiziranju postojećih prijetnji, kao što je npr. CERT (Computer Emergency Response Team). Provjera efikasnosti sustava Konstantno provjeravanje sigurnosnih mjera i mehanizama implementiranih ISMS sustavom nužno je kako bi se osigurala njegova efikasnost. Provjeru je dužan provoditi svaki zaposlenik u svakom aspektu svog rada, a osim toga nužno je provoditi i periodičke provjere ranjivosti sustava. Periodičke provjere ranjivosti mogu se provoditi unutar same organizacije ili se za to mogu angažirati osposobljeni stručnjaci izvan organizacije kako bi provjera bila što je moguće objektivnija. Uzimajući u obzir rezultate takvih provjera, provode se mjere za poboljšanje ISMS sustava.
136
Provjera razine rezidualnog i prihvatljivog rizika Efektom sigurnosne mjere smatra se njezina sposobnost umanjivanja prijetnje, ranjivosti ili čak vrijednosti informacijskog resursa kako bi se postigao minimalan rizik. Ovo nas dovodi do koncepta rezidualnog rizika. Za umanjivanje ranjivosti informacijskog sustava mogu se upotrijebiti sljedeće strategije: - uklanjanje svih ranjivosti, - uklanjanje onih ranjivosti koje zahtijevaju najmanje financijskih sredstava a zatim onih unutar dozvoljenih sredstava, - uspostava i odabir ravnoteže između tehnič- kih i ne-tehnič- kih metoda za uklanjanje ranjivosti, - prioritetno uklanjanje onih ranjivosti koje uzrokuju najveću štetu. Pokušaj uklanjanja svih ranjivosti najvjerojatnije neće umanjiti rizik na nulu. Štoviše, takva je metoda obično skupa i vremenski zahtjevna, te rijetko donosi očekivane rezultate. Ostale metode mogu se kombinirati u cilju dobivanja najboljeg rezultata, odlukom o odabiru određenog odnosa troška i učinka. Osim umanjivanja ranjivosti, kao metoda umanjivanja sigurnosnog rizika može se koristiti umanjivanje prijetnje ili vrijednosti informacijskih resursa, kao npr. umanjivanje vrijednosti podataka njihovom enkripcijom. Provedba internih prosudbi sustava Organizacije koje već imaju implementiran sustav upravljanja kvalitetom mogu jednostavno kombinirati internu prosudbu sustava upravljanja sigurnošću informacija s internim prosudbama sustava upravljanja kvalitetom. Posebne aktivnosti, kao što su analiza sigurnosnih incidenata ili drugih anomalija u ponašanju sustava, ne spadaju u prosudbu sustava, iako ih može izvršavati interni auditor u organizaciji. Uobičajeno je da osobe koje izvršavaju interne prosudbe prođu određenu naobrazbu za izvršavanje tog posla i postignu certifikate ovlaštenih organizacija (npr. ISACA, “International Security, Audit and Control Association”, IIA, “Institute of Internal Audits”, IRCA, “International Register of Certificated Auditors”). Budući je da nemoguće provjeriti sve aktivnosti sustava, prosudba se nastoji provoditi tako da pokrije što je moguće više aktivnosti u što kraćem vremenu.
Pregled sustava od strane poslovodstva Poslovodstvo obavlja pregled i ocjenu ISMS sustava s ciljem potvrde kontinuirane adekvatnosti i efikasnosti sustava. Ulazni podaci za pregled poslovodstva su rezultati provedenih prosudbi, izvršene korektivne i preventivne akcije, preporuke za unapređenje sustava te nove tehnologije i metode koje se koriste u informacijskim sustavima. Rezultati pregleda poslovodstva su prijedlozi za korekcije sustava, njegovo unapređenje kao i osiguranje potrebnih resursa za provedbu korektivnih i preventivnih mjera. “Act” faza PDCA ciklusa U ovoj fazi provode se korektivne i preventivne mjere predložene kao rezultat pregleda sustava od strane poslovodstva. Cilj ove faze je postizanje stalnog unapređenja ISMS sustava. Implementiranje metoda za poboljšanje sustava Kontinuirana težnja unapređenju koja nije bazirana isključivo na aktualnom problemu vrlo je važna odlika svakog uspješnog sustava upravljanja kvalitetom i sigurnošću informacija. Ona predstavlja napredak iz reaktivnog na proaktivno upravljanje. Metode kontinuiranog poboljšavanja sustava su sljedeće: - identifikacija područja koje je moguće unaprijediti, - analiza i opravdanje potrebnih akcija, - odluka o provođenju mjera za poboljšanje, - implementacija poboljšanja, - mjerenje utjecaja poboljšanja na organizaciju, - analiza rezultata poboljšanja, - stalna potraga za novim metodama poboljšanja. Znanja i informacije prenesene iz drugih organizacija koje imaju uspješno implementiran ISMS sustav mogu biti vrlo korisni u procesu stalnog poboljšanja sustava. Također, dodatna znanja mogu se dobiti angažmanom stručnjaka za područja informacijske sigurnosti koji su upoznati s najnovijim informacijama i procedurama za upravljanje sigurnošću informacijskih sustava. Provedba korektivnih i preventivnih mjera Korektivne mjere provode se nakon ostvarenog sigurnosnog incidenta kako bi se spriječila ponovna pojava incidenta u budućnosti. Preventivne mjere se koriste za umanjivanje vjerojatnosti pojave
137
incidenta i umanjivanje potencijalnih šteta. Budući da se radi o mjerama za upravljanje kvalitetom sustava, dokumentiran proces njihovog provođenja može se integrirati s procedurama za korektivne i preventivne mjere iz sustava upravljanja kvalitetom. Informiranje o sustavu unutar organizacije Provedba sigurnosnih politika i upoznavanje svih zaposlenika sa sustavom upravljanja sigurnošću informacija mora se provoditi planirano i bez osjećaja opterećenja među zaposlenicima organizacije. Potrebno je također provoditi redovitu izobrazbu poslovodstva, korisnika i partnera o načinu primjene i pridržavanja implementiranih sigurnosnih politika. Pri tome od pomoći mogu biti raznorazne kreativne i poticajne tehnike kao što su posteri, prezentacije, web stranice i ostali lako dostupni sadržaji koji pružaju aktualne informacije o ispravnom i sigurnom korištenju informacijskih resursa.
plana kontinuiteta poslovanja. Cilj plana je svođenje štete i prekida u poslovanju uzrokovanih teškim sigurnosnim incidentima na prihvatljivu razinu. Nadziranim provođenjem procedura opisanih planom sprečavaju se nove teške posljedice za organizaciju i osigurava brzi povratak u produktivnu razinu poslovanja. Svi elementi sigurnosne organizacijske strukture su pod direktnom odgovornošću glavnog službenika za informacijsku sigurnost, koji zajedno s poslovodstvom organizacije donosi odluke važne za funkcioniranje ISMS sustava. Na pregledu sustava od strane poslovodstva definiraju se ciljevi sigurnosti informacijskog sustava te strategije i ciljevi njegovog stalnog poboljšanja.
Rezultati implementacije sustava upravljanja sigurnošću informacija Nakon što je uspješno implementiran, ISMS sustav donosi pozitivne promjene u odnosu organizacije prema sigurnosnim zahtjevima informacijskog sustava. Organizacija se mora prilagoditi novim zahtjevima pomoću uspostave sigurnosne organizacijske strukture. Ova struktura oblikuje se prema karakteristikama implementiranog sustava kao i prema osnovnim poslovnim karakteristikama i potrebama organizacije. Sigurnosna organizacijska struktura sadrži sljedeće elemente: - tim za rukovanje sigurnosnim incidentima: misija ovog tima je pripremanje, kontroliranje i učenje iz sigurnosnih incidenata. Tim može surađivati s vanjskim partnerima te uspostaviti veze s lokalnim organima vlasti i zakona radi sprečavanja ozbiljnih sigurnosnih incidenata; - odbor za kontrolu promjena: njegova funkcija je upravljanje procesom promjene, procedurama za nadogradnju sustava, te tijekom dokumentacije ISMS sustava. Ovaj odbor je također zadužen za praćenje i izvještavanje o relevantnim sigurnosnim problemima; - tim za oporavak od kriznih situacija: ovaj tim se brine za planiranje kontinuiteta poslovanja, što uključuje razvoj i implementaciju 138
ZAKLJUČAK Sigurna, dostupna i nepromijenjena informacija osnova je uspješnog izvršavanja poslovnih procesa unutar organizacije. Implementacijom ISMS sustava osigurava se informacija kao neophodan resurs za odvijanje svih poslovnih aktivnosti, te se uvelike unapređuje sigurnost informacijskog sustava o čijem kvalitetnom i neprekinutom radu ovisi poslovanje organizacije. Sustav upravljanja kvalitetom uspostavljen prema zahtjevima norme ISO 9001:2000 potiče usvajanje procesnog pristupa pri razvoju, implementaciji i poboljšanju učinkovitosti svakog integriranog sustava upravljanja, pa tako i sustava upravljanja sigurnošću informacija. Stoga možemo zaključiti da se ISMS sustav i sustav upravljanja kvalitetom međusobno vrlo korisno nadopunjuju i zajedno doprinose učinkovitom i sigurnom izvršavanju poslovnih procesa, podižući kvalitetu proizvoda ili usluge koju organizacija pruža.
LITERATURA • ISO 9001:2000 Sustav upravljanja kvalitetom – Zahtjevi • BSI, BS 7799-2:2002, Information security management systems – Specification with guidance for use, British Standards Institution, London, 2002. • ISO, ISO/IEC 17799, Information technology – Code of practice for information security management, First edition, International
• • •
• •
• • •
Organization for Standardization, Geneva, 2000. IUG, ISMS Journal, Izdanja 1, 2 i 3. International User Group (IUG), 2002. BSI, Guide on the selection of BS 7799 Part 2 controls, British Standards Institution, 2002 BSI, Guide on the implementation and auditing of BS 7799 Part 2 controls, British Standards Institution, 2002 BSI, Are you ready for BS 7799 Part 2 Audit, British Standards Institution, 2002 Tom Carlson, Information Security Management: Understanding ISO-17799, International Network Services (INS), 2003. http://www.gammassl.co.uk/bs7799, How 7799 works, Gamma Secure Systems, 2003. Information Systems Control Journal, Izdanje 4, 2004. Information Security Magazine, Izdanja za Svibanj i Lipanj, 2004.
SUMMARY Information Security Management System (ISMS) provides a systematic approach to managing sensitive information in order to ensure its security. It targets to achieve this in aspects of confidentiality, integrity and availability, and encompasses people, policies, processes and information systems. This work focuses on a life-cycle framework for implementing and developing a formal ISMS in relation to the security and business requirements of an individual organization, as well as the way it can be integrated with the quality management system according to the requirements of ISO 9001:2000.
Key words: Information security, Standard BS 7799, information system
139