Sigurnost informacijskih sustava kao neophodan dio sustava kvalitete

Page 1

DR. SC. NENAD INJAC, «OSKAR» - Zagreb

SAŽETAK: U radu se razmatra postojeće stanje i razvoj informacijske tehnologije te njen utjecaj na sustave kvalitete. Osobita pažnja posvećena je nužnosti zaštite svih vrsta podataka i upravljanju informacijskom sigurnošću. Kao elementarna pretpostavka zaštite informacijskih sustava upućuje se na primjenu normi BS 7799:2000 – I dio, BS 7799:2002 – II dio i ISO 17799:2002. Navedene norme su namijenjene sigurnosti informacijskih sustava svih tipova i oblika organizacija. Prvenstveni cilj im je implementacija (BS 7799:2000 – I dio i ISO 17799:2002) i auditiranje (BS 17799:2002 – II dio) sigurnosnog informacijskog sustava prema propisanim zahtjevima i dobivanje međunarodnog certifikata. Time se, istodobno, osigurava i minimalna razina kvalitete sustava kvalitete organizacije.

SIGURNOST INFORMACIJSKIH SUSTAVA KAO NEOPHODAN DIO SUSTAVA KVALITETE

UVOD Informacijska sigurnost je stupanj zaštite i otpornosti informacijskog sustava na sve vidove ugrožavanja. U sebi objedinjuje raspoloživa sredstva, metode, aktivnosti i organizaciju koji maksimalno smanjuju rizike od svih oblika entropije, unutarnjih i vanjskih napada te narušavanja optimalnog nastanka, obrade, distribucije i arhiviranja podataka. Informacijsku sigurnost karakteriziraju tri parametra: - povjerljivost (confidentiality) koja jamči siguran pristup informaciji isključivo za to ovlaštenoj osobi, integritet (integrity) koji podrazumijeva kompletnu zaštitu ispravnosti i cjelokupnosti svih metoda vezanih za informacije i procese, - raspoloživost (availability) čije je svojstvo osiguranje autoriziranoj osobi pravodoban i korektan pristup traženoj informaciji i sredstvima preko kojih se prenosi ili putem kojih se arhivira.

Ključne riječi: Kvaliteta, informacijska sigurnost, norme serije ISO 9000ff, norma ISO 17799:2002, norma ISO BS 7799:2002 – II dio 179

Informacijska sigurnost je potrebna zbog: - zaštite svih vidova vlasništva organizacije, - osiguranja nesmetanog odvijanja svih procesa, - zaštite od svih oblika ugrožavanja (kako


Standard) – 1995. godine, - pojava norme BS 7799 I dio – 1998. godine, - pojava norme BS 7799 II dio – 1998. godine, - revizija 1. i 2. dijela norme – 1999. godine, - nastanak norme ISO/IEC 17799:2002. godine na osnovi druge revizije BS 7799 I dio iz 2000. godine, - druga revizija norme BS 7799 II dio – 2002. godine.

vanjskih tako i unutrašnjih), - specifične zaštite svih oblika prijema, obrade, - distribucije i arhiviranja podataka i - specifične zaštite od informatičkih napada (od virusa i upada u sustav do sabotaže) Potpuna (apsolutna) informacijska sigurnost ne postoji! U većini slučajeva «apsolutna» zaštita dovodi do toga da je ugrožavanje u bilo kojem obliku (vremenskom, financijskom, ljudskom, sigurnosnom itd.) apsolutno neisplativo. Međutim, odsustvo minimalno potrebne zaštite spada u domenu maksimalno mogućeg ugrožavanja rada pojedinca i organizacije. Pri tome je kvaliteta, osiguranje kvalitete i upravljanje kvalitetom bilo koje i bilo kakve organizacije fiktivna kategorija. Stoga korektna i primjerena zaštita od bilo kojeg oblika informacijskog ugrožavanja samo smanjuje postojeće rizike na prihvatljivu razinu i formira kvalitetu sustava kao realno prihvatljivu kategoriju.

NORME ZA ZAŠTITU RMACIJSKIH SUSTAVA

Kao dodatne (pomoćne) norme za informacijsku sigurnost (IS) preporučuje se serija normi za sigurnost informacijske tehnologije (IT) : - ISO/IEC 13335 – 1 do 5 - ISO/IEC 15408 – 1 do 3 Cijela serija normi ISO 13335 je dana u formi vodiča (Guidelines) ili priručnika za sigurnost informacijskih tehnologija. Norme serije ISO 14408 su namijenjene tehnikama sigurnosti i kriterijima ocjenjivanja IT.

INFONORMA ISO 17799

Norme za informacijsku sigurnost (IS) su: - BS 7799 I dio, - BS 7788 II dio, - ISO 17799 Prve dvije norme potječu iz Engleske (British Standard odnosno BS) dok je treća međunarodno priznata (ISO). Norma ISO 17799 je nastala iz norme BS 7799 I dio.

Službeni naziv norme ISO 17799:2002 na engleskom jeziku glasi: - Information technology — Code of practice for information security management U slobodnijem prijevodu ovaj naslov bi se mogao dati kao: - Informacijska tehnologija – Praktični propisi za upravljanje informacijskom sigurnošću

Budući je norma ISO 17799:2002 izravno nastala iz norme BS 7799:2000 I dio, u praktičnoj primjeni širom svijeta su samo dvije norme: - ISO 17999:2002 i - BS 7799:2002. Zbog porijekla i eventualnih nadopuna, često se sreće i sljedeće označavanje prve dvije norme - kao cjeline BS 9977-I dio/ISO 17799 Norme za informacijsku sigurnost nastajale su sljedećim redom: - formiranje radne skupine za IS u Engleskoj – 1993. godine, - prikupljanje iskustava najbolje prakse – 1993. godine, - preuzimanje projekta od strane BS (British 180

Norma ISO 17799 nije: - službeni (državni) propis, - tehnička norma, - proizvod ili tehnološka uputa, - norma za opremu. Norma ISO 17799 je: - skup pravila nastao iz dobre prakse, - veza s 5. dijelom “Priručnika za upravljanje sigurnošću informacijskih tehnologija” – ISO 13335, - nastavak i nadogradnja norme BS 7799 – I dio. Izravne koristi od norme ISO 17799 su: - međunarodno priznata, strukturirana metodologija, - definirani procesi za razvoj, implementaciju, održavanje i upravljanje IS,


- određena metodologija izrade politika, normi, postupaka i uputa, - priprema za propisanu certifikaciju IS organizacije, - priznate marketinške, tržišne i osiguravajuće prednosti. Pitanje: zašto je potrebna IS (informacijska sigurnost) organizacije? - istovjetno je pitanju: zašto je potreban zdrav i otporan živčani sustav bilo kojem živom biću a prije svega čovjeku? Loše ili nepouzdano funkcioniranje živčanog sustava kod živih bića dovodi do najtežih oblika bolesti organizma a nerijetko i do smrti (kod čovjeka se tim bave posebne znanosti – od neurologije do psihologije i psihijatrije). Loš ili nepouzdan informacijski sustav organizacije u najvećem broju slučajeva znači i prestanak njenog postojanja. Postoje 3 (tri) izvora na osnovu kojih se uspostavljaju zahtjevi za IS: - ocjena rizika u organizaciji, - svi zakonski akti vezani za rad organizacije i sve veze s partnerima (od ugovora do protoka informacija i dobara), - skup principa, ciljeva i zahtjeva za bilo koji oblik postojanja i procesiranja informacija.

koja se temelji na Priručniku IS i postojećoj legislativi (zakonima i propisima). Realna opasnost ugrožavanja IS se mora prihvati kao životna činjenica i dio stvarnosti.

SUSTAV KVALITETE INFORMACIJSKA SIGURNOST

I

Sustav kvalitete organizacije određen je serijom normi ISO 9000ff i ISO 10000ff. Njihova nadopuna je danas, prvenstveno serija normi ISO 14000ff (upravljanje okolišem) i OHSAS 18001 (upravljanje zdravljem i sigurnošću). Međutim, kako danas stvari stoje, za očekivati je kako će se ovoj trojci uskoro pridružiti i norma za sigurnost informacijskih sustava – ISO 17799:2002. Ukoliko se to ne shvati, ugroženost organizacije na najosjetljivijem mjestu, informacijskom sustavu, biti će veoma realno i dramatično ugrožena. Implementacija zahtjeva za sigurnost svih vrsta manipulacija informacijama je istodobno prvo načelo sustava kvalitete organizacije. Raspad informacijskog sustava znači skoro uvijek i definitivan kraj organizacije. Kvaliteta počinje i završava riječju.

Literatura: Dobra praksa je utvrdila da su kritični faktori kod uspostave IS: a.) politika sigurnosti, ciljevi i aktivnosti koji podržavaju poslovanje, b.) implementacija IS koja odgovara poslovnoj kulturi organizacije, c.) vidljivo razumijevanje i podrška od strane vrhovne uprave, d.) dobro opće razumijevanje zahtijeva, rizika i upravljanjem rizicima, e.) efikasno i stalno objašnjavanje značaja IS upravi i zaposlenima, f.) distribucija priručnika IS i normi svim zaposlenim i partnerima, g.) stalno provođenje treninga i školovanja, h.) stalno mjerenje i ocjene stanja u svrhu kontinuiranog poboljšanja IS. Cilj politike sigurnosti (ovdje se prije svega misli na informacijsku sigurnost organizacije) je izgradnja takvog stava i ponašanja svih zaposlenih (prije svega vrhovne uprave) koji mora biti sastavni dio kulture tvrtke i ponašanja svakog pojedinca. To sve mora imati obvezujuću zakonsku normu 181

1. 2. 3. 4. 5. 6. 7.

Serija normi ISO 9000ff Serija normi ISO 10000ff Norma ISO 17799:2002 Norma BS 7799:2002 – drugi dio Norma ISO/IEC 13335:2000 – 1 do 5 Norma ISO/IEC 15408:2000 – 1 do 3 OSKAR – nastavni materijali 1999 - 2004

SECURITY OF INFORMATION SYSTEM AS AN ESSENTIAL PART OF QUALITY SYSTEM SUMMARY: This paper considers the existing state and the development of information technology and its influence on quality system. Elementary assumptions of information system protection are given by norms: BS 7799:2000 – first part, BS 7799:2000 – second part and ISO 17799:2002. These norms are used to protect the information system of all kinds of organizations. Their first aim is the implementation (BS 7799:2000 – first part and ISO 17799:2002) and auditing (BS 7799: 2000 second part) of security information system


prema propisanim requirements and receiving international certiďŹ cate. At the same time the minimum level of quality of organizations quality system secured.

Key words: information system, ISO 9000ff series norms, ISO 17799:2000 norm, ISO BS 7799:2002 – part two

182


Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.