Prof. dr. sc. Zdravko Krakar Prof. dr. sc. Željko Hutinski Snježana Bubić, dipl. inž. mat. Zavod za informatiku Hrvatske Zagreb, Trg Mažuranića 8 i Sveučilište u Zagrebu Fakultet organizacije i informatike
PROCJENA RIZIKA SIGURNOSTI INFORMACIJA KAO DIO SUSTAVA UPRAVLJANJA Sažetak U radu se opisuju razlozi zbog kojih je već danas potrebno, osim uobičajenih ISO 9000 i drugih sustava, uspostavljati i konzistentne sustave upravljanja sigurnošću informacija. Za to već postoje korektne mogućnosti u primjeni normi BS 7799 i ISO/IEC 17799:2000, a i neka druga rješenja. Nezaobilazni dio ovih sustava jest procjena rizika. U radu se daje pregled takvih metoda (COBRA, OCTAVE, NIST, GAO itd.), te navode konkretni primjeri. Procjenjuje se stanje u tom pogledu u Hrvatskoj. Zaključuje se o očekivanim daljnjim trendovima razvoja ovog značajnog područja Ključne riječi: sigurnost informacija, procjena rizika, BS 7799, ISO/IEC 17799, Cobra, intelektualno vlasništvo 1.
ZAŠTO SU POTREBNI SUSTAVI UPRAVLJANJA SIGURNOŠĆU INFORMACIJA?
Na prošlogodišnjoj konferenciji u svom radu pokušali smo približiti značaj uspostave sustava upravljanja sigurnošću informacija. Informatizacija je postala glavna poluga razvoja i generator gospodarskog uspjeha. Razvijene zemlje već su daleko odmakle u prelasku iz industrijskog u postindustrijsko, informacijsko društvo. Takvo društvo, društvo zasnovano na znanju, informacijama, informacijskim i komunikacijskim tehnologijama, osnova je novog progresa. Ovaj globalni trend jednako vrijedi na razini društva ali i na razini neposrednih poslovnih sustava. Informacije i znanje čine tzv. intelektualni kapital koji je postao najvrijedniji dio svakog poslovnog sustava. Tako su npr. još prije 15 godina u strukturi ukupnih troškova zgrade i materijali sudjelovali s približno 80%. Danas su ti troškovi u cjelokupnoj raspodjeli gotovo zanemarivi, jer su inputi koji se temelje na znanju – sposobnost proizvodnje novih ideja, znanje upravljanja poslovnom tehnologijom, odnosi s kupcima, imidž, itd. reda veličine 70% u vrijednosti automobila i oko 95% u informatičkoj industriji. Tržišnu vrijednost neke tvrtke čini njen financijski kapital (fizička imovina i novac), te intelektualni kapital (nematerijalne vrijednosti u obliku znanja, informacija, iskustva, ugleda itd.). Smatra se da odnos između ove dvije temeljne skupine kapitala ovisi o djelatnosti. U tehnološki