Implementacija sustava upravljanja informacijskom sigurnošću prema iso 27001

Page 1

Danijel Hofer DANIJEL HOFER STEP osiguranje kvalitete d.o.o., Zagreb danijel.hofer@step-kvaliteta.hr

IMPLEMENTACIJA SUSTAVA UPRAVLJANJA INFORMACIJSKOM SIGURNOŠĆU PREMA ISO 27001:2013 KORACI I PREDNOSTI Stručni rad/Professional paper Sažetak Informacijska sigurnost sve je važnija u suvremenom društvu. Državni i poslovni subjekti sve više ovise o računalnoj i komunikacijskoj infrastrukturi koja uistinu omogućuje protok velike količine informacija medu njima, ali ih ujedno i izlaže raznim, brojnim i često značajnim prijetnjama. Implementacija Sustava upravljanja informacijskom sigurnošću prema ISO/IEC 27001:2013 je kompleksna, zahtijeva različite aktivnosti, vremenske i materijalne resurse, no u konačnici omogućuje organizacijama da budu sigurne da su njihove povjerljive informacije dostupne samo onima kojima su i namijenjene, da informacijama mogu pristupiti ovlaštene osobe uvijek kada je to potrebno, te da su one nepromijenjive i cjelovite. Ključne riječi: ISO/IEC 27001:2013, sustav upravljanja informacijskom sigurnošću, informacijska sigurnost, implementacija sustava, ISMS 1. UVOD U današnje doba većina suvremenih organizacija ima razvijen informacijski sustav, a jedan od najvažnijih ciljeva svih organizacija je osiguranje kontinuiteta poslovanja. Za osiguranje poslovnog kontinuiteta bitno je i da resursi informacijskog sustava u svako vrijeme kada su potrebni budu dostupni i cjeloviti, a da povjerljivost informacija ne bude dovedena u pitanje. Jedan od načina postizanja ovih ciljeva jest uvođenje Sustava upravljanja informacijskom sigurnošću. Ovaj sustav, uz osiguranje kontinuiteta poslovanja, pomaže da se organizacija u svakom trenutku može suočiti s najnovijim sigurnosnim prijetnjama i na vrijeme reagira na sigurnosne incidente, te kao takva postane prepoznata kao pouzdan i suvremen poslovni partner. HRN ISO/IEC 27001:2013 „Sustavi upravljanja informacijskom sigurnošću – zahtjevi“, vodeća je međunarodna norma koja definira zahtjeve za implementaciju sigurnosnih kontrola a pisali su je najbolji svjetski stručnjaci u području informacijske sigurnosti. ISO 27001 je upravljačka norma i organizacije se mogu certificirati po njoj. ISO/IEC 27002 "Informacijska tehnologija – Sigurnosne tehnike - Kodeks prakse za upravljanje informacijskom sigurnošću" pruža implementacijske smjernice za uspostavu ISO 27001 koje se mogu koristiti prilikom uspostave sigurnosnih kontrola. Implementacija i učinkovita primjena normi ISO 27001 i ISO 27002 organizacijama osigurava usklađenost s važećom zakonskom regulativom vezanom uz informacijsku sigurnost, povećava sigurnost sustava u slučaju realizacije sigurnosnih incidenata te pridonosi

14. HRVATSKA KONFERENCIJA O KVALITETI I 5. ZNANSTVENI SKUP HRVATSKOG DRUŠTVA ZA KVALITETU Baška, otok KRK, 15. – 17. svibnja 2014. g.

- 157 -

Danijel Hofer povećanju svijesti o nužnosti edukacije, obuke i osvješćivanja djelatnika vezano uz informacijsku sigurnost. Korištenje konzultanata i savjetodavnih kuća u implementaciji ISO 27001 olakšava implementaciju informacijske sigurnosti i pruža organizacijama sigurnost da je uspostavljeni sustav upravljanja sposoban ispuniti planirane ciljeve organizacije na najuspješniji i najučinkovitiji način. Konzultanti, ulugama savjetovanja i edukacije, sudjeluju u svim koracima implementacije ovog sustava osim koraka 1. Odluka Uprave o uspostavi, te koraka 15. Certifikacija koji su, kako i njihov naziv kaže, odluka Uprave. 2. IMPLEMENTACIJA SUSTAVA UPRAVLJANJA INFORMACIJSKOM SIGURNOŠĆU PREMA ISO 27001:2013 Svaka od organizacija koja želi uspostaviti standard ISO/IEC 27001:2013 Sustavi upravljanja informacijskom sigurnošću (engl. ISMS – Information Security Management System) i certificirati se po njemu, mora proći slijedećih 15 koraka implementacije. 2.1 Koraci implementacije ISO 27001 Korak 1. Odluka Uprave o uspostavi Usvajanje ISO 27001 mora biti strateška odluka organizacije, odnosno njene Uprave. Uprava, između ostalog, mora biti spremna osigurati resurse: financijske, ljudske i materijalne i što je najbitnije pokazati opredijeljenje za uspostavu, uvođenje, primjenu, nadzor, provjeru, održavanje i poboljšavanje sustava. Korak 2. Snimka stanja informacijske sigurnosti Svrha snimke stanja je otkriti stvarne postojeće ranjivosti i nedostatke u organizaciji koje je moguće iskoristiti za narušavanje povjerljivosti, dostupnosti, odnosno cjelovitosti informacijskog sustava. Snimka stanja daje općenite, a ponekad i konkretne preporuke za poboljšanje postojećeg sustava informacijskom sigurnosti. Korak 3. Imenovanje tima za uspostavu i njihovih zaduženja Za uspostavu sustava ISO 27001, potrebno je imenovati tim kao i uspostaviti i dokumentirati njihove uloge i odgovornosti vezane uz informacijsku sigurnost. Unutar tima mora se imenovati osoba (Predstavnik uprave za informacijsku sigurnost) koja je neovisno o ostalim zaduženjima zadužena za koordinaciju aktivnosti uvođenja sustava unutar organizacije. Korak 4. Edukacija tima Sve osobe kojima su pridijeljene odgovornosti za sustav ISO 27001 moraju biti kompetentne za izvođenje zahtijevanih zadataka stoga se provodi početna edukacija tima o zahtjevima ISO 27001. Korak 5. Opseg i granice uvođenja sustava Temeljem snimke stanja i početne edukacije tima, potrebno je definirati opseg i granice sustava upravljanja informacijskom sigurnošću prema značaju poslovanja, procesa,

14. HRVATSKA KONFERENCIJA O KVALITETI I 5. ZNANSTVENI SKUP HRVATSKOG DRUŠTVA ZA KVALITETU Baška, otok KRK, 15. – 17. svibnja 2014. g.

- 158 -

Danijel Hofer organizacije, njenih lokacija, imovine i tehnologije, te je potrebno opisati detalje i obrazloženja svakog eventualnog isključenja iz opsega. Korak 6. Politika informacijske sigurnosti Politika informacijske sigurnosti krovni je dokument sustava ISMS unutar utvrđenog opsega i njegovih granica jer opisuje prava, obveze, odgovornosti svih djelatnika. Politika uključuje ili pruža okvir za ciljeve informacijske sigurnosti. Politika informacijske sigurnosti treba biti odobrena od strane Uprave ili drugih odgovornih osoba, objavljena i s njome se trebaju upoznati svi zaposlenici i odgovarajući vanjski suradnici. Korak 7. Popis imovine i vrednovanje Potrebno je popisati svu imovinu značajnu za informacijsku sigurnost unutar organizacije, te održavati ovaj popis. Popis imovine treba sadržavati sve potrebne informacije kako bi se imovina sačuvala od propadanja, te uključuje vrstu imovine, oblik/format, lokaciju, kopiju i poslovnu vrijednost. Osim toga potrebno je dogovoriti i dokumentirati posjedovanje imovine (vlasnike rizika), kao i klasifikaciju informacija. Pojam informacijske imovine uključuje (prema ISO/IEC 27005 Procjena rizika informacijske sigurnosti): a) Osnovnu imovinu: a. Poslovne procese i aktivnosti; b. Informacije; b) Pomoćnu imovinu (na koju se osnovna imovina oslanja): a. Hardware; b. Software; c. Mreža; d. Osoblje; e. Lokacija; f. Organizacijska struktura Proces sastavljanja popisa imovine vremenski je često zahtjevan i važan je preduvjet za upravljanje rizicima. Korak 8. Procjena rizika Procjena rizika vrši se primjerenom metodologijom koja mora osigurati da ona daje usporedive i ponovljive rezultate. Općenito, rizik kao pojam definira se kao učinak neizvjesnosti ciljeva (ISO/IEC 27000:2014), odnosno djelovanje nesigurnosti na ciljeve organizacije, te najčešće predstavlja kombinaciju vjerojatnosti nekog događaja i utjecaja, odnosno (negativne) posljedice tog događaja u slučaju realizacije prijetnji koje iskorištavaju neku od ranjivosti imovine. Kad se govori o informacijskoj sigurnosti, rizik (engl. risk - R) za pojedinu imovinu procjenjuje se odnosom: - vrijednosti pojedine imovine, - ranjivosti imovine, - prijetnji koje mogu iskoristiti te ranjivosti, - vjerojatnosti ostvarenja prijetnji (engl. probability – P) i - posljedicama (engl. impact – I) koje se mogu dogoditi ukoliko se određena prijetnja ostvari.

14. HRVATSKA KONFERENCIJA O KVALITETI I 5. ZNANSTVENI SKUP HRVATSKOG DRUŠTVA ZA KVALITETU Baška, otok KRK, 15. – 17. svibnja 2014. g.

- 159 -

Danijel Hofer

Slika1 - Primjer metodologije procjene rizika

Napomena: Slika 1.: Primjer metodologije procjene rizika predstavlja isključivo primjer te se metodologija procjene rizika radi u skladu s normom ISO 31000 – Upravljanje rizikom koja utvrđuje niz načela koja trebaju biti zadovoljena da bi upravljanje rizikom bilo djelotvorno.

14. HRVATSKA KONFERENCIJA O KVALITETI I 5. ZNANSTVENI SKUP HRVATSKOG DRUŠTVA ZA KVALITETU Baška, otok KRK, 15. – 17. svibnja 2014. g.

- 160 -

Danijel Hofer Procjena rizika treba prepoznati, vrednovati i razvrstati rizike po značaju važnom za organizaciju. Rezultati procjene trebaju potaknuti odgovarajuću akciju Uprave, prioritete upravljanja informacijskim sigurnosnim rizicima i primjenu odabranih kontrola za zaštitu od ovih rizika, odnosno trebaju potaknuti obradu rizika. Korak 9. Upravljanje rizikom i implementacija planiranih zahtjeva i kontrola Prije razmatranja načina upravljanja rizikom i njegove obrade, organizacija treba odrediti kriterije da li je rizik prihvatljiv ili ne. Za svaki rizik prepoznat u procjeni rizika potrebno je donijeti odluku o načinu obrade rizika (Plan obrade rizika). Moguće opcije za obradu rizika uključuju: a) Primjenu odgovarajućih kontrola za smanjenje rizika (kontrole su dane unutar dodatka A norme ISO 27001, odnosno opisane unutar norme ISO 27002); b) Svjesno i objektivno prihvaćanje rizika, u posebno obrazloženim i dokumentiranim slučajevima; c) Izbjegavanje rizika tako da se niti ne dopuštaju akcije koje bi izazvale rizik; d) Prenošenje rizika na druge strane, npr. na osiguravatelje, na dobavljače... Opsežan popis kontrola i ciljeva kontrola dat je unutar dodatka A norme ISO 27001, međutim organizacija može i sama dizajnirati kontrole po potrebi ili ih identificirati iz bilo kojeg izvora. Organizacija mora čuvati informacije o procesu obrade rizika informacijske sigurnosti. Korak 10. Izrada dokumentacije Dokumentacija sustava ISO 27001 nastaje konstantno tijekom implementacije Sustava upravljanja informacijskom sigurnošću. Dokumentacija najčešće uključuje: a) Politiku/e informacijske sigurnosti; b) Informacije o ciljevima informacijske sigurnosti; c) Definirani opseg, granice i primjenjivost sustava; d) Informacije kao dokaz kompetencija za informacijsku sigurnost; e) Informaciju o procesu procjene rizika; f) Informacije o rezultatima procjene rizika; g) Informacije o procesu obrade rizika; h) Informacije kao dokaz praćenje i mjerenja rezultata; i) Nužne informacije vanjskog porijekla; j) Ostale informacije određene od strane organizacije kao potrebne za učinkovitost sustava upravljanja informacijskom sigurnošću; k) Izvješće o primjenjivosti; l) Informacije kao dokaz rezultata pregleda od strane poslovodstva. Korak 11. Edukacija djelatnika i osvješćivanje Potrebno je provesti edukaciju koja mora osigurati da je svo relevantno osoblje organizacije svjesno važnosti sustava ISO 27001 i njihovih aktivnosti vezanih uz informacijsku sigurnost, te načina na koji oni doprinose postizanju ciljeva informacijske sigurnosti. Ovaj korak ključan je u budućem sprečavanju rizika. Korak 12. Provedba internog audita Organizacija mora provoditi interne provjere informacijske sigurnosti, odnosno ISO 27001 audite u planiranim intevalima kako bi odredila da li kontrole, ciljevi kontrola, procesi i procedure njenog sustava: a) ispunjavaju zahtjeve norme ISO 27001 i primjenjive legislative i regulative; b) ispunjavaju identificirane sigurnosne zahtjeve;

14. HRVATSKA KONFERENCIJA O KVALITETI I 5. ZNANSTVENI SKUP HRVATSKOG DRUŠTVA ZA KVALITETU Baška, otok KRK, 15. – 17. svibnja 2014. g.

- 161 -

Danijel Hofer c) su djelotvorno implementirani i održavani; d) se izvode kako je očekivano. Korak 13. Popravne radnje Temeljem nalaza internih audita organizacija mora odrediti odgovorne osobe koje moraju osigurati da su bez kašnjenja pokrenute popravne radnje za uklanjanje zapaženih nesukladnosti, baš kao i njihovih uzroka. Korak 14. Pregled ISMS-a od strane Uprave Prema zahtjevu norme Uprava organizacije najmanje jednom godišnje treba pregledati sustav ISO 27001 organizacije. Temeljem pregledanog, Uprava donosi ključne odluke vezano uz poboljšavanje sustava. Korak 15. Certifikacija Certifikacija predstavlja vanjsku, neovisnu procjenu o usklađenosti implementiranog sustava s međunarodno priznatom normom ISO 27001. 2.2 Prednosti implementacije ISO 27001 Prednosti implementacije ISO 27001 očituju se u slijedećem: 1. Zaštita i sigurnost informacija Implementacijom ISO 27001 štiti se sigurnost informacija poduzeća, a time i njenog stečenog znanja (know-how), kroz sustavan i proaktivan pristup za identifikaciju i borbu protiv čitavog niza potencijalnih rizika kojima su izložene informacije organizacije. Upravljajući rizicima, smanjuje se vjerojatnost pojave nepredviđenih situacija na minimum. 2. Zakonska usklađenost ISO 27001 pruža izvrstan alat s kojim organizacija može postići sukladnost sa propisima u području zaštite informacija, privatnosti i IT upravljanju. 3. Smanjivanje troškova Trošak uzrokovan sigurnosnim incidentom čija je posljedica prekid rada, curenje povjerljivih informacija, trošak gubitka dostupnosti, raspoloživosti i integriteta informacija... uvijek višestruko nadmašuje troškove uvođenja preventivnih mjera koje propisuje ISO 27001. 4. Marketinška prednost Implementacijom zahtjeva norme i certifikacijom prema ISO 27001 organizacija daje klijentu povjerenje da su njegove informacije i know-how s kojima organizacija dolazi u kontakt, sigurni i zaštićeni od zloupotrebe, čime se znatno povećava njegovo poverenje u organizaciju. 3. ZAKLJUČAK Implementacija Sustava upravljanja informacijskom sigurnošću prema zahtjevima norme ISO 27001 u neku organizaciju složen je postupak definiran zahtjevima same norme. Glavni razlog implementacije ISO 27001 i certifikacije prema ovoj normi svakako je sve važnija uloga informacija u svakodnevnom poslovanju. Njihova količina i vrijednost upozoravaju nas koliko je važno znati dobro ih zaštititi.

14. HRVATSKA KONFERENCIJA O KVALITETI I 5. ZNANSTVENI SKUP HRVATSKOG DRUŠTVA ZA KVALITETU Baška, otok KRK, 15. – 17. svibnja 2014. g.

- 162 -

Danijel Hofer Korištenje konzultanata sa iskustvom u implementaciji ISO 27001 olakšava ovaj proces uvođenja a ujedno i pruža organizaciji sigurnost da je uspostavljeni sustav sposoban ispuniti planirane ciljeve organizacije i zahtjeve norme na najuspješniji i najučinkovitiji način. Međutim, pridobivanje certifikata ISO 27001 ne predstavlja kraj nastojanja u području informacijske sigurnosti, već je on samo početak trajnog poboljšanja informacijske sigurnosti organizacije. LITERATURA [1] HRN EN ISO/IEC 27001:2013 Informacijska tehnologija – Sigurnosne tehnike – Sustavi upravljanja informacijskom sigurnošću – Zahtjevi [2] ISO/IEC 27002:2013 Informacijska tehnologija – Sigurnosne tehnike – Kodeks postupaka za upravljanje informacijskom sigurnošću [3] ISO/IEC 27000:2014 Informacijska tehnologija – Sigurnosne tehnike – Sustavi upravljanja informacijskom sigurnošću – Pregled i rječnik [4] ISO/IEC 27005:2011Information technology – Security techniques – Information security risk management [5] HRN ISO 31000:2009 Upravljanje rizicima – Načela i smjernice [6] J. Bogati, Norme informacijske sigurnosti ISO/IEC 27k, UDK 006.3/8 stručni rad [7] J. Knez, G. Budiselić sigurnost informacija po normi ISO/IEC 27001 u postojećim sustavima upravljanja [8] D. Košutić, Norme za informacijsku sigurnost http://blog.iso27001standard.com/hr/2010/09/28/pregledkoraka-u-implementaciji-norme-iso-27001/ (28.09.2010.) [9] http://www.step-kvaliteta.hr/usluge/sigurnost-informacija (03.01.2013.)

IMPLEMENTATION OF INFORMATION SECURITY MANAGEMENT SYSTEMS (ISMS) CONFORMING TO ISO 27001:2013 STEPS AND BENEFITS

Summary Information security is increasingly important in contemporary society. State and economic entities are growingly dependent on information and communication infrastructure that indeed enables the flow of a large amount of information among subjects, but at the same time exposes then to numerous different threats. Implementation of an Information Security Management System (ISMS) conforming to ISO 27001:2013 is complex, requires time and material resources and many different activities, but ultimately enables enterprises and organizations to be positive that their confidential data are available only to those they are intended for, that they can be accessed by authorised persons when needed, and that the information is immutable and complete. Keywords: information security, information security management system, implementation, confidential data

14. HRVATSKA KONFERENCIJA O KVALITETI I 5. ZNANSTVENI SKUP HRVATSKOG DRUŠTVA ZA KVALITETU Baška, otok KRK, 15. – 17. svibnja 2014. g.

- 163 -

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.