Nedavno sam imao priliku razgovarati s jednim kolegom koji se zaposlio u jednoj firmi na mjesto menadžera za sustav upravljanja kvalitetom (SUK), a ja ću ga u tekstu zvati Pero. Kako u toj organizaciji postoji više sustava za upravljanje dobio je u nadležnost i fukciju "glavnog" menadžera koji koordinira rad ostalih menadžera. Organizacija ima pored SUK-a implementiran sustav za upravljanje okolišem (EMS), sustav za upravljanje sigurnošću i zdravljem ljudi (OHSAS), a nalaze se u završnoj fazi implementacije ISMS - sustava za upravljanje sigurnošću informacija. Stupanjem na radno mjesto i početnim upoznavanjem s radnim obvezama i suradnicima organizirao je sastanak s ostalim menadžerima da se upoznaju, a i da počnu suradnju na predstojećoj integraciji tih raznih sustava upravljanja. Žali mi se Pero: "Sve je bilo dobro, ali na stastanak nije došao menadžer za ISMS. Obrazloženje je bilo da u ISMS-u ima toliko tajni da on nema šta raditi s ostalim menadžerima sustava i s njima razgovarati". Kada je Pero zatražio da vidi barem do tada napravljeni dio dokumentacije za ISMS, odgovor je od menadžera ISMS bio: "sve je to tajna". Čak je i politika informacijske sigurnosti proglašena tajnom i da ju obični "smrtnici" nemaju pravo vidjeti.
Kada sam čuo ovu priču, prvo sam rekao: "Daj Pero, ti sigurno nemaš pametnija posla nego si mene našao zavitlavati." , "Ma nije, sve je tako, čak ima za to podršku od vrhovne uprave.", odgovori Pero.
Kada sam čuo ovu priču, prvo sam rekao: "Daj Pero, ti sigurno nemaš pametnija posla nego si mene našao zavitlavati." , "Ma nije, sve je tako, čak ima za to podršku od vrhovne uprave.", odgovori Pero.
Slušam i ne mogu vjerovati, ali i drugim putem sam saznao da je to istina.
Sada kada o tome razmišljam, ne vidim problem u tom "nadri" menadžeru ISMS, nego u onima koji ga podržavaju na tom mjestu. Mogli su se barem raspitati šta znači ISMS, i da sigurnost informacija nije proglasiti sve tajnom.
Točno je da su aspekti informacijske sigurnosti (prema ISO/IEC 27001) osiguranje tajnosti, cjelovitosti i raspoloživosti informacija (Confidentiality, Integrity, Availability - CIA). No "tajnost" znači da do informacije mogu doći samo oni koji su ovlašteni da ju koriste, a ne da je sve tajna. S druge strane, tu se govori o tajnosti informacije, a ne o tajnosti sustava koji treba osigurati ova tri aspekta informacijske sigurnosti. Kako u kontekstu ISO normi, svaki sustav upravljanja MORA biti između ostalog i dokumentiran da bi uopće bio sustav, a svi učesnici u funkciji informacijskog sustava moraju biti upoznati s odgovarajućom dokumentacijom, dolazi se do pitanja: kakav je to sustav? Kako sustav može funkcionirati kada su osnovni dokumenti kojim se određuje njegovo funkcioniranje tajna?
Poznato je da se dokumentacija za ISMS kategorizira na četiri nivo. U prvom nivou se nalazi generalna politika informacijske sigurnosti, dokument za definiciju opsega ISMS, dokumentacija o upravljanju rizicima, pa sve do dokumenta poznat kao "Izjava o primjenljivosti" ( "Statement of Applicability" - SoA ). U drugom nivou se nalaze procedure, u trećem uputstva, a u četvrtom zapisi. Analizirajući sadržaj i intencije norme serije ISO 27001 prva dva nivoa dokumentacije ne trebaju sadržavati nikakve tajne podatke. Čak su neki dokumenti iz te grupe javni i javno se objavljuju, a neki se bez problema trebaju davati na uvid partnerima ako ih oni traže. Čak se za ta prva dva nivo mogu nabaviti predlošci (Template) na raznim mjestima, koji uz manje ili veće prilagođenje mogu sasvim dobro pristajati organizaciji. Oni se temelje na najboljoj svjetskoj praksi, a dograđeni su specifičnostima organizacije u kojoj se provode.
Druga dva nivoa dokumentacije: uputstva i zapisi mogu sadržavati velike poslovne tajne, kao npr. IP adrese, ključeve, kodove za pristupe, itd. Ti dijelovi dokumentacije se često puta proglašavaju tajnama najvišeg stupnja klasifikacije u organizaciji.
U pojedinim slučajevima se procedure preskaču pa se odmah izrađuje uputstvo, ili se ne radi uputstvo, već se odmah u okviru procedure izrade i upute kako stvarno odraditi tu proceduru. Nema strogog pravila, već je to stvar optimizacije dokumentacije i praktičnosti. U tom slučaju se mogu takvi dokumenti klasificirati tajnim.
Šta se dešava sa auditiranjem kada auditor zatraži uvid u dokumentaciju na kojoj se nalaze tajni podaci? U pravilu, auditor potpisuje izjavu o odgovornosti za čuvanje poslovnih tajni koje sazna tijekom auditiranja, a i ti dokumenti mogu biti cenzurirani, odnosno zamračeni dijelovi u kojima su poslovne tajne. Stvar prakse.
Kada se to zna, kada je to tako navedeno u normi ISO 27001 opet se pitam, kako netko može čak i politiku informacijske sigurnosti proglasiti tajnom?
No, kada se beba rađa ona zaplače, a onda dolazi smijeh i zadovoljstvo. Tako moj Pero sad još "plače", ali nadam se da će i njemu jednog dana svanuti i uspjeti objasniti nekome abecedu.
Sada kada o tome razmišljam, ne vidim problem u tom "nadri" menadžeru ISMS, nego u onima koji ga podržavaju na tom mjestu. Mogli su se barem raspitati šta znači ISMS, i da sigurnost informacija nije proglasiti sve tajnom.
Točno je da su aspekti informacijske sigurnosti (prema ISO/IEC 27001) osiguranje tajnosti, cjelovitosti i raspoloživosti informacija (Confidentiality, Integrity, Availability - CIA). No "tajnost" znači da do informacije mogu doći samo oni koji su ovlašteni da ju koriste, a ne da je sve tajna. S druge strane, tu se govori o tajnosti informacije, a ne o tajnosti sustava koji treba osigurati ova tri aspekta informacijske sigurnosti. Kako u kontekstu ISO normi, svaki sustav upravljanja MORA biti između ostalog i dokumentiran da bi uopće bio sustav, a svi učesnici u funkciji informacijskog sustava moraju biti upoznati s odgovarajućom dokumentacijom, dolazi se do pitanja: kakav je to sustav? Kako sustav može funkcionirati kada su osnovni dokumenti kojim se određuje njegovo funkcioniranje tajna?
Poznato je da se dokumentacija za ISMS kategorizira na četiri nivo. U prvom nivou se nalazi generalna politika informacijske sigurnosti, dokument za definiciju opsega ISMS, dokumentacija o upravljanju rizicima, pa sve do dokumenta poznat kao "Izjava o primjenljivosti" ( "Statement of Applicability" - SoA ). U drugom nivou se nalaze procedure, u trećem uputstva, a u četvrtom zapisi. Analizirajući sadržaj i intencije norme serije ISO 27001 prva dva nivoa dokumentacije ne trebaju sadržavati nikakve tajne podatke. Čak su neki dokumenti iz te grupe javni i javno se objavljuju, a neki se bez problema trebaju davati na uvid partnerima ako ih oni traže. Čak se za ta prva dva nivo mogu nabaviti predlošci (Template) na raznim mjestima, koji uz manje ili veće prilagođenje mogu sasvim dobro pristajati organizaciji. Oni se temelje na najboljoj svjetskoj praksi, a dograđeni su specifičnostima organizacije u kojoj se provode.
Druga dva nivoa dokumentacije: uputstva i zapisi mogu sadržavati velike poslovne tajne, kao npr. IP adrese, ključeve, kodove za pristupe, itd. Ti dijelovi dokumentacije se često puta proglašavaju tajnama najvišeg stupnja klasifikacije u organizaciji.
U pojedinim slučajevima se procedure preskaču pa se odmah izrađuje uputstvo, ili se ne radi uputstvo, već se odmah u okviru procedure izrade i upute kako stvarno odraditi tu proceduru. Nema strogog pravila, već je to stvar optimizacije dokumentacije i praktičnosti. U tom slučaju se mogu takvi dokumenti klasificirati tajnim.
Šta se dešava sa auditiranjem kada auditor zatraži uvid u dokumentaciju na kojoj se nalaze tajni podaci? U pravilu, auditor potpisuje izjavu o odgovornosti za čuvanje poslovnih tajni koje sazna tijekom auditiranja, a i ti dokumenti mogu biti cenzurirani, odnosno zamračeni dijelovi u kojima su poslovne tajne. Stvar prakse.
Kada se to zna, kada je to tako navedeno u normi ISO 27001 opet se pitam, kako netko može čak i politiku informacijske sigurnosti proglasiti tajnom?
No, kada se beba rađa ona zaplače, a onda dolazi smijeh i zadovoljstvo. Tako moj Pero sad još "plače", ali nadam se da će i njemu jednog dana svanuti i uspjeti objasniti nekome abecedu.
Nema komentara:
Objavi komentar