Upravljanje informacijskom sigurnošću, kao posebno važan dio sveukupnog upravljanja u nekoj organizaciji, svakim danom dobiva sve više na značaju. Razlog za to ne leži u iznenadnoj pojavi ugroženosti informacija, već s jedne strane u očekujućem razvoju informacijskog društva, te s druge strane ipak povećanom nivou svijesti o posljedicama ugrožavanja informacija.
Cjelokupnoj informacijskoj sigurnosti u pozitivnom, ali i negativnom smislu doprinosi način i stupanj izgrađenosti informacijskog sustava, način njegovog funkcioniranja. Postoji niz raznih definicija za informacijski sustav, ali u ovom slučaju bit će dovoljno jednostavna slijedeća: informacijski sustav je skup svih resursa u kojima se generira, prenosi, obrađuje, pohranjuje i koristi informacija, te organizirano upravlja sa svime time. No što je informacija? I za nju se može navesti više definicija, ali za potrebe ISMS-a može se reći: informacija je svaki podatak koji u nekom kontekstu ima vrijednost za korisnika. Iz gore navedenog proizilazi jedan zaključak: ne postoji organizacija koja nema informacijski sustav (pa čak ako nema ni jedan kompjuter). Informacijski sustavi postoje tisućama godina, a informatički, u današnjem smislu poimanja tek 50-tak godina. U svakom informacijskom sustavu informacija je ključni resurs, zbog koje se i uspostavlja sustav. Prema ISO 27001 svaka informacija kao i bilo koja druga imovina, u organizaciji ima svoju vrijednost. Kolika je ta vrijednost? odgovor na to pitanje najbolje zna vlasnik, odnosno korisnik informacije. No sigurno je jedno: kao i svaku imovinu u organizaciji, tako i informaciju se mora čuvati, upravo zbog toga što ima vrijednost.
Cjelokupnoj informacijskoj sigurnosti u pozitivnom, ali i negativnom smislu doprinosi način i stupanj izgrađenosti informacijskog sustava, način njegovog funkcioniranja. Postoji niz raznih definicija za informacijski sustav, ali u ovom slučaju bit će dovoljno jednostavna slijedeća: informacijski sustav je skup svih resursa u kojima se generira, prenosi, obrađuje, pohranjuje i koristi informacija, te organizirano upravlja sa svime time. No što je informacija? I za nju se može navesti više definicija, ali za potrebe ISMS-a može se reći: informacija je svaki podatak koji u nekom kontekstu ima vrijednost za korisnika. Iz gore navedenog proizilazi jedan zaključak: ne postoji organizacija koja nema informacijski sustav (pa čak ako nema ni jedan kompjuter). Informacijski sustavi postoje tisućama godina, a informatički, u današnjem smislu poimanja tek 50-tak godina. U svakom informacijskom sustavu informacija je ključni resurs, zbog koje se i uspostavlja sustav. Prema ISO 27001 svaka informacija kao i bilo koja druga imovina, u organizaciji ima svoju vrijednost. Kolika je ta vrijednost? odgovor na to pitanje najbolje zna vlasnik, odnosno korisnik informacije. No sigurno je jedno: kao i svaku imovinu u organizaciji, tako i informaciju se mora čuvati, upravo zbog toga što ima vrijednost.
Kakvi mogu biti oblici podataka (a time i informacija): u elektronskom obliku (u računalima, mrežama, itd), zapisani na papiru, memorirani u glavama ljudi, ali i npr. na kamenu (hijeroglifi), čvorovi na konopu, itd. Zbog toga se u svakom konkretnom slučaju treba biti pažljiv kod definiranja što je to informacijski sustav. On mora obuhvatiti sve resurse iz prakse s funkcijama koje su gore navedene, a pojavljuju se u nekoj organizaciji.
Slijedeći, vrlo važan problem je kod definiranja što je to ugrožena informacija, odnosno, kako definirati što je to sigurna informacija. Po tom pitanju najbolje je držati se definicije iz norme ISO 27001 koja kaže da se sigurnost informacije ogleda kroz zadovoljavanje tri kriterija:
- tajnost - do informacije može doći samo ovlašteni korisnik (Confidentiality /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Table Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-qformat:yes; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin-top:0cm; mso-para-margin-right:0cm; mso-para-margin-bottom:10.0pt; mso-para-margin-left:0cm; line-height:115%; mso-pagination:widow-orphan; font-size:11.0pt; font-family:"Calibri","sans-serif"; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin;} )
- cjelovitost - informacija ne smije promijeniti sadržaj bez znanja vlasnika. Tu se ne misli samo na informaciju, već i na metode obrade informacija (Integrity).
- dostupnost - do informacije se može doći kada i gdje treba (A vailability).
Često puta, naročito u stranoj literaturi koristi se akronim CIA (!) od engleskih riječi, ako su aspekti složeni kako gore stoji. Osnovna funkcija sustava za upravljanje sigurnošću informacija (ISMS) je da mora osigurati zadovoljavanje željenog nivoa kvalitete gornja tri aspekta informacijske sigurnosti. Pri tome nije dozvoljeno bilo koji od ova tri aspekta zanemariti. U stvari, treba brinuti o onim aspektima čije narušavanje izaziva štetu za organizaciju.
Da bi se osigurala sigurnost informacija kroz osiguranje gornja tri aspekta može se koristiti niz metoda u raznim organizacijsko, tehničko-tehnološkim područjima. Sistematizaciju svih tih opće poznatih načima i metoda borbe za informacijsku sigurnost, temeljeno na najboljoj praksi, prikazano je u Aneksu A norme ISO 27001, a detaljno opisano s prijedlozima o čemu sve treba voditi računa u normi ISO 27002. U Aneksu A norme ISO 27001 i normi ISO 27002 ti predloženi klasificirani postupci se nazivaju kontrole (ne baš najsretnije preuzeto iz engleskog jezika) odnosno sigurnosne mjere. U normama se predlaže veliki broj sigurnosnih mjera (134), a daje se mogućnost i da korisnik sam uvede svoje sigurnosne mjere, ako smatra i dokazuje da mu trebaju jer predložene nisu dovoljne.
Tako veliki broj sigurnosnih mjera je samo prijedlog da ih se koristi. Konačna odluka, koja sigurnosna mjera će se i kako koristiti ovisi od korisnika i njegove odluke. Naravno da se postavlja pitanje kako odabrati sigurnosne mjere koje treba primjeniti da bi se osigurala tri aspekta informacijske sigurnosti. To ne spada u domenu dobre volje i mišljenja korisnika, već opsežne analize. Glavni alat kojim se procjenjuje koja sigurnosna mjere će se koristiti, je procjena rizika, kako to u ostalom zahtjeva norma ISO 27001. Kao konačni rezultat te procjene rizika, koja se temelji na sigurnosnoj politici organizacije i opsegu informacijskog sustava dobija se lista odabranih sigurnosnih mjera koje se mora provesti u organizaciji ako se želi u njoj postići planirani nivo CIA. Dokument u kojem se to navodi i službeno potpisuje od glavnog direktora naziva se "Izjava o primjenljivosti" (SoA - Statement of Applicability), kako je to navedeno kao zahtjev u normi ISO 27001.
Šta je to procjena rizika? Prema objašnjenju pojma u normi ISO 27001, procjena rizika je cjelokupan proces analize rizika i njegovog vrednovanja [ISO/IEC Guide 73:2002]. Pojednostavljeno prema toj definiciji (mada je diskutabilna) pod procjenom rizika se u kontekstu smatra definiranje pravila i metodologije kako procjenjivati rizike u toj organizaciji, te kako ih vrednovati.
Iz gore navedenosg proizlazi zaključak: stvarna implementacija ISMS u neku organizaciju je u biti provođenje sigurnosnih mjera definiranih u dokumentu SoA, a odabranih na temelju procjene rizika. Ako je procjena rizika kvalitetna, i sve se provede kako je planirano, može se očekivati i kvalitetno uspostavljeni ISMS. S druge strane, ako je procjena rizika loše ili djelomično napravljena (samo na dijelu imovine informacijskog sustava), sigurno je da kako god da se kvalitetno provedu planirane sigurnosne mjere, uspostavljeni ISMS nije dobar. Takav sustav je osuđen na probleme vezane za zadovoljavanje aspekata sigirnosti CIA, pa čak i do katastrofa u radu i prekida kontinuiteta.
U jednom drugom radu će se detaljnije opisati postupak procjene rizika vezano za ISMS.
Nema komentara:
Objavi komentar