Kroz cjelokupnu ljudsku povijest u svakom periodu bila je na posebnoj cijeni neka roba, kameni šiljak od strijele, krzno životinje, hrana, robovi, oružje, itd. Paraleno s tim vrlo konkretnim proizvodima i stvarima čija je vrijednost bila neupitna uvjek je na cijeni bila i “apstraktna” roba kao što je informacija. Tako su uvijek bile cjenjene informacije o fortifikacijskoj snazi tvrđava, načinu uporabe vojski, ali i neki drugi na prvi pogled “manje” važni podaci: recepture specijalnog piva, sira, itd. Sve do polovice XX stoljeća ipak je dominirala vrijednost materijalnih stvari, dok je vrijednost informacija nekako bila u drugom planu, barem za opću javnosti.
Tek od polovice prošlog stoljeća sve više dominira činjenica da informacija kao roba ima veliku, ako ne i najveću vrijednost. Danas se mirno može reći, da onaj tko ima i upravlja s informacijama je “car” u prostoru i vremenu. Pod upravljanjem informacije se u kontekstu smatra: prikupljanje, obrada i distribucija informacija (ali i dezinformacija). Zbog toga se informacija i tretira u ovom dobu kao i svaka druga roba koja je karakterizirana sa svojom upotrebnom i tržišnom vrijednošću.
Eksplozivni razvoj informacijskih sustava tijekom zadnjih nekoliko desetljeća doveo je posredno i/ili neposredno i do snažnog razvoja ostalih područja ljudske djelatnosti , kao što su tehnika, medicina, izdavaštvo, baze podataka, a naročito komunikacije. Primjena informacijskih sustava u ostalim ljudskim djelatnostima toliko je snažna da je praktički danas nezamislivo njihovo postajanje bez rada informacijskog sustava. Niz prednosti primjene informacijskih sustava u životu ljudi ogleda se u neslućenim mogućnostima obrade i proračuna podataka, pretraživanja, arhiviranja te komuniciranja. To je naravno imalo za posljedicu bitno povećavanje složenosti informacijskih sustava, koncepcijskih i tehničkih rješenja te ogromnog uvećanja broja ljudi koji rade neposredno s informacijskom tehnologijom. Svaki takav složeni sistem podložan je značajno propustima, i greškama u implementaciji, radu kao posljedica nedovoljne obučenosti korisnika, nekvalitetne izrade informacijskih sustava, ili neodgovornog rada tijekom uporabe od strane korisnika. No, pored tih problema u radu, evidentni su i problemi zlonamjernih napada od vanjskih faktora, koji imaju za cilj unijeti zbrku u rad informacijskog sustava, neovlašteno prikupljanje podataka, te u krajnjoj mjeri i funkcionalno uništenje informacijskog sustava. Zbog toga se već od početaka razvoja informacijskog sustava, od 50-tih godina XX stoljeća, pokušavalo na razne načine osigurati konzistentnost rada informacijskog sustava. No, tek tijekom veljače 1995. god. je u Velikoj Britaniji publiciran nacionalni standard poznata pod nazivom BS7799, koji je u biti predstavljala skup najbolje prakse zaštite rada informacijskog sustava. Značajno poboljšanje i revizija istog norme napravljena je i objavljena tijekom svibnja 1999. god.
Zbog svoje univerzalne primjenljivosti i sveobuhvatnosti isti je standard opće prihvaćena u svijetu, a ISO organizacija ju je također prihvatila kao svoj standard, pod oznakon ISO27002. Prva verzija norme ISO27002 objavljena u prosincu 2000. god. Slijedeći značajan događaj u daljnjem razvoju norme za upravljanje sa sigurnošću informacija je bio koncem 2005. god. Kada je organizacija ISO donijela najnoviju reviziju norme 27002:2005, te usvojila novi norma 27001:2005, koji je u stvari potekao os norme BS7799-2.
Kakav je značaj primjene norme ISO27002?
Naravno da se niz korisnika informacijskog sustava pita šta će im to kada oni već imaju programe i procedure za zaštitu od virusa, neke oblike firewalla, router, itd. U pravilu takva pitanja postavljaju informatičari koji u startu imaju “sistemsku grešku” u poimanju informacijskog sustava jer ga poistoivjećuju sa kompjuterskim sistemom. Izuzetno je važno shvatiti i prihvatiti slijedeće činjenice:
Informacijski sustav ≠ Kompjuterski sustav
Kompjuterski sustav je podsustav (podskup) informacijskog sustava.
Da ne bude zabune, nekoliko napomena: informacijski sustav pored kopmpjuterskog sustava čine i papiri s podacima u registratorima na policama arhive, telefaks uređaji i kopije faksova, telefonske mreže, video i ostali oblici nadzora, zaposlenici i poslovni partneri (odnosno ono što oni znaju o vama i vašim podacima), fizička zaštićenost objekata, itd, itd. Očito da je pojam zaštite informacijskog sustava izuzetno širok i kompleksan i prelazi poimanje informatičara koji to svode u pravilu samo na kompjuterski sistem. No, u biti nije cilj štićenje informacijskog sustava, nego onoga što se kao osnovna vrijednosna jedinica nalazi u informacijskom sustavu: informacija. Treba tako postaviti i organizirati informacijski sustav, te sveukupne aktivnosti oko njega da nedođe do nekontroliranog odljeva ili promjene informacija koje se pohranjuju ili obrađuju u informacijskom sistemu.
Prvi puta u praksi su norme ISO27002, odnosno ISO27001 (ponikao iz BS7799-1 i BS7799-2) dale mogućnost memadžmentu bilo kakve organizacije da ima uvid u organiziranost zaštite i sigurnost informacija. U ostalom, ako se postave slijedeća vrlo jednostavna pitanja direktorima ili članovima uprave bilo koje organizacije:
Zbog svoje univerzalne primjenljivosti i sveobuhvatnosti isti je standard opće prihvaćena u svijetu, a ISO organizacija ju je također prihvatila kao svoj standard, pod oznakon ISO27002. Prva verzija norme ISO27002 objavljena u prosincu 2000. god. Slijedeći značajan događaj u daljnjem razvoju norme za upravljanje sa sigurnošću informacija je bio koncem 2005. god. Kada je organizacija ISO donijela najnoviju reviziju norme 27002:2005, te usvojila novi norma 27001:2005, koji je u stvari potekao os norme BS7799-2.
Kakav je značaj primjene norme ISO27002?
Naravno da se niz korisnika informacijskog sustava pita šta će im to kada oni već imaju programe i procedure za zaštitu od virusa, neke oblike firewalla, router, itd. U pravilu takva pitanja postavljaju informatičari koji u startu imaju “sistemsku grešku” u poimanju informacijskog sustava jer ga poistoivjećuju sa kompjuterskim sistemom. Izuzetno je važno shvatiti i prihvatiti slijedeće činjenice:
Informacijski sustav ≠ Kompjuterski sustav
Kompjuterski sustav je podsustav (podskup) informacijskog sustava.
Da ne bude zabune, nekoliko napomena: informacijski sustav pored kopmpjuterskog sustava čine i papiri s podacima u registratorima na policama arhive, telefaks uređaji i kopije faksova, telefonske mreže, video i ostali oblici nadzora, zaposlenici i poslovni partneri (odnosno ono što oni znaju o vama i vašim podacima), fizička zaštićenost objekata, itd, itd. Očito da je pojam zaštite informacijskog sustava izuzetno širok i kompleksan i prelazi poimanje informatičara koji to svode u pravilu samo na kompjuterski sistem. No, u biti nije cilj štićenje informacijskog sustava, nego onoga što se kao osnovna vrijednosna jedinica nalazi u informacijskom sustavu: informacija. Treba tako postaviti i organizirati informacijski sustav, te sveukupne aktivnosti oko njega da nedođe do nekontroliranog odljeva ili promjene informacija koje se pohranjuju ili obrađuju u informacijskom sistemu.
Prvi puta u praksi su norme ISO27002, odnosno ISO27001 (ponikao iz BS7799-1 i BS7799-2) dale mogućnost memadžmentu bilo kakve organizacije da ima uvid u organiziranost zaštite i sigurnost informacija. U ostalom, ako se postave slijedeća vrlo jednostavna pitanja direktorima ili članovima uprave bilo koje organizacije:
- Da li ste sigurni da podatke o Vašim kupcima i dobavljačima niko ne može preneti vašoj konkurenciji?
- Da li ste sigurni da Vam niko ne „upada“ u podatke koji su na vašim kompjuterima i koristi ih za svoje potrebe bez Vašeg znanja?
- Da li ste sigurni da su podaci koje ste uneli u kompjutere prije nekog vremena i sada isti - nepromenjeni, odnosno da ih niko nije i neće promijeniti bez Vašeg znanja ili upotrebiti u zlonamerne svrhe?
- Da li ste sigurni da ćete u slučaju požara, krađe kompjutera, fizičkog oštećenja moći nastaviti poslovanje u najkraćem – prihvatljivom roku?
- Da li znate tko je u Vašoj organizaciji odgovoran za sigurnost informacija na strateškom, taktičkom i operativnom nivou?
- Koliko ste sigurni u lojalnost Vaših zaposlenika i da neće u „glavi“ iznijeti značajne informacije koje su bitne za vaše poslovanje?
Vjerojatno ćete dobiti negativne odgovore ili zbunjujuće poglede na gotovo sva pitanja. U koliko nisu svi odgovori pozitivni, tada toj organizaciji nužno treba implementacija norme ISO27001, odnosno ISO27002, osim u slučaju da smatraju da su to potpuno nevažna pitanja za njihovu organizaciju.
Nema komentara:
Objavi komentar