Više puta sam imao priliku diskutirati s nizom polaznika seminara i radionica, te za vrijeme konzaltinga pri uvođenju ISMS, koje su to kontrole koje bi se moralo implementirati, a koje bi se mogle na neki način izbjeći. Prvo da razjasnim ovo da se "izbjegnu". Nema izbjegavanja kontrola. Dopustiv je jedan slučaj vezan za neprihvaćanje neke potrebne kontrole: Cost Benefit analiza je neprihvatljiva za njenu implementaciju. Tada se mora promijeniti izbor obrade rizika. Objasnit ću kasnije.
Prije svega da objasnim pojam "kontrola". Malo nespretan prijevod engleske riječi "Control" koja u duhu našeg jezika ima smisao "sigurnosna mjera" ili "mjera sigurnosti", a ne "kontrola". Ako se u ovom tekstu navede riječ "kontrola" (ili nekom drugom koji govori o ISMS) uvjek mislite da je to "sigurnosna mjera". Svaka sigurnosna mjera ima za cilj smanjenje rizika s nekog neprihvatljivod nivoa na prihvatljivi.
Analizom zahtjeva norme ISO 27001:2005 može se pokazati da je za implementaciju ISMS u organizaciju presudna procjena rizika, koja u sebi objedinuje interakciju prijetnji i ranjivosti s posljedicama na aspekte informacijske sigurnosti. Iz procesa upravljanja rizicima za ISMS (ISO/IEC 27005:2008) evidentno je da se nakon procjene rizika i određivanja njegovog nivoa mogu dogoditi četiri slučaja u fazi obrade rizika:
- prijenos rizika
- izbjegavanje rizika
- prihvaćanje rizika, i
- smanjivanje rizika.
U koliko se radi o odabiru procjenitelja rizika da će biti provedeno smanjivanje rizika, to se radi primjenom jedne ili više sigurnosnih mjera - kontrola, definiranih u anksu A norme ISO 27001:2005. Prijedlozi najbolje prakse za svaku sigurnosnu mjeru iz aneksa A s opisom šta bi se moglo poduzeti pri uspostavljanju neke sigurnosne mjere nalazi se opisano u ekvivalentnoj točni norme ISO 27002:2005. Iz pregleda netko bi mogao zaključiti da se u krajnjem slučaju može svaka kontrola isklljučiti , odnosno ni jedna primjeniti. Taj stav se čak imože naći u nekim tekstovima koje se bave ovim pitanjima. To je apsolutno površni zaključak i ni usnu ne treba o njemu tako razmišljati. Postoje sigurnosne mjere koje se jednostavno nemogu isključiti, bez obzira na procjenu rizika ili odluku procjenitelja rizika. Razlog za to leži u činjenici da su neke sigurnosne mjere - kontrole propisane kao obavezne prema ISO 27001:2005. To naravno vrijedi samo uz pretpostavku da se želi firma certificirati. U koliko firma ne želi formalni certifikat za ISMS, tada se nemoraju ispuniti ni svi zahtjevi norme. No, za daljnje promatranje pretpostavimo da se žele ispuniti svi zahtjevi u cilju certificiranja.
Neke obavezne kontrole su svakako: politika informacijske sigurnosti, kontrole za popis imovine i klasifikaciju informacija, kontrole vezane za zaposlenike, kontrole vezane za incidente, kontinuitet poslovanja i suskladnost s legislativom. Ne postoji ni teoretska mogućnost isključiti te kontrole. Dolje su navedene eksplicitno kontrole koje bi svaki ISMS morao imati implementirane:
Neke obavezne kontrole su svakako: politika informacijske sigurnosti, kontrole za popis imovine i klasifikaciju informacija, kontrole vezane za zaposlenike, kontrole vezane za incidente, kontinuitet poslovanja i suskladnost s legislativom. Ne postoji ni teoretska mogućnost isključiti te kontrole. Dolje su navedene eksplicitno kontrole koje bi svaki ISMS morao imati implementirane:
- Prava intelektualnog vlasništva - Intellectual property rights - IPR (15.1.2)
- Zaštita organizacijskih zapisa - Protection of organizational records (15.1.3)
- Zaštita podataka i privatnosti osobnih informacija - Data protection and privacy of personal information (15.1.4)
- Dokument politike informacijske sigurnosti - Information security policy document (5.1.1)
- Dodjeljivanje odgovornosti za informacijsku sigurnost - Allocation of information security responsibilities (6.1.3)
- Razina svijesti o informacijskoj sigurnosti, obrazovanje i obučavanje - Information security awareness, education, and training (8.2.2)
- Izvještavanje o sigurnosnim događajima - Reporting information security events (13.1.1)
- Uključivanje informacijske sigurnosti u proces upravljanja kontinuitetom poslovanja - Including information security in the business continuity management process(11.1.1)
To naravno nije sve. Ima ih još. No, za početak i prvo razmišljanje koje sve kontrole moraju biti uključene u ISMS ovo je sasvim dovoljno. Zbog toga, interni i vanjski auditori koji ne nađu implementirane ove kontrole mogu mirne savjesti uskratiti pozitivnu ocjenu audita takvog ISMS.
Nema komentara:
Objavi komentar