Nedavno sam na web stranici www.vjestak-informatika.com našao jedan članak pod naslovom „Zašto ISO 27001 (možda) nije dovoljan ?“. Naravno da me je sam naslov jako zainteresirao jer se intenzivno bavim tim područjem. Odmah sam ga pročitao. Prva rekcija je bila: što je poanta teksta? Ta reakcija nema veze s portalom „vjestak-informatika“ na kojem je objavljen tekst, niti s autorom portala. On je korektno preneo glavne stavove iz članka „Why ISO 27001 is not enough“ objavljenog na web stranici ovdje. Taj me tekst nije ostavio ravnodušnim i osjetio sam potrebu da reagiram na njegov sadržaj. Naime, o svemu se može kritički pisati, pa tako i o ISO 27001, čak smatram da je to izuzetno važno i korisno, ali nije dobro kada je prikaz jednostran ili polovično izrečena misao, pa se može dovesti u ozbiljnu nedoumicu ili zbunjenost prosječnog poznavaoca te problematike, a nekoga tko slabo to zna, potpuno „raspametiti“. Pri tome sam se kratko dvoumio da li da za osnovu uzmem skraćenu verziju članka ili original. Kako je skraćena verzija korektna i u potpunosti oslikava sadržaj originala, a i manje je veličine, odlučio sam se da temelj mog komentara bude upravo skraćeni članak s portala „vjestak-informatika“. Koga zanima, može izvorni tekst pročitati na gore ponuđenom linku. Skaćena verzija članka objavljenog na portalu „vjestak-informatika“ je kako slijedi:
Na siteu BCS-a nalazi se odličan i realan članak o ISO 27001 standardu. Naglasci iz članka su na sljedećem:
1. ISO 27001 nije standard informacijske sigurnosti nego standard upravljanja sustavima (”management standard”)
2. ISO 27001 daje okvir za upravljanje sigurnošću unutar organizacijom ali sam po sebi nije “zlatni standard” za upravljanje istom
3. ISO 27001 baziran je na pristupu procjene rizika a prihvatljive nivoe rizika određuje sama organizacija. ISO 27001 ne propisuje prihvatljivu razinu rizika te će podržati provođenje čak i neracionalne procjene rukovodstva koje objektivno mogu dovesti do nesigurnosti, iako je organizacija certificirana po ISO 27001 sustavu (sic!)
4. Organizacije same odabiru kontrole koje se odnose na njih
5. ISO 27001 sadrži listu kontrola koje su sastavni dio implementacije standarda no ta lista nije definitivna. (komentar: ISO 27001 nije najbolje usklađen s novim razvojima tehnologije te npr. uopće ne adresira probleme sigurnosti kod cloud computinga, primjene slice-inga umjesto čiste kriptografije ili npr. virtualizaciju)
6. Uvođenje sustava ISO 27001 zahtijeva sigurnosnu ekspertizu tehničkog aspekta informacijske sigurnosti
7. Certifikacija ISMS-a po ISO 27001:2005 sustavu ne znači niti garantira informacijsku sigurnost, naprotiv, to samo znači sukladnost sa samim standardom. Prepustimo čitateljima samima da donesu zaključke vezane uz ovu činjenicu.
8. ISO 27001 je posve neefikasan i ne postiže ciljeve ukoliko ne postoji pravilna i nezavisna procjena rizika, posvećenost rukovodstva postizanju ciljeva sigurnosti, jasno vlasništvo nad procesima i informatičkom imovinom i svakodnevno promicanje kulture sigurnosti
Naposlijetku, dodao bih da ipak, usprkos svemu ovome, ISO 27001 je za sada najbolji alat koji stoji na raspolaganju organizacijama koje žele formalizirati svoje upravljanje sustavom informacijske sigurnosti.
Ja ću dati komentar za svaku točku posebno:
- ISO 27001 nije standard informacijske sigurnosti nego standard upravljanja sustavima (”management standard”). To baš i nije točno. Izvorni puni naziv standarda je: ” Information technology — Security techniques — Information security management systems — Requirements”. To bi značilo da je standard ISO 27001 skup zahtjeva koje se mora ispuniti ako se želi dobiti certifikat za sustav upravljanja informacijskom sigurnošću.
- ISO 27001 daje okvir za upravljanje sigurnošću unutar organizacijom ali sam po sebi nije “zlatni standard” za upravljanje istom. Točno je da je to standard koji definira okvir za upravljanje informacijskom sigurnošću. Ali što bi to trebalo značiti da sam po sebi nije “zlatni standard” za upravljanje istom. To mi stvarno nije jasno što treba značiti “zlatni standard”. Koliko je meni poznato ne postoji kategorija “zlatni standard”, pa prema tome ni ISO 27001 sigurno nije “zlatni standard” ma što god to značilo. On je samo ono što piše u njegovom nazivu i definiciji namjene. Nije potrebno od nekog standard očekivati nešto drugo od onoga za čega je namjenjen.
- ISO 27001 baziran je na pristupu procjene rizika a prihvatljive nivoe rizika određuje sama organizacija. ISO 27001 ne propisuje prihvatljivu razinu rizika te će podržati provođenje čak i neracionalne procjene rukovodstva koje objektivno mogu dovesti do nesigurnosti, iako je organizacija certificirana po ISO 27001 sustavu. To je dijelom točno, a dijelom potpuno pogrešno. Točno je da je procjena rizika temelj za uspostavu sustava za upravljanje informacijskom sigurnošću (ISMS). To je zahtjev koji nalaže standard ISO 27001. Točno je i da svaka organizacija sama određuje u skladu sa svojim potrebama i mogućnostima razine prihvatljivog rizika. E to ne samo da je točno, to je izvanredno ispravno i jedino moguće. Pa tko može propisati nivo rizika s kojim će se raditi u svim organizacijama svijeta. Autori ISO 27001 to jako dobro znaju i nisu upali u zamku da propisuju takvu stvar. Čak nije ni metodologija procjene, bolje rečeno validacije rizika propisana, već ju organizacija sama odabire prema svojim potrebama i primjerenosti. No, netočno je u gornoj tezi da rukovodstvo donosi nerealne procjene rizika koje objektivno mogu dovesti do nesigurnosti. To nije u skladu sa zahtjevima standarda ISO 27001 i prema tome to je netočno. U čemu je stvar? Tim eksperata koji su verzirani za procjene rizika naprave procjenu i obradu rizika koja rezultira sa dva dokumenta SoA (izjava o primjenljivosti) i izjava o prihvaćanju preostalog rizika. Rukovodstvo treba prihvatiti te dokumente i eksplicitno ih potpisati. No, tu je mogući ozbiljni problem u praksi. Dokumenti SoA i izjava o preostalom riziku u sebi sadrže i novčane iznose koje je potrebno investirati u sigurnosne mjere da bi se ostvario željeni nivo rizika. Tu rukovodstvo nemora uvjek imati sluha, jer je moguća po njihovom mišljenju prevelika investicija u sigurnosne mjere, pa traže reviziju procjene rizika da bi se smanjili troškovi. To povlači u pravilu promjenu sigurnosne politike, možda ćak i opsega informacijskog sustava, ali i kriterija prihvaćanja rizika. Taj kompromis između nivoa sigurnosti i investicija u sigurnost je po principu: koliko para toliko muzike. No to nije problem standarda.
- Organizacije same odabiru kontrole koje se odnose na njih (napomena: kontrola = sigurnosna mjera). Točno, i jedino moguće. Koje će se kontrole koristiti određuje se prvo nacionalnom zakonskom regulativom, internim pravilima rada organizacije ili strukovnih organizacija, a ostale procjenom rizika. Ako procjena rizika pokaže da neka kontrola ne treba, pa zašto ju provoditi?
- ISO 27001 sadrži listu kontrola koje su sastavni dio implementacije standarda no ta lista nije definitivna (komentar: ISO 27001 nije najbolje usklađen s novim razvojima tehnologije te npr. uopće ne adresira probleme sigurnosti kod cloud computinga, primjene slice-inga umjesto čiste kriptografije ili npr. virtualizaciju). Točno ali loše objašnjeno i zbunjujuće za nestručnjaka, jer može pomisliti da je to nešto loše, a u biti je jako dobro. Prvo, u ISO 27001 se nalazi Anex A u kojem je predložena sistematizirana lista kontrola (sigurnosnih mjera). Sve te kontrole ili samo neke od njih se mogu koristiti ako je to opravdano za organizaciju. Za sve kontrole prikazane u Anexu A u ISO 27001 detaljni opis ciljeva i prijedloga njihove implementacije po principu najbolje prakse prikazan je u standardu ISO 27002. Ukupan broj tako predloženih kontrola je 133 (za reviziju iz 2005 god). Da li je to sve što treba u praksi za sve organizacije svijeta? Naravno da nije. To je prijedlog najčešće i najšire predloženih kontrola koje su bile poznate u trenutku izdavanja standarda. Ako nekome treba neka drugačija kontrola, ili hoće svoj način implementacije kontrole tada si može sam dodati svoje. To nije neka proizvoljna sloboda, već eksplicitni savjet i zahtjev standarda ISO 27001: ako nekome fali kontrola zato što je njegova firma specifična u prostoru i vremenu, dodajte si sami. Potrebno ju je samo dokumentirati. Jedini način da se osigura univerzalnost i višegodišnja primjenljivost standarda u praksi.
- Uvođenje sustava ISO 27001 zahtijeva sigurnosnu ekspertizu tehničkog aspekta informacijske sigurnosti. E tu je katastrofalno tendenciozni prikaz zahtjeva ISO 27001 ili totalno nepoznavanje strukture uspostavljenog sustava ISMS. Cijeli sustav ISMS koji se uspostavlja prema ISO 27001 ima četiri nivoa: prvi nivo su politika (ako ne spominjemo viziju i misiju), opseg, elementi analize rizika (metodologija procjene, kriteriji, itd), drugi nivo čine procesi odnosno procedure, treći nivo su uputstva, te četvrti nivo zapisi. Prvi nivo rješava tim specijalista za procjene rizika te rukovodstvo firme koje prihvaća razne dokumente uz koordinaciju menadžera informacijske sigurnosti. Drugi nivo su procedure koje se koriste u svakodnevnoj funkciji ISMS, a koje se po principu najbolje prakse mogu koristiti iz svjetske baze znanja. Tu glavnu riječ vode menadžeri informacijske sigurnosti u susradnji s izvršiocima posla u organizaciji. Treći nivo – uputstva, u pravilu rade eksperti iz pojedinih područja. To su u pravilu problemi vezani za tehnički aspekt sigurnosti – ne za organizacioni. Tu je nemoguće bilo što napraviti bez učešća eksperata iz pojedinih područja. Četvrti nivo su zapisi kojima se dokazuje da je ISMS radio u skladu s definiranim pravilima onako kako je to organizacija uspostavila. No jedna mala digresija: analizom incidenata u svijetu vezano za informacijsku sigurnost pokazuje se da je oko 20% sve nesigurnosti u sferi tehnologije, a ostalih 80% u sferi organizacije. Kad bi tehnologija za sigurnost bila tako moćna da rješava sve ili barem većinu problema, onda bi to bilo sjajno. No, dok su ljudi sastavni dio ISMS, zaboravite sigurnost bez savršene organizacije. Zbog toga upravo i postoji ISO 27001. Ja bih u svakom slučaju to i ovako naglasio: onaj tko ne shvaća da je dobra organizacija i provođenje te organizacije u skladu s dogovorenim pravilima ako ne najvažnija, onda jednako važna kao i tehničko-tehnološke mjere zaštite, sigurno nije dorastao problemu integralne zaštite informacijskog sustava.
- Certifikacija ISMS-a po ISO 27001:2005 sustavu ne znači niti garantira informacijsku sigurnost, naprotiv, to samo znači sukladnost sa samim standardom. Prepustimo čitateljima samima da donesu zaključke vezane uz ovu činjenicu. Sada je pitanje kakve zaključke čitatelji trebaju donijeti. Ima raznih čitatelja. Ako su kao ja, onda je moj zaključak: točno ali nedorečeno s namjerom da se da negativna konotacija. Mogu li dati odgovor s drugim pitanjem? Znam da to nije pristojno, ali evo pitanja: ako ugradite protuprovalna vrata na stan, da li to znači da vas lopov neće moći pokrasti? Da li ta protuprovalna vrata garantiraju 100% sigurnost stana? Ili recimo, kada položite vozački ispit i dobijete dozvolu u skladu s nacionalnim zakonom o saobračaju, znači da imate certifikat da ste vozač. Da li je to garancija da nećete napraviti nikada saobraćajni prekršaj ili udes? Kada završite medicinski faktultet i dobijete diplomu (certifikat) da ste liječnik, da li je to bilo kojem pacijentu garncija da ćete svakog liječiti bez greške. U ostalom, što certifikat znači: upravo ono što je zapisano – u jednom trenutku (kada se vrši audit - provjera) dokazali ste da ste zadovoljili neke kriterije koje je društvo propisalo. Ništa drugo certifikat ne znači niti garantira. Da li će se kasnije raditi u skladu s time što certifikat znači, nije problem niti standarda niti certifikata. No, ima jedna mala tajna: toliko je jednostavno utvrditi da netko ne poštuje uspostavljeni sustav ISMS, odnosno da je sustav neefikasan, tako da se uprava nebi nikada trebala žaliti na njegovu neefikasnost, odnosno nezadovoljavanje osnovna tri aspekta informacijske sigurnosti: tajnost, dostupnost i cjelovitost informacije. Na kraju krajeva, sami hoće (vjerojatno nesvjesno) neefikasanu sigurnost informacijskog sustava, jer dozvoljavaju da tako bude.
- ISO 27001 je posve neefikasan i ne postiže ciljeve ukoliko ne postoji pravilna i nezavisna procjena rizika, posvećenost rukovodstva postizanju ciljeva sigurnosti, jasno vlasništvo nad procesima i informatičkom imovinom i svakodnevno promicanje kulture sigurnosti. Dakle, prvo ISO 27001 nemože biti ni efikasan ni neefikasan. Može biti samo ISMS koji se uspostavi na temelju njega efikasan ili neefikasan. Drugo, što znači nezavisna procjena rizika? Postoji stručna i nestručna procjena rizika. Posvećenost rukovodstva, vlasništvo nad procesima i informacijskom imovinom, dovoljno visoka svjesnost o informacijskoj sigurnosti svih u sustavu ISMS, ali i još mnogo, mnogo drugih stvari su osnovni zahtjevi koje se prema ISO 27001 mora zadovoljiti. To zadovoljavanje se dokazuje auditom i tek onda dodjeljuje certifikat. Ako neka organizacija ima ISMS certifikat na temelju ISO 27001 a nezadovoljava sve te zahtjeve, nije u biti kriva organizacija, već certifikacijska kuća čiji su kriteriji poštivanja zahtjeva standarda ispod svake razine razuma i poslovnosti. U ostalom, razmislite o efikasnosti ISMS na temelju jednog slučaja iz prakse: u jednoj zagrebačkoj firmi se hvale da su uspostavili ISMS i dobili certifikat prema ISO 27001, a u biti proveli su certifikaciju, pazite ovo, ne cijele organizacije, čak ni recimo IT sektora, već samo jedne aktivnosti firme. To je vrhunac besmislenosti i neefikasnosti, ali „life is life“.
Naposlijetku, dodao bih da ipak, usprkos svemu ovome, ISO 27001 je za sada najbolji alat koji stoji na raspolaganju organizacijama koje žele formalizirati svoje upravljanje sustavom informacijske sigurnosti. E sa ovime se u potpunosti slažem, osim što to nije alat nego okruženje i zahtjevi koje se mora ispuniti ako se želi certificirani ISMS.
Ipak, na kraju želim reći, kada sam pročitao naslov izvornog teksta pomislio sam da ću dalje u tekstu naći objašnjenje da ISO 27001 nije dovoljan za implementaciju ISMS za dodjelu certifikata. No, kao što se iz gore navedenog vidi, smatram da su objašnja o nedovoljnosti u izvornom članku promašena. Ipak, ja bi postavio isto pitanje:
Da li je ISO 27001 dovoljan za implementaciju i certifikaciju ISMS?
Moj odgovor je: APSOLUTNO NIKADA NIJE DOVOLJAN !
Razlog? Više nego banalan: nemoguće je uspostaviti ISMS samo na temelju ISO 27001. Postoji još niz standarda koje se u većoj ili manjoj mjeri mora/treba konzultirati i primjenjivati. Tu se stvaraju teškoće i traži prilično velika širina znanja i iskustva pri implementaciji. Uz niz dodatnih standarda nužno je koristiti nacionalnu legislativu, strukovna pravila, zahtjeve pojedinih agencija (ovisno o djelatnosti firme), te već postojeće pravilnike unutar organizacije, a ponekad i ugovorne elemente s poslovnim partnerima.
Ovdje ću samo u kratkim crtama nabrojati jedan manji dio dodatnih standarda koje bi se moralo koristiti ako se želi stvarna efikasna uspostava ISMS i certifikat prema ISO 27001.
Osnovni – nezaobilazni skup standarda koje je nužno koristiti su: ISO 27000, ISO 27001, ISO 27002, ISO 27005, (ISO 27003 i ISO 27004 za sada nisu još objavljeni, ali su izuzetno važni), ISO 9001, ISO 19011, te ISO/TR 10017:2003. Za specijalne fime tu su još standardi: ISO/IEC 27011, ISO/IEC 27779. Familija standarda serije 27k i međusobni odnosi prikazani su na donjoj slici (standardi označeni crnom bojom koriste se za certifikaciju):
Pored toga postoji još niz drugih standarda koje od slučaja do slučaja treba također primjenjivati pri implementaciji ISMS: ISO/IEC TR 13335 (1-5), ISO/IEC TR 18044, BS 25999. Uz to, veliki broj tehničkih standarda koji se propisuju za neke specifične aktivnosti unutar ISMS, a koriste se na nivou uputstava, kao npr: ISO/IEC 7816-4, ISO/TR 9564-4, ISO/TR 13569, ISO/IEC 18033-2, ISO/IEC 24759, ISO/IEC TR 15443-3, ISO/IEC 14888-3, ISO/IEC 21827, itd, itd, itd. Ta lista sigurno nije ni blizu konačna. Izbor standarda koji će se stvarno koristiti, od ovih gore navedenih, kao i nekih drugih dodatnih, isključivo zavisi od djelatnosti organizacije i tehnološke opremljenosti informacijskog sustava, ali i nivoa zahtjeva i želje uprave za kvalitetom uspostavljenog ISMS.
Na žalos nekih “stručnjaka” ni to nije sve. Ako se u organizaciji koristi pored ISMS i više drugih menadžment sustava (npr. QMS, EMS, FSMS, OHSAS, HACCP, ITIL, Service Managemen, itd), mora se razmišljati, pripremati i provoditi integraciju svih tih sustava upravljanja na temelju ISO 9001 ili još bolje prema PAS 99.
Kada se uzmu u obzir svi ti standardi, ili barem nužni skup standarda, onda se stvarno može reći da samo ISO 27001 nije dovoljan za implementaciju, certifikaciju, održavanje i poboljšanje ISMS. Ali, nemojmo biti nepošteni i da ne kažemo da je ista situacija ako želite implementirati i neki drugi menadžment sustav, kao npr: QMS, EMS, OHAS, FSMS, ITIL, BASEL II, itd.
Na kraju, umjesto zaključka, važno je napomenuti: ne postoji menadžment standard u ni jednom području koji je sam po sebi dovoljan za implementaciju i certifikaciju !!!