ISO 27001 (ISMS)

Informacija u današnjim uslovima poslovanja predstavlja najvredniji kapital organizacije, jer je "vezivni element" kojim sinergetskim uvezivanjem pojedinačnih znanja, sposobnosti, veština, raspoloživih resursa i tehnologija, kreiramo sopstveni know-how. Upravo iz tog razloga, veliki broj različito motivisanih pretnji ugrožava informacije koje za organizaciji imaju veliku vrednost.

Svaka organizacija koja želi zaštiti svoj kapital postavlja sebi pitanje, kako se najefikasnije zaštiti. Tipična pojedinačna rešenja ne mogu biti efikasna, jer svaka organizacija ima svoje segmenta, svaki od tih segmenata komunicira sa okruženjem (klijenti, sira zajednica, konkurencija, zakonodavstvo) kao i medjusobno. Svaka od tih interakcija sadrži mnoštvo informacija i podataka, poverljivih i onih sa manjim stepenom poverljivosti, čime izazovi za njihovo diferenciranje i očuvanje nivoa bezbednosti postaju jako veliki i kompleksni. Jasno je da sve izazove i rizike ne možemo potpuno anulirati, ali ih možemo predviđati, planirati naše akcije i preventivno delovati, tj. moramo stvoriti sistem zaštite koji će upravljati njima, kroz aktivan odgovor na pretnje a ne samo preduzimanjem defanzivnih strategija.

Okvir za formiranje jednog takvog sistema zaštite, pruža nam ISO 27001:2005 čiji zahtevi nas vode ka formiranju Sistema menadžmenta bezbednosti informacija (ISMS) u organizaciji, sa ciljem upravljanja bezbednošću informacija a time bezbednošću čitave organizacije.

Pojam ISO 27001 sistemi menadžmenta bezbednosti informacija

Najpre da definišemo pojam informacije i njene bezbednosti. Podatak koji je ažuran - pravoremeno dostavljen - na pravo mesto (do korisnika), postaje informacija. Sa pozicije bezbednosti informacije uočavamo 3 dimenzije: bezbednost podatka (inputi koji kreiraju podatak, proces obrade inputa i forma prezentacije podatka), bezbednost kanala distribucije podataka (kuda, kako i na koji način putuju podaci) i bezbednost upotrebe tj. korišćenja informacije (identifikacija prijema, pristupi za korišćenje i ovlašćenja za korišćenje).

Zaključak je da bezbednost imformacija čine sledeći elementi:

  • Integritet: Zaštita tačnosti i kompletnosti informacija i definisanje načina ko, kako, gde i na koji način generiše i obrađuje informaciju, sa pozicije bezbednosti.
  • Poverljivost: Definisanje načina nivoa pristupa informacijama, putem strukturisanih i zaštićenih ovlašćenja.
  • Pristupačnost: Omogućavanje pravovremene dostupnosti informacijama, osobama sa ovlašćenjima, u vremenu kada je to potrebno i na mestu gde je to predviđeno.

Pojam ISO 27001 sistemi menadžmenta bezbednosti informacija

Najpre da definišemo pojam informacije i njene bezbednosti. Podatak koji je ažuran - pravoremeno dostavljen - na pravo mesto (do korisnika), postaje informacija. Sa pozicije bezbednosti informacije uočavamo 3 dimenzije: bezbednost podatka (inputi koji kreiraju podatak, proces obrade inputa i forma prezentacije podatka), bezbednost kanala distribucije podataka (kuda, kako i na koji način putuju podaci) i bezbednost upotrebe tj. korišćenja informacije (identifikacija prijema, pristupi za korišćenje i ovlašćenja za korišćenje).

Zaključak je da bezbednost imformacija čine sledeći elementi:

  • Integritet: Zaštita tačnosti i kompletnosti informacija i definisanje načina ko, kako, gde i na koji način generiše i obrađuje informaciju, sa pozicije bezbednosti.
  • Poverljivost: Definisanje načina nivoa pristupa informacijama, putem strukturisanih i zaštićenih ovlašćenja.
  • Pristupačnost: Omogućavanje pravovremene dostupnosti informacijama, osobama sa ovlašćenjima, u vremenu kada je to potrebno i na mestu gde je to predviđeno.

Pretnje po bezbednost informacija organizacije dolaze i spolja i iznutra. Napade na informacija možemo podeliti u dve grupe: zlonamerne (osmišljene akcije spolja i iznutra fokusirane na informacije) i slučajne (neplanirani upadi u sistem spolja i neadekvatno rukovanje informacijama od strane zaposlenih). U današnje vreme informatičke isprepletenosti sistema, brzina i učestalost napada je tolika da nije moguće u svakom trenutku efektivno i efikasno odgovoriti na napade. Jasno je da samo planski i sistemski pristup bezbednosti informacija, zasnovan na po principu prevencije i/ili otklanjanja pretnji po bezbednost informacija, može pružiti organizaciji efikasnu zaštitu. Upravljanjem rizicima, upravljamo bezbednosti informacija. Prvi korak ka tom cilju je razumevanje modela rizika koji je naveden na slici ispod.

ISO 27001 je nastao kao rezultat potrebe definisanja međunarodno prihvaćenih normi, koji će svojim zahtevima definisati okvir formiranja sveobuhvatnog sistema zaštite i ciljeve njegovog delovanja kako bi se na efektivan i efikasan način upravljalo bezbednošću informacija. Ovaj standard svojim zahtevima definiše četiri glavna područja sistema zaštite informacija:

  • Sistem menadžmenta bezbednosti informacija (ISMS)
  • Odgovornost rukovodstva
  • Ocena rukovodstva
  • Unapređenje ISMS-a

ISO 27001 je sveobuhvatan, jer tretira bezbednosti informacija sa tri aspekta:

  • Informatičkog – analizirajući i definišući performanse IT opreme, prava pristupa, kriptovanja, lozinke, protokoli, politike sa aspekta pojave rizika po bezbednost podataka i informacija
  • Administrativnog – definišući jasna uputstva, politike i procedure za generisanje informacija, njihovu distribuciju, čuvanje (skladištenje)
  • Fizičku – fizička kontrola pristupa, evidencija zaposlenih, video nadzor, zaštita radnih prostorija

Utvrđujući norme (zahteve) uzimajući o obzir sva tri aspekta, ISO 27001 definiše okvir za kreiranje ISMS-a, koncipiranog da pruži potpunu informatičko-fizičko-tehničku zaštitu informacija.

ISMS (Sistem menadžmenta bezbednosti informacija – Information Security Management System) је део ukupnog sistema organizacije projektovan po zahtevima standard ISO 27001 koji ima za cilj da primenom principa PDCA (Plan-Do-Check-Act) kroz procese stalnih unapređenja, "uspostavi, implementira, deluje, nadgleda, pregleda, održava i unapređuje bezbednost iinformacija” uzimajući u obzir sve bezbednosne rizike po poslovanje organizacije. ISMS pokriva sledeća područja:

  • Analiza i upravljanje rizikom
  • Politika bezbednosti
  • Bezbednost organizacije
  • Klasifikacija i upravljanje imovinom
  • Politika bezbednosti u upravljanju ljudskim resursima
  • Fizička i informatička bezbednost imovine i okruženja organizacije
  • Upravljanje komunikacijama i operativom
  • Kontrola pristupa
  • Razvoj i održavanje ISMS-a
  • Upravljanje incidentima
  • Upravljanje kontinuitetom poslovanja kroz poboljšanja
  • Usaglašenost sa zakonskim propisima

Prednosti koje implementacija i sertifikacija ISO 27001 nosi sa sobom, mogu se sažeti u dva segmenta. Prvi segment je zaštita i bezbednost vaših informacija a time i vašeg know-how, kroz sistematski i proaktivan pristup za identifikovanje i borbu protiv čitavog niza potencijalnih rizika kojima su izložene informacije organizacije. Upravljajući rizikom po bezbednost informacija, smanjuje se verovatnoća pojave nepredviđenih situacija (pretnji) na minimum.

Drugi segment je zaštita i bezbednost podataka i informacija vaših klijenata sa kojima dolazite u kontakt prilikom instaliranja opreme, izvodjenja obuka, projektovanja i montaže uređaja itd. Posedovanjem sertifikata o implementiranom Sistemu menadžmenta bezbednosti informacija (ISMS) po zahtevima standarda ISO 27001, organizacija klijentu pruža dokaz da su njihove informacije i know-how sa kojima organizacija dolazi u kontakt, bezbedni i zastićeni od zloupotreba, čime znatno povećavate njihovo poverenje u Vas. Ovaj drugi segment predstavlja kompetetivnu prednost organizacije nad konkurencijom, ne samo prilikom dobijanja kvalitetnih poslova već i prilikom izbora organizacije kao potencijalno pouzdanog partnera.

Koristi od ISO 27001

Koristi koje implementacija Sistema menadžmenta bezbednosti informacija (ISMS) i njegova sertifikacija saglasno zahtevima ISO 27001:2005, donose organizaciji, mogu biti sledeće:

  • Just-in-time efekat – Prava informacija - na pravo mesto - u pravo vreme
  • Zaštita i očuvanje kompanijskog Know-How
  • Povećanje efektivnosti i efikasnosti Informacionog sistema
  • Povećanje poslovnog kredibiliteta i poverenja od strane klijenata i partnera
  • Prodor na zahtevno međunarodno tržište
  • Mogućnost dugoročnog interesnog umrežavanja sa drugim kompanijama
  • Ušteda vremena racionalizacijom količine i sadržine informacija
  • Optimizacija resursa potrebnih za distribuciju i čuvanje podataka
  • Rana identifikacija ranjivosti, pretnji i potencijalnih negativnih uticaja na poslovanje
  • Smanjenje rizika od zapošljavanja ljudi koji bi mogli naštetiti organizaciji
  • Postizanje sinergetskog efekta timskog rada
  • Promptna usklađenost sa zakonskom regulativom
  • Dostupnost klijentima kroz e-poslovanje
  • Brži protok informacija između zaposlenih
  • Stvaranje preduslova za delegiranje odgovornosti
  • Smanjenje nesporazuma kod zaposlenih usled "ukrštanja informacija"
  • Medjunarodna verifikacija vaše dobre poslovne prakse

Preduslovi za uspešnu implementaciju ISMS-a

Pre donošenja konačne odluke o ulasku u proces implementacije ISMS-a po zahtevima ISO 27001:2005 i angažovanja eksternih konsultanata za taj projekat, potrebno je proučiti sledeća pitanja:

  • Da li ste zadovoljni kvalitetom funkcionisanja osnovnih procesa?
  • Da li ste implementirali Sistem upravljanja kvalitetom (QMS)?
  • Da li je bezbednost informacija relevantnih za vaše poslovanje adekvatna?
  • Da li postoje dokumentovani zapisi o sistemu zaštite informacija?
  • Da li je odluka o ulasku u proces implementacije ISMS-a doneta konsenzusom?
  • Da li vaše rukovodstvo (menadžment) poseduje posvećenost projektu?
  • Da li ste spremni učiti?
  • Da li imate dovoljno stručnih ljudi za implementacijski tim, sposobnih da promovišu i iznesu promene?
  • Da li imate ograničavajući budžet?
  • Da li imate posebnih zahteva od strane najvažnijih klijenata u pogledu implementacije i sertifikacije ISO 27001?
  • Da li imate dovoljno stručnih ljudi, sa iskustvom u kreiranju Sistema upravljanja (menadžmenta) koji ne rade ništa i koji se mogu posvetiti samo projektu implementacije ISMS-a?
  • Ako je odgovor na prethodno pitanje NE, onda je potrebno angažovanje konsultanata za projekat implementacije ISMS-a?
  • Definišite parametre za izbor konsultanata.

Nakon što ste analizirali gore navedene faktore, utvrdili rizike njihovog neispunjenja i preduzeli mere za njihovo minimiziranje, spremni ste da krenete u proces implementacije ISMS-a.

 

  • I Faza: Upoznavanje zaposlenih sa projektom
    • Uvodni sastanak sa rukovodstvom firme i organizovanje predavanja u firmi sa sledećim temama:
      • Upoznavanje zaposlenih sa pojmom Sistem menadžmenta bezbednosti informacija (ISMS)
      • Upoznavanje zaposlenih sa zahtevima i područjima primene ISO 27001:2005
      • Upoznavanje zaposlenih sa programom i planom rada
      • Upoznavanje zaposlenih sa njihovom ulogom u projektu
    • Upoznavanje konsultanata sa postojećim Sistemima menadžmenta
    • Formiranje Projektnog tima
    • Definisanje predmeta i područja primene ISO 27001
    • Definisanje politike bezbednosti informacija
    • Definisanje detaljnog Plana aktivnosti
  • II Faza: Snimak, analiza i ocena stanja postojećeg sistema
    • Identifikovanje zakonskih i ugovornih obaveza
    • Utvrđivanje imovine organizacije
    • Utvrđivanje postojećih sigurnosnih kontrola
    • Analiza i procena rizika
    • Definisanje kontrolnih ciljeva i sigurnosnih kontrola
    • Priprema dokumenta Izjava o primenljivosti (SoA)
  • III Faza: Projektovanje i izrada dokumentacije
    • Definisanje obima potrebne dokumentacije ISMS-a
    • Izrada procedura
    • Izrada uputstava (Politika)
    • Izrada plana postupanja sa rizikom
    • Projektovanje i razvoj
  • IV Faza: Razvoj i Implementacija dokumentacije ISMS-a u radne procese
    • Upoznavanje zaposlenih sa dokumentacijom
    • Identifikovanje potreba za izmenom dokumentacije
    • Izmena dokumentacije
    • Preispitivanje i usaglašavanje dokumentacije sa rukovodstvom
    • Verifikacija dokumentacije od strane rukovodstva i zaposlenih
  • V Faza: Inegracija ISMS-a i postojećeg Sistema menadžmenta u IMS
    • Utvrđivanje potreba za izmenom dokumenata oba sistema
    • Sprovođenje izmena na dokumentima
    • Verifikacija dokumentacije IMS-a od strane rukovodstva i zaposlenih
    • Primena dokumentacije
  • VI Faza: Organizovanje i sprovođenje Interne provere
    • Obuka internih proveravača za ISO 27001:2005
    • Planiranje interne provere IMS-a i definisanje timova
    • Realizacija interne provere IMS-a
    • Način identifikacije neusaglašenosti
    • Definisanje i upravljanje sprovođenjem korektivnih i preventivnih mera
  • VII Faza: Pripreme za ocenjivanje i sertifikaciju
    • Izbor ovlašćene sertifikacione kuće
    • Upoznavanje zaposlenih sa postupkom ocenjivanja ISMS-a
    • Podnošenje prijave za sertifikaciju
    • Ocenjivanje implementiranog IMS-a od strane odabranog sertifikacionog tela
    • Sertifikacija – izdavanje sertifikata od strane sertifikacionog tela
    • Otklanjanje eventualnih primedbi od strane ocenjivača

Dokumentacija ISMS-a se sastoji od:

  • Poslovnik bezbednosti informacija - Politika bezbednosti informacija, cilj i područje primene, ocenjivanje rizika, izjava o primenjivosti
  • Procedure – sadrže jasno opisane aktivnosti u okviru procesa, definišući ko, gde, kada i koje aktivnosti sprovodi
  • Radna uputstva, instrukcije, ček liste, obrasci – opisuju i dokumentuju način sprovođenja određenih specifičnih zadataka i aktivnosti
  • Zapisi – pisani dokazi kojima organizacija demonstrira usaglašenost ISMS-a sa zahtevima standarda ISO 27001

Kontinuirano unapređenje ISMS-a sertifikovanog po ISO 27001

Sistemskim pristupom konsultanata realizaciji projekta implementacije ISO 27001, koji podrazumeva identifikaciju svih rizika u firmi, definisanje njihovih međusobnih veza (dokumentacija, informacije, resursi) sa aspekta korišćenja zajedničkih informacija i njihov uticaj na funkcionisanje celog informacionog i poslovnog sistema, obezbeđuje se "holistički pristup" razvoju i implementaciji Sistema menadžmenta bezbednosti informacija (ISMS). To znači da se ovakvim pristupom, posmatranja celine kao jednog uvezanog sistema informacija u kome se generisanje, distribucija i čuvanje istih, u svim segmenatima organizacije (nabavka, dizajn, projektovanje, prodaja, montaža, marketing itd.), stavlja u funkciju celog sistema. Na ovaj način se dobija efikasna i efektivna organizacija gde ISMS, na osnovu jasno identifikovanih međuprocesnih veza, filtrira informacije sa pozicije zajedničkih imenitelja (pravo pristupa, pravo korišćenja i pravo administriranja) i tako omogućava njihovo korišćenje od strane više korisnika, održavajući pri tom njihovu pravovremenost, konzistentnost i poverljivost. Sve ovo rezultuje odličnom komunikacijom između segmenata, izbegavajući pri tom ponavljanje informacija ili pak distribuciju istih do učesnika kojima one nisu neophodne. Ovakvim pristupom štitimo informacije od namerne ili nenamerne zloupotrebe, smanjujemo vreme komunikacije i time direktno utičemo na povećanje efikasnosti tj. produktivnosti. Uvezivanjem svih zaposlenih dokumentacijom i informacijama, unapređujemo procesnu kontrolu kojom smanjujemo rizike na minimum i proizvodimo sinergetski efekat timskog rada. Procesom Integracije ISMS-a i postojećih sistema upravljanja kvalitetom (QMS-a npr.) pitanje bezbednosti informacija postaje pitanje kvaliteta i to je ključna informacija koju kompanija šalje svojim sadašnjim i potencijalnim klijentima i partnerima.

Ovakav pristup realizaciji projekta, omogućiće organizaciji da zajedno sa konsultantima razvije i implementira ISMS adekvatan organizacionoj strukturi, raspoloživim resursima (ljudskim i materijalnim) i zahtevima korisnika (klijenti, dobavljači, zaposleni, šira zajednica, međunarodno tržište itd.), široko prihvaćen i promovisan od strane svih zaposlenih, što je osnovni preduslov za njegovo kontinuirano unapređenje.