Norme

Sigurnost informacijskih sustava danas je nezaobilazna tema kojoj se posvećuje mnogo pažnje. Zaštita je postala moralna i poslovna obaveza, te neophodan postupak pri osmišljavanju i izgradnji informacijskih sustava. Kako bi se olakšala implementacija sigurnosti u organizacije, na tržištu su se pojavili standardi vezani uz sigurnost informacijskih sustava. Implementacija sigurnosnih kontrola po standardima ne samo da onemogućava previd pojedinih kontrola, već je i dokaz kvalitete uspostavljenih sigurnosnih kontrola.

Danas je na tržištu prisutno mnogo normi, referenci i savjeta za uspostavu sigurnosti u informacijske sustave, no dva najpoznatija standarda zasigurno su ISO/IEC 17799 i ISO/IEC 27001. Standardi ISO/IEC 17799 i 27001 se međusobno ne isključuju. Naprotiv, za uspostavu kvalitetnog sustava upravljanja sigurnošću informacija nužno je koristiti oba standarda.

ISO/IEC 17799

ISO (eng. the International Organization for Standardization) i IEC (eng. the International Electrotechnical Commission) dva su tijela koji zajedno čine sustav za međunarodnu standardizaciju. ISO/IEC 17799 je norma formulirana na mnogim postavkama BS 7799 (eng. British Standards) norme koja od 1995., kada je donesena, predstavlja najrašireniji pokušaj uvođenja međunarodno priznatih normi na području upravljanja informacijskom sigurnošću. Prva verzija ISO/IEC standarda nazvana je 17799:2000. Godine 2005. izdana je nova verzija nazvana ISO/IEC 17799:2005. Poboljšanja koja nova norma posjeduje su između ostalih bolja organizacija sigurnosti prilikom poslovanja s drugim poslovnim subjektima i naglasak na rješavanju sigurnosnih problema koji mogu nastati korištenjem mobilnih tehnologija i bežičnih računalnih mreža.

Jedna od osnovnih namjena primjene ISO/IEC 17799 norme jest pružiti efikasno upravljanje informacijskom sigurnošću. ISO/IEC ističe da 17799 nije prvenstveno namijenjen certificiranju, već širenju svjesnosti o potrebi organizacije sustava zaštite informacija kroz opis najboljih već primijenjenih metoda i principa za uspostavu i održavanje takvih sustava. Budući se primjenom čisto tehničkih sredstava može postići samo ograničen stupanj informacijske sigurnosti, ova norma naglašava važnost uspostavljanja nadzornih procedura i sustava kontrole uz sudjelovanje svih zaposlenih.

Normu ISO/IEC 17799 moguće je implementirati u sve vrste informacijskih sustava bez obzira na njihovu veličinu. Navedena karakteristika utjecala je na popularnost standarda i njegovu sveopću prihvaćenost.

ISO/IEC 17799:2005 sastoji se od 11 domena sigurnosnih kontrola koje zajedno sadrže 39 osnovnih sigurnosnih kategorija i jednu uvodnu domenu koja nas upoznaje s procjenom rizika.

Svaka domena sadrži određeni broj glavnih sigurnosnih kategorija (navedenih u zagradi). Domene su:

  • 1) Sigurnosna politika (1),
  • 2) Organiziranje informacijske sigurnosti (2),
  • 3) Upravljanje imovinom (2),
  • 4) Sigurnost i ljudski resursi (3),
  • 5) Fizička zaštita i zaštita od okoline (2),
  • 6) Upravljanje komunikacijama i operacijama (10),
  • 7) Kontrola pristupa (7),
  • 8) Obogaćivanje, razvoj i održavanje informacijskog sustava (6),
  • 9) Upravljanje incidentima informacijskog sustava (2),
  • 10) Upravljanje poslovnim kontinuitetom (1),
  • 11) Usklađivanje (3).

Svaka glavna sigurnosna kategorija sadrži:

  • kontrolni cilj koji je potrebno ostvariti,
  • jednu ili više kontrola koje se mogu primijeniti kako bi se ostvario kontrolni cilj.

Opisi kontrola su strukturirani na sljedeći način:

  • Kontrola: definira određenu kontrolu koja treba zadovoljiti kontrolni cilj,
  • Implementacijske smjernice: pružaju detaljnije informacije za implementiranje kontrole. Neki od koraka pri implementaciji nisu primjenjivi za neke slučajeve, pa je tada potrebno na neki prikladniji način implementirati kontrolu,
  • Dodatne informacije: pružaju dodatne informacije koje je potrebno razmotriti pri uvođenju neke kontrole, npr. legalne aspekte kontrole i reference na neke druge standarde.

Dokument ISO 17799:2005 norme organiziran je u petnaestak poglavlja. Dio dokumenta tematizira upoznavanje s problemom upravljanja informacijskom sigurnošću. Uz prijedlog ustroja zaštite informacija obrazlaže se i sustav provjera koji se može primijeniti na gotovo sve poslovne subjekte i javne organizacije. ISO 17799:2005 norma razlikuje provjeru sigurnosne politike, ljudskih resursa, komunikacija i operativnog sustava, nabavu, organizaciju i održavanje IT sustava, odgovor na incidente te općenito pridržavanje uobičajenih poslovnih običaja. Najveći dio dokumenta odnosi se na provjeru sustava komunikacija i ostalih informacijskih tehnologija koje se koriste u poslovnim procesima. Provjera pristupa posebna je cjelina. Kako bi tehnička sredstva koja su danas na raspolaganju polučila najbolje rezultate, smatraju tvorci norme, potrebno je naglasiti važnost donošenja jasnih pravila o tome tko ima pristup kojim resursima.

ISO/IEC 27001

ISO/IEC 27001:2005 je standard objavljen u listopadu 2005. godine, razvijen je na temeljima BS 7799 standarda, točnije njegovog drugog dijela. Namjena ovog standarda je kvalitetna uspostava sustava upravljanja sigurnošću informacija (ISMS), a sadrži skup zahtjeva koje organizacija mora ispuniti da bi se priznao certifikat za informacijsku sigurnost. Iako standard 27001 obuhvaća izradu sigurnosne politike, njegova prvenstvena uloga je način implementacije sigurnosnih kontrola i samim time nije prikladan kao temelj pisanja sigurnosne politike.

Implementacija standarda ISO/IEC 27001:2005 u organizaciju odvija se kroz dvije faze. Prva faza mogla bi se nazvati administrativna, u njoj menadžment donosi stratešku odluku da se ide u taj projekt, odnosno osigurava punu podršku implementaciji.

Druga faza odvija se kroz nekoliko koraka: određivanje opsega i granice ISMS, definiranje politike ISMS, evidencija imovine (za čuvanje, prijenos i obradu informacija), procjena rizika, donošenje dokumenta „Izjava o prihvatljivosti“ (SoA), prihvaćanje i odobrenje uprave, priprema dokumentacije, implementacija ISMS, izrada procedura za upravljanje incidentima, provođenje monitoringa, identifikacija i implementacija poboljšanja itd.

Standard 27001:2005 razlikuje dvije vrste zahtjeva za upravljanje informacijskom sigurnošću:

  • metodološki zahtjevi (poglavlja 4-8),
  • zahtjevi za sigurnosne kontrole (Anex A standarda).

Poglavlja 4-8 standarda sadrže metodološke zahtjeve jer ona kažu „kako“ razviti i upravljati informacijskom sigurnošću i ne spominju se kontrole koje je potrebno implementirati.

Anex A standarda ISO/IEC 27001:2005 sadrži 2 vrste zahtjeva za sigurnosnim kontrolama:

  • kontrolni ciljevi (eng. Control Objectives),
  • sigurnosne kontrole (eng. Security Control).

Kontrolni zahtjevi su kopirani iz standarda ISO/IEC 17799:2005, poglavlja 5-15. Na njih se referira kao na sigurnosne kontrolne zahtjeve jer čine polazište za ISMS.

Ključni dokument koji se u cijelom projektu implementacije koristi kao temelj za donošenje odluke uprave o konačnom prihvaćanju strukture ISMS je „Izjava o prihvatljivosti“ (SoA – eng. Statement of Applicatibility). Kroz taj dokument točno se definira što sve treba od kontrola primijeniti u organizaciji kako bi se uspostavio željeni ISMS. Ukoliko se kontrola ne primjenjuje tada se mora u dokumentu SoA detaljno navesti razlog zašto se ta kontrola ne koristi u okviru konkretnog ISMS. Osnove za definiranje dokumenta SoA su sigurnosna politika organizacije, definirana na početku, te u skladu s njom izvršena procjena rizika. To drugim riječima znači, da rezultati procjene rizika na imovini određuju sve kriterije za bilo kakve potrebne kontrole i aktivnosti vezane za uspostavu ISMS.