Osnove ISO 27001
|
Temelj informacijske sigurnosti↓ Četiri faze sustava upravljanja informacijskom sigurnošću↓ Faza praćenja i pregledavanja↓ |
 |
Temelj informacijske sigurnosti
Norma ISO 27001 propisuje na koji način organizirati informacijsku sigurnost u bilo kojoj vrsti organizacije, bez obzira da li se radi o profitnoj ili neprofitnoj, privatnoj ili državnoj, maloj ili velikoj. Možemo slobodno reći da je ovo temeljna norma za upravljanje informacijskom sigurnošću.
ISO 27001 znači za informacijsku sigurnost isto ono što ISO 9001 znači za kvalitetu – to je norma koju su pisali najbolji svjetski stručnjaci u polju informacijske sigurnosti, i svrha joj je da pruži metodologiju na koji način uvesti informacijsku sigurnost u neku organizaciju. Ona isto tako pruža mogućnost da organizacija dobije certifikat što znači da je nezavisno certifikacijsko tijelo potvrdilo da je informacijska sigurnost na najbolji način provedena u dotičnoj organizaciji.
Obzirom na ovakav značaj norme ISO 27001, mnoga su zakonodavstva uzela tu normu kao temelj za pisanje razne regulative iz područja zaštite osobnih podataka, zaštite tajnosti podataka, zaštite informacijskih sustava, upravljanja operativnim rizicima u financijskim ustanovama i sl.
Četiri faze sustava upravljanja informacijskom sigurnošću
ISO 27001 propisuje kako se upravlja informacijskom sigurnošću kroz sustav upravljanja informacijskom sigurnošću (engl. ISMS – information security management system) . Takav se sustav upravljanja, isto kao i ISO 9001 ili ISO 14001, sastoji od četiri faze koje se kontinuirano trebaju provoditi kako bi se umanjili rizici za povjerljivost, cjelovitost i dostupnost informacija.
Faze su sljedeće:
- Faza planiranja (engl. Plan) – ova faza služi da se isplanira osnovna organizacija informacijske sigurnosti, postave ciljevi za informacijsku sigurnost i da se odaberu primjerene sigurnosne mjere (u normi se nalazi katalog od 133 moguće sigurnosne mjere)
- Faza implementacije (engl. Do) – u ovoj fazi se provodi sve što se isplaniralo tijekom prethodne faze
- Faza praćenja i pregledavanja (engl. Check) – svrha ove faze jest da se kroz razne „kanale” nadgleda kako funkcionira ISMS, i da li rezultati ispunjavaju postavljene ciljeve
- Faza održavanja i poboljšavanja (engl. Act) – svrha ove faze jest da se poboljša sve što je u prethodnoj fazi identificirano kao nesukladno
Ciklus ove četiri faze nikada ne završava, nego je sve aktivnosti potrebno ciklički provoditi kako bi ISMS ostao učinkovit.
ISO 27001 dokumentacija
ISO 27001 zahtijeva sljedeću dokumentaciju:
- opseg ISMS-a
- politika ISMS-a
- procedure za upravljanje dokumentacijom, za interne audite, te za korektivne i preventivne mjere
- sve ostale dokumente ovisno o odabranim sigurnosnim mjerama
- metodologiju za procjenu rizika
- izvješće o procjeni rizika
- izvješće o primjenjivosti
- plan obrade rizika
- zapise
Količina i preciznost dokumentacije ovisi o veličini i sigurnosnim zahtjevima pojedine organizacije – to znači da će maloj organizaciji biti dovoljno samo 10-tak dokumenata, dok će velike i kompleksne organizacije imati po nekoliko stotina dokumenata u svojem ISMS-u.
Faza planiranja
Ona se sastoji od sljedećih koraka:
- određivanje opsega ISMS-a
- pisanje politike ISMS-a
- identificiranje metodologije za procjenu rizika i određivanje kriterija za prihvaćanje rizika
- identifikacija resursa, ranjivosti i prijetnji
- ocjenjivanje veličine rizika
- identifikacija i procjena opcija za obradu rizika
- odabir sigurnosnih mjera za obradu rizika
- pribavljanje odobrenja menadžmenta za preostale rizike
- pribavljanje odobrenja menadžmenta za implementaciju ISMS-a
- pisanje Izvješća o primjenjivosti koje popisuje primjerene sigurnosne mjere, koje su od njih već provedene, i koje sigurnosne mjere nisu primjerene
Faza implementacije
Ova faza se sastoji od sljedećih aktivnosti:
- pisanje plana obrade rizika – opisuje tko, kako, kada i s kojim budžetom treba provesti primjerene mjere zaštite
- implementirati plan obrade rizika
- implementirati primjerene sigurnosne mjere
- odrediti kako će se mjeriti učinkovitost sigurnosnih mjera
- provesti osvješćivanje i obuku djelatnika
- upravljanje normalnim radom ISMS-a
- upravljanje resursima ISMS-a
- provedba procedure za detekciju i upravljanje sigurnosnim incidentima
Faza praćenja i pregledavanja
Ova faza podrazumijeva sljedeće:
- provedba procedura i ostalih kontrola za nadzor i pregledavanje kako bi se ustanovila sva kršenja pravila, krivo procesiranje podataka, da li se sigurnosne aktivnosti provodi kako je očekivano i sl.
- poduzimanje redovitog pregledavanja učinkovitosti ISMS-a
- mjerenje učinkovitosti sigurnosnih mjera
- pregledavanje procjene rizika u redovitim intervalima
- poduzimanje internih audita u planiranim intervalima
- poduzimanje pregleda od strane menadžmenta kako bi se osiguralo da ISMS funkcionira i da se identificiraju mogućnosti za poboljšanja
- ažuriranje sigurnosnih planova kako bi se uzele u obzir ostale aktivnosti nadzora i pregledavanja
- vođenje zapisa aktivnosti i incidenata koji mogu imati utjecaj na učinkovitost ISMS-a
Faza održavanja i poboljšavanja
Ova faza podrazumijeva sljedeće:
- implementacija identificiranih poboljšanja u ISMS-u
- poduzimanje korektivnih i preventivnih mjera; primjena vlastitih i tuđih sigurnosnih iskustava
- komuniciranje aktivnosti i poboljšanja svim zainteresiranim stranama
- osiguravanje da poboljšanja postižu željene ciljeve
Ostale vezane norme za informacijsku sigurnost
Osim norme ISO 27001 (nekadašnja norma BS 7799-2), postoji i norma ISO 27002 (nekadašnja norma ISO 17799), koja je „pomoćna” norma i detaljnije opisuje na koji način provesti pojedine sigurnosne mjere određene kroz ISO 27001.
Vrlo korisne mogu biti i norma ISO 27005 koja detaljnije opisuje proces procjene rizika, te norma BS 25999-2 koja detaljnije opisuje upravljanje kontinuitetom poslovanja.
