english
Institut
O Institutu
Mapa lokacije
 
Standardizacija
O standardizaciji
Tehnički komiteti-TC
Javne rasprave nacrta BAS standarda
Objavljeni BAS standardi
Glasnik
 
Ocjena usklađenosti
Ocjenjivanje usklađenosti proizvoda
Ex- komisija
 
direktive
 
INDOC
 
Medunarodni standardi
Objavljeni standardi u 2008.
 
sporazumi
 
copyright
GLASNIK br. 3
 
Edina Tanović
 
SIGURNOST I KVALITET INFORMACIONE TEHNOLOGIJE
 
Današnja globalna ekonomija je uveliko ovisna o korištenju elektroničkih informacija i informacione tehnologije (IT), koja pruža važne usluge drugim privrednim sektorima, a posebno za e-business, finansije, hitne službe i telekomunikacije, te mnogobrojne usluge za potrebe vlada.
Sa IT sredstvima, kojima raspolaže neka organizacija, direktno se povezuje tajnost, integritet, raspoloživost, odgovornost, autentičnost ili pouzdanost. Stoga je jasno da ova sredstva mogu imati i neželjen efekat, uključujući rizik od značajnih finansijskih gubitaka. Kao posljedica toga, u porastu je kritična potreba da se informacije zaštite i da se upravlja sigurnošću informacija i komunikacionih sistema.
Pravni sistemi u mnogim zemljama zahtijevaju da rukovodstva organizacija poduzmu odgovarajuće akcije za smanjenje rizika po posao i korištenje IT sistema. Takva legislativa može pokrivati ne samo horizontalne aspekte, kao što su zahtjevi za zaštitu privatnosti/podataka ili standarde za proračune, nego i pojedine specifične sektore, kakvi su zdravstvo ili finansijske usluge.
Iako je izvorna motivacija za uvođenje sigurnosnih mjera u informacionoj tehnologiji najčešće povećanje sigurnosti, odgovarajuća sigurnosna rješenja nude i određenu mogućnost uštede novca i ostvarivanja novih poslovnih prilika. Organizacije, također, treba da dokažu svojim klijentima ili poslovnim partnerima da su oni adekvatno zaštićeni.
Kako je sigurnost vrlo jaka komponenta u zahtjevima za kvalitet i usaglašenost, mnoge organizacije rješavaju ovo pitanje upotrebom međunarodnih standarda.
Zaštita informacija je kritična i osnovna poslovna imovina

Poslovanje u cijelom svijetu povezano je sa nizom rizika. Korištenje interneta za on-line poslove je u neprestanom porastu, sve više firmi koristi vanjske usluge, lanci snabdijevanja se povećavaju, a računarske zloupotrebe povećavaju rizike u svim područjima poslovanja. Ovisnost poslovanja o IT, mrežama, bežičnoj i mobilnoj komunikaciji dodatno povećava nivoe rizika.
Za uspješno poslovanje, organizacija mora imati pravu informaciju u pravo vrijeme, kako bi rukovodstvo moglo donijeti odluke na osnovu dobrog informisanja. Ali, nije samo informacija bitna za poslovni uspjeh. Od jednake važnosti je i zaštita informacije. Sigurnost informacija je ključ, a zaštita informacija kritična i osnovna poslovna imovina.
Upravljanje kvalitetom IT usluga
Davaoci IT usluga su pod neprekidnim pritiskom da pruže visokokvalitetnu uslugu po minimalnoj cijeni. U svrhu ocjene mogućnosti preduzeća i organizacija da pruže željene usluge, da zadovolje ugovorne zahtjeve i demonstriraju kvalitet usluge, mjerenjem nivoa usluge i ocjenom performansi, razvijena je i (za sada, dijelom) raspoloživa familija međunarodnih standarda ISO/IEC 27000 o informacionoj tehnologiji, sigurnosnim tehnikama i sistemima za upravljanje sigurnošću informacija, koji upućuju na temu upravljanja sigurnošću informacija.
Familija standarda će pokrivati sljedeće oblasti:
  • Zahtjevi za sistem upravljanja sigurnošću informacija (ISMS) (ISO/IEC 27001:2005);
  • Pravilo dobre prakse za upravljanje sigurnošću informacija (ISO/IEC 27002:2005) - ranije označen kao ISO/IEC 17799:2005, korekcijom ISO/IEC17799:2005/Cor. 1:2007 objavljen pod novim brojem ISO/IEC 27002:2005, bez izmjene sadržaja;
  • Vodič za implementaciju ISMS (ISO/IEC 27003) - u razvoju;
  • Mjerenja upravljanja sigurnošću informacija (ISO/IEC 27004) - u razvoju;
  • Upravljanje rizikom ISMS (ISO/IEC 27005) - u razvoju;
  • Zahtjevi za ISMS akreditaciju (ISO/IEC 27006:2007).

Upravljanje rizikom i ISO/IEC 27001
Upravljanje rizikom je već dugo vremena sadržano u načinu na koji se u organizacijama donose različite upravljačke odluke. Odnedavno se uviđa da rizične aktivnosti upravljanja organizacijama treba formalizirati, tako da rukovodstvo organizacija može donijeti važne odluke koje se odnose na portfolio rizika, koristeći zajednički skup koncepata (pojmova).
ISO/IEC Vodič 73:2002, Upravljanje rizikom - Rječnik - Smjernice za korištenje u standardima, daje definicije koje oblikuju zajednički pojmovni okvir za razmatranje različitih tipova rizika. Standard ISO/IEC 27001:2005, Informaciona tehnologija - Sigurnosne tehnike - Sistemi upravljanja sigurnošću informacija - Zahtjevi, koristi ovaj zajednički konceptualni radni okvir i specificira sistem upravljanja koji se može koristiti u svrhu obezbjeđenja dobrog upravljanja rizikom sigurnosti informacija u organizacijama.
Korištenjem ISO/IEC 27001, rezultati upravljanja rizikom sigurnosti informacija mogu se usporediti sa rezultatima aktivnosti na upravljanju drugim tipovima rizika, jer je ovaj standard baziran na definicijama iz ISO/IEC Vodiča 73.
ISO/IEC 27001 prepoznaje da nije moguće eliminirati sve rizike sigurnosti informacija. Umjesto toga, dozvoljava organizacijama da utvrde kriterij rizika sigurnosti informacija, kojim uravnotežuju poslovne šanse, regulatorne i ugovorne zahtjeve, cijenu upravljanja sigurnošću informacija i rizike sigurnosti informacija.
Primjenom kriterija koji podržavaju ciljeve organizacija, ISMS (Information security management systems) zahtjevi specificirani u ISO/IEC 27001 mogu se koristiti za utvrđivanje uvjerenja da su rizici sigurnosti informacija upravljani tako da zadovolje kriterije prihvatljivosti na progresivnoj osnovi, čak i ukoliko se rizici ili poslovne potrebe mijenjaju vremenom.
ISO/IEC 27001 je jedinstven u tome što smješta zahtjeve za razumijevanjem rizika sigurnosti informacija u operativni kontekst, gdje se poduzima akcija radi obezbjeđenja da su akcije, za koje je procjenom rizika ustanovljeno da su neophodne, uistinu poduzete i efikasne. Ovo se razlikuje od svih drugih pristupa upravljanju rizikom sigurnosti informacija, koji stavljaju veliki naglasak na procjenu rizika i generisanje dobrog plana za upravljanje rizikom, ali malo pažnje obraćaju na praćenje onoga što slijedi: da je plan implementiran i da postiže tražene rezultate.
Napomena: Standard ISO/IEC 27001:2005 preuzet je u sistem bosanskohercegovačke standardizacije kao BAS ISO/IEC 27001:2007.
Kontrole sigurnosti informacija i ISMS upravljanje rizikom
ISO/IEC 27002 (ranije ISO/IEC 17799:2005) je Pravilo dobre prakse za upravljanje sigurnošću informacija. Ovaj međunarodni standard podržava standard za sisteme upravljanja sigurnošću informacija ISMS ISO/IEC 27001:2005, koji se već koristi širom svijeta za provjeru i certifikaciju sistema upravljanja, koje provodi treća strana.
ISO/IEC 27002 sadrži korisne smjernice i savjete za sigurnosne kontrole potrebne za iniciranje, implementaciju, održavanje i poboljšavanje ISMS u organizaciji. Treba, međutim, imati na umu da ISO/IEC 27002 sadrži samo smjernice i nije prikladan za certifikaciju.
Cjelovit skup sigurnosnih kontrola u Pravilu dobre prakse pruža poslovnom svijetu značajan alat za upravljanje rizikom sigurnosti informacija i poboljšanje sposobnosti za upravljanje u posebnim slučajevima.
Ključni cilj ovog međunarodnog standarda je da omogući poslovnom svijetu zaštitu tajnosti, te integritet i raspoloživost osjetljivih i kritičnih informacija. Pored toga, on nudi sigurnosne kontrole u sljedećim oblastima:
 
  • Strategija sigurnosti informacija,
  • Organiziranje sigurnosti informacija,
  • Upravljanje sredstvima,
  • Sigurnost ljudskih resursa,
  • Fizička i okolinska sigurnost,
  • Upravljanje komunikacijama i aktivnostima,
  • Kontrola pristupa,
  • Prikupljanje podataka, razvoj i održavanje informacionih sistema,
  • Upravljanje posebnih slučajeva sigurnosti informacija,
  • Upravljanje kontinuitetom poslovanja,
  • Usaglašenost sa zakonskim zahtjevima i sigurnosnim standardima.

Pravilo dobre prakse koristi pristup na bazi rizika, a kontrole sigurnosti u ovom standardu mogu se odabrati i implementirati tako da zadovolje zahtjeve koji su identificirani procjenom rizika prema zahtjevima specificiranim u ISO/IEC 27001.
Napomena: Preuzimanje standarda ISO/IEC 27002:2005 u sistem bosanskohercegovačke standardizacije je u proceduri.
Naredni značajan međunarodni standard iz ove oblasti, koji je još u razvoju, bit će ISO/IEC 27005, Informaciona tehnologija - Upravljanje rizikom sigurnosti informacija. Ovaj standard nudi dalja objašnjenja o tome kako provesti procjenu rizika i kako uspješno implementirati konačne kontrole da bi se postiglo pouzdano sveukupno upravljanje rizikom. Očekuje će da će biti publiciran do kraja 2007. i također će dati samo smjernice organizacijama; on neće specificirati posebnu metodologiju za upravljanje rizikom sigurnosti informacija. Odgovornost je organizacija da definiraju pristup upravljanju rizikom koji je najprikladniji za njihovo poslovanje.
Vodič za implementaciju sistema za upravljanje sigurnošću informacija (ISMS) ISO/IEC 27003 je još uvijek u razvoju, a pružiće upute i smjernice za implementaciju ISMS. Standard ISO/IEC 27004, koji je također u razvoju, namijenjen je za provođenje mjerenja upravljanja sigurnošću informacija.
Značaj standarda ISO/IEC 27006
Međunarodni standard ISO/IEC 27006:2007 Informacion tehnologija - Sigurnosne tehnike - Zahtjevi za tijela koja provode reviziju i certifikaciju sistema za sigurnost informacija specificira zahtjeve za tijela koja provode certifikaciju sistema upravljanja sigurnošću informacija. Njegova namjena je da obezbijedi njihov kredibilitet, kao i njihovu kompetenciju da provedu kontrole.
ISMS omogućava organizacijama da preciziraju svoj poslovni proces, ustanove efikasan radni okvir za upravljanje sigurnošću informacija i obezbijede tajnost svojim klijentima. Pored toga, pomaže organizacijama da podignu nivo svoje poslovne konkurentnosti, te ima značajnu ulogu u upravljanju IT.
U porastu je prepoznavanje značaja i koristi od ISMS, kako u organizacijama iz javnog, tako i u onim iz privatnog sektora. U budućnosti, bit će značajno za pouzdan razvoj ISMS obezbijediti da kontrole i certifikacije ISMS imaju kredibilitet na međunarodnom nivou. U tom smislu, izdavanje ISO/IEC 27006 će pomoći da se poveća primjena ISMS u mnogim dijelovima svijeta.
Literatura
ISO Focus, Volume 4, No. 5, May 2007, IT Quality and Security
Dr Walter Fumy, Chairman ISO/IEC JTC 1/SC 27, IT Security techniques, Medical Solutions, Siemens AG, Munich
Ted Humphreys, ISO/IEC JTC 1/SC 27/WG 1 Convenor, ISMS Standards, Visiting Professor at Korea University (Seoul)
John Snare, Telstra Customer Solutions, Australia, editor of ISO/IEC 27001
Angelika Plate, AEXIS Germany, Secretariat of ISO/IEC JTC1/SC 27/WG 1, co-editor of ISO/IEC 27002
Toshio Takatori, Japan Infomation Processing Development Corporation, Japan