Sustavi upravljanjа sigurnošću informacija

Što je sustav upravljanja sigurnošću informacija (ISMS)?

Sustav upravljanja sigurnošću informacija (ISMS) sastoji se od politika, procedura, smjernica, povezanih resursa i aktivnosti, kojima rukovodi organizacija u nastojanju da zaštiti svoju informacijsku imovinu. ISMS je sustavan pristup za uspostavljanje, primjenu, provedbu, praćenje, pregled, održavanje i unapređenje sigurnosti informacija organizacije za postizanje poslovnih ciljeva. Temelji se na procjeni rizika i razinama prihvatljivosti rizika organizacije dizajniranih za učinkovito tretiranje i upravljanje rizicima. Analiziranje zahtjeva za zaštitu informacijske imovine i primjena odgovarajućih kontrola za osiguranje zaštite informacijske imovine, po potrebi, doprinosi uspješnoj implementaciji sustava upravljanja sigurnošću informacija. Sljedeća osnovna načela također doprinose uspješnoj implementaciji ISMS-a:

  1. svijest o potrebi za sigurnošću informacija;
  2. dodjela odgovornosti za sigurnost informacija;
  3. uključivanje posvećenosti rukovodstva i interesi zainteresiranih strana;
  4. unapređenje društvenih vrijednosti;
  5. procjene rizika koje utvrđuju odgovarajuće kontrole za dostizanje prihvatljivih razina rizika;
  6. prihvatanje sigurnosti kao osnovnog elementa informacijskih mreža i sustava;
  7. aktivno sprečavanje i otkrivanje informacijskih sigurnosnih incidenata;
  8. osiguravanje sveobuhvatnog pristupa upravljanju sigurnošću informacija; i
  9. kontinuirana ponovna procjena sigurnosti informacija i provedba izmjena po potrebi.


Zašto je ISMS važan?

Mora se povesti računa o rizicima povezanim s informacijskom imovinom organizacije. Postizanje sigurnosti informacija zahtijeva upravljanje rizikom i obuhvaća rizike od fizičkih, ljudskih i tehnoloških prijetnji, povezanih sa svim oblicima informacija unutar organizacije ili koje organizacija koristi. Očekuje se da usvajanje ISMS-a bude strateška odluka za organizaciju.
Na dizajn i implementaciju ISMS-a utječu potrebe i ciljevi organizacije, sigurnosni zahtjevi, poslovni procesi u uporabi, kao i veličina i struktura organizacije. Dizajn i primjena ISMS-a moraju odražavati interese i zahtjeve sigurnosti informacija svih zainteresiranih strana organizacije, uključujući korisnike, dobavljače, poslovne partnere, dioničare i ostale relevantne treće strane.
ISMS je važan i za javni i za privatni poslovni sektor. U bilo kojoj industriji ISMS omogućuje potporu za e-poslovanje i temelj je za upravljanje rizicima. Povezanost javnih i privatnih mreža i dijeljenje informacijske imovine usložnjava kontrolu pristupima informacijama i njihovo rukovanje. Također, distribucija prijenosnih memorijskih uređaja koji sadrže informacijsku imovinu može oslabiti učinkovitost tradicionalnih kontrola. Kada organizacija usvoji ISMS obitelj standarda, sposobnost  za primjenu dosljednih i međusobno prepoznatljivih načela sigurnosti informacija može biti pokazana poslovnim partnerima i ostalim zainteresiranim stranama.


Prednosti ISMS obitelji standarda

Prednosti implementacije ISMS primarno će rezultirati smanjenjem rizika sigurnosti informacija (odnosno, smanjenjem vjerojatnoće i/ili učinaka izazvanih incidentima sigurnosti informacija). Posebice, prednosti koje će organizacija imati od usvajanja ISMS obitelji standarda uključuju:

  1. strukturirani okvir koji podržava proces specifikacije, implementacije, provedbe i održavanja jasnog, isplativog, vrijednosnog, integriranog i usklađenog ISMS-a, koji zadovoljava potrebe organizacije preko različitih operacija i lokacija;
  2. pomoć rukovodstvu u dosljednom upravljanju, na odgovoran način, njihova pristupa prema upravljanju sigurnošću informacija, unutar konteksta upravljanja korporativnim rizikom, uključujući edukaciju i obuku vlasnika poslova i sustava holističkom upravljanju sigurnošću informacija;
  3. promoviranje globalno prihvaćenih dobrih praksi sigurnosti informacija, na nepropisujući način, dajući organizaciji prostor za usvajanje i unapređenje relevantnih kontrola koje odgovaraju njezinim specifičnim okolnostima i za njihovo održavanje prema unutarnjim i vanjskim promjenama;
  4. osiguravanje zajedničkog jezika i konceptualne baze za sigurnost informacija, što čini lakšim uspostavljanje povjerenja s poslovnim partnerima s kompatibilnim ISMS-om, osobito ako oni zahtijevaju ISO/IEC 27001 certifikat od strane akreditiranog certifikacijskog tijela;
  5. povećanje povjerenja zainteresiranih strana;
  6. zadovoljavanje društvenih potreba i očekivanja; i
  7. učinkovitije ekonomsko upravljanje investicijama u informacijsku sigurnost.


ISMS obitelj standarda

ISMS obitelj standarda sastoji se od međusobno povezanih standarda, koji su već objavljeni ili su u fazi razvitka, i sadrži nekoliko važnih strukturnih komponenti. Ove su komponente usredotočene na  normativne standarde koji opisuju zahtjeve ISMS-a (ISO/IEC 27001), zahtjeve tijela za certifikaciju (ISO/IEC 27006), za one koji certificiraju usklađenost sa ISO/IEC 27001 i dodatne zahtjeve za implementaciju ISMS-a (ISO/IEC 27009) za specifične sektore. Ostali standardi pružaju smjernice za različite aspekte implementacije ISMS-a, obraćajući pozornost na generičke procese kao i smjernice za specifične kontrole.
Veza između standarda ISMS obitelji ilustrirana je na slici ispod: 

(slika)


Standardi koji opisuju pregled i terminologiju

BAS ISO/IEC 27000, Informaciona tehnologija ‒ Sigurnosne tehnike ‒ Sistemi za upravljanje sigurnošću informacija ‒ Pregled i rječnik
Ovaj međunarodni standard opisuje osnove sustava upravljanja sigurnošću informacija, koje formiraju temu ISMS obitelji standarda i definira povezane termine.
Standardi koji specificiraju zahtjeve
BAS ISO/IEC 27001, Informaciona tehnologija ‒ Sigurnosne tehnike ‒ Sistemi za upravljanje sigurnošću informacija ‒ Zahtjevi
ISO/IEC 27001 pruža normativne zahtjeve za razvitak i provedbu ISMS-a, uključujući set kontrola za provjeru i smanjenje rizika povezanih s informacijskom imovinom koju organizacija želi zaštititi provodeći sustav upravljanja sigurnošću informacija (ISMS).
BAS ISO/IEC 27006, Informaciona tehnologija ‒ Sigurnosne tehnike ‒ Zahtjevi za tijela koja vrše audit i certificiranje sistema za upravljanje sigurnošću informacija
ISO/IEC 27006 nadopunjuje ISO/IEC 17021 u pružanju zahtjeva prema kojima se akreditiraju organizacije za certifikaciju, dozvoljavajući tim organizacijama dosljedno osiguravanje certifikata o usklađenosti sa zahtjevima postavljenim u ISO/IEC 27001.

Standardi koji opisuju opće smjernice

BAS ISO/IEC 27002, Informaciona tehnologija ‒ Sigurnosne tehnike ‒ Pravilo dobre prakse za kontrole sigurnosti informacija
ISO/IEC 27002 pruža smjernice za implementaciju kontrola sigurnosti informacija.
BAS ISO/IEC 27003, Informaciona tehnologija ‒ Sigurnosne tehnike ‒ Smjernice za implementaciju sistema za upravljanje sigurnošću informacija
ISO/IEC 27003 pruža procesno orijentirani pristup uspješnoj implementaciji ISMS sukladno ISO/IEC 27001.
BAS ISO/IEC 27004, Informaciona tehnologija ‒ Sigurnosne tehnike ‒ Upravljanje sigurnošću informacija ‒ Mjerenje
ISO/IEC 27004 pruža okvir za mjerenje, dozvoljavajući da se učinkovitost ISMS-a ocijeni sukladno ISO/IEC 27001.
BAS ISO/IEC 27005, Informaciona tehnologija ‒ Sigurnosne tehnike ‒ Upravljanje rizicima sigurnosti informacija
ISO/IEC 27005 pruža smjernice za implementaciju procesno orijentiranog pristupa upravljanju rizicima i pomaže u uspješnoj implementaciji i ispunjavanju zahtjeva upravljanja rizicima sigurnosti informacija prema ISO/IEC 27001.
BAS ISO/IEC 27007, Informaciona tehnologija ‒ Sigurnosne tehnike ‒ Smjernice za audit sistema za upravljanje sigurnošću informacija
ISO/IEC 27007 pruža smjernice za organizacije koje provode interne ili eksterne audite ISMS-a ili koje upravljaju ISMS audit programom prema zahtjevima navedenim u ISO/IEC 27001.
BAS ISO/IEC TR 27008, Informaciona tehnologija ‒ Sigurnosne tehnike ‒ Smjernice za auditore o kontrolama informacione sigurnosti
Ovo se tehničko izvješće fokusira na pregled kontrola sigurnosti informacija, uključujući provjeru tehničke usklađenosti prema standardu za implementaciju sigurnosti informacija.
BAS ISO/IEC 27013, Informaciona tehnologija ‒ Sigurnosne tehnike ‒ Smjernice za integrisanu implementaciju standarda ISO/IEC 27001 i ISO/IEC 20000-1
Ovaj međunarodni standard pruža organizacijama bolje razumijevanje karakteristika, sličnosti i razlika ISO/IEC 27001 i ISO/IEC 20000-1 kako bi pomogao u planiranju integriranog sustava upravljanja koji je usklađen s oba međunarodna standarda.
BAS ISO/IEC 27014, Informaciona tehnologija ‒ Sigurnosne tehnike ‒ Upravljanje sigurnošću informacija
Ovaj međunarodni standard pruža smjernice o načelima i procesima za upravljanje sigurnošću informacija, prema kojima organizacije mogu procijeniti, usmjeriti i nadgledati upravljanje sigurnošću informacija.
BAS ISO/IEC TR 27016, Informaciona tehnologija ‒ Sigurnosne tehnike ‒ Upravljanje sigurnošću informacija ‒ Organizaciona ekonomika
Ovo tehničko izvješće pruža metodologiju koja će omogućiti organizacijama bolje razumijevanje ekonomski kako preciznije procijeniti vrijednost informacijske imovine, procijeniti potencijalne rizike po tu informacijsku imovinu i odrediti optimalnu razinu resursa koju trebaju koristiti u osiguravanju informacijske imovine.

Standardi koji opisuju smjernice za specifične sektore

BAS ISO/IEC 27010, Informaciona tehnologija ‒ Sigurnosne tehnike ‒ Upravljanje sigurnošću informacija u komunikacijama unutar sektora i unutar organizacija
Ovaj je međunarodni standard primjenjiv na sve forme razmjene i dijeljenja osjetljivih informacija, javnih i privatnih, nacionalnih i međunarodnih, unutar istih ili različitih sektora.
BAS ISO/IEC 27011, Informaciona tehnologija ‒ Sigurnosne tehnike ‒ Smjernice za upravljanje sigurnošću informacija za telekomunikacijske organizacije zasnovane na ISO/IEC 27002
ISO/IEC 27011 omogućuje organizacijama za telekomunikaciju da ispune osnovne zahtjeve upravljanja sigurnošću informacija za povjerljivost, integritet, dostupnost i bilo koje druge relevantne sigurnosne osobine.
BAS ISO/IEC TR 27015, Informacione tehnologije ‒ Sigurnosne tehnike ‒ Smjernice za upravljanje sigurnošću informacija kod finansijskih usluga  
Ovo tehničko izvješće pruža smjernice kao dodatak smjernicama datim u ISO/IEC 27000 obitelji standarda za pokretanje, implementaciju, održavanje i unapređenje sigurnosti informacija unutar organizacije koja pruža financijske usluge.
ISO/IEC 27017 (u planu za usvajanje kao BAS standard), Informaciona tehnologija ‒ Sigurnosne tehnike ‒ Pravilo dobre prakse za kontrole sigurnosti informacija baziranim na ISO/IEC 27002 za servise u oblaku (cloud)
Ovaj međunarodni standard pruža kontrole i smjernice za implementaciju za pružatelje i korisnike servisa u oblaku.
BAS ISO/IEC 27018, Informaciona tehnologija ‒ Sigurnosne tehnike ‒ Pravilo dobre prakse za zaštitu ličnih informacija (PII) u javnim oblacima koji obrađuju PII
Ovaj je međunarodni standard  primjenjiv na sve organizacije, uključujući javne i privatne tvrtke, vladina tijela i neprofitne organizacije, koje pod ugovorom pružaju usluge obrade informacija kao PII procesori putem računalstva u oblaku drugim organizacijama.
BAS ISO/IEC TR 27019, Informacione tehnologije ‒ Sigurnosne tehnike ‒ Smjernice za upravljanje sigurnošću informacija bazirane na ISO/IEC 27002 za sisteme kontrole procesa specifične za energetiku
Kao dodatak ciljevima sigurnosti i mjerama koje su postavljene u ISO/IEC 27002, ovo tehničko izvješće pruža smjernice za kontrolu sigurnosti informacija, za sustave koje koriste energetska postrojenja i snabdjevači energijom.
BAS ISO 27799, Zdravstvena informatika ‒ Upravljanje sigurnošću informacija o zdravlju korištenjem ISO/IEC 27002
ISO 27799 pruža  zdravstvenim organizacijama adaptaciju smjernica ISO/IEC 27002 standarda, na jedinstven način za njihov industrijski sektor.