I pored velikih prednosti: Korištenje standarda ISO 27001 u BiH još uvijek na niskom nivou

Certifikacija na ISO 27001 ISMS-a organizacije je važan korak. Jasno se pokazuje klijentima, dobavljačima, partnerima i nadležnim organima da organizacija ima bezbjedan sistem upravljanja informacijama.​

Postoje brojni direktni i praktični razlozi za implementaciju sistema sigurnosti informacija i sistema upravljanja sigurnošću informacija (ISMS) koji može nezavisno da se certifikuje prema ISO 27001:2013. Certifikat stalnim i budućim klijentima ukazuje da je kompanija uspostavila i definisala efektivne procese zaštite informacija i time stvorila pouzdan odnos. Također, proces certifikacije pomaže organizaciji da se fokusira na stalno unaprijeđenje bezbjednosti informacija. Naravno, prije svega, certifikacija i redovno externo preispitivanje od kog zavisi stalna certifikacija, obezbjeđuju da organizacija na očekivanom nivou održava sistem sigurnosti informacija i da nastavlja da uvjerava klijente i poslovne partnere o svojoj sposobnosti da uspješno posluje.

O ovoj temi za Akta.ba govori Nermin Mahmutović, direktor Instituta za standarde i sigurnost.

Zašto je ISO 27001 dobar za kompaniju i koliko je važna njegova implementacija?

- ISO/IEC 27001:2013 specificira zahtjeve za uspostavljanje, primjenu, održavanje i stalno poboljšavanje sistema menadžmenta sigurnosti informacija unutar konteksta organizacije. Ovaj međunarodni standard takođe obuhvata zahtjeve za ocjenjivanje rizika i postupanje sa rizicima po sigurnost informacija koji odgovaraju potrebama organizacije. Implementacija (tj. primjena i sprovođenje) zahtjeva standarda u poslovnoj praksi organizacije, po pravilu, dovodi do jačanja postojećih tržišnih pozicija i istovremeno otvara mogućnost učešća na novim tržištima, dugoročno jača konkurentnost preduzeća i usklađenost poslovanja sa zahtjevima domaćih, stranih i međunarodnih zakona i propisa.

Također, ISO 27001 je fokusiran na zaštitu povjerljivosti, cjelovitosti i raspoloživosti podataka u kompaniji.

Imate li podatak koliko njih ga posjeduje u BiH, odnosno zadovoljava kriterije?

- ISO 27001 može biti implementiran u bilo kojoj organizaciji, profitnoj ili neprofitnoj, privatnoj ili državnoj, maloj ili velikoj. Napisali su ga najbolji svjetski stručnjaci na polju informacijske sigurnosti i propisuje metodologiju za primjenu upravljanja sigurnosti informacija u organizaciji.

U BiH nažalost, još uvijek ne postoji registar ili institucija koja bi mogla reći broj kompanija koje posjeduju ISO certificate 27001:2013 i druge.

Kakav je nivo korporativne svijesti u našoj zemlji u ovom pogledu? Koliko je certifikata izdano u protekloj godini i zaostajemo li za ostalim zemljama?

- Nezavisno od veličine i obima aktivnosti, organizacije nastoje da za svoj ISMS dobiju certifikate ISO 27001. Čak i kada se organizacije ne odluče dobrovoljno primijeniti ISO 27001, mnoge organizacije moraju biti certificirane na osnovu ugovornih ugovora sa svojim korisnicima. Prema najnovijem istraživanju ISO -a, provedenom 2019. godine, pionir u dobijanju certifikata ISO 27001 je Kina s 8,3 hiljade izdanih certifikata. Slijede Japan sa 5,2 hiljade certifikata, Velika Britanija (2,8), Indija (2,3), Italija (1,3), Njemačka (1,1), Holandija i Španija (938).

Nažalost, u Bosni i Hercegovini je jako mali broj certificiranih kompanija prema ISO 27001:2013.

Šta pokazuje dosadašnja praksa? U kojim je sektorima najviše zastupljen standard ISO 27001?

- ISO 27001:2013 najviše je zastupljen u kompanijama koje rade sa podacima, IT kompanijama, avio, expres, poštanskim i drugim kompanijama kojima druga zainteresovana strana traži dokaz o kompetencijama prema ISO 27001.

Certifikacijom kompanija/organizacija uvjerava klijente i poslovne partnere o svojoj sposobnosti da uspješno posluje? Koji su još benefiti?

- Međunarodno prepoznati i priznati certifikati, koji dolaze kao rezultat uspješne implementacije standardom zahtjevanih rješenja i procesa certifikacije, organizacijama omogućavaju firmi  da javnosti ukaže na svoju opredjeljenost ka profesionalizmu, posvećenost neprekidnom usavršavanju svojih odnosa sa klijentima, partnerima i investitorima, i nastojanju da ostvare i zadrže prestižan nivo profesionalnog kredibiliteta u svim oblastima svog poslovanja.

Još neki od benefita su učestvovanje na javnim nabavkama, preduslov za rad sa inostranim korisnicima, preduslov za saradnju sa velikim sistemima, povećanje povjerenja korisnika usluga, smanjenje kompromitovanja informacija, podizanje svijesti i kulture zaposlenih o značaju sigurnosti informacija, smanjenje rizika i troškova oporavka od incidenata, sprovođenje adekvatnih tehničkih, organizacionih i kadrovskih mjera, zadovoljavanje pravnih zahtjeva itd. Postoji sve više zakona, propisa i ugovornih zahtjeva u vezi informacijske bezbjednosti, a dobra vijest je da se većina može riješiti primjenom ISO 27001 – ovaj standard pruža savršenu metodologiju za usklađenost sa svima njima.

Dakle, ovaj standard opisuje kako upravljati informacijskom sigurnošću u nekoj firmi. Recite nam nešto više o zahtjevima u okviru ovog standarda koji se odnose na kontrolu fizičkog ulaska i rukovanju informacijama, skladištenju IT imovine i sl.? 

ISO 27001:2013 ima kontrolu prema zahtjevu standarda A.11.1.2 a to je "Kontrola fizičkog ulaska" gdje stoji da sigurna područja treba zaštititi odgovarajućim kontrolama ulaska kako bi se obezbjedilo da samo ovlaštena lica imaju pravo pristupa.

Smjernice za kontrolu fizičkog ulaska mogu biti: 

- datum i vrijeme ulaska i izlaska posjetilaca treba zabilježiti, i svi posjetioci treba da imaju pratnju, osim ukoliko im ranije nije odobren ulaz;

- posjetiocima treba dati uputstva o sigurnosnim zahtjevima za dato područje ;

- identitet posjetilaca se treba utvrditi putem odgovarajućih sredstava;

- svi zaposleni, ugovarači i eksterne strane treba da budu u obavezi da nose neki oblik vidljive identifikacije;

- pristup oblastima gdje se obrađuju ili čuvaju povjerljive informacije treba da budu ograničeni na ovlaštena lica;

- fizički dnevnik ili elektronski audit trag svih pristupa treba sigurno održavati i nadzirati.

Kada govorimo o rukovanju i skladištenju informacija ISO 27001 je precizirao oblast A.8.2.3 "Rukovanje informacijama" gdje se kaže da treba razviti i implementirati proceduru za rukovanje informacijama u skladu sa šemom za klasifikaciju informacija, koju je organizacija usvojila.

Smjernice za rukovanje informacijama su:

- održavanje zapisa o ovlaštenim primaocima imovine;

- jasno označavanje svih kopija, kako bi se znalo ko je ovlašteni primalac

- zaštita kopija informacija treba da bude u skladu sa zaštitom originalnih Informacija

- skladištenje IT imovine u skladu sa specifikacijama proizvođača

Da li se uspješnim implementiranjem sistema upravljanja informacijskom sigurnošću (ISMS) na podlogama standarda ISO/IEC 27001, sigurnosni rizici svode na manji nivo?

- Kompanije koje uspostave ISMS politiku, ciljeve, procese i procedure važne za upravljanje rizikom i poboljšanje informacijske rizike svode na sami minimum.

Opšte je pravilo da će organizacija koja implementira standard dobro postupiti ako naročito, obrati pažnju na sam tekst standarda i bude svjesna bilo kojih njegovih izmjena. Neusaglašenost sa bilo kojim revizijama predstavljaće prijetnju po postojeću certifikaciju. Sam standard je ono na osnovu čega će se ocjenjivati bilo koji ISMS; tamo gdje postoji bilo koja neusklađenost između datih savjeta ili bilo koje druge smjernice za implementaciju ISO 27001:2013 i samog standarda, pažnje treba da se usmjeri na tekst u standardu. Eksterni auditor će ocjenjivati ISMS na osnovu objavljenog standarda a ne na osnovu savjeta datih u ovom tekstu ili od strane nekog drugog.

Stoga je važno da oni koji su odgovorni za ISMS budu u mogućnosti da se explicitno pozovu na njegove klauzule i namjeru i treba da budu u mogućnosti da brane, bilo koje korake implementacije koje su preduzeli na osnovu samog standarda. Prvi odgovarajući korak je, stoga, da se nabavi i pročita primjerak međunarodnog standarda ISO/IEC 27001:2013.

Bezbjedan sistem upravljanja informacijama je jedna od prednosti implementacije. Koje se još prednosti stiču certifikatom ISO/IEC 27001:2013?

- Navest ću pet razloga zašto će određena organizacija imati benefite od certifikacije prema ISO 27001.

1. Omogućava organizacijama da izbjegnu skupe kazne povezane s nepoštivanjem zahtjeva za zaštitu podataka i finansijske gubitke koji su posljedica kršenja podataka;

2. Zaštita svoje reputacije - Cyber ​​napadi su u porastu u cijeloj Evropi i ostatku svijeta i mogu imati ogroman uticaj na vašu organizaciju i njen ugled. ISMS (sistem upravljanja informacionom sigurnošću) sa certifikatom ISO 27001 pomaže u zaštiti organizacije i čuva od posljedica;

3. ISO 27001 tjera vas da poštujte poslovne, pravne, ugovorne i regulatorne zahtjeve.

ISO 27001 certifikat je također u skladu sa strogim regulatornim zahtjevima kao što su GDPR (Opšta uredba o zaštiti podataka), NIS Direktiva (Direktiva o sigurnosti mreža i informacionih sistema) i drugi zakoni o o zaštiti ličnih I tajnih podataka kako u zemlji tako u inostranstvu.

4. Poboljšava strukturu i fokus jer kada organizacija brzo raste, ne prođe mnogo vremena dok dođe do zabune oko odgovornosti za imovinu informacija. ISO 27001 pomaže organizacijama da postave jasne odgovornosti za rizik informacija.

5. Smanjuje potrebu za čestim revizijama. ISO 27001 certifikat je globalno prihvaćen i pokazuje efikasnu sigurnost, smanjujući potrebu za ponovnom revizijom kupaca.

Koji su ključni koraci implementacije ISMS-a prema standardu ISO 27001?

- Tri  sigurnosna cilja ISMS –a prema standardu Iso 27001 su zaštita tri aspekta informacija i to:

Povjerljivost: samo ovlaštene osobe imaju pravo pristupa informacijama.

Integritet: samo ovlaštene osobe mogu promijeniti podatke.

Dostupnost: informacije moraju biti dostupne ovlaštenim osobama kad god su potrebne.

S. Bijedić