Povratak na sadržaj

KVALITETA NA INTERNETU
SIGURNOST INFORMACIJA

 

Pripremila: Andrea Božić, Saponia

Informacija je sredstvo, koje, kao i ostala važna sredstva poslovanja, dodaje vrijednost organizaciji i prema tome treba ju zaštititi. Zaštita informacija (Information security) štiti informacije od različitih prijetnji kako bi osigurala kontinuitet poslovanja, smanjila poslovne štete i povečala povrat na investiciju kao i poslovne prigode. Sustav upravljanja zaštitom informacija (Information Security Management System - ISMS) je sistematski pristup upravljanju osjetljivim podacima tvrtke kako bi oni ostali zaštićenima. On obuhvaća ljude, postupke i IT sustave. ISO/IEC 27001:2005 integrira procesni pristup iz ISO 9001:2000 i ISO 14001:2004 – uključujući krug Planiranje – Provođenje – Provjera - Postupanje (Plan-Do-Check-Act -PDCA) i zahtjeve za stalno unapređivanje. Nova norma tvori komplementaran par s nedavno objavljenom normom ISO/IEC 17799:2005 "code of practice" o upravljanju zaštitom informacija.

Zakonodavac je također postavio te norme kao nešto čega se tvrtke trebaju pridržavati u poslovanju, a kako nam je razgovor s nekima iz IT sektora pokazao, postoji poprilična doza nesigurnosti kako prevesti zahtjeve norme u stvarnost. Nadamo se da će vam ovaj mali pregled izvora informacija o tom pitanju pomoći da lakše primijenite norme u svojoj sredini.

Krenut ćemo s domaćim stranicama.

http://www.zik.hr/default.aspx?id=25  – Zavod za ispitivanje kvalitete nudi savjetovanje s područja sigurnosti informacijskih sustava, nadgledanje, hrvatski prijevod norme BS/ISO/IEC 27001, kao i seminare s tog područja.

http://www.infosecon.hr/index.php  – Udruga za promicanje informacijske sigurnosti – pogledajte njihov forum, ima zanimljivih podataka vezanih uz primjenu u Hrvatskoj, od toga kako se i gdje certificirati, što odabrati, itd.

http://www.isaca.hr/main.htm  - Udruga stručnjaka za reviziju, kontrolu i sigurnost informacijskog sustava – hrvatski ogranak. Preko njih možete postati certificirani menadžer za upravljanj sigurnosti informacijama, kao i saznati kakav je profil dobrg IT revizora, kako se vrši IT revizija, itd.

http://www.e-hrvatska.hr/ehrvatska/modules.php?name=Sections&op=viewarticle&artid=18  – Nacionalni program informacijske sigurnosti – što država čini i što planira poduzeti za poboljšanje informacijske sigurnosti.

Tvrtki koje se bave tim područjem ima dosta, no time se danas nećemo baviti. Večina tvrtki koje se bave uvođenjem informacijskih sustava nude i segment zaštite, cilj ovog članka je ipak edukativne prirode.

A sada u inozemstvo.

http://www.enisa.eu.int  – Europska agencija za mreže i informacijsku sigurnost Europske Unije služi kao servis komisijama i tijelima EU po pitanju informacijske sigurnosti, te kao ekspertni centar na tom području u Evropi. Obavezno pogledajte linkove i malo prosurfajte kako biste bolje upoznali europski prostor vezano uz sigurnost informacija.

http://www.iso.ch/iso/en/prods-services/popstds/informationsecurity.html  – web stranica ISO-a namijenjena boljem razumijevanju norme ISO 17799, te tehničkih zahtjeva norme.

http://www.sans.org/score/  - Score je inicijativa pokrenuta o SANS instituta i Centra za internetsku sigurnost. Cilj im je promoviranje, razvoj i objava sigurnosnih lista za provjeru, a grade ih koncenzusom i putem otvorene diskusije putem SCORE mailing lista. Uz to koriste i usluge certificiranih profesionalaca kad god je potrebno.

http://informationsecurity.techtarget.com/  - Information Security je vodeći izvor kritičkih, objektivnih informacija o strateškim i praktičnim pitanjima zaštite za voditelje zaštite i rizika tvrtke. Njihov tim iskusnih novinara i stručnjaka s područja pitanja zaštite otkriva sigurnosne propuste i probleme u tvrtkama i predlaže praktična rješenja.

http://reform.house.gov/UploadedFiles/Best%20Practices%20Bibliography.pdf  – popis dokumenata vezano uz zaštitu informacijskih sustava. Pregled i linkovi na dokumente OECD, raznih radnih grupa itd.

http://www.cccure.org/Documents/HISM/ewtoc.html  – priručnik na temu sigurnosti informacija – klikanjem na pojedine teme otvaraju se poglavlja.

http://www.iso27001security.com/index.html  – web stranica posvećena nizu normi ISO 27000 koje sadrže najbolja praktična uputstva za zaštitu povjerljivosti, cjelovitosti i dostupnosti informacija o kojima svi ovisimo – podaci o bankovnim računima, zdravstveni i obrambeni podaci, svi oblici intelektualnog vlasništva…

http://www.gao.gov/special.pubs/ai00033.pdf  – Upravljanje sigurnosnim rizicima povezanim uz sve veće oslanjanje države na informacijske tehnologije predstavlja stalni izazov. Posebno su državne agencije, kao i mnoge privatne tvrtke, pokušavale naći djelotvoran način za razumijevanje rizika koji utječu na njihove postupke i primjenu odgovarajućih mjera za smanjenje tih rizika. Ovaj priručnih postavlja osnove zaštite informacija u državnom sektoru. Korisno i za privatne tvrtke.

http://csrc.nist.gov/publications/nistpubs/800-53/SP800-53.pdf  – Preporučene sigurnosne kontrole za državne informacijske sustave. Information Technology Laboratory (ITL) pri National Institute of Standards and Technology (NIST) pruža tehničko vodstvo na polju mjerenja i infrastrukture. ITL razvija testove, testne metode, referentne podatke, dokaz o primjeni koncepata i tehničke analize za unapređivanje razvoja i produktivne uporabe informacijske tehnologije. ITL-ove odgovornosti uključuju razvoj normi i vodiča s područja upravljanja, administracije i tehnike za zaštitu podataka po razumnoj cijeni koji ne pripadaju u grupu podataka o nacionalnoj sigurnosti. Ovaj izvještaj govori o istraživanju i uputama za zaštitu informacijskih sustava, kao i o rezultatima suradnje s industrijom, vladinim i akademskim organizacijama.

http://www.iso-17799.com  - na ovim stranicama naći ćete podatke o pozadini ove međunarodne norme, njezin sadržaj, upute kako ju primijeniti i uskladiti se s njom, kao i podatke o komercijalnim izvorima koji vam mogu pomoći pri tome.

http://www.xisec.com  – Međunarodna grupa korisnika ISMS je međunarodna mreža poslovnih korisnika ISO/IEC 17799 i BS 7799-2. Osnovao ju je Odjel trgovine i industrije 1997. kako bi potakao razmjenu iskustava u uporabi tih normi. On ju i dalje podržava u sklopu svoje šire promocije najbolje prakse u poslovnim sustavima.

http://praxiom.com/iso-17799-2000.htm  – Norma “prevedena na jednostavan engleski” – kao što su pojednostavili 9001 i 14000, isto su napravili i s 17799.

http://www.17799.com  - ISO 17799 portal. Ovdje se objavljuju novosti, članci i ostale informacije vezane uz ISO 17799 i 27001, te BS 7799. Ovaj forum je prvenstveno zamišljen kao mjesto razmjene podataka o tim sustavima i interaktivni izvor informacija.

http://groups.yahoo.com/group/iso-27001/ , http://www.qualityforums.com  – forumi namijenjeni korisnicima norme kako bi raspravili eventualne nejasnoće i dobili različita viđenja i stavove, rješavali zajedničke probleme. Zgodno.

Izvora ima još, no uglavnom se svi svode na najosnovnije podatke o normama i najavu da će se baze popunjavati kako će norme dolaziti u širu uporabu. Nadamo se da će vam i ovo biti dovoljno za početak i uspješnu izgradnju vlastitih sustava, kao i usklađivanje sa zahtjevima normi.