179

DR. SC. NENAD INJAC,«OSKAR» - Zagreb

SIGURNOST INFORMACIJSKIH

SUSTAVA KAO NEOPHODAN DIO SUSTAVA KVALITETE

Ključne riječi: Kvaliteta, informacijska sigurnost, norme serije ISO 9000ff, norma ISO 17799:2002, norma ISO BS 7799:2002 – II dio

SAŽETAK:

U radu se razmatra postojeće stanje i razvoj informacijske tehnologije te njen utjecaj na sustave kvalitete. Osobita pažnja posvećena je nužnosti zaštite svih vrsta podataka i upravljanju informacijskom sigurnošću. Kao elementarna pretpostavka zaštite informacijskih sustava upućuje se na primjenu normi BS 7799:2000 – I dio, BS 7799:2002 – II dio i ISO 17799:2002. Navedene norme su namijenjene sigurnosti informacijskih sustava svih tipova i oblika organizacija. Prvenstveni cilj im je implementacija (BS 7799:2000 – I dio i ISO 17799:2002) i auditiranje (BS 17799:2002 – II dio) sigurnosnog informacijskog sustava prema propisanim zahtjevima i dobivanje međunarodnog certifi kata. Time se, istodobno, osigurava i minimalna razina kvalitete sustava kvalitete organizacije.

UVOD

Informacijska sigurnost je stupanj zaštite i otpornosti informacijskog sustava na sve vidove ugrožavanja. U sebi objedinjuje raspoloživa sredstva, metode, aktivnosti i organizaciju koji maksimalno smanjuju rizike od svih oblika entropije, unutarnjih i vanjskih napada te narušavanja optimalnog nastanka, obrade, distribucije i arhiviranja podataka.

Informacijsku sigurnost karakteriziraju tri parametra:

- povjerljivost (confi dentiality) koja jamči siguran pristup informaciji isključivo za to ovlaštenoj osobi,

- integritet (integrity) koji podrazumijeva kompletnu zaštitu ispravnosti i cjelokupnosti svih metoda vezanih za informacije i procese,

- raspoloživost (availability) č- ije je svojstvo osiguranje autoriziranoj osobi pravodoban i korektan pristup traženoj informaciji i sredstvima preko kojih se prenosi ili putem kojih se arhivira.

Informacijska sigurnost je potrebna zbog:- zaštite svih vidova vlasništva organizacije,- osiguranja nesmetanog odvijanja svih

procesa,- zaštite od svih oblika ugrožavanja (kako

180

vanjskih tako i unutrašnjih),- specifi čne zaštite svih oblika prijema,

obrade,- distribucije i arhiviranja podataka i - specifi čne zaštite od informatičkih napada

(od virusa i upada u sustav do sabotaže)

Potpuna (apsolutna) informacijska sigurnost ne postoji! U većini slučajeva «apsolutna» zaštita dovodi do toga da je ugrožavanje u bilo kojem obliku (vremenskom, fi nancijskom, ljudskom, sigurnosnom itd.) apsolutno neisplativo. Međutim, odsustvo minimalno potrebne zaštite spada u domenu maksimalno mogućeg ugrožavanja rada pojedinca i organizacije. Pri tome je kvaliteta, osiguranje kvalitete i upravljanje kvalitetom bilo koje i bilo kakve organizacije fi ktivna kategorija. Stoga korektna i primjerena zaštita od bilo kojeg oblika informacijskog ugrožavanja samo smanjuje postojeće rizike na prihvatljivu razinu i formira kvalitetu sustava kao realno prihvatljivu kategoriju.

NORME ZA ZAŠTITU INFO-RMACIJSKIH SUSTAVA

Norme za informacijsku sigurnost (IS) su:- BS 7799 I dio,- BS 7788 II dio,- ISO 17799

Prve dvije norme potječu iz Engleske (British Standard odnosno BS) dok je treća međunarodno priznata (ISO). Norma ISO 17799 je nastala iz norme BS 7799 I dio.

Budući je norma ISO 17799:2002 izravno nastala iz norme BS 7799:2000 I dio, u praktičnoj primjeni širom svijeta su samo dvije norme:

- ISO 17999:2002 i- BS 7799:2002.

Zbog porijekla i eventualnih nadopuna, često se sreće i sljedeće označavanje prve dvije norme - kao cjeline

- BS 9977-I dio/ISO 17799Norme za informacijsku sigurnost nastajale su

sljedećim redom:- formiranje radne skupine za IS u Engleskoj

– 1993. godine,- prikupljanje iskustava najbolje prakse – 1993.

godine,- preuzimanje projekta od strane BS (British

Standard) – 1995. godine,- pojava norme BS 7799 I dio – 1998. godine,- pojava norme BS 7799 II dio – 1998.

godine,- revizija 1. i 2. dijela norme – 1999. godine,- nastanak norme ISO/IEC 17799:2002.

godine na osnovi druge revizije BS 7799 I dio iz 2000. godine,

- druga revizija norme BS 7799 II dio – 2002. godine.

Kao dodatne (pomoćne) norme za informacijsku sigurnost (IS) preporučuje se serija normi za sigurnost informacijske tehnologije (IT) :

- ISO/IEC 13335 – 1 do 5- ISO/IEC 15408 – 1 do 3

Cijela serija normi ISO 13335 je dana u formi vodiča (Guidelines) ili priručnika za sigurnost informacijskih tehnologija. Norme serije ISO 14408 su namijenjene tehnikama sigurnosti i kriterijima ocjenjivanja IT.

NORMA ISO 17799

Službeni naziv norme ISO 17799:2002 na engleskom jeziku glasi:

- Information technology — Code of practice for information security management

U slobodnijem prijevodu ovaj naslov bi se mogao dati kao:

- Informacijska tehnologija – Praktični propisi za upravljanje informacijskom sigurnošću

Norma ISO 17799 nije:- službeni (državni) propis,- tehnička norma,- proizvod ili tehnološka uputa,- norma za opremu.

Norma ISO 17799 je:- skup pravila nastao iz dobre prakse,- veza s 5. dijelom “Priručnika za upravljanje

sigurnošću informacijskih tehnologija” – ISO 13335,

- nastavak i nadogradnja norme BS 7799 – I dio.

Izravne koristi od norme ISO 17799 su:- međunarodno priznata, strukturirana

metodologija,- defi nirani procesi za razvoj, implementaciju,

održavanje i upravljanje IS,

181

- određena metodologija izrade politika, normi, postupaka i uputa,

- priprema za propisanu certifi kaciju IS organizacije,

- priznate marketinške, tržišne i osiguravajuće prednosti.

Pitanje: zašto je potrebna IS (informacijska sigurnost) organizacije? - istovjetno je pitanju: zašto je potreban zdrav i otporan živčani sustav bilo kojem živom biću a prije svega čovjeku?

Loše ili nepouzdano funkcioniranje živčanog sustava kod živih bića dovodi do najtežih oblika bolesti organizma a nerijetko i do smrti (kod čovjeka se tim bave posebne znanosti – od neurologije do psihologije i psihijatrije). Loš ili nepouzdan informacijski sustav organizacije u najvećem broju slučajeva znači i prestanak njenog postojanja.

Postoje 3 (tri) izvora na osnovu kojih se uspostavljaju zahtjevi za IS:

- ocjena rizika u organizaciji,- svi zakonski akti vezani za rad organizacije i

sve veze s partnerima (od ugovora do protoka informacija i dobara),

- skup principa, ciljeva i zahtjeva za bilo koji oblik postojanja i procesiranja informacija.

Dobra praksa je utvrdila da su kritični faktori kod uspostave IS:

a.) politika sigurnosti, ciljevi i aktivnosti koji podržavaju poslovanje,

b.) implementacija IS koja odgovara poslovnoj kulturi organizacije,

c.) vidljivo razumijevanje i podrška od strane vrhovne uprave,

d.) dobro opće razumijevanje zahtijeva, rizika i upravljanjem rizicima,

e.) efi kasno i stalno objašnjavanje značaja IS upravi i zaposlenima,

f.) distribucija priručnika IS i normi svim zaposlenim i partnerima,

g.) stalno provođenje treninga i školovanja,h.) stalno mjerenje i ocjene stanja u svrhu

kontinuiranog poboljšanja IS.

Cilj politike sigurnosti (ovdje se prije svega misli na informacijsku sigurnost organizacije) je izgradnja takvog stava i ponašanja svih zaposlenih (prije svega vrhovne uprave) koji mora biti sastavni dio kulture tvrtke i ponašanja svakog pojedinca.

To sve mora imati obvezujuću zakonsku normu

koja se temelji na Priručniku IS i postojećoj legislativi (zakonima i propisima). Realna opasnost ugrožavanja IS se mora prihvati kao životna činjenica i dio stvarnosti.

SUSTAV KVALITETE I INFORMACIJSKA SIGURNOST

Sustav kvalitete organizacije određen je serijom normi ISO 9000ff i ISO 10000ff. Njihova nadopuna je danas, prvenstveno serija normi ISO 14000ff (upravljanje okolišem) i OHSAS 18001 (upravljanje zdravljem i sigurnošću).

Međutim, kako danas stvari stoje, za očekivati je kako će se ovoj trojci uskoro pridružiti i norma za sigurnost informacijskih sustava – ISO 17799:2002. Ukoliko se to ne shvati, ugroženost organizacije na najosjetljivijem mjestu, informacijskom sustavu, biti će veoma realno i dramatično ugrožena.

Implementacija zahtjeva za sigurnost svih vrsta manipulacija informacijama je istodobno prvo načelo sustava kvalitete organizacije. Raspad informacijskog sustava znači skoro uvijek i defi nitivan kraj organizacije.

Kvaliteta počinje i završava riječju.

Literatura:

1. Serija normi ISO 9000ff2. Serija normi ISO 10000ff3. Norma ISO 17799:20024. Norma BS 7799:2002 – drugi dio5. Norma ISO/IEC 13335:2000 – 1 do 56. Norma ISO/IEC 15408:2000 – 1 do 37. OSKAR – nastavni materijali 1999 - 2004

SECURITY OF INFORMATION SYSTEM AS AN ESSENTIAL PART OF QUALITY SYSTEM

SUMMARY:

This paper considers the existing state and the development of information technology and its infl uence on quality system. Elementary assumptions of information system protection are given by norms: BS 7799:2000 – fi rst part, BS 7799:2000 – second part and ISO 17799:2002. These norms are used to protect the information system of all kinds of organizations. Their fi rst aim is the implementation (BS 7799:2000 – fi rst part and ISO 17799:2002) and auditing (BS 7799:2000 second part) of security information system

182

prema propisanim requirements and receiving international certifi cate. At the same time the minimum level of quality of organizations quality system secured.

Key words: information system, ISO 9000ff series norms, ISO 17799:2000 norm, ISO BS 7799:2002 – part two