Мерење на безбедност на информации – ефективност на контроли - ИСО 27004

Зголемената потреба за заштита на информациите од разните закани (губење, откривање на доверливи информации или компромитирање) како и новите барања за заштитата на личните податоци со кои организацијата управува (клиенти, вработени), бара имплементација на систем за управување со безбедност на информациите (Information Security Management System). Оние кои тоа го согледале, веќе вовеле таков систем во однос на стандардот ИСО27001 (самиот Закон за заштита на личните податоци е изваден од овој стандард). 

 

Стандардот, па и Законот бараат мониторирање на таквиот систем, кој не опфаќа само технички решенија, туку и човечки, организациски и технички аспекти.

Затоа е потребно сите овие апсекти да се следат и мерат, за да може да се утврди нивото на заштитата на податоците на организациите. Впрочем тоа се прашањата кои секое раководство ги поставува до своите одговорни лица – Кое е нашето ниво на ризик? Колку сме заштитени со имплементираните контроли? Дали соодветно се потрошени ресурси за имплементираните контроли (не се инвестира во контрола 100.000 еур за штети од 1000 еур)?

Стандардот ИСО27001 и 114-те контроли од Анексот, не даваат насоки како да се следи и мери ефективноста на имплементираните контроли, тоа е опишано во дополнителен документ од серијата на стандардот, односно ИСО27004 – Мерења за безбедност на информациите.

Мерењата се остваруваат преку: интерни проверки, технички средства (vulnerability scan tool), набљудување (посета на лице место), анализа на записи (бази, логови, ...), сценарија за намерно пробивање на контролите, тестови.

Слика – модел на мерење според ISO 27004

Слика – модел на мерење според ISO 27004

Дизајнот на мерењата започнува со утврдување на целите. Постојат деловни цели (пр. број на изгубени клиенти за време на голем прекин да не надмине х % – деловен континуитет), а постојат и цели на пониско ниво, односно на самите контроли (пр. 0 случаи на недозволен физички пристап до инф. системи).

Понатаму, потребно е да се утврди објектот на мерење. Тоа може да биде процес, план, проект, потрошени ресурси, систем или компоненти на систем, извештаи..

Секој објект има атрибут - својство или карактеристика која може да се одреди квантитативно или квалитативно, од човек или автоматски.

Основно мерење (base measurement) се дефинира како атрибут и се одредува методата за одредување на квантитетот – Пр. Број на обучени вработени, број на локации, вкупен трошок. Со прибирање на податоците се добива вредност на основното мерење. Дополнително за секое основно мерење е потребно да се утврди скалата, типот, како и единица-мерка.

Постојат и т.н. изведени мерења, како функција од две и повеќе основни мерења.

За секое мерење се дефинира и индикатор кој треба да прикаже тренд, однос на резултатите во однос на претходни мерења, како и критериуми за одлука. Пример: Ако бројот на неуспешни обиди за пристап до системот е зголемен за 15% во однос на минатата година (индикатор), а дефинирано е дека за зголемување од 10% на бројот на безбедносни настани е потребно да се реагира (донесе одлука од менаџмент). Доколку зголемувањето е за 6%, нема потреба од мерка.

Дополнително за секое мерење е потребно да се дефинираат индивидуалните одговорности на функциите во организацијата – кој е клиент на мерењето (најчесто раководството), кој го прегледува, кој е сопственик на информацијата, кој е колектор на информацијата, кој ја комуницира/пренесува информацијата. Исто така потребно е да се дефинира и фреквенцијата на мерењето, на прибирање на податоците, на анализата, известувањето за резултатите, период на ревизија на мерењето и периодот на мерењето.

Примери за мерења на безбедност на информации:

Примери за мерење

„Само тоа што се мери, може да се подобри“ е начелото на сите менаџмент системи (и стандарди), па оттаму и потребата да се воспостави методологија која ќе дефинира како да се мери и известува за нивото на безбедноста на информациите (податоците).

Мерење само колку да се измери нешто, нема никаква корист, напротив само ќе ги оптерети ресурсите (воглавно човечките) да се трошат во погрешна насока.

Организацијата, односно раководството мора точно да одреди што ќе мери и какви придобивки се очекуваат да се остварат.

Најдобар пристап во воспоставување на процес на мониторирање и мерење е да се почне со помал обем на мерења, истите да се интегрирани во деловните процеси и постепено да се зголемува обемот.

Примена на технички решенија во голема мерка го олеснува процесот на мерење, анализа и репортирање, па затоа треба да се разгледаат можности за примена на истите во редовните активности на одговорните лица.

Голема грешка е доколку се помисли дека со стекнување на меѓународно признаен сертификат за безбедност на информации, или помината проверка од страна на Дирекцијата за заштита на личните податоци, е остварена, односно завршила потребата од заштита на податоците. Напротив, имплементиран систем, значи дека е потребно континуирано подобрување на системот преку редовно мерење, анализа и носење корективни и превентивни акции.