Кога кон крајот на 2005-тата година сите банки во светот, согласно Базел-II договорот имаа обврска да воведат систем за управување со безбедноста на информациите, и ние консултантите, а и банкарите, мислевме дека е тоа еднократна регулатива – “вежба” за усогласеност, која ќе мора брзо да ја спроведеме, а потоа сите да ја заборавиме.
Но, не испадна така: регулаторните барања постојано се зголемуваа во обем и квалитет, поттикнати од трендовите на хакерството, тероризмот, перењето на пари, даночната евазија, заштитата на личните податоци, финансиската криза од 2008-та…
Поради сите овие претходно наведени причини, и да не се регулативите, заштитата на информациите станува суштествена потреба на фирмите, без која тие не би можеле на подолг рок да опстанат на начин кој е безбеден за нив и за нивните клиенти. Денес, големите компании повеќе трошат на безбедност и на усогласување со регулаторните барања, отколку за многу други потреби од нивниот бизнис.
Многу пати ни се поставува прашањето: кои критериуми треба да се задоволат за да се постигне информативна сигурност и усогласеност со регулаторните барања? Одговорот е доста комплексен и во продолжение се наведени некои од главните аспекти.
Технички мерки
ИТ професионалците се секогаш склони да ги интерпретираат мерките за заштита и регулаторните барања преку разни производи кои се наменети за спроведување на техничките контроли за безбедност. Ова е во ред, но само делумно, бидејќи без соодветна поставеност, почитување на правилата (guidance) и правна имплементација во рамки на организацијата, техничките мерки стануваат несуштински.
Сепак, би навеле само неколку од најважните технички мерки, како што се: огнени ѕидови (firewall), енкрипција на комуникациите, заштита од вируси и други штетни содржини во мејл пораките и во веб страниците, надзор на систем-администраторските логови и обезбедување на ревизорски траги (Log Management, SIEM), следење на активностите во базите на податоци (Database Activity Monitoring-DAM), управување со пристапот и идентитетот (Access Management, Identity Management), управување со деловниот континуитет (Business Continuity Management) итн. Во поново време, станува актуелен и концептот на тнр. когнитивна безбедност (Cognitive Security), каде што системите на интегрален и интелигентен начин ги препознаваат заканите.
Во делот на спречувањето на перење на пари и финансирање на тероризам, постојат софтверски решенија за таа намена.
Tехничките мерки обезбедуваат заштита на информатичките системи на техничко ниво, и со тоа повисоко ниво на безбедност. Тие се потребен, но не и доволен услов за безбедност и заштита од хакерски напади или други причини за загуба на податоци, на средства, или на клиенти.
Организациски мерки
Компаниите мораат соодветно да се профилираат за да се заштитат од безбедносните закани и упади. Во рамки на поголемите организации функционираат цели тимови за усогласеност, кои водат контрола за придржувањето кон процесната, правната, техничката и физичката заштита на информациите и на безбедноста. Овде би навеле некои од нив:
Во рамки на секоја поголема организација треба да постои офицер за заштита на личните податоци, но исто така и офицер за безбедност на информациите (кај помали организации, може да се обединат овие две функции во исто лице).
Управувањето со човечките ресурси треба да вклучува правила за прием и раздолжување на вработените при вработување и отпуштање, и договори за вработување кои ќе содржат одредби за заштита на информациите.
Договорите со добавувачите треба да вклучуваат одредби соодветни на безбедносните правила на организацијата.
Правниот тим на организацијата мора да ги следи сите регулативи и нивните промени кои се однесуваат на нејзиното работење, итн.
Деловни мерки
Особено компаниите кои работат со голем број на клиенти се цел на разни измами, злоупотреби и ризици. Ова е евидентно кај банките, осигурителните компании, телекомите, но и кај дистрибутерите на електрична енергија, на пример.
Поради тоа, дел од безбедносните мерки се однесуваат на континуирано следење на клиентите – од мигот на воспоставување на деловен однос и понатаму, за да се предвидат и спречат евентуалните ризици. Системите за познавање на клиентите (Know Your Customer-KYC) и за откривање на измами (Fraud Detection-FD) овозможуваат рангирање и следење на ризичните клиенти и соодветно детектирање и спречување на измами во рана фаза, или дури и пред тие да настанат.
Стандарди и регулативи
Воведувањето на Систем за управување со безбедноста на информациите е значаен сегмент во постигнувањето на усогласеноста во организацијата. Веќе подолго време, сите регулативи кои се однесуваат на оваа област, како што се Базел-2, заштитата на личните податоци, супервизорските правила за банките и осигурителните компании, итн. се засноваат на контролите пропишани со серијата на стандарди ИСО27000. Покрај оваа серија, стандардот ИСО22301 се користи конкретно за обезбедувањето на деловен континуитет (Business Continuity Management-BCM).
Од друга страна се и регулативите кои произлегуваат од ФАТФ – (Financial Action Task Force) – меѓувладиното тело формирано за да развие заеднички меѓународни стандарди за спречување на перењето на пари и финансирањето на тероризам.
Регулативите за заштита на личните податоци се преточени и во соодветни Директиви на ЕУ, со што стануваат дел од националните законодавства на земјите-членки и аспиранти.
На ова се надоврзуваат во последно време и мерките за спречување на даночната евазија преку меѓународно известување од финансиските организации до националните даночни власти, кое во САД се нарекува ФАТКА (Foreign Account Tax Compliance Act), а во ЕУ ЦРС (Common Reporting Standard) предвиден со Директивата за задолжителна автоматска размена на даночни информации.
… И како заклучок
Безбедноста и усогласеноста на организациите е континуиран и растечки процес. Таа не завршува со воведувањето на одредени технички мерки или со исполнувањето на одредени регулаторни барања во еден даден момент.
Предизвиците, а со тоа и техничките мерки, регулаторните барања, а и деловните барања на клиентите, постојано растат и стануваат сѐ посложени, а со тоа и обврските и одговорноста на организациите.
Од друга страна, воведувањето на ефективен и регулаторно усогласен систем за управување со безбедноста на информациите е сложен проект, кој може да стане прескап за организацијата доколку не се спроведе со практично знаење и такт. Затоа организациите кои немаат доволно искуство во оваа област можат многу да заштедат доколку аутсорсираат дел од своите операции, или доколку ангажираат надворешни консултанти кои ќе им помогнат да направат оптимален спој помеѓу потребите и можностите. Но тоа вложување во усогласеноста секако мора да се направи, за да се задоволат пред сѐ клиентите, а потоа и пошироката заедница.
Информација за авторот
Георги Милев
Георги Милев е консултант со долгогодишно искуство во воведувањето на стандардите ISO 9001, ISO 14000, ISO 27000 и ISO20000. Од 2003-та е и сертифициран менаџмент консултант (CMC), а од 2009-та и водечки меѓународен аудитор за стандардите ISO 20000 и ISO 27000 за групацијата CIS – Certification & Information Security GmbH со седиште во Виена.
Во својата кариера Георги има работено како консултант и аудитор во повеќето поголеми фирми во Македонија, но и за глобални корпорации во регионот и во светот.