Зголемената потреба за заштита на информациите од разните закани (губење, откривање на доверливи информации или компромитирање) како и новите барања за заштитата на личните податоци со кои организацијата управува (клиенти, вработени), бара имплементација на систем за управување со безбедност на информациите (Information Security Management System). Оние кои тоа го согледале, веќе вовеле таков систем во однос на стандардот ИСО27001 (самиот Закон за заштита на личните податоци е изваден од овој стандард).
Стандардот, па и Законот бараат мониторирање на таквиот систем, кој не опфаќа само технички решенија, туку и човечки, организациски и технички аспекти.
Затоа е потребно сите овие апсекти да се следат и мерат, за да може да се утврди нивото на заштитата на податоците на организациите. Впрочем тоа се прашањата кои секое раководство ги поставува до своите одговорни лица – Кое е нашето ниво на ризик? Колку сме заштитени со имплементираните контроли? Дали соодветно се потрошени ресурси за имплементираните контроли (не се инвестира во контрола 100.000 еур за штети од 1000 еур)?
Стандардот ИСО27001 и 114-те контроли од Анексот, не даваат насоки како да се следи и мери ефективноста на имплементираните контроли, тоа е опишано во дополнителен документ од серијата на стандардот, односно ИСО27004 – Мерења за безбедност на информациите.
Мерењата се остваруваат преку: интерни проверки, технички средства (vulnerability scan tool), набљудување (посета на лице место), анализа на записи (бази, логови, …), сценарија за намерно пробивање на контролите, тестови.
Слика – модел на мерење според ISO 27004
Дизајнот на мерењата започнува со утврдување на целите. Постојат деловни цели (пр. број на изгубени клиенти за време на голем прекин да не надмине х % – деловен континуитет), а постојат и цели на пониско ниво, односно на самите контроли (пр. 0 случаи на недозволен физички пристап до инф. системи).
Понатаму, потребно е да се утврди објектот на мерење. Тоа може да биде процес, план, проект, потрошени ресурси, систем или компоненти на систем, извештаи..
Секој објект има атрибут – својство или карактеристика која може да се одреди квантитативно или квалитативно, од човек или автоматски.
Основно мерење (base measurement) се дефинира како атрибут и се одредува методата за одредување на квантитетот – Пр. Број на обучени вработени, број на локации, вкупен трошок. Со прибирање на податоците се добива вредност на основното мерење. Дополнително за секое основно мерење е потребно да се утврди скалата, типот, како и единица-мерка.
Постојат и т.н. изведени мерења, како функција од две и повеќе основни мерења.
За секое мерење се дефинира и индикатор кој треба да прикаже тренд, однос на резултатите во однос на претходни мерења, како и критериуми за одлука. Пример: Ако бројот на неуспешни обиди за пристап до системот е зголемен за 15% во однос на минатата година (индикатор), а дефинирано е дека за зголемување од 10% на бројот на безбедносни настани е потребно да се реагира (донесе одлука од менаџмент). Доколку зголемувањето е за 6%, нема потреба од мерка.
Дополнително за секое мерење е потребно да се дефинираат индивидуалните одговорности на функциите во организацијата – кој е клиент на мерењето (најчесто раководството), кој го прегледува, кој е сопственик на информацијата, кој е колектор на информацијата, кој ја комуницира/пренесува информацијата. Исто така потребно е да се дефинира и фреквенцијата на мерењето, на прибирање на податоците, на анализата, известувањето за резултатите, период на ревизија на мерењето и периодот на мерењето.
Примери за мерења на безбедност на информации:
„Само тоа што се мери, може да се подобри“ е начелото на сите менаџмент системи (и стандарди), па оттаму и потребата да се воспостави методологија која ќе дефинира како да се мери и известува за нивото на безбедноста на информациите (податоците).
Мерење само колку да се измери нешто, нема никаква корист, напротив само ќе ги оптерети ресурсите (воглавно човечките) да се трошат во погрешна насока.
Организацијата, односно раководството мора точно да одреди што ќе мери и какви придобивки се очекуваат да се остварат.
Најдобар пристап во воспоставување на процес на мониторирање и мерење е да се почне со помал обем на мерења, истите да се интегрирани во деловните процеси и постепено да се зголемува обемот.
Примена на технички решенија во голема мерка го олеснува процесот на мерење, анализа и репортирање, па затоа треба да се разгледаат можности за примена на истите во редовните активности на одговорните лица.
Голема грешка е доколку се помисли дека со стекнување на меѓународно признаен сертификат за безбедност на информации, или помината проверка од страна на Дирекцијата за заштита на личните податоци, е остварена, односно завршила потребата од заштита на податоците. Напротив, имплементиран систем, значи дека е потребно континуирано подобрување на системот преку редовно мерење, анализа и носење корективни и превентивни акции.
Информација за авторот
Игор Стевковски
Игор Стевковски е деловен консултант во областа на управување со менаџмент системите за квалитет (ИСО9001), животна средина (ИСО14001), безбедност на информации (ИСО27001), испорака на ИТ системи (ИСО20000 и ИТИЛ). Паралелно на ова, во последните неколку години работи и на имплементација на решенија за усогласеност со регулативите за борбата во спречување на перење пари.
На почетокот искуството во ИТ технологијата го стекнува како оперативна поддршка на критични кор-системи, како и во имплементација на решение за банкарско работење во една од поголемите банки во регионот.
Со доаѓањето во Нет.Бит, работи како консултант за имплементација на системи за безбедност на информации во повеќето банки во Р.Македонија, а во 2010/2011 година се стекна со сертификати за надворешен аудитор/проверувач за менаџмент системи за безбедност на информации (ИСО27001) и ИТ сервиси (ИСО20000).
Одржал и голем број на акредитирани обуки за барањата на овие менаџмент системи, управување со ризици, интерактивни работилници за обука за испорака на ИТ сервиси и сл.
Од 2009 започнува со посета на обуки и усовршување во делот на спречување на перење пари и примена на решенијата на Tonbeller – лидер во светски рамки, во дизајнирање на софистицирани програмски решенија за аналитика на финаниски и нефинансиски случувања.
Од 2010 па се до 2014, Игор работеше на успешна имплементација на АМЛ решенија во 11 банки, во и надвор од Р.Македонија.
Паралелно со овие активности, работи и како надворешен проверувач за независна сертификациска куќа од Австрија.