Share

ISO norma 27001 – temelj za sigurnost informacija u javnoj upravi

ISO norma 27001 je temelj za sigurnost informacija u javnoj upravi, pogotovo u e-upravi koja je postala imperativ.

Petar Vušković, CEO Qnorma, potpredsjednik CEA

Informacijsko doba sa sobom nosi određene izazove o kojima se uvijek nedovoljno raspravlja. Osim što omogućuje efikasnost rada u javnim službama i državnim poduzećima kroz bržu obradu podataka i njihovu primjenu, informacijsko doba sa sobom nosi i rizik sigurnosti informacija. Ispravan odnos javnih tijela prema informacijama je pokazatelj stupnja razvoja i zrelosti demokracije. Javno tijelo je svaka administracija, institucija, ustanova ili drugo tijelo s javnim ovlastima koje obavlja javnu službu ili funkciju javnog interesa. Informacije s kojima javna tijela raspolažu moraju biti transparentne ali i zaštićene. To su dva osnovna uvjeta na kojima bi trebala počivati moderna javna uprava. Građanin mora dobiti informaciju koja je točna i pravovremena. S druge strane, mora se osigurati zaštita osobnih podataka i informacija nastalih kao rezultat obrade podataka.

Zakonska osnova je temeljna ali nije dovoljna

Kako bi se osigurala zaštita podataka Vijeće Europe donijelo je Konvenciju za zaštitu pojedinaca pri automatskoj obradi podataka i Preporuku o priopćavanju osobnih podataka koje posjeduju javna tijela. Vijeće Europe posvetilo je posebnu brigu za informacije koje nastaju djelatnošću tijela javne uprave, posebno kada je riječ o zaštiti temeljnih državnih interesa i zaštiti privatnosti osoba. Pravna osnova za zaštitu osobnih podataka definirana je i člankom 16. Ugovora o funkcioniranju Europske unije (UFEU), te člankom 7. i 8. Povelje o pravima Europske unije. Republika Hrvatska kao pravna sljedbenica EU, Zakon o zaštiti osobnih podataka temelji na direktivama Europskog parlamenta i Vijeća Europske unije o zaštiti pojedinca. Direktive su vezane uz obradu osobnih podataka i njihovo slobodan prijenos. Bitni zakoni kojima se definira sigurnost informacija su: Zakon o pravu na pristup informacijama, Zakon o tajnosti podataka, Zakon o informacijskoj sigurnosti, Zakon o elektroničkom potpisu, Zakon o elektroničkoj ispravi, zakoni povezani sa sigurnosnim službama i arhivama, Zakon o elektroničkoj trgovini te pravilnici i smjernice za sudionike na financijskom tržištu. Navedeni zakoni omogućuju sigurnost informacijama. Međutim, isti ne omogućuju upravljanje njihovom sigurnošću. Informacije su promjenjive kao i rizici povezani s njima. Zakonska predispozicija nije dovoljna.

ISO 27001:2013 kao skup pravila i procedura za upravljanje informacijskom sigurnošću

Vrijednost i značaj informacija za tijela javne uprave postaje sve veća i traže se pravila i procedure koje bi postigle informacijsku sigurnost, jedno od mogućih rješenja je ISO norma 27001:2013 – sustav upravljanja informacijskom sigurnošću. To je norma čiji je glavni cilj osigurati zaštitu informacija i informacijskih sustava od neovlaštenih pristupa, korištenja, primjene ili uništavanja. Važno je za napomenuti da ne postoji apsolutna sigurnost informacija. Ipak, sustav je zaštićen i siguran ako su zadovoljena tri aspekta informacijske sigurnosti: povjerljivost, integritet i dostupnost. Povjerljivost podrazumijeva tajnost podataka i informacija, odnosno da se podaci i informacije mogu otkriti samo ovlaštenim osobama u određeno vrijeme i na pravi način. Dostupnost podrazumijeva dostupnost i upotrebljivost podataka kada je potrebno i na pravi način. Integritet podrazumijeva točnost i potpunost podataka i informacija.

Uspostava ISO norme 27001:2013 u javnim tijelima se provodi u 8 faza

  1. Kada se potpiše odluka vodstva tijela javne uprave o implementaciji ISMS sustava, tada možemo reći da započinje projekt implementacije norme ISO/IEC 27001:2013. Vodstvo tijela ovom odlukom osigurava financijske i ljudske resurse te pokazuje svoju opredijeljenost za uvođenje, nadzor i poboljšavanje sustava.
  2. Drugi važan korak u fazi implementacije je osigurati podršku menadžmenta tijela javne uprave te osigurati i educirati tim za zaštitu informacija. Unutar tima se imenuje osoba koja je odgovorna za koordinaciju uvođenja sustava u javnoj upravi (predstavnik odjela za informacijsku sigurnost). Potrebno je odrediti i dokumentirati njihove uloge i odgovornosti vezane za zaštitu informacijske sigurnosti.
  3. Treći korak je uspostava i dokumentiranje područja upravljanja sigurnošću informacija. Područje upravljanja sigurnošću informacija (opseg) mora biti definirano u skladu s obilježjima javne uprave, njezine lokacije, vrijednosti i tehnologije. Nakon definiranja područja, moguće je izraditi Politiku informacijske sigurnosti i njome pružiti okvir za upravljanje ciljevima informacijske sigurnosti. Politika informacijske sigurnosti ima svrhu osigurati postojeće procese sukladno očekivanjima korisnika, kontinuitet poslovanja i prevenciju nastanka novih i smanjenje postojećih rizika.
  4. Četvrti korak je popis i vrednovanje imovine/resursa unutar tijela javne uprave. U ovom koraku se popisuje sva važna imovina koja se koristi za informacijsku sigurnost. Najvažnija imovina su informacije i podaci, ljudski resursi, hardver, softver, baze podataka, lokacija te organizacijska struktura. Procjena vrijednosti resursa mora uzeti u obzir zahtjeve povjerljivosti, integriteta i dostupnosti. U ovom koraku mora se izraditi klasifikacija podataka prema stupnjevima tajnosti (vrlo tajno, tajno, povjerljivo i ograničeno).
  5. Peti korak uključuje procjenu rizika. Rizik predstavlja vjerojatnost nastanka štetnog događaja. Prvo je potrebno odrediti koji štetni događaji mogu pogoditi resurse javne uprave, odrediti tko je vlasnik tih resursa, razviti metodologiju kojom se u opasnost i ranjivost, vjerojatnost nastanka štetnog događaja i kolike su posljedice štetnog događaja koji je već nastao. Potrebno je izraditi Plan upravljanja rizicima tj. odrediti neke od sljedećih opcija: smanjenje rizika, prihvaćanje rizika, izbjegavanje rizika ili prijenos rizika.
  6. Šesti korak je Izvješće o primjenjivosti koje sadrži mjere kontrole informacijske sigurnosti koje se već primjenjuju u javnoj upravi i koje se ne primjenjuju, a trebale bi. Neke od mjera kontrola informacijske sigurnosti su:
  • Odluka o sigurnosti informacija koja za cilj ima osigurati Politike sigurnosti informacija i njihovu ocjenu.
  • Organizacija sigurnosti informacija kojom se daju uloge i odgovornosti za sigurnost informacija (osigurano dokumentiranom informacijom Uloge i odgovornosti koja proizlazi iz treće faze implementacije).
  • Mobilni uređaji i rad na daljinu je mjera kojom se propisuje sva prijenosna računala koja se koriste za poslovanje izvan prostora javne uprave moraju biti registrirana u zapisima javne uprave, mora se znati tko je odgovoran za sigurnost registriranih prijenosnih računala. Rukovanje prijenosnim računalima van lokacija javne uprave mora biti odobreno od nadležne osobe te je potrebno voditi zapis o povezivanju prijenosnih računala na internet van javne uprave. Potrebno je šifrirati disk na prijenosnom računalu i voditi zapis o enkripciji diska.
  • Sigurnost ljudskih potencijala je mjera kojom se kandidati provjeravaju prije zapošljavanja i nakon zapošljavanja u tijela javne uprave. Rade se sigurnosne provjere kandidata sukladno vezanim zakonima i pravilnicima (potvrda o nekažnjavanju). Nakon zapošljavanja primjenjivost ove mjere gleda se rješenjem kojime državni službenik započinje rad i Pravilnikom o unutarnjem ustrojstvu. Primjenjivost ove mjere ogleda se i kroz svijest i izobrazbu zaposlenika u području sigurnosti informacija. Ako zaposlenik napušta odjel javne uprave nadležne osobe su dužne imenovati novu odgovornu osobu, osigurati da se svi javni zapisi u odvojenom zaposlenikovog posjedu prenesu na novu odgovornu osobu i izbrisati stari korisnički račun.
  • Klasifikacija informacija – primjenjivost ove mjere gleda se kroz klasifikaciju podataka prema tajnosti.
  • Rukovanje medijima je mjera kojom se želi spriječiti neovlašteno odavanje, modifikacija, uklanjanje ili uništavanje podataka na mediju. Potrebno je odrediti načine uništavanja podataka (fizičko ili digitalna demagnetizacija).
  • Kontrola pristupa i zaštita okoline je mjera kojom se ograničava pristup informacijama i prostorijama za obradu informacija. Potrebno je osigurati da svako računalo ima administratorski nalog te da se vodi, čuva i ažurira popis administrativnih pristupnih kodova. Računala i laptopi moraju biti zaštićeni lozinkama i svaki korisnik ima svoju lozinku i korisničko ime. Administrator mreže dokumentira administratorske lozinke za operativne sustave, stavlja ih u kuverte koje se zatvore i čuva u ormaru koji se zaključava. Lozinke ne smiju biti iste kao imena i prezimena zaposlenika te se moraju mijenjati najmanje svaka tri mjeseca.
  • Zaštita od štetnog softvera podrazumijeva da sva računala moraju imati licencirani odobreni antivirusni softver, instaliran i aktiviran na automatsku provjeru u prikladnim vremenskim intervalima. Baza virusa unutar Antivirusnog programa mora biti redovito ažurirana i aktualna za uporabu. Zaražena računala moraju biti odmah isključena s mreže do konačnog oporavka.
  • Pričuvni podaci – mjera koja podrazumijeva da je svaki zaposlenik odgovoran za izradu pričuvnih podataka. Pričuvni podaci se trebaju spremati na eksterni disk i spremati u sef.
  • Sigurnost informacija u odnosima s dobavljačima je mjera koja za cilj ima osigurati zaštitu imovine javne uprave koja je dostupna dobavljačima. Potrebno je osigurati zaštitu informacija koja je dostupna vanjskim tvrtkama kroz potpisivanje Izjave o povjerljivosti. Izjavu o povjerljivosti nije dužna potpisati samo tvrtka, već i osobe koje tvrtka šalje za obavljanje poslova.
  1. Sedmi korak implementacije je izrada dokumentacije koju zahtijeva norma ISO/IEC 27001:2013:
  1. Osmi korak su popravne radnje. Ako su ustanovljene određene nesukladnosti i nedostatci, potrebno je odrediti odgovorne osobe koje moraju osigurati njihove ispravke.

Implementacija ISO norme 27001:2013 u javnoj upravi omogućuje:

    1. Zaprimanje i tretiranje podataka i informacija od strane građana na najvišoj sigurnosnoj razini u smislu zaštite osobnih podataka i povezanih informacija
    2. Neautorizirani pristup informacijama
    3. Ispunjavanje legislativnih i regulatornih zahtjeva
    4. Kontinuitet poslovanja kroz provjeru rizika informacija
    5. Edukacije i usavršavanja po pitanju sigurnosti za zaposlenike
    6. Procesuiranje i temeljito istraživanje svih stvarnih i sumnjivih sigurnosnih propusta
    7. Suočavanje s najnovijim sigurnosnim prijetnjama na vrijeme
    8. Bolja zaštita hardvera i softvera
    9. Manje neautoriziranih pristupa i češća provjera lozinki
    10. Češće skeniranje Antivirusne zaštite
    11. Redovitija ažuriranja baza korisnika informacijskog sustava
    12. Sigurniji radni prostor i vanjsko okruženje
    13. Evidencija web adresa koje zaposlenici pretražuju