Norma ISO/IEC 27001 i financijske ustanove

Uvođenjem normi ISO/IEC 27001 i ISO/IEC 17799 podiže se razina sigurnosti od gubitka povjerljivih informacija, njihove krađe, oštećenja, upada u online sustave bankarstva, odavanja poslovnih informacija konkurenciji, priluškivanja…

U suvremenom poslovnom svijetu informacija je vrlo važna za uspješno poslovanje organizacije. Zato mora biti zaštićena na odgovarajući način. Informacijska sigurnost znači zaštitu informacije od širokog spektra rizika kako bi se osiguralo neprekidno poslovanje, minimizirale štete uslijed gubitka informacija, povrat ulaganja bio maksimalan a reputacija organizacije ostala na visokoj razini.

Sustav upravljanja sigurnošću informacija (Information Security Management System – ISMS) osigurava da informacije bitne za uspješno poslovanje organizacije budu sigurne i uvijek raspoložive. Usvajanje ISMS-a mora biti strateška odluka organizacije. Dizajn i implementacija ISMS-a uvjetovani su potrebama i ciljevima, sigurnosnim zahtjevima, uključenim procesima, veličinom i strukturom organizacije. Valja očekivati da će se ovi sustavi, kao i sustavi za podršku njihovu radu, tijekom vremena mijenjati, prateći potrebe organizacije.

Svrha međunarodnih normi ISO/IEC 27001 i ISO/IEC 17799 jest uvođenje sustava upravljanja informacijskom sigurnošću u javnom i privatnom poslovnom sektoru.

ISO/IEC 27001 je međunarodna norma pripremljena kako bi pružila model za uspostavljanje, implementaciju, rad, nadziranje, provjeru, održavanje i unapređivanje ISMS-a. Usklađena je s međunarodnim normama ISO 9001:2000 i ISO 14001:2004 kako bi podržala konzistentnu i integriranu implementaciju, kao i djelovanje u skladu s odgovarajućim normama upravljanja. Primjereno dizajnirani sustav upravljanja može zadovoljiti sve te norme.

Norma ISO/IEC 27001 definira zahtjeve za implementaciju sigurnosnih kontrola prilagođenih potrebama svake organizacije ili jednog njezina dijela. Zahtjevi uspostavljeni u ovoj međunarodnoj normi generički su, a moraju biti primjenjivi u svim organizacijama, bez obzira na njihovu vrstu, veličinu i prirodu.

ISMS se mora dizajnirati na način da osigura odabir adekvatnih sigurnosnih kontrola koje štite informacijske vrijednosti i pružaju povjerenje zainteresiranim stranama. Pri tome norma ISO/IEC 17799 pruža smjernice koje se mogu koristiti pri dizajniranju kontrola.

Isključivanje kontrola obaveznih za zadovoljavanje prihvata rizika mora biti opravdano pa stoga valja pružiti dokaze da su odgovorne osobe prihvatile te rizike. Izjava o sukladnosti s ISO/IEC 27001 smatra se ne-.

Zasad nijedna banka u Hrvatskoj nema certifikat za upravljanje informacijskom sigurnošću ISO/IEC 27001, ali primjenom novih Smjernica HNB-a praktično stječu gotovo sve uvjete za izdavanje takvog certifikata. O primjeni normi sigurnosti u bankama razgovarali smo s Dejanom Košutićem, konzultantom u tvrtki Kvadra Consulting.

Mogu li se norme informacijske sigurnosti (ISO/IEC 27001 i ISO/IEC 17799) primjenjive i na banke? Svakako, te su norme primjenjive na bilo koju organizaciju (profitnu, neprofitnu, državnu, privatnu itd.) koja barata važnim i povjerljivim informacijama. Budući da banke po svojoj prirodi u poslovanju koriste upravo takve informacije, prirodno je da implementiraju norme informacijske sigurnosti.

Postoji li zakonska obveza da banke provode norme informacijske sigurnosti? Kroz Basel II, u sklopu tzv. operativnih rizika, načelno je propisano da banke moraju upravljati sigurnošću svojih informacijskih sustava. No, Hrvatska narodna banka nedavno je objavila Smjernice za upravljanje informacijskim sustavom u svrhu smanjenja operativnog rizika, kojima se vrlo detaljno propisuje upravljanje informacijskom sigurnošću. Tu je i Zakon o zaštiti osobnih podataka, koji zajedno s Uredbom o načinu pohranjivanja i posebnim mjerama tehničke zaštite osobnih podataka detaljnije opisuje obvezu svih organizacija u Hrvatskoj (pa i banaka) koje mjere zaštite moraju provesti, a poziva se na normu ISO/IEC 17799.

Koliko su Smjernice HNB-a ispravno napisane i koliko je realna njihova provedba u hrvatskim bankama? Ključna svrha Smjernica HNB-a je da se rizikom informacijskih sustava aktivno upravlja, odnosno da se procijene svi rizici i da se primjereno tome provedu zaštitne mjere. Napisane su vrlo kvalitetno i sigurno je da će bitno pridonijeti stabilnosti i sigurnosti informacijskih sustava u bankama. Primjedbe nekih banaka da će prilagođavanje takvim zahtjevima previše koštati zapravo nisu u redu, jer je potencijalna šteta od curenja ili gubitka informacija, ili pada centralnih sustava bitno veća od ovih ulaganja. Smjernice je pisao tim stručnjaka iz HNB-a koji je uzeo u obzir sve relevantne norme iz upravljanja informacijskih sustava, kao i iz informacijske sigurnosti, a u njima je sadržana većina zahtjeva iz ISO/IEC 27001 norme. Smatramo da se uz određeni napor navedene Smjernice mogu provesti u dvije do tri godine u svim bankama u Hrvatskoj.

Koliko su daleko odmakle banke u provedbi mjera zaštite informacijske sigurnosti? Banke su u odnosu na ostale gospodarske subjekte vjerojatno otišle najdalje u Hrvatskoj u zaštiti svojih informacijskih sustava. No, ono što im nedostaje jest sustavnost, odnosno cjelokupno sagledavanje svih aspekata sigurnosti, kao što to definira norma ISO/IEC 27001.

Moraju li hrvatske banke dobiti certifikat da su uvele ISO/IEC 27001 normu? Ne postoji zakon koji bi propisivao certificiranje sustava upravljanja informacijskom sigurnošću. No, informacijske sustave banaka kontrolira i HNB svojim izravnim nadzorom i komercijalne revizije, koje u zadnje vrijeme sve više naglaska stavlja na stabilnost informacijskih sustava, pa su i takve kontrole neka vrsta certifikata. Naravno, kad banka dobije službeni certifikat ISO/IEC 27001, ne samo da olakšava kontrolu HNB-a i revizije nego postiže i marketinški efekt na vrlo konkurentnom tržištu, gdje je svaka nijansa bitna u borbi za udio na tržištu.