English
Developed by ENIGMA
print
InfoIzdvojene teme
Slanje sadržaja na mail print

09

02/12

ISO standardi u IT-u

Smjernice za integrisanu primjenu standarda ISO/IEC 27013, ISO / IEC 27001 i ISO / IEC 20000-1

Veze između upravljanja sigurnošću informacija i upravljanja uslugama su toliko jake da se većina uspješnih poslovnih organizacija odlučuje na zajedničku primjenu zahtjeva standarda ISO/IEC 27001 (upravljanje sigurnošću informacija i standarda ISO/IEC 20000-1 (upravljanje uslugom). Koristi od takvog opredjeljenja su velike, bez obzira na to da li je jedan sistem uveden prije drugoga, ili se oba  sistema implementiraju zajedno

Piše: Dr Milan Kukrika i Mr Benijamin Hadžalić

loader

Odnos između važnih poslovnih funkcija i IT podrške je stalni izvor problema otkada je u poslovne organizacije uveden sektor informatike. Sa naglim napretkom i pristupaćnošću IT tehnologije, Sektor IT podrške je napustio dominantni položaj i prešao na izrazito reaktivnu varijantu, što automatski podrazumijeva i prebacivanje krivice na druge u slučaju da nešto pođe po zlu.

Prednosti implementacije
Standard ISO/IEC 27013 Informaciona tehnologija - Sigurnosne tehnike - Smjernice za integrisanu primjenu standarda ISO / IEC 27001 i standarda ISO / IEC 20000-1 nastao je na osnovu potrebe da se ovaj sukob pretvori u mnogo zreliji odnos u kojem će obje strane preuzeti na sebe odgovornosti i obaveze za uspjeh poslovanja.
Ključne prednosti integrisane implementacije zahtjeva oba standarda uključuju:
- stvaranje kredibiliteta kod internih i eksternih kupaca organizacije u pogledu efektivnosti i sigurnosti pruženih uluga;
- značajno smanjivanje troškova kada se umjesto dva projekta uvodi jedan integrisani projekat u slučaju da su  postizanje kvaliteta usluga i sigurnosti informacija važne komponente strategije poslovne organizacije;
- značajno skraćivanje vremena potrebnog za implementaciju zbog integrisanog razvoja i primjene procesa koji su zajednički za oba standarda;
- uklanjanje nepotrebne redundancije (dupliciranje dokumentacije);
- veće razumijevanje i poboljšana saradnja zaposlenih zaduženih za upravljanje uslugama i zaposlenih koji su zaduženi za sigurnost informacija;
- komplementarnost zahtjeva oba standarda, tako da, naprimjer, Sistem za upravljanje sigurnošću informacija koji je certificiran prema zahtjevima standarda  ISO/IEC  27001 znači da organizacija već ispunjava i većinu zahtjeva za sigurnost informacija koje postavlja standard  ISO/IEC  20000-1.

Značaj standarda ISO/IEC 20000-1:2011
Cilj svakog standarda je da se uspostavi generalno priznati, svima razumljiv i mjerljiv nivo nekog vrijednog postignuća. Pojava standarda ISO/IEC 20000-1:2011 je dokaz uspjeha i popularnosti primjene najbolje prakse upravljanja nivoom usluge širom svijeta, primjenom najvišeg profesionalnog standarda sa ciljem da se prevaziđu očekivanja klijenata. Primjena Sistema za upravljanje uslugom prema zahtjevima standarda ISO/IEC 20000:2011 pomaže da se uslužne djelatnosti motivišu da postignu svoj maksimum u ostvarivanju izvrsnosti usluga i na taj način objektivno izmjere i certificiraju svoje rezultate.
Standard ISO/IEC 20000 je proizašao iz općeprihvaćenog uvjerenja da bi stručnjaci trebali da svoje usluge pružaju u skladu sa najboljom poznatom praksom i običajima koji su prihvaćeni u njihovom području djelovanja. Na taj način, oni ne samo da će sebi samima uštedjeti vrijeme i trud kada bi trebalo da udovolje potrebama i željama korisnika, već će korisnicima svojih usluga pružiti najveći mogući kvalitet i pouzdanost usluga uz minimalne troškove.

Značaj standarda ISO/IEC  27001 
Upravljanje sigurnošću  informacija bi trebalo shvatiti kao holističku disciplinu gdje se ostvaruje sinergija pravnog, etičkog i poslovnog  aspekta zaštite informacija uz obilato korišćenje najbolje prakse sadržane u međunarodnim standardima iz te oblasti i trenutno najboljih tehničkih rješenja. Zahtjev za sprovođenjem svih zakona i propisa koji se odnose na zaštitu informatičkih resursa na prvi pogled se čini suvišnim. Dužnost svih organizacija, udruženja i građana je da se bespogovorno pridržavaju svih važećih zakona. Međutim, danas je u praksi sve teže da se o ova pravila i procese ne ogriješi. Zakonodavac je jasno propisao šta bi trebalo da se ispuni i čega bi se sve trebalo pridržavati, ali je propustio i da definiše način realizacije postavljenih zahtjeva u svakodnevnoj praksi. 
Ovu prazninu, koja prijeti da postane ozbiljnom, sa uspjehom je popunio  standard ISO 27001 koji opisuje formalizovan sistem upravljanja koji bi trebalo da se primjenjuje na nivou preduzeća koje uvodi Sistem upravljanja sigurnošću informacija (ISMS).
Standard ISO 27001 predstavlja osnovu koja će omogućiti svim organizacijama širom svijeta da prevaziđu tehničke, političke i geografske barijere i da slobodno učestvuju na globalnom tržištu bez straha od kompjuterskog kriminala.

Namjena standarda ISO/IEC 27013
Ovaj internacionalni standard daje uputstva o integrisanoj implementaciji zahtjeva standarda  ISO/IEC  27001 i  ISO/IEC  20000 poslovnim organizacijama koje namjeravaju da:
a) implementiraju Sistem za upravljanje sigurnošću informacija prema zahtjevima standarda ISO/IEC  27001, kada je Sistem za upravljanje uslugom prema zahtjevima standarda  ISO/IEC  20000-1 već primijenjen, ili obrnuto;
b) implementiraju Sistem za upravljanje sigurnošću informacija prema zahtjevima standarda i  ISO/IEC  27001 i Sistem za upravljanje uslugom prema zahtjevima standarda  ISO/IEC  20000-1 zajedno;
c) integrišu postojeći Sistem za upravljanje sigurnošću informacija prema zahtjevima standarda i  ISO/IEC  27001, i Sistem za upravljanje uslugom prema zahtjevima standarda  ISO/IEC  20000-1  ISO/IEC  27001 i  ISO/IEC  20000-1.

U praksi se upravljanje uslugama i upravljanje sigurnošću informacija često tretiraju kao da nisu povezani i međusobno zavisni. To je posljedica perspektive prema kojoj je upravljanje uslugama prvenstveno u funkciji ostvarenja efektivnosti i profitabilnosti, dok se upravljanje sigurnošću informacija uklapa u kontekst operativne efikasnosti.  Kao posljedica takvog načina razmišljanja Sistem upravljanje uslugama često se implementira prije Sistema za upravljanje sigurnošću informacija. Međutim, kao što je prikazano na slici 1., većina identifikovanih principa i pojmova ( ISO/IEC  27001, Prilog A) su itekako uključeni, (bilo eksplicitno ili implicitno), u okviru procesa upravljanja uslugama koji su opisani u standardu ISO/IEC  20000-1.
Organizacija koja planira da implementira Sistem upravljanja prema zahtjevima standarda  ISO/IEC  27001 i  ISO/IEC  20000-1 može biti u jednom od sljedeća tri stanja:
postoje ad hoc aranžmani za upravljanje koji pokrivaju oba sistema - upravljanje sigurnošću informacija i upravljanje uslugama (formalni sistemi upravljanja također mogu postojati za druga područja, kao što je naprimjer upravljanje kvalitetom);
postoji sistem upravljanja koji se zasniva na zahtjevima jednog od standarda;
postoje odvojeni sistemi upravljanja koji se zasnivaju na zahtjevima oba standarda, ali ti sistemi nisu integrisani.
ISO 27013 sadrži uputstva kako da organizacija postupi u svakoj od navedenih situacija.

Zaključak
Informatičari se danas više ne doživljavaju kao umjetnici koji će vam pružati užitak svojim lucidnim i tehnološki sofisticiranim rješenjima, već se – sasvim pragmatički – od njih očekuju kvalitetne, pouzdane, pravovremene, jednostavno iskoristive i, barem relativno, jeftine usluge rješavanja problema obrade vaših poslovnih i drugih (možda privatnih) podataka. Primjene informacione tehnologije odavno su sa terena eksperimentisanja i „umjetničkih sloboda“ zakoračile na čvrsto tlo kriterijuma poslovne opravdanosti, korisnosti, izvrsnosti i troškovne isplativosti, što onda nameće potrebu standardizacije njihovog kvaliteta. Implementacija integrisanog sistema upravljanja IT uslugama i sigurnošću informacija prema zahtjevima standarda ISO 20000:2011 i ISO 27001:2005, logičan je korak za svaku organizaciju koja razvija odnos između IT-a i poslovnog sistema, odnosno procesa i operira sa informacijama kao jednim od najznačajnijih poslovnih resursa. Na taj način organizacija osigurava sve preduslove za sistematičan rad IT-a i konzistentno i uslovima prilagodljivo čuvanje informacija kao značajnog poslovnog resursa. Kako bi se ovakav upravljački mehanizam što efikasnije implementirao, ISO je izdao standard ISO 27013 kao svojevrstan vodič za implementaciju ovakvog sistema. Ovaj standard se fokusira isključivo na integrisanu primjenu Sistema za upravljanje sigurnošću informacija prema zahtjevima standarda  ISO/IEC  27001 i Sistema za upravljanje uslugom prema zahtjevima standarda  ISO/IEC  20000-1.
Kada se primenjuje više standarda, uobičajeno je da poslovna organizacija usvoji jedan standard, poboljša način sopstvenog poslovanja u skladu sa zahtjevima standarda, a zatim napravi daljnja poboljšanja u skladu sa zahtjevima drugih standarda. Implementacija integrisanog sistema upravljanja koji će obuhvatiti ne samo usluge koje poslovna organizacija pruža, nego i zaštitu informacionih resursa koji to omogućavaju nudi čitav niz prednosti. Koristi od takvog opredjeljenja su velike, bez obzira na to da li je jedan sistem uveden prije drugoga, ili se oba sistema implementiraju zajedno.

Primjena u bankarstvu
Za očekivati je da će i kod nas uskoro započeti primjena preporuka standarda ISO 27013. Danas već postoje sve pretpostavke za to i primjeri konkretnih rješenja koja su se dobro pokazala u praksi. Takav jedan sistem prepoznaje se u oblasti bankarstva. Naime, FBA je krajem godine donijela odluku o uspostavi minimalnih uslova upravljanja informacionom tehnologijom u bankama. Odluka suštinski predstavlja zahtjeve integrisanog sistema upravljanja sigurnošću informacija prema zahtjevima ISO/IEC 27001 i upravljanja uslugama prema ISO/IEC 20000/1. To implicitno nameće i značaj ISO 27013, kao implementacijskog okvira za ovakav sistem.

Arhiva