Informācijas drošības pārvaldības sistēma un ieinteresētās puses
Rakstā apskatītas galvenās izmaiņas, kas jāveic informācijas drošības pārvaldības sistēmās atbilstoši jaunajai ISO 27001 standarta versijai.
Sakarā ar pāreju uz jaunu ISO 27001 standarta versiju (ISO 27001:2013) uzņēmumiem, kuri ir izveidojuši informācijas drošības pārvaldības sistēmas un sertificējuši tās atbilstoši standarta iepriekšējai (2005. gada versijai), ir jāveic izmaiņas savās informācijas drošības pārvaldības sistēmās un to dokumentācijā. Šo izmaiņu veikšanas termiņus nosaka līgumi ar sertifikācijas organizācijām un plānoto uzraudzības auditu cikli, bet līdz 2015. gada rudenim visiem ISO 27001 sertifikātu īpašniekiem būs jānodrošina šo izmaiņu veikšana un ieviešana praksē.
Ieinteresētās puses
Daudzas izmaiņas standartā ir “kosmētiskas”, un tas lielā mērā ir saistīts ar pārvaldības sistēmu standartu harmonizāciju. Arī standartos ISO 9001 un 14001 ir gaidāmas izmaiņas. Neapšaubāmi, pozitīva iezīme ir plānotā standartu pamatprasību sadaļu vienota numerācija, kas viennozīmīgi atvieglos darbu integrēto vadības sistēmu ieviesējiem un auditoriem. Tajā pašā laikā, vismaz ISO 27001 standarta jaunajā versijā, ir ieviests pietiekami daudz jaunu jēdzienu, kas līdz šim nebija sastopami, vai bija pieminēti “garāmejot”.
Viens no šiem jaunajiem jēdzieniem ir “ieinteresētās puses”, kas ir būtiskas informācijas drošības pārvaldības sistēmai un šo ieinteresēto pušu prasības attiecībā uz informācijas drošību” (Standarta LVS ISO/IEC 27001:2013 4.2. punkts).
Šī pieeja nav nekas principiāli jauns – jebkurš bizness var ilgstoši pastāvēt un attīstīties tikai apzinoties tā pastāvēšanas mērķi. Biznesa veidošanas pamatprincipus parasti iekļauj augstākā līmeņa pārvaldības dokumentos - uzņēmuma misijā un vīzijā, cenšoties atbildēt uz jautājumiem “Kādi mēs esam un kāpēc mēs veidojam šo biznesu?” un “Kādi mēs gribam būt?”.
Ieinteresēto pušu un to vajadzību apzināšanu var ilustrēt ar atbildi uz jautājumu “Kam mūsu bizness ir vajadzīgs un kādus labumus viņi no mūsu darbības vēlas saņemt?”. Sašaurinot šo jautājumu attiecībā uz informācijas drošības pārvaldības sistēmu to varētu izteikt šādi: “Kas ir labuma guvēji no mūsu realizētajiem informācijas drošības pārvaldības pasākumiem un ko konkrēti informācijas drošības jomā viņi no mums sagaida? ”. Tā kā biznesa pamatprincipu, misijas un vīzijas noteikšana ir uzņēmuma augstākās vadības kompetence, tātad arī ieinteresēto pušu un to vajadzību noteikšanai būtu jānotiek augstākās vadības līmenī.
Konkrēti standartā ISO 27001:2013 ieinteresēto pušu un to vajadzību dokumentēšana netiek prasīta, bet uzņēmumā visos līmeņos vajadzētu spēt nodrošināt vienotu izpratni par ieinteresētajām pusēm un to vajadzībām. Līdz ar to viennozīmīgi būtu jāsāk ar šo ieinteresēto pušu un to prasību identifikāciju. Nākamais solis būtu esošo informācijas drošības pārvaldības sistēmu pārskatīšana un nepieciešamo izmaiņu veikšana, lai tās darbība un attīstība būtu orientēta uz šo vajadzību apmierināšanu. Protams, ieinteresētās puses un to intereses ir atkarīgas no uzņēmuma biznesa konteksta, līdz ar to tās būs atšķirīgas valsts, pašvaldību vai privātos uzņēmumos.
Ieinteresētās puses un to vajadzības (intereses) informācijas drošības pārvaldībā nav statiskas, tās var mainīties atkarībā no biznesa attīstības virzieniem, prioritātēm, ārējiem un iekšējiem apstākļiem, kā arī to sakritības kombinācijām, un uzņēmumā būtu periodiski jānodrošina to pārskats.
Šajā rakstā ar konkrētiem piemēriem mēģināsim ilustrēt ieinteresētās puses un to prasības attiecībā uz informācijas drošības pārvaldību uzņēmumā, kurš sniedz ar IKT infrastruktūras nodrošināšanu saistītus pakalpojumus.
Klienti
Viena no svarīgākajām ieinteresētajām pusēm jebkurā uzņēmumā ir klienti, kuru prasības jāņem vērā. Klientu intereses informācijas drošības pārvaldības sistēmā var būt dažādas: sākot no fizisko serveru drošas izvietošanas un atbilstošas IKT infrastruktūras, līdz pat ar jautājumiem saistībā ar drošības prasību un saistību definēšanu noslēgtajos sadarbības līgumos, kurām jābūt skaidri un korekti noteiktām, lai izvairītos no pārpratumiem un nepilnībām līguma saistību izpildē. Tāpat klientu interesēs ir servisa līmeņa nolīgumu (service level agreement) un citu līgumsaistību ievērošana.
Datu centru pakalpojumu sniedzējiem būtu jānodrošina arīdzan fizisko un virtuālo serveru nepārtraukta darbība, pieejamība un to uzraudzība atbilstoši līgumos ar klientiem noteiktajām prasībām. Tāpat būtiski ir nodrošināt datu centros izvietoto iekārtu aizsardzību pret nesankcionētas fiziskās un loģiskās piekļuves risku, nodrošinot datu konfidencialitāti, integritāti un pieejamību atbilstoši klientu prasībām.
Visbeidzot klientu interesēs būs stabils interneta pieslēgums ar klientu prasībām atbilstošiem datu pārraides ātrumiem, nodrošinot maksimāli iespējamo sakaru nepārtrauktību.
Uzņēmuma īpašnieki un augstākā vadība
Būtiska ieinteresēto personu grupa ir uzņēmuma īpašnieki un augstākā vadība. To galvenajās ar informācijas drošības pārvaldību saistītajās interesēs ir iespējamo informācijas drošības risku identificēšana, analīze un novērtēšana, turklāt būtiski, lai tas notiktu savlaicīgi, tādējādi samazinot risku iestāšanos iespēju.
Tāpat uzņēmuma vadībai ir svarīgi, lai infrastruktūras attīstības un drošības uzturēšanas budžets tiktu plānots pārskatāmi, tas būtu korekti sastādīts un situācijai atbilstošs. Savukārt, lai nodrošinātu uzņēmuma veiksmīgu reputāciju un konkurētspēju, uzņēmuma īpašnieku un vadības interesēs ir datu centru un citas tehniskās infrastruktūras atbilstība nozares standartiem, pastāvošajai likumdošanai un atbilstošas starptautiski atzītas sertifikācijas iegūšana.
Darbinieki
Darbinieki ir viena no ieinteresētajām pusēm, kuru vajadzībās ietilpst gan droša darba vide, gan arī skaidri noteiktas katra darbinieka atbildības jomas un kompetences prasības, kā arī skaidri noteikti ikdienā veicamie pienākumi.
Darbinieki, sevišķi IKT sfērā strādājošie, vienmēr būs ieinteresēti paaugstināt savu kvalifikāciju, profesionāli pilnveidoties un attīstīties, kā arī saņemt regulāras apmācības tehnoloģiju izmantošanas jomā.
Valsts
Savukārt valsts ir ieinteresēta, lai personu datu apstrādē tiktu ievērotas Fizisko personu datu aizsardzības likuma un Elektronisko sakaru likuma prasības personas datu aizsardzībai un elektronisko sakaru nodrošināšanai. Tāpat valsts ir ieinteresēta uzņēmēja operatīvā sadarbībā ar Valsts drošības iestādēm kibernoziegumu izmeklēšanas gadījumos. Latvijas uzņēmējiem saistoša, protams, ir arī Eiropas Parlamenta un Eiropas Padomes direktīva 95/46/EK par personu aizsardzību attiecībā uz personas datu apstrādi un šo datu brīvu apriti.
Piegādātāji un sadarbības partneri
Piegādātāju un sadarbības partneru prasības var ietvert IKT infrastruktūras ekspluatācijā iesaistīto speciālistu atbilstošas kvalifikācijas uzturēšanu un piegādātāju speciālistu iesaisti sarežģītāku tehnisko jautājumu risināšanā. Tehnikas un programmatūras piegādātāji noteikti būs ieinteresēti informācijas un pieredzes apmaiņā attiecībā uz konkrēto iekārtu un programmatūras ekspluatāciju. Tāpat piegādātāji un sadarbības partneri var pieprasīt skaidru informācijas drošības, aizsardzības prasību un saistību definēšanu sadarbības līgumos.
Sabiedrība
Sabiedrības interesēs ir personas datu aizsardzības jautājumi, proti, Fizisko personu datu aizsardzības likuma prasību ievērošana un personu datu neatļauta neizpaušana un neizmantošana. Tāpat sabiedrībai būtiska, piemēram, ir aizsardzība no surogātpasta un likumdošanas ievērošana attiecībā uz to, lai personu e-pasta adreses netiktu nelikumīgi izmantotas, nosūtot nevēlamu saturu to saņēmējiem. Sabiedrības interesēs ir arīdzan aizsardzības nodrošināšana no kaitīgas programmatūras izplatības un kibernoziegumiem, kā arī bērnu un citu sabiedrības grupu aizsardzība no nepiemērota un kaitīga satura.
Lai nodrošinātu informācijas drošības pārvaldībā ieinteresēto pušu vajadzību apzināšanu un regulāru pārskatīšanu, kā viens no iespējamiem mehānismiem ir vadības pārskats. Tā kā standartā pieprasīts “Organizācijai dokumentēt informāciju, kas ir vadības pārskatu rezultātu pierādījums” (Standarta LVS ISO/IEC 27001:2013 9.3. punkts) un vadības pārskatā ir iekļaujama informācija par “atsauksmēm no ieinteresētajām pusēm” (Standarta LVS ISO/IEC 27001:2013 9.3.d. punkts), tad, iespējams, ka vadības pārskata ziņojums vai tā pielikums varētu būt saglabājams apliecinājums par ieinteresēto pušu un to vajadzību identifikāciju. Protams, katram uzņēmumam atbilstoši savai izveidotajai informācijas drošības pārvaldības sistēmai ir jāizvēlas, kādā veidā nodrošināt uzņēmumā vienotu izpratni par informācijas drošības pārvaldībā ieinteresētajām pusēm un to vajadzībām.