Marinó G. Njálsson

Dagana 7. og 8. febrúar nk. verður haldið hjá Staðlaráði Íslands námskeið þar sem kynntir verða alþjóðastaðlarnir ÍST ISO/IEC 17799 Starfsvenjur fyrir stjórnun upplýsingaöryggis og ÍST ISO/IEC 27001 Stjórnkerfi upplýsingaöryggis - Kröfur.  Námskeiðið er haldið að Laugavegi 178 og er hægt að skrá sig með því að smella hér. Fyrirlesari er Marinó G. Njálsson, sérfræðingur í stjórnun upplýsingaöryggis.

Mjög mörg fyrirtæki eru að íhuga innleiðingu þessara staðla eða standa frammi fyrir kröfum aðila á borð við Persónuvernd, Fjármálaeftirlit og Póst- og fjarskiptastofnunar um innleiðingu stjórnkerfa sem auka eiga öryggi upplýsinga.  Nýlega hafa greiðslukortafyrirtækin bæst í þennan hóp, en þeir sem taka á móti greiðslukortum þurfa að uppfylla kröfur staðalsins PCI: Data Security Standard og er m.a. hægt að nota aðferðafræði ISO 27001 og ISO 17799 við það.  Þó svo að fyrirtæki og stofnanir hafi ekki kröfur framangreindaraðila til að reka á eftir sér, þá er full ástæða fyrir alla sem safna, vinna með og varðveita upplýsingar að kynna sér innihald þessara staðla. 

Tekið skal fram að upplýsingaöryggi og upplýsingatækniöryggi er ekki eitt og það sama.  Upplýsingaöryggi er mun víðfeðmara hugtak og nær til upplýsinga á hvaða formi sem er, utan upplýsingakerfa sem innan.  Námskeiðið, sem minnst er á að ofan, fjallar því nær ekkert um tækni og tæknilegar lausnir heldur fyrst og fremst um aðferðafræði og helling af heilbrigðri skynsemi.

Hér fyrir neðan er stutt kynning á stöðlunum:

ÞAÐ er oft sagt, að næst á eftir starfsfólki séu upplýsingar dýrmætasta eign hvers fyrirtækis eða stofnunar. Þau treysta mjög mikið á upplýsingar á hvaða formi sem þær eru. Skiptir þá ekki máli hvort upplýsingar eru á rafrænu formi, skráðar á pappír eða annan áþreifanlegan hátt eða búa í þekkingu fólks. Upplýsingakerfi veita, t.d., stjórnendum mikilvægar upplýsingar um reksturinn, þar sem þau varðveita bókhaldsgögn, sölutölur, rannsóknaniðurstöður, markaðsáætlanir og önnur trúnaðargögn, sem notuð eru við úrvinnslu, stefnumótun, markaðssetningu og almenna ákvörðunartöku.

Mikilvægi upplýsingakerfa fyrirtækja er það mikið, að kerfisbilanir hafa áhrif á starfsgetu fyrirtækjanna. Að missa út tölvukerfið er eitt alvarlegasta áfall sem getur hent. Rannsóknir í Bandaríkjunum sýna að æ fleiri fyrirtæki komast í þrot og hætta rekstri hafi þau orðið fyrir alvarlegu tjóni í tölvumiðstöðvum og ekki haft trygga neyðaráætlun. Á 8. áratugnum var þetta hlutskipti um 75% fyrirtækja, 10 árum síðar var þetta hlutfall komið í 82% og hefur síðan hækkað í 90 af hundraði. Því má segja að öryggi upplýsingakerfa sé orðinn einn mikilvægasti þátturinn í rekstraröryggi fyrirtækja. En öryggi upplýsinga snýst einnig um að koma í veg fyrir að mikilvæg pappírsgögn glatist í bruna og að mikilvæg sérþekking hætti að vera aðgengileg við það að starfsmaður hætti störfum eða lendi í slysi.

Allar upplýsingar, sem fela í sér verðmæti, þarf að vernda fyrir þeim ógnunum sem að þeim steðjar, hvort heldur þær stafa af umhverfinu (t.d. náttúruhamfarir), tækninni (t.d. rafmagnsbilun) eða mannfólkinu (t.d. starfsmönnum). Verndin felst stundum í því að losna við ógnunina, en oftast er það ekki hægt. Þá er gripið til þess að styrkja varnir upplýsingaeignanna til að draga úr áhættunni, færa áhættuna til (t.d. með því að kaupa tryggingar) eða maður einfaldlega viðurkennir að ekki borgar sig að verjast tiltekinni ógnun.

Staðlar um upplýsingaöryggi

Upplýsingavernd hefur verið umhugsunarefni fjölmargra aðila. Þannig var á 8. áratugnum unnin mikil vinna í Bandaríkjunum, en í lok þess níunda höfðu evrópsk samtök tölvunotenda frumkvæði að því að taka saman skjal með svo kölluðum bestu starfsreglum um stjórnun upplýsingaöryggis. Þetta skjal varð síðar að breska staðlinum BS 7799 og síðar að tveimur alþjóðlegum stöðlum ISO/IEC 27001 og ISO/IEC 17799 (sem mun breytast í 27002 á næstu misserum).

Staðlarnir urðu fljótlega mjög vinsæll, enda byggðir á áratuga reynslu þeirra sem hafa komið að öryggi upplýsinga og upplýsingakerfa. Er svo komið að víða er gerð krafa um að til staðar sé vottað stjórnkerfi samkvæmt þessum stöðlum til þess að tryggt sé að öryggi viðkvæmra fjármála- eða persónuupplýsinga sé eins og best verður kosið.  Hér á landi hafa Persónuvernd, Fjármálaeftirlit og Póst- og fjarskiptastofnun mælt með að þessir staðlar séu notaðir við uppbyggingu og innleiðingu ráðstafana sem uppfylla kröfur stofnananna til öryggis upplýsinga.

Staðallinn kemur í tveimur hlutum:

• ÍST ISO/IEC 17799:2005 Starfsvenjur fyrir stjórnun upplýsingaöryggis,

• ÍST ISO/IEC 27001:2005 Stjórnkerfi upplýsingaöryggis - Kröfur

ISO 17799 inniheldur leiðbeiningar um þau atriði sem gott er að skoða þegar hugað er að öryggi upplýsinga, en ISO 27001 setur fram leiðbeiningar um uppbyggingu, innleiðingu, rekstur og viðhald stjórnkerfis upplýsingaöryggis.  Sækist fyrirtæki eftir vottun samkvæmt þessum stöðlum, þá nær vottunin í raun til ISO 27001.

Hlutverk staðlanna

Staðlarnir leggja til stjórnunaraðferðir sem fyrirtæki geta notað til að meta og styrkja stöðu öryggismála. Í sumum tilfellum er nauðsynlegt að beita tæknilegum lausnum, en stjórnunarhættir eru ekki síður mikilvægir og oftast skipta þeir meira máli. Nokkur mikilvæg atriði sem leiða til góðrar stöðu öryggismála og eru dekkuð í staðlinum:

• Stjórnunaraðferðir sem leggja áherslu á öryggi
• Vel skilgreind ábyrgðarsvið varðandi öryggisþætti innan fyrirtækis
• Vel skilgreint hlutverk eftirlitsaðila (endurskoðanda) sem nær til upplýsingaöryggis í víðustu merkingu, en ekki eingöngu tæknilegra þátta
• Góður skilningur á því hve nauðsynlegt er að deildir, stjórnendur, tæknifólk, notendur, viðskiptavinir og samstarfsaðilar fái vitneskju um öryggiskröfur og að skipting ábyrgða þarf að koma fram í samningum, starfslýsingu, skriflegum leiðbeiningum og á öðrum formi, sem þörf er á
• Mikilvægi þess að skilja og viðurkenna gildi upplýsinga fyrir rekstur fyrirtækisins
• Mikilvægi öryggisvitundar, þjálfunar og stöðugrar endurskoðunar á öryggismálum sem grundvallarþáttar í starfsemi fyrirtækis

Hagur af stöðlunum

Staðlarnir samanstanda af viðamiklu safni öryggisreglna sem miða að því að auka kröfur til öryggis. Þó svo að ekki sé stefnt að formlegri vottun, er margs konar hagur af því að uppfylla grunnreglur staðlanna og fara eftir leiðsögn í ISO 17799:

• Dregið er úr líkum á tjóni vegna ógnana, svo sem hakkara, þjófnaðar, náttúruhamfara og tæknilegra bilana
• Rekstrarumhverfi verður almennt öruggara
• Staðfesting á að notast er við viðurkenndar öryggisreglur
• Bætt öryggisvitund í öllu fyrirtækinu
• Skilvirkari stjórnun og starfsreglur
• Betri skilningur á því hvar úrbætur á öryggi eru nauðsynlegar
• Betri nýting á fjármunum sem varið er til að bæta öryggi upplýsinga