Za ISMS  (Information Security Management System), uostalom kao i za svaki drugi sistem upravljanja, izuzetnu važnost predstavljaju resursi. Oni su dijelom isti, a dijelom su specifični za pojedini sistem upravljanja. Kada se govori o ISMS – sistemu za upravljanje informacijskom sigurnošću onda se u tom kontekstu govori o informacijskim resursima.

U standardu ISO/IEC 27000 se ne definira eksplicitno što su to informacijski resursi. Međutim, u tom standardu se navodi da se ISMS sastoji od politika, procedura, smjernica, te pridruženih resursa i aktivnosti kojima upravlja organizacija u cilju zaštite svojih informacija. Drugim riječima, bez informacijskih resursa ne postoji ni informacijski sistem. To nameće pitanje da su informacijski resursi jedan od temelja cjelokupnog ISMS-a.

Uz to, u ISO/IEC 27001 u poglavlju 7 Podrška, i pod podglavlju 7.1 (Resursi) se kaže: organizacija utvrđuje i osigurava sredstva potrebna za uspostavu, provedbu, održavanje i stalno poboljšanje sistema upravljanja informacijskom sigurnošću.

Prema ISO/IEC informacije su imovina koja, kao i druga važna poslovna imovina, bitna je za poslovanje neke organizacije. Za samu informaciju može se primijeniti definicija: informacija je podatak koji u nekom kontekstu ima vrijednost za korisnika. Sama po sebi informacija nema neki materijalni oblik nego je apstraktan pojam. Zbog toga informacija mora biti u nekom obliku na ili u nekom resursu koji ju generira, čuva, prenosi, obrađuje, preuzima ili isporučuje. Upravo te informacije i resursi predstavljaju informacijsku imovinu.

Prema PDCA krugu (Plan – Do – Check – Act) za upravljanje sa ISMS-om u P fazi prije početka procjene rizika nužno je napraviti popis informacijskih resursa. Uspješan i učinkovit popis informacijskih resursa podrazumijeva i njihovu primjerenu klasifikaciju. To često izaziva komplikacije u nesistematičnosti pristupa klasifikacije. U okviru standarda ISO/IEC 27005 u aneksu B, koji je informativan, naveden je primjer moguće cjelovite klasifikacije informacijskih resursa. Tu se razlikuju dvije bitne grupe informacijskih resursa: primarni resursi i  resursi podrške (na kojima se nalaze primarni resursi). U nastavku će biti prikazana predložene klasifikacija informacijskih resursa prema ISO/IEC 27005.

1. Primarni resursi

Primarna resursi obično su temeljni procesi i informacije u opsegu kojeg obuhvaća ISMS. Također se mogu razmotriti i druge primarni resursi kao što su procesi organizacije. U tom kontekstu njihovva klasifikacija može biti slijedeća:

1.1 Poslovni procesi i aktivnosti

  • Glavni procesi: čiji gubitak ili degradacija onemogućava ostvarenje ciljeva i funkcije organizacije
  • Zaštićeni procesi: koji sadrže tajne procese ili uključuju vlastitu tehnologiju
  • Procesi podrške: koji, u koliko se promijene, mogu značajno utjecati na ostvarenje ciljeva organizacije
  • Procesi usklađenosti: koji su neophodni za organizaciju u skladu s ugovornim i zakonskim ili regulatornim zahtjevima

1.2 Informacije

  • Vitalne informacije: za ostvarenje poslovnih ciljeva
  • Osobni podaci: definirani u smislu nacionalnih zakona o privatnosti
  • Strateške informacije: potrebne za postizanje strateških ciljeva
  • Visoko vrijedne informacije: čije prikupljanje, pohrana, obrada i prijenos zahtjeva dugo vremena i/ili uključene visoke troškove.

2. Resursi podrške

2.1 Hardver

kojeg čine svi fizički elementi podrške procesa, a uključuje:

  • Aktivne uređaje za obradu podataka: Automatski uređaji za obradu podataka uključujući i one koji rade nezavisno (samostalno).
  • Prijenosne uređaje: Prijenosni kompjuterski uređaji. Primjeri: laptop, Personal Digital Assistant (PDA).
  • Fiksni uređaji: Kompjuterski uređaji koji se koriste u organizaciji.  Primjeri: serveri, PC, radne stanice.
  • Procesne periferije: Uređaji spojeni na kompjutere preko komunikacionog porta (serijskog, paralelnog, itd.) za unos ili prijenos podataka.  Primjeri: printeri, prijenosne disk jedinice.
  • Pasivni mediji za podatke: Mediji za spremanje podataka ili funkcija.
  • Elektronički mediji: Informacijski mediji koji se mogu spojiti na kompjutere ili kompjutersku mrežu za skladištenje podataka.  Zavisno od svoje veličine oni mogu sadržavati velike količine podataka. Mogu se koristiti sa standardnim kompjuterskim uređajima. Primjeri: floppy disc, CD / DVD ROM, back-up kazete, prijenosni tvrdi diskovi, memorijski ključevi, trake.
  • Ostali mediji: Statički, ne-elektronički mediji koji sadržavaju podatke. Primjeri: papir, slajdovi, transparentne folije, dokumentacija, fax.

2.2 Softver

koji se sastoji od svih vrsta programa s kojima se omogućava rad na obradi podataka, a uključuje:

  • Operativni sistemi: Uključuje sve programe koji čine baznu funkcionalnost kompjutera na kojoj funkcioniraju ostali programi (servisni ili aplikacije). To uključuje kernel i baznu funkcionalnost ili servise. Ovisno od arhitekture, operativni sistem može biti monolitan, ili da se sastoji od micro-kernela i skupa sistemskih servisa. Sastavni elementi operativnog sistema su svi upravljački servisi uređaja (CPU, memorija, diskova, i mrežnih sklopova), upravljački servisi poslova i procesa, te upravljački servisi prava korisnika.
  • Softver za servise, održavanje ili administraciju: ovaj softver karakteriziran je činjenicom da je komplement operativnog sistema i ne servisira direktno korisnika ili aplikacije (čak iako su obično neophodni za globalno djelovanje informacijskog sistema).
  • Paketi softvera ili standardni softver: Standardni softver ili paketi softvera su kompletni komercijalni proizvodi s medijima, isporukom i održavanjem. To omogućava servise korisnicima i aplikacijama, ali ne personalizirano ili na specifičan način kao poslovne aplikacije. Primjeri: softver za baze podataka (Oracle, MySQL, Postgress, itd.), softver za elektroničke poruke (Microsoft Exchange), grupni rad (Microsoft SharePoint), direktorij softver (Microsoft Active Directory), softver za web servere (Microsoft’s IIS), itd.
  • Standardne poslovne aplikacije: To je komercijalni softver napravljen da omogući korisnicima direktan pristup servisima i funkcijama koje oni trebaju od informacijskog sistema u njihovom profesionalnom kontekstu. To je u principu vrlo široko područje, teoretski neograničeno. Primjeri: knjigovodstveni softver, softver za kontrolu strojeva, administrativni softver, itd.
  • Specifične poslovne aplikacije: Taj softver koji je u raznim aspektima (primarno podrške, održavanja, nadogradnje, itd.) specijalno razvijen da korisnicima omogući pristup servisima i funkcijama potrebnim za informacijski sistem. To je široko područje softvera, teoretski neograničeno. Primjeri: AIS – automatski identifikacijski sistemi, SIS – strateški informacijski sistemi, HRMS – softver za upravljanje ljudskim resursima, itd.

2.3 Mreže

koje se sastoje od svih komunikacijskih sklopova korištenih za međuvezu nekoliko fizički udaljenih kompjutera ili elemenata informacijskog sistema, a uključuju:

  • Mediji podrške: Komunikacijski i telekomunikacijski mediji ili uređaji u glavnom karakterizirani fizičkim i tehničkim karakteristikama sklopova (point-to-point, radio prijenos) kao i komunikacijskim protokolima (link ili mreža – razine 2 i 3 od OSI 7-layer modela).  Primjeri: javne telefonske mreže (PSTN), Ethernet, Gigabit Ethernet, Asymmetric Digital Subscriber Line (ADSL), bežični protokoli (npr. Wi-Fi 802.11), Bluetooth, FireWire.
  • Pasivne ili aktivne veze: Ovi podtipovi uključuju sve uređaje koji nisu logički terminatori komunikacija, ali su unutar ili relejski uređaji. Veze su karakterizirane protokolima koji podržavaju mreže. Kao dodatak osnovnim vezama, oni često uključuju usmjerivačke i/ili funkcije filtriranja i servisa, komunikacijski preklopnici i usmjerivači sa filtrima. Oni su često administrirani na daljinu i imaju mogućnost generiranja log zapisa. Primjeri: bridge, router, hub, switch, automatic exchange.
  • Komunikacijsko sučelje: Komunikacijsko sučelje procesnih jedinica su spojeni na komunikacijske jedinice, ali karakterizirani medijem i podržanim protokolima, te instaliranim filtrima, log ili funkcijama upozorenja, kapacitetom i mogućnostima udaljenog administriranja. Primjeri: General Packet Radio Service (GPRS), Ethernet adaptor.

2.4 Osoblje

Koje se sastoji od svih grupa ljudi uključenih u informacijski sistem, a čine ih:

  • Donosioci odluka: su prvenstveno vlasnici primarnih resursa (informacija i funkcija) te menadžeri organizacije ili specifičnih projekata. Primjeri: top menadžment, voditelji projekata.
  • Korisnici: osoblje koje manipulira osjetljivim elementima u kontekstu svojih aktivnosti i koji imaju specifične odgovornosti u odnosu na njih. Oni mogu imati specijalna prava pristupa informacijskom sistemu zbog obavljanja svakodnevnih aktivnosti i zadataka. Primjeri: menadžment za ljudske resurse, menadžment za financije, menadžer za rizike, itd.
  • Operativno osoblje i osoblje podrške: To osoblje je zaduženo za rad i održavanje informacijskog sistema. Imaju specijalna prava pristupa informacijskom sistemu zbog obavljanja svakodnevnih zadataka. Primjeri: sistem administrator, data administrator, back-up, Help Desk, operator distribucije aplikacija, sigurnosni menadžeri, itd.
  • Programeri: su u funkciji razvoja organizacijskih aplikacija. Oni imaju visoko pravo pristupa, ali ne i u području produkcijskih podataka. Primjeri: programeri poslovnih aplikacija

2.5 Mjesta

su lokacije ili područja za smještaj fizičkih sredstava i njihove funkcije, a čine ih:

  • Vanjsko okruženje: odnosi se na sva mjesta u kojima se ne mogu primijeniti organizacione sigurnosne mjere. Primjeri: mjesta stanovanja osoblja, prostori drugih organizacija, okruženje van lokacije (urbano područje, područje opasnosti).
  • Prostor: To su mjesta ograničena organizacijskim perimetrima i direktno su u kontaktu s vanjskom stranom. To može biti fizička zaštitna granica dobivene stvaranjem fizičke barijere ili sredstva za nadzor oko zgrade. Primjeri: službeni prostor, zgrade.
  • Zone: Zona je formirana od fizički postavljene zaštitne granice i čini dio unutar prostora organizacije. To se postiže stvaranjem fizičke barijere oko organizacijske infrastrukture za obradu informacija. Primjeri: uredi, zone ograničenog pristupa, sigurnosna zona.

2.6 Osnovne usluge

Svi servisi potrebni za funkcioniranje organizacijskih uređaja:

  • Komunikacije: Telekomunikacijske usluge i oprema koje pruža neki operator. Primjeri: telefonske linije, PABX, interne telefonske mreže, itd.
  • Komunalne usluge: Servisi i sredstva (izvori i ožičenja) potrebni za osiguranje energije uređajima informacijske tehnologije i periferija. Primjeri: nisko naponska mreža, pretvarači, opskrba vodom, odvoz smeća, oprema i sredstva za hlađenje i pročišćavanje zraka, kao npr. rashladni vodeni sistem, klima uređaji, itd.

2.7 Organizacijsko okruženje

opisuje organizacijski okvir, a sastoji se od svih struktura osoblja dodijeljenih zadacima te procedura za kontrolu tih struktura:

  • Uprava: to su organizacije iz kojih proizlazi autoritet. One mogu biti pravno povezane ili vanjske. To nameće ograničenja na organizaciju u smislu propisa, odluka i djelovanja. Primjeri: upravna tijela, sjedište organizacije.
  • Struktura organizacije: Sastoji se od raznih odjela organizacije, uključujući kros-funkcijske aktivnosti, pod kontrolom menadžmenta. Primjeri: menadžment ljudskim resursima, IT menadžment, Menadžment nabave, menadžment poslovnih jedinica, služba razvoja sigurnosti, protupožarne usluge, audit menadžment.
  • Projekt ili sistem organizacije: To se odnosi na organizaciju uspostavljanja određenih projekata i usluga. Primjeri: razvoj novih aplikacijskih projekata, projekti migracije informacijskih sistema.
  • Podugovarači / Dobavljači / Proizvođači: To su organizacije koje pružaju usluge ili resurse na temelju ugovora. Primjeri: outsourcing kompanije, savjetničke kompanije.

Zaključak

Navedena klasifikacija je informativnog karaktera, što znači  nije obavezna. No, očito je više nego dobar pokušaj klasifikacija svih informacijskih resursa koji su uključeni u informacijski sistem. Naravno, da se tehnološkim razvojem i drugim stalno mijenjaju i koriste novi resursi u okviru informacijskog sistema. Zato se treba i može relativno jednostavno sve novosti i specifični informacijski resursi ugraditi u predloženu klasifikaciju.

Važnost klasifikacije je u tome da se može maksimalno pojednostaviti definiranje funkcionalne važnosti, te odnos prema pojedinoj vrsti informacijskih resursa. Što se uspostavi bolja klasifikacija informacijskih resursa, to se povećava vjerojatnost u veću sistematičnost definiranja svih nužnih elemenata za očuvanje tajnosti, cjelovitosti i raspoloživosti informacija.

 

 

Literatura:

  1. ISO/IEC 27000:2016 Information technology — Security techniques — Information security management systems — Overview and vocabulary
  2. ISO/IEC 27001:2013 Information technology — Security techniques — Information security management systems – Requirements
  3. ISO/IEC 27005:2011 Information technology — Security techniques — Information security risk management

Zdenko Adelsberger

Savjetnik, predavač i auditor za sustave upravljanja prema ISO i drugim normama (ERM, BCMS, ISMS, ITSMS, ITIL, QMS, EMS, OHSAS, BPM), programer, WordPress i DIVI fanatik, zaljubljenik u putovanja, muziku, fotografiju, slikarstvo, poeziju, i mnogo, mnogo još toga...

Povezani tekstovi


Pin It on Pinterest