Az IT-biztonság és irányítás egyik fontos szabványa, az ISO 27001 legújabb verziója május óta magyar nyelven is már elérhető. Akik most találkoznak először a szöveggel, azok valószínűleg kerek egész a szabvány. Akik azonban korábban már minősítést szereztek a 2006-os magyar verzió alapján (az eredeti 2005-ben jelent meg), új feladatokkal fognak szembesülni. De ha a változásokkal együtt akarnám értékelni az új verziót, azt mondhatnám: egyszerű lett, mint a faék.

Azaz: rövidebb, tömörebb, jobban strukturált lett a szabvány. Bár a korábbi 11 szakasz helyett most 14 szakaszból áll, töröltek belőle 31 kontrollpontot, melyek helyett csupán 11 újat kaptunk. A szövegben mindenhol felsorolásokkal találkozunk, ami szintén megkönnyíti az áttekintést, és a feladatok áttekintését. Egyszerűen végig kell mennünk a listákon, és kipipálnunk, amit megcsináltunk.

Persze az átalakítás mögött tudatos elképzelés áll, és nem árt, ha tisztában vagyunk a szabvány koncepciójával. Az alábbiakban ennek mentén tekintjük át az újdonságokat.

Az alábbiakban az egyszerűség kedvéért a szabvány új verziójára 2014-esként hivatkozunk, bár ez csak a magyar változat megjelenésére igaz. A szabványt az International Organization for Standardization a szabványt 2013-ban adta ki, és csupán néhány kiegészítés született hozzá azóta.

PDCA -a helyett...

Alapvető, koncepcionális változás, hogy kikerült a szabványból a PDCA, azaz a Plan, Do, Chek, Act elvű megközelítés. De nem azért, mert valami gyökeresen mást, újat találtak ki a szabvány kidolgozói. Sokkal inkább azért, mert a Tervezés, Végrehajtás, Ellenőzés, Beavatkozás módszertanra mint alapértelmezett feltételre tekintenek.

Oktatóként ezzel maximálisan egyet kell értenem. Ha valaki szabályozási rendszert alakít ki, akkor ismernie és alkalmazni kell ezt az elvet. Ezért nem hivatkozik rá közvetlenül a szabvány szövege sem. Implicit formában azonban benne van: a fejezetek struktúrája ugyanis pontosan a PDCA-t követi még akkor is, ha jelen esetben Tervezés, Működtetés, Teljesítményértékelés, Fejlesztés fejezetcímekkel találkozunk.

Az első két fejezetcím ráadásul meg is egyezik a PDCA módszertan első lépésével. Ha azonban az új szabvány lényegéhez közelebb akarunk jutni, érdemes visszafejteni, miért lesz a Végrehajtás helyett Működtetés, Ellenőrzés helyett Teljesítményértékelés, valamint a Beavatkozás helyett Fejlesztés.

Gondoljuk végig! Ha valaki az ellenőrzéskor nem talált eltérést a tervhez képest, nem feltétlenül avatkozik be a folyamataiba. Így könnyen előfordul, hogy öt év múlva is azonos módszertan szerint működi az egyébként ISO 27001 minősítésnek egyébként megfelelő szervezete – csak épp a világ megy el mellette, nagyon. A szabvány alkotói talán ezért is hozták be a Beavatkozás helyett a Fejlesztés fogalmát.

Mindezt az is alátámasztja, hogy összhangban más szabványokkal az ISO 27001 2014-es kiadása bevezeti az információbiztonsági cél fogalmát. A minősített szervezetnek rendszeresen meg kell fogalmaznia a mérhető információbiztonsági céljait. Ezáltal a kötelező fejlesztés is ciklikusan beépül a rendszerbe.

Fókuszban az outsource

A szabvány előző kiadása óta rengeteg változás történt. Csak néhány, a szabvány szempontjából kulcsfontosságú tényező: az internet sebessége megtízszereződött; az adatmennyiség szintén nőtt egy nagyságrendet; a rendelkezésre állással kapcsolatos elvárások egyre magasabbak (praktikusan: ma a megkérdezettek azt mondják, hogy az IT-infrastruktúrának megszakítások nélkül, mindig rendelkezésre kell állnia). De még nincs vége a fontos változásoknak! Megjelent a cloud computing, elképesztően elterjedt a táblagép és az okostelefon – vállalati környezetben is! És elfogadottá vált, hogy bizonyos IT-feladatokat és IT-szolgáltatásokat külső féltől, független szolgáltatótól vesznek igénybe a szervezetek.

A technikai lehetőségek bővülésével az információáramlás is rendkívül gyorssá vált – ezzel párhuzamosan az információk hatása is szinte azonnal érzékelhető. Erre reagálva az új szabvány megköveteli, hogy azonosítsuk az összes olyan „érdekelt felet”, az összes külső és belső tényezőt, amely az információbiztonsági irányítási rendszer eredményességére hatása lehet. Figyelem! A dolog nem egyszerűsíthető le arra, hogy soha ne adjuk ki adatainkat az üzemeltetőknek, alvállalkozóknak! Ennél sokkal komplexebb problémával állunk szemben.

Vevőink, anyavállalatunk elvárásokat fogalmaz(hat) meg felénk az információbiztonsággal kapcsolatosan, saját üzleti érdekeink is megkívánnak bizonyos elvárásokat alkalmazottainkkal szemben. Azaz a teljes láncolatban minden mindennel összefügg: figyelnünk kell arra, hogy alvállalkozóink milyen információ biztonsági rendszert üzemeltetnek, hogy az általunk elvárt és például az anyavállalatunk tőlünk megkövetelt biztonsági szintjének is megfeleljenek.

Az érdekelt felek nyilvántartásán kívül azt is meg kell határoznunk, hogy a nyilvántartottak milyen követelményeket támasztanak, illetve hogy nekünk milyen követelményünk van velük szemben.

Ki a felelős? Kié a kockázat?

Sándor Zsolt
tréner, a Gill & Murry tanácsadó cég vezetője

Nyilvántartjuk partnereinket. Az IT-rendszerünk üzemeltetőjének – aki legyen most egy külső cég – pedig teljes hozzáférése van a rendszerünkhöz. Ekkor azonosítanunk kell azt, hogy az üzemeltetőnek bizony komoly befolyása van vállalatunk információbiztonsági szintjére.

Ekkor joggal merülhet fel a kérdés: vajon az szervezetünk IT-rendszerének üzemeltetésből fakadó károk minimalizálásáért ki lesz a felelős?

Akinek az eszközök a tulajdonában vannak? Aki az üzemeltetést végzi? Az ISO 27001 új verziója elvárja, hogy egyértelműen azonosítsuk a kockázat tulajdonosát. És ha azonosítottuk, annak el kell fogadnia a kockázatelemzés és kezelés eredményét, valamit fel kell vállalnia, hogy felel az ún. maradványkockázatokért.

A probléma áttevődött a folyamatgazdára

Ha jól belegondolunk, a mai – jellemzően hibrid – rendszerekben az eszköztulajdonosokat sem egyszerű azonosítani. Ha pedig az üzleti folyamatok felől közelítjük meg a problémát, mással találkozunk: ha a folyamatokhoz nem rendelünk folyamatgazdát, nagyon nehéz lesz a kockázat felelőst is azonosítani. Nyilvánvalóna nem lendülnek a kezek a magasba egy meetingen, ahol feltesszük a kérdést: ki szeretné tartani a hátát ezekért a kockázatokért, ha valami probléma lesz?

Jól látható ebből, hogy az információbiztonság bemászik az „üzlet” területeire, ami óhatatlanul konfliktusokat generál. Ugyanakkor lesz egy rendkívül pozitív következménye is: kockázatkezelés a megfelelő helyre kerül.

És kiből lehet kockázatfelelős (risk owner)? Véleményem szerint az, aki rendelkezi olyan budget felett, ami lehetővé tesz számára a kockázatkezelés módszerének megválasztását. És persze megvan az a döntési jogköre, hogy például választhatja a kockázat viselését is.