Birt á Moggablogginu 11.7.2008 - Efnisflokkur: Upplýsingaöryggi, netöryggi og persónuvernd
Þessi umfjöllun um hvað Guðmundur Þóroddsson, fyrrverandi forstjóri Orkuveitu Reykjavíkur (OR), tók eða tók ekki með sér snýr að mínu sérsviði, þ.e. stjórnun upplýsingaöryggis. Í stöðlunum ISO 27001 og ISO 27002, sem eru kjarnastaðlar um stjórnun upplýsingaöryggis, er skilgreint hvaða reglur þurfa að vera til staðar til að taka á atvikum svipuðum þeim sem hér um ræðir. Mér vitanlega þá hefur OR innleit stjórnkerfi upplýsingaöryggis samkvæmt ISO 27001 og því tel ég líklegast að reglurnar séu til hjá fyrirtækinu án þess að vita hvað í þeim stendur. Það sem kemur hér fyrir neðan er því á engan hátt tilvísun til fyrirkomulags hjá OR, heldur almennar leiðbeiningar til fyrirtækja og stofnana um hvað staðlarnir segja um þetta.
Fyrir þá sem ekki vita, þá er ISO 27001 kröfustaðall og sá sem vottun fært gagnvart, meðan ISO 27002 inniheldur leiðbeinandi bestu starfsvenjur. Ég mun því vitna í kröfur ISO 27001, eins og þær eru birtar í viðauka A í staðlinum. Greinarnúmer í ISO 27002 eru þau sömu og í ISO 27001 að undanskyldu "A.".
A.6.1.5 Trúnaðarsamningur: Bera [skal] kennsl á og rýna með reglubundnum hætti kröfur um samninga um trúnað eða þagnarskyldu sem spegla þarfir fyrirtækisins fyrir verndun upplýsinga.
A.7.1.1 Eignaskrá: Bera [skal] kennsl á allar eignir með skýrum hætti og gera skrá yfir mikilvægar eignir og viðhalda henni.
A.7.1.3 Ásættanleg notkun eigna: Setja [skal] reglur, skjalfesta þær og innleiða um ásættanlega notkun upplýsinga og eigna...
A.7.2.1 Leiðbeiningar um flokkun: Upplýsingar [skal] flokka með tilliti til verðmætis, réttarfarsákvæða, viðkvæmni og mikilvægis fyrir fyrirtækið.
A.8.1.3 Ráðningarskilmálar: Sem hluta af samningsbundinni skyldu sinni [skulu] starfsmenn, verktakar og notendur með stöðu þriðja aðila samþykkja og undirrita skilmálana í ráðningarsamningi sínum sem [skulu] kveða á um ábyrgð þeirra og fyrirtækisins á öryggi upplýsinga.
A.8.3.1 Ábyrgð við ráðningarlok: Ábyrgð á framkvæmd ráðningarloka eða breytinga á ráðningu [skal]vera vel skilgreind og falin ákveðnum aðila með skýrum hætti.
A.8.3.2 Eignum skilað: Allir starfsmenn, verktakar og notendur með stöðu þriðja aðila [skulu] skila öllum eignum fyrirtækisins sem eru í þeirra vörslu að loknum ráðningartíma þeirra eða samningi.
A.8.3.3 Niðurfelling aðgangsréttinda: Fella [skal] niður aðgangsréttindi allra starfsmanna, verktaka og notenda með stöðu þriðja aðila að upplýsingum og upplýsingavinnslubúnaði við ráðningarlok þeirra, samnings eða samkomulags, eða aðlaga þau eftir breytingu.
A.10.7.3 Verklagsreglur um meðferð upplýsinga: Setja [skal] verklagsreglur um meðferð og geymslu upplýsinga til þess að vernda þessar upplýsingar fyrir óheimilli uppljóstrun eða misnotkun.
A.11.1.1 Aðgangsstýringarstefna: Aðgangsstýringarstefnu [skal] koma á, skjalfesta og rýna á grundvelli rekstrar- og öryggiskrafna um aðgang.
A.11.6.1 Takmörkun á aðgangi að upplýsingum: Aðgang notenda og starfsmanna, sem annast stuðning, að upplýsingum og aðgerðum hugbúnaðarkerfa [skal] takmarka í samræmi við skilgreinda aðgangsstýringarstefnu.
Þetta er dágóð upptalning og ekki fyrir hvern sem er að útfæra þessar kröfur þannig að vel sé. Auk þess er það algengur misskilningur að staðlarnir nái eingöngu til upplýsinga á rafrænu formi, en svo er alls ekki. Í inngangskafla ISO 27002 segir m.a.: ,,Upplýsingar geta verið á margs konar formi. Þær geta verið prentaðar eða ritaðar á pappír, geymdar með rafrænum hætti, sendar með pósti eða á rafrænan hátt, birtar á filmu eða látnar í ljós í mæltu máli. Á hvaða formi sem upplýsingarnar eru, og hvaða leiðir sem notaðar eru til að samnýta þær eða geyma, ætti ávallt að vernda þær á viðeigandi hátt."
Hafi einhverjir áhuga á að fræðast meira um þetta efni, staðlana ISO 27001 og ISO 27002, innleiðingu á stjórnkerfi upplýsingaöryggis eða bara upplýsingaöryggismál almennt, þá er um að gera að senda mér tölvupóst á oryggi@internet.is eða fara inn á heimasíðu mína www.betriakvordun.is. Þetta er það sem ég hef verið að fást við meira og minna undanfarin 16 ár, þar af sem ráðgjafi síðustu 8 ár. Ég hef alltaf lagt áherslu á það í ráðgjöf minni að stjórnkerfi upplýsingaöryggis nái til allra upplýsinga/skjala/gagna sem viðkomandi aðila notar vegna starfsemi sinnar, því þrátt fyrir að notkun upplýsingakerfa sé orðin mjög víðtæk, þá er ennþá ótrúlega stór hluti mikilvægra upplýsinga geymdur á pappír eða býr í þekkingu fólks.
Færslan var skrifuð við fréttina: Upplýsingar stangast á um eðli gagna um OR í vörslu Guðmundar