Birt á Moggablogginu 1.2.2008 - Efnisflokkur: Upplýsingaöryggi, netöryggi og persónuvernd
Dagana 7. og 8. febrúar nk. verður haldið hjá Staðlaráði Íslands námskeið þar sem kynntir verða alþjóðastaðlarnir ÍST ISO/IEC 17799 Starfsvenjur fyrir stjórnun upplýsingaöryggis og ÍST ISO/IEC 27001 Stjórnkerfi upplýsingaöryggis - Kröfur. Námskeiðið er haldið að Laugavegi 178 og er hægt að skrá sig með því að smella hér. Fyrirlesari er Marinó G. Njálsson, sérfræðingur í stjórnun upplýsingaöryggis.
Mjög mörg fyrirtæki eru að íhuga innleiðingu þessara staðla eða standa frammi fyrir kröfum aðila á borð við Persónuvernd, Fjármálaeftirlit og Póst- og fjarskiptastofnunar um innleiðingu stjórnkerfa sem auka eiga öryggi upplýsinga. Nýlega hafa greiðslukortafyrirtækin bæst í þennan hóp, en þeir sem taka á móti greiðslukortum þurfa að uppfylla kröfur staðalsins PCI: Data Security Standard og er m.a. hægt að nota aðferðafræði ISO 27001 og ISO 17799 við það. Þó svo að fyrirtæki og stofnanir hafi ekki kröfur framangreindaraðila til að reka á eftir sér, þá er full ástæða fyrir alla sem safna, vinna með og varðveita upplýsingar að kynna sér innihald þessara staðla.
Tekið skal fram að upplýsingaöryggi og upplýsingatækniöryggi er ekki eitt og það sama. Upplýsingaöryggi er mun víðfeðmara hugtak og nær til upplýsinga á hvaða formi sem er, utan upplýsingakerfa sem innan. Námskeiðið, sem minnst er á að ofan, fjallar því nær ekkert um tækni og tæknilegar lausnir heldur fyrst og fremst um aðferðafræði og helling af heilbrigðri skynsemi.
Hér fyrir neðan er stutt kynning á stöðlunum:
ÞAÐ er oft sagt, að næst á eftir starfsfólki séu upplýsingar dýrmætasta eign hvers fyrirtækis eða stofnunar. Þau treysta mjög mikið á upplýsingar á hvaða formi sem þær eru. Skiptir þá ekki máli hvort upplýsingar eru á rafrænu formi, skráðar á pappír eða annan áþreifanlegan hátt eða búa í þekkingu fólks. Upplýsingakerfi veita, t.d., stjórnendum mikilvægar upplýsingar um reksturinn, þar sem þau varðveita bókhaldsgögn, sölutölur, rannsóknaniðurstöður, markaðsáætlanir og önnur trúnaðargögn, sem notuð eru við úrvinnslu, stefnumótun, markaðssetningu og almenna ákvörðunartöku.
Mikilvægi upplýsingakerfa fyrirtækja er það mikið, að kerfisbilanir hafa áhrif á starfsgetu fyrirtækjanna. Að missa út tölvukerfið er eitt alvarlegasta áfall sem getur hent. Rannsóknir í Bandaríkjunum sýna að æ fleiri fyrirtæki komast í þrot og hætta rekstri hafi þau orðið fyrir alvarlegu tjóni í tölvumiðstöðvum og ekki haft trygga neyðaráætlun. Á 8. áratugnum var þetta hlutskipti um 75% fyrirtækja, 10 árum síðar var þetta hlutfall komið í 82% og hefur síðan hækkað í 90 af hundraði. Því má segja að öryggi upplýsingakerfa sé orðinn einn mikilvægasti þátturinn í rekstraröryggi fyrirtækja. En öryggi upplýsinga snýst einnig um að koma í veg fyrir að mikilvæg pappírsgögn glatist í bruna og að mikilvæg sérþekking hætti að vera aðgengileg við það að starfsmaður hætti störfum eða lendi í slysi.
Allar upplýsingar, sem fela í sér verðmæti, þarf að vernda fyrir þeim ógnunum sem að þeim steðjar, hvort heldur þær stafa af umhverfinu (t.d. náttúruhamfarir), tækninni (t.d. rafmagnsbilun) eða mannfólkinu (t.d. starfsmönnum). Verndin felst stundum í því að losna við ógnunina, en oftast er það ekki hægt. Þá er gripið til þess að styrkja varnir upplýsingaeignanna til að draga úr áhættunni, færa áhættuna til (t.d. með því að kaupa tryggingar) eða maður einfaldlega viðurkennir að ekki borgar sig að verjast tiltekinni ógnun.
Staðlar um upplýsingaöryggi
Upplýsingavernd hefur verið umhugsunarefni fjölmargra aðila. Þannig var á 8. áratugnum unnin mikil vinna í Bandaríkjunum, en í lok þess níunda höfðu evrópsk samtök tölvunotenda frumkvæði að því að taka saman skjal með svo kölluðum bestu starfsreglum um stjórnun upplýsingaöryggis. Þetta skjal varð síðar að breska staðlinum BS 7799 og síðar að tveimur alþjóðlegum stöðlum ISO/IEC 27001 og ISO/IEC 17799 (sem mun breytast í 27002 á næstu misserum).
Staðlarnir urðu fljótlega mjög vinsæll, enda byggðir á áratuga reynslu þeirra sem hafa komið að öryggi upplýsinga og upplýsingakerfa. Er svo komið að víða er gerð krafa um að til staðar sé vottað stjórnkerfi samkvæmt þessum stöðlum til þess að tryggt sé að öryggi viðkvæmra fjármála- eða persónuupplýsinga sé eins og best verður kosið. Hér á landi hafa Persónuvernd, Fjármálaeftirlit og Póst- og fjarskiptastofnun mælt með að þessir staðlar séu notaðir við uppbyggingu og innleiðingu ráðstafana sem uppfylla kröfur stofnananna til öryggis upplýsinga.
Staðallinn kemur í tveimur hlutum:
ISO 17799 inniheldur leiðbeiningar um þau atriði sem gott er að skoða þegar hugað er að öryggi upplýsinga, en ISO 27001 setur fram leiðbeiningar um uppbyggingu, innleiðingu, rekstur og viðhald stjórnkerfis upplýsingaöryggis. Sækist fyrirtæki eftir vottun samkvæmt þessum stöðlum, þá nær vottunin í raun til ISO 27001.
Hlutverk staðlanna
Staðlarnir leggja til stjórnunaraðferðir sem fyrirtæki geta notað til að meta og styrkja stöðu öryggismála. Í sumum tilfellum er nauðsynlegt að beita tæknilegum lausnum, en stjórnunarhættir eru ekki síður mikilvægir og oftast skipta þeir meira máli. Nokkur mikilvæg atriði sem leiða til góðrar stöðu öryggismála og eru dekkuð í staðlinum:
Stjórnunaraðferðir sem leggja áherslu á öryggi
Vel skilgreind ábyrgðarsvið varðandi öryggisþætti innan fyrirtækis
Vel skilgreint hlutverk eftirlitsaðila (endurskoðanda) sem nær til upplýsingaöryggis í víðustu merkingu, en ekki eingöngu tæknilegra þátta
Góður skilningur á því hve nauðsynlegt er að deildir, stjórnendur, tæknifólk, notendur, viðskiptavinir og samstarfsaðilar fái vitneskju um öryggiskröfur og að skipting ábyrgða þarf að koma fram í samningum, starfslýsingu, skriflegum leiðbeiningum og á öðrum formi, sem þörf er á
Mikilvægi þess að skilja og viðurkenna gildi upplýsinga fyrir rekstur fyrirtækisins
Mikilvægi öryggisvitundar, þjálfunar og stöðugrar endurskoðunar á öryggismálum sem grundvallarþáttar í starfsemi fyrirtækis
Hagur af stöðlunum
Staðlarnir samanstanda af viðamiklu safni öryggisreglna sem miða að því að auka kröfur til öryggis. Þó svo að ekki sé stefnt að formlegri vottun, er margs konar hagur af því að uppfylla grunnreglur staðlanna og fara eftir leiðsögn í ISO 17799:
Dregið er úr líkum á tjóni vegna ógnana, svo sem hakkara, þjófnaðar, náttúruhamfara og tæknilegra bilana
Rekstrarumhverfi verður almennt öruggara
Staðfesting á að notast er við viðurkenndar öryggisreglur
Bætt öryggisvitund í öllu fyrirtækinu
Skilvirkari stjórnun og starfsreglur
Betri skilningur á því hvar úrbætur á öryggi eru nauðsynlegar
Betri nýting á fjármunum sem varið er til að bæta öryggi upplýsinga
Viðbót úr athugasemd:
Upplýsingaöryggi er ekki einskorðað við tryggja öryggi upplýsinga og upplýsingavinnslu þar sem vinnsla þeirra og varsla fer fram. Það snýst ekki síður um að tryggja að með upplýsingarnar sé farið í samræmi við bestur vinnsluhætti, að gætt sé þess að vinnslan sé í samræmi við ákvæði laga (þar á meðal persónuverndarlaga, laga um réttindi sjúklinga, fjarskiptalaga og hinna fjölmörgu laga um fjármálamarkaðinn) og þess gætt að eingöngu þeir hafi aðgang sem þurfa þess starfs síns vegna, svo eitthvað sé nefnt.
Samkvæmt lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga er meginreglan um meðferð upplýsinga:
að þær séu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga;
að þær séu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi, en frekari vinnsla í sagnfræðilegum, tölfræðilegum eða vísindalegum tilgangi telst ekki ósamrýmanleg að því tilskildu að viðeigandi öryggis sé gætt;
að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar;
að þær séu áreiðanlegar og uppfærðar eftir þörfum, persónuupplýsingar sem eru óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skal afmá eða leiðrétta;
að þær séu varðveittar í því formi að ekki sé unnt að bera kennsl á skráða aðila lengur en þörf krefur miðað við tilgang vinnslu.
Það sem þú nefnir, Alma, að ofan eru allt atriði sem falla undir persónuverndarlög og það er því Persónuverndar að leyfa eða hafna slíkri vinnslu. Leyfi Persónuvernd vinnsluna, þá þurfa viðkomandi aðilar að koma á öryggiskerfi persónuupplýsinga þar sem sérstaklega er tekið á öryggisþáttum vegna vinnslunnar. (Raunar þurfa allir sem vinna með persónuupplýsingar að koma á fót slíku öryggiskerfi, þó ekki séu allir metvitaðir um þá skyldu.) Vangaveltur um svona atriði eru meðal þess sem rætt er á námskeiðinu hjá Staðlaráði, þó að sjálfsögðu sé ekki tekin afstaða til mála sem Persónuvernd hefur ekki úrskurðað um.