|
Kako
je ISO 27001 norma počela u Hrvatskoj, gdje je sada i kakva joj je budućnost?
Prošlost
Prve
organizacije koje su uvele informacijsku sigurnost u hrvatskim okvirima to su
učinile vjerojatno vrlo davno, i nisu htjele da bilo tko zna za njih, pa ovdje
nije niti mjesto da govorimo o njima. Naime, dugo se o informacijskoj
sigurnosti govorilo kao o nečemu skrivenom, i svatko tko je radio na sigurnosti
zapravo je želio da se to obavlja bez znanja javnosti.
Prve
tvrtke koje su izašle iz tih okvira i certificirale se po staroj normi BS 7799-2 (koja je poslije prešla u ISO 27001) bile su
Pliva informatika (GBS – Global Business Services), te CS Computer Systems – to
su tehnološke tvrtke koje su na ovaj način htjele dokazati svoju tehnološku
razinu, ali i sebi otvoriti vrata za novo tržište.
Ubrzo
nakon toga certifikaciju su prošle tvrtke Vipnet (vjerojatno zbog projekata
pokrenutih na nivou korporacije), i Primorsko-goranska županija kao prvo tijelo
lokalne samouprave, čime je napravljen veliki iskorak i u državni sektor.
Sadašnjost
Nedavno
se certificirala tvrtka Agencija za komercijalnu djelatnost (AKD) zbog svoje
specifične djelatnosti i želje da sigurnost izdignu na još višu razinu, te
Privredna banka Zagreb koja je kao prva u financijskom sektoru vidjela određenu
marketinšku korist u ovakvom certifikatu.
Drugim
riječima, do sada je izdano samo 6 certifikata ISO 27001, što je zanemariva
brojka u odnosu na više od 2000 certifikata po ISO 9001. Međutim, po saznanju
autora ovog teksta, veći dio banaka u Hrvatskoj je započela ili će započeti
projekte uvođenja ISO 27001 iz razloga regulative (o čemu će biti malo kasnije
riječi); također nekoliko tvrtki radi na uvođenju norme, pa je zapravo
raširenost ovog standarda bitno veća.
U
međuvremenu je 2006. godine ISO 27001 prihvaćena kao hrvatska norma od strane
Hrvatskog zavoda za norme, i oznaka joj je HRN ISO/IEC 27001:2006. Nažalost,
izvornik je još uvijek na engleskom jeziku, međutim pretpostavka je da će se i
to promijeniti iz vrlo konkretnog razloga: Hrvatska Vlada je nedavno donijela
Uredbu o mjerama informacijske sigurnosti (NN 46/08) koja propisuje da sva
tijela državne uprave i pravne osobe s javnim ovlastima koje koriste tzv.
neklasificirane podatke moraju provesti dotičnu normu. Drugim riječima, ova će
norma morati ući u vrlo široku uporabu u državnom sektoru, pa je njen prijevod
na hrvatski vrlo izvjestan.
Međutim,
ovo nije jedina regulativa koja je povezana s ISO 27001 – 2006. godine Hrvatska
narodna banka je objavila Smjernice za upravljanje informacijskim sustavom u
cilju smanjenja operativnog rizika, koje po svojoj strukturi i suštini jako
nalikuju na ISO 27001, a 2007. godine HNB je objavila Odluku o primjerenom
upravljanju informacijskim sustavom kojim propisuje obvezne rokove provedbe za
pojedine stavke iz Smjernica. Ni u jednom od ta dva dokumenta nije spomenuta
norma, ali dubljom analizom dolazimo do zaključka da postoji preklapanje od ca
95% sa ISO 27001.
Budućnost
Slijedom
navedene zakonske regulative, za očekivati je veliku raširenost ISO 27001 norme
u Hrvatskoj u slijedećih 2-3 godine:
- većina
banaka će provesti regulativu HNB-a o informacijskoj sigurnosti koristeći
metodologiju ISO 27001, ali je pitanje da li će postojati veći interes za
certifikaciju
- gotovo
sva tijela državne uprave i pravne osobe s javnim ovlastima će morati provesti
normu ISO 27001, i tu će biti najveći skok u provedbi i certifikaciji
- tvrtke
koje su dobavljači banaka odnosno tijela državne uprave, a pogotovo one iz
tehnološkog i sigurnosnog sektora sve će više tražiti načine da se
diferenciraju i dokažu svoju tehnološku i sigurnosnu razinu, pa će i one
doprinijeti značajnijem rastu u smislu certificiranih tvrtki
- pretpostavka
je da će i osiguravatelji odnosno ostatak financijskog sektora morati slijediti
praksu bankara po pitanju informacijske sigurnosti i operativnog rizika, pa se
može očekivati da će i taj sektor vrlo brzo pokrenuti projekte temeljene na ISO
27001, pogotovo nakon što HANFA uvede stroža pravila
Skok
broja organizacija koje će uvoditi informacijsku sigurnost će donijeti i
probleme koji su već sada vidljivi u bankama: manjak obrazovanih stručnjaka.
Međutim, to je već sasvim druga tema.
Trackback(0)
 |
TrackBack URI for this entry
