ISMS tévhitek, avagy lássunk az ISO 27001 tanúsítványon túl

Az ember azt hihetné, a szabványok pont olyan egyértelmű dolgok, mint a napfelkelte és naplemente. Mindig pontosan tudjuk, mikor, mire számíthatunk velük kapcsolatban. Pedig a helyzet korántsem ennyire egyértelmű. Itt van például a ISO 27000 szabványcsaládba tartozó 27001 szabvány, melynek megnevezése minden információbiztonsággal foglalkozó szakember számára ismerősen cseng: az első kiadása már 15 éves, a gyökerei pedig 25 évre nyúlnak vissza. Mivel az ISO 27001 világszerte ismert és meghatározó szabvánnyá vált, sokan legyintenek a neve hallatára, de valójában a mai napig számos tévhit és rossz gyakorlat él a szabvánnyal, illetve az azon alapuló Information Security Management System-mel (ISMS) kapcsolatban.
Egy ISMS bevezetése a szervezetek életében mérföldkő, hiszen összetett és bonyolult feladat, de mindig akadnak általános alkalmazandó lépések és közös elvek, amelyek gyakran tankönyvszagúnak hatnak. Cikksorozatunkban ezeket a lépéseket, elveket, gyakorlati tapasztalatokat kívánunk megosztani és szeretnénk eloszlatni néhány tévhitet.

Első tévhit: az ISO 27001 az IT biztonságra vonatkozik, így csak az IT-t érinti

Van két témakör, amelyeket gyakran szeretnek összemosni: az információbiztonság és az IT biztonság. Sokan az egész kérdéskört kizárólag technológiai oldalról közelítik meg. S bár kétségtelen, hogy e nézőpont az új és egyre kifinomultabb fenyegetések miatt fontos, de hiba lenne csupán erre szorítkozni.
Az ISO 27001 szabvány kontrolljainak kb. 40%-át technológiai, a maradék 60%-át pedig nem technológiai kontrollok teszik ki: szállítói kapcsolatok, felelősségek, teljesítménymérés, kockázatkezelés, vagyonelemek kezelése vagy akár a fizikai biztonság. Az ISO 27001 szabvány egy évek óta bevált keretrendszerbe foglalja a jól ismert, biztonsággal kapcsolatos people-process-technology hármast, s ebbe a csomagba tökéletesen illeszkednek az IDM megoldások, a felhőalapú szolgáltatások vagy akár az új generációs tűzfalak és a SOC.
Részben az elterjedt technológiai megközelítés táplálja a gyakori tévhitet, mely szerint az információbiztonság kizárólag az IT feladatköre. Valójában az IT üzemeltetésen kívül a fejlesztőknek, a HR-nek, a beszerzésnek, a jognak, a belső ellenőrnek (auditornak), a GDPR óta az adatvédelmi tisztviselőnek, a fizikai biztonsági személyzetnek, a felhasználóknak és nem utolsó sorban a menedzsmentnek is vannak felelősségeik.

Második tévhit: ISO 27001 tanúsítvánnyal rendelkezünk, biztonságosak vagyunk

A legtöbb szervezet elsősorban valamilyen szerződéses kötelezettség teljesítése végett, esetleg anyavállalati nyomásra vezet be és működtet ISMS-t. Az önálló elhatározás ritka, mint a fehér holló. Emiatt az ISMS bevezetések túlnyomó többségénél a falon lógó tanúsítvány a cél, s ezt a különböző sablonokkal, toolkit csomagokkal nem különösebben nehéz elérni. A megfelelés ilyen esetekben háttérbe szorítja a hatékony irányítást és a kockázatkezelést, s ennek veszélye, hogy ezzel a megközelítéssel az ISMS folyamatai, elvei nem épülnek be a szervezet folyamataiba, így nem szállíthat hozzáadott értéket.
Részben az előbbiek miatt, a tanúsítható irányítási rendszerek és más szabványoknak való megfelelés gyakran hamis biztonságérzetet ad a szervezeteknek és partnereiknek, miközben az egyszerű megfelelés korántsem egyenlő a valós, kockázatokkal arányos biztonsággal. Erre a legjobb példái a közelmúltban, a légiközlekedési iparágban végrehajtott támadások, amelyeket olyan légitársaságok is elszenvedtek, amelyek támadásban érintett rendszerei megfeleltek a – legszigorúbb információbiztonsági szabványok közé tartozó – Payment Card Industry Data Security Standard-nak (PCI-DSS). A falon talán tényleg ott lógott a tanúsítvány, de a gyakorlatban ennek vajmi kevés hasznát vették ezzel a hozzáállással.

Harmadik tévhit: nincs szükségünk kockázatkezelésre – és paradigmaváltásra -, az csupán formalitás

A falon lógó tanúsítvány esetét szembe lehet állítani a kockázatalapú- vagy akár a Governance Risk Compliance (GRC) megközelítéssel, ahol az információbiztonság valós hozzáadott értéket ad egy szervezetnek. A szórólapok már számtalan felsorolásban összegyűjtötték az ISO 27001 jellemzőit és előnyeit, de a kockázatkezelés jellemzően kimarad a listából, vagy nem kapja meg az őt megillető hangsúlyt.
Egyértelmű, hogy az ISMS fő célja az információbiztonsági kockázatkezelés kereteinek kialakítása és működtetése, ehhez viszont a legtöbb esetben paradigmaváltásra van szükség, ugyanis sok szervezetnél nem folytatnak szervezeti szintű kockázatkezelést (Enterprise Risk Management) és az információbiztonsági kockázatokat sem kezelik formális módon. Pedig az információbiztonsági kockázatok kezelése növeli a hatékonyságot, ami a kitűzött célok elérését és költségek csökkenését is eredményezheti.

A kockázatkezelés célja a bizonytalanság orvoslása, hiszen ennek köszönhetően a szervezetek kiszámíthatóbb módon működhetnek és ellenállóbbá válhatnak. Az összetett jogszabályi és iparági követelmények és a potenciális partnerek szerződéseinek hosszú információbiztonsági mellékletei sok szervezetet kihívás elé állítanak, de ezeket is be lehet, sőt, be is kell csatornázni a keretrendszerbe.
A fentiekből következik, hogy a kockázatkezelést – és az egész ISMS bevezetést, annak fenntartását – nem pusztán egy falra akasztható tanúsítványért érdemes végigvinni. Éppen ezért kell becsatornázni az aktuális kérdéseket, elvárásokat, aggodalmakat, és tartalommal megtölteni az ISMS-t. Ellenkező esetben a tévhitek tovább gyarapodnak.

Negyedik tévhit: az ISO 27001 bevezetése és fenntartása rengeteg adminisztrációval jár

Kétségtelen, az ISMS bevezetés és fenntartás adminisztrációjával és dokumentációjával kapcsolatos fenntartások részben jogosak, hiszen a dokumentált információ elve – szigorúan a kockázatkezelés és a menedzsment elkötelezettsége után – az ISO 27001 egyik legfontosabb eleme. A dokumentált információ elve biztosítja, hogy az evidenciák alapján az auditorok meggyőződhessenek az ISMS megfelelő működéséről.
E kérdést érdemes megfordítani és az érettségi szintek felől közelíteni. Akár a COBIT, akár a CMMI szerint értékeljük egy tevékenység érettségét, a dokumentáció mindenhol szóba kerül, hiszen enélkül képtelenség érettségi szintet lépni. Sajnos a dokumentáció kialakítása mindig a legkevésbé kedvelt feladatok közé tartozott, de ettől még számos előnye van. Gondoljunk csak a fluktuáció miatti tudásdeficitre, amit nem ugyan lehet teljesen kiküszöbölni, csökkenteni azonban igen!

Közhelynek tűnhet a silószerű működés, de jelen esetben is érdemes felszámolni. Ennek érdekében minden dokumentációt a szervezet már meglévő dokumentációs struktúrájába kell illeszteni, méghozzá a szervezet méretének megfelelően. Egy multinacionális nagyvállalatnak dokumentációs struktúrája persze más felépítésű, mint amit egy kkv esetében használnak. A GRC platformok (például az RSA Archer) megjelenésével bebizonyosodott, hogy ezen a területen az Excel táblázatokon túl is van élet, ami ráadásul hatékonyabb: elég csak az előkészített use case-ekre, applikációkra, vagy a többes hozzárendelésekre gondolni. Egy bizonyos szervezeti méret fölött célszerűbb ilyen GRC megoldásokat használni.

Ötödik tévhit: a sikeres ISO 27001 tanúsítás után nincs teendőnk

Milyen szép is lenne, ha a tanúsítvány falra akasztása után tényleg nem kellene többé foglalkoznunk az ISO 27001 kérdéskörével. Úgy tűnik, a többség fejében élénken él ez a tévképzet, mert – más szabványokhoz és tanúsítványokhoz hasonlóan – az ISMS-re is igaz, hogy sokszor a sikeres tanúsítást követően elhanyagolják őket. Vagyis a menedzsment elkötelezettsége drasztikusan csökken, a felelősök pedig gyakran csak az audit előtt végzik el a fenntartáshoz szükséges – egyébként szerteágazó és fontos – tevékenységeket.
A fenti megközelítés okait elsősorban arra lehet visszavezetni, hogy berögzülnek a rossz gyakorlatok, ennek következtében az ISMS-t nem sikerült megfelelően beilleszteni a szervezetbe és a folyamatokba, valamint a dokumentáció többlet terhet ró a felelősökre, ahelyett, hogy egyszerűsítené a munkájukat. Ez pedig – érthető okokból – nem különösebben motiváló.
A tanúsítás megfelelő megünneplése után a gyakorlattal ellentétben nem lehet elégedetten hátradőlni és gyönyörködni a falon lógó cetliben, hanem a bevezetés során összegyűjtött és beütemezett rendszeres ismétlődő feladatokat kell elvégezni. Miként azt korábban már leírtam: napirenden kell tartani és be kell csatornázni az ISMS-be az információbiztonsággal kapcsolatos tartalmat és kérdéseket.

Iratkozzon fel listánkra, hogy időben értesüljön rendezvényeinkről és cikkeinkről: