Če vodjo varnosti v kateri koli slovenski organizaciji vprašate, ali imajo vzpostavljen program informacijske varnosti, bo večina odgovorila pritrdilno. Ce jih vprašate, da opišejo dejanske grožnje, s katerimi se sooča njihova organizacija — glede na sektor, dobavno verigo, regulatorni status in operativne odvisnosti — pa odgovori postanejo manj prepričljivi.
Ce jih vprašate, kdo zunaj organizacije ima legitimno pooblastilo glede tega, kako upravljajo informacijsko varnost — je odgovor pogosto nepopoln ali pa ga sploh ni.
Razlika med standardnim programom, in programom, ki temelji na razumevanju konteksta, v katerem mora ta program delovati, je ena najpomembnejših slabosti v pristopu organizacij k informacijski varnosti. Po ZInfV-1 ta vrzel ustvarja tudi neposredno regulatorno izpostavljenost. Ta članek pojasni, kaj razumevanje organizacijskega konteksta pomeni, zakaj je ključno za skladnost in kako strukturirani pristop ISO 27001 zagotavlja temelj, ki ga vsak varnostni program potrebuje.
1. Kontekst ni uvodni korak, je bistvo
Skušnjava je, da bi analizo konteksta obravnavali kot potrditveno polje pred ‘pravim delom’ implementacije varnostnih kontrol. Ta pristop je povsem napačen.
Vsaka varnostna odločitev organizacije — identifikacija in obravnava tveganj, katere storitve zaščititi, kako se odzvati na incident — je le tako dobra kot razumevanje konteksta, na katerem temelji. Organizacija, ki ne pozna svojega regulatornega okolja, bo zamudila obvezne dolžnosti. Tista, ki ne nadzira dobavne verige, ne bo upravljala tveganj tretjih oseb. Tista, ki ni opredelila, kaj varuje, bo ukrepe uveljavljala nedosledno in ustvarjala vrzeli, ki jih bodo našli revizorji in napadalci.
ZInfV-1 to konkretizira. Zakon zahteva, da bistveni in pomembni subjekti izvajajo varnostne ukrepe, ki so sorazmerni z njihovim profilom tveganja, velikostjo in naravo storitev, ki jih zagotavljajo. Sorazmernosti ni mogoče oceniti brez natančnega razumevanja konteksta.
ZAHTEVA ZINFV-1
20. člen direktive NIS2 — prenesen v slovensko pravo z ZInfV-1 — izrecno zahteva, da subjekti pri določanju varnostnih ukrepov upoštevajo svojo izpostavljenost tveganjem, svojo velikost ter verjetnost in resnost incidentov. To je obveznost, odvisna od konteksta. Ni je mogoče izpolniti brez dokumentirane analize organizacijskega konteksta.
2. Razumevanje pokrajine tveganj
Izhodišče vsakega verodostojnega varnostnega programa je iskrena analiza notranjih in zunanjih dejavnikov, ki oblikujejo grožnje, s katerimi se organizacija sooča, in omejitve, v okviru katerih jih mora upravljati.
Notranji dejavniki
Notranji kontekst zajema vse, kar je neposredno pod nadzorom organizacije in določa, kako mora biti varnost zasnovana in upravljana:
- Organizacijska struktura in kultura
- Poslovni procesi in tokovi informacij
- Tehnološko okolje
- Človeski dejavniki
- Pogodbene in pravne obveznosti
Zunanji dejavniki
Zunanji kontekst vključuje sile zunaj neposrednega nadzora organizacije, ki oblikujejo njeno pokrajino groženj in opredeljujejo regulatorno okolje, v katerem deluje:
- Pravno in regulatorno okolje
- Pokrajina groženj
- Dobavna veriga in partnerski ekosistem
- Konkurenčno in tržno okolje
- Geopolitični in fizicni dejavniki
Analiza konteksta je ni enkratno opravilo. ZInfV-1 zahteva, da varnostni ukrepi ostanejo sorazmerni skozi čas zato je treba analizo konteksta posodobiti, da odraža resničnost organizacije.
3. Vedeti, komu ste odgovorni
Varnostni program ne obstaja v izolaciji. Vsaka organizacija deluje v mreži odnosov — s strankami, regulatorji, lastniki, dobavitelji, zaposlenimi in zavarovalnicami — od katerih ima vsaka legitimne zahteve glede upravljanja informacijske varnosti. Neidentificiranje in nesistematično obravnavanje teh zahtev je eden najpogostejsih vzrokov neuspeha pri zagotavljanju skladnosti.
Za slovenske organizacije, ki jim ZInfV-1 nalaga obveznosti, je regulatorna razsežnost tega še posebej pomembna. Zainteresirane strani vključujejo:
- Stranke / uporabniki storitev
- Dobavitelji in podizvajalci
- Delničarji / Uprava
- Zaposleni
- Certifikacijski in revizijski organi
Naloga ni hkratni zadovoljiti vseh zahtev vseh strani, temveč zagotoviti, da so relevantne zahteve vsake strani identificirane, dokumentirane in sistematično obravnavane pri načrtovanju in delovanju varnostnega programa.
4. Opredelitev, kaj varujete
Razumevanje konteksta in preslikava zainteresiranih strani ustvarita pogoje za eno najpomembnejših strateških odločitev v vsakem varnostnem programu: opredelitev njegovega obsega. Obseg določa, kaj program pokriva in, enako pomembno, kaj leži zunaj njega in kako se te meje upravljajo.
Najpogostejše napake pri določanju obsega
| Napaka pri določanju obsega | Posledica po ZInfV-1 |
| Preozek obseg | Regulatorne vrzeli; Spregledane obveznosti; Pomankljivi dokazi |
| Preširok obseg | Nedosledno uveljavljanje kontrol; Nepreglednost sistema |
| Slabo dokumentirane meje obsega | Slepe točke na obrobju programa; Izvajanje nepotrebnih aktivnosti |
| Obseg ni pregledan po organizacijski spremembi | Nove storitve, prevzemi ali dobavitelji ustvarijo neupravljane obveznosti zunaj programa |
NAČELO DOLOČANJA OBSEGA
Verodostojen obseg je tisti, ki iskreno odražaa, kaj organizacija lahko revidira, vzdržuje in izboljšuje.
5. Od konteksta do skladnosti: kaj to pomeni za ZInfV-1?
Zahteve, ki jih ZInfV-1 nalaga bistevnim in pomembnim subjektom — sorazmerni ukrepi, dokumentirano upravljanje, varnost dobavne verige, priglasitev incidentov, redni pregled — vse predpostavljajo, da organizacija razume lasten kontekst. To razumevanje ni obrobno za skladnost; je njen predpogoj.
ISO 27001 zagotavlja metodologijo za razvoj in vzdrževanje tega razumevanja na strukturiran, preverljiv in nenehno izboljšujoč se način. Ko organizacija opravi analizo konteksta, ki jo zahteva ISO 27001, hkrati pripravlja dokumentirana dokazila, ki jih zahteva pregled po ZInfV-1.
Organizacije, ki jim je zagotavljanje skladnosti z ZInfV-1 preprosto, niso tiste z največjimi proračuni ali najsodobnejšo tehnologijo. So tiste, ki so jasno razumele lasten kontekst, iskreno preslikale svoje obveznosti in na tej podlagi zgradile varnostni program — ne na predpostavkah.
Razvoj solidnega razumevanja organizacijskega konteksta ni enkratni projekt — je stalna disciplina.
Ko je ta temelj vzpostavljen, ima vsak naslednji element varnostnega programa — ocenjevanje tveganj, izbor kontrol, odzivanje na incidente, revizija in pregled vodstva — jasno, dokumentirano podlago. Brez tega so ti elementi zgrajeni na predpostavkah — predpostavke pa ne zadovoljijo regulatorjev.
NASLEDNJI KORAK
Niste prepričani, ali je vaš varnostni program zgrajen na solidnem razumevanju organizacijskega konteksta — ali pa so vaše obveznosti po ZInfV-1 v celoti odražene v obsegu? Naša brezplačna Ocena zrelosti informacijske varnosti traja 10 minut in vam da takojšnjo sliko, kje stoji vaša organizacija. Izpolnite kratki obrazec in vaši personalizirani rezultati vas čakajo na drugi strani.
Serija se nadaljuje — naslednji teden: Vodstvo (ISO 27001, poglavje 5)