SIGURNOSNA RJEŠENJA

GAP analiza inofrmacijskog sustava i standarda ISO/IEC 27001/27002
POTREBA (Problem/potreba korisnika koju rješavamo pomoću ovog rješenja)

Upravljanje sigurnošću informacija tijekom njihovog životnog ciklusa unutar informacijskog sustava organizacije kompleksan je i zahtjevan proces, koji se gotovo uvijek oslanja na izvjesne smjernice dane od strane uglednih strukovnih organizacija i zakonske regulative. Hrvatska norma sustava upravljanja sigurnošću informacija HRN ISO/IEC 27001:2006 preslika je istoimenog međunarodnog standarda, koji se zapravo sastoji od niza pravila čija je svrha pružanje smjernica organizacijama za ustroj informacijske sigurnosti. Bilo radilo se o početnom uvođenju sigurnosnog sustava ili certifikacijskom auditu (koji ima zadaću utvrditi sukladnost sa standardom i time priskrbiti organizaciji uglednu međunarodnu referencu poslovanja), proces analize raskoraka između zacrtanih ciljeva i postojećih mogućnosti naziva se gap (eng. rupa, procijep) analiza, te predstavlja provjeru implementiranih sigurnosnih procedura i mjera zaštite informacija i njihovu usporedbu sa odrednicama gore spomenute nacionalne norme (čiji je dodatak A detaljnije razrađen standardom ISO/IEC 27002).

RJEŠENJE (Što i kako radi ovo rješenje)

Norma HRN ISO/IEC 27001:2006 sastoji se od dva ključna dijela: teksta samog standarda i dodatka A. Dok se u prvom dijelu iznose opća pravila uspostave, implementacije, nadzora i poboljšavanja sustava upravljanja sigurnošću informacija, dodatak sadrži 134 sigurnosne kontrole, čije poštivanje služi za pokrivanje većine zahtjeva iz prvog dijela. Kako pokrivenost svega navedenog predstavlja obavezu organizacije prilikom prijave za certifikaciju sigurnosnog sustava prema ISO 27001 standardu, temeljni alat gap analize jest cjelovit popis svih zahtjeva i provjera ispunjenosti svakog od njih. Uz potpunu sukladnost kao najbolji rezultat pojedinog zahtjeva, postupak nudi mogućnost bilježenja razloga neispunjenja odredbe, odnosno korisnih komentara koji nude kao vodilja prilikom promjena i eventualnih uočenih poboljšanja sustava.

KORISTI (Koja je korist za korisnika od ovog rješenja)

Organizacijama koje su se odlučile za samostalnu izvedbu sustava upravljanja informacijskom sigurnošću, odnosno prepustile brigu o zaštiti informacija kompetentnim trećim osobama, nudi se dvojaka korisnost ovog poslovnog rješenja. Kako se radi o obimnom i specijalistički zahtjevnom projektu, procjena i rezervacija dovoljnih resursa (osoblja, tehničke opreme, novaca i vremena) za uspostavu teško je izvediva bez egzaktnih podataka o trenutnom stanju informatičkih sustava i radnih praksi, u odnosu na zakonitosti samog standarda. Upravo se gap analiza tu nameće kao optimalno rješenje (vremenski i financijski), čiji rezultati služe kao ulaz u proces planiranja.

S druge strane, u posljednjoj fazi procesa uspostave sigurnosnog sustava, najčešće uslijed motivacije za službenom certifikacijom prema ISO 27001 standardu, usluga nezavisne ocjene implementiranih sigurnosnih kontrola i procedura u vidu gap analize pruža završnu razumnu garanciju upravljačkom tijelu o kvaliteti postignute razine informacijske sigurnosti unutar organizacije i osigurava uspjeh predstojeće prijave za certifikacijom.

NAŠE PREDNOSTI (Zašto odabrati baš naše rješenje)

Visoka stručnost specijalista RECRO-NET-a za informacijsku sigurnost, potvrđena kroz držanje niza međunarodnih certifikata, omogućuje kompetentnu analizu korisnikovih tehničkih sigurnosnih kontrola, kao i ostalih mjera zaštite, te eventualno predlaganje best-practice metodologija u svrhu poboljšanja sustava upravljanja sigurnošću informacija. Kao tvrtka aktivna u više informatičkih domena, RECRO-NET osim konzalting usluga u području informacijske sigurnosti posjeduje i znatna znanja i praktično iskustvo implementacije i održavanja rješenja vodećih svjetskih proizvođača informatičke opreme i programske podrške.

PREDUVJETI (Koji su preduvjeti kod korisnika za primjenu ovog rješenja)

Potpisivanje ugovora o povjerljivosti informacija. Potpun dostup do konfiguracija i svih podataka uređaja za koje se traži ocjena sigurnosti.

PRODUKTI I USLUGE (Koje usluge i proizvodi su potrebni i sadržani u ovom rješenju)

Usluge:

- Analiza pokrivenosti zahtjeva standarda ISO/IEC 27001:2005
- Detaljan izvještaj o manjkavostima sustava
- Prezentacija za upravu
- Prezentacija za tehničko osoblje