Kad od klijenta stigne sigurnosni upitnik, kad osiguravatelj nudi kibernetičku policu ili kad se najavi nadzor, prvo pitanje uvijek je isto: imate li sigurnosnu politiku? Tvrtke koje je nemaju obično improviziraju, pošalju hrpu nepovezanih pravilnika ili u zadnji tren skinu predložak s interneta. Sve tri varijante prepoznaju se na prvi pogled. U ovom članku objašnjavamo što sigurnosna politika jest, tko je od vas traži i kako izgleda politika koja prolazi audit.
Što je sigurnosna politika, a što nije
Sigurnosna politika krovni je dokument informacijske sigurnosti: uprava njime propisuje što se u tvrtki štiti, tko je za što odgovoran i koja pravila vrijede za pristup sustavima, lozinke, backup, rad na daljinu, dobavljače i incidente. Ključna riječ je uprava. Sigurnosna politika nije IT dokument koji administrator napiše za svoju ladicu, nego odluka vodstva koja obvezuje sve zaposlenike. I nije jedan debeli dokument: dobra praksa je kratka krovna politika koju svi razumiju, a detalji se razrađuju u pratećim politikama i procedurama.
Tko od vas traži sigurnosnu politiku
ISO/IEC 27001
Norma ISO/IEC 27001 u točki 5.2 izričito traži da najviše vodstvo uspostavi politiku informacijske sigurnosti, objavi je i prenese svima koji rade za organizaciju. Kontrola A.5.1 dodatno traži da se politike definiraju, odobre, objave i preispituju u planiranim razmacima te nakon značajnih promjena. Na certifikacijskom auditu politika je jedna od prvih stvari koje auditor otvara, a odmah zatim provjerava znaju li zaposlenici što u njoj piše.
NIS2 i Zakon o kibernetičkoj sigurnosti
NIS2 direktiva i hrvatski Zakon o kibernetičkoj sigurnosti (NN 84/24) s Uredbom o kibernetičkoj sigurnosti (NN 135/24) politike analize rizika i sigurnosti informacijskih sustava svrstavaju na sam vrh popisa obveznih mjera za ključne i važne subjekte. Za njih sigurnosna politika više nije dobra praksa nego zakonska obveza, uz zapriječene kazne do 10 milijuna eura ili 2% prihoda za ključne, odnosno 7 milijuna eura ili 1,4% prihoda za važne subjekte. Jeste li obveznik i što sve mjere obuhvaćaju, piše u našoj usluzi usklađivanja s NIS2 i ZKS-om.
Klijenti, ugovori i osiguranje
I kad vas propis ne obvezuje izravno, tržište vas sustiže. Veći klijenti dobavljače sve češće provjeravaju sigurnosnim upitnicima u kojima je politika prva stavka, jer njihove obveze iz NIS2 i ZKS-a uključuju i sigurnost lanca opskrbe. Osiguravatelji kod kibernetičkih polica traže dokaz osnovnih mjera, a GDPR kroz članak 32. traži odgovarajuće tehničke i organizacijske mjere zaštite osobnih podataka. Sigurnosna politika dokument je kojim se sve to dokazuje na jednom mjestu.
Što sigurnosna politika mora sadržavati
Krovna politika treba jasno reći čemu služi i na koga se odnosi, koje ciljeve sigurnosti tvrtka postavlja i tko je za što odgovoran, od uprave do svakog zaposlenika. Slijede načelna pravila za ključna područja: tko i kako dobiva pristup sustavima, kakva se autentikacija koristi, kako se rade i provjeravaju sigurnosne kopije, što vrijedi za rad na daljinu i privatne uređaje, kako se biraju i nadziru dobavljači te kako se prijavljuju i rješavaju incidenti. Na kraju, politika mora reći što slijedi kod nepoštivanja i kada se preispituje. Svako od tih područja detaljno se razrađuje u pratećoj politici ili proceduri, pa krovni dokument ostaje kratak i čitljiv.
Najčešće greške
Prva i najčešća greška je preuzeti predložak koji opisuje tuđu tvrtku: na auditu ili u incidentu raskorak između papira i stvarnosti vidi se odmah. Druga je politika koju je napisao IT, a uprava za nju jedva zna, pa nema ni težinu ni provedbu. Treća je mrtvi dokument, napisan jednom i nikad revidiran, koji nakon dvije godine opisuje sustave kojih više nema. I četvrta, najskuplja: politika koju zaposlenici nikad nisu ni pročitali. Auditor to otkriva jednim razgovorom, a napadač jednim phishing mailom.
Politika živi kroz ljude, ne kroz papir
Zato uz politiku ide i njezino održavanje: revizija barem jednom godišnje i nakon svake veće promjene, edukacija zaposlenika i evidentirana provjera da pravila stvarno poznaju. Kako se svjesnost dokazuje auditoru, detaljno smo opisali u članku o svjesnosti zaposlenika, a provjeru u praksi najlakše je provesti kroz naš Portal svjesnosti. Dobar prvi korak prije pisanja politike je i procjena rizika, jer politika treba štititi ono što je kod vas stvarno najranjivije.
U Zadar ICT d.o.o. izrađujemo sigurnosnu politiku i prateće politike po mjeri tvrtke, usklađene s ISO 27001 i ZKS-om, s edukacijom i provjerom svjesnosti. Javite nam se za besplatnu procjenu i u kratkom razgovoru doznajte što od navedenog vrijedi za vas.
Često postavljana pitanja
Koja je razlika između sigurnosne politike i procedure?
Politika propisuje što vrijedi i zašto, na razini pravila koja odobrava uprava. Procedura opisuje kako se pravilo provodi korak po korak. Politika se mijenja rijetko, a procedure se prilagođavaju kad se promijeni tehnologija ili proces.
Koliko duga treba biti sigurnosna politika?
Kraća nego što većina misli. Krovna politika od nekoliko stranica koju svi razumiju vrijedi više od stotinu stranica koje nitko nije pročitao. Detalji pripadaju pratećim politikama i procedurama.
Vrijedi li predložak sigurnosne politike s interneta?
Kao inspiracija da, kao gotov dokument ne. Preuzeti predložak opisuje tuđu tvrtku, pa se na auditu ili u incidentu odmah vidi raskorak između papira i stvarnosti. Politika mora odgovarati vašim sustavima, ljudima i rizicima.
Tko je odgovoran za sigurnosnu politiku?
Uprava. ISO 27001 izričito traži da politiku informacijske sigurnosti uspostavi najviše vodstvo, a Zakon o kibernetičkoj sigurnosti odgovornost za provedbu mjera također stavlja na upravljačka tijela. IT politiku provodi, ali je ne može propisati umjesto uprave.
Što riskiramo ako sigurnosnu politiku nemamo?
Kod incidenta improvizaciju umjesto jasnog postupka, kod nadzora po ZKS-u kazne koje za ključne subjekte idu do 10 milijuna eura ili 2% prihoda, a na tržištu gubitak poslova, jer sve više klijenata politiku traži u sigurnosnim upitnicima prije potpisa ugovora.


