Kas ir ISMS — informācijas drošības pārvaldības sistēma?
ISMS (Information Security Management System) jeb informācijas drošības pārvaldības sistēma ir sistemātiska pieeja organizācijas informācijas aktīvu aizsardzībai. Tā ietver politikas, procedūras, tehnoloģiskos risinājumus un cilvēkresursu procesus, kas kopā nodrošina informācijas konfidencialitāti, integritāti un pieejamību. Starptautiskais standarts ISO/IEC 27001 ir atzītākais ietvars ISMS izveidei un uzturēšanai.
Latvijas uzņēmumiem ISMS nozīme strauji pieaug NIS2 direktīvas kontekstā — jaunā Eiropas kiberdrošības regulācija pieprasa būtisko un svarīgo pakalpojumu sniedzējiem ieviest informācijas drošības pārvaldības procesus, kas būtībā atbilst ISMS principiem. Arī NKDL (Nacionālais kiberdrošības likums) uzliek pienākumus, kas sasaucas ar ISO 27001 prasībām.
Šajā rakstā detalizēti aplūkosim ISMS uzbūvi, ISO 27001 standarta struktūru, ieviešanas soļus, sertifikācijas procesu un izmaksas Latvijas mazajiem un vidējiem uzņēmumiem.
ISO 27001 standarta struktūra un prasības
ISO/IEC 27001 ir starptautisks standarts, kas definē prasības informācijas drošības pārvaldības sistēmas izveidei, ieviešanai, uzturēšanai un nepārtrauktai uzlabošanai. Standarta jaunākā versija — ISO 27001:2022 — ietver būtiskus atjauninājumus, kas atspoguļo mūsdienu kiberapdraudējumu ainavu.
Standarts sastāv no divām galvenajām daļām. Pamatteksts (1.–10. nodaļa) definē pārvaldības sistēmas prasības — organizācijas kontekstu, vadības atbildību, risku novērtēšanu, resursu nodrošināšanu, darbības plānošanu, veiktspējas novērtēšanu un nepārtrauktu uzlabošanu. A pielikums satur 93 drošības kontroles (iepriekšējā versijā bija 114), kas sagrupētas četrās kategorijās: organizatoriskās, cilvēkresursu, fiziskās un tehnoloģiskās kontroles.
ISO 27001 nav preskriptīvs — tas nenosaka, kādas konkrētas tehnoloģijas vai risinājumus izmantot. Tā vietā standarts pieprasa organizācijai identificēt savus riskus un izvēlēties atbilstošas kontroles, pamatojoties uz risku novērtēšanas rezultātiem. Šī pieeja nodrošina, ka ISMS ir pielāgota katras organizācijas specifiskajām vajadzībām un riska profilam.
Papildus ISO 27001 pastāv arī ISO 27002 (drošības kontrolu ieviešanas vadlīnijas), ISO 27005 (risku pārvaldība), ISO 27017 (mākoņpakalpojumu drošība) un ISO 27701 (privātuma informācijas pārvaldība), kas kopā veido visaptverošu informācijas drošības standartu saimi.
PDCA cikls un nepārtraukta uzlabošana
ISMS pamatā ir PDCA (Plan-Do-Check-Act) jeb Plāno-Dari-Pārbaudi-Rīkojies cikls — sistemātiska pieeja, kas nodrošina informācijas drošības nepārtrauktu uzlabošanu. Šis cikls ir ISO 27001 mugurkauls un nodrošina, ka drošības pārvaldība nav vienreizējs projekts, bet gan pastāvīgs process.
Plānošanas (Plan) fāzē organizācija nosaka ISMS tvērumu un mērķus, veic risku novērtēšanu, izstrādā risku apstrādes plānu un izvēlas piemērotās drošības kontroles. Šajā posmā tiek definētas politikas, procedūras un atbildības. Plānošana ir kritiskākais posms — nepareizi identificēti riski noved pie neefektīvām kontrolēm.
Ieviešanas (Do) fāzē organizācija realizē plānotos pasākumus — ievieš drošības kontroles, apmāca darbiniekus, ievieš tehnoloģiskos risinājumus un dokumentē procesus. Šajā posmā svarīgi ir nodrošināt vadības atbalstu un pietiekamus resursus.
Pārbaudes (Check) fāzē tiek novērtēta ISMS efektivitāte — veikti iekšējie auditi, pārskatīti drošības incidenti, analizēti metrikas rādītāji un salīdzināti rezultāti ar izvirzītajiem mērķiem. Vadības pārskats (management review) nodrošina, ka augstākā vadība ir informēta par ISMS stāvokli.
Rīcības (Act) fāzē tiek veiktas koriģējošas darbības — novērstas konstatētās neatbilstības, uzlabotas procedūras un aktualizēta risku novērtēšana. Cikls sākas no jauna, nodrošinot nepārtrauktu uzlabošanu.
Risku novērtēšanas process ISMS ietvaros
Risku novērtēšana ir ISMS kodols — tā nosaka, kādas drošības kontroles organizācijai nepieciešamas un kā prioritizēt resursus. ISO 27001 pieprasa formālu risku novērtēšanas procesu, kas ir atkārtojams, dokumentēts un konsekvents.
Process sākas ar aktīvu identificēšanu — organizācijai jāapzina visi informācijas aktīvi, kas ietilpst ISMS tvērumā. Tie ietver datus (klientu dati, finanšu informācija, intelektuālais īpašums), sistēmas (serveri, lietojumprogrammas, mākoņpakalpojumi), cilvēkresursus un fizisko infrastruktūru.
Katram aktīvam tiek identificēti draudi (kas varētu kaitēt?) un ievainojamības (kas padara aktīvu neaizsargātu?). Piemēram, klientu datubāzei draudi varētu būt nesankcionēta piekļuve, datu noplūde vai servera avārija, bet ievainojamības — vājas paroles, neatjaunināta programmatūra vai nepietiekama piekļuves kontrole.
Risks tiek novērtēts, kombinējot iespējamību (cik ticams, ka draudi realizēsies?) un ietekmi (cik liels kaitējums tiks nodarīts?). Organizācija definē risku akceptēšanas līmeni — riskus, kas pārsniedz šo līmeni, nepieciešams apstrādāt.
Risku apstrādes opcijas ietver risku mazināšanu (kontroles ieviešana), risku nodošanu (apdrošināšana vai ārpakalpojumi), risku izvairīšanos (darbības pārtraukšana) vai risku akceptēšanu (apzināta pieņemšana ar vadības apstiprinājumu). Risku apstrādes plāns dokumentē izvēlētās kontroles un to ieviešanas grafiku.
Kāpēc ieviest ISMS — biznesa ieguvumi
ISMS ieviešana sniedz organizācijai vairākus būtiskus ieguvumus, kas pārsniedz tikai drošības uzlabošanu. NIS2 direktīvas atbilstība ir viens no aktuālākajiem dzinējspēkiem — jaunā ES kiberdrošības regulācija pieprasa būtisko un svarīgo pakalpojumu sniedzējiem ieviest risku pārvaldības pasākumus, incidentu ziņošanas procesus un piegādes ķēdes drošības novērtēšanu. ISMS pēc ISO 27001 praktiski nodrošina atbilstību lielākajai daļai NIS2 prasību.
Konkurences priekšrocība ir neapšaubāma — ISO 27001 sertifikāts apliecina klientiem un partneriem, ka organizācija nopietni izturas pret informācijas drošību. Daudzi starptautiski uzņēmumi pieprasa ISO 27001 sertifikātu no saviem piegādātājiem — tā neesamība var nozīmēt zaudētus biznesa līgumus.
Regulatorā atbilstība sniedzas plašāk par NIS2 — ISMS palīdz nodrošināt GDPR prasību izpildi datu aizsardzības jomā, kā arī atbilst DVI (Datu valsts inspekcijas) ieteikumiem. Finanšu sektora uzņēmumiem ISMS ir gandrīz obligāta — FKTK prasības informācijas tehnoloģiju drošībai cieši sasaucas ar ISO 27001.
Incidentu skaita samazināšana ir izmērāms rezultāts — organizācijas ar ieviestām ISMS ziņo par 30–50% mazāku drošības incidentu skaitu. Sistematizēta pieeja ļauj identificēt un novērst ievainojamības, pirms tās tiek izmantotas. Turklāt ISMS nodrošina strukturētu incidentu reaģēšanu, kas samazina kaitējumu, kad incidents tomēr notiek.
ISMS sertifikācijas soļi un izmaksas Latvijā
ISMS ieviešana un ISO 27001 sertifikācija tipiski aizņem 6–18 mēnešus atkarībā no organizācijas lieluma un gatavības pakāpes. Process ietver vairākus secīgus posmus.
Sākotnējā izpēte un atšķirību analīze (gap analysis) novērtē organizācijas pašreizējo stāvokli attiecībā pret ISO 27001 prasībām un identificē nepieciešamos uzlabojumus. Tvēruma definēšana nosaka, kuras organizācijas daļas un procesi tiks iekļauti ISMS. Risku novērtēšana un apstrādes plāns ir nākamais solis — tiek identificēti riski un definētas kontroles.
Dokumentācijas izstrāde ietver politiku, procedūru, instrukciju un ierakstu sagatavošanu. Kontrolu ieviešana realizē tehniskos un organizatoriskos pasākumus. Darbinieku apmācība nodrošina, ka visi saprot savas lomas un atbildības ISMS ietvaros.
Iekšējais audits pārbauda ISMS atbilstību standarta prasībām pirms sertifikācijas audita. Vadības pārskats nodrošina, ka vadība ir informēta un apstiprina ISMS darbību. Sertifikācijas audits notiek divos posmos — 1. posms (dokumentācijas pārbaude) un 2. posms (ieviešanas pārbaude darba vidē).
Izmaksas Latvijas MVU (10–100 darbinieki) parasti ir šādā diapazonā: konsultāciju pakalpojumi — 5 000–25 000 EUR, tehnoloģiju ieviešana — 3 000–15 000 EUR, sertifikācijas audits — 3 000–8 000 EUR, ikgadējā uzturēšana — 2 000–5 000 EUR. Kopējais ieguldījums pirmajā gadā tipiski ir 15 000–50 000 EUR. securIT palīdz Latvijas uzņēmumiem visā ISMS ieviešanas ceļā — no sākotnējās izpētes līdz sertifikācijas audita veiksmīgai nokārtošanai.
ISMS un NIS2 — kā ISO 27001 palīdz izpildīt jaunās prasības
NIS2 direktīva būtiski paplašina kiberdrošības prasības Eiropas Savienībā, un Latvijā tā tiek ieviesta caur Nacionālo kiberdrošības likumu (NKDL). Uzņēmumiem, kas ietilpst NIS2 tvērumā, nepieciešams ieviest plašu drošības pasākumu kopumu — un ISO 27001 ISMS nodrošina strukturētu pieeju šo prasību izpildei.
NIS2 10. pants pieprasa riska analīzes un informācijas sistēmu drošības politiku — ISO 27001 6. un 8. nodaļa tieši adresē risku novērtēšanu un apstrādi. Incidentu apstrāde (NIS2 21. pants) sasaucas ar ISO 27001 A.5.24–A.5.28 kontrolēm. Darbības nepārtrauktība un krīžu pārvaldība, ko pieprasa NIS2, ir adresētas ISO 27001 A.5.29–A.5.30 kontrolēs.
Piegādes ķēdes drošība ir jauns NIS2 elements — uzņēmumiem jānovērtē savu piegādātāju un pakalpojumu sniedzēju kiberdrošība. ISO 27001 A.5.19–A.5.23 kontroles nodrošina piegādātāju attiecību pārvaldību. Apmācība un kiberdrošības higiēna — NIS2 prasība par darbinieku izpratni — sasaucas ar ISO 27001 7.2–7.3 nodaļu prasībām par kompetenci un apziņu.
Svarīgi saprast, ka ISO 27001 sertifikāts pats par sevi negarantē pilnīgu NIS2 atbilstību — pastāv prasības (piemēram, incidentu ziņošana kompetentajai iestādei 24 stundu laikā), kas prasa papildu procesus. Tomēr organizācijai ar ieviestām ISMS ceļš uz NIS2 atbilstību ir ievērojami īsāks un vienkāršāks. securIT konsultanti palīdz identificēt atšķirības starp ISMS un NIS2 prasībām un izstrādāt ceļa karti to novēršanai.
Biežāk uzdotie jautājumi
Cik ilgi aizņem ISO 27001 sertifikācija?
Tipiskais laika posms no lēmuma pieņemšanas līdz sertifikāta iegūšanai ir 6–18 mēneši. Maziem uzņēmumiem ar vienkāršu IT infrastruktūru un labu sākotnējo gatavību process var būt 6–9 mēneši. Lielākiem uzņēmumiem ar sarežģītāku infrastruktūru un plašāku tvērumu tas var aizņemt 12–18 mēnešus. Svarīgi atzīmēt, ka sertifikāts ir derīgs 3 gadus ar ikgadējiem uzraudzības auditiem.
Vai ISO 27001 ir obligāts Latvijas uzņēmumiem?
ISO 27001 sertifikācija nav tieši obligāta lielākajai daļai uzņēmumu. Tomēr NIS2 direktīva un NKDL pieprasa informācijas drošības pasākumus, kas praktiski atbilst ISO 27001 principiem. Finanšu sektora uzņēmumiem FKTK izvirza līdzvērtīgas prasības. Turklāt daudzi starptautiski klienti un partneri pieprasa ISO 27001 kā priekšnoteikumu sadarbībai, padarot to par de facto biznesa nepieciešamību.
Kāda ir atšķirība starp ISO 27001 un ISO 27002?
ISO 27001 ir sertificējams standarts, kas definē prasības ISMS izveidei un uzturēšanai — pret to tiek veikts sertifikācijas audits. ISO 27002 ir vadlīniju standarts, kas sniedz detalizētus ieviešanas ieteikumus katrai drošības kontrolei. ISO 27002 nav sertificējams — tas kalpo kā praktisks rokasgrāmata ISO 27001 A pielikuma kontrolu ieviešanai. Abi standarti ir paredzēti lietošanai kopā.
Vai ISMS ir piemērota maziem uzņēmumiem?
Jā — ISO 27001 ir izstrādāts tā, lai būtu piemērojams jebkura lieluma organizācijai. Maziem uzņēmumiem ISMS var būt vienkāršāka un fokusēta uz galvenajiem riskiem. Svarīgi ir noteikt pareizu tvērumu — nav jāiekļauj visa organizācija uzreiz. Var sākt ar kritiskākajiem procesiem un pakāpeniski paplašināt. Izmaksas maziem uzņēmumiem ir ievērojami zemākas nekā lielajām korporācijām, un ieguvumi — klientu uzticība, regulatorā atbilstība — ir proporcionāli lielāki.
Kādi resursi nepieciešami ISMS uzturēšanai pēc sertifikācijas?
Pēc sertifikācijas iegūšanas ISMS uzturēšanai nepieciešams regulārs darbs — ikgadējie iekšējie auditi, vadības pārskati, risku novērtēšanas atjaunināšana, darbinieku apmācības un dokumentācijas aktualizēšana. Ikgadējie uzraudzības auditi no sertifikācijas iestādes puses ir obligāti. Parasti nepieciešams vismaz viens darbinieks, kas velta 20–50% sava laika ISMS pārvaldībai, vai ārpakalpojumu konsultants. securIT piedāvā ISMS uzturēšanas pakalpojumus.