INTERVJU: Hrvatska normizacija suočava se s izazovima informacijske i kibernetičke sigurnosti
03.05.2022.
Intervju s predsjednikom Odbora HZN/TO 582, Informacijska sigurnost i upravljanje kontinuitetom poslovanja,
mr. sc. Igorom Liščićem
Hrvatski zavod za norme nedavno je prihvatio norme niza HRN ISO/IEC 20000 koje će posebno biti zanimljive organizacijama koje pružaju svojim korisnicima različite informatičke usluge. S obzirom na broj informatičkih tvrtki u Hrvatskoj, očekuje se zanimanje za ove norme. Rad na normativnim dokumentima kao što su norme niza
HRN ISO/IEC 20000 dio su aktivnosti novoosnovanoga tehničkog odbora HZN/TO 582, Informacijska sigurnost i upravljanje kontinuitetom poslovanja. Članovi tehničkog odbora HZN/TO 582 izrađuju prijedloge za prihvaćanje i mnogih drugih međunarodnih normi, uglavnom iz područja rada ISO TC 292, Security and resilience i ISO/IEC JTC 1/SC 27,
IT security techniques. Tridesetak normativnih dokumenata europskih odbora CEN/CLC/JTC 13, Cybersecurity and Data Protection i CEN/TC 391, Societal and Citizen Security već se nalazi u zbirci hrvatskih norma, a svi njihovi novi projekti uključeni su u program rada HZN/TO 582.
mr. sc. Igor Liščić
|
Novoosnovanim tehničkim odborom HZN/TO 582, Informacijska sigurnost i upravljanje kontinuitetom poslovanja predsjeda uvaženi stručnjak za normizaciju, upravljanje kvalitetom i informacijskom sigurnošću, mr. sc. Igor Liščić. Uz to, od početka ove godine gospodin Liščić
imenovan je direktorom European Centre for Laboratory Excellence, tvrtke u vlasništvu Hrvatskoga mjeriteljskog društva, čija je djelatnost edukacija djelatnika akreditiranih laboratorija i inspekcijskih tijela. U zadnjih nekoliko godina radi kao samostalni savjetnik i auditor u području sustava upravljanja kvalitetom, informacijskom sigurnošću, upravljanjem kontinuitetom poslovanja i energetskom učinkovitošću.„Sve ove aktivnosti kojima se danas bavim na neki način predstavljaju presjek radnog iskustva koje sam tijekom godina skupio u različitim organizacijama, na Fakultetu strojarstva i brodogradnje, Plivi d.d., TÜV-u Croatia, Raiffeisen Bank“, objasnio je
g. Liščić u intervjuu za Hrvatski zavod za norme. |
Kako je došlo do suradnje s Hrvatskim zavodom za norme?
mr. sc. Igor Liščić: Počeci suradnje s Hrvatskim zavodom za norme sežu unazad dvadesetak godina, kada sam bio zaposlen u Plivi d.d. Ova se suradnja intenzivirala posljednjih nekoliko godina kada sam se uključio u rad više tehničkih odbora kao predstavnik Hrvatskoga mjeriteljskog društva čiji sam dugogodišnji član.
Inicijator ste osnivanja tehničkog odbora HZN/TO 582, Informacijska sigurnost i upravljanje kontinuitetom poslovanja. Što očekujete od predsjedanja Odborom?
mr. sc. Igor Liščić: Od odbora općenito, pa tako i od svoje uloge u njemu, u prvom redu očekujem da ćemo osigurati i promovirati veću dostupnost i primjenu normi iz područja informatičke i kibernetičke sigurnosti i upravljanja kontinuitetom poslovanja te da ćemo na taj način utjecati i na podizanje razine svijesti o brizi o informatičkoj sigurnosti u Hrvatskoj. Uz to se nadam da ćemo se, s obzirom na razvijenost informatičke djelatnosti u Hrvatskoj, s vremenom i aktivno uključiti u rad odgovarajućih radnih tijela na međunarodnoj razini.
Kao stručnjak, koje prednosti vidite u sudjelovanju u radu ovakvog odbora? Pokazalo se da sudjelovanjem u normizaciji sudionici mogu ostvariti niz prednosti. mr. sc. Igor Liščić: Prvi je razlog uključivanja u rad odbora mogućnost praćenja razvoja međunarodnih i europskih normi iz područja rada odbora, što svakom stručnjaku pomaže da bude bolji i učinkovitiji u svojoj djelatnosti. Najbolji primjer je novo izdanje norme ISO 27002:2022 na međunarodnoj razini (na europskoj razini ova verzija još nije prihvaćena i još je vrijedeća norma EN ISO/IEC 27002:2017, kao i HRN EN ISO/IEC 27002:2017 na nacionalnoj razini), zbog čega će doći do promjena u normi ISO 27001:2013. U konačnici će ove promjene, koje su veoma značajne, zahtijevati dodatne aktivnosti svih organizacija koje su certificirane prema zahtjevima norme ISO 27001:2013 (HRN EN ISO/IEC 27001:2017). Također, uključenjem u rad odbora dobiva se pristup određenoj bazi znanja iz područja rada te se tako članovima odbora omogućava učenje i razvoj. I konačno, a mislim da je to zadatak za „odlikaše“, preko rada u nacionalnom odboru otvara se mogućnost sudjelovanja u radnim skupinama na međunarodnoj razini. Time se ostvaruje i osobna korist za članove odbora koji se odluče na ovaj korak, prije svega kroz ostvarivanje kontakata s vodećim stručnjacima u određenom području. S druge strane, sudjelovanje u ovim radnim skupinama pridonosi boljoj međunarodnoj prepoznatljivosti i Hrvatskog zavoda za norme, a isto tako i Republike Hrvatske. Novoosnovani tehnički odbor HZN/TO 582, Informacijska sigurnost i upravljanje kontinuitetom poslovanja pripremat će norme i tehničke specifikacije, smjernice i druge normativne dokumente u područjima: sustava upravljanja informacijskom sigurnošću, kibernetičkom sigurnošću i zaštitom osobnih podataka, tehnika namijenjenih osiguranju informacijske i kibernetičke sigurnosti specifičnih zahtjeva koji se odnose na informacijsku i kibernetičku sigurnost, a koji su povezani s određenim procesima i djelatnostima. Teme su vrlo važne jer se europska normizacija ovoga područja susreće s mnogim izazovima i preprekama, uglavnom povezanim s razlikama u zakonodavstvu različitih država. mr. sc. Igor Liščić: Mislim da je dovoljno samo letimično pogledati naslove članaka u različitim medijima da bi se shvatilo koliko su teme povezane s informatičkom i kibernetičkom sigurnosti te zaštitom osobnih podataka postale važne u našim životima. Snažan razvoj informatičkih tehnologija već je do sada temeljito promijenio mnoge naše navike, a u budućnosti će vjerojatno učiniti još više. Ovakav razvoj, osim pozitivnih promjena koje donosi, potiče i otvara velik broj mogućnosti za različite kriminalne aktivnosti koje su donedavno bile nepoznate. Sve to postavlja izuzetno složene zahtjeve pred zakonodavce i organizacije koje se bave normizacijom. Istovremeno je potrebno osigurati sigurnost i privatnost pojedinaca, zaštititi poslovne subjekte sa što manjim utjecajem na njihovo poslovanje, i to sve u uvjetima stalnih i snažnih tehnoloških promjena. Prema mome mišljenju, u budućnosti će biti neophodno osigurati veoma intenzivnu suradnju na međunarodnoj razini, prije svega na usklađivanju u području zakonodavstva. Isto tako, pri postavljanju i prilagodbi okvira kibernetičke i informatičke sigurnosti i zaštite privatnosti bit će potrebno sinergijsko djelovanje koje će uključivati tehnološke, organizacijske, pravne i druge (sociološke, psihološke) aspekte. Jeste li se aktivno uključili u rad radnih skupina tehničkih odbora na europskoj razini normizacije? mr. sc. Igor Liščić: Za sada se još nisam stigao uključiti u rad radnih skupina tehničkih odbora na europskoj razini normizacije, najviše zbog velikog broja obaveza, ali to planiram učiniti u dogledno vrijeme. Posebno sam zainteresiran za područje upravljanja kontinuitetom poslovanja za koje smatram da će u budućnosti, nažalost i zbog raznih neželjenih događaja i situacija kojima smo svjedoci zadnjih godina i mjeseci, biti posebno važno. Nedavno su prihvaćene norme niza ISO/IEC 20000. Koliko su prema Vašem mišljenju ove norme važne za poslovanje u Hrvatskoj? mr. sc. Igor Liščić: Norme niza HRN ISO/IEC 20000 zanimljive su prije svega organizacijama koje pružaju različite informatičke usluge svojim korisnicima. S obzirom na broj informatičkih tvrtki u Hrvatskoj, očekuje se zanimanje za ove norme, a prihvaćanjem ovih međunarodnih normi u zbirku hrvatskih normi osigurat će se veća dostupnost organizacijama u Hrvatskoj. To nam je bila i namjera kad smo se odlučili prihvatiti ih kao hrvatske norme. Naglasio bih da ove norme, kao i ostale norme u području upravljanja kvalitetom, potiču procesni pristup realizaciji zahtjeva, a u njihovim najnovijim izdanjima olakšana je integracija s drugim normama sustava upravljanja, u prvom redu s HRN EN ISO 9001:2015 i HRN EN ISO/IEC 27001:2017. Kibernetički kriminalitet ugrožava osobnu sigurnost, sigurnost organizacija i sigurnost država. Prema istraživanju Accenturea, multinacionalne IT tvrtke, čak je 43 % kibernetičkih napada usmjereno na male kompanije, dok se njih 14 % spremno zaštititi od tih napada (godigital.hrvatskitelekom.hr). mr. sc. Igor Liščić: Mislim da ovi podaci samo potvrđuju potrebu za sustavnim pristupom upravljanja informacijskom i kibernetičkom sigurnošću, kao i upravljanja kontinuitetom poslovanja. Za razliku od velikih poslovnih sustava, manje organizacije najčešće ne mogu osigurati velika financijska sredstva za zaštitu vlastitog poslovanja. Radi toga su upućene na procjenu i analizu sigurnosnih rizika kojima su izložene te uvođenje tehničkih i organizacijskih mjera primjerenih rizicima i vlastitim mogućnostima. Primjena normi koje pokrivamo kroz rad ovog odbora predstavlja odličan alat za realizaciju ovih aktivnosti. |
|
Razgovarala: Mirjana Fijolić
Suradnja na pripremi teksta: Dinka Ilić-Roller, tajnica tehničkog odbora
HZN/TO 582, Informacijska sigurnost i upravljanje kontinuitetom poslovanja
Lektura: Ivana Canosa
Foto: vlasništvo Igora Liščića