Pridobitev certifikata ISO/EIC 27001:2013

1. Zakaj je pridobitev certifikata ISO27001 pomembna za Register .si?

Register .si upravlja vrhnjo DNS infrastrukturo za .si, zato je dostopnost slovenskega domenskega prostora in torej velik del slovenskega interneta odvisna od nas. To je velika odgovornost, ki se je krepko zavedamo, kar potrjuje tudi več kot 25 let delovanja .si brez omembe vrednega incidenta.

2. Zavedanje o varovanju informacij in informacijskih sistemov je na Registru za vrhnjo domeno .si zelo močno že od samega začetka. Kaj je bil povod, da ste kot vodja začeli razmišljati o informacijski varnosti?

Registri za nacionalne vrhnje domene smo nekako posebne organizacije. V vsaki državi obstaja en sam register. V bližini ni torej nikogar, s katerim bi delili izkušnje, se po njem zgledovali ali od njega učili. Zato je bilo nekako naravno, da smo se evropski nacionalni registri že pred skoraj 25 leti združili v organizaciji CENTR, kjer izmenjujemo izkušnje, znanje, v različnih delovnih skupinah iščemo tehnične, pravne in druge rešitve, obenem pa CENTR pogosto predstavlja naš “glas” v EU ali globalnih organizacijah. Glede na izjemno pomembnost informacijske varnosti za nacionalne registre smo v CENTRu že pred mnogomi leti ustanovili tudi delovno skupino, ki se ukvarja s tem področjem. Prav tu sem se prvič srečala z ISO270001 standardom. Tedaj je bił Register.si še precej manjši in pri petih zaposlenih se mi je zdel standard izven dosega, obenem pa sem se jasno zavedala, da moramo k varovanju informacij in informacijskih sistemov pristopiti bolj strukturirano.

3. Vendar se zavedanje o varovanju informacij in informacijskih sistemov ni rodilo šele z vključitvijo v CENTR-ovo delovno skupino. Zaposleni smo se pomena informacijske varnosti zavedali že od samega začetka domene .si.

Skrb za informacijsko varnost se seveda ni začela takrat. Bila je vgrajena v vse sisteme od samega začetka delovanja Registra za .si. Zaradi majhnega števila zaposlenih pa je vse potekalo bolj neformalno in s pomanjkljivo dokumentacijo. Leta 2015 smo se odločili, da je čas za spremembo. Za pomoč smo se obrnili na “večjega brata” – nizozemski register SIDN, ki je tedaj že pridobil certifikat ISO27001. Prijazno so se odzvali in skupaj z Bertom van Trinke, ki je SIDN vodil čez vse pasti do certifikata, smo pripravili načrt. Cilj, ki smo si ga zastavili, ni bil certifikacija, temveč izboljšanje informacijske varnosti.

4. In ker smo postopke glede informacijske varnosti tako dobro zastavili in jih strukturirano umestili glede na procese, je postala želja po certifikaciji bolj dostopna… Omenili ste Berta, ki je vseskozi spodbujal tim, da je certifikat dosegljiv, vendar s trdim delom.

Bert nas je v letu 2016 obiskal trikrat po dva do tri dni. Takrat je celotna ekipa od jutra do večera dela z Bertom, se od njega učila, spraševala. In kdaj obupovala :-). Spoznavali smo se s standardom in ga skušali razumeti. Razdelili smo si naloge in si postavili roke za izvedbo. Se včasih skregali glede načina implementacije posameznih sprememb. Najbolj pomembno v celotnem postopku pa je bilo, da smo kot majhen tim lahko sodelovali vsi in bili vsi del tega pomembnega projekta. Da je bil res “naš” in ne zgolj “njihov”.

5. Kako so pa bili postopki, na podlagi katerih je SIDN pridobil certifikat ISO27001, v pomoč Registru. si? Kako je potekalo dokumentiranje?

Bert nam rešitev ni serviral na krožniku, želel je, da jih poiščemo sami. Šalil se je, da njegova naloga ni, da nam nalovi ribe, temveč nas nauči loviti. In imel je prav. Postopoma smo dokumentirali obstoječe postopke, spreminjali (in zopet dokumentirali) druge in uvajali nove. Dela ni bilo malo. Popisali smo procese, določili njihove skrbnike, vzpostavili smo Sistem za upravljanje informacijske varnosti (SUIV) in enotno varnostno politiko Registra, analizirali tveganja pri posameznih procesih in uvajali ukrepe za njihovo obvladovanje, pripravili načrte za neprekinjeno poslovanje, …

6. Odločitev, da se bomo certificirali, je spremljal tudi občutek, da mogoče še nismo pripravljeni, da imamo še kakšna neskladja, ki jih je potrebno odpraviti…

Konec leta 2019 smo na obisk znova povabili Berta, ki je bil nad našim napredkom (in svojim delom :-)) navdušen in je ocenil, da smo “zreli” za presojo. Kljub temu sta minili še skoraj 2 leti, da smo certfikat ISO 270001 res pridobili.

7. Certifikati, kot je ISO27001, vsekakor pripomorejo k boljši prepoznavnosti in deležnikom vzbujajo večje zaupanje v organizacijo. Včasih je dobro, da smo korak pred konkurenco in zakonodajalci. Kakšne prednosti nam je prinesel certifikat?

Z Zakonom o informacijski varnosti je bil leta 2019 Register za .si prepoznan kot izvajalec bistvenih storitev (IBS) in smo tako dobili tudi zakonsko obveznost glede informacijske varnosti. Moram reči, da sem bila v tem trenutku več kot zadovoljna, da smo bili pripravljeni. V pičlih 6 mesecih nam zahtev, naloženih v Pravilniku o varnostni dokumentaciji in varnostnih ukrepih IBS, zagotovo ne bi uspelo izpolniti.

8. Kako obsežen je bil projekt govori že dejstvo, da smo se nanj pripravljali od leta 2015. Kakšen tim zahteva takšen projekt in zakaj smo potrebovali toliko let, predno smo se odločili za certifikacijo?

Naj se sliši še tako nenavadno – zelo sem zadovoljna, da smo ta projekt speljali tako počasi. Zakaj? Ker smo ga speljali zares, ne le na papirju. Ker je sodeloval in z njim rasel celoten tim. Ker smo vse postopke temeljito premislili in ves čas delali na izboljšavah. Ker smo se mnogo naučili, se še bolj povezali. Ker je skrb za informacijsko varnost del vsakdanjega dela. Nisem ponosna le na potdilo, ki potrjuje, da delamo dobro, predvsem sem ponosna na vse sodelavce, ki so vsak na svojem področju dodali kamen v kompleksnem mozaiku.