Uskladitev varnostne politike IT v podjetju po standardu ISO 17799

Transcription

1 UNIVERZA V MARIBORU FAKULTETA ZA ORGANIZACIJSKE VEDE Diplomsko delo visokošolskega strokovnega študija Informatika v organizaciji in managementu Uskladitev varnostne politike IT v podjetju po standardu ISO Mentor: Doc. dr. Igor Bernik Kandidat: niel Erbežnik Kranj, September 2008

2 ZAHVALA Zahvaljujem se mentorju Dr. Igor Berniku za njegovo pomoč, podporo in nasvete pri razvoju in izdelavi diplomskega dela. Zahvaljujem se moji partnerici za njeno podporo in tudi potrpežljivost v vseh letih mojega obiskovanja fakultete. Za pomoč se zahvaljujem tudi vsem mojim sodelavcem, ki so mi nudili pomoč in informacije potrebne za izdelavo diplomskega dela.

3 POVZETEK Diplomska naloga obravnava informacijsko varnostno politiko podjetja. Ugotovljeno je bilo, da nedefinirana oziroma pomanjkljiva varnostna politika pomeni potencialno možnost vdora ali zlorabe sredstev in informacij v podjetju. Glede na predhodne analize je bilo dognano, da edino standard ISO pokriva vse pomembne točke, ki so potrebne za definicijo in kasnejšo izvedbo celovite informacijske varnostne politike. Glede na dejstvo, da se IT področje razvija zelo hitro, se temu razvoju prilagaja tudi standard, zato bom kot osnovo uporabil standard ISO 17799:2005(E). S pomočjo kontrolnih točk bom analiziral trenutno stanje v podjetju in na osnovi tega pripravil smernice za krovni dokument IT varnostne politike, ki bo usklajen s standardom. Na podlagi krovnega dokumenta, bo nato mogoča vključitev že obstoječih dokumentacij, ki detajlno opisujejo posamezna področja in izdelava novih za področja, ki še niso definirana. KLJUČNE BESEDE - IT - ISO - Varnostna politika ABSTRACT Presented work concerns the field of the information security policy in the organization. It has been established that undefined and in some fields absent security policy, represents potential possibility for invasion and abuse of information and resources in organization. Previous analyses also showed that only ISO standard covers all important aspects and points that are inevitable for defining and executing a complete information security policy. As IT environment is evolving very quickly, therefore also standards need to be regularly updated and supplemented. Consequently I will use ISO 17799:2005(e) standard as a base for my analysis. With a help of checking points from this standard, I will perform an analysis of current security conditions in the organization and in relation to this prepare guidelines for top line document covering information security policy. Afterwards it will be possible to include in this new top line IT security policy the new and existing documents covering security in different undefined scopes. KEY WORDS - IT - ISO - Security policy

4 KAZALO 1 Uvod Predstavitev problema Metode dela Osnove standarda ISO Definicije Analiza stanja v organizaciji Varnostna politika Organiziranost varovanja Razvrstitev in kontrola sredstev Varovanje v zvezi z osebjem Fizično in okoljsko varovanje Komunikacijsko in obratovalno upravljanje Dostop do sistema Razvijanje in vzdrževanje sistemov Upravljanje varnostnih incidentov Načrtovanje neprekinjenega poslovanja Usklajenost Uskladitev varnostne politike organizacije po točkah standarda ISO Politika varovanja informacij Organiziranost varovanja Razvrstitev in kontrola sredstev Varovanje v zvezi z osebjem Fizično in okoljsko varovanje Komunikacijsko in obratovalno upravljanje Dostop do sistema Razvijanje in vzdrževanje sistemov Upravljanje varnostnih incidentov Načrtovanje neprekinjenega poslovanja Usklajenost Zaključek Literatura in viri Priloge... 80

5 1 UVOD Informacijska varnost postaja v času interneta, hitrih računalniških omrežij, brezžičnih tehnologij in stalnem tehnološkem napredku na področju računalniške tehnologije vedno bolj pomembna. Postala je močno povezana z vsakdanjim delom in življenjem organizacije. Varnost informacijskega sistema mora zato postati del organizacije, saj je njen namen in končni cilj preprečiti ekonomske posledice, ki bi lahko nastale v primeru zlorabe ali vdora v informacijski sistem. bi bilo mogoče zanesljivo zagotoviti varovanje informacijskega sistema, se je potrebno problema lotiti sistemsko in celovito. Na podlagi sistemske analize informacijskega sistema v organizaciji in celovitega vpogleda v organizacijsko shemo je mogoče razkriti vse vidike varovanja organizacije kot celote. V svetu obstaja kar nekaj pristopov, ki pomagajo organizacijam pri ocenjevanju varnosti informacijske tehnologije, ponujajo tudi rešitve za izboljšanje varnosti, ki je usklajena z zakoni o varstvu zasebnih podatkov ter splošno zakonodajo. Med vsemi pristopi za doseganje visoke stopnje varnosti informacijske tehnologije ima najboljši pristop prav uvedba mednarodnega standarda ISO 17799, ki edini omogoča poleg notranje tudi zunanjo revizijo sistema in varnosti. Pri tem je potrebno povedati, da je pristop vpeljave varnostne politike odvisen še od drugih faktorjev, kot so velikost podjetja, občutljivost informacij s katerimi podjetje razpolaga, položaj na trgu, način poslovanja z ostalimi organizacijami in podobno. Naslednji faktor je tudi trenutno stanje varnosti informacijske tehnologije v podjetju. Ni namreč vseeno ali že obstajajo določena pravila in dokumenti, ki jih zaposleni poznajo in spoštujejo ali pa teh dokumentov in navodil ni. V tem primeru je seveda nerealno razmišljati o uvedbi splošne varnostne politike, ki bi delo zaposlenih obrnila na glavo in jih kar čez noč prisilila izvajati delo na drugačen, nov način. V tej situaciji se je potrebno odločiti za tako imenovan»mehak prehod«, kar pomeni uveljavitev strožjih pravil na področjih, kjer je to res najbolj potrebno in postopna uveljavitev na področjih, ki so varnostno manj občutljiva. Na koncu je pomembno, da je varnostna politika izvedljiva, uporabna in realistična. Zato je potrebno, da varnostno politiko podpira tako vodstvo podjetja, kot tudi ljudje, ki bodo imeli z njo največ dela (administratorji, tehniki) ter tudi ostali zaposleni. Za doseganje tega je potrebna dobra komunikacija med zaposlenimi in uporabna vrednost varnostne politike za zaposlene. Uporabnikom je potrebno predstaviti, da jim bo nov način delo olajšal in ne otežil. Pomemben element pri vpeljavi varnostne politike je tudi zagotovilo, da bodo nova pravila zaposleni dobro sprejeli. Poleg navedenih razlogov so dodatni še: Zaščita zaposlenih in informacij Vpeljava pravil za zaposlene, vodstvo podjetja in varnostno osebje Določitev pooblastil za varnostno osebje Določitev posledic v primeru kršitev varnostne politike Določitev osnovnih pravil varnosti v podjetju Zmanjšanje tveganja Kot vidimo je uvedba varnostne politike za informacijske sisteme smiselna in lahko pripomore k večji varnosti in boljšemu delovanju celotne organizacije. niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 1 od 85

6 1.1 PREDSTAVITEV PROBLEMA Hitra rast organizacije in širitev poslovanja prinaša veliko pozitivnih učinkov, poleg tega pa tudi veliko dodatnih zahtev in težav posebno pri upravljanju v IT okolju. Ugotavljamo, da IT v organizaciji v trenutnem obsegu ne more več optimalno funkcionirati, ker nihče v organizaciji nima popolnega pregleda nad delovanjem vseh njegovih področij. To pomanjkanje pregleda prinaša poleg organizacijskih težav tudi večjo možnost zlorabe IT sredstev s strani zaposlenih v organizaciji in zunanjih poslovnih partnerjev. bi se tem težavam v prihodnosti lahko ognili moramo že danes razmišljati o načinu pristopa k organizaciji poslovanja povezanega z IT okoljem. 1.2 METODE DELA Pri izdelavi diplomske naloge bom uporabil naslednji pristop: Analizo obstoječega stanja v organizaciji bom opravil s pomočjo kontrolnega vprašalnika za preverjanje skladnosti s standardom ISO Na podlagi vprašalnika in s pomočjo sodelovanja vodij posameznih področij dela bom pripravil dokument krovne politike IT, ki bo usklajena s standardom ISO Ta dokument bo nato služi kot osnova za izdelavo navodil in tehnik dela. niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 2 od 85

7 2 OSNOVE STANDARDA ISO Osnova za uskladitev varnostne politike v IT s standardom ISO je njegovo poznavanje in zato v nadaljevanju izpostavljam njegove glavne značilnosti. Standard je razdeljen na 15 poglavij, ki zajemajo vsa področja varnostne politike informacijskega sistema. Poglavja od ena do štiri definirajo obseg standarda, strukturo in terminologijo, ostalih 11 poglavij pa je razdeljeno na (What is BS 7799?, varnostno politiko, ki določa usmeritev, podporo in zavezanost vodstva organizacije k informacijski varnosti organiziranost informacijskih virov in sredstev, na osnovi katere lahko ustrezno upravljamo informacijsko varnost v podjetju klasifikacijo informacijskih virov in njihove kontrole, ki nam omogoči identifikacijo informacijskih virov in njihovo zaščito varnostne elemente povezane s človeškimi viri, ki zmanjšujejo tveganje ob prisotnosti človeške napake, tatvin, zlorab in napačne uporabe opreme varovana okolja, namenjena preprečevanju nepooblaščenega pristopa, poškodb, uničenja ali medsebojnega vpliva elementov informacijske tehnologije upravljanje obratovalnih in komunikacijskih postopkov za zagotavljanje pravilne in varne uporabe informacijske tehnologije kontrolo dostopa za ustrezno določitev dostopa do informacij in opreme informacijske tehnologije, razvoj in vzdrževanje informacijskih sistemov za zagotavljanje delovanja varnostnih kontrol in varnosti v informacijskem sistemu ravnanje in postopke ob varnostnih incidentih načrtovanje neprekinjenega poslovanja za zmanjševanje verjetnosti prekinitev ključnih poslovnih procesov podjetja, ki grozijo ob večjih napakah ali nesrečah skladnost z zakonodajo dejavnosti povezanih z informacijsko tehnologijo niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 3 od 85

8 Slika 1: 10 poglavij standarda ISO (vir: Standard ISO je v svetovnem merilu edini standard, ki vključuje tematiko varnostne politike informacijskega sistema. Temelji na Britanskem standardu BS 7799, katerega razvoj sega v leto Prvi dokumenti so bili objavljeni leta 1989, leta 1995 pa je bil sprejet prvi standard BS 7799:1995. V letu 1999 je bil sprejet posodobljen standard BS 7799:1999, le-ta pa je bil leta 2000 z manjšimi popravki sprejet, kot standard ISO 17799:2000. Standard je bil nato posodobljen še večkrat (leta 2002, leta 2005 ter 2007) December Korektura ISO/IEC Posodobitev BS ISO/IEC 17799: Pomembna korektura standarda, začetek certificiranja BS BS Slika 2: Zgodovinski pregled standarda ISO (vir: niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 4 od 85

9 2.1 DEFINICIJE Integriteto smatramo kot jamstvo o natančnosti in popolnosti informacij. Ta se doseže z varovanjem pred nedovoljenimi spremembami, ki so lahko nenamerne kakor tudi namerne. Poseben vpliv na integriteto imajo: vmesniki, površnost in sabotaže. Razpoložljivost je zagotovilo, da so informacije in storitve organizacije na razpolago kjer koli in kadar koli so potrebne, ter so na razpolago tudi strankam organizacije. Razpoložljivost se razume v okviru: razpoložljivosti sistema, strokovne podpore in določenega odzivnega časa. Zaupnost je zaščita pred nedovoljenim pridobivanjem informacij. Zaupnost informacij zahteva upoštevanje slovenskega Zakona o varovanju podatkov in morebitnih ostalih zakonskih določb in internih smernic organizacije. Na vsakem sistemu je potrebno na začetku uporabe, oziroma pri enkratnem zagonu določiti kategorije zaupnosti podatkov. Poleg tega podatki najvišje stopnje zaupnosti sistema kažejo na vzajemno stopnjo zaupnosti. V smislu delujočega in učinkovitega vodstva informacijske varnosti je potrebno zagotoviti, da so transakcije in druge pravnomočne komunikacije s poslovnimi partnerji dokazljive in obvezujoče. Ustrezni predpisi in navodila so opisani v varnostnem priročniku organizacije. niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 5 od 85

10 3 ANALIZA STANJA V ORGANIZACIJI 3.1 VARNOSTNA POLITIKA V tej točki je potrebno ugotoviti ali obstaja krovna varnostna politika oziroma, če obstajajo splošna navodila in dokumenti o varnostni politiki, potrebno pa je tudi ovrednotiti obstoječo dokumentacijo in navodila povezana z varnostno politiko. Tabela1: varnostna politika Politika varovanja informacij Dokument o politiki varovanja informacij Pregled in ovrednotenje Ali obstaja politika varovanja informacij, ki je potrjena s strani vodstva podjetja in ustrezno objavljena? Ali so vsi zaposleni seznanjeni s politiko varovanja informacij? Ali je vodstvo podjetja zavezano k uveljavljanju varnostne politike in je vzpostavljen način za nadzor nad izvajanjem varnostne politike? Ali ima varnostna politika lastnika, ki skrbi za nadzor in sprotno prilagajanje varnostne politike vsem spreminjajočim se procesom v podjetju? Ali obstajajo postopki za spreminjanje varnostne politike pri spremembah npr. varnostni incident, pojav novih ranljivosti sistema, spremembe v organizacijski ali tehnični infrastrukturi? Ali obstaja zapisan način za pregled in vzdrževanje dokumenta o politiki varovanja vključno z odgovornostmi in datumi pregledov? Za enkrat ne Delno (samo na določenih področjih IT-ja) S pomočjo vprašalnika bomo ugotovili stanje politike varovanja informacij in nato v sodelovanju z vodstvom podjetja pripravili načrt za izvajanje. niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 6 od 85

11 3.2 ORGANIZIRANOST VAROVANJA Potrebno je ugotoviti ali v organizaciji obstaja forum za upravljanje varovanja informacij, na kakšen način se razporeja odgovornost pri razpolaganju in nabavi sredstev informacijske tehnologije, če se v organizaciji izkorišča svetovanje strokovnjaka za varnost, na kakšen način poteka sodelovanje med organizacijami in če se izvaja revizija varnostne politike. Ugotavlja se stanje varnostne politike pri dostopu tretjih strank in prepoznavanje faktorjev tveganja in stanje varnostnih določil. Poleg tega moramo ugotoviti tudi ali pogodbe za zunanje izvajalce vsebujejo varnostna določila in ali so ta skladna z veljavno zakonodajo. Tabela 2: Organiziranost varovanja Temeljni ustroj varovanja informacij Forum za Ali obstaja upravljalni forum, ki zagotavlja jasne upravljanje usmeritve in vidno podporo poslovodstva za varovanja uvedbo in sprotno spreminjanje varovanja informacij informacij? Usklajevanje varovanja informacij Razporejanje odgovornosti za varovanje informacij Odobritveni proces za naprave informacijske tehnologije Dogovor o zaupnosti Kontakti z posebnimi skupinami Sodelovanje med organizacija mi odvisni pregled varovanja informacij Ali obstaja forum, ki ga sestavljajo predstavniki vseh delov organizacije, za koordinacijo uveljavljanja varnostne politike in nadzorstev? Ali so odgovornosti za zaščito posameznih sredstev in izvajanje posebnih varnostnih postopkov jasno določene? Ali obstaja postopek v katerem je potrebna odobritev poslovodstva za nove naprave informacijske tehnologije (poslovna in tehnična odobritev)? Ali so smernice za zagotavljanje zaupnosti in nerazkrivanja jasno določene in se jih redno pregleduje? Ali ima organizacija navezane stike z skupinami ali specialisti s področja varovanja informacijske tehnologije? Ali obstajajo ustrezne povezave in kontakti z organi, zadolženimi za izvajanje zakonov, s ponudniki računalniških storitev, telekomunikacijskimi ponudniki za izmenjavo informacij in hitro pomoč ob varnostnih incidentih? Ali se revizija varnostne politike opravlja neodvisno in v rednih časovnih intervalih? Varovanje dostopa tretjih strank niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 7 od 85

12 Prepoznavan je tveganja pri stikih s tretjimi strankami Varnostna določila v pogodbah s tretjimi strankami Varnostna določila v pogodbah z zunanjimi izvajalci Ali se organizacija zaveda tveganja pri stikih s tretjimi strankami in so uvedeni ustrezni varnostni postopki? Ali so podani upravičeni razlogi za dostop/stik s tretjimi strankami? Ali so vsi dostopi/stiki s tretjimi strankami zabeleženi? Prepoznavanje tveganja pri delu s pogodbenimi organizacijami ali osebami v organizaciji (on site). Ali so tveganja predvidena? Ali obstajajo ustrezne kontrole za zmanjševanje tveganja? Ali obstaja formalna pogodba s sklici na vsa potrebna določila, ki zagotavljajo skladnost z varnostnimi usmeritvami in standardi v organizaciji? Ali so v pogodbi s tretjo stranko vsebovana varnostna določila o skladnosti z veljavno zakonodajo, postopki za vzdrževanje in testiranje informacijskih virov, pravica do revizije, postopki fizičnega varovanja, zahtevana razpoložljivost, postopki v primeru katastrofe? Delno (varnostni postopki so uvedeni na posameznih področjih). Delno (pri določenih strankah). Delno (tveganja so predvidena, vendar kontrole ne obstajajo) Informacije o stanju organiziranost varovanja informacij v organizaciji bomo pridobili s pomočjo vodje in sodelavcev IT oddelka. niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 8 od 85

13 3.3 RAZVRSTITEV IN KONTROLA SREDSTEV Preveriti je potrebno odgovornost za sredstva, ter način razvrščanja informacijskih sredstev. Ugotoviti moramo ali obstajajo navodila in pripomočki za razvrščanje in upravljanje z informacijskimi sredstvi in, če se z informacijami rokuje v skladu z razvrstitveno shemo v organizacijo. Tabela 3: Razvrstitev in kontrola sredstev Odgovornost za sredstva Popis Ali se popis sredstev redno obnavlja z aktualnimi sredstev podatki? Ali ima vsako sredstvo svojega lastnika, točno določeno mesto ter določeno in potrjeno varnostno razvrstitev? Razvrstitev informacij Razvrstitvene Ali obstajajo navodila in smernice za razvrščanje smernice informacijskih sredstev, kot pomoč pri določanju nivoja zaščite in upravljanju z informacijskimi sredstvi (zaupnost, neporočenost, razpoložljivost)? Označevanje in rokovanje z informacijami Ali so vzpostavljeni postopki za razvrščanje in delo z informacijami v skladu z razvrstitveno shemo v organizaciji? Ali se razvrstitev informacij redno preverja, da ne prihaja do nepotrebnih dodatnih poslovnih stroškov? Ali obstajajo postopki za uničevanje podatkov? Delno (samo za dokumente, ki se izmenjujejo z zunanjimi partnerji) Delno (samo za dokumente, ki se izmenjujejo z zunanjimi partnerji) Preko vprašalnika bomo izvedeli kako poteka razvrstitev in kontrola informacij in sredstev. niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 9 od 85

14 3.4 VAROVANJE V VEZI Z OSEBJEM Opredeliti je potrebno stanje opisov del in nalog zaposlenih ter v njih vključiti točke iz varnostne politike. Preveriti moramo ali obstaja dogovor o zaupnosti informacij in če obstajajo zapisane odgovornosti zaposlenega do varnosti IT-ja. Preveriti je potrebno ali so zaposleni seznanjeni in poučeni o rokovanju z informacijami ter obstajajo disciplinski postopki za zaposlene, ki kršijo varnostno politiko podjetja oziroma kakšni so postopki ob prenehanju ali spremembi zaposlitve. Tabela 4: varovanje v vezi z osebjem Postopki pred zaposlitvijo Odgovornosti Ali so delavne naloge opisane in določene za določeno delavno mesto? Vključevanje Ali so vloge in odgovornosti pri varovanju vključene varnosti v v opise dela tako kot so opisane v varnostni politiki opisih dela in organizacije? odgovornosti Ali se preverjajo podatki v prošnjah pri zaposlitvi za nedoločen čas za delavce, ki imajo stik z občutljivimi informacijami? (priporočila, Dogovor o zaupnosti Odnosi in pogoji zaposlitve Postopki med zaposlitvijo Izobraževanje in usposabljanje za varovanje informacij Disciplinski postopek kvalifikacije, zanesljivost ) Ali so vsi zaposleni podpisali ustrezno izjavo o zaupnosti kot del osnovnih pogojev zaposlitve? Ali izjava vsebuje varovanje informacij in premoženja organizacije? Ali odnosi in pogoji zaposlitve vsebujejo odgovornost zaposlenih za informacijsko varnost? Ali so vsi zaposleni in ostali uporabniki (tretja stranka) seznanjeni oz. poučeni o varovanju informacij in postopkih v organizaciji v rednih časovnih intervalih? Ali obstajajo disciplinski postopki za zaposlene, ki kršijo varnostno politiko in postopke predpisane v organizaciji? Postopki ob prenehanje zaposlitve ali spremembi zaposlitve Prenehanje odgovornosti Ali obstajajo postopki za odvzem pravic, dostopov do sistema in vračila sredstev? Vračilo Ali obstajajo postopki za vračilo delovnih sredstev sredstev v lasti podjetja? Preklic Ali se ob prekinitvi ali spremembi zaposlitve dostopa ustrezno prilagodi uporabnikov dostop do sistema? Delno (samo za zaposlene, ki delajo z varnostno občutljivimi podatki in opremo) niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 10 od 85

15 Z vprašalnikom bomo od pravnega in kadrovskega oddelka pridobili informacije o varovanju informacij povezanih z osebjem. niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 11 od 85

16 3.5 FIZIČNO IN OKOLJSKO VAROVANJE Cilj je ugotoviti stanje fizičnega varovalnega pasu, ki preprečuje dostop do sistemov in naprav kjer potekajo informacijski procesi, način preverjanja in varovanje dostopa do pisarn in računalniških prostorov in zavarovanost informacijskih sistemov proti naravnim katastrofam. Prav tako je potrebno ugotoviti kako poteka delo v teh varovanih območjih, kakšne so kontrole za dostop in kako so območja ločena med seboj. Nadalje se ugotavlja stanje namestitve informacijske in komunikacijske opreme in kakšne kontrole za preprečevanje nesreč so nameščene, način zagotavljanja preskrbe z električno energijo ter varovanje kabelskih vodov. Preverja se ali je oprema vzdrževana v skladu s navodili in priporočili proizvajalca, kako poteka evidentiranje napak in kakšne so kontrole in postopki pri servisiranju opreme. Poleg tega moramo preveriti ali obstajajo postopki za uporabo naprav zunaj podjetja in kako ravnamo z podatki shranjenimi na različnih nosilcih podatkov. Tabela 5: Fizično in okoljsko varovanje Varovano območje Fizični varnostni pas Katere strateško postavljene fizične pregrade ščitijo informacijske procese? Kontrole Tip kontrol uporabljenih za nadzor prehoda fizičnega avtoriziranega osebja med varovanimi območji v vstopa podjetju. Varovanje pisarn in računalniških prostorov Delo v varovanih območjih Ločena območja za dostavo in odpremo podatkov Varovanje opreme Nameščanje zaščitene opreme Ali so pisarne in območja kjer je možen dostop do zaupnih informacij ali instalirana informacijska oprema za zagotavljanje storitev ali obdelavo podatkov ustrezno zaščitena (ključavnice, predali s ključavnicami, sefi)? Ali je procesno informacijski servis ustrezno zavarovan proti naravnim in ostalim katastrofam? Ali obstaja grožnja iz sosednjih prostorov? Informacije morajo biti na voljo po principu potrebe (dostop do informacij, ki jih oseba potrebuje pri svojem delu). Ali obstajajo varnostne kontrole za tretje osebe in zaposlene v varnostnih območjih? Ali so dostavna območja ločena in ustrezno zaščitena tako, da se prepreči neavtoriziran dostop do podatkov? Ali je opravljena analiza tveganja za vzpostavitev ustrezne varnosti na območjih dostave in odpreme informacij? Ali je postavitev opreme takšna, da lahko zmanjšamo nepotreben dostop do delovnega območja? Delno na lokaciji) (samo glavni niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 12 od 85

17 Preskrba z energijo Varovanje kabelskih Vodov Vzdrževanje opreme Varovanje opreme zunaj prostorov organizacije Ali so predmeti, viri ali sredstva, ki zahtevajo posebno varovanje ustrezno izolirani (osamljeni), da lahko zmanjšamo obseg potrebne splošne zaščite? Ali obstajajo kontrole za zmanjšanje tveganj kot so kraja, požar, eksplozije, dim, poplava, prah, vibracije, kemični učinki, voda, prekinitev preskrbe z električno energijo, elektromagnetna radiacija? Ali obstaja politika o prepovedi kajenja, pitja in uživanja hrane v prostorih z računalniško opremo? Ali obstaja okoliški nadzor za tveganja, ki lahko ogrozijo delovanje informacijskega sistema (membranske tipkovnice, sosednji prostori )? Ali obstaja zaščita računalniške opreme pred prekinitvami električnega toka kot so dvojno napajanje, neprekinjevalni električni napajalnik (UPS), rezervni generator? Ali se sistem za neprekinjeno oskrbo z električno energijo testira v rednih časovnih intervalih? Ali so napajalni in telekomunikacijski kabli zaščiteni pred prestrezanjem informacij ali poškodbami? Ali obstajajo dodatni varnostni mehanizmi za zaščito posebej občutljivih in pomembnih informacij? Ali je oprema vzdrževana v skladu s proizvajalčevimi priporočili glede časov in načina vzdrževanja? Ali popravila in servisiranje opreme opravlja za to pooblaščeno osebje? Ali je vzpostavljeno beleženje vseh napak ali sumov o napakah in ustreznih postopkov za odpravo napak? Ali obstajajo ustrezne kontrole za opremo, ki jo pošiljamo iz organizacije (popravilo, nadgradnja )? Ali je oprema zavarovana? Ali so zavarovalne zahteve izpolnjene? Ali obstajajo postopki za odobritev uporabe opreme zunaj prostorov organizacije (pooblastila vodstva)? Ali je stopnja varnostne zaščite za opremo, ki jo uporabljamo zunaj prostorov organizacije enaka ali večja kot v organizaciji? Delno (samo na glavni lokaciji) Delno (samo na glavni lokaciji) Politika o prepovedi ne obstaja. Delno (napake se beležijo ni pa enovitega postopka za odpravo) Delno (kontrol za pošiljanje ni, vsa oprema ni zavarovana) Večja niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 13 od 85

18 Zanesljivo izločanje ali ponovna uporaba opreme Iznos stvari, ki so last Organizacije Ali so občutljivi podatki shranjeni na nosilcih podatkov fizično uničeni ali prepisani po prenehanju ali ponovni uporabi opreme za druge namene? Ali je za iznos stvari (informacije, programska oprema), ki so last organizacije potrebno posebno dovoljenje? Ali obstajajo redni revizijski postopki in kontrole za odkrivanje neavtoriziranega iznosa stvari? Ali so zaposleni seznanjeni o kontrolah in revizijskih postopkih omenjenih zgoraj? Delno (DVD enote se prepisujejo, kasete se ne uničujejo) Preko vprašalnika bomo s stani zaposlenih v IT oddelku pridobili informacije o varovanju informacijske opreme, delovnih sredstev ter analizirali stanje fizičnega varovanja. niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 14 od 85

19 3.6 KOMUNIKACIJSKO IN OBRATOVALNO UPRAVLJANJE V tej točki moramo ugotoviti ali obstajajo obratovalni postopki in navodila za vzdrževanje računalniških in informacijskih sistemov, kako se ti postopki izvajajo pri delu, kakšen je način preverjanja sprememb in če obstajajo revizijske sledi za izvedene spremembe v produkcijskem okolju. Ugotoviti moramo ali obstajajo postopki za ravnanje ob varnostnih incidentih in če ti omogočajo hitro in učinkovito ukrepanje in zajemajo različne vrste varnostnih incidentov ter možnost beleženja in pregledovanja. Poleg tega moramo preveriti ali so naloge in dela ločena, ali obstaja ločitev razvojnih in obratovalnih naprav, ali podjetje uporablja tudi storitve zunanjih partnerjev, ali obstajajo kontrole ter pogodbe za delo pogodbenih partnerjev. Preveriti moramo tudi kako poteka spremljanje trenutnih zmogljivosti sistemov in planiranje novih ter kako se določajo merila za prevzem ali nadgradnjo sistemov. Opredeliti moramo sisteme in kontrole za omejevanje zlonamerne programske kode, postopke za preverjanje točnost informacij o zlonamerni programski kodi, stanje nameščene protivirusne zaščite in ugotoviti ali obstajajo mehanizmi za preverjanje omrežnega prometa. Ugotoviti je potrebno način izdelave in hranjenja varnostnih kopij podatkov in njihovo preverjanje ter uporabo dnevnika obratovanja vseh opravil in na kakšen način poteka beleženje napak. Nadalje je potrebno ugotoviti ali obstajajo učinkovite kontrole za upravljanje omrežja in računalnikov, kakšni so postopki za ravnanje z opremo in kakšne so kontrole za varovanje zaupnosti in neoporečnosti podatkov, ki se prenašajo preko javnih sistemov. Preveriti moramo še kakšni so postopki za ravnanje z zamenljivimi računalniškimi nosilci podatkov, na kakšen način se izločajo iz delovanja, ko niso več potrebni, ali obstaja dnevnik izločanja nosilcev podatkov in sistem zaščite dokumentacije pred nepooblaščenim dostopom. Ugotoviti je potrebno ali obstaja med organizacijami, ki si izmenjujejo informacije formalen dogovor in ali ta dogovor opredeljuje varovanje poslovnih informacij glede na pomembnost in občutljivost informacij. Na kakšen način se varuje informacije, ki se nahajajo na prenosnih medijih, ali se pri elektronskem poslovanju uporabljajo primerne varnostne kontrole in zaščite in stanje pogodbe, ki opredeljuje elektronsko poslovanje med partnerji. Ugotavlja se še stanje varovanja elektronske pošte (antivirusno pregledovanje, izločanje nevarnih priponk, napačno naslavljanje in pošiljanje, ipd.) ter stanje varovanja elektronskih pisarniških sistemov in navodil za kontrolo in obvladovanje poslovnih in fizičnih nevarnosti, ki se pojavljajo v elektronskih pisarniških sistemih. Tabela 6: Komunikacijsko in obratovalno upravljanje Obratovalni postopki in odgovornosti Dokumentirani obratovalni postopki Spreminjanje obratovalnih postopkov Ali obstajajo jasni obratovalni postopki za vse računalniške sisteme v obratovanju (izdelava varnostnih kopij, vzdrževanje opreme )? Ali so ti postopki ustrezno dokumentirani in se uporabljajo v vsakodnevnih opravilih? Ali se kakršnakoli sprememba obratovalnih postopkov ustrezno preveri in odobri? Delno (ne za vse sisteme) Delno (samo za nekatere sisteme) niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 15 od 85

20 Ločevanje nalog Ločitev razvojnih in obratovalnih naprav Ali obstajajo revizijske sledi za vsako spremembo v produkcijskem okolju (programska oprema)? Ali so naloge in področja dela ustrezno ločene, tako, da se zmanjša nevarnost zlorabe zaradi nepazljivosti ali zlonamernih dejanj? Ali obstaja ločitev razvojnih in obratovalnih naprav? Zunanje ravnanje z napravami Zagotavljanje Ali so ugotovljena tveganja, ter sprejeti ustrezni storitev ukrepi in kontrole za delo pogodbenih partnerjev (pogoji zapisani v pogodbi)? Nadzor in pregled zunanjih storitev Upravljanje sprememb za zunanje storitve Načrtovanje in prevzem sistema Načrtovanje zmogljivosti Ali se poročila pogodbenih partnerjev pregledujejo in ali je pridobljena odobritev lastnikov poslovnih in uporabniških rešitev? Ali se vodi evidenca o zunanjih storitvah in ali se ustrezno prilagaja varnostna politika Ali se spremljajo zmogljivostne zahteve? Ali se glede na trenutno obremenitev in projekcije zahtev planira nakup novih sredstev? Delno (za nekatere sisteme) Delno (ne za vse sisteme) Prevzem sistema Ali so določena merila za prevzem novega sistema, ali nadgradnje sistema? Ali so bili opravljeni ustrezni testi pred prevzemom sistema? Delno (ne za vse sisteme) Zaščita pred zlonamerno programsko opremo Kontrole proti Ali obstajajo kontrole proti uporabi zlonamerne zlonamerni programske opreme? Ali varnostna politika programski vsebuje določilo o prepovedani uporabi opremi neavtorizirane programske opreme? Skrbništvo Ali obstajajo postopki za preverjanje točnosti informacij o zlonamerni programski opremi pridobljenih preko različnih virov (internet, obvestila, protivirusni programi )? Ali je na računalnikih instalirana protivirusna zaščita? Ali se podatki o novi zlonamerni programski opremi obnavljajo v rednih časovnih intervalih? Ali se preverja ves promet iz omrežij in virov, ki jim ne zaupamo? Preverjanje elektronske pošte in priponk, promet iz internet omrežja, diskete, niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 16 od 85

21 Rezervna kopija podatkov Ravnanje z omrežjem Kontrole omrežja Ali se redno izdeluje rezervna kopija pomembnih poslovnih podatkov, kritičnih strežnikov, konfiguracije komunikacijske opreme, dodatne delne kopije in popolna varnostna kopija? Ali so rezervne kopije podatkov shranjene varno in na ločenem kraju? Ali se rezervni podatki redno preskušajo, da zagotovimo njihovo zanesljivost za morebitno uporabo v sili? Ali so zagotovljene učinkovite kontrole kot so ločitev odgovornosti za obratovanje omrežja in obratovanje računalnikov? Ali je uvedena odgovornost in postopki za ravnanje z oddaljeno opremo in opremo v uporabnikovih prostorih? Ali obstajajo posebne kontrole za varovanje zaupnosti in neoporečnosti podatkov, ki se prenašajo po javnih omrežjih in za zaščito povezanih sistemov (VPN, šifriranje, )? Ravnanje z nosilci podatkov in varovanje Ravnanje z zamenljivimi računalniškimi nosilci podatkov Izločanje nosilcev Podatkov Ali obstajajo postopki za ravnanje z zamenljivimi računalniškimi nosilci podatkov (diskete, magnetni trakovi, spominske kartice, CD, ) in tiskanimi poročili? Ali se računalniški nosilci podatkov izločajo zanesljivo in varno, ko niso več potrebni? Ali se izločanje občutljivih postavk beleži v dnevnik za kasnejše vpoglede in revizijsko sled? Postopki Ali obstajajo postopki za rokovanje z rokovanja z informacijami? Ali je v postopkih opredeljena informacijami zaščita informacij pred nepooblaščenim razkritjem ali zlorabo? Varovanje Ali je dokumentacija sistema ustrezno zaščitena dokumentacije pred nepooblaščenim dostopom? sistema Ali je dostop do dokumentacije sistema omejen na najmanjšo možno mero po razdelilniku (seznamu), ki ga mora potrditi lastnik uporabniške rešitve? Izmenjava informacij Dogovori o Ali obstaja formalen dogovor za izmenjavo izmenjevanju informacij in programske opreme med informacij in organizacijami? Ali dogovor opredeljuje varovanje programske poslovnih informacij glede na občutljivost in opreme pomembnost informacij? Delno (vsi razen prenosnih računalnikovdiski) Delno (ne v vseh oddelkih) Delno (fizična dokumentacija ni zaščitenazaklenjena) niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 17 od 85

22 Varovanje prenosnega medija Varovanje elektronske Pošte Varovanje elektronskih pisarniških sistemov Elektronsko poslovanje Varovanje elektronskega Poslovanja Ali je pri prenosu podatkov upoštevana varnost prenosnega medija? Ali je medij zadostno zaščiten pred neavtoriziranim dostopom, zlorabo ali spreminjanjem? Ali obstaja varnostna politika o uporabi elektronske pošte? Ali obstajajo jasne usmeritve in določila za varovanje in uporabo elektronskih pisarniških sistemov? Ali obstajajo navodila za učinkovito kontrolo in obvladovanje poslovnih in fizičnih nevarnosti, ki se pojavljajo v elektronskih pisarniških sistemih? Ali je zaščita uporabljena pri elektronskem poslovanju zadostna (zaščita pred poneverbami, nezatajljivost, razkritje ali zloraba informacij, )? Ali so varnostne kontrole, kot so overjanje, del elektronskega poslovanja? On-Line Ali so informacije zaščitene pred nepopolnim poslovanje prenosom, spremembo podatkov ali razkritjem? Javno dostopni Ali obstaja formalen način avtorizacije za vse sistemi informacije, ki so javno dostopne? Ali obstajajo kontrole za ohranjanje celosti informacij, ki so javno dostopne pred neavtoriziranim dostopom? Spremljanje dostopa do sistema in njegove uporabe Beleženje Ali se revizijske sledi z zapisom odmikov in dogodkov drugih za varnost pomembnih dogodkov izdelujejo in hranijo za dogovorjeno obdobje zato, da so lahko v pomoč v kasnejših raziskavah Spremljanje uporabe sistema Dnevniki obratovanja Beleženje napak in pri spremljanju kontrole dostopa? Ali so uveljavljeni postopki za spremljanje uporabe informacijskega sistema? Postopki so potrebni za zagotavljanje, da uporabniki izvajajo samo to, za kar so bili izrecno pooblaščeni. Ali se rezultati spremljanja uporabe informacijskega sistema redno pregledujejo? Ali računalniški operaterji vodijo dnevnik vsega dela, ki se opravlja (ime osebe, napake, ukrepi, )? Ali se dnevniki obratovanja redno in neodvisno preverjajo glede na predpisane obratovalne postopke? Ali so napake zabeležene in ustrezno obravnavane? Pregled zabeleženih napak in ukrepov za odpravo napak. Delno (vedno obstaja možnost) Delno (ne na vseh področjih) Delno (dnevnik se vodi, vendar se ga ne preverja) niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 18 od 85

23 Sinhronizacija ure Ali je računalniška ura naravnana na dogovorjeni standard npr. zahodnoevropski čas (GMT) ali na krajevni čas? S pomočjo vodje in zaposlenih v IT-ju, bomo preko vprašalnika pridobili informacije o stanju komunikacijskega in obratovalnega upravljanja v organizaciji. niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 19 od 85

24 3.7 DOSTOP DO SISTEMA Ovrednotiti je potrebno stanje politike za obvladovanje dostopa uporabnikov do informacij in sistema podjetja in seznanjenost ponudnikov in uporabnikov sistema z poslovnimi zahtevami povezanimi z obvladovanjem dostopa. Nadalje je potrebno ugotoviti ali obstajajo postopki za obvladovanje uporabniških imen in gesel ter kakšni so in na kakšen način se z njimi upravlja. Ugotoviti pa je potrebno tudi, kakšna je odgovornost uporabnika pri uporabi gesla in ali obstajajo navodila za uporabo. Pri obvladovanju mrežnega dostopa je potrebo ugotoviti stanje politike uporabe mrežnih storitev in dostopa do infrastrukture, stanje dostopa do posameznih omrežij in način zaščite le-teh ter, če obstajajo mehanizmi za overjanje uporabnikov in komunikacijske opreme, ki komunicira z oddaljenimi sistemi. Preveriti je potrebno še, če so komunikacijska in diagnostična vrata ustrezno zaščitena ali so omrežja med seboj logično ločena in način obvladovanja prenosa prometa med omrežji in uporabniki. Potrebno je definirati še, način dostopa terminalov do sistema, postopke prijave uporabnikov na terminal, način prepoznavanja uporabnika in sistem uporabniških gesel. Poleg tega moramo preveriti način delovanja sistemskih podpornih programov in ugotoviti, ali obstajajo alarmi za uporabnike, ki se prožijo ob varnostnih incidentih, ter kakšna so pravila za izključevanje terminalov in omejevanje časa priključitve. Nato moramo ugotoviti kako je omejen dostop uporabnikov do aplikacij, podatkov in sistema in na kakšen način ločujemo dostop do sistemov, ki hranijo zaupne informacije. Preveriti je potrebno ali se pomembni varnostni dogodki beležijo in če obstajajo sistemi za beleženje uporabe informacijskega sistema. Ugotoviti moramo ali obstaja politika nastavitev in uporabe prenosnih računalnikov in ostalih prenosnih naprav, kako se izvaja ščitenje podatkov na njih in kakšni so postopki pri delu na daljavo. Tabela 7: Dostop do sistema Poslovne zahteve za dostop do sistema Politika Ali so poslovne zahteve za obvladovanje dostopa obvladovanja opredeljene in dokumentirane? dostopa Politika razpečevanja informacij naj upošteva načelo kdo mora vedeti. Ali politika obvladovanja dostopa določa pravice in pravila za uporabniške skupine in posamezne uporabnike? Ali so uporabniki in ponudniki storitev seznanjeni s poslovnimi zahtevami glede obvladovanja dostopa? Ravnanje z uporabniškim dostopom Vpisovanje Ali obstajajo formalni postopki za vpis in izbris uporabnika ter dodeljevanje pravic uporabniku v večuporabniškem okolju informacijske tehnologije? Delno (ne za vse sisteme) Delno (ne pri vseh sistemih) niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 20 od 85

25 Ravnanje s posebnimi pravicami Ravnanje z uporabniškimi gesli Pregled uporabniških pravic dostopa Ali je dodelitev posebnih pravic v večuporabniškem okolju informacijske tehnologije omejena in ustrezno kontrolirana? Posebne pravice je potrebno dodeliti po principu kdo potrebuje dostop in po formalnem odobritvenem postopku. Ali je dodeljevanje in spreminjanje gesel del formalnega upravljanja informacijskega sistema? Ali so uporabniki podpisali dogovor, da bodo osebna gesla obravnavali zaupno in razkrivali gesla za delo skupine samo članom te skupine? Ali obstaja postopek za reden pregled uporabniških pravic dostopa? Odgovornosti uporabnika Uporaba gesel Ali obstajajo navodila za pomoč pri izbiri in upravljanju z gesli? Oprema brez prisotnosti uporabnika Politika prazne mize in ekrana Ali so uporabniki in pogodbeniki seznanjeni z varnostnimi zahtevami in postopki za varovanje opreme brez prisotnosti uporabnika, kakor tudi s svojimi odgovornostmi za uvajanje takšne zaščite? Primer: odjava iz sistema takoj ko je delo opravljeno, povezava z osrednjim računalnikom se prekine takoj, ko je obdelava končana, Ali je vključeno avtomatsko zaklepanje računalniškega zaslona? Ali obstajajo navodila zaposlenim o hranjenju zaupnih dokumentov (tiskani dokumenti, mediji) na varnem mestu? Obvladovanje mrežnega dostopa Politika Ali obstaja politika uporabe mrežne uporabe infrastrukture in mrežnih storitev kot so: mrežnih dostopna omrežja oz. deli omrežja, odobritveni storitev postopki za ugotavljanje pravic, postopki za zaščito dostopa do mrežnih storitev,? Vsiljena pot Ali obstajajo kontrole, ki omejujejo pot med uporabniškim terminalom in računalniškimi storitvami, za katere ima uporabnik pooblastilo dostopa (vsiljena pot za zmanjšanje nevarnosti nepooblaščenega dostopa)? Overjanje uporabnikov Ali obstaja mehanizem za overjanje uporabnikov, ki uporabljajo zunanje povezave (tehnike šifriranja in tajnopisja, uporaba pametnih kartic, overjanja preko sistema izziv/odgovor, )? Delno (ne na vseh sistemih) Delno (avtomatsko zaklepanje je vključeno, navodila ne obstajajo) niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 21 od 85

26 Overjanje vozlišča Ali se overjajo vse povezave z oddaljenimi računalniškimi sistemi? Overjanje vozlišča lahko služi kot druga, cenejša rešitev za overjanje skupin oddaljenih uporabnikov. Zaščita oddaljenih diagnostičnih vrat Ločevanje v omrežjih Obvladovanje omrežnih povezav Obvladovanje omrežnega usmerjanja Varovanje omrežnih Storitev Ali je dostop do diagnostičnih vrat (diagnostic ports) zavarovan z ustreznim varnostnim mehanizmom? Ali v omrežju obstaja več logičnih območij, ki so opredeljena z varnostnimi pasovi in povezana med sabo s požarnim zidom? Ali obstajajo kontrole za omejevanje možnosti uporabnikov, za podporo poslovnih uporabniških rešitev, ki se izvajajo na skupnih omrežjih, zlasti tistih, ki segajo prek mej organizacije (elektronska pošta, spletni promet, prenos datotek, )? Ali so v skupnih omrežjih vključene kontrole usmerjanja, ki zagotavljajo, da računalniške povezave in informacijski tokovi ne kršijo politike dostopa do poslovnih uporabniških storitev? Pomembno predvsem za omrežja, ki so skupna z uporabniki tretjega partnerja (zunaj organizacijskega). Ali kontrole usmerjanja temeljijo na prepoznavanju pošiljatelja in namembnega naslova? Ali obstajajo jasni opisi varnostnih značilnosti vseh uporabljenih omrežnih storitev tako javnih kot zasebnih? Obvladovanje dostopa do operacijskega sistema Samodejno Ali je uporabljeno samodejno prepoznavanje prepoznavanje terminalov za overjanje povezav? terminalov Postopki prijavljanja na terminalu Prepoznavanje in overjanje uporabnikov Ali je dostop do storitev informacijske tehnologije mogoč samo po opravljenem zanesljivem prijavnem postopku? Ali postopek prijave v računalniški sistem zasnovan tako, da kar najbolj zmanjšuje možnost nepooblaščenega dostopa? Ali ima vsak uporabnik vključno z operaterjem, sistemskim administratorjem edinstven osebni identifikator izključno za osebno uporabo? Ali overitvena metoda zagotavlja zanesljivo potrditev uporabljenega uporabniškega imena (uporaba gesla, ki ga pozna samo uporabnik, biometrične metode, )? Delno (načelno velja zaupanje za notranji promet) Delno (velja samo za omrežja dostopna parterjem) Delno (vsi opisi še niso definirani) Delno (ne na vseh sistemih) Sistem Ali obstaja učinkovit sistem ravnanja z gesli, ki Delno (ne na niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 22 od 85

27 ravnanja z geslom zagotavlja kakovost gesel (geslo za vsakega uporabnika, redno spreminjanje gesla, hranjenje gesel v šifrirani obliki, hranjenje že uporabljenih gesel, ni prikazovanja gesla na zaslonu, )? vseh sistemih) Uporaba sistemskih podpornih programov Alarm zaradi nasilja za varovanje uporabnikov Izključevanje terminalov Omejevanje časa priključitve Ali je uporaba sistemskih podpornih programov, ki so del operacijskega sistema, strogo nadzorovana? Ali so uporabniki, ki bi lahko bili tarča nasilja opremljeni z alarmom zaradi nasilja? Ali se nedejavni terminali na javnih ali zunanjih mestih samodejno izključijo po določenem času nedejavnosti, da se prepreči dostop nepooblaščenih oseb? Ali obstaja omejevanje časa priključitve za uporabniške rešitve z velikim tveganjem (omejevanje časovnih razdelkov za paketne prenose datotek, omejevanje časa povezave na normalni delovni čas, )? Obvladovanje dostopa do uporabniških rešitev Omejevanje Ali je dostop do podatkov in opravil uporabniške dostopa do rešitve omejen na skupine ali posamezne informacij uporabnike skladno z organizacijsko politiko dostopa do informacij na temelju potreb posamezne poslovne uporabniške storitve? Osamitev občutljivih sistemov Ali imajo občutljivi sistemi namensko (osamljeno) računalniško okolje? Izvajanje uporabniške rešitve na namenskem računalniku, delitev opreme samo s sistemi, ki jim zaupamo, Prenosne računalniške naprave in oddaljeno delo Prenosne Ali obstaja formalna politika, ki zajema računalniške nevarnosti pri delu s prenosnimi računalniki, naprave osebnimi organizatorji, posebno v nezavarovanem okolju? Ali so uporabniki, ki uporabljajo prenosne računalniške naprave, dodatno izobraženi in opozorjeni na dodatne nevarnosti pri delu s temi napravami in postopki ter kontrolami za zmanjšanje teh nevarnosti? Delno (samo za zunanje partnerje) Delno (samo za prenosne računalnike) Oddaljeno delo Ali obstajajo postopki, politika in standardi za kontrolo oddaljenega dela? Politika mora biti skladna z obstoječo varnostno politiko organizacije. niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 23 od 85

28 Ali obstaja ustrezna zaščita oddaljenega delovnega mesta? Zaščita pred krajo opreme, neavtorizirano razkritje podatkov, potrebno je določiti okolje za oddaljeno delo, Z uporabo vprašalnika bomo s strani sodelavcev v IT oddelku izvedeli na kakšen način se v organizacijo izvaja dostop do različnih sistemov. niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 24 od 85

29 3.8 RAZVIJANJE IN VZDRŽEVANJE SISTEMOV Opredeliti moramo varnostne zahteve sistemov in analizirati namembnost, razpoložljivost in način uporabe ter identificirati ukrepe za izpolnitev teh zahtev. Ugotoviti moramo kako poteka kontrola vnosa podatkov, s kakšnimi sistemi se zagotavlja verodostojnost in celovitost, kako poteka overovitev informacij ter na kakšen način se zagotavlja točnost in verodostojnost izhodnih podatkov. Potrebno je preveriti ali obstajajo šifrirne kontrole in mehanizmi, ali obstajajo tehnike šifriranja, ali se za zagotavljanje varnosti in verodostojnost uporablja digitalni podpis ter kako poteka beleženje transakcij in hranjenje šifrirnih mehanizmov. Preveriti moramo tudi, ali in na kakšen način poteka varovanje programske opreme in datotek, kdo upravlja z mehanizmi varovanja in kako se ravna s testnimi podatki. Utemeljiti je potrebno postopke za uvajanje sprememb v informacijskem sistemu, preveriti tehnične normative ob testiranju in zagonu novih ali popravljenih sistemov ter ugotoviti ali obstajajo navodila za izvajanje sprememb na paketih programske opreme. Ugotoviti moramo še, ali so prisotne kontrole, ki zagotavljajo odsotnost skritih ali nedokumentiranih poti do informacijskega sistema in ali obstaja nadzor nad programsko opremo, ki jo razvijajo zunanji izvajalci. Tabela 8: Razvijanje in vzdrževanje sistemov Varnostne zahteve sistemov Analiza in Ali ugotovitve poslovnih zahtev za nove rešitve specifikacija ali razširitve obstoječih rešitev podrobno varnostnih opredeljujejo zahteve za varnostne kontrole? zahtev Ali je ocenitev nevarnosti zaključena, pred pričetkom razvoja novega sistema? Varovanje v uporabniških sistemih Potrjevanje vhodnih podatkov Kontrola notranjih obdelav Overjanje sporočil Potrjevanje izhodnih podatkov Ali se vhodni podatki v uporabniških rešitvah potrjujejo, da zagotovimo njihovo pravilnost in ustreznost? Ali so upoštevane kontrole kot so preverjanje vhodnih podatkov, postopki za ravnanje pri napakah potrjevanja, opredelitev odgovornosti vsega osebja vključenega v vnašanje podatkov? Ali so v obdelave vključene kontrole za ugotavljanje napak v obdelovanju ali namerno spreminjanje podatkov? Ali so ugotovljene možne nevarnosti za pojav napak pri obdelavah podatkov? Ali obstajajo kontrole za zmanjšanje nevarnosti pri obdelavi podatkov? Ali je overjanje sporočil uporabljeno pri rešitvah, kjer je ključnega pomena zaščita neoporečnosti vsebine? Ali so izhodni podatki potrjeni tako, da zagotavljajo pravilno obdelovanje podatkov? Ali obstaja preverjanje obdelave vseh podatkov, opredelitev odgovornosti osebja vključenega v kontrolo izhodnih podatkov? niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 25 od 85

30 Kontrole šifriranja Politika za Ali obstaja politika za uporabo šifrirnih kontrol uporabo za zaščito informacij? šifrirnih Ali nivo zaščite informacij temelji na osnovi kontrol klasifikacije občutljivosti podatkov? Šifriranje Digitalni podpis zatajljivost Upravljanje s ključi Ali so uporabljene tehnike šifriranja za zaščito podatkov? Ali nivo šifriranja podatkov temelji na oceni občutljivosti in zahtevani zaščiti podatkov? Ali je z uporabo digitalnega podpisa zaščitena celovitost in verodostojnost elektronskih dokumentov? Ali je storitev nezatajljivosti uporabljena v vseh primerih, kjer bi lahko prišlo do oporekanja določenega dogodka ali opravila npr. zanikanje opravljenega elektronskega plačila, oporekanje elektronsko podpisani pogodbi,? Ali obstaja sistem upravljanja za podporo šifrirnih mehanizmov, kot je šifriranje z skritim ključem in šifriranje z javnim ključem? Varovanje datotek v računalniških sistemih Obvladovanje programske opreme v obratovanju okvare sistemov v obratovanju. Zaščita preskusnih podatkov sistema Kontrola dostopa do knjižnic z izvorno kodo Ali obstajajo kontrole za uvedbo programske opreme v obratovanje? Kontrole so potrebne za zmanjšanje nevarnosti Ali so preskusni podatki ustrezno zaščiteni? Ali obstajajo natančne kontrole za dostop do knjižnic z izvorno kodo? Varovanje razvojnega in vzdrževalnega procesa Postopki obvladovanja sprememb Tehnični pregled sprememb v operacijskem sistemu Omejevanje sprememb pri paketih programske opreme Ali obstajajo natančni kontrolni postopki za uvajanje sprememb v informacijskem sistemu? Obvladovanje uvajanja sprememb je potrebno za zmanjševanje okvar na informacijskih sistemih. Ali obstajajo postopki za pregled in testiranje uporabniških sistemov po spremembi operacijskega sistema (instalacija popravkov, nadgradnja sistema, )? Ali obstajajo priporočila, ki omejujejo spremembe pri paketih splošno uporabne programske opreme? Delno (samo za omrežno opremo in oddaljen dostop) Delno (ne na vseh sistemih) niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 26 od 85

31 Odtekanje informacij Razvoj programske opreme z zunanjimi izvajalci Ali obstajajo kontrole, ki zagotavljajo, da pri razvoju/izvedbi novega informacijskega sistema ni skritih poti in sistemov, ki omogočajo odtekanje informacij? Ali obstajajo kontrole za nadzor razvoja programske opreme z zunanjimi izvajalci? Obvladovanje tehničnih ranljivosti Kontrola tehničnih ranljivosti Ali se redno pregleduje in ocenjuje tehnično ranljivost sistemov? Delno (ne z vsemi zunanjimi izvajalci) Z vprašalnikom bomo od IT oddelka pridobili informacije o razvoju, varovanju uporabniških in računalniških sistemov ter o njihovem vzdrževanju. niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 27 od 85

32 3.9 UPRAVLJANJE VARNOSTNIH INCIDENTOV Potrebno je zagotoviti učinkovit in pravilen potek komunikacij ob odkritju informacijskih varnostnih incidentov in varnostnih pomanjkljivostih ter zagotoviti učinkovit proces poročanja o teh dogodkih. Nadalje je potrebno zagotoviti celovit in učinkovit pristop pri obvladovanju upravljanja informacijskih varnostnih dogodkov. Tabela 9: Upravljanje varnostnih incidentov Poročanje o varnostnih dogodkih in incidentih Poročanje o informacijskih varnostnih dogodkih Poročanje o informacijskih varnostnih pomanjkljivostih Ali poteka poročanje o informacijskih varnostnih dogodkih po določenih poteh komunikacije dovolj hitro? Ali obstajajo procedure, ki omogočajo vsem zaposlenim poročanje o morebitnih varnostnih pomanjkljivostih sistema ali storitev? Upravljanje in izboljšava informacijske varnosti Zadolžitve in postopki Učenje iz varnostnih incidentov Zbiranje dokazov Ali obstajajo zadolžitve in postopki za zagotovitev hitrega in učinkovitega odziva na varnostne incidente? Ali obstaja sistem za nadzor in obveščanje o ranljivostih in varnostnih incidentih? Ali je pogled na varnostne incidente dogovorjen z vodstvom? Ali so prisotni mehanizmi za identificiranje in določanje tipa, količine in stroškov povezanih z varnostnimi incidenti? Ali se informacije pridobljene s ovrednotenjem preteklih varnostnih incidentov uporabljajo za identificiranje novih in ponavljajočih se incidentov? Ali obstaja postopek za izvajanje pravnega postopka proti osebam ali podjetjem, ki so povzročila varnostni incident? Ali obstajajo notranji postopki za zbiranje in predstavitev dokazov za potrebe disciplinskih postopkov? V sodelovanju z vodjo IT oddelka bomo preučili kako v organizaciji poteka upravljanje varnostnih incidentov. niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 28 od 85

33 3.10 NAČRTOVANJE NEPREKINJENEGA POSLOVANJA V tem poglavju je potrebno ugotoviti ali so v podjetju vzpostavljeni procesi za podporo neprekinjenega poslovanja, kako se definira poslovne procese povezane z neprekinjenim delovanjem, kako je potrebno sestaviti načrt neprekinjenega poslovanja ter na kakšne načine lahko te načrte preskusimo. Tabela 10: Načrtovanje neprekinjenega poslovanja Vidiki načrtovanja neprekinjenega poslovanja Proces načrtovanja neprekinjenega poslovanja prekinjeno poslovanje in analiza posledic Pisanje in uveljavljanje načrta neprekinjenega poslovanja Okvir načrtovanja neprekinjenega poslovanja Preskušanje, upravljanje, ponovno ocenjevanje načrtov za neprekinjeno poslovanje Ali je vzpostavljen in upravljan proces razvijanja in vzdrževanja načrtov neprekinjenega poslovanja po vsej organizaciji? Ali so prepoznani dogodki, ki lahko povzročijo prekinitve poslovnega procesa (odpoved strojne opreme, ogenj, )? Ali je narejena analiza tveganj, ki opredeljuje posledice teh dogodkov? Ali strateški plan izhaja iz analize tveganj, tako da upošteva celovit pristop za neprekinjeno poslovanje? Ali načrti za neprekinjeno poslovanje upoštevajo časovni okvir v katerem mora poslovni proces ponovno delovati? Ali se načrt neprekinjenega poslovanja redno preskuša in dopolnjuje? Ali obstaja enoten okvir načrtov neprekinjenega poslovanja? Ali se okvir načrtov redno vzdržuje, da zagotovimo skladnost in istovetnost prioritet za preskušanje in vzdrževanje? Ali so pogoji za uveljavitev, kakor tudi imena posameznikov, odgovornih za izvedbo vsakega dela načrta jasno navedeni? Ali se načrti za neprekinjeno poslovanje redno preskušajo za zagotavljanje učinkovitosti in trajne uspešnosti? Preskušanje je potrebno v primerih nabave nove opreme, nove tehnologije, spremembah v osebju ali organizaciji, spremembah poslovnih procesov, spremembah v zakonodaji, Ali je zagotovljeno redno ažuriranje načrtov, da zaščitimo naložbo v razvoj prvotnega načrta in zagotovimo njegovo trajno uspešnost? Ali so v postopkih za nadzor sprememb v organizaciji upoštevane tudi potrebne spremembe načrta za neprekinjeno poslovanje? na vseh področjih Delno (analiza tveganj ni bila izvedena, prav tako ne strateški plan) S pomočjo vprašalnika bomo ugotovili ali ima organizacija načrt za neprekinjeno poslovanje. niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 29 od 85

34 3.11 USKLAJENOST V tej točki je potrebno ugotoviti, na kakšen način je zagotovljena usklajenost varnostne politike z lokalno zakonodajo, način zaščite intelektualne lastnine, sistem varovanja evidenc, osebnih in ostalih podatkov v podjetju in kakšni so postopki šifriranja in zbiranja dokazov v primeru zlorab. Prav tako je potrebno ugotoviti ali so vsa področja v organizaciji usklajena z varnostno politiko in če se upoštevajo varnostni standardi in postopki ter na kakšen način poteka preverjanje naprav informacijske tehnologije in njihova usklajenost z varnostnimi standardi. Na koncu moramo ugotoviti ali obstajajo kontrole za revizijo sistemov in kako se jih izvaja. Tabela 11: Usklajenost Usklajenost z zakonskimi zahtevami Identifikacija Ali so ugotovljene in dokumentirane vse potrebne pomembne zakonske in pogodbene zahteve za zakonodaje informacijski sistem? Ali so jasno določene zahteve in osebne Intelektualna lastnina Varovanje evidenc v organizaciji Zaščita osebnih in drugih Podatkov Preprečevanje zlorabe opreme informacijske tehnologije Predpisi o uporabi šifriranja Zbiranje dokazov odgovornosti za izpolnjevanje zakonskih zahtev? Ali obstajajo postopki, ki zagotavljajo skladnost z zakonskimi omejitvami glede uporabe gradiv, programske opreme? Ali se avtorsko zaščitena programska oprema dobavlja z licenčno pogodbo, ki omejuje njeno uporabo na določene računalnike in utegne omejevati kopiranje samo na izdelovanje rezervnih kopij? Ali so pomembne evidence v organizaciji zaščitene pred izgubo, uničenjem ali ponarejanjem? Ali se evidence, ki so hranjene nad zakonsko potrebnim časom hrambe uničujejo? Ali obstaja upravljavska struktura in kontrola za zaščito osebnih in drugih podatkov (pridobivanje, namen uporabe, točnost, hranjenje podatkov)? Ali se vsaka uporaba naprav za neposlovne ali nedovoljene namene, brez dovoljenja poslovodstva in ustreznega obračunavanja, obravnava kot nedovoljena uporaba opreme? Ali se pri prijavi v sistem prikaže opozorilo uporabniku? V opozorilu mora biti zapisano, da je sistem zaseben in da je neavtorizirana uporaba prepovedana. Ali so upoštevani vsi predpisi o šifriranju v vseh državah kjer deluje organizacija? Potrebno je upoštevati lokalne zakonske omejitve, ki obstajajo v nekaterih državah. Ali so postopki zbiranja dokazov v skladu z zakonodajo in splošno prakso v industriji? Zagotavljanje revizijske sledi! Delno (vsi sistemi ne prikazujejo opozoril) niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 30 od 85

35 Pregledi varnostne politike in tehnične usklajenosti Usklajenost z Ali so vsa področja v organizaciji redno varnostno pregledujejo glede skladnosti z veljavno politiko varnostno politiko, standardi in postopki? Preverjanje tehnične usklajenosti Ali so naprave informacijske tehnologije redno preverjene, če so usklajene z varnostnimi standardi? Ali se računalniški programi redno pregledujejo s pomočjo specialistične tehnične pomoči (izkušen sistemski inženir ali splošno uporabna programska oprema za samodejno izdelavo tehničnih poročil)? Upoštevanje revidiranja sistema Kontrole za revidiranje sistema Zaščita orodij za revidiranje Ali so revizijske zahteve in dejavnosti za preverjanje sistemov v obratovanju skrbno načrtovane in dogovorjene, tako da se zmanjša nevarnost prekinjanja poslovnih procesov? Ali je dostop do orodij za revidiranje sistemov varovan, tako da preprečimo vsako možno zlorabo ali kršitev? Iz pravnega in IT oddelka bomo preko vprašalnika pridobili informacije o tehnični usklajenosti in usklajenosti varnostne politike z zakonodajo niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 31 od 85

36 4. USKLADITEV VARNOSTNE POLITIKE ORGANIZACIJE PO TOČKAH STANDARDA ISO POLITIKA VAROVANJA INFORMACIJ Politiko aktualne informacijske krovne varnostne politike določa vodstvo organizacije. Zaposleni v organizaciji morajo biti z vsebino varnostne politike seznanjeni na področjih, ki se tičejo njihovega dela. Upoštevanje varnostne politike moram zagotovi z rednimi revizijami, ki jih izvajajo za to pooblaščene in neodvisne službe. Pri tem uporabimo naslednje točke: učinkovitost politike, utemeljen z načinom, številom in posledicami varnostnih incidentov, stroški in posledice ukrepov na učinkovitost podjetja, posledice tehničnih sprememb. niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 32 od 85

37 4.2 ORGANIZIRANOST VAROVANJA Forum za upravljanje in usklajevanje varovanja informacij Varnostni forum sestavljajo osebe znotraj informatike, ki urejajo vsebine, ki tematsko zajemajo informacijska varnost. Udeleženci pokrivajo različna področja (strojna oprema, programska oprema, omrežja, aplikacije, procesi). V mesečnih srečanjih se informacijska varnost operativno analizira in razvija naprej. Usklajevanje varovanja informacij Širši varnostni forum obsega predstavnike vseh sektorjev organizacije. Forum koordinira predstavnik oddelka informatike. Predstavniki se zberejo po potrebi ali vsaj enkrat na pol leta. Razporejanje odgovornosti za varovanje informacij Pooblaščena oseba za varovanje informacij in zaščito pred virusi ureja vse dejavnosti v zvezi z varovanjem informacij in»škodljivimi programi«v celotni organizaciji. Nanjo se obrnemo tudi v primeru koordinacije s področja zaščite strank kakor tudi zaščito na področju strežnikov in interneta. Na sliki 3 je predstavljena organizacijska shema in položaj pooblaščenca za varnost v organizaciji. Vodstvo organizacije Pooblaščenec za varnost Širši varnostni forum Vodja IT Varnostni forum IT oddelek Slika 3: shema organizacije za varovanje informacij (vir: interno gradivo) niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 33 od 85

38 Odobritveni proces za naprave informacijske tehnologije Zaradi tehničnega napredka je potrebno pri strojni opremi, ki se uporablja v organizaciji, redno ocenjevati učinkovitost. To dosežemo s pomočjo testiranja strojne in programske opreme. Pri certifikaciji programske opreme preskusimo ali ima določen program želene funkcije in če se lahko za podprte različice programske opreme skupaj z ostalimi programi sistemske programske opreme namesti brez težav. Za potrditev in uporabo strojne in programske opreme predlagamo naslednja pravila: Uporaba strojne in programske opreme v zasebne namene je prepovedana. Prinašanje zasebnih naprav (vključno z opremo in nosilci podatkov) v službo in uporaba zasebno izdelanih oz. zasebno pridobljenih programov v službene namene je prepovedana, razen če obstaja ustrezno dovoljenje za to, ki ga je izdal določen predstojnik (vodja oddelka, pooblaščenec za varnost). Uporaba programske opreme organizacije in podatkov na zasebnih osebnih računalnikih ni dovoljena. Nadaljnja obdelava službeno izdelanih programov na zasebnem osebnem računalniku je prepovedana, razen če za to obstaja ustrezno dovoljenje, ki ga je izdal določen predstojnik. Snemanje na zasebnem osebnem računalniku izdelanih ali obdelanih podatkov se dopusti le ob upoštevanju obstoječih varnostnih ukrepov (npr. iskanje računalniških virusov). Dogovor o zaupnosti Vse dokumente, ki obstajajo v organizaciji je potrebno kvalificirati glede na nivo zaupnosti. Kontakt z posebnimi skupinami Vsebina se ureja znotraj varnostne skupine, ki v primeru potrebe po specifičnih informacijah povabi na srečanje strokovnjaka za določeno področje. Sodelovanje med organizacijami Izmenjavo varnostnih informacij med organizacijami se mora omejiti na nujno potreben obseg, da zaupne informacije o varnostni opremi organizacije ne preidejo na nepooblaščene osebe. odvisni pregled varovanja informacij Izvedljivost in učinkovitost varnostnih pravili IT in izvršitev varnostnih ukrepov IT-ja se pregleda z revizijo IT-ja ali preko druge neodvisne in pristojne instance. Prepoznavanje tveganja pri stikih s tretjimi strankami Način dostopa tujih podjetij oziroma njihovih delavcev je potrebno definirati in opisati. S tem povezana tveganja je potrebno predstaviti in jih v primeru dvoma ponazoriti z analizami tveganja. Primeri za to so naslednji: fizični dostop do pomnilniških naprav, pisarniških in računalniških prostorov, fizični dostop do posebno zaščite vrednih območij (prostori vodstva podjetja, področij raziskav, centralnih komunikacijskih območij, ipd.), fizični dostop do omar z dokumenti, arhivov, dokumentacije, logični dostop do omrežij, informacijskih sistemov, podatkovnih baz, itd. niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 34 od 85

39 Za vključitev tujega podjetja in njegove IT infrastrukture v organizacijo je potrebna pisna utemeljitev. Poleg tehničnih okoliščin in predvidenih varnostnih ukrepov za IT je potrebno opisati ukrepe za vodenje varnosti IT-ja in jih potrditi preko pristojnih oddelkov. Delavcem tujega podjetja se lahko dodeli dostop do informacij in naprav za obdelavo informacij šele, ko: so v pogodbi določeni pogoji dostopa in dovoljenih podatkovnih povezav, se izvajajo v pogodbi določeni ukrepi, je pogodba podpisana. Uporaba naprav IT in podatkov zahteva izrecno pisno privolitev pogodbenika in vodje IT sektorja. Dogovor o opredelitvi dostopa tujih podjetij je potrebno določiti v pogodbi (priloga 1). Pogodba mora vsebovati vse potrebne varnostne zahteve ali ustrezne sklice na obstoječa pravila. Varnostne zahteve izhajajo iz analiz tveganja ali drugih zahtev. Cilj tega je izpolnitev varnostnega pravilnika o IT. Potrebno je določiti vprašanje odgovornosti v primeru kršitve varnosti IT-ja. Za ravnanje zunanjega osebja z IT napravami organizacije in podatki je potrebno v pogodbi upoštevati spodnja načela: Zunanje osebje je obvezano na zaupnost podatkov v okviru zakonskih pravil in za varovanje tajnosti po obstoječem sporazumu o varovanju tajnosti. Če so iz stališča pogodbeniškega področja oz. organizacije potrebni posebni ukrepi za zagotovitev, da zunanje osebje pravilno uporablja strojno in programsko opremo organizacije ter podatke, jih je potrebno dodatno navesti v pogodbi. Posredovanje preostalih podatkov tretji osebi je izrecno prepovedano, razen ob izdanem pisnem dovoljenju organizacije. Še posebej je potrebno določiti pravila o prepustitvi podatkov z namenom obdelave v tujini. Prepuščeni podatki se lahko le začasno shranjujejo in hranijo in se jih mora ob preklicu pogodbe takoj uničiti/izbrisati oz. vrniti. Vse dejavnosti v povezavi z pooblaščanjem dostopa je potrebno dokumentirati v ustrezni obliki. Uporaba zunanjega uporabniškega imena organizacije in posredovanje gesla, tretji osebi nista dovoljena. Če so v organizaciji dejavni zunanji delavci in poleg tega uporabljajo delovne postaje, ki niso v lasti organizacije, se te ne smejo priključiti na interno omrežje, razen če za tuje podjetje in njegove pooblaščence obstaja izjava o dolžnosti, po kateri se držijo veljavnih varnostnih predpisov. V pogodbi je potrebno preveriti, ali vključuje naslednje točke: skladnost z zahtevami o varovanju informacij, odgovornost v skladu z pravnimi predpisi, pri sklepanju mednarodnih dogovorov je potrebno upoštevati različne nacionalne pravne sisteme, pravice za zaščito intelektualnih lastnin in prenosu avtorskih pravic, dogovor o nadzoru dostopa, pravica o nadzorovanju dejavnosti uporabnikov in pravica do preklica, pravica do preverjanja odgovornosti oz., da te revizije izvede tuje podjetje, vzpostavitev eskalacijskega postopka za rešitev težav ali eventualno upoštevanje zasilnih načrtov v ustreznih primerih, niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 35 od 85

40 odgovornost za namestitev in vzdrževanje programske in strojne opreme, točno določen postopek za vodenje sprememb, usposabljanje uporabnikov in skrbnikov sistema o metodah, postopkih in varnosti, ukrepe, ki zagotavljajo zaščito pred škodljivo programsko opremo, dogovor o prijavi, sporočanju in raziskavi varnostnih incidentov in varnostnih prekrškov, odnos tujih podjetij s podizvajalci, opozorilo o varnostnih standardih organizacije. Zunanji izvajalci Način dostopa zunanjih izvajalcev do organizacije je potrebno definirati v pravilniku. Cilj je ohranitev varnosti informacij, ko se odgovornost za obdelavo informacij prenese na zunanje organizacije. Varnostna določila v pogodbah z zunanjimi izvajalci Potrebno je skupaj sestaviti seznam zahtev o varnosti IT-ja. Posamične točke so lahko npr.: vložitev prošnje za pravico do dostopa oz. odjavo npr. do intraneta, sistemov IT, računalniških postopkov, šifrirnih ključev, podatkovnih baz, vložitev prošnje za pravico do komunikacije oz. odjavo od tega, npr. do telefona, faksa, glasovne pošte, interneta, e-pošte, intraneta, vložitev prošnje za pooblastitev do dostopa oz. brisanje tega (izdaja / umik izkaznic) za prostore podjetja, varnostna območja. Dogovori o zunanjih storitvah morajo v pogodbi upoštevati tveganja, varnostne ukrepe in varnostne postopke za obseg pogodbe (npr. informacijski sistemi, omrežja ali namizna okolja). Obstoječe pogodbe je zato potrebno preučiti glede varnosti IT-ja in jih po potrebi spremeniti ali jim dodati aneks. Pogodba mora določati oz. vsebovati: način izpolnjevanja pravnih zahtev oz. standardov organizacije za varnost ITja in odgovornost za kršitve, dogovore, ki zagotavljajo, da vse strani, udeležene pri zunanjih storitvah, vključno s podpogodbeniki poznajo odgovornost za varnost in jo tudi upoštevajo, ohranitev in preizkus integritete ter zaupnosti poslovnih vrednosti organizacije, fizične in logične ukrepe za omejitev dostopa občutljivih poslovnih informacij organizacije na pooblaščene uporabnike, razpoložljivost storitev (SLA) in ohranitev v primeru nesreče, določeno vodenja eskalacije, še posebno, koga se obvesti v katerem primeru, pravico do revizije, o dolžnostih sodelovanja in dobave, o pravicah uporabe, niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 36 od 85

41 obvez/dogovorov o ohranitvi tajnosti, določitev povratnega scenarija v primeru preteka pooblastila. niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 37 od 85

42 4.3 RAZVRSTITEV IN KONTROLA SREDSTEV Odgovornost za sredstva S pomočjo tega pravilnika se lahko odloči, katere informacije in opremo IT je potrebno varovati, kako jih razvrstiti in kateri varnostni ukrepi iz tega izhajajo. Popis sredstev Za zagotavljanje pregleda nad sredstvi in opremo je potrebno le-ta popisati in jih dodeliti odgovorni službi, enoti ali osebi. Seznam zajetih vrednosti IT-ja vsebuje vsaj naslednje: dodelitev odgovorne enote oz. odgovornih oseb za stroške, opis aplikacije, sistema, IT opreme, pomen sistema oz. aplikacije ali opreme IT za poslovni postopek, mesto uporabe ali območja uporabe, klasifikacijo shranjenih podatkov (v aplikaciji ali sistemu) in po potrebi navodila za posebne varnostne ukrepe za te podatke. Za delovanje je potrebno razvrstiti aplikacije oz. sisteme in njihove podatke, IT naprave in zapise, katerih uničenje bi resno ogrozilo nadaljnje delovanje ali katerih ponovna vzpostavitev oz. nadomestitev bi terjala veliko izgubo čas ali visoke stroške. Za delovanje potrebne aplikacije oz. sistemi (in pripadajoči podatki) ter zapisi so računi osebja (z matičnimi podatki osebja), mrežni datotečni strežnik s pripadajočimi podatki, podatki o upravljanju proizvodnje, zapisi o raziskovalnem in razvojnem delu, postopku izdelave, pogoji dobaviteljem. Potrebno je zajeti slednje: IT opremo, aplikacije oz. sisteme in informacijske vrednosti: IT oprema: računalniška oprema, komunikacijske naprave, hranilni mediji, posebna tehnična oprema, itd., aplikacije oz. sistemi: sestavljeni iz uporabniške programske opreme, pripadajoče podatkovne baze in podatki, sistemska programska oprema, razvojna orodja, pripomočki, zasilni načrti, sistemska dokumentacija itd., informacijske vrednosti: postopki delovanja ali podpore, dogovori o nabavi, itd. Razvrstitev informacij Varovanje zaupnosti ima načeloma prednost pred varovanjem informacij, vendar se ne sme prezreti dejstva, da k varovanju informacij spada tudi ohranitev razpoložljivosti in integritete. Razvrstitvene smernice Zaupnost opredeljuje značaj javnosti podatkov. Jasna oblika se nanaša na aplikacije in ne na posamezne vsebine shranjenih podatkov. Enako velja za razpoložljivost. Aplikacije se zato uvrščajo v naslednja razreda: niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 38 od 85

43 Razred Zaupnosti Razpoložljivost Kategorija Strogo zaupno Zaupno Le za interno uporabo Javno Zelo razpoložljivo Normalno razpoložljivo Malo razpoložljivo Vse aplikacije imajo torej kategorije zaupnosti in razpoložljivosti. Razpoložljivost se določi iz stališča končnega uporabnika, t. j. na omrežju, dostopnem iz delovnega mesta. Sledi natančnejši opis posameznih kategorij. Oznaka Javno Le za interno uporabo Zaupno Strogo zaupno (potrebna je jasna oznaka) (jasna oznaka ni potrebna) (potrebna je jasna oznaka) (potrebna je jasna oznaka) Razred zaupnost Strogo zaupno Razkritje strogo zaupnih podatkov lahko pomeni veliko škodo za podjetje (npr. strateški podatki, varnostne informacije, itd.). Zaupno Tudi razkritje zaupnih podatkov pomeni škodo za podjetje. To so predvsem informacije, ki bi lahko bile pomembne za konkurente, kot so recimo ključni zneski delovanja in plače. Za interno uporabo Ta podatkovna kategorija obsega vse tiste podatke, ki so dostopni vsakemu zaposlenemu v organizaciji, ki pa vendarle niso za v javnost (npr. navodila za opravljanje dela, organizacijski načrti, itd.). Javno Javni podatki so vse tiste informacije, ki so dostopne vsem (primer:spletne strani). Razred razpoložljivost Zelo razpoložljivo Podatki in pripadajoči sistemi, ki morajo biti uporabniku na razpolago v nekaj urah. Za sisteme v tej kategoriji je potrebno pripraviti dokumentacijo o razpoložljivosti. V njej mora biti zagotovljena nenehna razpoložljivost sistema oz. (v času izpada) možnost nadomestitve vseh kritičnih nadomestnih delov v dovoljenem skrajnem roku. Normalno razpoložljivo Podatki in pripadajoči sistemi, ki morajo biti uporabniku na razpolago v nekaj dneh. Tudi tu mora biti v dokumentaciji o razpoložljivosti zagotovljena nenehna niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 39 od 85

44 razpoložljivost sistema oz. (v času izpada) možnost nadomestitve vseh kritičnih nadomestnih delov v dovoljenem skrajnem roku. Malo razpoložljivo Podatki in pripadajoči sistemi, do katerih uporabnik dobi dostop pozneje kot v enem tednu. niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 40 od 85

45 4.4 VAROVANJE V ZVEZI Z OSEBJEM Cilj naslednjih pravil je zmanjšati tveganja pri varnosti IT-ja, ki nastanejo zaradi človeških napak, tatvin, prevar ali zlorab opreme. Postopki pred zaposlitvijo Potrebno je definirati dela in naloge, ki jih opravljajo delavci in so povezane z varovanjem IT (t. i. opis del in nalog). Vključevanje varnosti v opisih dela in odgovornosti Ob zaposlitvah novih delavcev ali razporeditvi obstoječih na druga delovna mesta je potrebno določiti njihovo odgovornost za varnost IT-ja. V pogodbe je potrebno vključiti splošno obvezo o upoštevanju varnostnih pravil v povezavi z IT-jem. Z zaposlenimi in ostalimi osebami, ki imajo dostop do internih podatkov organizacije je potrebno skleniti sporazum o nerazkrivanju. Pri zamenjavi delovnega področja ali delovnih nalog je potrebno zaposlenemu v okviru nove dejavnosti pokazati in opisati obveznosti do varnosti IT-ja. Varnostne vloge in s tem povezano odgovornost je potrebno dokumentirati. Vsa delovna sredstva (dostopna kartica, OTP kartica, telefon, ipd.), ki pripadajo delavnemu mestu je potrebno zabeležiti in dokumentirati. Preverjanje osebja Preizkusi zaposlenih v okviru dodelitve nalog se ne izvajajo. Dogovor o zaupnosti Uslužbenci podpišejo sporazum o zaupnosti kot del njihovih pogojev za zaposlitev. Začasno zaposlene osebe morajo podpisati sporazum o nerazkrivanju pred dodelitvijo dostopa. Sporazum o nerazkrivanju je potrebno preveriti: ob spremembah pogojev za zaposlitev ali spremembah pogodb, ob podaljšanju pogodbe. Odnosi in pogoji zaposlitve V pisni obliki je potrebno zabeležiti odgovornost zaposlenega do varnosti IT-ja. Te zahteve je potrebno opisati. Pri tem je potrebno upoštevati naslednje točke: obveznosti za določen čas po koncu zaposlitve, pravna odgovornost in pravice zaposlenih, odgovornost za klasifikacijo in vodenje podatkov o zaposlenih, odgovornost izven delovnega prostorov in običajen delovni čas. Če so za zunanje sodelavce potrebni posebni ukrepi za zagotovitev pravilne uporabe strojne in programske opreme ter podatkov organizacije jih je potrebno dodatno navesti v pogodbi Izobraževanje in usposabljanje za varovanje informacij Potrebno je poučiti uporabnike o za njih pomembnih varnostnih postopkih in jih usposobiti za pravilno rokovanje z napravami ter obdelavo podatkov z razlogom zmanjšanja oz. preprečevanja varnostna tveganja. Uporabnike je potrebno niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 41 od 85

46 usposobiti pred prevzemom na IT-ju osnovanih nalog. To vključuje tudi uporabo standardnih programskih paketov, kakor tudi posebej razvite aplikacije. Zaposlenim je potrebno pojasniti in predstaviti vrednost informacij, še posebej v točkah zaupnost, integriteta in razpoložljivost. Te ukrepe za ozaveščanje je potrebno ponavljati enkrat letno. Disciplinski postopek Zaposlene je potrebno opozoriti, da ima lahko kršitev varnostnih pravil organizacije lahko delovne in kazenske posledice. Dokaze, ki se zberejo v okviru disciplinskega postopka, se obravnava po veljavnih pravnih določbah. Kršitve pravilnika o IT-ju se individualno preuči iz delovnega in kazenskega vidika in iz vidika o zaščiti podatkov in se jih lahko preganja v prisotnosti delavskega sveta. Prenehanje zaposlitve ali razporeditev na drugo delavno mesto V primeru prenehanja zaposlitve oziroma razporeditve na drugo delovno mesto se delavcu odvzame delovna sredstva, ki jih ne potrebuje pri svojem delu. Odvzame oz. spremeni se nivo dostopa do sistema. niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 42 od 85

47 4.5 FIZIČNO IN OKOLJSKO VAROVANJE Fizični varnostni pas Cilj ustanovitve varnostnih območij je preprečevanje nepooblaščenega dostopa oz. ohranitev razpoložljivosti in zaupnosti. Zaščita mora ustrezati ugotovljenim tveganjem. V organizaciji ločimo naslednja varnostna območja: osrednji računalniški center, pomožni računalniški center, prostori s pripomočki, območje IT-ja, minimalni standard priključenih območij, interno območje, javno območje. Osrednji računalniški center je zaklenjen prostor, kjer se nahajajo IT naprave. Dostop do prostora je omogočen z brezkontaktno kartico. V prostor se lahko vstopa le z namenom izvajanja vzdrževalnih ali namestitvenih del. Ta prostor je fizično ločen iz varnostnih razlogov. Dostop do njega imajo le osebe v organizaciji, ki izvajajo vzdrževalna ali namestitvena dela in službe, ki nadzirajo to osebje. Število pooblastil za dostop je potrebno omejiti na najnižje možno. Število se preverja z revizijami ITja. O dostopih je potrebno voditi zapiske (beleženje nadzora dostopa). Zunanji zaposleni lahko v ta prostor vstopijo le v spremstvu internega zaposlenega in ne morejo prejeti dolgoročnega dovoljenja za dostop. Računalniški center se nahaja znotraj drugega varnostnega območja, ki je prav tako fizično zavarovano in do katerega ima dostop le omejen krog oseb. Takšno (drugo) varnostno območje je lahko prostor s pripomočki ali območje IT. Računalniški center mora biti opremljen z brezprekinitvenim napajanjem (UPS), da lahko naprave delujejo tudi v primeru izpada električnega toka. Poleg tega je območje potrebno opremiti tudi za zaščito pred ognjem in vodo (detektor dima, protipožarna obramba, javljalnik vlage). Prostori računalniškega centra je potrebno zadostno klimatizirati. Nosilce podatkov z varnostnimi kopijami je potrebno skladiščiti ločeno od računalniškega centra. niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 43 od 85

48 Slika 4: osrednji računalniški center in komponente namenjene varovanju sistemov (vir: interni arhiv podjetja) Pomožni računalniški center se nahaja na pomožni lokaciji in je zaklenjena prostor, kjer se nahajajo IT naprave in v katero se lahko vstopa le za izvajanje vzdrževalnih ali namestitvenih del. Dostop do prostora je omogočen z brezkontaktno kartico. Prostor je fizično ločen iz varnostnih razlogov. Dostop imajo le osebe v organizaciji, ki izvajajo vzdrževalna ali namestitvena dela, in službe, ki nadzirajo to osebje. Število pooblastil za dostop je potrebno omejiti na najnižje možno; število se preverja z revizijami IT-ja. Zunanji zaposleni lahko v ta prostor vstopijo le v spremstvu internega zaposlenega in ne morejo prejeti dolgoročnega dovoljenja za dostop. Pomožni računalniški center leži znotraj drugega varnostnega območja, ki je prav tako fizično zavarovano. Takšno (drugo) varnostno območje je lahko prostor s pripomočki ali območje IT ali vsaj interno območje. Pomožni računalniški center mora biti opremljen z brezprekinitvenim napajanjem. Poleg tega je območje potrebno opremiti tudi za zaščito pred ognjem in vodo (detektor dima, protipožarna obramba, javljalnik vlage). Prostor pomožnega računalniškega centra je potrebno zadostno klimatizirati. Nosilce podatkov z varnostnimi kopijami je potrebno shranjevati v ustrezni oddaljenosti in ločeno od pomožnega računalniškega centra. V prostorih s pripomočki se nahajajo IT naprave, ki se uporabljajo pogosteje, a niso stalno v delovni uporabi. To so lahko omrežne naprave ali tiskalniki. Tudi to prostorsko enoto je potrebno fizično ločiti zaradi varnostnih razlogov. Obstajati mora vsaj možnost zaklepanja. Ta varnostna ločitev preprečuje nepooblaščen dostop zunanjih oseb in zaposlenim, ki dostopa ne potrebujejo. Ob zapustitvi IT naprav v prostorih s pripomočki morajo biti naprave v takšnem načinu delovanja, da je za uporabo potrebno vnesti uporabniško ime/geslo. Prostori s pripomočki naj se nahajajo vsaj v internem območju. Če temu ni tako, morajo biti vedno zaklenjeni, kadar ni nikogar v prostorih. To preverja služba za varovanje objektov. V območje IT-ja spadajo delovna mesta zaposlenih na tem področju, službe za pomoč uporabnikom in obratovanja. Ker tu poteka vodenje, za varnost podjetja niel Erbežnik: Uskladitev varnostne politike IT v podjetju po standardu ISO stran 44 od 85