RAZVOJ PROCESOV V IT PO STANDARDU (27000)

Transcription

1 UNIVERZA V MARIBORU FAKULTETA ZA ORGANIZACIJSKE VEDE Smer organizacijska informatika RAZVOJ PROCESOV V IT PO STANDARDU (27000) Mentor: izr. prof. dr. Robert Leskovar Kandidatka: Janja Žlebnik So-mentorica: doc. dr. Alenka Brezavšček Kranj, svečan 2006

2 ZAHVALA Zahvaljujem se obema, mentorju dr. Robertu Leskovarju, izrednemu profesorju in so-mentorici dr. Alenki Brezavšček, docentki, za njuno podporo in pomoč pri razvoju tega diplomskega dela. Posebno zahvalo namenjam sinu, ki je namesto mene opravljal domača dela in mi prihranil dragoceni čas. To mi veliko pomeni. Zahvaljujem se lektorici za angleški jezik Lenise Alyce Musich za lektoriranje angleškega dela besedila. Za podporo in spodbudo se zahvaljujem tudi vsem prijateljem, ki so verjeli vame. ACKNOWLEDGEMENTS I would like to express my sincere gratitude to both my Mentors, Robert Leskovar, PHD, Associate Professor, and Co-Mentor, Alenka Brezavšček, PHD, Assistant Professor, for their support and assistance in developing this Diploma work. A very special thank you to my son, too, for all his help with the usual homework which saved me time and that means so very much to me. Thank you so very much to my English Language Editor Lenise Alyce Musich for all of the text work. Thanks to my friends those who believe in me, for their support and encouragement.

3 POVZETEK Diplomska naloga obravnava varnost informacijskih sistemov z vidika standarda BS ISO/IEC 17799:2005. Analiza je bila opravljena v podjetju v Sloveniji, ki je v lasti mednarodne korporacije. Področje informacijske varnosti je obdelano po korakih na osnovi posameznih poglavij ali sekcij standarda ISO/IEC 17799:2005. Ugotovljene so bile določene pomankljivosti, ki lahko povzročijo neželene dogodke, kot so poslovne izgube in prekinitev poslovanja, neprijetna posledica pa je izguba ugleda in lahko tudi obstoja podjetja. Cilj naloge je predvsem ugotavljanje usklajenosti z mednarodnim standardom ISO/IEC 17799:2005 in prikaz navodil, pravil in dobrih navad, ki so se izoblikovali na tem področju. Analizi obstoječega stanja sledijo ugotovitve, priporočila in predlog za razvoj posameznih procesov, katerih rezultat bo usklajena in učinkovita varnostna politika podjetja. KLJUČNE BESEDE ISO 17799, proces, varnost, informacijski sistem

4 ABSTRACT The Diploma assignment discusses Information Technology Security according to standard BS ISO/IEC 17799:2005. Analysis was performed in a Slovenian company, subsidiary of an international corporation. Each information security field was evaluated step by step based on each standard s chapter or section. During the research some deficiencies were found, which can cause unwanted security issues and events like business loss, causing great damage to company reputation and livelihood. The goal of the Diploma work in that case is to find out harmony with International Standard 17799:2005 and to provide the rules, principles and best practices of information security management. Analysis is followed by findings, recommendations and proposals for process development which results in synchronized and efficient company security policy. KEYWORDS ISO standard 17799, Process, Security, Information System

5 KAZALO 1. UVOD METODOLOGIJA OSNOVNI POJMI S PODROČJA VARNOSTI DEFINICIJE STANDARDI NA PODROČJU VARNOSTI INFORMACIJSKIH SISTEMOV STANDARD ISO 17799: DRUŽINA STANDARDOV ISO PROCESNI PRISTOP IN RAZVOJ PROCESOV ŠTUDIJ PRIMERA VARNOSTNA POLITIKA ORGANIZIRANJE INFORMACIJSKE VARNOSTI RAVNANJE Z DOBRINAMI VAROVANJE V ZVEZI S ČLOVEŠKIMI VIRI FIZIČNO IN OKOLJSKO VAROVANJE UPRAVLJANJE KOMUNIKACIJ IN OBRATOVANJA OBVLADOVANJE DOSTOPA NABAVA, RAZVOJ IN VZDRŽEVANJE INFORMACIJSKEGA SISTEMA RAVNANJE OB URESNIČITVI GROŽNJE VARNOSTI UPRAVLJANJE NEPREKINJENEGA POSLOVANJA USKLAJENOST ZAKLJUČNI SKLEPI LITERATURA, VIRI...50 DODATEK A: PRIMER PROCESA...51 KAZALO SLIK...56

6 1. UVOD Zagotavljanje varnosti pomeni vpeljavo različnih varovalnih mehanizmov, ki ščitijo informacije, sisteme in storitve pred nesrečami, napakami in nepooblaščeno uporabo tako, da sta verjetnost in vpliv varnostnih neprijetnih pripetljajev zmanjšana na minimum. Varovalni ukrepi bodisi znižujejo verjetnost uresničitve grožnje, bodisi znižujejo stroške, ki jih uresničitev grožnje lahko povzroči [2]. Vse informacije in sam informacijski proces predstavljajo pomembne poslovne dobrine organizacije. Dostopnost do celovitih informacij v vsakem trenutku je ključnega pomena za delovanje. Obvladovanje varnosti informacijskih sistemov je zato vprašanje poslovanja in ne le tehnično vprašanje. Področje fizičnega in sistemskega varovanja obvladujemo s predpisi, standardi, ki varujejo informacijski sistem pred nepooblaščenimi pristopi, poškodbami in motnjami ter varujejo informacije pred krajo in nezaželeno odtujitvijo. Standard pomeni tehnično specifikacijo za kakovost izdelkov ali storitev, ki jo je odobril priznan standardizacijski organ za večkratno ali trajno uporabo. Vzpostavlja usklajena pravila in določila za ponavljajočo se uporabo, da dosežemo optimalno stopnjo urejenosti na določenem področju. Za področje varnosti informacijskih sistemov je razvitih več standardov, na primer ISO 17799, ISO 15408, ISO/IEC TR in ITSEC, ki jih lahko uporabimo kot vodilo pri vzpostavljanju varnosti IT v podjetju. V nalogi se bom osredotočila na mednarodni standard ISO/IEC 17799:2005, ki izhaja iz standarda BS 7799 in je bil prvič objavljen aprila 1999 v Veliki Britaniji, kot ISO standard pa decembra 2000 [7]. Leta 2002 je izšel BS (drugi del). Junija 2005 je izšla nova, revidirana verzija ISO 17799:2005. [7] Standard vsestransko pokriva področje varnostne problematike. Vsebuje številne kontrolne mehanizme, nekateri od njih so zelo kompleksni. Uskladitev varnostne politike s tem standardom je potemtakem zelo zahtevna naloga. Priporočljivo je, da se dela lotimo po korakih. Najbolje je, da začnemo z analizo obstoječega stanja, ki ji sledi prepoznavanje sprememb, ki so potrebne za doseganje skladnosti. Naslednji korak je planiranje izvedbenih procesov predpisov in navodil, sledi njihova izdelava, zadnja stopnja pa je implementacija izpeljava, ki ji sledi uglaševanje. Janja Žlebnik: Razvoj procesov v IT po standardu (27000) stran 1 od 61

7 2. METODOLOGIJA Diplomska naloga obravnava varnost informacijskih sistemov z vidika standarda BS ISO/IEC 17799:2005. Cilj naloge je prikaz navodil, pravil in dobrih navad, ki so izoblikovani na tem področju in ugotavljanje usklajenosti z mednarodnim standardom ISO 17799:2005 na konkretnem primeru. Analiza je bila opravljena v podjetju v Sloveniji s preko zaposlenimi, ki je v lasti mednarodne korporacije, ki ima svoje podružnice na vseh celinah. Varnostna politika v podjetju se razvija v skladu s korporativnimi in regionalnimi navodili ter trenutnimi potrebami okolja, precej pa je odvisna tudi od trenutne kadrovske usposobljenosti in strokovnosti. Razvoj podjetja na organizacijskem področju v zadnjih nekaj letih je bil dokaj hiter, prestrukturiranju poslovnih procesov pa niso vedno sledile ustrezne spremembe na področju varovanja dobrin informacijske tehnologije. Predvidena metoda dela je študij literature s področja varnosti, predvsem študij standarda ISO/IEC 17799:2005. S pomočjo kontrolnih vprašanj ugotavljamo, ali so posamezna področja skladna, delno skladna ali neskladna s standardom. Analizi obstoječega stanja sledijo ugotovitve, priporočila in predlogi za razvoj posameznih procesov. Pričakovani rezultati naloge so ugotavljanje ranljivosti sistema z analizo varnostnih kontrol ter predlogi za razvoj procesov, ki bodo pomagali pri upravljanju in zagotavljanju delovanja informacijskega sistema, njegovi varnosti ter pri usposabljanju in izobraževanju uporabnikov. Skupaj z identifikacijo in vrednotenjem dobrin informacijskega sistema, ki bi jo bilo potrebno še narediti, naj bi priporočen sistemski pristop z uvedbo ustreznih procesov privedel do usklajene in učinkovite varnostne politike, zmanjšanju poslovnih tveganj in izgub ter izboljšanju ugleda podjetja. Predstavljal bi prvi korak k vzpostavitvi sistema za upravljanje informacijske varnosti (v nadaljevanju SUIV), kot je navedeno v standardu ISO/IEC 17799:2005. Učinkovitost procesov varovanja informacijskega sistema kasneje ugotavljamo z notranjimi in zunanjimi presojami v določenih časovnih presledkih. Janja Žlebnik: Razvoj procesov v IT po standardu (27000) stran 2 od 61

8 3. OSNOVNI POJMI S PODROČJA VARNOSTI Slika 1 prikazuje poglavitne odnose med elementi, ki so povezani z upravljanjem tveganja. izrabljajo GROŽNJE RANLJIVOSTI ščitijo pred povečujejo povečujejo izpostavljajo zmanjšajo ZAŠČITE TVEGANJA DOBRINE izpolnjujejo nakazujejo povečujejo imajo ZAHTEVE PO ZAŠČITI VREDNOSTI (torej možne poslovne posledice) Slika 1 : Enostaven relacijski diagram odnosov pri upravljanju tveganja Povzeto po : BS ISO/IEC TR [1] 3.1. DEFINICIJE Standardi so dokumenti, ki določajo pravila, značilnosti in norme nekega izdelka oziroma dejavnosti. Temeljijo na priznanih rezultatih znanosti, tehnike, izkušenj in dobrih praks, pokrivajo pa različna področja, med drugim tudi varnost informacijskih sistemov. Elementi oziroma dobrine informacijskih sistemov so: º Podatki in informacije tudi aplikacije in avtomatizirani postopki poslovnih funkcij º Tehnologija strojna in sistemska programska oprema, omrežja, sistemi za upravljanje z bazami podatkov º Ljudje njihova znanja in izkušnje Janja Žlebnik: Razvoj procesov v IT po standardu (27000) stran 3 od 61

9 Grožnja je nevarnost, ki vpliva na varnost pomeni izgubo ene ali več značilnosti zaupnosti, celovitosti in dostopnosti dobrin, kar potencialno lahko povzroči okvaro ali celo izgubo teh dobrin [3]. Ranljivost je šibkost ali pomanjkanje nadzora, ki lahko olajša ali dopusti pojav ogroženosti dobrin. Ranljivost lahko izhaja iz opustitve ali se nanaša na slabosti v moči nadzora, njegovi celovitosti ali doslednosti; lahko je tehnična, postopkovna ali operativna. Tveganje je verjetnost, da bo prišlo do poškodbe, izgube dobrin ali drugih neželenih dogodkov, je verjetnost, da se bo grožnja uresničila. Varnostni ukrep je praksa, proces ali mehanizem, ki zmanjšuje tveganje. Cilji zagotavljanja varnosti so : Zaupnost občutljive poslovne informacije in postopki so dostopni samo pooblaščenim osebam. Zagotavljanje zaupnosti pomeni preprečevanje namernega ali naključnega nepooblaščenega razkritja vsebine nekega podatka ali informacije. Celovitost, neokrnjenost poslovni dogodki so organizirani tako, da lahko preverjamo spreminjanje informacij in postopkov oziroma da le-ti niso neavtorizirano spremenjeni. Podatki in informacije so neprotislovni, konsistentni. Dostopnost in razpoložljivost potreba, da so poslovne informacije in procesi po potrebi dostopni in razpoložljivi pooblaščenim osebam. Razpoložljivost zagotavlja zanesljiv in pravočasen dostop do poslovnih informacij ter procesov. ovrgljivost procesi in postopki so organizirani tako, da omogočajo sledenje in dokazovanje storjenega dejanja. Slika 2 prikazuje osnovne elemente varnega okolja. Slika 2: Varno okolje Temelja pri izbiri varnostnih oziroma zaščitnih ukrepov sta analiza tveganja in varnostna politika. Janja Žlebnik: Razvoj procesov v IT po standardu (27000) stran 4 od 61

10 Analiza tveganja je preliminarna aktivnost pri oblikovanju varnostne politike. Identificirati moramo dobrine in poznati možne grožnje v določenem okolju. S postopkom na podlagi vrednotenja dobrin, obstoječih groženj in ranljivosti ugotavljamo in določamo sprejemljivo raven tveganja. Pri zaščiti informacijskih sistemov moramo najti uravnovešenost med preveliko varnostjo, ki pomeni zelo restriktivno uporabo in visoke stroške ter premajhno varnostjo, ki pomeni neomejeno uporabo dobrin in nizke»vidne«stroške. Metoda za izvedbo analize tveganja je lahko kvantitativna ali kvalitativna. º Kvantitativna analiza tveganja, ki se redkeje uporablja, upošteva verjetnost, da se grožnja uresniči in poslovno škodo, ki nastane zaradi tega. Izraža se kot produkt pogostosti uresničitve grožnje in pričakovanih stroškov zaradi uresničitve te grožnje v določenem časovnem obdobju (Risk = Probability X Cost). [5]. º Kvalitativno analizo tveganja uporabimo kadar parametrov za verjetnost uresničitve grožnje (probability) in stroškov (cost), ki bi nastali pri tem, ne znamo natančno opredeliti. Upoštevamo le največja tveganja in pričakovane možne izgube [13]. Varnostna politika je preventivni mehanizem, ki ščiti informacije in podatke podjetja. Je formalni zapis varovalnih mehanizmov in pravil, ki jih morajo upoštevati vsi zaposleni, ki imajo dostop do dobrin informacijske tehnologije. Podrobno določa varnostne zahteve in varovalne mehanizme v neki organizaciji v obliki predpisov in navodil, ki definirajo posamezne procese. Varnostna politika naj bo enostavna. Če je komplicirana, obstaja velika verjetnost, da bo neuspešna in draga. Druga zahteva je medsebojna usklajenost. Bolje je imeti minimalen vendar skladen nivo varnosti kot visoko zaščito nekaterih sistemov in odprtost drugih, odvisnih sistemov. Najpomembneje pa je, da se držimo preverjenih standardov, ker laže vrednotimo in preverjamo sistem varovanja. Izgradnja varnostne politike je proces, ki se nikoli ne konča. Zaščito informacij in procesov lahko izboljšamo, če : º Poznamo katere informacije in procese je potrebno zaščititi º Prepoznamo grožnje in ocenimo možne posledice º Izračunamo tveganje in se odločimo, kakšno tveganje je še sprejemljivo º Protiukrepi : razvijemo strategijo, ki zmanjšuje tveganje na sprejemljiv nivo º Uvedemo ustrezno strategijo, jo preverimo in uravnamo º Poznamo več modelov ali pristopov za izboljšanje sistema za upravljanje informacijske varnosti ali kratko SUIV, vsem pa je skupno to, da je podpora vodstva ključna za izvedbo. Odnos vodstva do informacijske varnosti ima močan vpliv na obnašanje zaposlenih in njihov odziv na uvajanje varnostnih ukrepov. Vodstvo mora prepoznati varnostne grožnje in zagotoviti ustrezne zaščitne ukrepe. S standardom BS je bil v SUIV uveden model PDCA (Plan-Do-Check-Act) oziroma načrtuj naredi preveri - ukrepaj. To je pristop, ki pomaga pri razvoju, implementaciji, kontroli in izboljšanju učinkovitosti SUIV v podjetju. [8] Janja Žlebnik: Razvoj procesov v IT po standardu (27000) stran 5 od 61

11 3.2. STANDARDI NA PODROČJU VARNOSTI INFORMACIJSKIH SISTEMOV STANDARD ISO 17799:2005 ISO 17799:2005 je najobsežnejši mednarodni standard za področje varnosti informacijskih sistemov. Razdeljen je v poglavja ali sekcije [9]. Uvodna poglavja: 0. Uvod (Introduction) 1. Namen standarda (Scope) 2. Pojmi in definicije (Terms and Definitions) 3. Struktura standarda (Structure of this Standard) 4. Ocenjevanje in obravnavanje tveganj (Risk Assessment and Treatment) V naslednjih poglavjih so obdelana posamezna področja informacijske varnosti: 5. Varnostna politika (Security Policy) 6. Organiziranje informacijske varnosti (Organising of Information Security) 7. Ravnanje z dobrinami (Asset Management) 8. Varovanje v zvezi s človeškimi viri (Human Resouces Security) 9. Fizično in okoljsko varovanje (Physical and Environmental Security) 10. Upravljanje komunikacij in obratovanja (Communications & Operations Management) 11. Obvladovanje dostopa (Access Control) 12. Nabava, razvoj in vzdrževanje informacijskega sistema (Information Systems Acquisition, Development and Maintenance) 13. Ravnanje ob uresničitvi grožnje varnosti (Information Security Incident Management) 14. Upravljanje neprekinjenega poslovanja (Business Continuity Management) 15. Usklajenost (Compliance) DRUŽINA STANDARDOV ISO Standardi nikakor niso statični dokumenti. Po pravilih mednarodni odbor, ki je zadolžen za posamezen standard, opravi periodični pregled vsakih pet let. Rezultat pregleda so na novo določena stanja, in sicer je standard lahko [10] : º Potrjen brez sprememb º Potrjen z manjšimi spremembami º Revidiran (uvedene so pomembne spremembe) º Umaknjen º Deklariran kot zastarel in odpisan Standard ISO/IEC je bil junija 2005 revidiran in zadnjič izdan pod številko British Standards Institution je namreč rezerviral oziroma določil, da se za standarde informacijske varnosti v prihodnosti uporabljajo številke od dalje. Janja Žlebnik: Razvoj procesov v IT po standardu (27000) stran 6 od 61

12 ISO Dokument ISO bo vseboval temeljne principe in pojmovnik, uporabljen v vsej družini standardov, ki zadevajo varnost informacijske tehnologije. [12] ISO Standard je bil objavljen oktobra 2005 in v bistvu zamenjuje stari BS standard, ima razširjeno vsebino in je skladen z drugimi standardi te družine. Vsebuje specifikacije, ki jim mora za sistem upravljanja informacijske varnosti SUIV (ISMS Information Security Management System) v organizaciji ustrezati, da je v skladu z BS Dokument je osnova za pridobitev ISO certifikata varnosti IS. [11] ISO Ta številka je v bistvu rezervirana za novo izdajo ISO (zadnja ima datum 15. junij 2005), to je Tehnike varnosti pravila in dobre prakse pri izvajanju in upravljanju informacijske varnosti. Dokument bo izdan predvidoma leta 2006 ali [11] ISO Številka je rezervirana za standard oziroma dokument, ki bo vseboval napotke za vzpostavitev sistema za upravljanje informacijske varnosti (Information Security Management System Implementation Guidelines). [12] ISO Številka bo dodeljena standardu, ki bo pokrival merila sistema za upravljanje informacijske varnosti (Information Security Management System Metrics and Measurements). Izid tega standarda je načrtovan za leto [12] ISO Dokument bo vseboval navodila za obravnavanje tveganj, povezanih s sistemom za upravljanje informacijske varnosti (Guidelines for Information Security Management System Risk Management). Njegov izid je načrtovan sredi leta [12] ISO Verjetno bo to nov standard z navodili za planiranje neprekinjenega poslovanja in povrnitev delovanja v primeru izpada informacijske ali komunikacijske tehnologije (Business Continuity Management). [12] Janja Žlebnik: Razvoj procesov v IT po standardu (27000) stran 7 od 61

13 3.3. PROCESNI PRISTOP IN RAZVOJ PROCESOV KAJ JE PROCESNI PRISTOP bi bilo fizično in okoljsko varovanje učinkovito, morajo biti identificirane in vodene številne povezane aktivnosti. Za identifikacijo potrebnih aktivnosti nam služi standard, način, kako jih bomo med seboj povezali in uskladili pa določimo na osnovi analiz in potreb sami. Med seboj povezane in usklajene aktivnosti lahko imenujemo proces. Prepoznavanje in vodenje med seboj povezanih procesov kot sistema pa nam omogoča sistematično in celovito uvajanje sprememb, njihovo spremljanje in dopolnjevanje. Sistem kot struktura mora imeti jasno določene odgovornosti, postopke in sredstva, ki omogočajo vzpostavitev učinkovitega in urejenega varovanja informacijskega sistema. Za sistem procesov z njihovo identifikacijo in medsebojnimi vplivi uporabljamo metodološki pristop od zgoraj navzdol. RAZVOJ PROCESOV S pomočjo standarda ISO 17799:2005 identificiramo aktivnosti, ki so potrebne za zagotovitev ustrezne ravni varnosti na posameznem področju. Vse aktivnosti opišemo in zanje izdelamo predpise in navodila. V predpisu grafično predstavimo diagram procesa, če je to smiselno, določimo odgovornosti in pristojnosti ter opišemo vsebino aktivnosti, torej nalog in opravil. V navodilih opišemo vsebino in obliko vseh dokumentov, ki podpirajo delovanje tega procesa. Pri opisovanju procesa je treba opredeliti : - odgovornosti in pooblastila - kaj smemo delati - kdo je lastnik procesa, torej kdo sprejema cilje in odločitve - kaj je cilj procesa - kako se proces izvaja (enkratna naloga, npr. instalacija digitalnega potrdila, stalna naloga kot zaščita računalnika pred nepooblaščenim pristopom, ko zapustimo delovno mesto) - kako se izvaja nadzor nad procesom - ali so rezultati procesa enaki pričakovanim rezultatom Naslednji koraki so opis sedanjega stanja po posameznih sekcijah, priprava izvedljive rešitve v skladu s standardom in sprejemljivim tveganjem, ki jim sledi izvedba predlagane rešitve ter preverjanje in ocenjevanje rezultatov teh sprememb. Vsi postopki morajo biti izvedeni celovito in strokovno. Prednost takega pristopa je predvsem usmerjanje zaposlenih k definiranim skupnim ciljem, to je varnosti informacijskega sistema. Procesi varovanja informacijskega sistema so učinkoviti, če so : - definirani procesi so natančno opisani v predpisih in navodilih - uveljavljeni postopkov ne izvajamo»na pamet«- so predmet izobraževanja in usposabljanja za delo - imajo urejeno lastništvo Janja Žlebnik: Razvoj procesov v IT po standardu (27000) stran 8 od 61

14 4. ŠTUDIJ PRIMERA Podjetje ima okrog 1500 zaposlenih, približno 600 je neposrednih uporabnikov storitev informacijskega sistema. Osnovne varnostne smernice so določene globalno, na nivoju korporacije, nekatere regionalno predvsem ukrepanje v primeru izrednih dogodkov, kot so potres, požar, poplava ali bombni napad, ostale pa na nivoju podjetja. Zaradi različne strukture omrežij na posameznih lokacijah je to najbolj optimalno. Informacijski sistem v podjetju je kompleksen, saj vsebuje različne sisteme, različne vrste aplikacij in podatkovnih baz in različne vrste uporabnikov, ki so, glede na potrebe dela, povezani v različna omrežja, od lokalnih in globalnega. Na sliki 3 je shematično prikazano omrežje podjetja in glavne komunikacijske poti v njem. Slika 3 : Shematičen prikaz omrežja Varnostna politika v podjetju ni definirana sistematično in celovito. Izvajajo se le določeni varnostni ukrepi, glede na znanje in izkušnje zaposlenih. Prav tako ni celovitega izobraževanja na tem področju ali pa le-to neprimerno glede na raven znanja neposrednih uporabnikov. Študij primera je zasnovan na osnovi posameznih sekcij standarda BS ISO/IEC 17799:2005 [5] analiza je narejena s pomočjo kontrolnih vprašanj. Ugotovitve so neposredni odgovor na vprašanje o usklajenosti s standardom in odkrivajo varnostne pomanjkljivosti v sistemu. Na podlagi teh ugotovitev so napisana priporočila in sestavljen seznam procesov, ki jih je treba kreirati. Janja Žlebnik: Razvoj procesov v IT po standardu (27000) stran 9 od 61

15 V nadaljevanju so v tabelah s pomočjo vprašanj pregledane posamezne kontrole, ki jih vsebuje standard. Ta pregled pokaže osnovne slabosti in pomanjkljivosti sistema, ki so zbrane v ugotovitvah in priporočilih. Rezultat pregleda je predlog procesov, ki bi jih bilo treba izdelati za posamezno področje. Procesi se izdelajo v obliki predpisov in v povezavi z navodili. Primer procesa je prikazan v dodatku A. Janja Žlebnik: Razvoj procesov v IT po standardu (27000) stran 10 od 61

16 4.1. VARNOSTNA POLITIKA Sekcija varnostne politike pokriva področje podpore vodstva pri upravljanju varnosti podatkov in informacij. Standard Sekcija Kontrolno vprašanje Ugotovitve 5.1. INFORMACIJSKA VARNOSTNA POLITIKA Dokumenti Ali je dokument, ki vsebuje varnostne informacijsko varnostno politike politiko, vodstvo odobrilo? Je dokument objavljen in Dokument je so z njim seznanjeni vsi objavljen, zaposleni? vendar z njim niso seznanjeni Ocenjevanje in vrednotenje varnostne politike So v dokumentu opisani okviri varnostnih ciljev in kontrol, vključno z analizo tveganja in postopki ravnanja s tveganji? Vsebuje dokument jedrnate opise usmeritev, načel, standardov in usklajenosti z zakoni in predpisi? Vsebuje dokument ustrezne reference na predpise, ki bolj natančno opredeljujejo posamezne vidike varnosti in SUIV? Ima dokument lastnika, ki je odgovoren za vzdrževanje in ocenjevanje v skladu s predpisom za ocenjevanje? Ali je določen časovni interval ocenjevanja in vrednotenja varnostne politike podjetja? Ali se dokumenti varnostne politike redno preverjajo? Ali se dokumenti varnostne politike redno usklajujejo in izboljšujejo? vsi zaposleni Delno Delno Janja Žlebnik: Razvoj procesov v IT po standardu (27000) stran 11 od 61

17 UGOTOVITVE Ugotovimo lahko, da je varnost informacijskih sistemov deklarativno urejena, vendar obstajajo slabosti. Varnostna politika ne more biti učinkovita, če se ne zavedamo nevarnosti. Zaposleni morajo vedeti, da varnostna politika obstaja, kaj vsebuje in kje je objavljena oziroma dostopna. Podjetje se ne spreminja, spremenijo se ljudje v njem in ljudje torej spremenijo podjetje. Klimo v podjetju spremenimo z dobrimi zgledi in podporo vodstva. Izobraževanje pomaga zaposlenim v procesu sprememb njihovega dela v želeno smer. Varnostna politika se ne preverja redno, ne usklajuje in ne izboljšuje PRIPOROČILA 1. Varnostna politika podjetja mora biti dobro dokumentirana. Za različne kategorije uporabnikov, vodstvo, skrbnike sistema, končne uporabnike, pripravimo ločena navodila. 2. Dokumenti za končne uporabnike naj bodo v obliki kratkih, jasnih in razumljivih navodil. 3. Varnostni ukrepi so učinkoviti le, če je osebje ustrezno usposobljeno. Pomembno je, da razumejo vsebino. To lahko dosežemo s notranjimi izobraževanji. Naučimo uporabnike, kako se uporablja omrežje, kako naj rokujejo z občutljivimi informacijami, kako hranijo podatke itd. Poučimo jih tudi, kako reagirati v primeru uresničitve varnostnih groženj, koga naj pokličejo in kje lahko dobijo pomoč. 4. Določimo časovne intervale, v katerih skrbnik preveri vsebino in po potrebi vnese v dokumentacijo ustrezne popravke PROCESI Kreiramo naslednje dokumente : º Analiza in upravljanje tveganj º Krovni dokument varnostne politike podjetja º Dokumenti procesov za posamezne kategorije uporabnikov Janja Žlebnik: Razvoj procesov v IT po standardu (27000) stran 12 od 61

18 4.2. ORGANIZIRANJE INFORMACIJSKE VARNOSTI Bistveni zahtevi, ki sta podani pri organizaciji zaščite v podjetju, sta skrb za pravilno gospodarjenje z informacijami in upravljanje z informacijsko varnostjo ter opredelitev varnostnih zahtev pri navezavi stikov z drugo organizacijo. Standard Sekcija Kontrolno vprašanje Ugotovitve 6.1. NOTRANJA ORGANIZACIJA Zavezanost Ali obstaja forum za Za vodstva pri upravljanje, ki ima jasne cilje upravljanje z doseganju informacijske varnosti in podpira varnostne pobude v podjetju? informacijsko varnostjo je odgovorna ena oseba, ki sama delegira vse naloge Ali so določeni jasni cilji za Delno doseganje informacijske varnosti? Ali so zagotovljena potrebna Delno sredstva za zagotavljanje informacijske varnosti? Ali je zagotovljeno upravljanje in koordiniranje uvajanja informacijske varnosti v celotnem Koordinacija informacijske varnosti podjetju? Ali obstaja skupina strokovnjakov iz vseh nivojev upravljanja za koordinacijo in uvedbo varnostnih predpisov? Ali je upravljanje informacijske varnosti v skladno z dokumenti varnostne politike podjetja? Ali so prepoznane in dokumentirane neskladnosti z varnostno politiko? Ali so prepoznane bistvene spremembe groženj in izpostavljenost informacij do spremenjenih groženj? Ali se izvaja načrtno izobraževanje in osveščanje uporabnikov? Upravljanje se izvaja samo iz enega oddelka Janja Žlebnik: Razvoj procesov v IT po standardu (27000) stran 13 od 61 Delno

19 Standard Sekcija Kontrolno vprašanje Ugotovitve Delitev Ali je odgovornost za odgovornosti za posamezna področja doseganje informacijske zagotavljanja informacijske varnosti jasno definirana? varnosti podjetja Ali so prepoznane vse dobrine posameznih sistemov v podjetju? Ali so dokumentirane pristojnosti za vsako dobrino informacijskega sistema? Ali so prepoznane in Delno dokumentirane vse ravni Postopek pooblaščanja za uporabo delovnih sredstev Dogovor o zaupnosti pooblastil? Ali obstaja upravljanje postopka pooblaščanja za vsako novo strojno in programsko opremo? Ali se preverja skladnost nove programske in strojne opreme? Ali se preverja skladnost programske in strojne opreme z drugimi prvinami sistema? Ali se preverja skladnost uporabe privatnih naprav za službene namene? Ali se uporablja klasifikacija za določitev ravni zaupnosti poslovnih informacij in podatkov? Ali vsi zaposleni podpišejo izjavo o zaupnosti poslovnih informacij? Je določen postopek o trajanju zaupnosti poslovnih informacij po prekinitvi delovnega razmerja? So definirana pooblastila za uporabo zaupnih informacij? So določeni postopki za nadzor nad uporabo zaupnih informacij? Je določen postopek za obveščanje v primeru nepooblaščene uporabe zaupnih informacij? Janja Žlebnik: Razvoj procesov v IT po standardu (27000) stran 14 od 61

20 Standard Sekcija Kontrolno vprašanje Ugotovitve Sodelovanje med Ali so vzpostavljeni kontakti Samo za organizacijami s strokovnjaki področja področje prava, telekomunikacijskih telekomunikacij storitev in podobno, da v primeru uresničitve grožnje varnosti lahko dobimo nasvet in pravilno ukrepamo? Sodelovanje s strokovnjaki Ali je vzpostavljeno sodelovanje z zunanjimi strokovnjaki za varnost zaradi izmenjave izkušenj? odvisna presoja Ali se izvaja neodvisna varnosti IS presoja varnosti IS? 6.2. POSLOVANJE S TRETJO STRANKO Prepoznavanje Ali so tveganja, ki jih tveganj, povezanih predstavlja poslovanje s s poslovanjem s tretjo stranko, prepoznana in tretjo stranko so implementirane ustrezne Prepoznavanje tveganj, povezanih s sklepanjem pogodb s strankami varnostne kontrole? Ali so prepoznana tveganja, ki jih predstavlja poslovanje s tretjo stranko, ki dela na lokaciji in ali se izvaja ustrezno varovanje? Ali se beleži dostop tretjih strank do dobrin informacijskega sistema? Ali je uveden nadzor nad delom tretjih strank? Ali je definirana odgovornost tretjih strank v primeru uresničitve varnostne grožnje? Ali se pri sklepanju pogodb s strankami v pogodbe vključijo varnostne zahteve v skladu z varnostno politiko in standardi podjetja? Ali pogodbe s strankami vsebujejo točen opis predvidenih storitev? Ali so v pogodbe s strankami vključene sistemske zahteve, ki omogočajo uporabo storitev? Janja Žlebnik: Razvoj procesov v IT po standardu (27000) stran 15 od 61 Delno Delno Delno Samo v tistih pogodbah, ki zadevajo informacijsko tehnologijo; delno

21 Standard Sekcija Kontrolno vprašanje Ugotovitve Ali je v pogodbah s strankami vključena pravica do nadzora uporabe storitev? Ali je v pogodbe s strankami vključena zaščita intelektualne lastnine podjetja? Ali je v pogodbe s strankami vključena obveza o spoštovanju obveznosti za obe strani, tako podjetje kot stranko? Prepoznavanje Ali so tveganja, ki jih Delno tveganj, povezanih predstavlja poslovanje z z zunanjimi zunanjimi izvajalci, izvajalci prepoznana in so (outsourcing) implementirane ustrezne varnostne kontrole? Ali je zagotovljena zaščita Delno dobrin informacijskega sistema? Ali je vključena odgovornost za vzdrževanje strojne in programske opreme? Ali so določeni postopki za Delno poročanje in definirane oblike poročanja? Ali so določeni postopki za upravljanje sprememb? Ali je v dogovor vključena pravica podjetja do nadzora uporabe dobrin? UGOTOVITVE Prva pomanjkljivost, ki jo opazimo na področju infrastrukture informacijske varnosti, je odsotnost ekipe strokovnjakov. Za podjetje z velikim številom uporabnikov je potrebna delovna ekipa. Uspeh zagotavljajo najprej in predvsem pravilne delovne navade, kreiranje ozračja, kjer se vsi zavedajo pomena varnosti ter imajo discipliniran pristop k delu. To najlaže dosežemo, če vključimo v ekipo upravljavske strukture vseh oddelkov podjetja in poudarimo pomen varnosti za nemoten potek delovnega procesa, predvsem s poslovnega in ne toliko tehničnega vidika. Koordinacija informacijske varnosti je v glavnem neskladna s standardom, prav tako sodelovanje z drugimi organizacijami in strokovnjaki. Manjše neskladnosti najdemo pri delitvi odgovornosti, pooblaščanju za uporabo delovnih sredstev in dogovoru o zaupnosti. Poslovanje s tretjimi strankami je prav tako le delno skladno s Janja Žlebnik: Razvoj procesov v IT po standardu (27000) stran 16 od 61

22 standardom. Področje varovanja pred vstopom tretjih oseb je urejeno s pomočjo elektronskega varovanja. Vstop je dovoljen le pooblaščenim osebam, ki skrbijo za informacijsko infrastrukturo. Za notranje uslužbence je torej sistem urejen, podre pa se v primeru, ko je v prostore treba zagotoviti vstop zunanjim vzdrževalcem podpornih sistemov klimatskih naprav, telekomunikacijskih vodov in podobno. Vstop jim omogoči pooblaščena oseba, nadaljnje kontrole pa ni. Še bolj je to očitno v proizvodnji, kjer za vstop ne potrebujejo posebnega dovoljenja, gibljejo pa se v okolici občutljivih informacijskih sistemov za vodenje proizvodnje. Kljub temu, da so v pogodbe vključeni postopki za vzdrževanje in preverjanje opreme, fizično varovanje in vzdrževalne postopke v primeru nepredvidenih dogodkov, je to včasih neživljenjsko električar bo svoje delo zaključil, ko bo zagotovil priklop in nemoteno oskrbo z električno energijo. Ali je zaradi izpada prišlo do izgube ali popačenosti podatkov ter informacij, ga ne zanima PRIPOROČILA V delovno skupino za upravljanje informacijske varnosti vključimo vodje oddelkov, da zagotovimo koordinacijo v celotnem podjetju. Načrtno osveščamo uporabnike. pooblaščen dostop omejimo fizično, z uporabo elektronskih ključavnic in programsko, z uvedbo sistema prijave. Za dodelitev in uporabo pravic lahko uporabimo pravilo»dveh ljudi«- kjer drug drugega nadzirata ali pravilo»ločevanje dolžnosti«- vsak opravi samo svoj del naloge, celote ne vidi nihče od njiju. Redno preverjamo dnevnike in konfiguracijo. Začasne uporabniške račune in pravice takoj po uporabi ukinemo. Komunikacijske poti po servisiranju zapremo. Če se opravljajo vzdrževalna dela v drugih oddelkih podjetja, zagotovimo, da je služba za informacijsko tehnologijo o tem obveščena. Po potrebi naj zagotovi ustrezno podporo in nadzor. Strokovnjaki za področje varnosti IS naj se vključujejo v zunanje interesne skupine, kjer lahko dobijo koristne informacije in napotke. V rednih časovnih intervalih naj varnostno politiko preveri usposobljena, neodvisna inštitucija za revizijo informacijskih sistemov PROCESI Kreiramo naslednje dokumente : º Krovni dokument infrastrukture informacijske varnosti º Dokumenti procesov za koordinacijo postopkov º Načrt klasifikacije nivojev zaupnosti poslovnih informacij º Dokumenti za dodelitev pooblastil in odgovornosti º Postopki povezave z drugimi strokami in strokovnjaki º Politiko preverjanja varnosti IS s pomočjo neodvisnih izvajalcev º Načrt varovanja strojne in programske opreme º Postopek varovanja in preverjanja tretjih oseb in zunanjih izvajalcev º Seznanjanje zunanjih izvajalcev z varnostno politiko Janja Žlebnik: Razvoj procesov v IT po standardu (27000) stran 17 od 61

23 4.3. RAVNANJE Z DOBRINAMI V tem poglavju so podane smernice za vzdrževanje in ohranitev primerne stopnje zaščite dobrin podjetja, ki mora biti registrirano v ustrezni obliki (inventura dobrin). Standard Sekcija Kontrolno vprašanje Ugotovitve 7.1. ODGOVORNOST ZA DOBRINE Identifikacija Ali se inventura oziroma obstaja dobrin register dobrin pravočasno formalno, dopolnjuje z novimi zapisana v informacijami in podatki? dokumentu Ali obstajajo seznami informacij (podatkov in podatkovnih baz, pogodb, sistemske dokumentacije, priročnikov ipd)? Ali obstaja seznam Delno programske opreme? Ali obstaja seznam strojne Delno opreme? Ali obstaja seznam poslovnih procesov? Ali obstaja seznam ljudi, popoln njihove usposobljenosti, spretnosti in izkušenj? Ali se zaposleni zavedajo, da je ugled in ime podjetja treba varovati? Lastništvo dobrin Ali imajo posamezne dobrine znane lastnike? Primerna raba Ali so postavljena pravila za, vendar se dobrin, dobrin primerno rabo elektronske ne preverja pošte in interneta? Ali so postavljena pravila za primerno rabo mobilnih naprav? 7.2. RAZVRSTITEV INFORMACIJ Smernice za razvrščanje Označevanje informacij in ravnanje z njimi Ali obstajajo sheme in smernice za razvrščanje informacij, ki pomagajo določiti ravnanje z informacijami in njihovo zaščito? Je definiran zbir postopkov za označevanje informacij in ravnanje z njimi glede na organigram podjetja?, vendar se ne preverja, znanje in vedenje je zgolj neformalno Janja Žlebnik: Razvoj procesov v IT po standardu (27000) stran 18 od 61

24 UGOTOVITVE Podjetje mora zapisati, vzdrževati in tekoče urejati svojo podatkovno bazo informacijskih dobrin, je zapisano v standardu. Kot vidimo, je to področje neurejeno in zato ne ustreza standardu 17799:2005. Pomembnost dobrin je določena zgolj formalno, ni pa analizirana, ovrednotena in zapisana. Zaradi neurejenosti ni možno določiti lastnikov posameznih delov premoženja oziroma posameznih dobrin. Preverjanje ustrezne rabe se ne izvaja. Vzpostaviti je treba seznam premoženja glede na vrsto dobrin (informacije, programska oprema, fizični viri, kot so računalniška oprema in mediji, storitve ter ljudje) in jih redno vzdrževati. S tem si olajšamo načrtovanje nove opreme in novih dobrin, ugotovimo lahko, če kaj manjka. Informacije lahko definiramo kot podatke z različno pomembnostjo. Pomembnost je tisto, kar varujemo. Zaupne ali pomembne informacije podjetja se lahko zaradi napačne uporabe izgubijo ali pokvarijo, kar je za poslovanje ponavadi kritično. Če podatki niso urejeni po pomembnosti in zaupnosti, je zelo težko bolje ščititi pomembne informacije ker sploh ne vemo natančno, katere so to. Če nimamo skrbnika za vsako dobrino, tudi težko zagotovimo ustrezno varovanje in kontrolo dostopa PRIPOROČILA Vse vrste premoženja razvrstimo glede na zaupnost, občutljivost, vrednost in kritičnost. Ustrezno jih označimo, da uporabniki takoj vidijo, s kakšno vrsto premoženja delajo in kako morajo z njim ravnati. Zaupni in strogo zaupni podatki zahtevajo ločeno in strožje varovanje. Obvezno vzdržujemo popise vseh vrst opreme PROCESI Kreiramo naslednje dokumente : º Seznam dobrin glede na vrsto dobrine º Lastništvo dobrin º Pravila primerne rabe posameznih dobrin º Organigram º Smernice za razvrščanje dobrin po posameznih kategorijah uporabnikov º Dokumenti načinov označevanja informacij glede na zaupnost, vrednost, občutljivost in kritičnost Janja Žlebnik: Razvoj procesov v IT po standardu (27000) stran 19 od 61

25 4.4. VAROVANJE V ZVEZI S ČLOVEŠKIMI VIRI Področje obravnava postopke, ki se opravljajo pred sklenitvijo zaposlitve, med njo in po prekinitvi ali menjavi le-te. Standard Sekcija Kontrolno vprašanje Ugotovitve 8.1. POSTOPKI PRED SKLENITVIJO ZAPOSLITVE Vključitev varnosti Ali so varnostne vloge in kot odgovornosti odgovornosti ustrezno pri delu opisane? Pregledovanje in Ali je preverjanje kontrola kandidatov pred kandidatov za zaposlitvijo stalna praksa? zaposlitev Zahteve in pogoji Ali se od kandidatov za. Zahteva se za zaposlitev zaposlitev zahteva podpis sicer podpis dokumenta o odgovornosti za varnost IS? obrazca v ang., zato je pravno neustrezen 8.2. POSTOPKI MED TRAJANJEM ZAPOSLITVE Vpeljava in Ali vodstvo nadzira seznanitev z vpeljavo novo zaposlenih in varnostno politiko pripravlja ustrezna navodila? Prepoznavanje Ali se zaposleni zavedajo nevarnosti, groženj in so ustrezno učenje in trening izobraženi? Disciplinski postopek Je predpisan formalni disciplinski postopek za uslužbence, ki kršijo varnostno politiko? 8.3. PREKINITEV ALI MENJAVA ZAPOSLITVE Odgovornosti ob Ali so jasno definirani prekinitvi ali postopki in odgovornosti ob menjavi prekinitvi ali menjavi zaposlitve zaposlitve? Vračanje dobrin Ali je definiran postopek vračanja vseh dobrin podjetja? Odvzem dostopnih pravic Ali se pravice dostopa do posameznih dobrin ukinejo nemudoma po prekinitvi ali menjavi zaposlitve? Seznanjanje ni sistematično in celovito Delno, glavnem neustrezno v Janja Žlebnik: Razvoj procesov v IT po standardu (27000) stran 20 od 61

26 UGOTOVITVE Opredelitev varnosti v opisu delovnega mesta je pomanjkljiva in zato neustrezna. Pogodba o zaposlitvi ureja pogoje in obveznosti med delodajalcem in zaposlenim. Običajno je napisana splošno, njena vsebina je odvisna od vrste podjetja, pozicije zaposlenega in podobno. Ker postaja informacijska varnost vse pomembnejša, mora biti izrecno navedena tudi v pogodbi v zaposlitvi. Če to ni navedeno, lahko zaposleni dobi napačen vtis, da ni odgovoren za varnost informacijskih sistemov. Podobno lahko reagiramo tudi ob odhodu delavca iz podjetja podpis dogovora, da ne bo razkrival notranjih informacij podjetja. Izobraževanje zaposlenih v smislu varovanja podatkov in informacij ni sistematično in zato le delno ustreza. Delno so v skladu s standardom le postopki za reagiranje ob uresničitvi groženj varnosti PRIPOROČILA 1. Opise delovnih mest ustrezno dopolnimo. 2. Ustrezno ravnanje naj se začne že pred zaposlitvijo po možnosti preverjamo predvsem kandidate za odgovorna delovna mesta, ki bodo upravljali z občutljivimi informacijami in podatki. 3. Za vse novo zaposlene pripravimo uvajalni seminar o varnosti informacijskih sistemov, seznanimo jih s politiko varnosti v podjetju. Prepovedano je vse, kar ni posebej dovoljeno. 4. Izobraževanje izvajamo na več načinov preko elektronske pošte, v obliki novic na intranetu, z video predstavitvami in treningi v živo, organiziramo seminarje za vse zaposlene po oddelkih ponovimo obstoječe znanje in jih seznanimo z novostmi na tem področju. Obseg izobraževanja je odvisen od pomembnosti delovnih nalog PROCESI Kreiramo naslednje dokumente : º Uredimo sistemizacijo in vanjo vključimo odgovornosti in zahteve za doseganje informacijske varnosti º Predpišemo disciplinske ukrepe in njihovo izvajanje º Predpišemo postopek za podpis dogovora o zaupnosti º Pripravimo redne letne in mesečne načrte izobraževanja zaposlenih º Pripravimo postopke za potrebe izrednih izobraževanj uslužbencev Janja Žlebnik: Razvoj procesov v IT po standardu (27000) stran 21 od 61

27 4.5. FIZIČNO IN OKOLJSKO VAROVANJE To področje s predpisi predlaga postopke za varovanje informacijskega sistema pred nepooblaščenimi dostopi, poškodbami in motnjami ter varuje informacije pred krajo. Kritične in občutljive poslovne informacije morajo biti shranjene v prostorih, ki so ustrezno varovani z vstopnimi kontrolami. Standard Sekcija Kontrolno vprašanje Ugotovitve 9.1. VAROVANO PODROČJE Fizični varnostni Kakšne so fizične omejitve Prostori so pas za zaščito dobrin opremljeni z informacijske tehnologije? elektronskimi ključavnicami Kontrola fizičnega Kakšne oblike vhodnih Elektronsko dostopa kontrol se uporabljajo v varovanje, podjetju? evidentira se vsak vstop Varovanje pisarn, Ali so prostori zaprti, imajo kabinetov in omare s ključavnicami in zgradb varnostne omare? Ali so prostori zaščiteni pred nesrečami, ki jih povzročita narava ali človek? Ali obstaja potencialna Predprostor je nevarnost v sosednjih poln papirja in v prostorih? primeru požara bi bil dostop Zaščita pred zunanjimi grožnjami in grožnjami okolja Delo v varovanem območju Javno dostopno področje, področje za dostavo in odvoz materiala Ali obstaja fizična zaščita pred ognjem, poplavo, potresom, eksplozijo, nemiri in drugimi katastrofami? Ali obstaja varnostna kontrola dostopa za tretje osebe ali osebje, ki dela v varovanem območju? Ali je področje za transport materiala ločeno od področja, kjer je obdelava informacij, onemogočimo nepooblaščen dostop? da onemogočen Ni zaščite pred vodo - sistemski prostor je v kleti Potrebno je spremstvo nekoga, ki je pooblaščen za vstop kje da, nekje ne Janja Žlebnik: Razvoj procesov v IT po standardu (27000) stran 22 od 61

28 Standard Sekcija Kontrolno vprašanje Ugotovitve 9.2. VAROVANJE OPREME Zaščita opreme Ali je oprema shranjena v prostoru, ki zmanjšuje nepooblaščen dostop iz delovnih prostorov? Ali je oprema, ki mora biti posebej zaščitena, ločena od ostale opreme? Ali obstaja varovanje, ki, v okviru zmanjšuje tveganje pred možnosti potencialnimi nevarnostmi kot so kraja, ogenj, eksplozivi, dim, voda, vibracije, kemikalije, elektromagnetno valovanje, transformatorji? Ali obstajajo pravila o prehrani, pitju in kajenju znotraj in v bližini prostorov za obdelavo podatkov? Oskrba z električno energijo Ali obstajajo meritve okoljskih parametrov, ki vplivajo na opremo za informacijsko tehnologijo? Ali je oprema zaščitena pred prekinitvijo oskrbe z električno energijo (oskrba iz več neodvisnih virov, UPS, generator)? Zaščita kablov Ali so kabli in telekomunikacijski vodi zaščiteni pred poškodbami? Vzdrževanje opreme Ali se oprema vzdržuje v rednih intervalih v skladu z navodili in priporočili njenega proizvajalca? Ali vzdrževanje izvaja pooblaščeno osebje? Ali obstaja dnevnik napak in preventivnih ter korektivnih ukrepov? Kontrolirata se temperatura in vlažnost zraka, neprekinjeno napajanje (UPS) Delno Janja Žlebnik: Razvoj procesov v IT po standardu (27000) stran 23 od 61

29 Standard Sekcija Kontrolno vprašanje Ugotovitve Varovanje Ali uporabo opreme zunaj opreme zunaj delovnih prostorov odobri delovnih prostorov vodstvo? Ali varnost zunaj delovnih Oprema se ne prostorov enakovredna uporablja le v varnosti v podjetju? službene Varno odstranjevanje ali ponovna uporaba opreme Dovoljenja za odstranjevanje opreme Ali so podatkovni nosilci, ki vsebujejo občutljive informacije, fizično uničeni ali varno prepisani? Ali se oprema, informacije ali programska oprema lahko odnese iz podjetja brez ustrezne odobritve? Ali se opravljajo občasne ali redne kontrole opreme? Ali so uslužbenci seznanjeni s tem, da se opravljajo pregledi? namene Pretežno da UGOTOVITVE Ponavadi je fizično varovanje tisto, ki je najbolj vidno ter najlaže izvedljivo in v analiziranem primeru v glavnem ustreza varnostnim standardom. Varovano področje je urejeno, manj urejeno pa varovanje opreme manjka periodično vzdrževanje v skladu z navodili proizvajalca, varnost zunaj delovnih prostorov ni na enakem nivoju kot v delovnih prostorih, podatkovni nosilci z občutljivimi informacijami se v celoti ne uničujejo po predpisih. Varovanje opreme je ustrezno, neustrezno je le pri kontroli za varno odstranjevanje. Janja Žlebnik: Razvoj procesov v IT po standardu (27000) stran 24 od 61

30 PRIPOROČILA 1. Že pri načrtovanju prostorov s strojno opremo upoštevamo vsa potrebna pravila varovanja. S tem se izognemo neprijetnim posledicam in dodatnim stroškom. 2. Uvedemo vzdrževanje v skladu z navodili proizvajalca. Izračunamo, kakšen je potreben interval, da so stroški najmanjši in da je vzdrževanje še v skladu z deklaracijami. Pri strojni opremi je zelo pomembno tekoče vzdrževanje (odpraševanje, čiščenje). 3. Uslužbence opozarjamo, da je varnost zunaj delovnih prostorov enako pomembna kot znotraj uporabniki naj se tega jasno zavedajo. 4. Uvedemo postopke za varno uničevanje in odstranjevanje podatkovnih nosilcev z občutljivimi informacijami in ga dosledno izvajamo. 5. Redno izvajamo kontrole, predpisane v okviru splošnega nadzora in opozarjamo na kršitve PROCESI Kreiramo naslednje dokumente : º Načrt prostorov, ki jih varujemo º Načini in obseg varovanja prostorov º Postopki in dovoljenja za opravljanje dela v varovanih prostorih º Postopki za odobritev uporabe opreme zunaj delovnih prostorov º Postopki za uporabo in varovanje opreme med delovnim časom º Nadzor in kontrola varovanja º Dostava in dovoz materiala (v povezavi s postopkom varovanja in preverjanja tretjih oseb in zunanjih izvajalcev) º Postopki za varno uničevanje in odstranjevanje nosilcev podatkov º Izvajanje disciplinskih ukrepov v primeru kršitev Janja Žlebnik: Razvoj procesov v IT po standardu (27000) stran 25 od 61

31 4.6. UPRAVLJANJE KOMUNIKACIJ IN OBRATOVANJA Področje vsebuje postopke za : º Zmanjšanje tveganja za nedelovanje sistema º Varovanje celovitosti aplikacij, programov in informacij º Ohranjanje celovitosti procesov in komunikacij º Varovanje prenosa podatkov znotraj in zunaj podjetja Standard Sekcija Kontrolno vprašanje Ugotovitve OPERATIVNI POSTOPKI IN ODGOVORNOSTI Dokumentacija o Ali so v varnostni politiki So definirani operativnih določeni operativni postopkih postopki za arhiviranje, vzdrževanje opreme in podobno? Ali so postopki dokumentirani in se uporabljajo? Ali je dokumentacija na voljo vsem, ki jo Upravljanje sprememb Ločevanje dolžnosti Ločevanje razvoja, testiranja in operativnih izvajanj potrebujejo? Ali je vsa programska oprema podvržena strogi kontroli sprememb, torej, ali je treba vsako spremembo preveriti in odobriti? Ali se vse spremembe načrtujejo in testirajo? Ali se vodijo dnevniki vseh sprememb programske opreme? Ali so pripravljeni postopki za vrnitev v prejšnje stanje, če sprememba povzroči neželen dogodek? Ali so obveznosti in odgovornosti ločene tako, da se zmanjša možnost nepooblaščenih sprememb ali uporabe informacij in procesov? Ali so razvojni in testni postopki ločeni od operativnih izvajanj? Včasih Janja Žlebnik: Razvoj procesov v IT po standardu (27000) stran 26 od 61

32 Standard Sekcija Kontrolno vprašanje Ugotovitve Ali so postavljena in zapisana pravila za prenos aplikacij iz testnega v operativno okolje? Ali so razvojna orodja nedostopna v operativnem okolju? Ali so lastnosti testnega okolja podobne ali enake operativnemu okolju? UPRAVLJANJE STORITEV ZUNANJIH IZVAJALCEV Dostava storitev Ali zunanji izvajalci Delno zunanjih opravljajo storitve za vzdrževanje izvajalcev podjetje? opreme Kontrola storitev zunanjih izvajalcev Ali se operativni postopki kontrolirajo in preverjajo? dosledno, ker sodelovanje temelji na zaupanju Upravljanje Ali je tveganje, povezano z opravljajo sprememb v izvajanjem, poznano takih storitev povezavi s vnaprej, so uvedene tretjimi osebami ustrezni varovalni ukrepi? SISTEMSKO NAČRTOVANJE IN SPREJEMANJE ODLOČITEV Načrtovanje Spremlja se kapacitet redno, vendar Ali se spremlja izkoriščenost kapacitet in načrtujejo povečanja v prihodnosti? to ni vedno osnova za načrtovanje Sprejemljivost Ali so določeni kriteriji o sistemov sprejemljivosti novih sistemov, nadgradnjah in novih verzijah? Ali se nova strojna in Včasih programska oprema ustrezno preverja pred uvajanjem? ZAŠČITA PRED ZLONAMERNO PROGRAMSKO OPREMO Zaščita pred Ali obstajajo ukrepi za zlonamerno zaščito pred uporabo programsko zlonamerne programske kodo kode? Ali obstaja postopek preverjanja opozoril za odkrivanje zlonamerne programske kode? Janja Žlebnik: Razvoj procesov v IT po standardu (27000) stran 27 od 61