DOK_SIS 2003 – Kranjska gora, 21. do 23. maj 2003

DOK_SIS 2003

III-1

Janez ROZMAN, univ. dipl. prav. Urad za varovanje tajnih podatkov 1000 Ljubljana, Slovenska cesta 5, tel: 01 426 9120, fax: 01 426 9121, e-mail: janez.rozman@gov.si Zakonodajni okvir varovanja podatkov S sprejetjem zakona o tajnih podatkih je bil uzakonjen enotni sistem določanja, dostopanja, varovanja in prenehanja tajnih podatkov. S tem se je Slovenija pridružila državam, ki imajo področje varovanja tajnih podatkov urejeno po mednarodno primerljivih standardih. V prispevku so predstavljeni bistveni poudarki pravne ureditve varovanja tajnih podatkov. Izgradnja sodobnega sistema varovanja tajnih podatkov, je nujni predpogoj, da bo naša država v povezavah v katere vstopa (EU in NATO), lahko sodelovala tudi na tistih področjih, kjer se bodo obravnavali tajni podatki sedanjih in prihodnjih članic EU in NATO. Vse države članice bomo morali »prepričati«, da naš sistem deluje in zagotavlja pričakovano varnost tajnih podatkov in enako pričakovanja so seveda tudi na naši strani. UVOD Poslovanje s tajnimi podatki se je s sprejetjem Zakona o tajnih podatkih (Uradni list RS št. 87/01, v nadaljevanju: ZTP) spremenilo. To področje je bilo do neke mere urejeno tudi v preteklosti, vendar so se rešitve med posameznimi organi precej razlikovale. Ravnanje z zaupnimi podatki1 je bilo relativno urejeno v posameznih organih, vendar brez vnaprej znanih kriterijev glede dostopa, določanja, varovanja in prenehanja, kar je imelo za posledico poplavo zaupnih dokumentov. Pogosto se je kot zaupne označevalo osebne in druge podatke, z namenom, da se na ta način zavarujejo. Ker ni bilo kriterijev, je bila poplava zaupnih dokumentov, neizbežna. Naj že v uvodu poudarim, da se določbe ZTP dotikajo vsakogar2, ki prihaja oz. bo želel v prihodnje priti v stik s tajnimi podatki. Ugotovimo lahko, da je zakon zelo razširil krog »zavezancev« in relativno zožil sistem določanja podatkov za tajne in

1 Do sprejetja ZTP je veljal se je uporabljalo več terminov. Zakon o obrambi je uporabljal termin vojaška skrivnost, Zakon o davčnem postopku uporablja davčno tajnost, sicer pa se je v državni upravi uporabljal termin URADNA TAJNOST (SKRIVNOST), ki je imela tri stopnje »INTERNO, ZAUPNO in STROGO ZAUPNO, poleg teh pa je bila v uporabi še DRŽAVNA TAJNOST (SKRIVNOST), kot najvišja tajnost. Tako ZTP v prehodnih določbah 48. člena določa, da tajnim podatkom, ki jim je bila oznaka stopnje tajnosti določena pred uveljavitvijo tega zakona, je treba določiti stopnjo tajnosti skladno s tem zakonom najkasneje dve leti po uveljavitvi tega zakona, sicer jim bo tajnost prenehala.

- podatki z oznako DRŽAVNA TAJNOST ali DRŽAVNA SKRIVNOST kot - STROGO TAJNO - podatki URADNA TAJNOST, URADNA SKRIVNOST ali VOJAŠKA SKRIVNOST - STROGO ZAUPNO kot TAJNO; - podatki URADNA TAJNOST, URADNA SKRIVNOST ali VOJAŠKA SKRIVNOST - ZAUPNO kot ZAUPNO in - podatki URADNA TAJNOST, URADNA SKRIVNOST ali VOJAŠKA SKRIVNOST - INTERNO kot INTERNO.

2 ZTP v 2. členu določa: »Po tem zakonu se morajo ravnati državni organi, organi lokalnih skupnosti, nosilci javnih pooblastil ter drugi organi, gospodarske družbe in organizacije, ki pri izvajanju zakonsko določenih nalog pridobijo ali razpolagajo s podatki iz prejšnjega odstavka (v nadaljnjem besedilu: organi), ter posamezniki v teh organih. Po tem zakonu morajo ravnati tudi dobavitelji, izvajalci gradenj ali izvajalci storitev (v nadaljnjem besedilu: organizacije), ki se jim podatki iz prvega odstavka tega člena posredujejo zaradi izvršitve naročil organa.«

DOK_SIS 2003 – Kranjska gora, 21. do 23. maj 2003

DOK_SIS 2003

2-III

vzpostavil strog sistem dostopanja in varovanja. S tem so dane osnove za to, da bo v državi relativno malo tajnih podatkov, da pa bodo ti podatki ustrezno varovani, ne glede na to kje se bodo nahajali (doma ali celo v tujini). ZTP postavlja enoten sistem dostopanja, določanja, varovanja in prenehanja tajnosti tajnih podatkov. Vsak organ, ki ustvari tajni podatek pričakuje, da bo podatek tudi ostal tajen, ne glede na to, kje se bo nahajal in ZTP daje dovolj dobro podlago, da se zgradi sistem, ki bo to zagotavljal. Če podrobneje pogledamo predpise, ki veljajo na tem področju, lahko ugotovimo, da varnost še vedno sloni na posamezniku, kot ključnemu členu v sistemu varovanja. Ne odpiram vprašanja ali so sodobna spoznanja dovolj vpeta tudi v predpise, ki urejajo ta področja, želim opozoriti na drug vidik, da je potrebno pri izgradnji sodobnih sistemih za prenos, obdelavo in hranjenje podatkov paziti na vse nevarnosti, ne samo varovanja pred nepooblaščenim razkritjem, ampak tudi pred naravnimi in drugimi nesrečami. Sistem mora biti zgrajen tako, da omogoča visoko stopnjo varnosti in po drugi strani hiter in relativno enostaven dostop in uporabo 24 ur na dan in 365 dni na leto. Ukrepe varovanja je potrebno predvideti tako, da zagotavljajo varnost in je hkrati še vedno možno hitro in učinkovito odzivanje na prejete tajne podatke. 1. OSNOVNI PREDPISI, KI UREJAJO PODROČJE TAJNIH PODATKOV Na podlagi ZTP so bile sprejete vladne uredbe3 s katerimi se posamezna vprašanja urejajo bolj podrobno, v pripravi pa je vladna uredba s katero bo določeno varovanje tajnih podatkov v informacijsko komunikacijskih sistemih, s čimer bo do neke mere zaokrožen pravni okvir varovanja tajnih podatkov. 1.1. ZAKON O TAJNIH PODATKIH Zakon o tajnih podatkih postavlja enoten sistem določanja, dostopanja, varovanja in prenehanja tajnosti tajnih podatkov. Navedem naj nekaj pomembnejših določb ZTP, ki vzpostavljajo enoten sistem varovanja4 tajnih podatkov. 1.1.1. Določanje podatkov za tajne ZTP določa, da smejo podatke določiti za tajne samo osebe, ki jih pooblašča zakon in druge osebe, ki jih pooblastijo predstojniki. Tajnost in stopnja tajnosti se smeta določiti samo na podlagi pisne ocene možnih škodljivih posledic, ki bi nastale z razkritjem tajnega podatka ob upoštevanju načela določitve najnižje stopnje tajnosti, ki še zagotavlja varovanje podatka, potrebno za varstvo interesov ali varnosti države. Določene so štiri stopnje tajnosti »INTERNO, ZAUPNO, TAJNO in STROGO TAJNO«. Določanje podatkov za tajne je ključna točka v celotnem življenju tajnega podatka. Z določitvijo stopnje smo določili celoten nabor ukrepov varovanja, dostopanja, hranjenja, prenašanja, uničevanja in drugo. Osebe, 3 Uredba o načinu in postopku varnostnega preverjanja ter postopku izdaje in preklica dovoljenja za dostop do tajnih podatkov (Uradni list RS št. 70/02); Uredba o načinih in oblikah označevanja tajnih podatkov ter fizičnih, organizacijskih in tehničnih ukrepih ter postopkih za varovanje tajnih podatkov (Uradni list RS št. 70/02); Uredba o notranjem nadzoru nad izvajanjem zakona o tajnih podatkih in predpisov, izdanih na njegovi podlagi (Uradni list RS št. 106/02); Uredba o ugotavljanju izpolnjevanja pogojev za posredovanje tajnih podatkov drugi organizaciji (Uradni list RS št. 106/02). 4 Ugotovimo lahko, da pogoji dostopanja, postopki določanje in načini prenehanja prenehanje s fizičnimi, tehničnimi in organizacijskimi postopki in ukrepi za varovanje tajnih podatkov, tvorijo celovit sitem varovanja tajnih podatkov;

DOK_SIS 2003 – Kranjska gora, 21. do 23. maj 2003

DOK_SIS 2003

III-3

pooblaščene za določanje podatkov za tajne, bodo v prihodnje nosile najtežje breme v sistemu varovanja tajnih podatkov. Vsakič bo pred določitvijo podatka za tajnega potreben temeljit in objektiven razmislek o možnih škodljivih posledicah, ki bi lahko nastale z razkritjem tajnega podatka. Vsako preveliko odstopanje od realne ocene bo imelo posledice. 1.1.2. Dostopanje in varovanje tajnih podatkov Posebno poglavje je dostopanje in varovanje tajnih podatkov. Določen je krog oseb, ki jim zakon daje dovoljenje za dostop do tajnih podatkov, brez predhodnega varnostnega preverjanja5. Lahko rečemo, da je to najpomembnejše poglavje v zakonu, saj ureja najbolj občutljivi in najbolj nepredvidljiv člen v verigi varovanja tajnih podatkov. Izkušnje preteklosti dokazujejo, da najpogosteje zataji človek. Zakon uvaja postopek varnostnega preverjanja s katerim se pred izdajo dovoljenja za dostop do tajnih podatkov opravi poizvedba s katero pristojni organ6 zbere podatke o morebitnih zadržkih. V 27. členu so taksativno našteti varnostni zadržki zaradi katerih se lahko zavrne izdaja dovoljenja. Postopek varnostnega preverjanja je podrobneje urejen z vladno uredbo. Ta zajema preveritev odgovorov na vprašanja iz vprašalnika, ki je priloga vladne uredbe. Izključni namen preverjanja odgovorov v vprašalniku je, da nevarnost tveganja zmanjša na minimum, kar pomeni, da si nihče ne dela utvar, da je izdano dovoljenje garant, da posameznik ne bo razkril tajnega podatka nepooblaščeni osebi. Vedno ostaja odstotek tveganja, z varnostnim preverjanjem pa se ta odstotek zmanjša na sprejemljivo raven za organ in državo7. V kolikor pristojni organ ne ugotovi varnostnega zadržka, izda dovoljenje za dostop do tajnih podatkov. Dovoljenje za dostop do tajnih podatkov ne pomeni, da so posamezniku s tem odprta vrata do vseh tajnih podatkov. Dovoljenje je samo nujni formalni predpogoj, ki mora biti izpolnjen, da bi lahko posameznik, ob izkazani potrebi po vedenju8 in to samo v obsegu, ki je potreben zato, da se naloga opravi, dobil v delo tajni podatek. Tudi to je dodatni element varovanja, saj se z večanjem kroga oseb, ki so seznanjeni z vsebino tajnega podatka veča tveganje, da pride do nepooblaščenega razkritja. V nadaljevanju ZTP določa, da mora vsak organ vzpostaviti sistem postopkov in ukrepov varovanja tajnih podatkov, ki ustreza določeni stopnji tajnosti in onemogoča njihovo razkritje nepoklicanim osebam. Postopki morajo obsegati: splošne varnostne ukrepe; varovanje oseb, ki imajo dostop do tajnih podatkov; varovanje prostorov; varovanje dokumentov in medijev, ki vsebujejo tajne podatke; varovanje komunikacij, po katerih se prenašajo tajni podatki; način označevanja stopenj tajnosti; varovanje opreme, s katero se obravnavajo tajni podatki; način seznanitve uporabnikov z ukrepi in postopki varovanja tajnih podatkov; kontrolo in evidentiranje dostopov do tajnih podatkov; kontrolo in evidentiranje pošiljanja in distribucije tajnih podatkov. Vladna uredba podrobneje ureja področje varovanja tako, da določa minimalne zahteve, ki morajo biti izpolnjeni za ravnanje s tajnimi podatki in določa t.i. varnostna območja treh stopenj. V varnostnem območju III. stopnje se obravnavajo tajni podatki INTERNO, v II. varnostnem območju se obravnavajo tajni podatki ZAUPNO in v I. varnostnem območju tajni podatki TAJNO in STROGO TAJNO. Za vsako območje so predpisani minimalni standardi, katerih izpolnjevanje še zagotavlja relativno varno poslovanje. Vsak organ lahko doda nabor ukrepov 5 Zanimivo je, da veljavni varnostni sporazum med Republiko Slovenijo … v … določa, da morajo biti vse osebe, ki bodo dostopale do tajnih podatkov zveze NATO, ustrezno varnostno preverjene. Sporazum ne pozna izjem. 6 pristojni organi so MNZ, MO in SOVA 7 lahko bi rekli, d država oz. organ ki je opravil varnostno preverjanje prevzema odgovornost za preostanek tveganja 8 v strokovnih krogih je bolj poznan izraz »need to know«

DOK_SIS 2003 – Kranjska gora, 21. do 23. maj 2003

DOK_SIS 2003

4-III

tako, da varnost še poveča. Uredba zelo natančno ureja tudi področje označevanja tajnih podatkov, ki je enotno, ne glede, kje je podatek nastal. Smisel tega je, da se že na prvi pogled loči navaden dokument, od dokumenta, ki vsebuje tajne podatke. V sklopu varovanje je določen sistem prenosa tajnih podatkov. Ko govorimo o kurirski službi in prenosu tajnih podatkov na ta način imamo običajno pred seboj kurirja, ki v torbi prenaša ovojnico v kateri je tajni dokument, premalo pa opozarjamo, da nam tehnika dopušča, da dokument prenašamo v šifrirani obliki, ki je neberljiva – vsaj za navadne smrtnike. Kaj s tem dosežemo? Veliko, pridobimo na času, času, ki je nujno potreben, da se izpeljejo potrebni varnostni ukrepi za zmanjšanje, ublažitev ali preprečitev škodljivih posledic. Prav prenos tajnih podatkov je področje, kjer smo šele na začetku. Z vladno uredbo, ki je v pripravi, bo vzpostavljen sistem varovanja tajnih podatkov v informacijskih in komunikacijskih sistemih v fazi prenosa, obdelave in hranjenja. Vsak organ bo moral izpolnjevati predpisane pogoje, da bo smel prenašati, obdelovati in hraniti tajne podatke v teh sistemih, vendar se ne sme zgoditi, da zgradimo varen sistem prenosa, pri tem pa ne upoštevamo siceršnjih ukrepov varovanja (organizacijskih, tehničnih in fizičnih) in obratno, zagotoviti je potrebno skladen razvoj. 1.1.3. Notranji nadzor Z določbami o notranjem nadzoru je zakonodajalec predpisal, da mora vsak organ, zagotoviti nadzor nad izvajanjem ZTP in predpisov sprejetih na njegovi podlagi. Očitno je zakonodajalec ocenil, da gre za tako pomembno (občutljivo) področje, da je bilo potrebno notranji nadzor predpisati. Zanimivo je, da je predpisan »notranji nadzor« in zakon ne dopušča zunanjega nadzora. Če zakon vzpostavlja enoten sistem določanja, dostopanja, varovanja in prenehanja tajnih podatkov, nima pa mehanizma s katerim bi vzpostavil pregled nad tem, kateri organ izpolnjuje pogoje za varovanje tajnih podatkov, potem bi moral predpisati tudi te postopke. Vsak organ zase ugotavlja ali sam izpolnjuje vse pogoje za varovanje tajnih podatkov in vse ostane zgolj na zaupanju. Osebno menim, da je to ena večjih pomanjkljivosti zakona, ki bi jo morali odpraviti tako, da bi vladni urad za varovanje tajnih podatkov imel pristojnost »izdati varnostno potrdilo« za varovanje tajnih podatkov in nadzora. Tako kot urad vodi evidenco izdanih dovoljenj za dostop do tajnih podatkov, bi vodil evidenco »izdanih potrdil za organe«. Preden bi organ Y poslal tajni podatek organu X, bi zahteval od njega varnostno potrdilo in na podlagi tega bi mu posredoval tajni podatek. Z vladno uredbo je urejeno tudi področje posredovanja tajnih podatkov organizacijam, ki pridobijo tajne podatke kot dobavitelji, izvajalci gradenj ali izvajalci storitev. Vsak organ bo moral zagotoviti, da bo organizacija pred izvedbo naročila izpolnila vse pogoje določene v ZTP in vladni uredbi in dodatno dogovorjene pogoje. Zagotovo bo imela prednost organizacija, ki bo vložila potrebna sredstva v varovanje in bo zagotavljala predpisane standarde. 1.1.4. Urad vlade republike slovenije za varovanje tajnih podatkov Za spremljanje izvajanja zakona je vlada s sklepom9 ustanovila Urad za varovanje tajnih podatkov. Poudariti je potrebno, da urad spremlja stanje izvajanje ZTP in predpisov, sprejetih na njegovi podlagi. Zanimivo je, da ima urad večje pristojnosti, ko gre za izvrševanje mednarodnih obveznosti in mednarodnih pogodb, tu urad skrbi za izvrševanje. Z varnostnim

9 Sklep o ustanovitvi, nalogah in organizaciji Urada Vlade Republike Slovenije za varovanje tajnih podatkov (Uradni list RS, št. 6/02), z veljavnostjo 26.1.2002.

DOK_SIS 2003 – Kranjska gora, 21. do 23. maj 2003

DOK_SIS 2003

III-5

sporazumom10 je v 3. členu določeno, da »Urad za varnost NATO pod vodstvom in v imenu generalnega sekretarja in predsednika Vojaškega odbora NATO, ki deluje v imenu Severnoatlantskega sveta in Vojaškega odbora NATO in jima je podrejen, odgovarja za varnostne ukrepe za varovanje zaupnih podatkov, izmenjanih v okviru sodelovanja med Severnoatlantskim svetom za sodelovanje/Partnerstvom za mir, v 4. členu pa določa, da bo Vlada Slovenije obvestila Urad za varnost NATO o varnostnem organu s podobno nacionalno odgovornostjo. Vlada Republike Slovenije in NATO bosta izdelala posebne upravne dogovore, ki bodo med drugim obravnavali standarde vzajemne varnostne zaščite podatkov, ki se bodo izmenjevali, in zveze med varnostnim organom Republike Slovenije ter Uradom za varnost NATO. 1.1.5. Prehodno obdobje To področje je pravno urejeno. ZTP in vladne uredbe so zadostna osnova za normalno delovanje sistema. Organi morajo pripraviti in sprejeti načrte varovanja, zagotoviti, da bodo vsi zaposleni, ki pri svojem delu prihajajo v stik s tajnimi podatki varnostno preverjeni najkasneje do 23.11.2003. Vsi tajni podatki, katerim je bila tajnost določena po prejšnjih predpisih morajo biti do 23.11.2003 preoznačeni11, kar pomeni, da se jim določi stopnja tajnosti po veljavnih predpisih, sicer jim tajnost preneha. O vsaki preoznačitvi bo potrebno obvestiti vse prejemnike prvotnega podatka, da tudi oni opravijo preoznačitev. 2. ZAKLJUČEK Delovanje organov javne uprave je izredno razvejano. Dnevna korespondenca je izjemno obsežna in samo zelo majhen delček te korespondence sodi pod določbe ZTP. Kljub relativno majhnemu obsegu pa gre za vitalne podatke države, saj bi z njihovim razkritjem nepoklicani osebi nastale, ali bi očitno lahko nastale, škodljive posledice za varnost države ali za njene politične ali gospodarske koristi. Prav je, da vsi, ki tako ali drugače sodelujemo v tem sistemu, zagotovimo, da bo krog oseb, ki bodo smele določati podatke za tajne ozek in na taki strokovni ravni, da bo resnično znal oceniti možne škodljive posledice. Prve izkušnje kažejo, da trenutno ni bojazni, da bi se nadaljevala množična produkcija tajnih podatkov, morda bi se lahko pojavil problem, da zaradi zahtevnosti določeni podatki sploh ne bi bili označeni kot tajni. Varovanje tajnih podatkov zahteva in bo zahtevalo tudi v prihodnje veliko naporov in zagotovo tudi finančnih sredstev in tudi veliko obremenitev uprave kot celote. Vsak, ki ima in ali bo v prihodnje dobil pooblastilo, da določa podatke za tajne, bo moral imeti pred seboj vse te elemente in bo moral modro pretehtati, tako o določitvi tajnosti, kot tudi o določitvi stopnje tajnosti, brez pretiravanja navzgor ali navzdol. S sprejemom zakona o dostopu do informacij javnega značaja (Uradni list RS št. 24/03, v nadaljevanju: ZDIJZ) bi lahko rekli, da je ZTP dobil neke vrste protiutež, tako da je znano kaj sme biti določeno in označeno kot tajni podatek, podatek, ki je posebej varovan in po drugi strani ZDIJZ zagotavlja javnost in odprtost delovanja organov ter omogoča uresničevanje pravice posameznikov in pravnih oseb, da pridobijo informacije javnega značaja. 10Zakon o ratifikaciji Varnostnega sporazuma med Republiko Slovenijo in Organizacijo Severnoatlantskega pakta (MVSOSP), ki ga je sprejel Državni zbor Republike Slovenije na seji 28. oktobra 1997. 11 Vsi organi morajo tajne podatke, ki jim je bila oznaka stopnje tajnosti določena po prejšnjih predpisih preoznačiti, kar v praksi pomeni, da bo potrebno ugotoviti možne škodljive posledice.

DOK_SIS 2003 – Kranjska gora, 21. do 23. maj 2003

DOK_SIS 2003

6-III

Tako lahko zaključimo, da so izpolnjeni pravni okviri za vzpostavitev optimalnega sistema, ki bo po eni strani varoval podatke, ki bodo skladno z določili ZTP določeni kot tajni in po drugi strani omogočal vsem, da bodo pravočasno prišli do informacij, ki bodo v skladu z določbami ZDIJZ določene kot informacije javnega značaja. LITERATURA

1. Council Decision of 19 March 2001 adopting the Council's securety regulations; 2. Sklep o ustanovitvi, nalogah in organizaciji Urada Vlade Republike Slovenije za

varovanje tajnih podatkov (Uradni list RS št. 6/02); 3. Priročnik o zvezi NATO, Office of information and Press NATO – 1110 Brussels –

Belgium; 4. Zakon o dostopu do informacij javnega značaja (Uradni list RS št. 24/03); 5. Zakon o ratifikaciji Varnostnega sporazuma med Republiko Slovenijo in organizacijo

Severnoatlantskega pakta (MVSOSP), ki ga je sprejel Državni zbor Republike Slovenije na seji 28. oktobra 1997;

6. Zakon o tajnih podatkih (Uradni list RS št. 87/01); 7. Uredba o načinu in postopku varnostnega preverjanja ter postopku izdaje in preklica

dovoljenja za dostop do tajnih podatkov (Uradni list RS št. 70/02); 8. Uredba o načinih in oblikah označevanja tajnih podatkov ter fizičnih, organizacijskih

in tehničnih ukrepih ter postopkih za varovanje tajnih podatkov (Uradni list RS št. 70/02);

9. Uredba o notranjem nadzoru nad izvajanjem zakona o tajnih podatkih in predpisov, izdanih na njegovi podlagi (Uradni list RS št. 106/02);

10. Uredba o ugotavljanju izpolnjevanja pogojev za posredovanje tajnih podatkov drugi organizaciji (Uradni list RS št. 106/02);

11. Uredba o poslovanju organov javne uprave z dokumentarnim gradivom (Uradni list RS št. 91/01);

www.media-doc.si

DOK_SIS 2003 – Kranjska gora, 21. do 23. maj 2003

DOK_SIS 2003

III-7

mag. Franci Mulec mag. Jaro Berce Služba vlade RS za evropske zadeve, Šubičeva 11, 1000 Ljubljana, Slovenija tel: (01) 478 2417, fax: (01) 478 2417, e-mail: svez@gov.si

Gregor Ibic Intelicom d.o.o., Vojkovo nabrežje 30A, 6000 Koper tel: (05) 630 9158, fax: (05) 630 2417, e-mail: gregor.ibic@intelicom.si

Sistem za upravljanje IT in preverjanje varnostne politike v SVEZ

Izvleček: Varnostno zanesljiva ter kvalitetna obravnava informacijskih sistemov pomeni kontinuiran proces, s katerim vzdržujemo oziroma dvigujemo naštete nivoje, kar zahteva pripravljene postopke nadzora sistema, usklajeno strojno in programsko opremo in nenazadnje varnostno osveščene uporabnike. Prikazani so nekateri pristopi ter postopki varnostne evaluacije informacijskega sistema Službe vlade za evropske zadeve. Navedena je nekatera programska oprema, ki jo lahko uporabljamo v take namene in ki temelji na odprti kodi. Ključne besede: varnost, evaluacija, EU, upravljanje, informacijski sistemi, ISO17799 Key words: security, evaluation, EU, management, information systems, ISO17799

UVOD Vstopanje v Evropsko unijo pomeni prilagajanje tudi na področju informacijske in telekomunikacijske infrastrukture. Potrebno bo vzpostavljanje računalniških povezav ter elektronska izmenjava pomembnih dokumentov v in iz Slovenije, kar zahteva varnostno in kvalitetno prilagoditev informacijsko telekomunikacijske infrastrukture. Informacijskim sistemom in njihove povezljivosti v državni upravi bo potrebno zagotoviti najvišjo stopnjo zanesljivosti, varnosti in predvsem dvigu kvalitete, obenem pa poskrbeti, da bodo sistemi še naprej prijazni do uporabnika. 1. PREDSTAVITEV INFORMACIJSKEGA SISTEMA SVEZ Služba vlade RS za evropske zadeve (SVEZ) je bila ustanovljena pred šestimi leti kot vladni organ, ki bo koordiniral in pospeševal prilagajanje slovenske zakonodaje evropski zakonodaji, prilagajanje državne uprave in njenih institucij evropskim. V okviru SVEZ je tekel tudi pogajalski proces ob pridruževanju EU. Naloga SVEZ je bila tudi prevajanje evropskega pravnega reda v slovenski jezik. Z pozitivnim izidom referenduma o pristopu Slovenije k EU in s podpisom pristopne pogodbe 16. aprila 2003 se je en del procesa končal in začel drugi. SVEZ bo skrbel za koordinacijo evropskih zadev v pogojih članstva Republike Slovenije v

DOK_SIS 2003 – Kranjska gora, 21. do 23. maj 2003

DOK_SIS 2003

8-III

evropski uniji. Vlada Republike Slovenije je 20.02.2003 sprejela več sklepov, ki nalagajo SVEZ, da pripravi ustrezne ukrepe, potrebne za delovanje v pogojih članstva RS v EU. Del teh ukrepov je tudi kvalitetna informacijska podpora delovnim procesom. Koordinacije evropskih zadev v pogojih članstva je informacijsko zelo intenziven delovni proces. Pri tem aktivno sodelujejo ministrstva, diplomatsko konzularna predstavništva, predstavništvo RS pri EU, vladne službe, nevladne organizacije. EU in njene institucije v veliki meri poslujejo samo preko e-dokumentov. Dokumentov je vsak dan več, delež papirnatih dokumentov je praktično zanemarljiv. V delovnem procesu ne gre samo za sprejem in distribucijo dokumentov. Gre za prenos znanja in informacij. Med velikim številom dokumentov, ki vsak dan prihajajo v RS so maloštevilni dokumenti, ki so lahko za državo zelo pomembni. Take dokumente je treba čim hitreje identificirati, posredovati pravim naslovnikom znotraj državne uprave. Prejemniki se morajo na dokumente ustrezno odzvati npr. uskladiti svoja stališča znotraj državne uprave, stališče pa v roku posredovati v EU. Roki so običajno zelo kratki. Na strani države pa je, ali se uspe ustrezno in hitro odzvati. Na SVEZ je skupaj s prevajalci okrog 120 redno zaposlenih in 80 drugih sodelavcev (študenti, zunanji sodelavci). IS ima tako okrog 200 uporabnikov. Imamo dve večji lokaciji (Šubičeva in Tržaška) ter okrog deset delovnih mest oziroma sodelavcev, ki delajo na daljavo iz Kopra, Krškega in Maribora (teleworkers). Uporabniki SVEZ uporabljajo tudi storitve drugih državnih organov (internet in zunanja elektronska pošta preko Centra vlade RS za informatiko - CVI, različne Oracle aplikacije na Ministrstvu za finance in na CVI, omrežje državnih organov HKOM vključno z oddaljenim dostopom preko CVI, spremljanje sej vlade preko urada predsednika vlade in CVI, zakonodajni postopek državnega zbora, WEB storitve preko CVI, Infoklip Urada vlade za informiranje in druge. Na sliki 1 je prikazana shema informacijskega sistema SVEZ.

Slika 1. Shema informacijskega sistema SVEZ Uporabniki na lokaciji Šubičeva uporabljajo osnovne strežniške storitve na sistemih Linux in Samba. Prevajalci zaradi posebnih prevajalskih orodij delajo na Microsoft strežnikih. Vse

DOK_SIS 2003 – Kranjska gora, 21. do 23. maj 2003

DOK_SIS 2003

III-9

delovne postaje imajo nameščen operacijski sistem MS Windows 2000 Pro in pisarniško zbirko MS Office 2000. Celotna služba uporablja tudi okolje Lotus Notes za elektronsko pošto in za druge aplikacije, ki delujejo v tem okolju 2. SISTEM ZA UPRAVLJANJE IS SVEZ Zaradi narave dela je potrebna relativno velika zanesljivost delovanja informacijskih storitev in hitri odzivni časi ob morebitnih problemih. Temu ustrezno smo vzpostavili in integrirali naslednje podsisteme za upravljanje IS SVEZ:

- orodja za upravljanje Linux strežnikov, ki so del operacijskega sistema ter dodatna Putty in WebMin,

- orodja za upravljanje Microsoft strežnikov, ki so del operacijskega sistema - upravljanje protivirusne zaščite SweepAdmin podjetja Sophos, - on-line popis strojne in programske opreme Centennial podjetja Centennial, - sistem za avtomatsko instalacijo in konfiguriranje delovnih postaj On Command ter

program za oddaljen dostop do delovnih postaj CCM Remote podjetja On Technology,

- tehnologije Roaming Profiles in Policies podjetja Microsoft, - sistem za nadzor in beleženje delovanja strežnikov in aktivne mrežne opreme na

osnovi protokola SNMP z javljanjem SMS sporočil OpenView podjetja HP, - sistem za zunanje preverjanje varnostnih nastavitev delovnih postaj, strežnikov in

aktivne mrežne opreme Nessus na osnovi odprte kode, - sistem za detekcijo vdorov v sistem, - sistem za upravljanje optične stikalne opreme TrackView podjetja Alcatel, - sistem za upravljanje Lotus Notes Domino strežnika Domino Administrator podjetja

IBM - Center za podporo uporabnikov s člani konzorcija za servisne posege in za zahtevnejše

rekonfiguracije sistemov. Iz spiska je razvidno, da podsistemi in orodja niso vezani na enega proizvajalca, kar je tudi strateška usmeritev informatike v SVEZ. S tem je nekaj več dela pri integraciji sistemov, zmanjšana pa je odvisnost od enega proizvajalca ali ponudnika. Z našim članstvom v EU pa bo obvezno tudi ustrezno ravnanje z dokumenti, ki nosijo oznako "EU - zaupno". Glede na omejene človeške in finančne vire je smiselno in potrebno občasno narediti varnostni pregled (evaluacijo) informacijskega sistema saj na ta način ugotovimo, kje smo najšibkejši oziroma, kam ima smiselno vlagati sredstva in energijo za izboljšanje varnosti. 3. REZULTATI VARNOSTNEGA PREGLEDA Varnostni pregled IS SVEZ je bil usmerjen v praktične preizkuse, ki bi pokazali glavne pomanjkljivosti za zagotavljanje neprekinjenega in varnega poslovanja. Pregled je bil omejen na informacijsko tehnologijo, vendar je v določenih segmentih vključeval tudi elemente socialnega inženiringa.

DOK_SIS 2003 – Kranjska gora, 21. do 23. maj 2003

DOK_SIS 2003

10-III

Najprej so bili opravljeni preizkusi ali se postopki, ki zagotavljajo varovanje sistema resnično dosledno izvajajo. Nato so bili po ISO17799 metodologiji opravljeni razgovori z vodstvenim kadrom v informatiki ter osebjem v oddelku za informacijsko tehnologijo. V sklopu pregleda so bili postavljeni sistemi za sprotni nadzor omrežja ter varnostno analizo sistemov v omrežju SVEZ. V zadnjem delu so bili opravljeni podrobni pregledi strežnikih sistemov ter konfiguracije programske opreme. 3.1. Praktični preizkusi Iz prakse se izkaže, da se pri upravljanju z informacijskimi sistemi pojavljajo iste napake – težave. Te smo imenovali PIN – pogosto izvajane napake, kar je bil prvi korak pri varnostnem pregledu. PIN analiza vključuje:

- pregled dojemanja varnosti, - pregled izvajanja varnostnega arhiviranja, test restavriranja naključno izbrane vsebine, - pregled upravljanja z administrativnimi gesli, kvalitete teh gesel, - pregled nastavitev ključne programske opreme (protivirusna, sistemska, aplikacijska), - pregled dostopne dokumentacije, - pregled funkcionalnosti nadzornega sistema.

3.2. Pregled po ISO17799/BC7799 standardu Standardi, ki obravnavajo varnostno politiko (ISO17799, BS7799) se ukvarjajo z različnimi vidiki varnosti. Od splošne varnostne politike do fizičnega varovanja. Glavno vodilo pa je dokumentirati sistem, tako da je možno na podlagi tega restavrirati oziroma dokumentirati vse ukrepe, ki znižujejo možnost varnostnega incidenta. V skladu z standardi so bili opravljeni intervjuji, s katerim smo pridobili pogled kako vodstveni kader ter osebje v oddelku za informacijsko tehnologijo vidi stanje sistema, ki ga upravlja. Pomembno pri intervjujih je navzkrižno vzorčenje saj je pogled s strani vodstvenega kadra večinoma različen od pogleda samega osebja, kar je tudi razumljivo. Osebje se dnevno srečuje s problematiko vzdrževanja ter zagotavljanja varnega delovanja sistema, vodilni kader pa ima pregled nad celoto sistema, kar je pomembno pri zagotavljanju celovitega varovanja. Področja, ki so bila analizirana s pomočjo vprašalnikov so bila nato tudi praktično preverjena Glavna pregledana področja ISO17799 standarda so bila:

- varnostna politika, ki zadeva postopke in ukrepe za nadzor sistema, izvajanje ukrepov kot arhiviranje sistema, protivirusna zaščita in podobno;

- organizacija v smislu, odgovornosti za določeno področje (uporabnik, oseba odgovorna za varnost, vodstvo);

- dokumentacija, ki je osnova za vse nadaljnje aktivnosti. Dokumentacija bi morala vsebovati vse dokumente potrebne za vzpostavitev ter varno upravljanje in uporabo informacijskega sistema;

- osebna varnost po katerih naj se ravna sleherni uporabnik, od same uporabe računalnika, dela z elektronskimi dokumenti naprej;

- komunikacije, nadzor nad zanesljivostjo ter varnostjo komunikacije. Opažamo da je pregled nad elektronsko komunikacijo pomanjkljiv v večini podjetij;

DOK_SIS 2003 – Kranjska gora, 21. do 23. maj 2003

DOK_SIS 2003

III-11

- nadzor dostopa, fizičnega in elektronskega. Omejitev dostopa z varnostnimi sistemi – fizičnim, nadzor dostopa na nivoju omrežja, na nivoju aplikacije in podobno;

- sledenje razvoju ter spremembam. Problematično je, ker so stvari premalo dokumentirane. Ob spremembah je ob težavah težko izslediti vzroke napake;

- razčiščevanje napak je ključni element kvalitetnega informacijskega sistema; - kontinuiteta, postopki ob težavah, disaster recovery. Preizkus popolne vzpostavitve

sistema iz varnostnih kopij; - skladnost s standardi, internimi in mednarodnimi. Skladnost pri elektronski izmenjavi

dokumentov postaja vedno večji faktor funkcionalnega in varnega sistema. Uporabiti je potrebno preskušene postopke izmenjave ter varovanja podatkov;

3.3. Preskus stanja programske opreme ter nadzor omrežja V sklopu varnostnega pregleda smo postavili tudi sistem za sprotno analizo vdorov (IDS) ter dogajanja v omrežju ter izvedli penetracijske teste. Sistem IDS je pomemben pri izdelavi varnostnega pregleda saj je informacijo o stanju oziroma dogajanju v omrežju težko pridobiti brez ustreznih orodij. Orodja kot so IDS nam omogočajo, da pridobimo vpogled nad morebitnim sovražnim dogajanjem v omrežju ali pa opozorijo na tehnične težave, ki se pojavljajo ob napačni konfiguraciji opreme. Mrežni IDS (NIDS) sistemi delujejo tako, da nadzirajo promet, ki se odvija na lokalnem omrežju (sniffing) ter opazujejo vzorce. Ob določenih sumljivih pojavih, recimo »port scanning« se odzovejo. Port scaning je postopek odkrivanja storitev, ki jih strežniki nudijo in je eden izmed priprav na napad (recimo DDOS – distributed denial of service). Na sliki 2 je primer opozorila iz IDS zaradi odprtega SQL komuniciranja med uporabnikom (Oracle odjemalec) in strežnikom. Taka odprta komunikacija pomeni varnostno tveganje.

Slika 2. Primer opozorila iz IDS Penetracijski testi nam izdelajo sliko varnostnih pomanjkljivosti na opremi, ki je vključena v omrežje. S kopico programske opreme je namreč težko zagotavljati varnost, saj je varnost odvisna od najšibkejšega člena v sistemu. Pri tem si lahko pomagamo z orodji, ki tako testiranje opravijo namesto nas.

DOK_SIS 2003 – Kranjska gora, 21. do 23. maj 2003

DOK_SIS 2003

12-III

V sklopu pregleda je bil izveden penetracijski test, iz katerega so bile razvidne glavne pomanjkljivosti uporabljane programske opreme.

Slika 3. Primer penetracijskega testa V tem primeru nas sistem opozarja na zastarelo programsko opremo, ki jo je potrebno nadgraditi. ZAKLJUČEK Varnost ni zadeva ene vladne službe ali ministrstva. Zaradi čedalje tesnejšega sodelovanja in izmenjave e-dokumentov je povezana v smislu verige. Varna je toliko, kot je varen najšibkejši člen. LITERATURA:

1. Hajtnik, T. (2002). Priporočila za pripravo informacijske varnostne politike, različica 2.0. Ljubljana: Center Vlade RS za informatiko.

2. Internet Security Systems (2001). Protecting the Enterprise. London: Internet Security Systems.

3. Roesch, M. in Green, (2002). Snort Users Manual. http://www.snort.org, 15.1.2003. 4. Slovenski standard PSIST BS 7799, prva izdaja. (1997). Ljubljana: Urad RS za

standardizacijo in meroslovje.

Avtorji Mag. Franci Mulec je končal študij upravljanja informacijskih sistemov v Kranju. Ukvarja se z uvajanjem kvalitetnih in učinkovitih informacijskih storitev v delovne procese. Sedaj je zaposlen v Službi Vlade RS za evropske zadeve kot svetovalec vlade RS. Mag. Jaro Berce je končal študij elektrotehnike v Ljubljani in podiplomski študij računalništva v ZDA. V začetnem obdobju je bilo njegovo delo usmerjeno predvsem v razvoj in vodenje informacijskih tehnologij in sistemov. Kasneje, ob spoznanju, da

DOK_SIS 2003 – Kranjska gora, 21. do 23. maj 2003

DOK_SIS 2003

III-13

je uvajanje informacijske tehnologije povezano tudi še z organizacijskimi in ostalimi spremembami v podjetju, prične s pospešenim izobraževanjem na ostalih področjih (stroški, organizacija, strategija, ...) in delom kot podjetniški svetovalec. V tem času uspešno sodeluje tudi z mednarodnimi podjetji in v letu 1993 ustanovi lastno podjetje za informacijsko tehnologijo in svetovanje - SIP&A. Sedaj je zaposlen v Službi Vlade RS za evropske zadeve kot državni podsekretar. Samostojno in v sklopu večjih projektov (PHARE, US-AID, IER, ...) svetuje (sodeluje pri zasnovi in nastanku Industrijske strategije Slovenije), izobražuje (GEA Podjetniška akademija, fakulteta za elektrotehniko), vodi projekte na področju informatike (Vlada RS - informacijski sistem za podporo procesa približevanja Slovenije EU). Hkrati s svojimi članki (tudi v tujini), referati, vabljenimi predavanji in javnimi nastopi (tako na: Internetu, okroglih mizah, konferencah, Delo - Znanje, INFOS, Parlamentarna Javna predstavitev mnenj...) želi spremeniti trdovratno mišljenje o “vrednotenju znanja” t.i. Družbi znanja (Knowledge-economy) - Informacijski družbi, in enakosti strok ter vplivu tehnične inteligence. Authors Franci Mulec has finished his master degree in computer science at Maribor University. He deals with introducing and implementing efficient information services into work processes. Currently he is employed by Governmental office for EU affaires as a Counsellor to the Government. Ms.sci. Jaro Berce has finished his bachelor degree of electrical engineering at Ljubljana University, and has gained his masters degree in computer science in U.S.A. In his early profession stages his work was focused only in research and development of information systems and technology. Later on, with understanding that implementing information system needs also organizational and other changes, he started to build his expertise also on the management consulting and entrepreneurial skills needed in company (costs, organization structure, strategy, …). During this time he is involved in projects also with multinational consulting companies and founds his own company in year 1993, for an information technology and consulting - SIP&A. Currently he is employed by Governmental office for EU affaires as state undersecretary. On his own or within bigger projects (PHARE, US-AID, IER, ...) he is consulting (as well as managing a sector strategic group and working on Strategic Industrial plan of Slovenia), teaching (GEA entrepreneurial academy, University of Ljubljana - faculty for electrical engineering), manages projects on the field of Information technology (Government of RS - an information system for support of a pre-accession period of Slovenia to EU), writes and publicly speaks (on Internet, round tables, conferences, publications, Parlamental public opinion…) on behalf of equality of profession knowledge especially for technical profession and its influence on Knowledge economy or Information society.

www.media-doc.si

DOK_SIS 2003 – Kranjska gora, 21. do 23. maj 2003

DOK_SIS 2003

14-III

mag. Bojan Pečar Lek d.d., Verovškova 57 1526, Ljubljana (01) 580 27 42 bojan.pecar@lek.si Dokumentacijski sistemi in skladnost z zakonodajo

Izvleček: V Sloveniji je bil leta 2000 sprejet Zakon o elektronskem poslovanju in elektronskih podpisih. Zakon opredeljuje elektronsko poslovanje v Republiki Sloveniji z uporabo informacijske in komunikacijske tehnologije in uporabo elektronskega podpisa v pravnem prometu, kar vključuje tudi elektronsko poslovanje v sodnih, upravnih in drugih podobnih postopkih. Slovenska podjetja, ki delujejo v mednarodnem prostoru, pa morajo poleg slovenskega zakona spoštovati in upoštevati tudi zakone držav, kjer prodajajo svoje izdelke. Nekateri od teh predpisov so zelo podobni našemu zakonu, nekatere pa imajo še dodatne zahteve, ki so ponavadi še strožje. V prispevku je podan primer pravil Ameriške agencije za hrano in zdravila. Ključne besede: Sistemi za upravljanje dokumentov, skladnost z zakonodajo.

1 UVOD V Sloveniji je bil leta 2000 sprejet Zakon o elektronskem poslovanju in elektronskih podpisih. Zakon opredeljuje elektronsko poslovanje v Republiki Sloveniji z uporabo informacijske in komunikacijske tehnologije in uporabo elektronskega podpisa v pravnem prometu, kar vključuje tudi elektronsko poslovanje v sodnih, upravnih in drugih podobnih postopkih. Pomen zakona je predvsem v tem, da enači elektronski podpis z ročnim podpisom. Slovenska podjetja, ki delujejo v mednarodnem prostoru, pa morajo poleg slovenskega zakona spoštovati in upoštevati tudi zakone držav, kjer prodajajo svoje izdelke. Nekateri od teh predpisov so zelo podobni našemu zakonu, nekatere pa imajo še dodatne zahteve, ki so ponavadi še strožje. Tako kot tudi vsi ostali informacijski sistemi, ki se uporabljajo v namene elektronskega poslovanja, morajo biti tudi sistemi za upravljanje dokumentov skladni z zakonskimi zahtevami, če se jih uporablja v namene elektronskega poslovanja in se pri tem uporablja enega izmed priznanih načinov elektronskega podpisa. Primer, ki je opisan v nadaljevanju, izhaja iz sveta farmacevtske industrije, ki je ena najbolj reguliranih industrij, vendar bo verjetno kmalu potrebno z enakimi ali vsaj podobnimi zahtevami delovati v večini računalniško podprtih (in zakonsko reguliranih) procedurah in procesih. Farmacevtska industrija spada med eno najbolj reguliranih industrij, zato je potrebno vse procese in postopke ustrezno dokumentirati. Dokumentacija nastaja pri razvoju izdelka in njegovem preizkušanju, med samo proizvodnjo, kontrolo kvalitete, razvoju embalaže in ostalih procesih. Dokumenti, ki nastanejo v teh procesih, so obsežni, v različnih formatih, narejeni, urejeni in potrjeni so v nekem življenjskem ciklu, večina od njih je nestrukturiranih in imajo veliko frekvenco spreminjanja.

DOK_SIS 2003 – Kranjska gora, 21. do 23. maj 2003

DOK_SIS 2003

III-15

Razvoj informacijske tehnologije nudi možnost prenosa obvladovanja papirne dokumentacije z računalniki – torej v elektronski obliki. Bistvena pri tem je možnost uporabe elektronskih zapisov in elektronskih podpisov. Uporaba informacijske tehnologije pa pomeni potrebo po doseganju novih standardov, kot jih predpisujejo tudi najpomembnejše agencije in zakoni večine držav po svetu. V podporo uporabi novih tehnologij in za zaščito uporabnikov, so kot odgovor na tveganja pri novih pristopih večine agencij izdale uredbe, kot npr. Ameriška agencija za hrano in zdravila (FDA - Food and Drug Administration). Uredba se imenuje 21 CFR part 11. Uredba 21 CFR part 11 predstavlja proceduralne in tehnične zahteve, ki jih morajo izpolnjevati informacijski sistemi, ki neposredno ali posredno vplivajo na kvaliteto in varnost farmacevtskih izdelkov. 1.1 Zahteve za doseganje skladnosti Zahteve za doseganje skladnosti so naslednje:

- Novi informacijski sistemi naj bodo že ob razvoju oz. nakupu 21 CFR Part 11 skladni, - Stari informacijski sistemi naj postanejo skladni glede na ustrezen plan za dosego

skladnosti, ki ga pripravi podjetje, - Za hibridne informacijski sisteme velja enako pravilo kot za stare informacijski

sisteme. Hibridni sistem pomeni, da je del sistema elektronski, del dokumentov pa se še vedno tiska na papir,

- Ročno podpisani natisnjeni elektronski zapisi se lahko uporabljajo, vendar mora biti sistem za upravljanje elektronskih zapisov skladen z zahtevami, postavljene morajo biti stroge kontrole za zagotovitev identičnosti elektronskih in papirnih zapisov, uporabljan mora biti elektronski arhiv ali podoben sistem za kontrolo verzij elektronskih zapisov,

- Pričakovanja FDA glede nivoja usklajenosti z zahtevami 21 CFR part 11 so odvisna od kritičnosti podatkov in tipa informacijskega sistema, ki te podatke obdeluje.

1.2 Doseganje skladnosti Pri implementaciji doseganja skladnosti informacijskih sistemov je zelo pomembno, da so upoštevana naslednja dejstva:

- načrt zagotavljanja skladnosti naj sledi splošnim usmeritvam podjetja, - upravljanje dokumentacije na nivoju podjetja naj bo centralizirano, - izdelovanje potrebnih poročil in dokazov o delu naj se izvaja tekoče, - uporaba enotne metodologije ocenjevanja in postavitev prioritet informacijskim

sistemom, - dokumentirane naj bodo vse korektivne akcije, - sistemi morajo biti ponovno preverjeni po implementaciji popravkov.

2 PRIMER 21CFR PART 11 ZAHTEV Najprej je potrebno opredeliti, kaj so elektronski zapisi v informacijskem sistemu. Za te zapise je potrebno zagotoviti zaščito, zgodovino dogodkov ter arhiviranje zapisov. Nadalje je

DOK_SIS 2003 – Kranjska gora, 21. do 23. maj 2003

DOK_SIS 2003

16-III

potrebno opredeliti, kje bodo elektronski podpisi uporabljeni. Elektronski zapisi so lahko npr. tudi zapisi o pravicah uporabnikov v določenem času. 2.1 Neveljavni zapisi in generiranje kopij Skladni sistemi morajo biti zmožni razpoznavanja spremenjenih zapisov, to pomeni zapise, ki niso bili spremenjeni z informacijskim sistemom. Kot vemo, so vse kopije v elektronski obliki originali, tako da mora sistem omogočati kreiranje točnih in popolnih kopij zapisov v elektronski obliki in pa v obliki, ki je primeren za izpis na papir. 2.2 Zaščita zapisov Ker se za računalniške aplikacije izvaja varnostno hranjenje podatkov in arhiviranje, je potrebno zagotoviti možnost popolne restavracije vseh elektronskih zapisov skozi definirano dobo hranjenja, to pa pomeni, da so vsi elektronski zapisi varnostno hranjeni in arhivirani, da se tudi zgodovina dogodkov varnostno hrani in arhivira skupaj s pripadajočim elektronskim zapisom in da je v vsakem trenutku moč restavrirati za celotno dobo hranjenja za izbran trenutek. 2.3 Zaščita dostopa Zaščita dostopa se lahko izvaja na več različnih načinov, najbolj enostaven pa je prav gotovo dostop z uporabniškim imenom in geslom. Pri prijavi na informacijski sistem se zahteva vnos uporabniškega imena in gesla. Uporabniško ime mora biti enkratno in ne sme biti ponovno uporabljeno ali dodeljeno komurkoli drugemu. Nadalje je možno omejiti tudi logični dostop do aplikacije, tako da informacijski sistem uporabljajo le pooblaščeni uporabniki. Večina aplikacij, predvsem pa informacijskih sistemov za upravljanje dokumentov, ima vgrajenih več vlog, ki so namenjene uporabnikom aplikacije. Preko dodelitev teh vlog uporabnikom se omogoča tudi dostop do izvajanja različnih akcij v aplikaciji, govorimo lahko o večnivojskem dostopu. Na ta način se omeji dostop do specifičnih področij ali modulov informacijskega sistema. Ker se konfiguracija dostopa in s tem zaščit skozi čas tudi spreminja, je potrebno poskrbeti tudi za arhiv dostopa in zaščit. V ta namen je potrebno poskrbeti tudi za to, da je možno restavrirati konfiguracijo dostopa in zaščit za poljuben čas v preteklosti. Vsak uporabnik informacijskega sistema ima enkratno uporabniško ime in geslo, ki je skrivno. Večina današnjih informacijskih sistemov že v osnovi omogoča, da sistem zagotavlja enkratnost uporabniškega imena. Naslednje zahteve so povezane z geslom, saj je potrebno, da informacijski sistem prisili uporabnike, da periodično spreminjajo gesla. Periodo spreminjanja gesel si podjetje določi samo. Geslo moramo imeti tudi predpisano dolžino, ki si ga podjetje tudi določi samo. Ob spremembi gesla mora tako informacijski sistem preveriti dolžino novo nastavljenega gesla in ga zavrniti, če ni ustrezne dolžine. Informcijski sistem mora tudi zagotavljati, da ni možen dostop do gesel, tudi administratorji sistemov ne smejo videti gesla. Če poskuša nek uporabnik vdreti v informacijski sistem, potem mora informacijski sistem zaznati in zabeležiti nepooblaščene poskuse dostopa do sistema. V primeru večkratnega

DOK_SIS 2003 – Kranjska gora, 21. do 23. maj 2003

DOK_SIS 2003

III-17

zaporednega vnosa nepravilnega gesla naj informacijski sistem onemogoči uporabnika, dokler sistemski administrator ne sprosti blokade ali poteče čas blokade. Prav tako naj bo dostop do datotečnih sistemov, na katerih so instalirani informacijski sistemi, omejen samo za dostop sistemskih administratorjev. Naslednja varovalka je avtomatska odjava uporabnika iz informacijskega sistema, še bolje pa je, če npr. po določenem času operacijski sistem na delovni postaji poskrbi za avtomatsko odjavo trenutno prijavljenega uporabnika. 2.4 Zgodovina dogodkov Zgodovina dogodkov je pomembna zato, da lahko ob vsakem trenutku vidimo, kdo je kaj z dokumenti naredil oz. katere aktivnosti so bile nad dokumentom izvedene. Pri tem je pomembno, da se zgodovina dogodkov zapisuje ob vsakem elektronskem podpisu elektronskega zapisa v posebno bazo, ponavadi imenovano “audit trail” bazo, mora biti računalniško kreirana, ves čas vključena, uporabniki pa pri tem ne smejo imeti nobene interakcije (zgodovina dogodkov nastaja neodvisno od uporabnikov). Atributi pri kreiranju zgodovine dogodkov morajo biti datum in čas, tiskano ime uporabnika ter zabeležka o aktivnosti, ki jo je izvedel. Vidna morajo biti vsa stara in novo stanje elektronskega zapisa. Kot je bilo že prej rečeno, da naj nastaja zgodovina dogodkov neodvisno od uporabnika, potem seveda ne sme uporabnik imeti na kakršenkoli način možnost spreminjati podatkov v zgodovini dogodkov, pa tudi povezava med zgodovino dogodkov in elektronskim zapisom se ne sme spreminjati in mora biti varna. Pri arhiviranju in restavraciji elektronskih zapisov mora biti vključena tudi zgodovina dogodkov. 2.5 Zaporedje dogodkov V nekaterih informacijski sistemih, predvsem pa pri sistemih za upravljanje dokumentov, se uporabljajo življenjski cikli in v posameznih fazah življenjskega cikla workflowi za izvajanje aktivnosti in upravljanje dokumenta. Na ta način sistemi za upravljanje dokumentov že s svojo lastno logiko poskrbijo, da je zaporedje dogodkov vsiljeno z informacijskim sistemom. 2.6 Elektronski podpisi Na trgu je kar nekaj tehnologij, ki omogočajo izvajanje elektronskega podpisa. Kot ena izmed bolj varnih in perspektivnih je verjetno PKI (Public Key Infrastructure). Še vedno dovolj varna in tudi dokaj uporabljana pa je »tehnologija« uporabe uporabniškega imena in gesla. Zakoni o elektronskem poslovanju in elektronskem podpisu v principu ne predpisujejo izbire tehnologije. Če se uporablja za namen elektronskega podpisa uporabniško ime in geslo, je potrebno načrtovati informacijski sistem tako, da ujame elektronski podpis, ko se kreira, spremeni ali briše elektronski zapis. Uporabnik mora pri izvedbi akcije vnesti uporabniško ime in geslo. Prikaz elektronskega podpisa mora biti v tem primeru sestavljen iz pravega imena uporabnika (ne samo uporabniško ime), datuma in časa elektronskega podpisa namena elektronskega podpisa (katera aktivnost je bila izvedena).

DOK_SIS 2003 – Kranjska gora, 21. do 23. maj 2003

DOK_SIS 2003

18-III

3 ZAKLJUČEK Podjetja, ki so se odločila za elektronsko poslovanje in vpeljavo elektronskega podpisa kot ekvivalent ročnemu podpisu, naj pri svoji odločitvi za to pregledajo svoj najzahtevnejši trg in zakonodajo na tem trgu, saj potem izpolnjevanje takšnih zahtev pomeni tudi izpolnjevanje zahtev na ostalih trgih. Sama vpeljava elektronskega podpisa naj poteka postopoma, pomembno pri tem pa je to, da ni potrebno, da je tehnološko zelo zahtevna in s tem tudi zelo draga.

DOK_SIS 2003 – Kranjska gora, 21. do 23. maj 2003

DOK_SIS 2003

III-19

Darko Žurman Ernst & Young d.o.o. Revizija informacijskih sistemov Pregled implementacije ISO17799 in usklajenosti z zahtevki zakonodaje

Izvleček Informacijska tehnologija na skoraj vseh področjih vedno močneje vstopa v produkcijske sisteme v razsežnostih, katerim še vedno ni videti konca. Informacijski sistemi so tako močno podrejeni prednostim in slabostim informacijske tehnologije. Z naraščanjem kompleksnosti sistemov, javne dostopnosti in potreb po razpoložljivosti le teh se porajajo tudi potrebe po vedno višji varnosti podatkov in sistemske celovitosti. Tako tveganja, izpostavljenosti in ranljivosti v informacijskih sistemih postajajo vedno bolj predmet javnosti in s tem tudi zakonodajnih organov, zakonov in direktiv. V Sloveniji in Evropski skupnosti se kot dokumenti upravljanja s to domeno vedno bolj uveljavljajo ISO 17799:2000 in drugi standardi in dokumenti kot ISO/IEC 13335 TR. Veliko iniciativ (Information society) in domača zakonodaja na tem področju potrjujejo opisana dejstva. Industrija in druge ustanove imajo tudi možnost pridobiti certifikat BS 7799 s strani SIQ in si s tem zagotoviti višjo stopnjo zaupanja v informacijski sistem, tako navzven, kakor tudi v okviru notranjih strategij. Seveda pa certificiranje ni samo sebi namenjeno, temveč predstavlja predvsem potrdilo uspešnosti dane implementacije varoval in ravnateljskih okvirov. Tako kot na vseh drugih področjih so tudi na področju informatike potrebni principi zagotavljanja pravilnosti in kvalitete vpeljanih politik, procedure in standardov. Ti principi so ponekod urejeni tudi z zakonodajo (finančni sektor). Procesi varnosti v informacijski tehnologiji in informacijskih sistemih (opisani tudi v standardih) vsebujejo tudi nenehno kontrolo in neodvisen pregled informacijskega sistema. Neodvisen pregled informacijskega sistema s svojimi izkazi in priporočili neposredno prispeva k oceni stanja varoval z visoko stopnjo zaupanja, saj ni odvisen od faktorjev produkcije. Ključne besede: neodvisen pregled, ISO 17799, varnost IS/IT, zakonodaja

Abstract Reviewing implementation of the ISO 17799 and compliancy with the requirements of the regulations Information technology enters into production in almost all areas in a manner and a pace where the final outcome of this spread is yet not predictable. Information systems are highly dependent on advantages and weaknesses of the underlying information technologies. Facts of raised systems complexity; improved public access and requirements that address availability go hand in hand with the need to improve data security and system integrity. In this context risks, exposures and vulnerabilities of an information system are subject to public and as such subject to regulative authorities, laws and directives. In Slovenia and European Community in the realm of management of this domain, some standardized documents like ISO 17799:2000 and some others, which include ISO/IEC 13335 TR, are getting momentum. Many initiatives (Information society) and domestic laws contribute to the confirmation of these facts. Industry and other institutions have the possibility to acquire the certificate regarding the BS7799 from the Slovenian Institute of Quality, thus raising the trust into the information system towards the external parties as well as in the internal strategic framework. The certification is not intended to be self-sufficient – it testifies success of a given implementation of controls and the presence of a mature managerial framework. In area of informatics the principles of assuring compliancy and quality of policies, procedures and standards are no different than in other areas. These principles are in some areas advocated by laws (financial sector). The processes of security in information technology and information systems (mentioned in the standards)

DOK_SIS 2003 – Kranjska gora, 21. do 23. maj 2003

DOK_SIS 2003

20-III

inherently prescribe an independent review of the information system. An independent review of the information system with its findings and recommendations directly contributes to the assessment of the state of controls, since it does not depend on factors of production. Keywords independent review, ISO/IEC 17799:2000, security of IS/IT, regulations

UVOD V pričujočem članku bom brez tendenc po definicijah poizkušal prikazati poenostavljen opis revizije usmerjen v varnost v informacijskem sistemu. V ta namen v prvem delu okvirno opisujem sam proces revizije in kdaj je le ta primerna, v drugem delu pa navajam poglede na standard s posamičnimi poudarki nad nekaterimi deli standarda in kako lahko revizor vstopi v celotno sliko upravljanja s to domeno. Na koncu navajam še zrelostni model nad nekaterimi procesi in kontrolami, katere si lahko bralec izpolni sam. PREGLED ALI REVIZIJA OPISNO Revizija ni samo potrjevanje računovodskih izkazov Tradicionalno se revizija veže na pregled računovodskih izkazov in potrditev pravilnosti le teh (revizija finančnih izkazov, bilanca stanja). Vendar pa ima lahko revizija zelo različne namene in cilje in se lahko dotakne različnih področij delovanja dane organizacije. Zardi visoke odvisnosti od sredstev informacijske tehnologije v operacijah in vedno bolj tudi pri načrtovanju poslovnih modelov, se v praksi tudi vedno bolj uveljavlja revizija informacijski sistemov kot samostojna veja ali sestavni del celovitega pregleda. Certificiranje proti standardom (recimo BS 7799 ali ISO 9001:2000) je pogojno tudi lahko revizija z vnaprej določenim ciljem: potrditvijo usklajenosti z danim standardom. V Sloveniji združuje revizorje informacijskih sistemov posebno poglavje ali sekcija imenovana ISACA Slovenian Chapter, katera deluje v okviru Slovenskega inštituta za revizijo. Revizorji informacijskih sistemov imamo tudi zaželen certifikat ali potrdilo o potrebnem nivoju znanja za opravljanje tega poklica z nazivom CISA (ali CERTIFIED INFORMATION SYSTEM AUDITOR). CISA je mednarodno priznan izpit, katerega pa je potrebno vzdrževati z rednim izobraževanjem in predstavitvami, izdajanjem publikacij, sodelovanjem v projektih in predvsem; z izvajanjem revizorskih nalog in projektov. Faze revizije in osnovna orodja Kakor to velja za vsak projekt je tudi tu ključna določitev ciljev revizije. Revizija ima po določitvi ciljev revizijskega pregleda z revidirano enoto tri glavne »projekte faze«. V grobem se te faze delijo na: pripravo na pregled, samo izvajanje pregleda in izdelavo poročila. Revizor bo v svojem poročilu navedel ugotovitve in pa priporočila ali »priložnosti za izboljšave«. Materialni izdelek revizije je tako dokument poročila, katerega prejme revidirana enota. Revizor bo pri svojem delu tudi natančno dokumentiral postopek in način pridobitve podatkov in informacij na način, kateri omogoča ponovitev in preverjanje pravilnosti postopka ter s tem zaupanje v pravilnost zapisanih ugotovitev, saj je sam tudi podvržen neodvisnem pregledu. Podana priporočila ali priložnosti za izboljšave služijo kot dodana vrednost k ugotovitvam.

DOK_SIS 2003 – Kranjska gora, 21. do 23. maj 2003

DOK_SIS 2003

III-21

Zaradi kompleksnosti informacijskih sistemov in več-disciplinarnega značaja revizorjevega dela, se večina revizorjev na ta ali drugačen način pri svojem delu poslužuje metodologije imenovane COBIT (GOVERNANCE: CONTROL and AUDIT for INFORMATION and RELATED TECHNOLOGY). V konkretnem pa bo revizor informacijskih sistemov pri svojem delu uporabil vsaj sledeča klasična »revizorska orodja«: pregled dokumentacije, intervjuje, opazovanje in testiranje. Pristop z vidika tveganja pri splošnem ali diagnostičnem pregledu informacijskega sistema Pri splošnem pregledu informacijske tehnologije prihaja vedno bolj v ospredje pristop k reviziji z vidika tveganj, kar posredno pomeni, da bi moral revizor informacijskih sistemov izvršiti neodvisno analizo tveganj informacijskega sistema. To pa posredno lahko pomeni, da je zrelostna stopnja procesov v informacijskih sistemih revidirane enote tista, katera daje takt kvalitete danega pregleda in s tem tudi kvalitete poročila. V kolikor v dani organizaciji ni polsuha za tak bolj RISK BASED pristop ali pa procesi v informacijski tehnologiji še niso v zadostni meri vpeljani, tudi sama revizija ne bo mogla bistveno prispevati k izboljšavam organizacije, saj bodo ugotovitve izzvenele bolj v slogu; »nima, še ni vpeljano ali manjka«. Za pregled ISO 17799:2000 se lahko odločimo, da bomo pregledali obstoj in kvaliteto priporočenih varnostnih kontrol, organizacije varnosti, politik in procesov, kateri služijo temu v podporo in bomo s tem izvedli revizijo proti standardu, ki bi ga lahko imenovali pristop z vidika kontrol ali CONTROLS BASED APPROACH. V praksi se lahko revizor odloči za mešan pristop pri izvajanju pregleda, pač v odvisnosti od pridobljenih podatkov lahko pa po potrebi izvrši še dodatno analizo izpostavljenosti grožnjam. Pri načrtovanju pregledov in potrebnih resursov revizije smo tako revizorji izpostavljeni istim tveganjem, ki so značilna za druge projekte v informacijski tehnologiji. Stopnje zaupanja in časovni vidiki Podobno kakor pri izdelavi varnostnih politik je tudi tu ključnega pomena vprašanje komu zaupamo. Lahko se zgodi, da bosta dve reviziji z istim ciljem za isto organizacijo dale objektivno tudi različne končne ugotovitve. To ni le problem revizorja, temveč lahko temu botrujejo tudi drugi razlogi. V dobro vpeljanih sistemih revidiranja imamo tako več služb ali nivojev revizije in sicer: nad-revizijo (SUPERVISION), neodvisnega zunanjega revizorja in notranjo revizijo. Časovno gledano bo nad-revizija najredkeje obiskala revidirano enoto, medtem, ko bo notranja revizija po svojem načrtu vršila redne letne preglede in bo zunanja revizija vstopila vsaj enkrat letno. Supervizija je tipično v domeni zakonodajnih avtoritet ali državnih organov. Ker revizija sama potrebuje resurse s strani sodelavcev organizacije, ki je v pregledu, je tak pristop primeren le za zelo izpostavljena ali občutljiva področja. Večkrat, ko bo revizor izvedel pregled v dani organizaciji višji je potencial za dobre rezultati pregleda. Na področju varnosti v informacijskem sistemu je enkratna revizija, kjer se usklajenih ugotovitve v revizorjevem poročilu v naslednji iteraciji ne da preveriti, vsekakor pomanjkljiv. Drug pomemben dejavnik, ki govori v prid večkratni reviziji pa je dinamika sprememb v organizaciji, kateri je še posebej podvrženo področje informatike. Iz teh razlogov revizorji informacijskih sistemov vedno bolj pregledujemo in zasledujemo procese v informatiki, kar nas nemalokrat pripelje tudi (ob pomanjkanju dobre dokumentiranosti) do posnetka stanja ali pa povratnega inženiringa.

DOK_SIS 2003 – Kranjska gora, 21. do 23. maj 2003

DOK_SIS 2003

22-III

Povzetek revizije Pregled usklajenosti s standardom ISO 17799:2000 je revizorsko-informacijski projekt in kot tak potrebuje odgovarjajoč okvir in sredstva. Pri temu bomo pregledali tako določene priporočene kontrole, kakor tudi procese in po potrebi izvedli tudi dodatne analize tveganj. Revizija ISO 17799:2000 bo dala boljše rezultate kadar je projekt vpeljave standarda že v fazi implementacije in v kolikor se te revizije vršijo redno in z več različnimi, med seboj neodvisnimi revizijskimi entitetami. Tudi na tem področju ni nujen celovit pregled usklajenosti s standardom, kar je impliciten cilj takšnega pregleda, temveč lahko omejitev ciljev pregleda bolj prispeva k zadovoljstvu naročnika in doseganju ciljev. Za dobro implementacijo bo revizor štel vpeljane procese z možnostmi za nenehne izboljšave, kar dolgoročno gledano daje višjo stopnjo zaupanja. Pri ugotavljanju izpostavljenosti tveganjem v varnostni domeni revizorju zakonodajne zahteve pomembno olajšujejo delo in standardi dobre prakse, kakor je ISO 17799:2000 olajšujejo meritve kontrol in vodstvenih procesov. Revizija varnosti v informacijskem sistemu zahteva od revizorja sposobnost profesionalne presoje in dobro znanje obravnavane tematike. STANDARD DOBRE PRAKSE ISO 17799:2000 Na kratko o standardu in vlogah Standard dobre prakse je prevzet v ISO kot druga verzija BS 7799:1995, katerega prevod je možno pridobiti tudi v slovenščini (1997). Prvotna verzija je nastala kot skupek zapisanih priporočil, ki so slonele na izkušnjah nekaterih organizacij v domeni varnosti v informacijskemu sistemu. Ta standard ima tudi spremljevalca BS 7799-2:1999 (ISO 17799:2000 sloni na BS 7799-1:1999) z nazivom »Specifikacije za upravljanje z varnostjo v informacijskih sistemih« in lahko služi kot pomoč pri oceni stanja ter presoji zrelostne stopnje implementacije standarda. Dokument standard je strukturiran v dvanajst poglavij, kjer se v tretjem poglavju začne z definicijo in potrebo po varnostni politiki in konča v dvanajstem poglavju z usklajenostjo z zakonodajo in nadzornimi procesi. Revizijski pregled lahko vključimo med implementacijo standarda v dvanajsto poglavje, kjer se med drugim zahteva pregled usklajenosti z varnostnimi politikami in standardi. Standard priporoča redne preglede z vključitvijo vsaj sledečih entitet: -informacijski sistem, -dobavitelje sistemov, -lastnike informacij in informacijskih sredstev, -uporabnike in upravo oziroma poslovodstvo. V ta del domene spada še preverjanje proti tehničnim varnostnim standardom, priporočila za izvajanje testov ali sistemskih pregledov in priporočila za varovanje dostopa do orodij za izvajanje varnostnih testov. Na tem mestu je morda primerna omemba odnosov med revizijo (notranjo kontrolo) in varnostnim inženirjem (ISSO ali CSO); varnostni inženir izvaja preglede in v kolikor mu to politika dovoli tudi izvaja bolj »vdorne« vpoglede, medtem ko revizor z druge strani lahko preveri ali je njegovo delo usklajeno s politikami in priporočili, kjer pravilno umika orodja po končanem testu, vrši dosledno in redno poročanje in podobno. Revizor je na nek način skoraj izoliran od produkcije, medtem ko je delo varnostnega inženirja sestavni del produkcije, predvsem v okoljih kjer je varnost informacijskega sistema dejansko vpeta v vse pore organizacije. Ob konkretnem preverjanju danih kontrol pa se lahko revizor in varnostni inženir odločita za skupni test (recimo politike gesel). Na dlani je, da je za vsako organizacijo,

DOK_SIS 2003 – Kranjska gora, 21. do 23. maj 2003

DOK_SIS 2003

III-23

ki se podvrže zunanji neodvisni reviziji v domeni varnosti informacijskega sistema potrebna odgovarjajoča politika, ki naj bi vsaj opredelila sprejemljive nivoje testiranja. Razlika med zunanjim dobaviteljem uslug in revizorjem v kontekstu politik pa je tipično v obsegu vidnosti; zunanji dobavitelj (uslug ali sistemov) bo omejen na tiste dele politike in pogodbenih obveznosti, ki se nanašajo na dano funkcionalnost, medtem ko si mora revizor pridobiti bolj celovit vpogled v IS. Podatkovna orientiranosti, ISO 17799 z nekoliko drugačnega zornega kota Standard postavlja v center podatke in informacije, katere je potrebno ščititi in varovati pred izrabo zaupnosti, celovitosti in dosegljivosti. Podatke se obdeluje z namenom pridobiti informacije, katere potrebujemo pri izvajanju poslovnih procesov in s tem predstavljajo konkretno materialno vrednost. V kolikor želimo podatke obdelovati jih je potrebno hraniti v obliki, ki je primerna za obdelavo. Podatke obdelujemo, hranimo in prenašamo predvsem s sredstvi informacijske tehnologije na različnih medijih v digitalni obliki. Lastnost digitalnega zapisa podatkov je pravzaprav ta, da nima lastnika (izvirnik nima atributa lastništva), saj se kopija ne razlikuje od originala. V kolikor sem lastnik podatkov moram ravnati in skrbeti s podatki v duhu dobrega in strokovnega gospodarja, ravno tako kakor to počnemo z bolj materialnimi sredstvi. Pravzaprav imajo lahko podatki »imenovanega« lastnika, ki mi je posodil podatke z namenom obdelave v bolj ali manj njegovo korist, le da je vez med podatkom in lastništvom precej bolj ohlapna kakor v oprijemljivih primerih. Tako imamo vsaj dva problema in sicer:

- lastništvo nad podatki (in sredstvi informacijske tehnologije s katerimi jih obdelujemo),

- tehnične lastnosti sredstev informacijske tehnologije , katere vplivajo na podatkovne zapise (posredno).

Standard v ta namen v petem poglavju zahteva prevzem lastništva (in skrbništva ali delegacijo skrbništva) nad podatki in sredstvi informacijske tehnologije. Zahteva pa tudi »kislo jabolko« klasifikacije podatkov po stopnjah zaupnosti. To pa implicira, da natančno vodimo globalen katalog podatkov, kjer lahko ugotovimo povezave med stopnjami zaupnosti in aplikacijami in procesi, kateri te podatke obdelujejo (vse do sredstev IT). Gesla za prijavo na sisteme so seveda najbolj tajni podatek s skoraj dvojnim lastništvom (oseba in organizacija v izjemnih primerih). V kolikor enkriptiram podatke s ključem, kateri je le meni na voljo, sem si priboril »relativno« lastništvo nad enkriptiranimi podatki. Za ravnanje s tehnologije so potrebni ljudje v raznih fazah obdelave podatkov (ne nazadnje tudi pri interpretaciji podatkov). Pri tem imamo udeleženci poslovnih procesov različne vloge in naloge, na vsak način pa smo v vedno večji stopnji interakcije s sredstvi informacijske tehnologije. Podatki so tako vidni (»potreba po vedenju«) sodelavcem organizacije. Ker smo ljudje tipično najšibkejši člen (vsi programi in arhitekture so naš izdelek) v varnostni verigi, standard močno poudarja potrebo po nadzoru, šolanju in osveščanju na tem področju. Tako nam standard v šestem poglavju narekuje skrb za:

- proces šolanja in dviga zavesti udeležencev informacijskega sistema, - proces javljanja varnostnih dogodkov, - vhodno kontrolo primernosti osebja za opravljanje določenih del. - in v tretjem poglavju še: - proces izdelave politik (in implementacije le teh v vseh ostalih poglavjih).

DOK_SIS 2003 – Kranjska gora, 21. do 23. maj 2003

DOK_SIS 2003

24-III

Prave politike so označene z »mora«, kjer so potem v izogib materialnim izgubam potrebni tudi disciplinski ukrepi. Na nek način je skupek politik, pravilnikov, standardov in smernic nekakšna interna zakonodaja organizacije usklajenih z zakoni, katerim je »podatkovno« ali drugače podvržena. V kolikor želimo ohraniti zaupnost, integriteto (celovitost) in dosegljivost podatkov je potrebna ločitev odgovornosti. Ločitev odgovornosti se vrši z dostopnimi kontrolami oziroma dodelitvijo pravic posamezniku in uporabniškemu računu. Ločitev odgovornosti realiziramo med drugim in predvsem z dostopnimi pravicami in poenostavljeno nekako tako: –identificiraj se, -dokaži se (da si tisti za katerega si se predstavil oziroma si tisti ki kaj imaš) in –odpiram vrata. Kako na široko so ta vrata odprta je seveda vprašanje pooblastil. Vloge v procesu so tako preslikane v odgovarjajoč avtorizacijski sistem. Standard priporoča ločitev pooblastil pravzaprav skozi cel dokument, vendar je to najbolj izraženo v priporočenih kontrolah v sedmem in devetem poglavju. Podatke in sredstva informacijske tehnologije hranimo v prostorih pod določenimi pogoji. Ker lahko neomejen dostop do sredstev predstavlja izgubo (ali nedosegljivost) podatkov je potrebna zaščita prostorov, kjer ta sredstva in podatke hranimo (in/ali vodil). Recimo dostop do tiskalnikov, kjer se tiskajo zaupni podatki mora biti zaščiten. Standard dobre prakse opredeljuje potrebne procese in kontrole v sedmem poglavju in jih imenuje fizične kontrole in kontrole okolja. V devetem poglavju pa se standard opredeljuje do dostopnih kontrol od poslovnih potreb pa vse tja do -odgovornosti uporabnikov, -aplikativnih dostopnih kontrol, -mrežnih dostopnih kontrol, -dostopne kontrole do operacijskega sistema in vodstven nadzor nad temi kontrolami. Ključno vprašanje za revizorja je seveda pomemben proces: proces pooblaščanja (zahtevek za pooblastilo) in dodeljevanje pravic uporabnikom in vodstven nadzor oziroma proces zagotavljanja pravilnosti dodeljenih pravic (vlog). Pravice in dostopne kontrole se tudi nanašajo na tretje in zahtevke do tretjih v pogodbah. Ločitev odgovornosti se lahko analogno tudi preslika na ločitev produkcije od testnega okolja in v vzdrževalni funkciji tudi upravljanje s spremembami v širšem pomenu, kar je opredeljeno v desetem poglavju dokumenta. Večino kontrol proti operativnim tveganjem je tako opisanih v sedmem, osmem, devetem in desetem poglavju. Naslednje »kislo jabolko« je neprekinjenost poslovanja. Neprekinjenost poslovanja sestavljajo vsaj krizni načrti in načrti dviga poslovanja. Na tem področju pa moramo identificirati prej procese, ki so pretežno poslovnega značaja in je sodelovanje s »poslovnimi tehnologi« in ravnateljstvom nujno. Vsekakor pa mora obstajati jasno izražen proces upravljanja z neprekinjenim poslovanjem, saj je možno da sprožimo krizni načrt tudi zaradi virusov ali druge zelo tehnične situacije. Na koncu standard v četrtem poglavju zaokrožuje priporočila v odgovarjajoče zahtevke do klasične organizacije in dodelitev odgovornosti v opisu del in nalog. Povzetek ISO 17799:2000 ISO 17799:2000 opredeljuje in priporoča procese in potrebne kontrole v izogib izgubi zaupnosti, celovitosti in dosegljivosti podatkov. Namenjen je tako upravljavcem kakor tudi kontrolorju. Na neke način opredeljuje tudi revizijske sledi in zagotavljanje pravilnosti

DOK_SIS 2003 – Kranjska gora, 21. do 23. maj 2003

DOK_SIS 2003

III-25

kontrol in operacij (ACCOUNTABILITY, ASSURANCE). Standard v več točkah priporoča neodvisen pregled kontrol (točke 3.1.2, 4.1.7, 9.2.4, 12.2.1 in 12.2.2), kjer je morda dobrodošel zunanji neodvisen pregled tudi v produkcijskem smislu. Za dobro implementacijo standarda potrebujemo trajne procese z odgovarjajočo odgovornostjo in primerno organizacijsko sliko. Zaradi zahtevanih resursov in sredstev je končna odgovornost za varnost v IS dodeljena poslovodstvu organizacije, brez katerega konsenza in razumevanja implementacija standarda ni možna. Vpeljava standarda pa pomeni tudi celovit pristop k trajnemu šolanju sodelavcev organizacije. PRIMER Včasih lažje razumemo konkreten primer, kakor pa opisovanje, zato v nadaljnjem navajam primer vprašalnika, kateri služi za oceno zrelosti organizacije proti nekaterim varnostnim zahtevkom opredeljenih v standardu (povzeto po SANS in deloma NIST SP 800-26): Upravljanje s kontrolami

- Upravljanje s tveganji (analiza tveganj, analiza izgube stroškov, analiza vpliva na poslovanje)

- Pregled varnostnih kontrol (popis kontrol, groženj, ranljivosti, izpostavljenosti) - Življenjski cikli kontrol (procesov) - Proces dodelitve pooblastil - Načrtovanje varnosti

Operativne kontrole - Varnost osebja (kontrole, pravice z možnimi posledicami izgub) - Fizične kontrole (dostopne, nadzorne, zagotavljanje kvalitete) - Načrti neprekinjenega poslovanja (DRP, BRP) - Vzdrževanje strojne in programske opreme - Vhodno–Izhodne kontrole (pomoč uporabnikom, kontrole nad dostopnostjo izhodnih

in vhodnih dokumentov in drugi mediji) - Celovitost podatkov (kopije, uničenje nosilcev, transport, testiranje kvalitete) - Dokumentiranost kontrol - Šolanje uporabnikov in nivo zavedanja o varnostni problematiki - Javljanje incidentov

Tehnične kontrole 3 - Identifikacije in avtentifikacije (popis, po gradnikih iz poslovnih funkcij navzdol) - Logične dostopne kontrole (kvaliteta in politika gesel, aplikativne, sistemske,

centralna baza pooblastil) - Revizijske sledi

Ocena kvalitete kontrol: Ocena Opis zrelosti kontrole 1 Cilji so dokumentirani v varnostni politiki (definicija, potreba) 2 Varnostna kontrola je dokumentirana kot procedure (oziroma procesi, odgovornost je

dorečena za dela in naloge) ni nujno že v celoti v produkciji 3 Procedure so implementirane v produkciji (odgovornost, dizajn) 4 Procedure se testirajo in izboljšujejo (kot ostali funkcionalni deli) 5 Procedure in varnost so v celoti integrirani v poslovno funkcionalnost in vse procese

DOK_SIS 2003 – Kranjska gora, 21. do 23. maj 2003

DOK_SIS 2003

26-III

www.media-doc.si